局域网安全管理实践教程

前言

随着21世纪的到来，人类已步入信息社会，信息产业正成为全球经济发展的主导产业。计算机科学与技术在信息产业中占据了重要的地位，随着互联网技术的普及和推广，网络技术更是信息社会发展的推动力，人们日常学习、生活和工作都越来越依赖于网络，因此关于信息技术、信息安全技术、网络安全技术正发展成为越来越重要的学科。互联网技术的发展改变了我们的生活，今天信息安全内涵已发生了根本变化。安全已从一般性的安全防卫，变成了一种非常普通的安全防范；从一种研究型的安全学科，变成了无处不在，影响人们学习、生活和工作息息相关的安全技术。技术的普及也推动了社会对人才的需求，因此建立起一套完整的网络安全课程教学体系，提供体系化的安全专业人才培养计划，培养一批精通安全技术的专业人才队伍，对目前高校计算机网络安全方向专业人才培养，显得尤为重要。1. 关于教材开发的背景结合国家“十二五”本科计算机专业课程规划体系，以及深入领会教育部计算机科学与技术教学指导委员会编制的《计算机科学与技术专业规范的知识体系和课程大纲》文件精神，为及时反映目前网络安全专业学科发展动态，创新教材编辑委员会组织编写了本书。希望编撰的网络安全知识内容，既重视理论、方法和标准的介绍，又兼顾技术、系统和应用分析，在内容结构和知识点布局上还有所创新。此外，随着互联网技术的普及和推广，日常学习和工作依赖于网络的比重增加，计算机网络安全的实施和防范技术，成为目前最为瞩目的学习内容。根据上述思路，创新网络教材编辑委员会选择网络安全技术在生活中具体应用作为教材开发主线，规划出面向实际工程案例，可操作、可应用、可实施的网络安全技术教程。希望规划的安全技术直观、形象、具体、可实施，选编和规划的安全知识具有专业化、体系化、全面化特征，能体现和代表当前最新的网络安全技术发展方向。2. 关于教材开发的指导思想通过调查目前市场发现，指导计算机网络安全实践教学内容的教材非常缺乏。翻阅市场上现存、数量有限的安全类教材，这些教材品种都偏重于网络安全理论诠释，而针对实际网络安全工程实施、可在课堂中动手实施的安全类教材甚少。正是基于此，创新网络教材编辑委员会组织国内院校一线教师，联合来自厂商专业工程师开发了这本覆盖基础网络安全技术的专业教程，希望着重培养学生对网络基础安全技术的兴趣。和同类以网络安全技术为研究方向的专业书籍相比，本书更注重实际安全问题的解决。全书以安全技术应用为主线，以培养学生安全问题解决能力为目标，以加强实际安全应用和技能锻炼为根本，满足学校安全类课程实验教学需要。因此，全书在开发过程中，强化实践教学能力的培养，着重讲授生活中的网络安全问题，诠释安全策略配置，最后依据学校提供的安全实践教学平台，直观、形象地解释安全技术，帮助学生理解抽象的网络安全专业理论。前言前言 3. 关于教材开发的内容本书是针对高等院校计算机、通信工程等相关专业，在学习基础网络安全理论时，配套开发的网络安全实验教程。全书详细地介绍了组建局域网安全过程中使用到的多项安全产品及其相关技术，涉及了路由、交换、无线局域网等多个网络安全实验，以弥补课堂理论学习中实践教学的不足。本书按照局域网组建过程中应用到的安全产品的类型，详细介绍组网过程中使用到的安全产品，遇到的安全问题，选择的安全技术，包括路由安全、设备安全、访问控制安全、端口安全、接入安全、无线局域网安全等实验操作及实施过程。全书对这些安全产品的基本配置、基本界面、功能配置都给予详细讲解，来帮助读者深入了解网络安全项目的设计与实施。通过对全部内容的学习，帮助读者更牢固地掌握安全技术、实施方法。全书包括了近四十多个难度不同的网络安全实验内容，适合学生循序渐进地学习。可作为高等院校计算机、通信工程等相关专业本科生和研究生计算机网络工程课程的实验教材。全书的实验设计和安排，以实际工程项目的需求为依据，旨在加深学生对网络安全工程所涉及的基础理论知识的理解，提高学生网络安全工程相关的动手实践能力、分析问题和解决问题的能力。4. 关于教材使用的方法通过全书提供的近三十多个安全实验的训练，能够帮助学生熟练掌握网络安全工程师所需要的基本实践技能。所有实验操作都以日常安全需求为主线串接知识，以问题解决过程作为核心，因此教师在使用本书时，可以作为相关安全理论学习完成之后的实验补充，帮助学生加强对抽象安全理论的直观理解。也可以根据教学的实际情况，从中选择部分实验教学内容，要求学生在学完理论之后，完成适当数量和难度的实验以补充理论诠释知识的不足。由于书中全部内容都来自实际工程案例的总结，本书还可作为就业前实习用书，通过对一定数量的安全工程案例学习，积累实际的安全施工经验，以增强安全类工程施工的能力和故障排除的能力。5. 关于课程的环境安排本书覆盖计算机网络安全规划、组建和配置中涉及到的主流安全设备配置、管理技术，书中所有项目都来自于多年积累的企业工程案例。经过提炼，按照再现企业工程项目的组织方式进行串接，每个工程项目都详细介绍了工程名称、工程背景、技术原理、工程设备、工程拓扑、工程规划、工作过程和结果验证等多个环节，循序渐进地展现企业工程项目施工过程，并把这些工程在网络实验室中搭建出来，积累工作中的施工经验。为顺利实施本教程，除需要对网络技术有学习的热情之外，还需要具备基本的计算机、网络、安全基础知识。这些基础知识为学习者提供一个良好的基础，帮助理解本书中的技术原理，为网络技术的进阶提供良好帮助。为很好地实施这些安全实验，还需要为本课程提供一个可实施交换、路由、无线和安全实验的网络环境，再现企业网络工程项目。这种课程工作环境包括：一个可以容纳40人左右的网络实验室，不少于4组实验台。每组实验台中包括的组网实验设备有二层交换机、三层交换机、模块化路由器、无线局域网接入设备、无线网卡、网络防火墙、测试计算机和若干根网络连接线（或制作工具）.虽然本书选择的工程项目来自厂商案例，使用的网络实验设备也是来自厂商，但本课程在规划中，力求全部的知识诠释和技术选择都具有通用性，遵循行业内通用技术标准和行业规范。全书中关于设备的功能描述、接口标准、技术诠释、协议细节分析、命令语法解释、命令格式、操作规程、图标和拓扑图形的绘制方法等，都使用行业内的标准，以加强其通用性。6. 关于课程的时间安排本书希望通过加强学生对网络设备的实践操作，积累网络工程一线施工经验，让学生深入理解网络安全设备的配置和运行机制，熟悉网络安全项目发生的场景，掌握施工过程。此外，借助网络安全实验平台，还可以学习网络安全设计、网络攻防和故障性能分析等相关知识，加强学生对网络安全技术的理解和掌握，培养学生的动手实践和设计分析能力，培养创新型人才。本书可作为高等院校计算机科学与技术、通信工程、计算机网络等相关专业本科生或研究生学习、研究网络安全技术的实验教材。其前导性的课程包括计算机网络、局域网组建、路由和交换技术等基础性网络技术。本课程的安排时间在36~72学时不等，根据学校具体教学计划安排来确定，可选择全部的内容作为实验对象，也可选择部分内容。课程时间一般安排在三年级学期段，学生在学完基础网络技术后，作为基础网络技术的提高和补充。此外,本书还可以作为社会上培训机构网络安全专业认证的培训教材，以及网络工程师、系统集成工程师和其他专业技术人员用于解决在实际工作中遇到的网络安全问题的技术参考用书。7. 关于课程资源不同的专业课程教学都具有其本身的针对性。强化安全技术专业实践能力、强化安全技术应用和安全技能素养的培养，是本课程区别于传统网络安全专业课程特色之一。即使在目前众多以技能为教学的实验课程中，本课程也具有其他课程不能比拟的个性。无论是前期为保证课程的有效实施，方便学校的管理，在课程实施环境（网络实验室）上投入资金，还是在课程规划思想上的创新、实验手段的多样性上，本课程研发上投入的人力都具有绝对优势。特别为有效保证课程实验的有效实施，保证课程教学资源的长期提供：安全案例的积累、最新安全技术的更新、新技术的学习、课程学习中的技术交流和讨论等。为此，本课程的研发队伍还专门投入人力和物力，为本课程建设有专门的实践教学俱乐部资源共享基地，以有效支持课程在实施的过程中资源的更新，疑难问题的解决，课程实施讨论等一系列支持和服务工作。详细内容可以访问和本课程实施配套的网站http://www.labclub.com.cn，可以获得更多的资源支持。8. 关于课程开发队伍本书由创新网络教材编辑委员会组织来自院系教学一线的专家、教师，联合来自厂商专业工程师队伍协作编写完成。这些工作在各行业内的专家，把自己多年来在各自领域中积累网络安全技术及工作经验，以及对网络安全技术的深刻理解，诠释成本书的经验积累。本书第一作者王继龙博士，毕业于清华大学计算机系，长期在清华大学信息网络工程研究中心从事大规模互联网的规划、建设、运行和研究工作，历任研发部主任、清华大学校园网运行中心主任、第二代中国教育和科研计算机网（CERNET2）运行中心主任，第二代跨欧亚信息网（TEIN2）运行中心主任等职位。其在网络安全领域的技术积累，以及多年在组建局域网络安全体系，维护局域网安全的宝贵经验，为全书规划了安全实验大纲，提供了技术方向引导，形成全书安全知识体系，并承担了部分安全实验编写任务。本书第二作者安淑梅女士毕业于东北大学，CCIE (#11720) ，高级工程师，熟悉思科网络、华为网络和锐捷网络产品和方案，拥有多家厂商的工作经历，熟悉面对不同的厂商安全设备，针对应用和实施网络安全防范能力。她多年在网络一线从事售前工程师、培训讲师的工作背景，参与过多个网络工程整网安全的规划、实施经历，对全书安全问题需求，再现企业安全工程实验的体例和样式，起到结构形成作用，并承担了部分实验编写任务。邵丹女士毕业于吉林大学，现为长春大学计算机科学技术学院副教授，学院主管教学主任，主攻网络集成和局域网安全，有多年丰富的教学经验，对全书按照教材风格形成、方便学生学习、方便课堂教学、在实验室中有效实施，以及从一线教师实施角度，提供了全书文字内容形式和语言风格编辑工作，承担了部分实验编写任务。王继龙负责全书项目立项工作，承担了全书关于局域网安全体系规划以及访问控制安全和网络接入安全章节的编写工作。安淑梅女士负责了全书案例整理和无线局域网安全章节编写任务。邵丹女士承担了端口安全和生成树安全章节编写任务。此外，在本书的编写过程中，还得到了其他一线教师、技术工程师、产品经理汪双顶、李文宇、方洋、张选波、高峡、杨靖、张勇、蔡韡等大力支持。他们积累多年的来自教学和工程一线的工作经验，都为本书的真实性、专业性以及方便在学校教学、方便实施给予了有力的支持。本书规划、编辑的过程历经近三年多的时间，前后经过多轮的修订，牵涉到很多的人力支持，其改革力度较大，远远超过前期策划的估计，加之课程组文字水平有限，错漏之处在所难免，敬请广大读者指正labserv@ruijie.com.cn.创新网络教材编委会2009年4月 为帮助学生全面理解安全技术细节，建立直观的网络安全印象，本书每一个实验开始时，都为读者引入一个来自企业真实网络的安全问题，建立教学、学习环境，让读者深入到网络安全的场景环境中，了解本节安全知识内容，了解对应施工中需要的技术。

内容概要

本书详细介绍在组建局域网中涉及的多项安全技术，包括路由网安全技术、交换网安全技术和无线局域网安全技术等实验内容。    全书共分为4个模块，按照组网中使用到的安全产品，详细讲述了使用这些网络安全设备，解决遇到的基础网络设施安全、访问控制安全、端口安全、接入安全和无线局域网安全等各种安全问题。全书对所使用到的相关安全产品的基本配置、基本界面、功能配置都做了详细的讲解，以帮助读者熟悉产品的使用，并进一步了解其在工程项目中的实施方法。    本书可作为高等院校计算机、通信工程等相关专业本科生或研究生的实验教材，也可作为网络安全专业认证的培训教材，还可作为网络设计师、网络工程师、系统集成工程师和其他专业技术人员解决网络安全问题的技术参考用书。

作者简介

王继龙，博士，毕业于清华大学计算机系。长期在清华大学信息网络工程研究中心从事大规模互联网的规划、建设、运行和研究工作。历任研发部主任、清华大学校园网运行中心主任、第二代中国教育和科研计算机网CERNET2运行中心主任、第二代跨欧亚信息网TEIN2运行中心主任等职

书籍目录

第1章 访问控制安全…………………………  1.1 使用标准IP ACL进行访问控制………  1.2 使用扩展IP ACL进行高级访问控制…  1.3 使用MAC ACL进行访问控制…………  1.4 使用专家ACL进行高级访问控制………  1.5 配置基于时间的访问控制………………第2章 端口保护安全…………………………  2.1 使用IP-MAC绑定增强接人安全………  2.2 使用端口安全提高接入安全……………  2.3 ARP攻击与防御（ARP检查）  …………  2.4 使用保护端口实现安全隔离……………  2.5 使用端口阻塞进行流量控制……………  2.6 配置系统保护功能………………………第3章 生成树安全……………………………  3.1 利用风暴控制抑制广播风暴……………  3.2 使用BPDU Guard提高STP安全性……  3.3 使用BPDU Filter提高STP安全性…第4章 网络接入安全…………………………  4.1 DHCP攻击与防御…………………  4.2 ARP攻击与防御（动态ARP检测）……  4.3 利用接入层802.1X安全网络接入  4.4 利用分布层802.1x安全网络接人…第5章 无线局域网络安全………………  5.1 实现无线用户的二层隔离………………  5.2 使用MAC认证实现接人控制…………  5.3 配置无线局域网中的WEP加密  5.4 配置MAC地址过滤（自治型AP）  5.5 配置SSID隐藏（自治型AP）……  5.6 配置WEP加密（自治型AP）……  5.7 使用Web认证实现接人控制……  5.8 使用802.1X增强接人安全性…  5.9 配置无线局域网中的WPA加密  5.10 非法AP和Client的发现与定位参考文献……………………………………

章节摘录

插图：【注意事项】在一些交换机中，只支持人方向的MAc ACL，所以在配置和应用MAC ACL时需要考虑ACL规则的配置方式，以及应用MAC ACL的接口。基于MAC地址的访问控制对交换设备的要求不高，并且基本对网络性能没有影响，配置命令相对简单，比较适合小型网络，规模较大的，网络不适用。使用MAC地址访问控制技术要求网络管理员必须明确网络中每个网络设备的MAC地址，并要根据控制要求对交换机的MAc表进行配置。采用MAC地址访问控制对于网管员来说，其负担是相当重的，而且随着网络设备数量的不断扩大，它的维护工作量也不断加大。另外，还存在一个安全隐患，那就是现在许多网卡都支持MAc地址重新配置，非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAc地址的方法，使用MAC地址“欺骗”，成功通过交换机的检查，进而非法访问网络资源。

图书封面

评论、评分、阅读与下载

---

    局域网安全管理实践教程 PDF格式下载

---