信息安全產(chǎn)品配置與應(yīng)用

前言

隨著互聯(lián)網(wǎng)在中國的快速發(fā)展與普及，人們的生產(chǎn)、工作、學(xué)習(xí)和生活方式已經(jīng)開始并將繼續(xù)發(fā)生深刻的變化?；ヂ?lián)網(wǎng)在促進(jìn)經(jīng)濟(jì)結(jié)構(gòu)調(diào)整、經(jīng)濟(jì)發(fā)展方式轉(zhuǎn)變等方面發(fā)揮著越來越重要的作用，目前中國已成為世界上互聯(lián)網(wǎng)使用人口最多的國家。然而，互聯(lián)網(wǎng)安全問題日益突出，成為各國普遍關(guān)切的問題，中國也面臨著嚴(yán)重的網(wǎng)絡(luò)安全威脅。近幾年來，隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)環(huán)境也更加復(fù)雜化。計算機(jī)網(wǎng)絡(luò)安全威脅的日益嚴(yán)重，如病毒和蠕蟲不斷擴(kuò)散、黑客活動頻繁、垃圾郵件猛增都成為了目前困擾網(wǎng)絡(luò)信息安全的較大網(wǎng)絡(luò)威脅。譬如，2009年新的安全威脅Conficker（飛客）的出現(xiàn)，打破了全球500萬臺電腦的感染記錄，這些都迫使計算機(jī)用戶不斷地提高防范意識，并對信息安全產(chǎn)品提出了更高需求。目前，信息安全最基本的防護(hù)手段是構(gòu)建完善的信息安全防御平臺，以防火墻、入侵檢測產(chǎn)品為代表的信息安全產(chǎn)品構(gòu)建綜合防御體系，構(gòu)建保障信息安全的基礎(chǔ)屏障。信息安全產(chǎn)品已經(jīng)成為政府、金融和其他企事業(yè)單位信息化推進(jìn)的基本硬件保障，市場對信息安全產(chǎn)品的需求日益增長。與此同時，信息安全廠商、信息系統(tǒng)集成商和信息系統(tǒng)運(yùn)營商對信息安全產(chǎn)品技術(shù)支持和技術(shù)服務(wù)的專業(yè)人員需求也與日俱增、日趨迫切。重慶電子工程職業(yè)學(xué)院信息安全技術(shù)專業(yè)，是國家示范院校建設(shè)中唯一一個信息安全類國家級重點建設(shè)專業(yè)，該專業(yè)自2003年開辦以來，就開設(shè)了“信息安全產(chǎn)品配置與應(yīng)用”課程，目前該課程已經(jīng)獲得重慶市市級精品課稱號。我們根據(jù)多年的教學(xué)實踐，與天融信公司合作，編寫了該專業(yè)的核心技術(shù)教材，旨在更有效地培養(yǎng)信息安全產(chǎn)品工程師（產(chǎn)品銷售工程師、產(chǎn)品維護(hù)工程師和產(chǎn)品技術(shù)支持工程師）。作為一本專注于信息安全產(chǎn)品的教材，本書詳細(xì)介紹了信息安全領(lǐng)域常用產(chǎn)品的配置及應(yīng)用和產(chǎn)品部署方案。本書共分8章，第1章講述防火墻產(chǎn)品配置與應(yīng)用；第2章講述VPN產(chǎn)品配置與應(yīng)用；第3章講述入侵檢測產(chǎn)品配置與應(yīng)用；第4章講述網(wǎng)絡(luò)隔離產(chǎn)品配置與應(yīng)用；第5章講述安全審計及上網(wǎng)行為管理產(chǎn)品配置與應(yīng)用；第6章講述網(wǎng)絡(luò)存儲設(shè)備配置及應(yīng)用；第7章講述數(shù)據(jù)備份軟件配置及應(yīng)用；第8章講述防病毒過濾網(wǎng)關(guān)系統(tǒng)配置及應(yīng)用。本書的寫作融入了作者豐富的教學(xué)和企業(yè)實踐經(jīng)驗，內(nèi)容安排合理，每個章節(jié)都專注于特定主題，講解通俗，案例豐富，力爭讓讀者能夠在最短的時間內(nèi)掌握核心安全設(shè)備的基本操作與應(yīng)用技巧、快速入門與提高。本書第1章、第5章和第8章由武春嶺編寫，第2章由路亞編寫，第3章、第4章由魯先志編寫，第6章、第7章由李賀華編寫。為了方便教師教學(xué)，本書配有電子教學(xué)課件，有此需要的教師可登錄華信教育資源網(wǎng)免費(fèi)注冊后進(jìn)行下載，有問題時可在網(wǎng)站留言板留言或與電子工業(yè)出版社聯(lián)系。本書在編寫過程中，得到了電子工業(yè)出版社及天融信公司成都分公司周非副總經(jīng)理和魏振國工程師的大力支持和幫助。在此一并致以衷心的感謝！由于編者水平有限，加上時間倉促，書中難免有不當(dāng)之處，敬請各位同行與讀者批評指正，以便在今后的修訂中不斷改進(jìn)。

內(nèi)容概要

本書是一本專注于信息安全產(chǎn)品的教材，內(nèi)容涵蓋了防火墻、VPN、入侵檢測、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)存儲、數(shù)據(jù)備份、防病毒和安全審計及上網(wǎng)行為管理等常用信息安全設(shè)備，詳細(xì)介紹了它們各自的功能、工作原理、配置，以及應(yīng)用部署方案。    本書的寫作融入了作者豐富的教學(xué)和工程實踐經(jīng)驗，采用項目導(dǎo)向、任務(wù)驅(qū)動，基于典型工作任務(wù)組織教學(xué)內(nèi)容，每個章節(jié)都專注于特定的主題，講解通俗，案例豐富，力爭讓讀者能夠在最短的時間內(nèi)掌握核心安全設(shè)備的基本操作與應(yīng)用技能、快速入門與提高。    本書不僅可以作為高職、高專計算機(jī)信息類專業(yè)學(xué)生的教材，也可作為企事業(yè)單位網(wǎng)絡(luò)信息系統(tǒng)管理人員的技術(shù)參考手冊，尤其適合想在短期內(nèi)快速掌握安全產(chǎn)品應(yīng)用與部署的用戶。

書籍目錄

第1章  防火墻產(chǎn)品配置與應(yīng)用  學(xué)習(xí)目標(biāo)  引導(dǎo)案例  相關(guān)知識  1.1  防火墻概述    1.1.1  什么是防火墻    1.1.2  防火墻的功能    1.1.3  防火墻的局限性  1.2  防火墻的體系結(jié)構(gòu)    1.2.1  防火墻系統(tǒng)的構(gòu)成    1.2.2  防火墻的類型與實現(xiàn)  1.3  防火墻的關(guān)鍵技術(shù)    1.3.1  訪問控制列表ACL    1.3.2  代理技術(shù)Proxy    1.3.3  網(wǎng)絡(luò)地址轉(zhuǎn)換NAT    1.3.4  虛擬專用網(wǎng)VPN  1.4  防火墻性能與部署    1.4.1  常見的防火墻產(chǎn)品    1.4.2  防火墻關(guān)鍵性能指標(biāo)    1.4.3  防火墻部署方式  學(xué)習(xí)項目  1.5  項目1：防火墻產(chǎn)品部署    1.5.1  任務(wù)1：需求分析    1.5.2  任務(wù)2：方案設(shè)計  1.6  項目2：防火墻設(shè)備配置    1.6.1  任務(wù)1：防火墻基本配置    1.6.2  任務(wù)2：防火墻的配置策略設(shè)計    1.6.3  任務(wù)3：防火墻配置    1.6.4  任務(wù)4：上線測試  練習(xí)題第2章  VPN產(chǎn)品配置與應(yīng)用  學(xué)習(xí)目標(biāo)  引導(dǎo)案例  相關(guān)知識  2.1  VPN產(chǎn)品概述    2.1.1  VPN的定義和特點    2.1.2  VPN關(guān)鍵技術(shù)    2.1.3  VPN的分類  2.2  VPN隧道技術(shù)    2.2.1  點到點隧道協(xié)議（PPTP）    2.2.2  第二層轉(zhuǎn)發(fā)協(xié)議（L2F）    2.2.3  第二層隧道協(xié)議（L2TP）    2.2.4  GRE協(xié)議    2.2.5  IP安全協(xié)議（IPSec）    2.2.6  SSL協(xié)議    2.2.7  多協(xié)議標(biāo)記交換（MPLS）  2.3  VPN性能與部署    2.3.1  VPN關(guān)鍵性能指標(biāo)    2.3.2  VPN部署方式  學(xué)習(xí)項目  2.4  項目1：VPN產(chǎn)品部署    2.4.1  任務(wù)1：需求分析    2.4.2  任務(wù)2：方案設(shè)計  2.5  項目2：VPN設(shè)備配置    2.5.1  任務(wù)1：VPN基本配置方法    2.5.2  任務(wù)2：VPN認(rèn)證方法    2.5.3  任務(wù)3：客戶端初始化配置  練習(xí)題第3章  入侵檢測產(chǎn)品配置與應(yīng)用  學(xué)習(xí)目標(biāo)  引導(dǎo)案例  相關(guān)知識  3.1  入侵檢測概述    3.1.1  入侵的定義    3.1.2  主機(jī)審計—入侵檢測的起點    3.1.3  入侵檢測的概念    3.1.4  入侵檢測技術(shù)的發(fā)展歷史  3.2  入侵檢測系統(tǒng)的技術(shù)實現(xiàn)    3.2.1  入侵檢測系統(tǒng)的功能    3.2.2  入侵檢測系統(tǒng)的工作原理    3.2.3  入侵檢測系統(tǒng)的分類  3.3  入侵檢測系統(tǒng)的性能與部署    3.3.1  入侵檢測系統(tǒng)的性能指標(biāo)    3.3.2  入侵檢測系統(tǒng)的瓶頸和解決方法    3.3.3  入侵檢測系統(tǒng)部署方式    3.3.4  入侵檢測產(chǎn)品介紹  3.4  入侵檢測標(biāo)準(zhǔn)與發(fā)展方向    3.4.1  入侵檢測的標(biāo)準(zhǔn)化    3.4.2  入侵檢測系統(tǒng)與防火墻的聯(lián)動    3.4.3  入侵防御系統(tǒng)（IPS）簡介  學(xué)習(xí)項目  3.5  項目1：入侵檢測產(chǎn)品部署    3.5.1  任務(wù)1：需求分析    3.5.2  任務(wù)2：方案設(shè)計  3.6  項目2：入侵檢測設(shè)備配置    3.6.1  任務(wù)1：入侵檢測基本配置    3.6.2  任務(wù)2：入侵檢測客戶端安裝    3.6.3  任務(wù)3：入侵檢測規(guī)則配置    3.6.4  任務(wù)4：入侵檢測測試  練習(xí)題第4章  網(wǎng)絡(luò)隔離產(chǎn)品配置與應(yīng)用  學(xué)習(xí)目標(biāo)  引導(dǎo)案例  相關(guān)知識  4.1  網(wǎng)絡(luò)隔離技術(shù)的起源和現(xiàn)狀    4.1.1  網(wǎng)絡(luò)隔離技術(shù)的概念    4.1.2  網(wǎng)絡(luò)隔離產(chǎn)品的發(fā)展與現(xiàn)狀  4.2  網(wǎng)絡(luò)隔離的工作原理及關(guān)鍵技術(shù)    4.2.1  網(wǎng)絡(luò)隔離要解決的問題    4.2.2  網(wǎng)絡(luò)隔離的技術(shù)原理    4.2.3  網(wǎng)絡(luò)隔離的技術(shù)路線    4.2.4  網(wǎng)絡(luò)隔離技術(shù)的數(shù)據(jù)交換原理  4.3  網(wǎng)閘設(shè)備及技術(shù)實現(xiàn)    4.3.1  網(wǎng)閘的概念    4.3.2  網(wǎng)閘的技術(shù)特征    4.3.3  物理層和數(shù)據(jù)鏈路層的斷開技術(shù)    4.3.4  基于SCSI的網(wǎng)閘技術(shù)    4.3.5  基于總線的網(wǎng)閘技術(shù)    4.3.6  基于單向傳輸?shù)木W(wǎng)閘技術(shù)    4.3.7  TCP/IP 連接和應(yīng)用連接的斷開  4.4  基于網(wǎng)閘的安全解決方案    4.4.1  國內(nèi)外網(wǎng)閘產(chǎn)品介紹    4.4.2  網(wǎng)閘解決方案的結(jié)構(gòu)    4.4.3  網(wǎng)閘解決方案的特點  學(xué)習(xí)項目  4.5  項目1：網(wǎng)絡(luò)隔離產(chǎn)品部署    4.5.1  任務(wù)1：需求分析    4.5.2  任務(wù)2：方案設(shè)計  4.6  項目2：網(wǎng)絡(luò)隔離設(shè)備配置    4.6.1  任務(wù)1：網(wǎng)閘的初始配置    4.6.2  任務(wù)2：網(wǎng)閘用戶設(shè)置    4.6.3  任務(wù)3：網(wǎng)閘的業(yè)務(wù)規(guī)則設(shè)置  練習(xí)題第5章  安全審計及上網(wǎng)行為管理產(chǎn)品配置與應(yīng)用  學(xué)習(xí)目標(biāo)  引導(dǎo)案例  相關(guān)知識  5.1  安全審計及上網(wǎng)行為管理系統(tǒng)概述    5.1.1  安全審計及上網(wǎng)行為管理系統(tǒng)作用    5.1.2  安全審計及上網(wǎng)行為管理系統(tǒng)關(guān)鍵技術(shù)    5.1.3  關(guān)鍵性能指標(biāo)  5.2  安全審計及上網(wǎng)行為管理系統(tǒng)部署    5.2.1  常見的安全審計及上網(wǎng)行為管理產(chǎn)品    5.2.2  部署方式  5.3  知識擴(kuò)展    5.3.1  網(wǎng)頁過濾技術(shù)討論    5.3.2  我國對互聯(lián)網(wǎng)應(yīng)用的法律法規(guī)要求  學(xué)習(xí)項目  5.4  項目1：安全審計及上網(wǎng)行為管理產(chǎn)品部署    5.4.1  任務(wù)1：需求分析    5.4.2  任務(wù)2：方案設(shè)計  5.5  項目2：安全審計及上網(wǎng)行為管理產(chǎn)品配置    5.5.1  任務(wù)1：基本配置方法    5.5.2  任務(wù)2：設(shè)備上線部署方法    5.5.3  任務(wù)3：網(wǎng)絡(luò)應(yīng)用安全配置策略設(shè)計    5.5.4  任務(wù)4：安全審計與帶寬控制配置  練習(xí)題第6章  網(wǎng)絡(luò)存儲設(shè)備配置及應(yīng)用  學(xué)習(xí)目標(biāo)  引導(dǎo)案例  相關(guān)知識  6.1  網(wǎng)絡(luò)存儲系統(tǒng)    6.1.1  網(wǎng)絡(luò)存儲概述    6.1.2  網(wǎng)絡(luò)存儲的結(jié)構(gòu)  6.2  虛擬存儲與分級存儲    6.2.1  虛擬存儲技術(shù)    6.2.2  分級存儲技術(shù)  6.3  常用存儲設(shè)備介紹    6.3.1  磁盤及磁盤陣列    6.3.2  磁帶機(jī)/庫    6.3.3  光纖通道交換機(jī)  學(xué)習(xí)項目  6.4  項目1：存儲系統(tǒng)方案設(shè)計    6.4.1  任務(wù)1：需求分析    6.4.2  任務(wù)2：方案設(shè)計  6.5  項目2：智能存儲設(shè)備的配置    6.5.1  任務(wù)1：登錄RG-iS2000D    6.5.2  任務(wù)2：配置RG-iS2000D  練習(xí)題第7章  數(shù)據(jù)備份軟件配置及應(yīng)用  學(xué)習(xí)目標(biāo)  引導(dǎo)案例  相關(guān)知識  7.1  數(shù)據(jù)備份概述    7.1.1  數(shù)據(jù)備份的定義和作用    7.1.2  數(shù)據(jù)面臨的安全威脅  7.2  數(shù)據(jù)備份的系統(tǒng)架構(gòu)    7.2.1  備份系統(tǒng)的架構(gòu)    7.2.2  備份系統(tǒng)的組成    7.2.3  備份系統(tǒng)的選擇  7.3  數(shù)據(jù)備份的方式和策略    7.3.1  數(shù)據(jù)備份的方式    7.3.2  數(shù)據(jù)備份的原則    7.3.3  數(shù)據(jù)備份的策略  7.4  數(shù)據(jù)備份軟件介紹    7.4.1  Veritas公司產(chǎn)品    7.4.2  Legato公司的產(chǎn)品    7.4.3  IBM公司的產(chǎn)品    7.4.4  CA公司的產(chǎn)品  學(xué)習(xí)項目  7.5  項目1：數(shù)據(jù)備份軟件的部署    7.5.1  任務(wù)1：需求分析    7.5.2  任務(wù)2：方案設(shè)計  7.6  項目2：數(shù)據(jù)備份軟件的配置    7.6.1  任務(wù)1：安裝NetBackup服務(wù)器軟件    7.6.2  任務(wù)2：配置NetBackup服務(wù)器軟件  練習(xí)題第8章  防病毒過濾網(wǎng)關(guān)系統(tǒng)配置及應(yīng)用  學(xué)習(xí)目標(biāo)  引導(dǎo)案例  相關(guān)知識  8.1  計算機(jī)病毒技術(shù)概述    8.1.1  計算機(jī)病毒分類    8.1.2  計算機(jī)病毒特征    8.1.3  計算機(jī)病毒的來源與傳播途徑  8.2  防病毒技術(shù)概述    8.2.1  防病毒產(chǎn)品的分類    8.2.2  防病毒網(wǎng)關(guān)功能    8.2.3  防病毒網(wǎng)關(guān)主流技術(shù)    8.2.4  防病毒網(wǎng)關(guān)的局限性  8.3  防病毒網(wǎng)關(guān)性能與部署    8.3.1  常見的防病毒網(wǎng)關(guān)產(chǎn)品    8.3.2  防病毒網(wǎng)關(guān)關(guān)鍵性能指標(biāo)    8.3.3  防病毒網(wǎng)關(guān)部署方式  學(xué)習(xí)項目  8.4  項目1：防病毒過濾網(wǎng)關(guān)產(chǎn)品部署    8.4.1  任務(wù)1：需求分析    8.4.2  任務(wù)2：方案設(shè)計  8.5  項目2：防病毒設(shè)備配置    8.5.1  任務(wù)1：學(xué)習(xí)防病毒網(wǎng)關(guān)基本配置方法    8.5.2  任務(wù)2：防病毒網(wǎng)關(guān)的配置實訓(xùn)練習(xí)題

章節(jié)摘錄

插圖：（3）無法控制局域網(wǎng)用戶對互聯(lián)網(wǎng)及對服務(wù)器的訪問，網(wǎng)絡(luò)訪問均不在受控范圍內(nèi)。根據(jù)上述情況，該企業(yè)的網(wǎng)絡(luò)管理員找到了一家專業(yè)的網(wǎng)絡(luò)安全公司尋求幫助，并提出以下要求：（1）設(shè)計一個針對本企業(yè)目前網(wǎng)絡(luò)及應(yīng)用適用的網(wǎng)絡(luò)安全方案；（2）方案可以實現(xiàn)對互聯(lián)網(wǎng)邊界的訪問控制與保護(hù)，可以抵御來自互聯(lián)網(wǎng)的攻擊；（3）方案可以對內(nèi)部服務(wù)器進(jìn)行獨(dú)立的保護(hù)；（4）根據(jù)需要應(yīng)該可以進(jìn)一步實現(xiàn)對內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)的控制；（5）配備的產(chǎn)品應(yīng)具備高擴(kuò)展能力，可以在適當(dāng)時候增加其他需要的功能模塊，如VPN等；（6）配備的產(chǎn)品應(yīng)采用最新技術(shù)，產(chǎn)品應(yīng)具有延續(xù)性，至少保證5年的產(chǎn)品升級延續(xù)。根據(jù)上述情況，該專業(yè)公司（為方便說明問題，以下以第一人稱角度進(jìn)行描述）計劃為此客戶設(shè)計一個切實可行并具備一定擴(kuò)展能力的網(wǎng)絡(luò)安全方案。1.5.2 任務(wù)2：方案設(shè)計我們在接到客戶的需求并進(jìn)行分析后，首先發(fā)現(xiàn)客戶網(wǎng)絡(luò)的安全區(qū)域（SSN）劃分不夠明確，為此，在方案中首先對客戶的網(wǎng)絡(luò)安全區(qū)域進(jìn)行了設(shè)計。區(qū)域劃分是網(wǎng)絡(luò)安全規(guī)劃的首要任務(wù)，安全區(qū)域劃分除了可以實現(xiàn)對重點區(qū)域的重點保護(hù)外，還可以進(jìn)一步對網(wǎng)絡(luò)及應(yīng)用的安全邊界進(jìn)行明確。根據(jù)對網(wǎng)絡(luò)及應(yīng)用的了解，我們在方案中將這個客戶的網(wǎng)絡(luò)劃分為3個邏輯區(qū)域，區(qū)域情況分別如下：服務(wù)器區(qū)域：該規(guī)劃區(qū)域部署的是該單位重要的ERP、數(shù)據(jù)庫、OA等業(yè)務(wù)系統(tǒng)，對中心的日常辦公有著極其重要的意義，為此作為一個獨(dú)立的安全區(qū)域進(jìn)行獨(dú)立的安全保護(hù)。內(nèi)網(wǎng)辦公區(qū)域：該區(qū)域為日常辦公計算機(jī)的一個區(qū)域，該區(qū)域下大約有100臺計算機(jī)，其中30臺計算機(jī)可以訪問互聯(lián)網(wǎng)，其他計算機(jī)不運(yùn)行訪問互聯(lián)網(wǎng)，但可以訪問服務(wù)器區(qū)域的部分應(yīng)用。該區(qū)域計算機(jī)均為接入終端，安全性要求較低，但該區(qū)域計算機(jī)因為數(shù)量大，分布不如服務(wù)器區(qū)域那么集中，維護(hù)和管理相對煩瑣，故該區(qū)域計算機(jī)出現(xiàn)故障、中病毒的概率較大，為避免影響到其他區(qū)域，所以也作為一個獨(dú)立的安全區(qū)域進(jìn)行接入控制?；ヂ?lián)網(wǎng)區(qū)域：該區(qū)域是公眾區(qū)域，基本上大部分的安全威脅均是來自這個區(qū)域。同時，以后可能涉及的移動辦公及可能需要的和集團(tuán)的互連，均需要通過互聯(lián)網(wǎng)區(qū)域。在進(jìn)行上述區(qū)域劃分后，我們?yōu)榭蛻籼峁┝诉M(jìn)一步的網(wǎng)絡(luò)規(guī)劃建議如下：雖然目前客戶內(nèi)部計算機(jī)數(shù)量只有百臺左右，但若網(wǎng)絡(luò)規(guī)劃不合理，即使內(nèi)部網(wǎng)絡(luò)采用千兆網(wǎng)絡(luò)，也可能出現(xiàn)網(wǎng)速慢，以及病毒極易傳播的問題，為此我們建議如下：（1）在核心交換機(jī)上進(jìn)行Ⅵ,AN劃分，將服務(wù)器單獨(dú)作為一個VLAN；（2）將接入計算機(jī)按照重要性或部門分為多個VLAN；（3）各個VLAN間的路由及基本的ACL由核心交換機(jī)完成，如果核心交換機(jī)功能有限，可以使用部署在邊界的防火墻實現(xiàn)VLAN間的路由和訪問控制，但這樣需要選擇性能相對較高的防火墻設(shè)備。網(wǎng)絡(luò)IP地址規(guī)劃，不建議使用公網(wǎng)地址，建議根據(jù)今后一段時間的擴(kuò)展需要，最好將VLAN內(nèi)地址分在一個C類私有網(wǎng)段，并且建議均使用固定IP，對于網(wǎng)絡(luò)維護(hù)及故障查找較DHCP方式方便。

編輯推薦

《信息安全產(chǎn)品配置與應(yīng)用》：以防火墻、入侵檢測等核心信息安全產(chǎn)品應(yīng)用為載體，培養(yǎng)學(xué)生信息安全綜合防御能力，采用項目導(dǎo)向、任務(wù)驅(qū)動，基于典型工作任務(wù)組織教學(xué)內(nèi)容。

圖書封面

評論、評分、閱讀與下載

---

    信息安全產(chǎn)品配置與應(yīng)用 PDF格式下載

---