路由器安全策略

前言

在过去20年来，网络从archane(ARPAnet)发展到任何地方(无线热点)，并且已经被应用于卫生保健系统、航空、商业、视频通信、电话、存储和交互式运动等诸多领域。网络来源于数据中心，然后到达服务提供商，到达我们的邻居，到达我们的家里。对我而言，说网络安全是一个“重要的主题”无论如何都不过分，因为主机安全无法和它相提并论——网络安全需要花费很大的开销，而主机安全则花费甚少。为什么会是这种情况，为什么会发生这种情况呢?在此，我并不想正面回答这个问题，之所以承认网络安全至关重要，是因为网络现在是必不可少的。因此，本书包括了那些针对网络设备的现有威胁和攻击的知识，对这些威胁和攻击提供最佳防范的必要的网络设备配置技术，以及这些技术如何提高网络恢复能力的现实例子，以供读者学习。Gregg和David编写的这本图书将其篇幅划分为数据、管理和业务平面安全，解释了每种流量平面的概念、相关的安全威胁及对策。对所有4种流量平面提供保护对于网络设备的保护是必需的，对于保护由这些网络设备组成的网络则更是必需的。对所有这4种彼此不同的流量平面进行不遗余力的保护是惟一正确的做法。如果读者在阅读本书之后什么都没有做，那么询问自己，在对数据进行保护的同时，是否已经对自己日益依赖的数据、业务及功能不断丰富的网络进行了保护?经验告诉我们当中的每一个人，深入防御和广泛防御都属于强有力的安全技术。您的网络是由多种设备、多个层次组成的，并且其触角几乎无处不在——网络自身已经在保护您的网络中扮演了关键角色。要确保它是成功的，毕竟……我们都连接在一起。

内容概要

本书的目标在于使读者熟悉对IP网络流量平面进行分隔和安全保护所需的概念、效益以及实施细节。全书分4个部分。第1部分提供了IP协议、IP网络运行及路由器和路由硬件以及软件运行的基本概述。第2部分提供了深入、详细的内容以供网络专家实现IP流量平面分隔和保护策略，还针对经验不足的网络技术人员提供了详细的IP路由器运行描述。第3部分提供了针对两种不同网络类型——企业网络和服务提供商网络的案例研究。这些案例研究用于进一步说明在第2部分中介绍的策略如何集成为一个完整的IP网络流量平面分隔和保护规划。第4部分则对本书正文部分所讨论的内容进行了补充，提供了一些不仅在阅读本书过程中有用，而且在日常工作中也很有帮助的参考内容。　　本书适合组织机构中负责部署和维护IP及IP/MPLS网络的网络工程师，以及网络运营和网络安全性人员阅读。

作者简介

作者：(美国)Gregg Schudel (美国)David J.Smith 译者：姚维 李斌 沈金河Gregg Schudel，CCIE No．959l(Security)于2000年作为咨询系统工程师加入Cisco Systems，其职责是为美国的网络服务提供商组织提供支持。Gregg关注针对长途交换电信运营商、网络服务提供商及移动服务提供商的IP核心网络和服务安全性体系结构和技术。此外，Gregg还是Corporate and Field资源小组的成员，该小组的工作重点在于推动Cisco服务提供商安全性策略。在加入Cisco Systems之前，Gregg在BBN Technologies公司工作了多年，他负责支持与DARPA及联邦政府其他机构共同进行的涉及到安全性方面的网络安全性研究和开发。Gregg拥有乔治华盛顿大学的工程学硕士学位和获得佛罗里达理工学院的工程学学士学位。David J．Smith，CCIE No．1 986(Routing and Switching)于1995年作为咨询工程师加入Cisco Systems，其职责是为美国的网络服务提供商组织提供支持。David从1999年开始关注服务提供商IP核心和边缘网络技术，包括IP路由、MPLS技术、QoS、架构安全性及网络遥测。在1995-1999年，David负责为企业用户在设计园区WAN和全球WAN方面提供支持。在加入Cisco Systems之前，David在Bellcore公司工作，负责开发系统软件以及开通ATM交换机试验局。David在卡内基·梅隆大学获得信息网络硕士学位，在里海大学获得计算机工程学士学位。

书籍目录

第1部分　第1章　互联网协议操作基础　　　1.1　IP网络概念　　　　1.1.1　企业网络　　　1.1.2　服务提供商网络　　1.2　IP协议操作　　　1.3　IP流量概念　　　　1.3.1　过境IP包　　　　1.3.2　接收—邻接IP包　　　　1.3.3　异常IP和非IP包　　1.4　IP流量平面　　　　1.4.1　数据平面　　　　1.4.2　控制平面　　　　1.4.3　管理平面　　　　1.4.4　服务平面　　　1.5　IP路由器包处理概念　　　　1.5.1　进程交换　　　　1.5.2　快速交换　　　　1.5.3　思科特快转发　　　1.6　常见的IP路由器体系结构类型　　　　1.6.1　集中式的基于CPU的体系结构　　　　1.6.2　集中式的基于ASIC的体系结构　　　　1.6.3　分布式的基于CPU的体系结构　　　　1.6.4　分布式的基于ASIC的体系结构　　　1.7　小结　　　1.8　复习题　　　1.9　延伸阅读　第2章　IP网络的威胁方式　　　2.1　对于IP网络基础设施的威胁　　　　2.1.1　资源消耗攻击　　　　2.1.2　欺骗攻击　　　　2.1.3　传输协议攻击　　　　2.1.4　路由协议威胁　　　　2.1.5　其他IP控制平面威胁　　　　2.1.6　未经授权的接入攻击　　　　2.1.7　软件漏洞　　　2.1.8　恶意网络监测　　　2.2　针对第2层网络基础设施的威胁　　　2.2.1　CAM表溢出攻击　　　　2.2.2　MAC欺骗攻击　　　　2.2.3　VLAN的跳跃攻击(VLAN Hopping Attacks)　　　2.2.4　专用VLAN攻击　　　　2.2.5　STP攻击　　　　2.2.6　VTP攻击　　2.3　针对IP VPN网络基础设施的威胁　　　　2.3.1　MPLS VPN威胁模式　　　　2.3.2　针对用户边缘的威胁　　　2.3.3　针对运营商边缘的威胁　　　　2.3.4　针对运营商核心的威胁　　　　2.3.5　针对跨运营商边缘的威胁　　　　2.3.6　IPSec VPN的威胁模式　　　2.4　小结　　　2.5　复习题　　2.6　延伸阅读　　第3章　IP网络流量平面安全概念　　　3.1　全方位防御的原则　　　……第2部分　第4章　IP数据平面安全性　　第5章　IP控制平面安全性　　第6章  IP管理平面安全性　　第7章  IP服务平面安全性第3部分　第8章  企业网络案例研究　　第9章  服务提供商网络案例研究　第4部分　附录A　复习题答案　附录B　IP协议报头　　附录C　Cisco IOS到XOS XR安全性过渡　　附录D　安全事故处理　

章节摘录

插图：第1部分第1章　互联网协议操作基础　1.5　IP路由器包处理概念本章最后要讨论的一个议题是路由器的软件和硬件体系结构。这个议题可以与前面所有的概念结合在一起，共同说明IP流量平面的分离与控制，对于IP网络的稳定、性能和运行的重要性。路由器的作用是转发数据包。无论是来自数据平面还是服务平面的数据包，路由器都必须尽可能高效地对其进行处理。同时，这些路由器还必须通过控制平面和管理平面来建立和维护网络。IP流量平面的概念是一个“逻辑的”概念，它为制定和执行具体的安全需求提出了一个框架。正如图1—5（略）所示的，IP流量平面的安全概念，既可以从互联网的角度来解读，也可以从单独的路由器的角度来解读。流量从何处来，又到何处去？网络的边界在哪里，什么样的流量可以穿过边界？在不同的路由协议中，应包含哪些IP地址？这些问题，以及许多其他方面的问题，都将在后续章节中进行讨论和解答。正如图1一5（略）中的透视图所示，在这一过程中最重要的部分是，那些在网络中独立的路由器处理真实的数据包。日复一日，这些设备只能以一种自治的方式，协调自身的硬件、软件和配置进行工作。了解一个独立的路由器是如何处理每一个从接口处接收到的数据包类型，以及路由器在处理这些数据包时必须调用的资源，是IP流量平面安全的关键概念。 虽然本节的描述特别侧重于思科路由器，但是，这些概念并非仅适用于思科的平台。每一个“接触”到数据包的网络设备，都具有一个硬件和软件的体系结构，设计这些体系结构的目的是处理数据包，确定对数据包进行的操作，并对数据包应用某些策略。在这里，术语“策略”意味着任何被应用于数据包的操作，一般包括转发／丢弃、整形邝艮制速率、重新着色、复制和隧道/封装。路由器的主要目的是将包从一个网络接口转发到另一个接口。每个网络接口，或者代表一个直连网段，包含主机和服务器，或者代表在沿着数据包最终目的地址的下游路径中，指向下一跳路由设备的连接。从最根本的意义上说，IP路由器的第3层决策过程包括以下几个步骤。

编辑推荐

《路由器安全策略》能够帮助读者全面理解并实现IP路由器上的IP流量平面分隔和保护。书中详细介绍了lP网络的不同流量平面和用于保护它们的高级技术，这些流量平面包括数据平面、控制平面、管理平面和业务平面，它们提供了lP网络连接的基础架构。

图书封面

图书标签Tags

无

评论、评分、阅读与下载

---

    路由器安全策略 PDF格式下载

---