路由器安全策略
点此进入淘宝搜索页搜索分類: 图书,工业技术,电子 通信,通信,通信网,
作者: (美)舒德尔,(美)史密斯著;姚维,李斌,沈金河译
出 版 社: 人民邮电出版社
出版时间: 2008-9-1字数: 728000版次: 1页数: 446印刷时间: 2008/09/01开本: 16开印次: 1纸张: 胶版纸I S B N : 9787115185914包装: 平装编辑推荐
了解fP网络和路由器的操作。
了解lP网络、第2层以太网交换环境。以及IPSec和MPLS VON服务所面临的众多威胁模型。
了解如何应用既有深度又有广度的原则来对每种IP流量平面进行分隔和保护。
使用诸如.ACL、速率限制、IP选项过滤、uPPF、QoS、RTBH、QPPB以及许多其他方式来保护IP和交换网络的数据平面。
使用rACL、CoPP、GTSM、MD5、BGP和ICMP技术以及第2层交换式以太网的特定技术来保护IP控制平面。
使用密码管理、SNMP、SSH、NTP、AAA以及其他VPN管理、带外管理和远程访问管理技术来保护IP管理平面。
使用重新着色、IP分段控制、MPLS标记控制以及其他流量分类和进程控制技术来保护IP业务平面。
本书能够帮助读者全面理解并实现IP路由器上的IP流量平面分隔和保护。书中详细介绍了lP网络的不同流量平面和用于保护它们的高级技术,这些流量平面包括数据平面、控制平面、管理平面和业务平面,它们提供了lP网络连接的基础架构。
“了解IP流量平面并对它们进行保护。对于IP基础架构的整体安全性而言至关重要。本书所介绍的技术可以提供有效的防御措施.帮助操作人员了解潜在的安全攻击风险并加以防范。随着安全攻击风险的日益普遍,对于厂商和服务提供商而言,共同致力于对IP基础架构提供防护是至关重要的。”——RusseIl Smoak。Cisco公司技术服务及安全智能工程总监
内容简介
本书的目标在于使读者熟悉对IP网络流量平面进行分隔和安全保护所需的概念、效益以及实施细节。全书分4个部分。第1部分提供了IP协议、IP网络运行及路由器和路由硬件以及软件运行的基本概述。第2部分提供了深入、详细的内容以供网络专家实现IP流量平面分隔和保护策略,还针对经验不足的网络技术人员提供了详细的IP路由器运行描述。第3部分提供了针对两种不同网络类型——企业网络和服务提供商网络的案例研究。这些案例研究用于进一步说明在第2部分中介绍的策略如何集成为一个完整的IP网络流量平面分隔和保护规划。第4部分则对本书正文部分所讨论的内容进行了补充,提供了一些不仅在阅读本书过程中有用,而且在日常工作中也很有帮助的参考内容。
本书适合组织机构中负责部署和维护IP及IP/MPLS网络的网络工程师,以及网络运营和网络安全性人员阅读。
目录
第1部分
第1章互联网协议操作基础
1.1IP网络概念
1.1.1企业网络
1.1.2服务提供商网络
1.2IP协议操作
1.3IP流量概念
1.3.1过境IP包
1.3.2接收—邻接IP包
1.3.3异常IP和非IP包
1.4IP流量平面
1.4.1数据平面
1.4.2控制平面
1.4.3管理平面
1.4.4服务平面
1.5IP路由器包处理概念
1.5.1进程交换
1.5.2快速交换
1.5.3思科特快转发
1.6常见的IP路由器体系结构类型
1.6.1集中式的基于CPU的体系结构
1.6.2集中式的基于ASIC的体系结构
1.6.3分布式的基于CPU的体系结构
1.6.4分布式的基于ASIC的体系结构
1.7小结
1.8复习题
1.9延伸阅读
第2章IP网络的威胁方式
2.1对于IP网络基础设施的威胁
2.1.1资源消耗攻击
2.1.2欺骗攻击
2.1.3传输协议攻击
2.1.4路由协议威胁
2.1.5其他IP控制平面威胁
2.1.6未经授权的接入攻击
2.1.7软件漏洞
2.1.8恶意网络监测
2.2针对第2层网络基础设施的威胁
2.2.1CAM表溢出攻击
2.2.2MAC欺骗攻击
2.2.3VLAN的跳跃攻击(VLAN Hopping Attacks)
2.2.4专用VLAN攻击
2.2.5STP攻击
2.2.6VTP攻击
2.3针对IP VPN网络基础设施的威胁
2.3.1MPLS VPN威胁模式
2.3.2针对用户边缘的威胁
2.3.3针对运营商边缘的威胁
2.3.4针对运营商核心的威胁
2.3.5针对跨运营商边缘的威胁
2.3.6IPSec VPN的威胁模式
2.4小结
2.5复习题
2.6延伸阅读
第3章IP网络流量平面安全概念
3.1全方位防御的原则
……
第2部分
第4章IP数据平面安全性
第5章IP控制平面安全性
第6章 IP管理平面安全性
第7章 IP服务平面安全性
第3部分
第8章 企业网络案例研究
第9章 服务提供商网络案例研究
第4部分
附录A复习题答案
附录BIP协议报头
附录CCisco IOS到XOS XR安全性过渡
附录D安全事故处理
书摘插图
第1部分
第1章互联网协议操作基础
1.5IP路由器包处理概念
本章最后要讨论的一个议题是路由器的软件和硬件体系结构。这个议题可以与前面所有的概念结合在一起,共同说明IP流量平面的分离与控制,对于IP网络的稳定、性能和运行的重要性。
路由器的作用是转发数据包。无论是来自数据平面还是服务平面的数据包,路由器都必须尽可能高效地对其进行处理。同时,这些路由器还必须通过控制平面和管理平面来建立和维护网络。IP流量平面的概念是一个“逻辑的”概念,它为制定和执行具体的安全需求提出了一个框架。正如图1—5(略)所示的,IP流量平面的安全概念,既可以从互联网的角度来解读,也可以从单独的路由器的角度来解读。流量从何处来,又到何处去?网络的边界在哪里,什么样的流量可以穿过边界?在不同的路由协议中,应包含哪些IP地址?这些问题,以及许多其他方面的问题,都将在后续章节中进行讨论和解答。
正如图1一5(略)中的透视图所示,在这一过程中最重要的部分是,那些在网络中独立的路由器处理真实的数据包。日复一日,这些设备只能以一种自治的方式,协调自身的硬件、软件和配置进行工作。了解一个独立的路由器是如何处理每一个从接口处接收到的数据包类型,以及路由器在处理这些数据包时必须调用的资源,是IP流量平面安全的关键概念。
虽然本节的描述特别侧重于思科路由器,但是,这些概念并非仅适用于思科的平台。每一个“接触”到数据包的网络设备,都具有一个硬件和软件的体系结构,设计这些体系结构的目的是处理数据包,确定对数据包进行的操作,并对数据包应用某些策略。在这里,术语“策略”意味着任何被应用于数据包的操作,一般包括转发/丢弃、整形邝艮制速率、重新着色、复制和隧道/封装。
路由器的主要目的是将包从一个网络接口转发到另一个接口。每个网络接口,或者代表一个直连网段,包含主机和服务器,或者代表在沿着数据包最终目的地址的下游路径中,指向下一跳路由设备的连接。从最根本的意义上说,IP路由器的第3层决策过程包括以下几个步骤。
……
