本书主要针对高等院校计算机科学与技术、通信工程、计算机网络等相关专业,在计算机网络基础理论、网络安全基础理论学习完成之后,配套使用的网络安全实验教程。本书介绍了在局域网组建过程中,使用的多项安全产品及相关技术,包括网络防火墙、IDS入侵检测系统、USG统一网关和综合网络安全实践教程。
本书分为4篇,按照局域网组建中使用到的网络安全产品,详细讲述了使用这些网络安全设备,解决实际生活中遇到的各种安全问题,包括网络防火墙应用技术、入侵检测系统应用技术、统一网关应用技术等,以及针对这些问题的解决方法。本书在每个章节中对所使用到的相关安全产品的基本配置、基本界面、功能配置都给予了详细的讲解,以帮助读者熟悉产品的使用,并进一步诠释其在工程项目中的实施方法。
本书可作为高等院校计算机科学与技术、通信工程、计算机网络等相关专业本科生或研究生学习和研究网络安全产品及技术的实验教材,还可作为网络安全专业认证的培训教材,以及网络设计师、网络工程师、系统集成工程师以及其他专业技术人员在工作中遇到网络安全问题时的技术参考用书。
随着21世纪的到来,人类步入信息社会,信息产业成为全球经济发展的主导产业,计算机科学与技术在信息产业中占据了重要的地位。随着互联网技术的普及和推广,网络技术更是信息社会发展的推动力,人们在日常学习、生活和工作中都越来越依赖于网络,因此关于信息技术、信息安全技术、网络安全技术的发展成为越来越重要的学科。
互联网技术的发展改变了人们的生活,信息安全的内涵已发生了根本变化。安全已从一般性的安全防卫,变成了一种非常普通的安全防范;从一种研究型的学科,变成了无处不在,影响人们学习、生活和工作的安全技术。技术的普及也推动了社会对人才的需求,因此建立一套完整的网络安全课程教学体系,提供体系化的安全专业人才培养计划,培养一批精通安全技术的专业人才队伍,对目前高校计算机网络安全方向专业人才培养来说,显得尤为重要。
1. 关于教材开发背景
结合国家十二五本科计算机专业课程规划体系,深入领会教育部计算机科学与技术教学指导委员会编制的“计算机科学与技术专业规范的知识体系和课程大纲”文件精神,为及时反映目前网络安全专业学科发展动态,创新网络教材编辑委员会组织编写了本书。希望本书中的网络安全知识内容,既重视理论、方法和标准的介绍,又兼顾技术、系统和应用分析,在内容结构和知识点布局上能有所创新。
此外,随着互联网技术的普及和推广,人们日常学习和工作依赖网络的比重增加,计算机网络安全的实施和防范技术,成为目前最为瞩目的学习内容。因此,创新网络教材编辑委员会选择网络安全技术在生活中的具体应用作为教材开发主线,规划出面向实际工程案例,可操作、可应用、可实施的网络安全技术教程。同时希望策划的安全技术直观、形象、具体、可实施,选编和策划的安全知识具有专业化、体系化、全面化特征,能体现和代表当前最新的网络安全技术发展方向。
2. 关于教材开发指导思想
通过市场调查发现,目前市场上指导计算机网络安全实践教学内容的教材非常匮乏。翻阅市场上品种有限的网络安全类教材,都侧重于网络安全理论诠释,而针对实际网络安全工程实施、可在课堂中动手实践的安全类教材很少。因此,创新网络教材编辑委员会邀请国内院校专家,组织来自一线的专业工程师,联合开发了这本覆盖网络安全技术专业教程的教材,希望着重培养学生对网络安全技术的动手实践能力。
和同类以网络安全技术为研究方向的专业书籍相比,本书更注重解决实际工作中遇到的安全问题的能力。全书以安全技术应用为主线,以培养学生安全问题解决能力为目标,以加强实际安全技能锻炼为根本,满足学校安全类课程实践教学的需求。因此,本书在开发过程中,强化了实践教学能力的培养,着重讲授生活中的网络安全问题,诠释相应的安全策略配置。最终依据学校提供的安全实践教学平台,直观、形象地诠释安全技术,帮助学生理解抽象的网络安全专业理论。
网络安全防御技术实践教程前言 3. 关于教材开发内容
本书是针对高等院校计算机科学与技术、通信工程、网络工程等相关专业,在学习基础网络安全理论时,开发的配套网络安全实验教程。全书详细地介绍了组建局域网安全过程中,遇到的安全问题,使用了多项安全产品及其安全技术,包括网络防火墙、IDS入侵检测系统、USG统一网关和一个综合网络安全实践教程。全书在每个章节中对这些安全产品的基本配置、基本界面、功能配置都给予了详细的讲解,帮助读者深入了解网络安全项目的设计与实施。通过对本书全部内容的学习,读者更易牢固掌握安全技术,从而熟悉实施方案。
全书包括近40个难度不同的网络安全实验内容,适合学生循序渐进地学习。本书还可作为高等院校计算机科学与技术、通信工程、计算机网络等相关专业本科生或研究生计算机网络工程课程的实验教材。全书的实验设计和安排,以实际工程项目的需求为依据,旨在加深学生对网络安全工程所涉及的基础理论知识的透彻理解,从而提高学生网络安全工程相关的动手实践能力、分析问题和解决问题的能力。
4. 关于教材使用方法
通过全书提供的近40个安全技术实验的训练,帮助学生熟练掌握网络安全工程师所必备的基本实践技能。所有实验操作都以日常安全需求为主线串接知识,以问题解决过程作为核心。因此教师在使用本书时,可作为相关安全理论学习完成之后的实验补充,帮助学生加强对抽象安全理论的理解。也可以根据教学的实际情况,从中选择部分实验教学内容,要求学生在学完理论之后,完成适当数量和难度的实验以补充理论讲解知识的不足。由于书中全部内容都来自实际工程案例的总结,因此,本书可作为就业前实习用书,通过对一定数量的安全工程案例的学习,从而积累实际中遇到的安全施工经验,以增强安全类工程施工的能力和排除故障的能力。
5. 关于课程环境安排
本书覆盖计算机网络安全规划、组建和配置中涉及的主流网络安全设备配置管理技术,书中所有工程项目都来自于企业多年积累的工程案例。经过一线教师和企业工程师的提炼,按照再现企业工程项目的方式进行组织串接,每个工程项目都详细介绍了工程名称、工程背景、技术原理、工程设备、工程拓扑、工程规划、工作过程、结果验证等多个环节,循序渐进展现企业工程项目,并把这些工程项目在网络实验室中搭建出来。
为顺利实施本教程,每个课程学习者,除需要对网络技术有学习的热情之外,还需具备基本的计算机、网络、安全基础知识。这些基础知识提供了良好的脚手架,帮助读者理解本书中的网络技术原理,为网络技术的进阶提供良好帮助。为更好地实施这些安全实验内容,需要为本课程提供一个可实施交换、路由和安全技术的网络环境,从而再现这些网络工程项目,以方便本教材的有效实施。这种课程工作环境包括: 一个可以容纳40人左右的网络实验室;不少于4组的工作台。每组工作台中包括组建基本网络的网络实验设备: 二层交换机设备、三层交换机设备、模块化路由器设备、网络防火墙、入侵检测系统IDS、统一网关设备、测试计算机设备和若干根网络连接线(或制作工具).
本书选择的工程项目来自厂商的案例,使用的网络实验设备也来自厂商,但本课程在策划中,力求全部的知识讲解和技术选择都具有通用性,以遵循行业内的通用技术标准。全书关于设备的功能描述、接口的标准、技术的诠释、协议的细节分析、命令语法的解释、命令的格式、操作规程、图标和拓扑图形的绘制方法都使用行业内的通用技术标准,以加强其通用性。
6. 关于课程时间安排
本书通过加强对学生网络安全设备的实践操作,积累企业一线网络安全工程实施经验,让学生可以深入地理解和掌握网络安全设备的配置和运行机制,了解网络安全项目发生的场景和实施过程。此外,借助网络安全实践教学平台,读者还可以学习网络安全设计、网络攻防和故障性能分析等相关知识。从而加强学生对网络安全技术的理解和掌握,以培养学生的动手实践和设计分析能力,培养新型人才。
本书可作为高等院校计算机科学与技术、通信工程、计算机网络等相关专业本科生或研究生学习和研究网络安全技术的实验教材。其前导性的课程包括计算机网络、局域网组建、路由和交换技术等基础性网络技术。本课程的课时在36~72学时,根据学校具体教学时间安排,读者可选择全部的内容作为实验对象,也可选择部分学习内容。课程时间安排一般在第三年学期段。学生在全面学习专业组网技术后,作为学生学完基础网络技术的提高和补充。此外还可以作为网络安全专业认证的培训教材,以及网络设计师、网络工程师、系统集成工程师以及其他专业技术人员在实际工作中遇到网络安全问题时的技术参考用书。
7. 关于课程资源
不同的网络专业课程教学都具有其本身的针对性,强化网络安全专业实践能力、强化安全技术应用和网络安全技能培养,是本课程区别于传统网络安全专业课程的特色之一。无论是前期为保证本课程的有效实施,在课程实施环境(网络实验室)上投入的资金,还是在课程规划思想上的创新,以及在本课程研发上投入的人力都具有优势。
为有效保证本课程在学校的实施,保证课程教学资源的长期提供--案例的及时提供、安全技术的更新、新技术的学习、课程学习中的技术交流和讨论等,本课程的研发队伍还专门投入人力和物力,为本课程建设专门的课程网络资源共享基地,以有效支持课程在实施的过程中,安全项目资源的更新,疑难问题的解决,课程实施方案的讨论等一系列服务工作,详细内容可以访问本课程实施相关网站: http://www. labclub.com.cn,可以获得更多的资源支持。
8. 关于课程开发队伍
本书由创新网络教材编辑委员会组织院校教学一线的专家队伍,来自厂商的工程师联合编写而成。这些工作在各行业的专家,把自己多年来在各自领域中积累的网络安全技术教学和应用的工作经验,以及对网络安全技术的深刻理解融入本书中。
本书第一作者黄传河博士,是武汉大学计算机学院教授、博士生导师。黄传河博士主要研究方向为计算机网络(如移动互联网、移动Ad Hoc网络、无线传感器网络、无线Mesh网络、WDM网络、网络互联),网络安全,分布并行处理,量子计算。其在计算机网络及网络安全领域多年具前瞻性的研究,为全书提供了技术方向引导,统编了教学应掌握的安全技术知识点,并为保证最终技术准确性承担了审阅工作。
本书第二作者喻涛工程师,是武汉大学计算机学院博士,星网锐捷网络有限公司高级工程师。喻涛博士曾先后在中国电信、中国网通和锐捷网络工作,有多年在网络一线从事售前工程师的工作背景,参与过多个运营商网络工程规划、施工和企业网整网安全的规划、实施工作,具有丰富的实际网络技术应用能力,故障排除解决和整网安全防范实施能力。其多年在网络一线的工作背景,参与过多个网络工程整网安全的规划、实施的经历,对全书再现企业的实际安全工程需求,安全技术的选择和应用,按照企业工作过程实施流程等都起到重要作用,他还承担了全书的资料整理和编撰工作。
王昭顺教授,博士生导师,北京科技大学计算机系主任。王昭顺博士主要从事信息安全技术,ASIC芯片设计,软件技术研究;承担“863" , "973" , “国家自然科学基金”多项项目。其多年从事网络安全、信息安全研究员的经历,为全书技术细节的解释,安全技术准确性的描述起到重要把关作用。
此外,在本书的编写过程中,还得到了其他一线教师,技术工程师,产品经理安淑梅、汪双顶、李文宇、方洋、张选波、高峡、杨靖、张勇、蔡韡等的大力支持。他们积累的多年的来自教学和工程一线的工作经验,都为本书的真实性、专业性以及方便在学校教学、方便实施给予了有力的支持。
本书策划、编辑的过程历经近三年的时间,前后经过多次的修订,得到了很多同仁的大力支持,由于编写水平有限,错漏之处在所难免,敬请广大读者指正(labserv@ruijie.com.cn) . 创新网络教材编辑委员会 为帮助学生全面理解安全技术细节,建立直观的网络安全印象,本书每个实验在开始时都为读者引入一个来自企业的真实网络安全问题,从而营造教学、学习环境,让读者深入到网络安全的场景环境中,以了解本书安全知识内容发生在真实网络工程项目中实际的场景,了解相应的在施工中需要的技术。
在全书关键技术解释和工程方案实施中,会涉及一些网络专业术语和词汇。为方便大家今后在工作中的实际应用,全书采用行业标准的技术和图形绘制方案。全书中使用的相关符号、网络拓扑图形惯有的风格和惯例,以及本书使用的命令语法规范约定如下:
竖线“|”表示分隔符,用于分开可选择的选项。
星号“”表示可以同时选择多个选项。
方括号“\”表示可选项。
大括号“{ }”表示必选项。
粗体字表示按照显示的文字输入的命令和关键字。在配置的示例和输出中,粗体字表示需要用户手工输入的命令(例如show命令).
斜体字表示需要用户输入的具体值。
以下为本书中所使用的图标示例。感谢网络产品和方案提供商星网锐捷网络有限公司,为全书提供多个、来自不同行业的工程案例。为方便对工程项目技术细节的诠释,本书技术描述主要围绕锐捷网络RGNOS网络操作系统展开。但在书中出现的所有命令和术语,同样具有通用性,能兼容目前网络工程施工中涉及的所有主流设备。本书中讲述的技术原理,以及针对网络问题提出的解决方案,同样适用于现实网络工作场景。
第1篇 防火墙安全
第1章 防火墙设备基础知识3
1.1 什么是防火墙3
1.2 防火墙的功能4
1.3 防火墙的工作原理6
1.4 防火墙的分类7
1.5 防火墙技术7
1.6 硬件防火墙设备9
1.7 防火墙硬件参数13
第2章 防火墙设备实践操作技术16
2.1 防火墙初始化配置16
2.2 使用防火墙实现安全的访问控制25
2.3 使用防火墙实现安全NAT32
2.4 配置防火墙地址绑定39
2.5 使用防火墙实现URL过滤43
2.6 使用防火墙保护服务资源48
2.7 配置客户端认证54
2.8 配置防火墙链路负载61
2.9 使用防火墙限制连接带宽64
2.10 使用防火墙限制P2P流量70
2.11 使用防火墙防止DoS攻击74
第2篇 入侵检测技术安全
第3章 入侵检测设备基础知识81
3.1 什么是入侵检测系统81
3.2 入侵检测系统功能83
3.3 入侵检测系统工作原理83
3.4 入侵检测系统类型85
3.5 入侵检测系统设备介绍87
3.6 入侵检测系统设备性能指标87
3.7 入侵检测产品选择要点88
第4章 入侵检测系统实践技术90
4.1 RG-IDS账户管理90
4.2 RG-IDS组件管理96
4.3 RG-IDS策略管理101
4.4 配置交换机端口镜像105
4.5 端口扫描攻击检测107
4.6 DoS攻击检测112
4.7 DDoS攻击检测116
4.8 密码策略审计120
4.9 IIS服务漏洞攻击检测126
4.10 缓冲区溢出攻击检测131
4.11 Windows PnP远程执行代码漏洞攻击检测139
4.12 木马攻击检测144
4.13 蠕虫病毒传输检测154
4.14 配置IDS与防火墙联动160
4.15 使用自定义事件进行检测167
4.16 告警事件风暴抑制管理173
4.17 事件响应方式管理179
4.18 RG-IDS报表管理183
4.19 RG-IDS数据库管理186
第3篇 统一安全网关安全
第5章 统一安全网关基础知识193
5.1 什么是统一安全网关193
5.2 统一安全网关特点194
5.3 统一安全网关设备195
第6章 统一安全网关实践技术196
6.1 统一安全网关初始化配置196
6.2 用户权限管理204
6.3 使用统一安全网关实现访问控制212
6.4 使用统一安全网关防止DoS攻击225
6.5 使用统一安全网关限制IM软件234
6.6 使用统一安全网关过滤Web病毒243
6.7 使用统一安全网关过滤邮件病毒251
6.8 配置邮件大小过滤259
6.9 使用统一安全网关实现入侵防御266
6.10 会话监控与管理274
第4篇 网络安全综合实验
第7章 构建安全的园区网络283
参考文献312