无

说起安全问题，给大家的第一印象就是戴着黑色眼镜的卡通人物，含着不怀好意的阴笑，操纵着计算机，在别的计算机系统（企业网络和个人计算机）中随意进出、为所欲为。其实网络安全，包括很多层面，就内部网络角度来说，从接入互联网的瞬间就开始涉及网络接入安全；终端用户访问互联网就涉及互联网访问安全；随着操作系统使用的不断深入，发现的漏洞越来越多，就涉及系统补丁安全；企业
的机密信息都存储在数据库中，涉及数据库安全，总之，只要使用计算机，就会涉及网络安全问题。
　　随着网络应用的深入、网络规模的扩大和数据存储量的增加以及网络蠕虫和恶意攻击的日益猖獗，对安全的要求也越来越高。网络攻击事件之所以频频发生，最根本的原因还在于操作系统、网络设备甚至网络协议本身都存在着严重的安全漏洞。只要稍有疏忽或防范不及时，网络安全灾难便如影而至。由此不难看出，对于网络管理员而言，网络安全工作最为重要。
　　本书主要内容
　　本书首先从理论角度对网络安全进行定义，从网络接入、活动目录、系统补丁、数据安全、安全策略部署、用户安全、病毒防御、操作系统灾难恢复入手，针对网络中涉及的安全问题，有目的和针对性地给出了相应的解决方案，最大限度地介绍了网络中所有有关安全的因素以及局域网的安全管理体系，并提供了全面的局域网安全解决方案。通过对大量实例深入细致分析，进一步培养了读者分析问题和解决问题的能力，使读者能够全面掌握局域网中的安全管理与设置技术，全面提升网络的安全水平，迅速成长为合格的安全管理员。
　　本书共分为18章，围绕网络安全的理念展开。第1章“网络安全概述”介绍网络安全的定义以及网络可能遇到的威胁。第2章“系统加固”介绍如何安装并设置一个安全的操作系统。第3章“活动目录安全”介绍Active Directory相关安全措施。第4章“用户账户安全”介绍如何安全的设置账户。第5章“安全策略”介绍在基于Active Directory的网络中，安全策略的部署和实施。第6章“注册表安全”介绍如何保护操作系统的系统配置数据库注册表。第7章“系统漏洞”介绍漏洞的定义以及漏洞扫描、预警和分发等。第8章“组策略安全”介绍使用组策略发布安全策略。第9章“文件安全”，讲解如何保护网络中的文件以及数据的备份、删除和恢复。第10章“操作系统灾难恢复”讲解如何恢复已经瘫痪的操作系统。第11章“备份与恢复”介绍活动目录数据库与SQL Server数据库的备份和恢复。第12
章“病毒防御”介绍如何使用Mcafee和ISA 2004阻挡病毒侵袭。第13章“网络设备IOS安全”介绍交换机、路由器的IOS级别安全。第14章“交换机安全配置”介绍VLAN、PVLAN、基于端口的认证和基于端口的流量控制以及系统日志和性能监控等安全设置。第15章“无线网络安全”介绍无线AP和无线客户端的安全设置以及如何使用WCS配置无线安全。第16章“路由器安全”绍IP和MAC访问列表的配置与应用，网络攻击的防范以及使用SDM配置路由器安全。第17章“安全设备规划与
配置”介绍防火墙、IDS和IPS的特点与适用，安全设备的规划与连接以及使用ASDM配置安全设备。
　　第18章“网络客户端安全”介绍Windows 2000/XP/Vista的网络安全设置。
如何使用本书本书从服务器操作系统、网络设备、防病毒系统、网络接入以及客户端系统等方面详细介绍了网络安全的各个层面，让读者了解到安全在网络环境中无所不在，任何一个细微的漏洞都有可能造成网络的瘫痪。
　　由于网络安全的任何改变，都有可能影响网络的正常运行，因此，不能贸然在网络中运行本书中的任何实验，以免发生不可预知的严重后果，建议另行搭建模拟实验环境。即使需要对现有网络进行调整和修改，也必须先备份原有的配置文件，做好相应的工作记录，并在非工作时间段实施。
　　本书适合的读者对象
　　本书适合以下读者朋友：
行政机关、企事业单位中正在从事网络和安全管理工作的网络管理员和安全系统工程师。
见习期或试用期的准网络管理员和准安全系统工程师。
网吧管理员和机房管理员。
网络工程、信息安全技术、计算机网络技术和网络系统管理等网络相关专业的大专院校学生。
计算机培训学校网络专业的学生。
计算机网络爱好者。
学完本书您能掌握什么
本书是一本专门为大中型企业的网络管理员量身打造的安全教程，以迅速完成从电脑爱好者向专业
网管员的过渡。学完本书后您能掌握：
规划设计中小型网络安全，建立完整的网络安全体系。
服务器操作系统的安装和配置。掌握操作系统加固措施，网络中部署系统漏洞检测和发布系统补
丁，掌握Active Directory和域用户的管理，掌握在Active Directory环境下，安全策略的部署、
组策略的使用以及保护注册表的方法。
网络设备安全。合理配置网络设备的配置和管理以及网络设备的安全规划和管理。掌握防火墙设
备、路由器设备、入侵检测设备、无线设备的安全配置和使用。
网络防病毒系统。采用正确的方式防止病毒进入到网络，了解病毒重点在预防。切断病毒传染的
途径，部署安装防病毒客户端系统以及病毒库的自动更新和强制更新。
掌握备份和恢复机制，网络管理员的重要任务就是备份、备份再备份。
掌握客户端计算机的安全配置和管理。
创作团队介绍
本书由王淑江编著，刘晓辉、王春海、李海宁、田俊乐、陈志成、许广博、赵卫东、刘淑梅、杨伏
龙、李文俊、王同明、石长征、莫展红、肖丽芳等也参与了部分章节的编写工作。作者均长期从事网络
教学、实验和管理工作，规划、设计、论证、实施、验收过多个大中型网络建设项目，具有较深的理论
功底和丰富的实践经验，出版DOS命令行丛书、Windows Server 2003系统管理丛书、《网管天下》丛
书、《Windows Server 2003组网教程》丛书、《网管从业宝典》系列，获得了读者的好评。

王淑江　　
2007年7月　　

网络管理员大概是最难做好的职业之一。原因很简单，网络运行正常时没有人会想起你，而一旦网络断了或者是网络慢了，那么，肯定是你的工作没有做好，根本没有人去听什么诸如网络资源滥用、网络设备老化、系统病毒感染之类的借口和解释。所以，最称职的网管是大家都不知道有你这个网管的网管，像绿叶一样悄悄地躲在幕后，默默地为网络运行奉献着自己的青春与技术。因此，一个好的网络管
理员，不仅要有好的技术，而且要有好的心态。
　　根据技术水平的高低，网络管理员大致可以分为三个层次，即庸手、俗手和高手。庸手网管在网络正常时悠哉悠哉、无所事事，然而，一旦遇到问题和故障就大脑发懵、无计可施，最终在一片指责声中黯然走人。俗手网管终日忙忙碌碌，不断遇到各种各样的问题和故障，每天帮用户查杀病毒、重装系统，充当救火队员的角色。尽管解决了数不清的难题，由于网络运行得不够顺畅，尽管每天累得半死，最终还是落得费力不讨好的下场。高手网络管理员的日子过得非常悠闲，虽然每天咖啡一杯、清茶一壶，网络却能够一直正常、稳定、高效地运行。当然，这一切都得益于网络规划得当、防范措施有力、技术手段老道，诸事均在掌握之中。即使遇到一些不可预见的网络问题，也能在谈笑间轻松化解，不仅工作轻轻松松，还能获得领导的赏识和器重。同样是网络管理员，同样管理着类似的网络，为什么彼此之间的差别竟然那么大呢？原因很简单，一名优秀的网络管理员不仅要有丰富的工作经验，而且还要掌握必要的网络技术和理论。
　　本丛书为网络管理员和准网络管理员们提供了全方位的技术资源和网管经验，从而能够迅速提高读者的理论水平、动手能力和管理技能。
　　丛书特点
　　专业性。突出网络管理员的专业技术特点，所有内容紧紧围绕网络搭建、配置与管理展开，力求将读者打造成称职的网络管理员。对网络基础知识解释到位，用通俗的比喻阐述枯涩的知识；对网络基本技能演示到位，确保读者掌握日常管理和维护的各种操作。
　　实用性。从网络实际应用的角度构建本丛书，内容涉及服务搭建、设备配置、系统管理、安全规划和故障排除，囊括了网络管理工作中遇到的各种理论和技术。在讲解基础理论和技术的同时，适时地给出一些示例进行说明，使各知识点与网管日常工作的结合更加紧密。
　　典型性。配置示例、应用案例和解决方案选择恰当，具有典型性和代表性，便于读者举一反三地应用于自己的网络，是一套不可多得的、用于指导日常网络管理工作的技术手册。
　　系统性。丛书中的每本书系统地讲述网络管理的一个方面，着重解决与之相关的问题，彼此配合形成一个完整的整体。就每本书而言，章节之间相互连贯，结构合理、知识系统、繁简得当，可以作为相关专业学生的教材或教学参考资料。
　　新颖性。兼顾正在使用的网络设备和网络技术的同时，尽量选用最新的硬件设备和软件版本，介绍最新的网络技术和网络应用，应用示例和解决方案都具有现实的指导意义，网络设计和网络规划具有一定的前瞻性，所述理论和技术在3~5年内够用并不落伍。

　　丛书结构
　　本丛书包括如下几本图书：
　　网络基础
　　系统概括计算机网络的基本理论，详细阐述OSI模型与网络协议、网络规划与综合布线、对等网络与服务器/客户端网络、Intranet服务与应用，Internet接入与网络安全，无线网络搭建与实现以及网络管理与故障排除，反映网络技术发展的趋势。
　　网络设备
　　详细介绍用于构建网络的最重要的硬件设备——交换机、路由器、安全设备和无线设备，涵盖原理、参数、分类、适用、规划、接口、连接、配置、管理、监控及故障等诸多方面，体现并融合最新技术、最新设备和最新应用，是一整套紧贴网络搭建、配置和管理实际的完全硬件解决方案。
　　网络服务
　　全面介绍Windows Server 2003 R2中最常用的各种服务的使用，包括域名服务、动态IP地址服务、Windows名称服务、活动目录服务、Web服务、FTP服务、电子证书服务、流媒体服务、E-mail服务、分布式文件系统服务、文件服务器、资源发布与共享服务、远程安装服务、Windows部署服务、终端服
务以及路由和远程访问服务。
　　网络应用
　　深入介绍网络服务程序及其应用，包括RMS权限管理服务，Exchange邮件服务，KCS即时消息服务，WSUS系统更新服务，Symantec网络防病毒服务，MOSS信息共享与流转服务，Virtual Server虚拟化服务，Ghost软件分发服务，SMS网络客户系统管理服务以及ISA Internet连接共享服务，从而在原有网络平台的基础上，实现网络的真正应用。
　　网络管理
　　深入介绍在网络日常管理中，网络管理员必须掌握的知识，如系统管理、性能调优、故障恢复、资源管理、服务管理、部门管理、用户管理、设备管理、安全管理等，提供全面的局域网管理解决方案，彻底将网络管理员从繁杂的日常管理中解脱出来，使网络管理工作变得有条不紊、轻松自如。
　　网络安全
　　深入介绍网络安全的规划、配置与实现技术，包括系统管理、用户账户、病毒防御、灾难恢复、文件备份、安全策略、注册表等服务器安全，VLAN划分、用户认证、登录限制、访问列表、用户权限、性能监控等网络设备安全，防火墙、入侵检测、入侵防护等安全设备的规划配置以及无线网络和网络客户端的安全配置，构建完整地安全防御体系，提供全面的安全解决方案。
　　网络布线
　　全面介绍网络综合布线的理论和技术，包括网络综合布线技术背景知识，布线介质和材料的选择，综合布线系统设计、施工、监理、测试、验收等过程的技术细节及案例。另外，还简要介绍网络系统集成工程中网络设备的安装、连接和调试技术。

　　网络故障
　　分类整理大量典型的网络故障案例，包括网络链路故障、交换机故障、路由器故障、无线网络故障、网络安全故障、Windows服务故障以及Exchange、SQL和ISA等重要应用服务故障，简要介绍Windows、DOS命令行诊断工具的典型应用以及常见硬件测试诊断设备的使用。
　　网管工具
　　精选上百款常用的网络管理工具软件，详细讲解各种工具的功能、特点和适用范围，涉及网络管理、系统管理、安全管理、网络监视、性能测试、故障诊断等诸多方面，并针对具体应用列举了大量经典示例，真正做到学以致用。
　　网管经验
　　分类整理资深网络管理人员在长期实际工作中积累的宝贵经验和技巧，涉及网络规划、综合布线、设备配置、服务搭建、网络管理、网络服务、客户管理、系统安全、权限划分、资源分配、故障排除等诸多方面的内容。
　　读者对象
　　本丛书面向的对象是网络管理员和准网络管理员以及大专院校计算机相关专业的学生，也可作为计算机专业学校的网络培训教材。要求读者熟悉Windows基本操作，了解简单的网络基础理论。本丛书为网络管理员和准网络管理员们提供了全方位的技术资源和网管经验，从而能够迅速提高读者的理论水平、动手能力和管理技能。借助本丛书，读者将掌握网络规划与设计、布线实施与测试、设备配置与管
理、服务搭建与应用、安全设计与实现、故障诊断与排除，从而成长为具有中高级水平的网络管理员。
　　创作团队
　　本丛书作者全部长期工作于网管第一线，深谙网管之道、精通网管之术、洞察网管之理，因此，图书内容不仅言之有物，而且入木三分、一语中的。
　　本丛书主创人员包括：
　　刘晓辉，MCSE、CCNP、网络安全规划师，高级工程师。长期从事网络教学、实验和管理工作，规划、设计并主持过多个大中型网络建设项目。在《电脑报》、《中国电脑教育报》、《在线技术》等报刊发表百余篇文章，出版DOS命令行丛书、Windows Server 2003系统管理丛书、《网管天下》丛书、《Windows Server 2003组网教程》丛书。
　　王春海，高级实验师，MCSE、MCDBA。主持组建过若干广域网、局域网工程，有着非常丰富的网络规划和建设经验，并且在网络维护、网络故障、网络安全、数据恢复和虚拟机应用等方面有独到的见解。1995年接触网络，2001年开始写作。在《电脑报》、《中国计算机报》、《网管员世界》等报刊发表几十篇文章，出版《最新无盘工作站与终端配置及应用实例详解》丛书、《非常网管》丛书、《网管天下》丛书。
　　王淑江，系统工程师、网络安全规划师，MCSE，CNE。长期从事网络产品服务、系统部署、软件开发，多次参加Microsoft、Cisco专业技术培训。在《电脑报》、《网管员世界》、《在线技术》等报刊发表几十篇文章，出版《DOS命令行》丛书和《Windows Server 2003系统管理》丛书。
　　附送手册
　　演示光盘中附赠了非常实用的网管工具速查手册、网络常见问题与故障速查手册、DOS命令速查手册以及思科网络产品速查手册和思科合作伙伴工程师技术参考手册，便于读者在网络的管理和维护、规划与设计时使用，从而使本丛书更加物有所值。
　　演示光盘
　　丛书中的每本图书都附送有精美的演示光盘，在视频演示的引导下，相信读者能够迅速掌握网络服务的搭建和网络设备的配置等基本操作。
　　技术支持
　　本丛书为读者提供了多种形式的售后技术支持，包括：
　　技术讲座。组织丛书作者在一些大中城市巡讲，当面解答读者的疑问。
　　QQ技术群。创建了QQ读者群29568634，在线实时解决读者问题。
　　网站BBS。开通了BBS公告板http://bbs.coolpen.net，实现作者与读者的热情互动。
　　E-mail邮件。申请了丛书的答疑信箱chjwg@163.com，为读者提供技术支持。

王淑江：暂无简介

目　　录
丛书序
前言
光盘使用说明
第1章　网络安全概述 1
1.1　安全定义 2
1.1.1　国内对信息安全的定义 2
1.1.2　国外对信息安全的定义 2
1.2　网络安全现状 3
1.2.1　病毒问题 3
1.2.2　非法访问和破坏 3
1.2.3　管理漏洞 3
1.2.4　网络的缺陷及漏洞 4
1.3　网络安全防御体系 4
1.3.1　可靠性 4
1.3.2　可用性 5
1.3.3　保密性 5
1.3.4　完整性 5
1.3.5　不可抵赖性 6
1.3.6　可控性 6
1.4　网络威胁 6
1.4.1　网络威胁简介 6
1.4.2　系统漏洞威胁 7
1.4.3　人为因素威胁 8
1.4.4　黑客入侵 9
第2章　系统加固 12
2.1　操作系统安装与更新 13
2.1.1　安装时的安全注意事项 13
2.1.2　补丁安装注意事项 13
2.1.3　补丁安装 14
2.2　系统管理员账户 16
2.2.1　默认组权限 17
2.2.2　更改Administrator账户名称 18
2.2.3　系统管理员口令设置 19
2.2.4　创建陷阱账号 21
2.3　磁盘访问权限 22
2.3.1　权限范围 22
2.3.2　设置磁盘访问权限 23
2.3.3　查看磁盘权限 24
2.4　系统账号数据库 25
2.4.1　启用加密 26
2.4.2　删除系统账号数据库 27
2.5　Internet连接防火墙 28
2.5.1　Internet防火墙简介 28
2.5.2　启用Internet防火墙 28
2.6　安全配置向导 29
2.6.1　安装安全配置向导 29
2.6.2　配置安全服务 30
2.6.3　应用安全配置策略 40
2.7　默认共享 40
2.7.1　查看默认共享 41
2.7.2　停止默认共享 42
2.7.3　设置隐藏的共享 45
2.8　关闭端口 46
2.8.1　服务端口 47
2.8.2　端口威胁 48
2.8.3　查看端口 48
2.8.4　TCP/IP筛选器 49
2.8.5　启动/关闭服务法 51
2.9　系统服务安全 52
2.9.1　系统服务配置注意事项 52
2.9.2　服务账户 52
第3章　活动目录安全 54
3.1　限制登录用户 55
3.2　目录访问权限 56
3.3　辅助域控制器 57
3.4　删除活动目录 61
3.4.1　删除Active Directory的注意事项 61
3.4.2　删除Active Directory 61
3.5　SYSVOL安全 64
3.5.1　SYSVOL重定向 65
3.5.2　更改SYSVOL存储空间 71
3.6　全局编录 72
第4章　用户账户安全 74
4.1　安全加入域 75
4.2　限制域管理员的权限 78
4.2.1　删除Domain Admins组 78
4.2.2　限制单个域管理员的权限 78
4.2.3　限制多个域组的权限 81
4.3　系统管理员账户的管理 82
4.3.1　系统管理员口令设置 82
4.3.2　系统管理员账户安全管理 83
4.4　管理账户 84
4.4.1　创建安全用户账户 84
4.4.2　重设用户密码 87
4.4.3　管理用户账户 88
4.4.4　用户访问限制 89
4.4.5　用户组安全 90
4.5　访问权限 92
4.5.1　为用户设置权限 92
4.5.2　将用户权限指派到组 93
4.5.3　共享文件夹权限 94
4.5.4　配置特权和权利 95
4.5.5　用户组权限 96
4.6　委派权限 96
4.6.1　权限委派概述 97
4.6.2　普通权限委派 97
第5章　安全策略 103
5.1　账户策略 104
5.1.1　密码策略 104
5.1.2　账户锁定策略 107
5.1.3　推荐的账户策略设置 110
5.2　审核策略 110
5.2.1　审核策略的设置 111
5.2.2　推荐的审核策略设置 113
5.2.3　调整日志审核文件的大小 114
5.3　限制用户登录 115
5.3.1　用户权力 115
5.3.2　限制登录 118
5.4　安全配置和分析 120
5.4.1　预定义的安全模板 120
5.4.2　安全等级 121
5.4.3　实施安全配置和分析 122
5.5　IPSec安全策略 128
5.5.1　IPSec服务 128
5.5.2　IPSec策略创建防火墙 129
第6章　注册表安全 139
6.1　注册表文件的位置 140
6.2　禁止注册表编辑器运行 140
6.2.1　禁止注册表编辑器运行方法一 141
6.2.2　禁止注册表编辑器运行方法二 142
6.2.3　解禁注册表 144
6.3　访问授权和启用审核 144
6.4　关闭Windows注册表的远程访问 146
6.5　注册表备份和恢复 148
6.5.1　备份注册表数据库 148
6.5.2　恢复注册表数据库 148
第7章　系统漏洞 150
7.1　漏洞概述 151
7.1.1　漏洞的特性 151
7.1.2　漏洞生命周期 152
7.2　漏洞扫描 153
7.2.1　漏洞扫描概述 153
7.2.2　MBSA 154
7.2.3　奇虎360安全卫士 156
7.2.4　瑞星漏洞扫描工具 157
7.3　漏洞预警 159
7.3.1　安全中心 159
7.3.2　中文速递邮件服务 160
7.3.3　安全公告网络广播 160
7.4　漏洞更新 161
7.4.1　系统补丁部署概述 161
7.4.2　补丁部署 162
7.5　SMS 2003网络漏洞扫描 164
7.5.1　漏洞评估扫描工具 165
7.5.2　运行SQL脚本 165
7.5.3　漏洞评估扫描工具安装 166
7.5.4　漏洞分析 172
第8章　组策略安全 176
8.1　GPMC部署安全策略 177
8.1.1　GPMC概述 177
8.1.2　GPMC部署策略 177
8.2　定制安全策略 180
8.2.1　安全策略内容 180
8.2.2　安全策略代码解释 181
8.2.3　安全策略参数说明 181
8.2.4　安全策略部署 183
8.2.5　安全策略客户端测试 185
8.3　软件限制策略 186
8.3.1　软件限制策略概述 186
8.3.2　安全级别设置 187
8.3.3　默认规则 190
8.3.4　软件限制策略日志信息 191
8.3.5　软件限制策略应用 192
第9章　文件安全 200
9.1　安全目标 201
9.2　文件容错 201
9.2.1　创建DFS根目录 202
9.2.2　建立共享文件夹 203
9.2.3　DFS实现容错 204
9.3　卷影复制 205
9.3.1　设置副本存储区域 206
9.3.2　启用卷影副本服务 207
9.3.3　任务计划 207
9.3.4　客户端软件安装文件夹 208
9.3.5　客户端配置 208
9.3.6　恢复时间点的文件 209
9.3.7　使用卷影服务需要注意的问题 210
9.4　数据同步 210
9.4.1　服务端的脱机文件设置 210
9.4.2　客户端的脱机文件设置与同步 211
9.4.3　同步管理器 213
9.4.4　处理文件冲突 214
9.5　文件夹重定向 214
9.5.1　部署文件夹重定向 214
9.5.2　策略测试 217
9.6　文件备份 218
9.7　文件数据恢复 222
9.7.1　误格式化硬盘 222
9.7.2　Ghost分区备份覆盖整个硬盘 224
9.8　文件安全删除 227
9.8.1　软件下载、安装 227
9.8.2　删除文件、文件夹 228
第10章　操作系统灾难恢复 229
10.1　Acronis True Image Server 230
10.1.1　创建服务器操作系统备份 230
10.1.2　服务器操作系统制作引导文件 232
10.1.3　服务器操作系统灾难恢复 234
10.2　Veritas灾难恢复系统 238
10.2.1　创建操作系统完整备份 239
10.2.2　创建IDR引导光盘 240
10.2.3　IDR恢复操作系统 243
第11章　备份与恢复 246
11.1　备份与恢复概述 247
11.1.1　备份 247
11.1.2　恢复 251
11.2　Active Directory数据库备份与恢复 251
11.2.1　活动目录状态信息 251
11.2.2　单域控制器的备份与恢复 252
11.2.3　恢复活动目录数据库 255
11.2.4　多域控制器的备份与恢复 258
11.3　SQL Server 2000数据库备份与恢复 266
11.3.1　数据库备份概述 266
11.3.2　数据库恢复概述 270
11.3.3　数据库维护计划创建备份 271
11.3.4　数据库恢复 274
第12章　病毒防御 276
12.1　病毒概述 277
12.1.1　计算机病毒 277
12.1.2　木马病毒 277
12.1.3　蠕虫病毒 278
12.1.4　网页病毒 278
12.1.5　恶意软件 279
12.1.6　中毒症状 280
12.1.7　传播途径 281
12.1.8　计算机病毒的危害 282
12.2　网络防病毒软件 283
12.2.1　McAfee防病毒产品的特点 283
12.2.2　安装McAfee ePolicy Orchestrator　
3.6.0 284
12.2.3　补丁安装 287
12.2.4　ePO控制台 287
12.2.5　安装防病毒产品 289
12.2.6　安装代理服务包和中文语言包 291
12.2.7　客户端发现策略 291
12.2.8　ePO管理包和病毒包升级 293
12.2.9　创建代理服务软件安装包 294
12.2.10　安装客户端代理以及防病毒软件 295
12.2.11　部署产品更新策略和病毒库分发
策略 296
12.2.12　文件保护规则防御病毒 299
12.3　防火墙策略防御病毒 310
12.3.1　允许内网用户访问互联网 310
12.3.2　禁止扩展名类型下载 312
12.3.3　邮件附件过滤 313
第13章　网络设备IOS安全 315
13.1　登录密码安全 316
13.1.1　配置Enable密码 316
13.1.2　配置Telnet密码 317
13.1.3　配置管理用户 317
13.2　配置命令级别安全 318
13.2.1　配置多个用户级别 318
13.2.2　登录和离开授权级别 319
13.3　终端访问限制安全 319
13.3.1　控制虚拟终端访问 319
13.3.2　控制会话超时 320
13.4　SNMP安全 320
13.4.1　配置SNMP字符串 321
13.4.2　配置SNMP组和用户 321
13.4.3　SNMP配置实例 322
13.5　HTTP服务安全 323
13.5.1　关闭HTTP服务 323
13.5.2　配置安全HTTP服务 324
13.5.3　配置安全HTTP客户端 325
13.6　系统安全日志 325
13.6.1　日志信息概述 326
13.6.2　启用系统日志信息 328
13.6.3　设置日志信息目的设备 329
13.6.4　配置日志消息的时间戳 329
13.6.5　配置日志序列号 330
13.6.6　定义消息严重等级 330
13.6.7　限制日志发送到历史表和SNMP 331
13.6.8　配置UNIX系统日志服务器 332
13.7　IOS系统版本升级 333
13.7.1　备份系统软件映像 333
13.7.2　恢复或升级系统软件映像 334
第14章　交换机安全配置 337
14.1　基于端口的传输控制 338
14.1.1　风暴控制 338
14.1.2　流控制 339
14.1.3　保护端口 340
14.1.4　端口阻塞 340
14.1.5　端口安全 341
14.1.6　传输速率限制 344
14.1.7　MAC地址更新通知 348
14.1.8　绑定IP和MAC地址 350
14.2　动态ARP检测 351
14.2.1　默认动态ARP检测配置 351
14.2.2　动态ARP检测的配置方针 351
14.2.3　在DHCP环境下配置动态ARP检测 352
14.2.4　在无DHCP环境下配置ARP ACL 353
14.2.5　限制ARP数据包的速率 353
14.2.6　运行有效检测 354
14.2.7　配置日志缓冲 355
14.2.8　显示动态ARP检测信息 355
14.3　PVLAN安全 356
14.3.1　PVLAN概述 356
14.3.2　配置PVLAN 358
14.4　基于端口的认证安全 362
14.4.1　IEEE 802.1x认证简介 362
14.4.2　配置IEEE 802.1x认证 365
14.4.3　配置交换机到RADIUS服务器的通信 366
14.4.4　配置重新认证周期 366
14.4.5　修改安静周期 367
14.5　配置RMON 367
14.5.1　默认的RMON配置 368
14.5.2　配置RMON警报和事件 368
14.5.3　创建历史表组项 369
14.5.4　创建RMON统计组表项 370
14.5.5　显示RMON的状态 371
14.6　使用Cisco CNA配置安全 371
14.6.1　CNA简介可管理的设备 371
14.6.2　Cisco CNA安全导向 372
14.6.3　配置端口安全 374
14.6.4　配置ACL 377
第15章　无线网络安全 379
15.1　无线网络设备安全 380
15.1.1　无线接入点安全 380
15.1.2　无线路由器安全 384
15.2　IEEE 802.1x身份认证 385
15.2.1　部署IEEE 802.1x认证 385
15.2.2　无线访问认证配置步骤 386
15.2.3　配置Cisco无线接入点 386
15.3　无线网络客户端安全 387
15.3.1　对等无线网络安全 387
15.3.2　无线接入点客户端安全 392
15.4　使用WCS配置安全 397
15.4.1　无线入侵防御 397
15.4.2　恶意设备检测 397
15.4.3　安全策略模板 398
15.4.4　用户拒绝列表 398
15.4.5　无线网络监控 399
15.4.6　用户位置跟踪 400
第16章　路由器安全 401
16.1　访问列表安全 402
16.1.1　访问列表概述 402
16.1.2　IP访问列表 404
16.1.3　时间访问列表 408
16.1.4　MAC访问列表 412
16.1.5　创建并应用VLAN访问列表 413
16.2　网络地址转换 414
16.2.1　NAT概述 414
16.2.2　静态地址转换的实现 415
16.2.3　动态地址转换的实现 416
16.2.4　端口复用地址转换 417
16.3　网络攻击安全防范 419
16.3.1　IP欺骗防范 419
16.3.2　SYN淹没防范 419
16.3.3　Ping攻击防范 421
16.3.4　DoS和DDoS攻击防范 421
16.4　使用SDM配置路由器 422
16.4.1　Cisco SDM简介 422
16.4.2　SDM配置路由器 423
第17章　安全设备规划与配置 425
17.1　网络安全设备概述 426
17.1.1　防火墙 426
17.1.2　IDS 428
17.1.3　IPS 431
17.2　网络安全设计与配置 433
17.2.1　防火墙设计 434
17.2.2　IDS设计 436
17.2.3　IPS设计 438
17.2.4　综合安全设计 440
17.2.5　Cisco ASDM配置 441
第18章　网络客户端安全 442
18.1　Windows XP/Vista安全 443
18.1.1　Windows XP/Vista安全概述 443
18.1.2　锁定计算机 443
18.1.3　保护密码 445
18.1.4　以普通用户运行计算机 448
18.1.5　加密文件系统 450
18.1.6　Windows防火墙 453
18.1.7　系统更新设置 455
18.1.8　Internet Explorer设置 457
18.1.9　Windows Defender 459
18.2　Windows 2000安全 463
18.2.1　端口安全 463
18.2.2　安装网络防火墙和病毒防火墙 464
18.2.3　系统更新设置 466
18.2.4　NTFS与文件加密 466