前言

2018年底，我们和思科公司的同仁开始协商开发一套可以供高校培养信息安全、网络空间安全领域实践型人才的课程体系，内容涵盖信息安全和网络安全的基本概念、各类扫描和攻击手段的原理与实施，以及对应的防御手段。我们设计的课程体系在2019年6月14日通过了思科公司产品部专家和高校专家的评审，之后在2019年9月11日向思科公司的专家进行了课程演示，并获得了他们一致的好评。同期，我们开始计划针对这套课程推出对应的系列教材。

本书是该系列教材的第一册，核心内容集中在一系列涉及网络安全的基本概念、原理和方法上，旨在介绍必备的网络安全设计、攻击、防御概念和一系列网络安全相关的产品与技术。本书的读者应该：

• 具备基本的网络基础知识，尤其具备TCP/IP协议栈的基本知识，最好已经完成了思科网络学院（CCNAv6/CCNAv7）的学习，或者已经完成了计算机网络课程的学习；
• 掌握一定的思科设备调试能力，包括有能力在思科路由器和交换机上对接口、VLAN等进行基本的配置；
• 希望进一步了解网络、信息安全的相关知识和解决方案，或者自己所学的专业要求掌握网络、信息安全的概念和方法。

本书由7章构成，每一章都在最后提供了小结和习题。这7章的内容如下所述。

• 第1章，“网络安全威胁”： 本章会概述网络和信息安全的原则与设计方法，其中也会涉及一些比较具体的网络攻击方式。同时，本章也会从园区网设计方案入手，介绍各类安全策略在网络中的部署位置。
• 第2章，“保护设备安全”： 本章首先介绍终端设备上的安全措施，包括防火墙和杀毒软件等，接下来介绍局域网中常见的各类安全威胁及交换机上可以用来防御这些攻击的技术。同时，本章还介绍如何给设备的不同用户账号分配管理角色，从而区分不同用户的管理权限。在管理方面，本章列举一些常用的协议和工具，包括简单网络管理协议（SNMP）、系统日志和网络时间协议（NTP）。在简单介绍完如何保护设备管理屏幕之后，本章还会介绍一些保护设备控制屏幕的方法和框架，最后将介绍一个一键化的设备安全加固工具。
• 第3章，“认证、授权和审计（AAA）”： 本章会首先介绍AAA的概念以及两种常见的部署方式，并且简单展示如何部署本地AAA。接下来，本章会把重点放在基于服务器的AAA上。本章首先介绍RADIUS和TACACS+两种协议，并且会对思科ISE的界面进行简要的介绍。本章最后两节会通过一个简单的拓扑来介绍如何在基于ISE服务器的环境中配置基于服务器的认证、授权和审计。
• 第4章，“加密系统”： 本章从加密的起源说起，对几种常见的加密系统与加密算法进行介绍。介绍完对非对称加密算法之后，本章会介绍数字签名以及散列函数。本章最后一节还会对证书及相关的概念进行概述。
• 第5章，“实施虚拟专用网络技术”： 在第4章内容的基础之上，本章会对VPN展开介绍。本章首先介绍VPN的概念和分类，然后详细介绍IPSec VPN所涉及的一系列组件及设备执行相关操作的方法。本章最后通过一个简单的拓扑，演示了如何通过传统的命令行方式实施站点间IPSec VPN。
• 第6章，“实施自适应安全设备”： 本章围绕着访问控制和防火墙的概念展开，首先对访问控制列表的工作原理和类型进行介绍，接下来把重点放在防火墙上，介绍防火墙的发展历史，以及基于区域的策略防火墙的概念，并且在此过程中对CBAC（基于上下文的访问控制）进行了说明。最后，本章会对思科硬件防火墙进行介绍，同时展示思科FDM管理界面的使用方法，并且展示了一个简单的IPSec VPN实验。
• 第7章，“管理安全网络”： 本章首先介绍两种常用的网络安全测试工具，旨在发挥“启后”的作用，降低读者学习下一册教材的知识门槛。接下来，本章会“承前”介绍制定全面安全策略的方法，为全册图书作结。

本书的设计目的是将本书与配套实验手册和PPT一起使用，从而服务于信息安全、网络空间安全专业学生一个学期的学习和教学任务。

必须承认，写作一本安全相关的图书，尤其是写作一本带有实践目的、包含演示内容的安全图书总会给作者如履薄冰之感。虽然本书介绍的内容比较基础，对于扫描、攻击等内容还没有进行深度介绍和详细演示，但通过使用本书中介绍的技术和工具，再加上自己的一些知识储备和网络上找到的信息，读者就已经具备了实施犯罪的初级技能——当然，脚本小子实施的犯罪可以被轻而易举地发现并且受到法律的制裁。

理论上，如果本书介绍的内容没有超出正规厂商公开的技术范畴，同时也没有暗示、启迪、讲解或者演示使用这些工具发起攻击的方法，那么读者实施犯罪和阅读图书之间的关联性也就无法证明，作者也可以大致避免与之相关的法律连带责任。但是，我们仍然真诚地告诫有志于从事安全行业的读者：永远不要在任何因素的驱使下，为任何机构提供破坏其他机构网络、系统安全性的服务。在任何条件下，高明的黑客都不应该成为被人们羡慕、崇拜和模仿的对象。那些有能力通过建立系统、开发技术、设计方案来避免一切组织和个人遭到黑客攻击的人，才应该是人们心目中的英雄。我们诚挚地希望，无论读者供职于哪些机构，都应该致力于让人类社会变得更加安全、公正、自由，让人类社会最终变得更加美好。除了在可控虚拟环境中的实验操作，以及在甲方许可下的测试行为之外，不应有任何破坏网络、信息安全的攻击行为被粉饰为合理的行为。这不仅仅是法律的底线，也应该成为每一位安全从业人员良知的底线。

本书在出版过程中得到了来自各方的帮助与支持，除了需要感谢我的合著者徐龙泉老师和技术审校李华成老师，还要感谢余建威老师、罗建明老师、刘建飞老师和周伟杰老师，以及思科（中国）副总裁侯胜利先生、思科（中国）资深系统架构师彭达卫先生、思科（中国）资深安全产品架构师吴清伟先生在本书创作过程中给予的扶持与帮助。

最后，必须专门感谢思科（中国）教育行业商业发展经理何伟先生。如果没有何兄的鼎力支持，整个课程体系都不会问世，遑论这套教材。 g5iJUSXStH6icjVMeMGKdQzWqb7FVJYE8PxiPMaBn/vVIaWbnCrTccKdowj0k8IW