網(wǎng)絡(luò)工程師必讀

前言

　　朋友，你是否正有打算朝著網(wǎng)絡(luò)安全工程方面發(fā)展，成為一名當前國內(nèi)外最熱門又最緊缺、最有發(fā)展前景的IT職業(yè)人士——網(wǎng)絡(luò)安全工程師呢？你是否正為沒有系統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方面的權(quán)威指南而發(fā)愁呢？本書或許是您很好的選擇?！　”緯悄壳皣鴥?nèi)IT圖書市場中第一本真正從設(shè)計角度系統(tǒng)地介紹網(wǎng)絡(luò)安全系統(tǒng)設(shè)計和綜合方案的圖書。本書最大的特點就是深入、系統(tǒng)地介紹了許多目前主流應(yīng)用的網(wǎng)絡(luò)安全技術(shù)體系架構(gòu)和功能實現(xiàn)原理，如Kerberos、證書和證書服務(wù)、IPSec、TLS/SSL等?？赡苡性S多讀者對深奧的理論不感興趣，在筆者所接觸的網(wǎng)友中，的確有許多網(wǎng)友是這樣的，只喜歡實操型的書籍。如果作為網(wǎng)絡(luò)管理員，這可以理解，但是如果作為網(wǎng)絡(luò)工程師，有這樣的心態(tài)就非常不正確了。因為網(wǎng)絡(luò)管理員的工作基本上都是操作型的，而網(wǎng)絡(luò)工程師的工作則主要是進行各類系統(tǒng)的設(shè)計，是底層的。沒有全面、深入、扎實的理論基礎(chǔ)，不可能對相應(yīng)技術(shù)有一個本質(zhì)上的理解和運用，更談不上利用這些技術(shù)來設(shè)計解決方案了。這就是網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)工程師的一個本質(zhì)區(qū)別?！　?本書主要內(nèi)容　　《網(wǎng)絡(luò)工程師必讀——網(wǎng)絡(luò)安全系統(tǒng)設(shè)計》與筆者在本系列中寫的另一部圖書——《網(wǎng)絡(luò)工程師必讀——網(wǎng)絡(luò)系統(tǒng)設(shè)計》一樣，題目非常大（指其內(nèi)涵），所涉及的技術(shù)、產(chǎn)品和方案非常廣。就像我們在寫一篇作文一樣，題目越大，文章越難寫。因為要寫，或者可寫的內(nèi)容實在太多、太廣，從主題選取，到各主題內(nèi)容的選取都不是一件簡單的事。畢竟就目前來說，網(wǎng)絡(luò)安全已自成一個龐大的系統(tǒng)，所涉及的技術(shù)、產(chǎn)品和方案滲透到了網(wǎng)絡(luò)領(lǐng)域的各個角落，而無論如何，一本書的篇幅都是非常有限的。所以，在筆者正式寫這部書之前，僅寫什么和怎么寫這兩個方面就考慮了非常長的時間。而且在編寫這部書之前，總希望能借鑒一些已有的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計類圖書的主題選取和寫作方法，總希望用有限的篇幅盡可能系統(tǒng)地介紹一些主流的網(wǎng)絡(luò)安全技術(shù)和方案設(shè)計思路。但非常遺憾，筆者在網(wǎng)絡(luò)上查看了近20部網(wǎng)絡(luò)安全類圖書的目錄，竟然沒有一部是希望看到的。所以，筆者最終還是只能靠自己，從頭設(shè)計本書的主體架構(gòu)，包括整部圖書的章節(jié)安排（也可以算是整部圖書的體系架構(gòu)）、各章的主題，以及各章內(nèi)部的主要內(nèi)容。綜合起來是這樣一個基本的寫作思路：整部圖書的主線是OSI/RM的7層結(jié)構(gòu)，各章主要針對各主要層次的主要安全技術(shù)和方案進行展開，并在本書最后介紹了幾個綜合的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計和配置方案。　　本書共11章，具體內(nèi)容安排如下。　　第1章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計綜述　　本章主要對目前主要的網(wǎng)絡(luò)隱患、所涉及的主要網(wǎng)絡(luò)安全技術(shù)，以及網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計基本思路進行綜合介紹。　　第2章 物理層的網(wǎng)絡(luò)安全保護方案　　本章主要對基于OSI/RM物理層的主要網(wǎng)絡(luò)安全保護技術(shù)和方案進行具體介紹。其中所涉及到的網(wǎng)絡(luò)安全技術(shù)包括計算機網(wǎng)絡(luò)通信物理介質(zhì)、線路和設(shè)備的屏蔽、網(wǎng)絡(luò)通信線路的物理隔離、網(wǎng)絡(luò)通信線路的冗余、數(shù)據(jù)備份和容災(zāi)，以及典型網(wǎng)絡(luò)物理層的安全保護工具的介紹等?！　〉?章 數(shù)據(jù)鏈路層的安全保護方案　　本章主要介紹了各種主要的數(shù)據(jù)鏈路層可用的加密技術(shù)，以及WLAN網(wǎng)絡(luò)中所用的各種數(shù)據(jù)鏈路加密、身份驗證技術(shù)原理和配置方法，如WEP、WPA、WPA2、IEEE 802.1x和IEEE 802.11i等。還介紹了主流品牌網(wǎng)絡(luò)設(shè)備MAC地址綁定和嗅探防護等。至于VLAN方面的詳細配置在本系列的《網(wǎng)絡(luò)工程師必讀——網(wǎng)絡(luò)設(shè)備配置與管理》（交換機分冊）一書中介紹。

內(nèi)容概要

本書從網(wǎng)絡(luò)工程師的職業(yè)角度出發(fā)組織和安排內(nèi)容，非常具有針對性。本書從網(wǎng)絡(luò)安全系統(tǒng)設(shè)計全局出發(fā)，以O(shè)SI/RM的7層結(jié)構(gòu)為主線，層層把關(guān)，全面、系統(tǒng)地介紹各層的主要安全技術(shù)和方案設(shè)計思路、方法?！　”緯鴱纳顚哟畏治隽司W(wǎng)絡(luò)安全隱患存在的各個主要方面，然后從這幾個方面出發(fā)，全面介紹企業(yè)局域網(wǎng)安全防護系統(tǒng)的設(shè)計方法。其中包括網(wǎng)絡(luò)安全系統(tǒng)設(shè)計綜述、物理層的網(wǎng)絡(luò)安全保護方案、數(shù)據(jù)鏈路層的安全保護方案、網(wǎng)絡(luò)層防火墻安全保護方案、網(wǎng)絡(luò)層Kerberos身份認證方案、網(wǎng)絡(luò)層證書身份認證、加密和簽名方案、網(wǎng)絡(luò)層PKI綜合應(yīng)用方案設(shè)計、網(wǎng)絡(luò)層IPSec身份認證和加密方案、傳輸層TLS/SSL身份認證和加密方案、應(yīng)用層Web服務(wù)器的綜合安全系統(tǒng)設(shè)計與配置、WLAN網(wǎng)絡(luò)綜合安全系統(tǒng)設(shè)計與配置，并通過實際可用的安全防護方法來實現(xiàn)網(wǎng)絡(luò)安全隱患的排除或防護。這些不同方面的安全防護措施形成了一個系統(tǒng)的整體，使得企業(yè)網(wǎng)絡(luò)從各個方面都得到足夠的安全保證。以上這些都是網(wǎng)絡(luò)工程師所必須掌握的基礎(chǔ)知識和技能?！　”緯m合網(wǎng)絡(luò)工程師參考學習，也可作為高等院校及相關(guān)培訓機構(gòu)的教材。

書籍目錄

第1章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計綜述　1.1 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計基礎(chǔ)　1.2 OSI/RM各層的安全保護　1.3 系統(tǒng)層的安全保護　1.4 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計　1.5 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計的基本思路第2章 物理層的網(wǎng)絡(luò)安全保護方案　2.1 物理層安全保護概述　2.2 物理層的線路竊聽技術(shù)分析　2.3 計算機網(wǎng)絡(luò)通信線路屏蔽　2.4 物理線路隔離　2.5 設(shè)備和線路冗余　2.6 機房和賬戶安全管理　2.7 數(shù)據(jù)安全管理　2.8 物理層安全管理工具　2.9 服務(wù)和服務(wù)賬戶安全規(guī)劃第3章 數(shù)據(jù)鏈路層的安全保護方案　3.1 典型數(shù)據(jù)加密算法　3.2 數(shù)據(jù)加密　3.3 WLANSSID安全技術(shù)及配置方法　3.4 WLANMAC地址過濾　3.5 WLANWEP加密　3.6 WPA加密　3.7 WPA2加密　3.8 無線AP/路由器的WPA和WPA2設(shè)置……第4章 網(wǎng)絡(luò)層防火墻安全保護方案第5章 網(wǎng)絡(luò)層Kerberos身份認證方案第6章 網(wǎng)絡(luò)層證書身份認證、加密和簽名方案第7章 網(wǎng)絡(luò)層PKI綜合應(yīng)用方案設(shè)計第8章 網(wǎng)絡(luò)層IPSec身份認證和加密方案第9章 傳輸層TLS/SSL身份認證和加密方案第10章 應(yīng)用層Web服務(wù)器的綜合安全系統(tǒng)設(shè)計與配置第11章 WLAN網(wǎng)絡(luò)綜合安全系統(tǒng)設(shè)計與配置后記

章節(jié)摘錄

　　“容災(zāi)”，簡單地說就是盡量減少或避免因災(zāi)難的發(fā)生而造成的損失。它是一個系統(tǒng)工程，備份與恢復就是這一系統(tǒng)工程的兩個重要組成部分。除此之外，還有許多具體的工作，如備份媒體的保管、存放、容災(zāi)演練等，都是容災(zāi)中要做的。從廣義上講，任何有助于提高系統(tǒng)可用性的努力，都可以被稱為容災(zāi)?！　∫獙崿F(xiàn)容災(zāi)，首先要了解我們的“敵人”——災(zāi)難。哪些事件可以定義為災(zāi)難呢？典型的災(zāi)難事件是自然災(zāi)難，如火災(zāi)、洪水、地震、颶風、龍卷風、臺風等，還有原先提供給業(yè)務(wù)運營所需的服務(wù)中斷，如設(shè)備故障、軟件錯誤、電信網(wǎng)絡(luò)中斷和電力故障等。此外，人為的因素往往也會釀成大禍，如操作員錯誤、破壞、植入有害代碼和恐怖襲擊?，F(xiàn)階段，由于我國很多行業(yè)正處在高速發(fā)展的階段，很多生產(chǎn)流程和制度仍不完善，加之缺乏經(jīng)驗，這方面的損失屢見不鮮。對此，我們需要做到兩點：一是建立切實可行的應(yīng)急機制，這主要包含一套基于充分且清楚地將風險予以分類定義的業(yè)務(wù)持續(xù)計劃；二是在危機突然降臨時，此計劃能被有效地執(zhí)行?！　膹V義上講，任何有助于提高系統(tǒng)可用性的努力，都可稱之為容災(zāi)。本地容災(zāi)，就是主機集群，當某臺主機出現(xiàn)故障，不能正常工作時，其他的主機可以替代該主機，繼續(xù)進行正常的工作。平時講到的容災(zāi)，尤其是值得重視的容災(zāi)，一般都是遠程容災(zāi)。　　遠程容災(zāi)可以這樣理解：在各種企業(yè)的IT系統(tǒng)中，必然有一部分（尤其是核心部分）是非常重要的，我們叫它生產(chǎn)中心。人們往往給生產(chǎn)中心配備一個備份中心，該備份中心是遠程的，并且在生產(chǎn)中心的內(nèi)部，已經(jīng)實施了各種各樣的數(shù)據(jù)保護。不管怎么保護，當火災(zāi)、地震這種災(zāi)難發(fā)生時，一旦生產(chǎn)中心癱瘓了，備份中心會接管生產(chǎn)，繼續(xù)提供網(wǎng)絡(luò)服務(wù)。比如全國鐵路調(diào)度中心的網(wǎng)絡(luò)系統(tǒng)，當發(fā)生火災(zāi)、地震等災(zāi)難性事件時，該系統(tǒng)仍要保證正常運行，不能因為調(diào)度中心出現(xiàn)災(zāi)難性事件，使全國的鐵路處于癱瘓狀態(tài)，讓災(zāi)難不合理地蔓延。　　除了詳盡的容災(zāi)計劃外，還需要合理的IT系統(tǒng)架構(gòu)來確保企業(yè)的容災(zāi)計劃得以實現(xiàn)。對于IT系統(tǒng)而言，在技術(shù)層面上，容災(zāi)需要考慮以下幾個方面。

編輯推薦

　　作者王達中國知名網(wǎng)絡(luò)技術(shù)IT作家，繼暢銷書“網(wǎng)管員必讀”系列之后又一力作，一本真正全局意義上的安全系統(tǒng)設(shè)計類圖書，專業(yè)的一手技術(shù)資料，龐大的讀者服務(wù)體系。

圖書封面

評論、評分、閱讀與下載

---

    網(wǎng)絡(luò)工程師必讀 PDF格式下載

---