信息安全產(chǎn)品配置與應用

前言

隨著互聯(lián)網(wǎng)在中國的快速發(fā)展與普及，人們的生產(chǎn)、工作、學習和生活方式已經(jīng)開始并將繼續(xù)發(fā)生深刻的變化?；ヂ?lián)網(wǎng)在促進經(jīng)濟結(jié)構(gòu)調(diào)整、經(jīng)濟發(fā)展方式轉(zhuǎn)變等方面發(fā)揮著越來越重要的作用，目前中國已成為世界上互聯(lián)網(wǎng)使用人口最多的國家。然而，互聯(lián)網(wǎng)安全問題日益突出，成為各國普遍關切的問題，中國也面臨著嚴重的網(wǎng)絡安全威脅。近幾年來，隨著網(wǎng)絡技術(shù)的迅速發(fā)展，網(wǎng)絡環(huán)境也更加復雜化。計算機網(wǎng)絡安全威脅的日益嚴重，如病毒和蠕蟲不斷擴散、黑客活動頻繁、垃圾郵件猛增都成為了目前困擾網(wǎng)絡信息安全的較大網(wǎng)絡威脅。譬如，2009年新的安全威脅Conficker（飛客）的出現(xiàn)，打破了全球500萬臺電腦的感染記錄，這些都迫使計算機用戶不斷地提高防范意識，并對信息安全產(chǎn)品提出了更高需求。目前，信息安全最基本的防護手段是構(gòu)建完善的信息安全防御平臺，以防火墻、入侵檢測產(chǎn)品為代表的信息安全產(chǎn)品構(gòu)建綜合防御體系，構(gòu)建保障信息安全的基礎屏障。信息安全產(chǎn)品已經(jīng)成為政府、金融和其他企事業(yè)單位信息化推進的基本硬件保障，市場對信息安全產(chǎn)品的需求日益增長。與此同時，信息安全廠商、信息系統(tǒng)集成商和信息系統(tǒng)運營商對信息安全產(chǎn)品技術(shù)支持和技術(shù)服務的專業(yè)人員需求也與日俱增、日趨迫切。重慶電子工程職業(yè)學院信息安全技術(shù)專業(yè)，是國家示范院校建設中唯一一個信息安全類國家級重點建設專業(yè)，該專業(yè)自2003年開辦以來，就開設了“信息安全產(chǎn)品配置與應用”課程，目前該課程已經(jīng)獲得重慶市市級精品課稱號。我們根據(jù)多年的教學實踐，與天融信公司合作，編寫了該專業(yè)的核心技術(shù)教材，旨在更有效地培養(yǎng)信息安全產(chǎn)品工程師（產(chǎn)品銷售工程師、產(chǎn)品維護工程師和產(chǎn)品技術(shù)支持工程師）。作為一本專注于信息安全產(chǎn)品的教材，本書詳細介紹了信息安全領域常用產(chǎn)品的配置及應用和產(chǎn)品部署方案。本書共分8章，第1章講述防火墻產(chǎn)品配置與應用；第2章講述VPN產(chǎn)品配置與應用；第3章講述入侵檢測產(chǎn)品配置與應用；第4章講述網(wǎng)絡隔離產(chǎn)品配置與應用；第5章講述安全審計及上網(wǎng)行為管理產(chǎn)品配置與應用；第6章講述網(wǎng)絡存儲設備配置及應用；第7章講述數(shù)據(jù)備份軟件配置及應用；第8章講述防病毒過濾網(wǎng)關系統(tǒng)配置及應用。本書的寫作融入了作者豐富的教學和企業(yè)實踐經(jīng)驗，內(nèi)容安排合理，每個章節(jié)都專注于特定主題，講解通俗，案例豐富，力爭讓讀者能夠在最短的時間內(nèi)掌握核心安全設備的基本操作與應用技巧、快速入門與提高。本書第1章、第5章和第8章由武春嶺編寫，第2章由路亞編寫，第3章、第4章由魯先志編寫，第6章、第7章由李賀華編寫。為了方便教師教學，本書配有電子教學課件，有此需要的教師可登錄華信教育資源網(wǎng)免費注冊后進行下載，有問題時可在網(wǎng)站留言板留言或與電子工業(yè)出版社聯(lián)系。本書在編寫過程中，得到了電子工業(yè)出版社及天融信公司成都分公司周非副總經(jīng)理和魏振國工程師的大力支持和幫助。在此一并致以衷心的感謝！由于編者水平有限，加上時間倉促，書中難免有不當之處，敬請各位同行與讀者批評指正，以便在今后的修訂中不斷改進。

內(nèi)容概要

本書是一本專注于信息安全產(chǎn)品的教材，內(nèi)容涵蓋了防火墻、VPN、入侵檢測、網(wǎng)絡隔離、網(wǎng)絡存儲、數(shù)據(jù)備份、防病毒和安全審計及上網(wǎng)行為管理等常用信息安全設備，詳細介紹了它們各自的功能、工作原理、配置，以及應用部署方案。    本書的寫作融入了作者豐富的教學和工程實踐經(jīng)驗，采用項目導向、任務驅(qū)動，基于典型工作任務組織教學內(nèi)容，每個章節(jié)都專注于特定的主題，講解通俗，案例豐富，力爭讓讀者能夠在最短的時間內(nèi)掌握核心安全設備的基本操作與應用技能、快速入門與提高。    本書不僅可以作為高職、高專計算機信息類專業(yè)學生的教材，也可作為企事業(yè)單位網(wǎng)絡信息系統(tǒng)管理人員的技術(shù)參考手冊，尤其適合想在短期內(nèi)快速掌握安全產(chǎn)品應用與部署的用戶。

書籍目錄

第1章  防火墻產(chǎn)品配置與應用  學習目標  引導案例  相關知識  1.1  防火墻概述    1.1.1  什么是防火墻    1.1.2  防火墻的功能    1.1.3  防火墻的局限性  1.2  防火墻的體系結(jié)構(gòu)    1.2.1  防火墻系統(tǒng)的構(gòu)成    1.2.2  防火墻的類型與實現(xiàn)  1.3  防火墻的關鍵技術(shù)    1.3.1  訪問控制列表ACL    1.3.2  代理技術(shù)Proxy    1.3.3  網(wǎng)絡地址轉(zhuǎn)換NAT    1.3.4  虛擬專用網(wǎng)VPN  1.4  防火墻性能與部署    1.4.1  常見的防火墻產(chǎn)品    1.4.2  防火墻關鍵性能指標    1.4.3  防火墻部署方式  學習項目  1.5  項目1：防火墻產(chǎn)品部署    1.5.1  任務1：需求分析    1.5.2  任務2：方案設計  1.6  項目2：防火墻設備配置    1.6.1  任務1：防火墻基本配置    1.6.2  任務2：防火墻的配置策略設計    1.6.3  任務3：防火墻配置    1.6.4  任務4：上線測試  練習題第2章  VPN產(chǎn)品配置與應用  學習目標  引導案例  相關知識  2.1  VPN產(chǎn)品概述    2.1.1  VPN的定義和特點    2.1.2  VPN關鍵技術(shù)    2.1.3  VPN的分類  2.2  VPN隧道技術(shù)    2.2.1  點到點隧道協(xié)議（PPTP）    2.2.2  第二層轉(zhuǎn)發(fā)協(xié)議（L2F）    2.2.3  第二層隧道協(xié)議（L2TP）    2.2.4  GRE協(xié)議    2.2.5  IP安全協(xié)議（IPSec）    2.2.6  SSL協(xié)議    2.2.7  多協(xié)議標記交換（MPLS）  2.3  VPN性能與部署    2.3.1  VPN關鍵性能指標    2.3.2  VPN部署方式  學習項目  2.4  項目1：VPN產(chǎn)品部署    2.4.1  任務1：需求分析    2.4.2  任務2：方案設計  2.5  項目2：VPN設備配置    2.5.1  任務1：VPN基本配置方法    2.5.2  任務2：VPN認證方法    2.5.3  任務3：客戶端初始化配置  練習題第3章  入侵檢測產(chǎn)品配置與應用  學習目標  引導案例  相關知識  3.1  入侵檢測概述    3.1.1  入侵的定義    3.1.2  主機審計—入侵檢測的起點    3.1.3  入侵檢測的概念    3.1.4  入侵檢測技術(shù)的發(fā)展歷史  3.2  入侵檢測系統(tǒng)的技術(shù)實現(xiàn)    3.2.1  入侵檢測系統(tǒng)的功能    3.2.2  入侵檢測系統(tǒng)的工作原理    3.2.3  入侵檢測系統(tǒng)的分類  3.3  入侵檢測系統(tǒng)的性能與部署    3.3.1  入侵檢測系統(tǒng)的性能指標    3.3.2  入侵檢測系統(tǒng)的瓶頸和解決方法    3.3.3  入侵檢測系統(tǒng)部署方式    3.3.4  入侵檢測產(chǎn)品介紹  3.4  入侵檢測標準與發(fā)展方向    3.4.1  入侵檢測的標準化    3.4.2  入侵檢測系統(tǒng)與防火墻的聯(lián)動    3.4.3  入侵防御系統(tǒng)（IPS）簡介  學習項目  3.5  項目1：入侵檢測產(chǎn)品部署    3.5.1  任務1：需求分析    3.5.2  任務2：方案設計  3.6  項目2：入侵檢測設備配置    3.6.1  任務1：入侵檢測基本配置    3.6.2  任務2：入侵檢測客戶端安裝    3.6.3  任務3：入侵檢測規(guī)則配置    3.6.4  任務4：入侵檢測測試  練習題第4章  網(wǎng)絡隔離產(chǎn)品配置與應用  學習目標  引導案例  相關知識  4.1  網(wǎng)絡隔離技術(shù)的起源和現(xiàn)狀    4.1.1  網(wǎng)絡隔離技術(shù)的概念    4.1.2  網(wǎng)絡隔離產(chǎn)品的發(fā)展與現(xiàn)狀  4.2  網(wǎng)絡隔離的工作原理及關鍵技術(shù)    4.2.1  網(wǎng)絡隔離要解決的問題    4.2.2  網(wǎng)絡隔離的技術(shù)原理    4.2.3  網(wǎng)絡隔離的技術(shù)路線    4.2.4  網(wǎng)絡隔離技術(shù)的數(shù)據(jù)交換原理  4.3  網(wǎng)閘設備及技術(shù)實現(xiàn)    4.3.1  網(wǎng)閘的概念    4.3.2  網(wǎng)閘的技術(shù)特征    4.3.3  物理層和數(shù)據(jù)鏈路層的斷開技術(shù)    4.3.4  基于SCSI的網(wǎng)閘技術(shù)    4.3.5  基于總線的網(wǎng)閘技術(shù)    4.3.6  基于單向傳輸?shù)木W(wǎng)閘技術(shù)    4.3.7  TCP/IP 連接和應用連接的斷開  4.4  基于網(wǎng)閘的安全解決方案    4.4.1  國內(nèi)外網(wǎng)閘產(chǎn)品介紹    4.4.2  網(wǎng)閘解決方案的結(jié)構(gòu)    4.4.3  網(wǎng)閘解決方案的特點  學習項目  4.5  項目1：網(wǎng)絡隔離產(chǎn)品部署    4.5.1  任務1：需求分析    4.5.2  任務2：方案設計  4.6  項目2：網(wǎng)絡隔離設備配置    4.6.1  任務1：網(wǎng)閘的初始配置    4.6.2  任務2：網(wǎng)閘用戶設置    4.6.3  任務3：網(wǎng)閘的業(yè)務規(guī)則設置  練習題第5章  安全審計及上網(wǎng)行為管理產(chǎn)品配置與應用  學習目標  引導案例  相關知識  5.1  安全審計及上網(wǎng)行為管理系統(tǒng)概述    5.1.1  安全審計及上網(wǎng)行為管理系統(tǒng)作用    5.1.2  安全審計及上網(wǎng)行為管理系統(tǒng)關鍵技術(shù)    5.1.3  關鍵性能指標  5.2  安全審計及上網(wǎng)行為管理系統(tǒng)部署    5.2.1  常見的安全審計及上網(wǎng)行為管理產(chǎn)品    5.2.2  部署方式  5.3  知識擴展    5.3.1  網(wǎng)頁過濾技術(shù)討論    5.3.2  我國對互聯(lián)網(wǎng)應用的法律法規(guī)要求  學習項目  5.4  項目1：安全審計及上網(wǎng)行為管理產(chǎn)品部署    5.4.1  任務1：需求分析    5.4.2  任務2：方案設計  5.5  項目2：安全審計及上網(wǎng)行為管理產(chǎn)品配置    5.5.1  任務1：基本配置方法    5.5.2  任務2：設備上線部署方法    5.5.3  任務3：網(wǎng)絡應用安全配置策略設計    5.5.4  任務4：安全審計與帶寬控制配置  練習題第6章  網(wǎng)絡存儲設備配置及應用  學習目標  引導案例  相關知識  6.1  網(wǎng)絡存儲系統(tǒng)    6.1.1  網(wǎng)絡存儲概述    6.1.2  網(wǎng)絡存儲的結(jié)構(gòu)  6.2  虛擬存儲與分級存儲    6.2.1  虛擬存儲技術(shù)    6.2.2  分級存儲技術(shù)  6.3  常用存儲設備介紹    6.3.1  磁盤及磁盤陣列    6.3.2  磁帶機/庫    6.3.3  光纖通道交換機  學習項目  6.4  項目1：存儲系統(tǒng)方案設計    6.4.1  任務1：需求分析    6.4.2  任務2：方案設計  6.5  項目2：智能存儲設備的配置    6.5.1  任務1：登錄RG-iS2000D    6.5.2  任務2：配置RG-iS2000D  練習題第7章  數(shù)據(jù)備份軟件配置及應用  學習目標  引導案例  相關知識  7.1  數(shù)據(jù)備份概述    7.1.1  數(shù)據(jù)備份的定義和作用    7.1.2  數(shù)據(jù)面臨的安全威脅  7.2  數(shù)據(jù)備份的系統(tǒng)架構(gòu)    7.2.1  備份系統(tǒng)的架構(gòu)    7.2.2  備份系統(tǒng)的組成    7.2.3  備份系統(tǒng)的選擇  7.3  數(shù)據(jù)備份的方式和策略    7.3.1  數(shù)據(jù)備份的方式    7.3.2  數(shù)據(jù)備份的原則    7.3.3  數(shù)據(jù)備份的策略  7.4  數(shù)據(jù)備份軟件介紹    7.4.1  Veritas公司產(chǎn)品    7.4.2  Legato公司的產(chǎn)品    7.4.3  IBM公司的產(chǎn)品    7.4.4  CA公司的產(chǎn)品  學習項目  7.5  項目1：數(shù)據(jù)備份軟件的部署    7.5.1  任務1：需求分析    7.5.2  任務2：方案設計  7.6  項目2：數(shù)據(jù)備份軟件的配置    7.6.1  任務1：安裝NetBackup服務器軟件    7.6.2  任務2：配置NetBackup服務器軟件  練習題第8章  防病毒過濾網(wǎng)關系統(tǒng)配置及應用  學習目標  引導案例  相關知識  8.1  計算機病毒技術(shù)概述    8.1.1  計算機病毒分類    8.1.2  計算機病毒特征    8.1.3  計算機病毒的來源與傳播途徑  8.2  防病毒技術(shù)概述    8.2.1  防病毒產(chǎn)品的分類    8.2.2  防病毒網(wǎng)關功能    8.2.3  防病毒網(wǎng)關主流技術(shù)    8.2.4  防病毒網(wǎng)關的局限性  8.3  防病毒網(wǎng)關性能與部署    8.3.1  常見的防病毒網(wǎng)關產(chǎn)品    8.3.2  防病毒網(wǎng)關關鍵性能指標    8.3.3  防病毒網(wǎng)關部署方式  學習項目  8.4  項目1：防病毒過濾網(wǎng)關產(chǎn)品部署    8.4.1  任務1：需求分析    8.4.2  任務2：方案設計  8.5  項目2：防病毒設備配置    8.5.1  任務1：學習防病毒網(wǎng)關基本配置方法    8.5.2  任務2：防病毒網(wǎng)關的配置實訓練習題

章節(jié)摘錄

插圖：（3）無法控制局域網(wǎng)用戶對互聯(lián)網(wǎng)及對服務器的訪問，網(wǎng)絡訪問均不在受控范圍內(nèi)。根據(jù)上述情況，該企業(yè)的網(wǎng)絡管理員找到了一家專業(yè)的網(wǎng)絡安全公司尋求幫助，并提出以下要求：（1）設計一個針對本企業(yè)目前網(wǎng)絡及應用適用的網(wǎng)絡安全方案；（2）方案可以實現(xiàn)對互聯(lián)網(wǎng)邊界的訪問控制與保護，可以抵御來自互聯(lián)網(wǎng)的攻擊；（3）方案可以對內(nèi)部服務器進行獨立的保護；（4）根據(jù)需要應該可以進一步實現(xiàn)對內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)的控制；（5）配備的產(chǎn)品應具備高擴展能力，可以在適當時候增加其他需要的功能模塊，如VPN等；（6）配備的產(chǎn)品應采用最新技術(shù)，產(chǎn)品應具有延續(xù)性，至少保證5年的產(chǎn)品升級延續(xù)。根據(jù)上述情況，該專業(yè)公司（為方便說明問題，以下以第一人稱角度進行描述）計劃為此客戶設計一個切實可行并具備一定擴展能力的網(wǎng)絡安全方案。1.5.2 任務2：方案設計我們在接到客戶的需求并進行分析后，首先發(fā)現(xiàn)客戶網(wǎng)絡的安全區(qū)域（SSN）劃分不夠明確，為此，在方案中首先對客戶的網(wǎng)絡安全區(qū)域進行了設計。區(qū)域劃分是網(wǎng)絡安全規(guī)劃的首要任務，安全區(qū)域劃分除了可以實現(xiàn)對重點區(qū)域的重點保護外，還可以進一步對網(wǎng)絡及應用的安全邊界進行明確。根據(jù)對網(wǎng)絡及應用的了解，我們在方案中將這個客戶的網(wǎng)絡劃分為3個邏輯區(qū)域，區(qū)域情況分別如下：服務器區(qū)域：該規(guī)劃區(qū)域部署的是該單位重要的ERP、數(shù)據(jù)庫、OA等業(yè)務系統(tǒng)，對中心的日常辦公有著極其重要的意義，為此作為一個獨立的安全區(qū)域進行獨立的安全保護。內(nèi)網(wǎng)辦公區(qū)域：該區(qū)域為日常辦公計算機的一個區(qū)域，該區(qū)域下大約有100臺計算機，其中30臺計算機可以訪問互聯(lián)網(wǎng)，其他計算機不運行訪問互聯(lián)網(wǎng)，但可以訪問服務器區(qū)域的部分應用。該區(qū)域計算機均為接入終端，安全性要求較低，但該區(qū)域計算機因為數(shù)量大，分布不如服務器區(qū)域那么集中，維護和管理相對煩瑣，故該區(qū)域計算機出現(xiàn)故障、中病毒的概率較大，為避免影響到其他區(qū)域，所以也作為一個獨立的安全區(qū)域進行接入控制?；ヂ?lián)網(wǎng)區(qū)域：該區(qū)域是公眾區(qū)域，基本上大部分的安全威脅均是來自這個區(qū)域。同時，以后可能涉及的移動辦公及可能需要的和集團的互連，均需要通過互聯(lián)網(wǎng)區(qū)域。在進行上述區(qū)域劃分后，我們?yōu)榭蛻籼峁┝诉M一步的網(wǎng)絡規(guī)劃建議如下：雖然目前客戶內(nèi)部計算機數(shù)量只有百臺左右，但若網(wǎng)絡規(guī)劃不合理，即使內(nèi)部網(wǎng)絡采用千兆網(wǎng)絡，也可能出現(xiàn)網(wǎng)速慢，以及病毒極易傳播的問題，為此我們建議如下：（1）在核心交換機上進行Ⅵ,AN劃分，將服務器單獨作為一個VLAN；（2）將接入計算機按照重要性或部門分為多個VLAN；（3）各個VLAN間的路由及基本的ACL由核心交換機完成，如果核心交換機功能有限，可以使用部署在邊界的防火墻實現(xiàn)VLAN間的路由和訪問控制，但這樣需要選擇性能相對較高的防火墻設備。網(wǎng)絡IP地址規(guī)劃，不建議使用公網(wǎng)地址，建議根據(jù)今后一段時間的擴展需要，最好將VLAN內(nèi)地址分在一個C類私有網(wǎng)段，并且建議均使用固定IP，對于網(wǎng)絡維護及故障查找較DHCP方式方便。

編輯推薦

《信息安全產(chǎn)品配置與應用》：以防火墻、入侵檢測等核心信息安全產(chǎn)品應用為載體，培養(yǎng)學生信息安全綜合防御能力，采用項目導向、任務驅(qū)動，基于典型工作任務組織教學內(nèi)容。

圖書封面

評論、評分、閱讀與下載

---

    信息安全產(chǎn)品配置與應用 PDF格式下載

---