堡垒主机搭建全攻略与流行黑客攻击技术深度分析郝永清作者简介、书籍目录、内容摘要、编辑推荐

　　在网络快速发展的情况下，对网络安全的技术要求已经越来越高，针对网络安全的细节要求和极致防御，国外开始出现防御能力极强的“堡垒主机”，并在极短的时间内风靡网络，受到托管机房、网络管理员等的信任。
　　本书以具有广泛意义的windows 2003 server为例，网络上流传着很多系统安全配置方法，但是仔细分析就会发现极不全面，很多配置甚至完全不合理，还有很大的安全隐患。所以本书站在巨人的肩膀上，以全面、细致的方式，以各项安全配置可能遇到的攻击技术相辅助，结合藏锋者网络安全网(www．cangfengzhe．com)上的部分精华资料，完整的进行堡垒主机的搭建全过程，力求让读者深刻明白安全设置的目的、作用。
　　本书作者通过长年的网络安全工作经验，总结了最优化的堡垒主机安全设置，所有配置均在实际工作中经过详细调试，力求让读者通过简单、直接的方式，快速搭建出符合实际工作需求的、高安全度的堡垒主机！
　　本书适合对网络安全技术有兴趣并想从事相关行业的大学生；就读于网络信息安全相关专业的研究生；负责企业、公司网络信息安全的从业者；网络安全技术专业研究人员；所有对网络安全有兴趣的爱好者参考阅读。

　　作者简介

　　郝永清 CISSP、CISP、MCSE资深讲师，藏锋者网络安全网(www．cangfengzhe．com)核心成员之一，主要从事信息安全相关工作，负责深入分析用户安全需求；有近十年的授课经验，为300多家企业千余IT经理及IT技术人员做过安全培训；有丰富的项目经验，同时密切跟踪国内外的安全动态，对严重安全事件进行快速响应；对各种恶意软件进行分析，提供检测和解决方案，并完成产品的安全评估，如防火墙、入侵检测、漏洞扫描等；参与众多公司网络的渗透测试项目，并对病毒和木马有深入了解。

　　书籍目录

　　丛书序 本书使用方法 概述 第1章 强化机房物理安全保护
　 1.1 人员接触控制
　　1.1.1 出入登记与身份审核
　　1.1.2 视频监控
　　1.1.3 防盗窃和防破坏
　　1.1.4 电话维护与身份审核
　 1.2 自然灾害与物理事件防御
　　1.2.1 防雷击
　　1.2.2 防火
　　1.2.3 防水和防潮
　　1.2.4 电磁与静电防御
　　1.2.5 电力供应 第2章 堡垒主机BIOS安全与系统、补丁安装
　 2.1 堡垒主机BIOS安全
　　2.1.1 启用BIOS密码
　　2.1.2 禁止堡垒主机以外设启动
　 2.2 堡垒主机最小化操作系统安装
　　2.2.1 硬盘格式化及合理的分区规划
　　2.2.2 最小化操作系统安装
　　2.2.3 使用离线补丁包进行补丁安装 第3章 最小化网络的安全设置
　 3.1 最小化网络
　　3.1.1 删除默认共享
　　3.1.2 禁止匿名IPC连接
　　3.1.3 关闭远程协助
　　3.1.4 禁用共享及NetBIOS
　 3.2 基本网络安全设置
　　3.2.1 关闭远程桌面
　　3.2.2 开启默认防火墙及日志记录
　　3.2.3 注册表中的基本网络安全项 第4章 系统减肥与性能优化
　 4.1 系统减肥
　　4.1.1 全自动清理系统垃圾
　　4.1.2 删除系统不用组件或文件
　 4.2 系统优化
　　4.2.1 系统属性优化
　　4.2.2 系统启动与关闭优化
　　4.2.3 堡垒主机系统组件优化 第5章 操作系统安全设置
　 5.1 账户密码安全策略
　　5.1.1 使用足够强壮的密码
　　5.1.2 使用组策略强制安全密码规则
　 5.2 系统服务透彻分析与详尽优化
　　5.2.1 可设置为自动的服务
　　5.2.2 可设置成手动的服务
　　5.2.3 需要合理禁用的系统服务
　 5.3 使用本地安全策略加强系统安全
　　5.3.1 启用并配置日志审核
　　5.3.2 启用并配置用户权限分配
　　5.3.3 启用并配置安全选项
　 5.4 文件及权限安全
　　5.4.1 合理的系统文件删除与转移策略
　　5.4.2 目录权限配置典型案例 附录1 clear.bat批处理删除系统文件列表 附录2 自动优化2003系统服务批处理文件 附录3 基本概念解释速查 后记

　　章节摘录

　　插图：1.1人员接触控制人员接触控制是所有有安全要求的计算机的第一项必备保护措施。堡垒主机首先是一台服务器，是一台设备，是一个死物，然后才能在管理员的配置和管理之下，成为能发挥作用的系统平台。如果可以让任何人没有限制地物理接触、控制、操作这个服务器，那无疑没有任何安全可言。所以，在综合考虑堡垒主机的方方面面安全之前，首先需要对堡垒主机的物理人员访问进行一定程度的限制和规范。国内目前比较流行的各大托管机房中，都或多或少的存在一些人员访问、接触的控制措施，但是一个标准而细致的具体方案是什么？很难有人能说清楚，这一节主要就解决这个问题。就普通的企业网络管理员、工程师来说，如果是大型企业，可能需要自己搭建专属机房，或者是将企业的服务器群组放置在托管机房，不管是什么情况，对人员的接触控制都应该有一个很明确、很细致的管理规范。如果是企业自己的机房，需要使用这些人员接触控制规范来约束和管理：如果是托管在别人的机房，则需要使用这些规则来对机房进行评测，以便明确目标机房的服务质量。国内大型的托管机房一般都具备比较完善的人员接触控制机制，当然根据控制力度的不同而收费也有所不同，网络管理员或者网络工程师需要根据实际情况来进行选择，以便在资金成本能够允许的条件下，尽量选择一个高质量的机房。本节将主要涉及出入登记、门禁系统、视频监控、区域管理与比较特殊但却非常有用的电话记录、维护授权和身份审核等内容，选取了网络工程师在日常的工作中经常会遇到的问题作为例子进行讲述。不管是企业自己的机房，还是托管机房，都应该有很完善而严密的出入登记策略，这是最基本也是很有必要的一项简单而有效的物理保护措施。1.1.1.1 出入登记的作用出入登记是最简单的一种记录进出人员的方法，通过出入登记可以记录来访人员的身份、时间、目的、携带物品等，也可以记录该人员离开机房的时间，确认携带物品等。一般出入登记和身份审核是一体的，也就是说在出入登记的同时，完成基本的身份审核。

　　后记

　　堡垒主机的相关技术涉及非常多的方面，本书前面的章节尽量选择了具有共通性的、实用的、效果好的一些技术进行讲解，目的是构建一个实用级的堡垒主机——但是限于篇幅，很多内容无法涉及，某些上文中的技术详情也无法一一列举和阐述，还需要读者通过自己的实际动手操作进行融会贯通。对一个干净的堡垒主机来说，进行完本书上面几个章节的设置以后，还应该进行以下步骤的操作（限于篇幅，这里无法详述）：“重新修补一次补丁”在优化、配置的过程中，可能出现改动系统文件或者删除某些文件的情况，等所有设置完成以后，管理员应该及时使用“自动更新”功能进行完整的一次补丁更新。“进行第一次完整备份”上述操作完成以后，需要管理员对堡垒主机系统的驱动、服务、数据进行完整备份。最方便的方式是直接将整个操作系统进行完整备份，使用Ghost等相关备份程序，将备份好的数据刻录到光盘上，并妥善存放。“安装服务并进行服务相关安全配置”上文的所有设置均是在干净的操作系统上进行的，没有涉及其他服务、组件、的安全，而Windows系统的庞大造成了它的任何组件如果要做到“安全”，都必须进行深刻、细致的安全配置，所以在确保堡垒主机已经配置完毕且进行了备份以后，开始进入各服务的安全配置和优化步骤吧！

　　编辑推荐

　　《堡垒主机搭建全攻略与流行黑客攻击技术深度分析》：物理安全保护+系统文件减肥+系统性能优化+服务透彻剖析+最小化安全网络+极限化系统安全=堡垒主机。