防火墻技術(shù)指南

譯者序
前言
第一部分   TCP/IP及其安全需求：防火墻
第1章   網(wǎng)絡(luò)互連協(xié)議和標(biāo)準(zhǔn)概述 1
1.1   網(wǎng)際協(xié)議 3
1.1.1   IP尋址 3
1.1.2   IP安全風(fēng)險(xiǎn) 4
1.2   用戶數(shù)據(jù)報(bào)協(xié)議 7
1.2.1   攻擊用戶數(shù)據(jù)報(bào)協(xié)議服務(wù):SATAN 輕松
應(yīng)對(duì) 7
1.2.2   用于UNIX和Windows NT上的因特網(wǎng)
安全系統(tǒng) 7
1.3   傳輸控制協(xié)議 9
1.4   通過(guò)CIDR擴(kuò)展IP地址 11
1.4.1   TCP/IP安全風(fēng)險(xiǎn)及其對(duì)策  11
1.4.2   IPSEC—IETF提出的IP安全對(duì)策 15
1.4.3   IPSO—(美)國(guó)防部IP安全對(duì)策 15
1.5   路由信息協(xié)議 15
1.6   MBONE—多播骨干網(wǎng) 16
1.7   因特網(wǎng)控制報(bào)文協(xié)議 18
1.8   因特網(wǎng)組管理協(xié)議 18
1.9   開(kāi)放式最短路徑優(yōu)先 19
1.10   邊界網(wǎng)關(guān)協(xié)議版本4(BGP-4) 20
1.11   地址轉(zhuǎn)換協(xié)議 20
1.11.1   反向地址轉(zhuǎn)換協(xié)議 20
1.11.2   通過(guò)路由器傳遞IP數(shù)據(jù)報(bào)的安全
風(fēng)險(xiǎn) 20
1.12   簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 21
1.13   監(jiān)視ISP連接 21
1.14   下一代IP協(xié)議IPv6 21
1.14.1   地址擴(kuò)展 22
1.14.2   網(wǎng)絡(luò)設(shè)備的自動(dòng)配置 22
1.14.3   安全性 22
1.14.4   實(shí)時(shí)性能 22
1.14.5   多播 23
1.14.6   IPv6安全性 23
1.15   網(wǎng)絡(luò)時(shí)間協(xié)議 23
1.16   動(dòng)態(tài)主機(jī)配置協(xié)議 23
1.17   Windows套接字（Winsock）標(biāo)準(zhǔn) 24
1.18   域名系統(tǒng) 24
1.19   防火墻概念 24
1.19.1   防火墻缺陷 27
1.19.2   ?；饏^(qū) 27
1.19.3   認(rèn)證問(wèn)題 28
1.19.4   周邊信任 28
1.19.5   內(nèi)部網(wǎng)  28
第2章   基礎(chǔ)連接 30
2.1   關(guān)于TTY 31
2.2   UNIX to UNIX Copy 33
2.3   SLIP和PPP 34
2.4   Rlogin 34
2.5   虛擬終端協(xié)議 35
2.5.1   哥倫比亞大學(xué)的Kermit：一種安全
可靠的Telnet服務(wù)器 35
2.5.2   Telnet服務(wù)的安全考慮 40
2.5.3   網(wǎng)絡(luò)安全系統(tǒng)管理員 40
2.5.4   Telnet會(huì)話安全檢查表 42
2.6   簡(jiǎn)單文件傳輸協(xié)議 43
2.7   文件傳輸協(xié)議 44
2.8   使用防火墻的一些挑戰(zhàn) 45
2.9   IP網(wǎng)絡(luò)日益增加的安全需求 47
第3章   加密：足夠嗎 48
3.1   引言 50
3.2   對(duì)稱密鑰加密（私有密鑰） 50
3.2.1   數(shù)據(jù)加密標(biāo)準(zhǔn) 50
3.2.2   國(guó)際數(shù)據(jù)加密算法 52
3.2.3   CAST算法 53
3.2.4   Skipjack算法 58
3.2.5   RC2/RC4算法 59
3.3   非對(duì)稱密鑰加密/公開(kāi)密鑰加密 59
3.3.1   RSA 60
3.3.2   數(shù)字簽名標(biāo)準(zhǔn) 61
3.4   消息摘要算法 62
3.4.1   MD2. MD4和MD5 62
3.4.2   安全哈希標(biāo)準(zhǔn)/安全哈希算法 64
3.5   證書(shū) 64
3.6   密鑰管理 71
3.6.1   Kerberos協(xié)議 71
3.6.2   密鑰交換算法 78
3.7   密碼分析與攻擊 79
3.7.1   唯密文攻擊 79
3.7.2   已知明文攻擊 79
3.7.3   選擇明文攻擊 80
3.7.4   自適應(yīng)選擇明文攻擊 80
3.7.5   中間人攻擊 80
3.7.6   選擇密文攻擊 80
3.7.7   選擇密鑰攻擊 80
3.7.8   軟磨硬泡密碼分析 80
3.7.9   時(shí)間攻擊 81
3.8   加密應(yīng)用程序及應(yīng)用程序編程接口 82
3.8.1   數(shù)據(jù)保密及安全通信信道 82
3.8.2   認(rèn)證 84
3.8.3   認(rèn)證碼 84
3.8.4   NT安全支持服務(wù)接口 85
3.8.5   Microsoft 加密API 86
第4章   防火墻面臨的挑戰(zhàn)：基礎(chǔ)Web 91
4.1   HTTP 91
4.1.1   基礎(chǔ)Web 92
4.1.2   怎樣監(jiān)視HTTP協(xié)議 94
4.1.3   利用S-HTTP 95
4.1.4   使用SSL增強(qiáng)安全性 95
4.1.5   小心Web緩存 96
4.1.6   堵住漏洞：一個(gè)配置檢查表 96
4.1.7   安全檢查表 97
4.1.8   Novell的HTTP協(xié)議：小心為妙 97
4.1.9   監(jiān)視基于UNIX的Web服務(wù)器的安全
問(wèn)題 97
4.2   URI/URL 98
4.2.1   文件URL 99
4.2.2   Gopher URL 99
4.2.3   新聞URL 99
4.2.4   部分URL 99
4.3   CGI 100
第5章   防火墻面臨的挑戰(zhàn)：高級(jí)Web 113
5.1   擴(kuò)展Web服務(wù)器：危險(xiǎn)不斷增加 113
5.1.1   ISAPI 113
5.1.2   NSAPI 119
5.1.3   servlet 120
5.1.4   服務(wù)器端ActiveX服務(wù)器 122
5.1.5   Web數(shù)據(jù)庫(kù)網(wǎng)關(guān) 124
5.1.6   電子郵件應(yīng)用系統(tǒng)的安全 124
5.1.7   Macromedia的Shockwave 126
5.2   Web頁(yè)面中的代碼 127
5.2.1   Java applet 128
5.2.2   ActiveX控件和安全威脅 130
5.2.3   采用面向?qū)ο蠹夹g(shù) 135
第6章   API的安全漏洞及防火墻的交互 138
6.1   套接字 138
6.2   Java API 141
6.3   在制造業(yè)和商業(yè)環(huán)境中Java可以幫助聯(lián)合
各種平臺(tái) 142
6.3.1   Java能夠運(yùn)用控制來(lái)幫助集成ERP  143
6.3.2   Java 計(jì)算為制造業(yè)帶來(lái)利益 144
6.3.3   JCAF簡(jiǎn)化了制造業(yè)應(yīng)用程序的開(kāi)發(fā) 145
6.3.4   由中間件提供后端服務(wù) 146
6.3.5   帶有Java的應(yīng)用程序有助于制造業(yè)合
為一體 147
6.3.6   Jini能夠滿足制造業(yè)和企業(yè)的需求嗎 149
6.3.7   企業(yè)版JavaBeans提供可達(dá)性和可
升級(jí)性 151
6.3.8   Java/CORBA與DCOM的比較   152
6.3.9   主要的Java產(chǎn)品供應(yīng)商 153
6.4   Perl 模塊 155
6.5   CGI 腳本 157
6.6   ActiveX 158
6.7   分布式處理 159
6.7.1   XDR/RPC 159
6.7.2   RPC 160
6.7.3   COM/DCOM 160
第二部分   防火墻的實(shí)現(xiàn)和局限
第7章   究竟什么是因特網(wǎng)/內(nèi)部網(wǎng)防火墻 161
7.1   什么是防火墻 161
7.2   防火墻的作用 162
7.2.1   防火墻的保護(hù)職責(zé) 163
7.2.2   防火墻的訪問(wèn)控制 163
7.3   防火墻的安全職責(zé) 164
7.4   提高防火墻保密性 164
7.5   防火墻的優(yōu)點(diǎn)和缺陷 164
7.5.1   訪問(wèn)限制 164
7.5.2   后門(mén)威脅：Modem接入 165
7.5.3   內(nèi)部攻擊 165
7.6   防火墻的構(gòu)成 165
7.6.1   網(wǎng)絡(luò)安全策略 165
7.6.2   包過(guò)濾 169
7.7   防火墻的獲取 171
7.7.1   需求評(píng)估 171
7.7.2   購(gòu)買防火墻 172
7.7.3   建造防火墻 173
7.7.4   安裝 173
7.8   安裝防火墻時(shí)通常應(yīng)注意的問(wèn)題 175
7.9   管理防火墻 179
7.9.1   管理專門(mén)知識(shí) 179
7.9.2   系統(tǒng)管理 179
7.10   電路層網(wǎng)關(guān)和包過(guò)濾 179
7.10.1   包過(guò)濾 180
7.10.2   應(yīng)用網(wǎng)關(guān) 180
7.10.3   IP層過(guò)濾 180
7.11   防火墻與Cyberwall 180
第8章   因特網(wǎng)服務(wù)的脆弱性 184
8.1   保護(hù)和設(shè)置易受攻擊的服務(wù) 184
8.1.1   電子郵件安全威脅 184
8.1.2   簡(jiǎn)單郵件傳輸協(xié)議  184
8.1.3   郵局協(xié)議 189
8.1.4   通用因特網(wǎng)郵件擴(kuò)充協(xié)議 189
8.2   文件傳輸問(wèn)題 199
8.2.1   文件傳輸協(xié)議 199
8.2.2   次要文件傳輸協(xié)議 201
8.2.3   文件服務(wù)協(xié)議 202
8.2.4   UNIX 到UNIX 拷貝協(xié)議 202
8.3   網(wǎng)絡(luò)新聞傳輸協(xié)議 202
8.4   Web和HTTP協(xié)議 203
8.4.1   代理HTTP 204
8.4.2   HTTP安全漏洞 204
8.5   會(huì)議系統(tǒng)安全性 205
8.6   注意以下這些服務(wù) 206
8.6.1   Gopher 206
8.6.2   finger 206
8.6.3   whois 207
8.6.4   Talk 207
8.6.5   IRC 207
8.6.6   DNS 208
8.6.7   網(wǎng)絡(luò)管理站 208
8.6.8   簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 208
8.6.9   traceroute 209
8.6.10   網(wǎng)絡(luò)文件系統(tǒng) 210
8.7   保密性和完整性 210
第9章   建立防火墻安全策略 212
9.1   評(píng)定公司安全風(fēng)險(xiǎn) 212
9.2   了解和估計(jì)威脅 216
9.2.1   病毒威脅 216
9.2.2   外部威脅 217
9.2.3   內(nèi)部威脅 217
9.3   淺談安全漏洞 218
9.4   設(shè)置安全策略 219
第10章   防火墻的設(shè)計(jì)與實(shí)現(xiàn) 224
10.1   基本知識(shí)的回顧 224
10.2   防火墻的選擇 226
10.3   安全策略的考慮 227
10.3.1   關(guān)于物理安全問(wèn)題的討論 229
10.3.2   關(guān)于訪問(wèn)控制的討論 229
10.3.3   關(guān)于認(rèn)證的討論 229
10.3.4   關(guān)于加密的討論 229
10.3.5   關(guān)于安全審計(jì)的討論 229
10.3.6   關(guān)于培訓(xùn)的討論 229
10.4   網(wǎng)絡(luò)遭受攻擊時(shí), 應(yīng)采取的處理措施 230
10.5   事故的處理 230
10.5.1   以網(wǎng)絡(luò)信息服務(wù)為破壞工具 231
10.5.2   以遠(yuǎn)程登錄/外殼服務(wù)為破壞工具 232
10.5.3   以網(wǎng)絡(luò)文件系統(tǒng)為破壞工具  232
10.5.4   以FTP服務(wù)為破壞工具 232
10.6   事故處理指南 233
10.6.1   評(píng)估形勢(shì) 234
10.6.2   切斷鏈接 234
10.6.3   分析問(wèn)題 234
10.6.4   采取措施 235
10.7   抓住入侵者 235
10.8   安全檢查 235
10.9   起訴黑客 236
10.10   保護(hù)公司的站點(diǎn) 236
第11章   代理服務(wù)器 238
11.1   SOCKS 243
11.2   tcpd, TCP Wrapper 245
第12章   防火墻維護(hù) 248
12.1   讓防火墻保持協(xié)調(diào) 249
12.2   系統(tǒng)監(jiān)控 251
12.3   預(yù)防性和恢復(fù)性維護(hù) 251
12.3.1   防止防火墻出現(xiàn)安全缺口 253
12.3.2   鑒別安全漏洞 253
12.4   更新防火墻 253
第13章   防火墻工具包與個(gè)案分析 255
13.1   個(gè)案分析：實(shí)現(xiàn)防火墻 255
13.2   給大型機(jī)構(gòu)構(gòu)建防火墻：應(yīng)用級(jí)防火墻
和包過(guò)濾—一個(gè)混合系統(tǒng) 256
13.3   給小型組織構(gòu)建防火墻：包過(guò)濾或應(yīng)用
級(jí)防火墻—代理實(shí)現(xiàn) 256
13.4   在子網(wǎng)體系結(jié)構(gòu)中構(gòu)建防火墻 256
第三部分   防火墻資源指南
第14章   防火墻類型及市場(chǎng)產(chǎn)品介紹 257
14.1   Check Point的Firewall-1—狀態(tài)檢測(cè)
技術(shù) 257
14.1.1   Firewall-1的檢查模塊 257
14.1.2   狀態(tài)檢測(cè) 259
14.2   CYCON的Labyrinth Firewall—迷宮式
系統(tǒng) 267
14.3   Net Guard的Guardian 防火墻系統(tǒng)—
Mac 層狀態(tài)檢測(cè) 276
14.4   Cyber Guard的Cyber Guard防火墻 284
14.4.1   可信任操作系統(tǒng) 285
14.4.2   直觀的遠(yuǎn)程圖形用戶界面
（GUI） 286
14.4.3   動(dòng)態(tài)狀態(tài)規(guī)則技術(shù) 287
14.4.4   可確認(rèn)技術(shù) 289
14.4.5   系統(tǒng)需求 289
14.5   Raptor的防火墻：一個(gè)應(yīng)用級(jí)結(jié)構(gòu) 290
14.5.1   增強(qiáng)網(wǎng)絡(luò)各層的安全性 291
14.5.2   Raptor 防火墻（6.0）加強(qiáng)了對(duì)NT的
管理 295
14.5.3   對(duì)專用安全代理的依賴 295
14.5.4   使用Eagle系列Raptor防火墻 296
14.5.5   系統(tǒng)需求 299
14.6   Milkyway的SecurIT FIREWALL 300
14.6.1   防彈防火墻 301
14.6.2   系統(tǒng)需求 309
14.7   WatchGuard Technologies的WatchGuard
防火墻系統(tǒng)—利用所有主要防火墻方
法組合防火箱 309
14.7.1   WatchGuard 概述 310
14.7.2   WatchGuard的安全管理系統(tǒng) 311
14.7.3   WatchGuard的防火箱 313
14.7.4   WatchGuard的總控制臺(tái) 313
14.7.5   WatchGuard  圖形監(jiān)視器 314
14.7.6   WatchGuard報(bào)告系統(tǒng) 316
14.7.7   WatchGuard  WebBlocker 317
14.7.8   WatchGuard  SchoolMate 318
14.7.9   WatchGuard的VPN向?qū)?319
14.7.10   系統(tǒng)需求 319
14.8   AltaVista Software的Firewall 98—主動(dòng)
防火墻 319
14.8.1   AltaVista防火墻 320
14.8.2   服務(wù)：安全問(wèn)題 321
14.8.3   安全性：支持SSL 322
14.8.4   管理特征：通過(guò)隧道進(jìn)行遠(yuǎn)程
管理 322
14.8.5   URL和Java阻塞 323
14.8.6   增強(qiáng)型代理 323
14.8.7   強(qiáng)有力的. 靈活的認(rèn)證 324
14.8.8   雙DNS服務(wù)器 324
14.8.9   DMZ支持   325
14.8.10   配置 325
14.8.11   硬件需求 325
14.9   ANS Communication的InterLock 防火墻
—一個(gè)雙宿主應(yīng)用級(jí)網(wǎng)關(guān) 326
14.9.1   ANS InterLock 327
14.9.2   ANS InterLock服務(wù) 328
14.9.3   InterLock的訪問(wèn)控制 328
14.9.4   InterLock的訪問(wèn)管理 331
14.9.5   ANS InterLock的入侵檢測(cè)服務(wù) 332
14.9.6   InterLock的安全特征總結(jié) 333
14.10   Global Technology的Gnat Box 防火墻
—一個(gè)軟盤(pán)里的防火墻 333
14.10.1   認(rèn)識(shí)GNAT Box防火墻 334
14.10.2   標(biāo)準(zhǔn)特征 337
14.10.3   什么是GNAT Box防火墻 338
14.11   Network－1 software and Technology
的FireWall/Plus—一種高性能多
協(xié)議防火墻 345
14.11.1   關(guān)于FireWall/Plus 345
14.11.2   FireWall/Plus的安裝. 設(shè)置和
使用 347
14.11.3   為FireWall/Plus選擇一個(gè)系統(tǒng)
默認(rèn)的規(guī)則庫(kù) 348
14.11.4   性能統(tǒng)計(jì) 349
14.11.5   附加和擴(kuò)充的過(guò)濾器 349
14.11.6   FireWall/Plus功能小結(jié) 352
14.11.7   Network－1公司的Cyberwall
PLUS 352
14.11.8   系統(tǒng)需求 355
14.12   Trusted Information System的Gauntlet Internet
—一種基于應(yīng)用層代理的防火墻 355
14.12.1   TIS  Gauntlet Internet防火墻 357
14.12.2   防火墻對(duì)用戶透明 358
14.12.3   對(duì)遠(yuǎn)地公司進(jìn)行擴(kuò)充的防火墻
保護(hù) 359
14.12.4   Gauntlet PC Extender 359
14.13   Technologic的  Interceptor防火墻, 一
個(gè)直覺(jué)的防火墻 360
14.13.1   Technologic的Interceptor防火墻
概述 361
14.13.2   Interceptor的組成部分 362
14.13.3   系統(tǒng)需求 366
14.14   Sun的Sunscreen EFS 防火墻—
一個(gè)狀態(tài)檢查防火墻 366
14.14.1   SunScreen 模型 367
14.14.2   安全訪問(wèn)控制 368
14.14.3   管理的簡(jiǎn)化 369
14.14.4   SunScreen SPF-200和SunScreen EFS
安全解決方案 370
14.14.5   SunScreen SPF-200 370
14.14.6   SunScreen EFS 371
14.14.7   系統(tǒng)需求 372
14.14.8   Solstice Firewall-1 3.0 372
14.15   Secure Computing的 BorderWare 防火墻：
包過(guò)濾和電路級(jí)網(wǎng)關(guān)的有機(jī)組合 374
14.15.1   BorderWare  防火墻服務(wù)器  374
14.15.2   BorderWare應(yīng)用服務(wù) 379
14.15.3   安全特性 381
14.16   Ukiah Software的NetRoad FireWALl
—一種多層體系結(jié)構(gòu)防火墻 382
14.16.1   NetRoad防火墻（Windows NT和
Netware版） 383
14.16.2   NetWare和NT 防火墻支持 386
14.16.3   NetRoad FireWALL平臺(tái)的發(fā)展
趨勢(shì) 387
14.16.4   系統(tǒng)需求 388
14.17   Secure Comptuting的Sidewinder Firewall
—一種類型增強(qiáng)安全 388
14.17.1   類型增強(qiáng)安全專利 389
14.17.2   遠(yuǎn)程管理 391
14.17.3   訪問(wèn)控制 391
14.17.4   廣泛的事件監(jiān)視 393
14.17.5   高級(jí)過(guò)濾 394
14.18   IBM的 eNetwork Firewall—另一
種類型增強(qiáng)安全 395
14.18.1   用于AIX的IBM防火墻3.1版 396
14.18.2   IBM防火墻的主要特征 400
14.18.3   通過(guò)虛擬專用網(wǎng)進(jìn)行通信 401
14.18.4   管理防火墻 403
14.18.5   系統(tǒng)需求 404
第四部分   附      錄
附錄A   防火墻銷售商和相關(guān)工具 405
附錄B   術(shù)語(yǔ)表 417
參考書(shū)目 428