路由器安全策略

前言

在過去20年來，網(wǎng)絡從archane(ARPAnet)發(fā)展到任何地方(無線熱點)，并且已經(jīng)被應用于衛(wèi)生保健系統(tǒng)、航空、商業(yè)、視頻通信、電話、存儲和交互式運動等諸多領域。網(wǎng)絡來源于數(shù)據(jù)中心，然后到達服務提供商，到達我們的鄰居，到達我們的家里。對我而言，說網(wǎng)絡安全是一個“重要的主題”無論如何都不過分，因為主機安全無法和它相提并論——網(wǎng)絡安全需要花費很大的開銷，而主機安全則花費甚少。為什么會是這種情況，為什么會發(fā)生這種情況呢?在此，我并不想正面回答這個問題，之所以承認網(wǎng)絡安全至關重要，是因為網(wǎng)絡現(xiàn)在是必不可少的。因此，本書包括了那些針對網(wǎng)絡設備的現(xiàn)有威脅和攻擊的知識，對這些威脅和攻擊提供最佳防范的必要的網(wǎng)絡設備配置技術，以及這些技術如何提高網(wǎng)絡恢復能力的現(xiàn)實例子，以供讀者學習。Gregg和David編寫的這本圖書將其篇幅劃分為數(shù)據(jù)、管理和業(yè)務平面安全，解釋了每種流量平面的概念、相關的安全威脅及對策。對所有4種流量平面提供保護對于網(wǎng)絡設備的保護是必需的，對于保護由這些網(wǎng)絡設備組成的網(wǎng)絡則更是必需的。對所有這4種彼此不同的流量平面進行不遺余力的保護是惟一正確的做法。如果讀者在閱讀本書之后什么都沒有做，那么詢問自己，在對數(shù)據(jù)進行保護的同時，是否已經(jīng)對自己日益依賴的數(shù)據(jù)、業(yè)務及功能不斷豐富的網(wǎng)絡進行了保護?經(jīng)驗告訴我們當中的每一個人，深入防御和廣泛防御都屬于強有力的安全技術。您的網(wǎng)絡是由多種設備、多個層次組成的，并且其觸角幾乎無處不在——網(wǎng)絡自身已經(jīng)在保護您的網(wǎng)絡中扮演了關鍵角色。要確保它是成功的，畢竟……我們都連接在一起。

內容概要

本書的目標在于使讀者熟悉對IP網(wǎng)絡流量平面進行分隔和安全保護所需的概念、效益以及實施細節(jié)。全書分4個部分。第1部分提供了IP協(xié)議、IP網(wǎng)絡運行及路由器和路由硬件以及軟件運行的基本概述。第2部分提供了深入、詳細的內容以供網(wǎng)絡專家實現(xiàn)IP流量平面分隔和保護策略，還針對經(jīng)驗不足的網(wǎng)絡技術人員提供了詳細的IP路由器運行描述。第3部分提供了針對兩種不同網(wǎng)絡類型——企業(yè)網(wǎng)絡和服務提供商網(wǎng)絡的案例研究。這些案例研究用于進一步說明在第2部分中介紹的策略如何集成為一個完整的IP網(wǎng)絡流量平面分隔和保護規(guī)劃。第4部分則對本書正文部分所討論的內容進行了補充，提供了一些不僅在閱讀本書過程中有用，而且在日常工作中也很有幫助的參考內容?！　”緯m合組織機構中負責部署和維護IP及IP/MPLS網(wǎng)絡的網(wǎng)絡工程師，以及網(wǎng)絡運營和網(wǎng)絡安全性人員閱讀。

作者簡介

作者：(美國)Gregg Schudel (美國)David J.Smith 譯者：姚維 李斌 沈金河Gregg Schudel，CCIE No．959l(Security)于2000年作為咨詢系統(tǒng)工程師加入Cisco Systems，其職責是為美國的網(wǎng)絡服務提供商組織提供支持。Gregg關注針對長途交換電信運營商、網(wǎng)絡服務提供商及移動服務提供商的IP核心網(wǎng)絡和服務安全性體系結構和技術。此外，Gregg還是Corporate and Field資源小組的成員，該小組的工作重點在于推動Cisco服務提供商安全性策略。在加入Cisco Systems之前，Gregg在BBN Technologies公司工作了多年，他負責支持與DARPA及聯(lián)邦政府其他機構共同進行的涉及到安全性方面的網(wǎng)絡安全性研究和開發(fā)。Gregg擁有喬治華盛頓大學的工程學碩士學位和獲得佛羅里達理工學院的工程學學士學位。David J．Smith，CCIE No．1 986(Routing and Switching)于1995年作為咨詢工程師加入Cisco Systems，其職責是為美國的網(wǎng)絡服務提供商組織提供支持。David從1999年開始關注服務提供商IP核心和邊緣網(wǎng)絡技術，包括IP路由、MPLS技術、QoS、架構安全性及網(wǎng)絡遙測。在1995-1999年，David負責為企業(yè)用戶在設計園區(qū)WAN和全球WAN方面提供支持。在加入Cisco Systems之前，David在Bellcore公司工作，負責開發(fā)系統(tǒng)軟件以及開通ATM交換機試驗局。David在卡內基·梅隆大學獲得信息網(wǎng)絡碩士學位，在里海大學獲得計算機工程學士學位。

書籍目錄

第1部分　第1章　互聯(lián)網(wǎng)協(xié)議操作基礎　　　1.1　IP網(wǎng)絡概念　　　　1.1.1　企業(yè)網(wǎng)絡　　　1.1.2　服務提供商網(wǎng)絡　　1.2　IP協(xié)議操作　　　1.3　IP流量概念　　　　1.3.1　過境IP包　　　　1.3.2　接收—鄰接IP包　　　　1.3.3　異常IP和非IP包　　1.4　IP流量平面　　　　1.4.1　數(shù)據(jù)平面　　　　1.4.2　控制平面　　　　1.4.3　管理平面　　　　1.4.4　服務平面　　　1.5　IP路由器包處理概念　　　　1.5.1　進程交換　　　　1.5.2　快速交換　　　　1.5.3　思科特快轉發(fā)　　　1.6　常見的IP路由器體系結構類型　　　　1.6.1　集中式的基于CPU的體系結構　　　　1.6.2　集中式的基于ASIC的體系結構　　　　1.6.3　分布式的基于CPU的體系結構　　　　1.6.4　分布式的基于ASIC的體系結構　　　1.7　小結　　　1.8　復習題　　　1.9　延伸閱讀　第2章　IP網(wǎng)絡的威脅方式　　　2.1　對于IP網(wǎng)絡基礎設施的威脅　　　　2.1.1　資源消耗攻擊　　　　2.1.2　欺騙攻擊　　　　2.1.3　傳輸協(xié)議攻擊　　　　2.1.4　路由協(xié)議威脅　　　　2.1.5　其他IP控制平面威脅　　　　2.1.6　未經(jīng)授權的接入攻擊　　　　2.1.7　軟件漏洞　　　2.1.8　惡意網(wǎng)絡監(jiān)測　　　2.2　針對第2層網(wǎng)絡基礎設施的威脅　　　2.2.1　CAM表溢出攻擊　　　　2.2.2　MAC欺騙攻擊　　　　2.2.3　VLAN的跳躍攻擊(VLAN Hopping Attacks)　　　2.2.4　專用VLAN攻擊　　　　2.2.5　STP攻擊　　　　2.2.6　VTP攻擊　　2.3　針對IP VPN網(wǎng)絡基礎設施的威脅　　　　2.3.1　MPLS VPN威脅模式　　　　2.3.2　針對用戶邊緣的威脅　　　2.3.3　針對運營商邊緣的威脅　　　　2.3.4　針對運營商核心的威脅　　　　2.3.5　針對跨運營商邊緣的威脅　　　　2.3.6　IPSec VPN的威脅模式　　　2.4　小結　　　2.5　復習題　　2.6　延伸閱讀　　第3章　IP網(wǎng)絡流量平面安全概念　　　3.1　全方位防御的原則　　　……第2部分　第4章　IP數(shù)據(jù)平面安全性　　第5章　IP控制平面安全性　　第6章  IP管理平面安全性　　第7章  IP服務平面安全性第3部分　第8章  企業(yè)網(wǎng)絡案例研究　　第9章  服務提供商網(wǎng)絡案例研究　第4部分　附錄A　復習題答案　附錄B　IP協(xié)議報頭　　附錄C　Cisco IOS到XOS XR安全性過渡　　附錄D　安全事故處理　

章節(jié)摘錄

插圖：第1部分第1章　互聯(lián)網(wǎng)協(xié)議操作基礎　1.5　IP路由器包處理概念本章最后要討論的一個議題是路由器的軟件和硬件體系結構。這個議題可以與前面所有的概念結合在一起，共同說明IP流量平面的分離與控制，對于IP網(wǎng)絡的穩(wěn)定、性能和運行的重要性。路由器的作用是轉發(fā)數(shù)據(jù)包。無論是來自數(shù)據(jù)平面還是服務平面的數(shù)據(jù)包，路由器都必須盡可能高效地對其進行處理。同時，這些路由器還必須通過控制平面和管理平面來建立和維護網(wǎng)絡。IP流量平面的概念是一個“邏輯的”概念，它為制定和執(zhí)行具體的安全需求提出了一個框架。正如圖1—5（略）所示的，IP流量平面的安全概念，既可以從互聯(lián)網(wǎng)的角度來解讀，也可以從單獨的路由器的角度來解讀。流量從何處來，又到何處去？網(wǎng)絡的邊界在哪里，什么樣的流量可以穿過邊界？在不同的路由協(xié)議中，應包含哪些IP地址？這些問題，以及許多其他方面的問題，都將在后續(xù)章節(jié)中進行討論和解答。正如圖1一5（略）中的透視圖所示，在這一過程中最重要的部分是，那些在網(wǎng)絡中獨立的路由器處理真實的數(shù)據(jù)包。日復一日，這些設備只能以一種自治的方式，協(xié)調自身的硬件、軟件和配置進行工作。了解一個獨立的路由器是如何處理每一個從接口處接收到的數(shù)據(jù)包類型，以及路由器在處理這些數(shù)據(jù)包時必須調用的資源，是IP流量平面安全的關鍵概念。 雖然本節(jié)的描述特別側重于思科路由器，但是，這些概念并非僅適用于思科的平臺。每一個“接觸”到數(shù)據(jù)包的網(wǎng)絡設備，都具有一個硬件和軟件的體系結構，設計這些體系結構的目的是處理數(shù)據(jù)包，確定對數(shù)據(jù)包進行的操作，并對數(shù)據(jù)包應用某些策略。在這里，術語“策略”意味著任何被應用于數(shù)據(jù)包的操作，一般包括轉發(fā)／丟棄、整形鄺艮制速率、重新著色、復制和隧道/封裝。路由器的主要目的是將包從一個網(wǎng)絡接口轉發(fā)到另一個接口。每個網(wǎng)絡接口，或者代表一個直連網(wǎng)段，包含主機和服務器，或者代表在沿著數(shù)據(jù)包最終目的地址的下游路徑中，指向下一跳路由設備的連接。從最根本的意義上說，IP路由器的第3層決策過程包括以下幾個步驟。

編輯推薦

《路由器安全策略》能夠幫助讀者全面理解并實現(xiàn)IP路由器上的IP流量平面分隔和保護。書中詳細介紹了lP網(wǎng)絡的不同流量平面和用于保護它們的高級技術，這些流量平面包括數(shù)據(jù)平面、控制平面、管理平面和業(yè)務平面，它們提供了lP網(wǎng)絡連接的基礎架構。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    路由器安全策略 PDF格式下載

---