局域網(wǎng)安全管理實踐教程

前言

隨著21世紀的到來，人類已步入信息社會，信息產(chǎn)業(yè)正成為全球經(jīng)濟發(fā)展的主導產(chǎn)業(yè)。計算機科學與技術(shù)在信息產(chǎn)業(yè)中占據(jù)了重要的地位，隨著互聯(lián)網(wǎng)技術(shù)的普及和推廣，網(wǎng)絡(luò)技術(shù)更是信息社會發(fā)展的推動力，人們?nèi)粘W習、生活和工作都越來越依賴于網(wǎng)絡(luò)，因此關(guān)于信息技術(shù)、信息安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)正發(fā)展成為越來越重要的學科?；ヂ?lián)網(wǎng)技術(shù)的發(fā)展改變了我們的生活，今天信息安全內(nèi)涵已發(fā)生了根本變化。安全已從一般性的安全防衛(wèi)，變成了一種非常普通的安全防范；從一種研究型的安全學科，變成了無處不在，影響人們學習、生活和工作息息相關(guān)的安全技術(shù)。技術(shù)的普及也推動了社會對人才的需求，因此建立起一套完整的網(wǎng)絡(luò)安全課程教學體系，提供體系化的安全專業(yè)人才培養(yǎng)計劃，培養(yǎng)一批精通安全技術(shù)的專業(yè)人才隊伍，對目前高校計算機網(wǎng)絡(luò)安全方向?qū)I(yè)人才培養(yǎng)，顯得尤為重要。1. 關(guān)于教材開發(fā)的背景結(jié)合國家“十二五”本科計算機專業(yè)課程規(guī)劃體系，以及深入領(lǐng)會教育部計算機科學與技術(shù)教學指導委員會編制的《計算機科學與技術(shù)專業(yè)規(guī)范的知識體系和課程大綱》文件精神，為及時反映目前網(wǎng)絡(luò)安全專業(yè)學科發(fā)展動態(tài)，創(chuàng)新教材編輯委員會組織編寫了本書。希望編撰的網(wǎng)絡(luò)安全知識內(nèi)容，既重視理論、方法和標準的介紹，又兼顧技術(shù)、系統(tǒng)和應用分析，在內(nèi)容結(jié)構(gòu)和知識點布局上還有所創(chuàng)新。此外，隨著互聯(lián)網(wǎng)技術(shù)的普及和推廣，日常學習和工作依賴于網(wǎng)絡(luò)的比重增加，計算機網(wǎng)絡(luò)安全的實施和防范技術(shù)，成為目前最為矚目的學習內(nèi)容。根據(jù)上述思路，創(chuàng)新網(wǎng)絡(luò)教材編輯委員會選擇網(wǎng)絡(luò)安全技術(shù)在生活中具體應用作為教材開發(fā)主線，規(guī)劃出面向?qū)嶋H工程案例，可操作、可應用、可實施的網(wǎng)絡(luò)安全技術(shù)教程。希望規(guī)劃的安全技術(shù)直觀、形象、具體、可實施，選編和規(guī)劃的安全知識具有專業(yè)化、體系化、全面化特征，能體現(xiàn)和代表當前最新的網(wǎng)絡(luò)安全技術(shù)發(fā)展方向。2. 關(guān)于教材開發(fā)的指導思想通過調(diào)查目前市場發(fā)現(xiàn)，指導計算機網(wǎng)絡(luò)安全實踐教學內(nèi)容的教材非常缺乏。翻閱市場上現(xiàn)存、數(shù)量有限的安全類教材，這些教材品種都偏重于網(wǎng)絡(luò)安全理論詮釋，而針對實際網(wǎng)絡(luò)安全工程實施、可在課堂中動手實施的安全類教材甚少。正是基于此，創(chuàng)新網(wǎng)絡(luò)教材編輯委員會組織國內(nèi)院校一線教師，聯(lián)合來自廠商專業(yè)工程師開發(fā)了這本覆蓋基礎(chǔ)網(wǎng)絡(luò)安全技術(shù)的專業(yè)教程，希望著重培養(yǎng)學生對網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)的興趣。和同類以網(wǎng)絡(luò)安全技術(shù)為研究方向的專業(yè)書籍相比，本書更注重實際安全問題的解決。全書以安全技術(shù)應用為主線，以培養(yǎng)學生安全問題解決能力為目標，以加強實際安全應用和技能鍛煉為根本，滿足學校安全類課程實驗教學需要。因此，全書在開發(fā)過程中，強化實踐教學能力的培養(yǎng)，著重講授生活中的網(wǎng)絡(luò)安全問題，詮釋安全策略配置，最后依據(jù)學校提供的安全實踐教學平臺，直觀、形象地解釋安全技術(shù)，幫助學生理解抽象的網(wǎng)絡(luò)安全專業(yè)理論。前言前言 3. 關(guān)于教材開發(fā)的內(nèi)容本書是針對高等院校計算機、通信工程等相關(guān)專業(yè)，在學習基礎(chǔ)網(wǎng)絡(luò)安全理論時，配套開發(fā)的網(wǎng)絡(luò)安全實驗教程。全書詳細地介紹了組建局域網(wǎng)安全過程中使用到的多項安全產(chǎn)品及其相關(guān)技術(shù)，涉及了路由、交換、無線局域網(wǎng)等多個網(wǎng)絡(luò)安全實驗，以彌補課堂理論學習中實踐教學的不足。本書按照局域網(wǎng)組建過程中應用到的安全產(chǎn)品的類型，詳細介紹組網(wǎng)過程中使用到的安全產(chǎn)品，遇到的安全問題，選擇的安全技術(shù)，包括路由安全、設(shè)備安全、訪問控制安全、端口安全、接入安全、無線局域網(wǎng)安全等實驗操作及實施過程。全書對這些安全產(chǎn)品的基本配置、基本界面、功能配置都給予詳細講解，來幫助讀者深入了解網(wǎng)絡(luò)安全項目的設(shè)計與實施。通過對全部內(nèi)容的學習，幫助讀者更牢固地掌握安全技術(shù)、實施方法。全書包括了近四十多個難度不同的網(wǎng)絡(luò)安全實驗內(nèi)容，適合學生循序漸進地學習?？勺鳛楦叩仍盒Ｓ嬎銠C、通信工程等相關(guān)專業(yè)本科生和研究生計算機網(wǎng)絡(luò)工程課程的實驗教材。全書的實驗設(shè)計和安排，以實際工程項目的需求為依據(jù)，旨在加深學生對網(wǎng)絡(luò)安全工程所涉及的基礎(chǔ)理論知識的理解，提高學生網(wǎng)絡(luò)安全工程相關(guān)的動手實踐能力、分析問題和解決問題的能力。4. 關(guān)于教材使用的方法通過全書提供的近三十多個安全實驗的訓練，能夠幫助學生熟練掌握網(wǎng)絡(luò)安全工程師所需要的基本實踐技能。所有實驗操作都以日常安全需求為主線串接知識，以問題解決過程作為核心，因此教師在使用本書時，可以作為相關(guān)安全理論學習完成之后的實驗補充，幫助學生加強對抽象安全理論的直觀理解。也可以根據(jù)教學的實際情況，從中選擇部分實驗教學內(nèi)容，要求學生在學完理論之后，完成適當數(shù)量和難度的實驗以補充理論詮釋知識的不足。由于書中全部內(nèi)容都來自實際工程案例的總結(jié)，本書還可作為就業(yè)前實習用書，通過對一定數(shù)量的安全工程案例學習，積累實際的安全施工經(jīng)驗，以增強安全類工程施工的能力和故障排除的能力。5. 關(guān)于課程的環(huán)境安排本書覆蓋計算機網(wǎng)絡(luò)安全規(guī)劃、組建和配置中涉及到的主流安全設(shè)備配置、管理技術(shù)，書中所有項目都來自于多年積累的企業(yè)工程案例。經(jīng)過提煉，按照再現(xiàn)企業(yè)工程項目的組織方式進行串接，每個工程項目都詳細介紹了工程名稱、工程背景、技術(shù)原理、工程設(shè)備、工程拓撲、工程規(guī)劃、工作過程和結(jié)果驗證等多個環(huán)節(jié)，循序漸進地展現(xiàn)企業(yè)工程項目施工過程，并把這些工程在網(wǎng)絡(luò)實驗室中搭建出來，積累工作中的施工經(jīng)驗。為順利實施本教程，除需要對網(wǎng)絡(luò)技術(shù)有學習的熱情之外，還需要具備基本的計算機、網(wǎng)絡(luò)、安全基礎(chǔ)知識。這些基礎(chǔ)知識為學習者提供一個良好的基礎(chǔ)，幫助理解本書中的技術(shù)原理，為網(wǎng)絡(luò)技術(shù)的進階提供良好幫助。為很好地實施這些安全實驗，還需要為本課程提供一個可實施交換、路由、無線和安全實驗的網(wǎng)絡(luò)環(huán)境，再現(xiàn)企業(yè)網(wǎng)絡(luò)工程項目。這種課程工作環(huán)境包括：一個可以容納40人左右的網(wǎng)絡(luò)實驗室，不少于4組實驗臺。每組實驗臺中包括的組網(wǎng)實驗設(shè)備有二層交換機、三層交換機、模塊化路由器、無線局域網(wǎng)接入設(shè)備、無線網(wǎng)卡、網(wǎng)絡(luò)防火墻、測試計算機和若干根網(wǎng)絡(luò)連接線（或制作工具）.雖然本書選擇的工程項目來自廠商案例，使用的網(wǎng)絡(luò)實驗設(shè)備也是來自廠商，但本課程在規(guī)劃中，力求全部的知識詮釋和技術(shù)選擇都具有通用性，遵循行業(yè)內(nèi)通用技術(shù)標準和行業(yè)規(guī)范。全書中關(guān)于設(shè)備的功能描述、接口標準、技術(shù)詮釋、協(xié)議細節(jié)分析、命令語法解釋、命令格式、操作規(guī)程、圖標和拓撲圖形的繪制方法等，都使用行業(yè)內(nèi)的標準，以加強其通用性。6. 關(guān)于課程的時間安排本書希望通過加強學生對網(wǎng)絡(luò)設(shè)備的實踐操作，積累網(wǎng)絡(luò)工程一線施工經(jīng)驗，讓學生深入理解網(wǎng)絡(luò)安全設(shè)備的配置和運行機制，熟悉網(wǎng)絡(luò)安全項目發(fā)生的場景，掌握施工過程。此外，借助網(wǎng)絡(luò)安全實驗平臺，還可以學習網(wǎng)絡(luò)安全設(shè)計、網(wǎng)絡(luò)攻防和故障性能分析等相關(guān)知識，加強學生對網(wǎng)絡(luò)安全技術(shù)的理解和掌握，培養(yǎng)學生的動手實踐和設(shè)計分析能力，培養(yǎng)創(chuàng)新型人才。本書可作為高等院校計算機科學與技術(shù)、通信工程、計算機網(wǎng)絡(luò)等相關(guān)專業(yè)本科生或研究生學習、研究網(wǎng)絡(luò)安全技術(shù)的實驗教材。其前導性的課程包括計算機網(wǎng)絡(luò)、局域網(wǎng)組建、路由和交換技術(shù)等基礎(chǔ)性網(wǎng)絡(luò)技術(shù)。本課程的安排時間在36~72學時不等，根據(jù)學校具體教學計劃安排來確定，可選擇全部的內(nèi)容作為實驗對象，也可選擇部分內(nèi)容。課程時間一般安排在三年級學期段，學生在學完基礎(chǔ)網(wǎng)絡(luò)技術(shù)后，作為基礎(chǔ)網(wǎng)絡(luò)技術(shù)的提高和補充。此外,本書還可以作為社會上培訓機構(gòu)網(wǎng)絡(luò)安全專業(yè)認證的培訓教材，以及網(wǎng)絡(luò)工程師、系統(tǒng)集成工程師和其他專業(yè)技術(shù)人員用于解決在實際工作中遇到的網(wǎng)絡(luò)安全問題的技術(shù)參考用書。7. 關(guān)于課程資源不同的專業(yè)課程教學都具有其本身的針對性。強化安全技術(shù)專業(yè)實踐能力、強化安全技術(shù)應用和安全技能素養(yǎng)的培養(yǎng)，是本課程區(qū)別于傳統(tǒng)網(wǎng)絡(luò)安全專業(yè)課程特色之一。即使在目前眾多以技能為教學的實驗課程中，本課程也具有其他課程不能比擬的個性。無論是前期為保證課程的有效實施，方便學校的管理，在課程實施環(huán)境（網(wǎng)絡(luò)實驗室）上投入資金，還是在課程規(guī)劃思想上的創(chuàng)新、實驗手段的多樣性上，本課程研發(fā)上投入的人力都具有絕對優(yōu)勢。特別為有效保證課程實驗的有效實施，保證課程教學資源的長期提供：安全案例的積累、最新安全技術(shù)的更新、新技術(shù)的學習、課程學習中的技術(shù)交流和討論等。為此，本課程的研發(fā)隊伍還專門投入人力和物力，為本課程建設(shè)有專門的實踐教學俱樂部資源共享基地，以有效支持課程在實施的過程中資源的更新，疑難問題的解決，課程實施討論等一系列支持和服務(wù)工作。詳細內(nèi)容可以訪問和本課程實施配套的網(wǎng)站http://www.labclub.com.cn，可以獲得更多的資源支持。8. 關(guān)于課程開發(fā)隊伍本書由創(chuàng)新網(wǎng)絡(luò)教材編輯委員會組織來自院系教學一線的專家、教師，聯(lián)合來自廠商專業(yè)工程師隊伍協(xié)作編寫完成。這些工作在各行業(yè)內(nèi)的專家，把自己多年來在各自領(lǐng)域中積累網(wǎng)絡(luò)安全技術(shù)及工作經(jīng)驗，以及對網(wǎng)絡(luò)安全技術(shù)的深刻理解，詮釋成本書的經(jīng)驗積累。本書第一作者王繼龍博士，畢業(yè)于清華大學計算機系，長期在清華大學信息網(wǎng)絡(luò)工程研究中心從事大規(guī)?；ヂ?lián)網(wǎng)的規(guī)劃、建設(shè)、運行和研究工作，歷任研發(fā)部主任、清華大學校園網(wǎng)運行中心主任、第二代中國教育和科研計算機網(wǎng)（CERNET2）運行中心主任，第二代跨歐亞信息網(wǎng)（TEIN2）運行中心主任等職位。其在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)積累，以及多年在組建局域網(wǎng)絡(luò)安全體系，維護局域網(wǎng)安全的寶貴經(jīng)驗，為全書規(guī)劃了安全實驗大綱，提供了技術(shù)方向引導，形成全書安全知識體系，并承擔了部分安全實驗編寫任務(wù)。本書第二作者安淑梅女士畢業(yè)于東北大學，CCIE (#11720) ，高級工程師，熟悉思科網(wǎng)絡(luò)、華為網(wǎng)絡(luò)和銳捷網(wǎng)絡(luò)產(chǎn)品和方案，擁有多家廠商的工作經(jīng)歷，熟悉面對不同的廠商安全設(shè)備，針對應用和實施網(wǎng)絡(luò)安全防范能力。她多年在網(wǎng)絡(luò)一線從事售前工程師、培訓講師的工作背景，參與過多個網(wǎng)絡(luò)工程整網(wǎng)安全的規(guī)劃、實施經(jīng)歷，對全書安全問題需求，再現(xiàn)企業(yè)安全工程實驗的體例和樣式，起到結(jié)構(gòu)形成作用，并承擔了部分實驗編寫任務(wù)。邵丹女士畢業(yè)于吉林大學，現(xiàn)為長春大學計算機科學技術(shù)學院副教授，學院主管教學主任，主攻網(wǎng)絡(luò)集成和局域網(wǎng)安全，有多年豐富的教學經(jīng)驗，對全書按照教材風格形成、方便學生學習、方便課堂教學、在實驗室中有效實施，以及從一線教師實施角度，提供了全書文字內(nèi)容形式和語言風格編輯工作，承擔了部分實驗編寫任務(wù)。王繼龍負責全書項目立項工作，承擔了全書關(guān)于局域網(wǎng)安全體系規(guī)劃以及訪問控制安全和網(wǎng)絡(luò)接入安全章節(jié)的編寫工作。安淑梅女士負責了全書案例整理和無線局域網(wǎng)安全章節(jié)編寫任務(wù)。邵丹女士承擔了端口安全和生成樹安全章節(jié)編寫任務(wù)。此外，在本書的編寫過程中，還得到了其他一線教師、技術(shù)工程師、產(chǎn)品經(jīng)理汪雙頂、李文宇、方洋、張選波、高峽、楊靖、張勇、蔡韡等大力支持。他們積累多年的來自教學和工程一線的工作經(jīng)驗，都為本書的真實性、專業(yè)性以及方便在學校教學、方便實施給予了有力的支持。本書規(guī)劃、編輯的過程歷經(jīng)近三年多的時間，前后經(jīng)過多輪的修訂，牽涉到很多的人力支持，其改革力度較大，遠遠超過前期策劃的估計，加之課程組文字水平有限，錯漏之處在所難免，敬請廣大讀者指正labserv@ruijie.com.cn.創(chuàng)新網(wǎng)絡(luò)教材編委會2009年4月 為幫助學生全面理解安全技術(shù)細節(jié)，建立直觀的網(wǎng)絡(luò)安全印象，本書每一個實驗開始時，都為讀者引入一個來自企業(yè)真實網(wǎng)絡(luò)的安全問題，建立教學、學習環(huán)境，讓讀者深入到網(wǎng)絡(luò)安全的場景環(huán)境中，了解本節(jié)安全知識內(nèi)容，了解對應施工中需要的技術(shù)。

內(nèi)容概要

本書詳細介紹在組建局域網(wǎng)中涉及的多項安全技術(shù)，包括路由網(wǎng)安全技術(shù)、交換網(wǎng)安全技術(shù)和無線局域網(wǎng)安全技術(shù)等實驗內(nèi)容。    全書共分為4個模塊，按照組網(wǎng)中使用到的安全產(chǎn)品，詳細講述了使用這些網(wǎng)絡(luò)安全設(shè)備，解決遇到的基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全、訪問控制安全、端口安全、接入安全和無線局域網(wǎng)安全等各種安全問題。全書對所使用到的相關(guān)安全產(chǎn)品的基本配置、基本界面、功能配置都做了詳細的講解，以幫助讀者熟悉產(chǎn)品的使用，并進一步了解其在工程項目中的實施方法。    本書可作為高等院校計算機、通信工程等相關(guān)專業(yè)本科生或研究生的實驗教材，也可作為網(wǎng)絡(luò)安全專業(yè)認證的培訓教材，還可作為網(wǎng)絡(luò)設(shè)計師、網(wǎng)絡(luò)工程師、系統(tǒng)集成工程師和其他專業(yè)技術(shù)人員解決網(wǎng)絡(luò)安全問題的技術(shù)參考用書。

作者簡介

王繼龍，博士，畢業(yè)于清華大學計算機系。長期在清華大學信息網(wǎng)絡(luò)工程研究中心從事大規(guī)?；ヂ?lián)網(wǎng)的規(guī)劃、建設(shè)、運行和研究工作。歷任研發(fā)部主任、清華大學校園網(wǎng)運行中心主任、第二代中國教育和科研計算機網(wǎng)CERNET2運行中心主任、第二代跨歐亞信息網(wǎng)TEIN2運行中心主任等職

書籍目錄

第1章 訪問控制安全…………………………  1.1 使用標準IP ACL進行訪問控制………  1.2 使用擴展IP ACL進行高級訪問控制…  1.3 使用MAC ACL進行訪問控制…………  1.4 使用專家ACL進行高級訪問控制………  1.5 配置基于時間的訪問控制………………第2章 端口保護安全…………………………  2.1 使用IP-MAC綁定增強接人安全………  2.2 使用端口安全提高接入安全……………  2.3 ARP攻擊與防御（ARP檢查）  …………  2.4 使用保護端口實現(xiàn)安全隔離……………  2.5 使用端口阻塞進行流量控制……………  2.6 配置系統(tǒng)保護功能………………………第3章 生成樹安全……………………………  3.1 利用風暴控制抑制廣播風暴……………  3.2 使用BPDU Guard提高STP安全性……  3.3 使用BPDU Filter提高STP安全性…第4章 網(wǎng)絡(luò)接入安全…………………………  4.1 DHCP攻擊與防御…………………  4.2 ARP攻擊與防御（動態(tài)ARP檢測）……  4.3 利用接入層802.1X安全網(wǎng)絡(luò)接入  4.4 利用分布層802.1x安全網(wǎng)絡(luò)接人…第5章 無線局域網(wǎng)絡(luò)安全………………  5.1 實現(xiàn)無線用戶的二層隔離………………  5.2 使用MAC認證實現(xiàn)接人控制…………  5.3 配置無線局域網(wǎng)中的WEP加密  5.4 配置MAC地址過濾（自治型AP）  5.5 配置SSID隱藏（自治型AP）……  5.6 配置WEP加密（自治型AP）……  5.7 使用Web認證實現(xiàn)接人控制……  5.8 使用802.1X增強接人安全性…  5.9 配置無線局域網(wǎng)中的WPA加密  5.10 非法AP和Client的發(fā)現(xiàn)與定位參考文獻……………………………………

章節(jié)摘錄

插圖：【注意事項】在一些交換機中，只支持人方向的MAc ACL，所以在配置和應用MAC ACL時需要考慮ACL規(guī)則的配置方式，以及應用MAC ACL的接口?；贛AC地址的訪問控制對交換設(shè)備的要求不高，并且基本對網(wǎng)絡(luò)性能沒有影響，配置命令相對簡單，比較適合小型網(wǎng)絡(luò)，規(guī)模較大的，網(wǎng)絡(luò)不適用。使用MAC地址訪問控制技術(shù)要求網(wǎng)絡(luò)管理員必須明確網(wǎng)絡(luò)中每個網(wǎng)絡(luò)設(shè)備的MAC地址，并要根據(jù)控制要求對交換機的MAc表進行配置。采用MAC地址訪問控制對于網(wǎng)管員來說，其負擔是相當重的，而且隨著網(wǎng)絡(luò)設(shè)備數(shù)量的不斷擴大，它的維護工作量也不斷加大。另外，還存在一個安全隱患，那就是現(xiàn)在許多網(wǎng)卡都支持MAc地址重新配置，非法用戶可以通過將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAc地址的方法，使用MAC地址“欺騙”，成功通過交換機的檢查，進而非法訪問網(wǎng)絡(luò)資源。

圖書封面

評論、評分、閱讀與下載

---

    局域網(wǎng)安全管理實踐教程 PDF格式下載

---