網(wǎng)絡(luò)工程師必讀

前言

　　朋友，你是否正有打算朝著網(wǎng)絡(luò)安全工程方面發(fā)展，成為一名當(dāng)前國(guó)內(nèi)外最熱門(mén)又最緊缺、最有發(fā)展前景的IT職業(yè)人士——網(wǎng)絡(luò)安全工程師呢？你是否正為沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)方面的權(quán)威指南而發(fā)愁呢？本書(shū)或許是您很好的選擇?！　”緯?shū)是目前國(guó)內(nèi)IT圖書(shū)市場(chǎng)中第一本真正從設(shè)計(jì)角度系統(tǒng)地介紹網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)和綜合方案的圖書(shū)。本書(shū)最大的特點(diǎn)就是深入、系統(tǒng)地介紹了許多目前主流應(yīng)用的網(wǎng)絡(luò)安全技術(shù)體系架構(gòu)和功能實(shí)現(xiàn)原理，如Kerberos、證書(shū)和證書(shū)服務(wù)、IPSec、TLS/SSL等。可能有許多讀者對(duì)深?yuàn)W的理論不感興趣，在筆者所接觸的網(wǎng)友中，的確有許多網(wǎng)友是這樣的，只喜歡實(shí)操型的書(shū)籍。如果作為網(wǎng)絡(luò)管理員，這可以理解，但是如果作為網(wǎng)絡(luò)工程師，有這樣的心態(tài)就非常不正確了。因?yàn)榫W(wǎng)絡(luò)管理員的工作基本上都是操作型的，而網(wǎng)絡(luò)工程師的工作則主要是進(jìn)行各類(lèi)系統(tǒng)的設(shè)計(jì)，是底層的。沒(méi)有全面、深入、扎實(shí)的理論基礎(chǔ)，不可能對(duì)相應(yīng)技術(shù)有一個(gè)本質(zhì)上的理解和運(yùn)用，更談不上利用這些技術(shù)來(lái)設(shè)計(jì)解決方案了。這就是網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)工程師的一個(gè)本質(zhì)區(qū)別?！　?本書(shū)主要內(nèi)容　　《網(wǎng)絡(luò)工程師必讀——網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)》與筆者在本系列中寫(xiě)的另一部圖書(shū)——《網(wǎng)絡(luò)工程師必讀——網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)》一樣，題目非常大（指其內(nèi)涵），所涉及的技術(shù)、產(chǎn)品和方案非常廣。就像我們?cè)趯?xiě)一篇作文一樣，題目越大，文章越難寫(xiě)。因?yàn)橐獙?xiě)，或者可寫(xiě)的內(nèi)容實(shí)在太多、太廣，從主題選取，到各主題內(nèi)容的選取都不是一件簡(jiǎn)單的事。畢竟就目前來(lái)說(shuō)，網(wǎng)絡(luò)安全已自成一個(gè)龐大的系統(tǒng)，所涉及的技術(shù)、產(chǎn)品和方案滲透到了網(wǎng)絡(luò)領(lǐng)域的各個(gè)角落，而無(wú)論如何，一本書(shū)的篇幅都是非常有限的。所以，在筆者正式寫(xiě)這部書(shū)之前，僅寫(xiě)什么和怎么寫(xiě)這兩個(gè)方面就考慮了非常長(zhǎng)的時(shí)間。而且在編寫(xiě)這部書(shū)之前，總希望能借鑒一些已有的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)類(lèi)圖書(shū)的主題選取和寫(xiě)作方法，總希望用有限的篇幅盡可能系統(tǒng)地介紹一些主流的網(wǎng)絡(luò)安全技術(shù)和方案設(shè)計(jì)思路。但非常遺憾，筆者在網(wǎng)絡(luò)上查看了近20部網(wǎng)絡(luò)安全類(lèi)圖書(shū)的目錄，竟然沒(méi)有一部是希望看到的。所以，筆者最終還是只能靠自己，從頭設(shè)計(jì)本書(shū)的主體架構(gòu)，包括整部圖書(shū)的章節(jié)安排（也可以算是整部圖書(shū)的體系架構(gòu)）、各章的主題，以及各章內(nèi)部的主要內(nèi)容。綜合起來(lái)是這樣一個(gè)基本的寫(xiě)作思路：整部圖書(shū)的主線是OSI/RM的7層結(jié)構(gòu)，各章主要針對(duì)各主要層次的主要安全技術(shù)和方案進(jìn)行展開(kāi)，并在本書(shū)最后介紹了幾個(gè)綜合的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)和配置方案?！　”緯?shū)共11章，具體內(nèi)容安排如下?！　〉?章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)綜述　　本章主要對(duì)目前主要的網(wǎng)絡(luò)隱患、所涉及的主要網(wǎng)絡(luò)安全技術(shù)，以及網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)基本思路進(jìn)行綜合介紹。　　第2章 物理層的網(wǎng)絡(luò)安全保護(hù)方案　　本章主要對(duì)基于OSI/RM物理層的主要網(wǎng)絡(luò)安全保護(hù)技術(shù)和方案進(jìn)行具體介紹。其中所涉及到的網(wǎng)絡(luò)安全技術(shù)包括計(jì)算機(jī)網(wǎng)絡(luò)通信物理介質(zhì)、線路和設(shè)備的屏蔽、網(wǎng)絡(luò)通信線路的物理隔離、網(wǎng)絡(luò)通信線路的冗余、數(shù)據(jù)備份和容災(zāi)，以及典型網(wǎng)絡(luò)物理層的安全保護(hù)工具的介紹等。　　第3章 數(shù)據(jù)鏈路層的安全保護(hù)方案　　本章主要介紹了各種主要的數(shù)據(jù)鏈路層可用的加密技術(shù)，以及WLAN網(wǎng)絡(luò)中所用的各種數(shù)據(jù)鏈路加密、身份驗(yàn)證技術(shù)原理和配置方法，如WEP、WPA、WPA2、IEEE 802.1x和IEEE 802.11i等。還介紹了主流品牌網(wǎng)絡(luò)設(shè)備MAC地址綁定和嗅探防護(hù)等。至于VLAN方面的詳細(xì)配置在本系列的《網(wǎng)絡(luò)工程師必讀——網(wǎng)絡(luò)設(shè)備配置與管理》（交換機(jī)分冊(cè)）一書(shū)中介紹。

內(nèi)容概要

本書(shū)從網(wǎng)絡(luò)工程師的職業(yè)角度出發(fā)組織和安排內(nèi)容，非常具有針對(duì)性。本書(shū)從網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)全局出發(fā)，以O(shè)SI/RM的7層結(jié)構(gòu)為主線，層層把關(guān)，全面、系統(tǒng)地介紹各層的主要安全技術(shù)和方案設(shè)計(jì)思路、方法。　　本書(shū)從深層次分析了網(wǎng)絡(luò)安全隱患存在的各個(gè)主要方面，然后從這幾個(gè)方面出發(fā)，全面介紹企業(yè)局域網(wǎng)安全防護(hù)系統(tǒng)的設(shè)計(jì)方法。其中包括網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)綜述、物理層的網(wǎng)絡(luò)安全保護(hù)方案、數(shù)據(jù)鏈路層的安全保護(hù)方案、網(wǎng)絡(luò)層防火墻安全保護(hù)方案、網(wǎng)絡(luò)層Kerberos身份認(rèn)證方案、網(wǎng)絡(luò)層證書(shū)身份認(rèn)證、加密和簽名方案、網(wǎng)絡(luò)層PKI綜合應(yīng)用方案設(shè)計(jì)、網(wǎng)絡(luò)層IPSec身份認(rèn)證和加密方案、傳輸層TLS/SSL身份認(rèn)證和加密方案、應(yīng)用層Web服務(wù)器的綜合安全系統(tǒng)設(shè)計(jì)與配置、WLAN網(wǎng)絡(luò)綜合安全系統(tǒng)設(shè)計(jì)與配置，并通過(guò)實(shí)際可用的安全防護(hù)方法來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隱患的排除或防護(hù)。這些不同方面的安全防護(hù)措施形成了一個(gè)系統(tǒng)的整體，使得企業(yè)網(wǎng)絡(luò)從各個(gè)方面都得到足夠的安全保證。以上這些都是網(wǎng)絡(luò)工程師所必須掌握的基礎(chǔ)知識(shí)和技能?！　”緯?shū)適合網(wǎng)絡(luò)工程師參考學(xué)習(xí)，也可作為高等院校及相關(guān)培訓(xùn)機(jī)構(gòu)的教材。

書(shū)籍目錄

第1章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)綜述　1.1 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)基礎(chǔ)　1.2 OSI/RM各層的安全保護(hù)　1.3 系統(tǒng)層的安全保護(hù)　1.4 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)　1.5 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的基本思路第2章 物理層的網(wǎng)絡(luò)安全保護(hù)方案　2.1 物理層安全保護(hù)概述　2.2 物理層的線路竊聽(tīng)技術(shù)分析　2.3 計(jì)算機(jī)網(wǎng)絡(luò)通信線路屏蔽　2.4 物理線路隔離　2.5 設(shè)備和線路冗余　2.6 機(jī)房和賬戶安全管理　2.7 數(shù)據(jù)安全管理　2.8 物理層安全管理工具　2.9 服務(wù)和服務(wù)賬戶安全規(guī)劃第3章 數(shù)據(jù)鏈路層的安全保護(hù)方案　3.1 典型數(shù)據(jù)加密算法　3.2 數(shù)據(jù)加密　3.3 WLANSSID安全技術(shù)及配置方法　3.4 WLANMAC地址過(guò)濾　3.5 WLANWEP加密　3.6 WPA加密　3.7 WPA2加密　3.8 無(wú)線AP/路由器的WPA和WPA2設(shè)置……第4章 網(wǎng)絡(luò)層防火墻安全保護(hù)方案第5章 網(wǎng)絡(luò)層Kerberos身份認(rèn)證方案第6章 網(wǎng)絡(luò)層證書(shū)身份認(rèn)證、加密和簽名方案第7章 網(wǎng)絡(luò)層PKI綜合應(yīng)用方案設(shè)計(jì)第8章 網(wǎng)絡(luò)層IPSec身份認(rèn)證和加密方案第9章 傳輸層TLS/SSL身份認(rèn)證和加密方案第10章 應(yīng)用層Web服務(wù)器的綜合安全系統(tǒng)設(shè)計(jì)與配置第11章 WLAN網(wǎng)絡(luò)綜合安全系統(tǒng)設(shè)計(jì)與配置后記

章節(jié)摘錄

　　“容災(zāi)”，簡(jiǎn)單地說(shuō)就是盡量減少或避免因?yàn)?zāi)難的發(fā)生而造成的損失。它是一個(gè)系統(tǒng)工程，備份與恢復(fù)就是這一系統(tǒng)工程的兩個(gè)重要組成部分。除此之外，還有許多具體的工作，如備份媒體的保管、存放、容災(zāi)演練等，都是容災(zāi)中要做的。從廣義上講，任何有助于提高系統(tǒng)可用性的努力，都可以被稱(chēng)為容災(zāi)。　　要實(shí)現(xiàn)容災(zāi)，首先要了解我們的“敵人”——災(zāi)難。哪些事件可以定義為災(zāi)難呢？典型的災(zāi)難事件是自然災(zāi)難，如火災(zāi)、洪水、地震、颶風(fēng)、龍卷風(fēng)、臺(tái)風(fēng)等，還有原先提供給業(yè)務(wù)運(yùn)營(yíng)所需的服務(wù)中斷，如設(shè)備故障、軟件錯(cuò)誤、電信網(wǎng)絡(luò)中斷和電力故障等。此外，人為的因素往往也會(huì)釀成大禍，如操作員錯(cuò)誤、破壞、植入有害代碼和恐怖襲擊?，F(xiàn)階段，由于我國(guó)很多行業(yè)正處在高速發(fā)展的階段，很多生產(chǎn)流程和制度仍不完善，加之缺乏經(jīng)驗(yàn)，這方面的損失屢見(jiàn)不鮮。對(duì)此，我們需要做到兩點(diǎn)：一是建立切實(shí)可行的應(yīng)急機(jī)制，這主要包含一套基于充分且清楚地將風(fēng)險(xiǎn)予以分類(lèi)定義的業(yè)務(wù)持續(xù)計(jì)劃；二是在危機(jī)突然降臨時(shí)，此計(jì)劃能被有效地執(zhí)行?！　膹V義上講，任何有助于提高系統(tǒng)可用性的努力，都可稱(chēng)之為容災(zāi)。本地容災(zāi)，就是主機(jī)集群，當(dāng)某臺(tái)主機(jī)出現(xiàn)故障，不能正常工作時(shí)，其他的主機(jī)可以替代該主機(jī)，繼續(xù)進(jìn)行正常的工作。平時(shí)講到的容災(zāi)，尤其是值得重視的容災(zāi)，一般都是遠(yuǎn)程容災(zāi)?！　∵h(yuǎn)程容災(zāi)可以這樣理解：在各種企業(yè)的IT系統(tǒng)中，必然有一部分（尤其是核心部分）是非常重要的，我們叫它生產(chǎn)中心。人們往往給生產(chǎn)中心配備一個(gè)備份中心，該備份中心是遠(yuǎn)程的，并且在生產(chǎn)中心的內(nèi)部，已經(jīng)實(shí)施了各種各樣的數(shù)據(jù)保護(hù)。不管怎么保護(hù)，當(dāng)火災(zāi)、地震這種災(zāi)難發(fā)生時(shí)，一旦生產(chǎn)中心癱瘓了，備份中心會(huì)接管生產(chǎn)，繼續(xù)提供網(wǎng)絡(luò)服務(wù)。比如全國(guó)鐵路調(diào)度中心的網(wǎng)絡(luò)系統(tǒng)，當(dāng)發(fā)生火災(zāi)、地震等災(zāi)難性事件時(shí)，該系統(tǒng)仍要保證正常運(yùn)行，不能因?yàn)檎{(diào)度中心出現(xiàn)災(zāi)難性事件，使全國(guó)的鐵路處于癱瘓狀態(tài)，讓災(zāi)難不合理地蔓延?！　〕嗽敱M的容災(zāi)計(jì)劃外，還需要合理的IT系統(tǒng)架構(gòu)來(lái)確保企業(yè)的容災(zāi)計(jì)劃得以實(shí)現(xiàn)。對(duì)于IT系統(tǒng)而言，在技術(shù)層面上，容災(zāi)需要考慮以下幾個(gè)方面。

編輯推薦

　　作者王達(dá)中國(guó)知名網(wǎng)絡(luò)技術(shù)IT作家，繼暢銷(xiāo)書(shū)“網(wǎng)管員必讀”系列之后又一力作，一本真正全局意義上的安全系統(tǒng)設(shè)計(jì)類(lèi)圖書(shū)，專(zhuān)業(yè)的一手技術(shù)資料，龐大的讀者服務(wù)體系。

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    網(wǎng)絡(luò)工程師必讀 PDF格式下載

---