防火墻與網(wǎng)絡(luò)安全：入侵檢測(cè)和VPNs

目 錄
第1章 防火墻規(guī)劃與設(shè)計(jì) 1
1.1 關(guān)于防火墻的誤解 1
1.2 什么是安全策略 2
1.3 什么是防火墻 3
1.3.1 類比：安全警衛(wèi)Sam 3
1.3.2 防火墻提供安全性 4
1.3.3 防火墻為個(gè)人用戶提供保護(hù) 4
1.3.4 防火墻為網(wǎng)絡(luò)邊界提供安全 4
1.3.5 防火墻由多個(gè)組件組成 6
1.3.6 防火墻面臨諸多威脅并且執(zhí)行各種安全防護(hù)任務(wù) 6
1.4 防火墻保護(hù)的類型 11
1.4.1 多層防火墻保護(hù) 11
1.4.2 包過濾器 11
1.4.3 NAT 14
1.4.4 應(yīng)用層網(wǎng)關(guān) 15
1.5 防火墻的局限 16
1.6 評(píng)估防火墻設(shè)備 16
1.6.1 防火墻硬件 17
1.6.2 純軟件的防火墻組件 17
1.7 本章小結(jié) 19
1.8 關(guān)鍵術(shù)語 20
1.9 復(fù)習(xí)題 22
1.10 實(shí)用項(xiàng)目 24
1.11 案例項(xiàng)目 27
第2章 開發(fā)安全策略 28
2.1 什么是安全策略 28
2.2 安全策略的重要性 29
2.3 確定有效的安全策略所需達(dá)到的目標(biāo) 30
2.4 構(gòu)建安全策略的7個(gè)步驟 30
2.4.1 組建一個(gè)工作團(tuán)隊(duì) 30
2.4.2 制定公司的整體安全策略 31
2.4.3 確定被保護(hù)的資產(chǎn) 32
2.4.4 決定安全策略審核的內(nèi)容 33
2.4.5 確定安全風(fēng)險(xiǎn) 35
2.4.6 定義可接受的使用策略 35
2.4.7 提供遠(yuǎn)程訪問 35
2.5 考慮防火墻的不足 36
2.6 其他的安全策略主題 37
2.7 定義針對(duì)違反安全規(guī)則的響應(yīng) 37
2.8 克服管理的障礙 38
2.8.1 雇員的培訓(xùn) 38
2.8.2 呈交并回顧制定過程 39
2.8.3 改進(jìn)安全策略 39
2.9 本章小結(jié) 39
2.10 關(guān)鍵術(shù)語 40
2.11 復(fù)習(xí)題 40
2.12 實(shí)用項(xiàng)目 42
2.13 案例項(xiàng)目 45
第3章 防火墻配置策略 47
3.1 對(duì)防火墻建立規(guī)則和約束 47
3.1.1 規(guī)則的作用 48
3.1.2 限制性的防火墻 48
3.1.3 側(cè)重連通性的防火墻 49
3.2 防火墻配置策略：總的觀點(diǎn) 49
3.2.1 可伸縮性 50
3.2.2 生產(chǎn)效率 50
3.2.3 處理IP地址問題 51
3.3 不同的防火墻配置策略 51
3.3.1 屏蔽路由器 52
3.3.2 雙宿主主機(jī) 54
3.3.3 屏蔽式主機(jī) 54
3.3.4 兩個(gè)路由器共用一個(gè)防火墻 55
3.3.5 DMZ屏蔽子網(wǎng) 56
3.3.6 多重防火墻DMZ 58
3.3.7 反向防火墻 63
3.3.8 專用防火墻 63
3.4 為防火墻添加新功能的方法 63
3.4.1 NAT 63
3.4.2 加密 64
3.4.3 應(yīng)用程序代理 65
3.4.4 VPN 66
3.4.5 入侵檢測(cè)系統(tǒng)(IDS) 66
3.5 本章小結(jié) 68
3.6 關(guān)鍵術(shù)語 69
3.7 復(fù)習(xí)題 70
3.8 實(shí)用項(xiàng)目 72
3.9 案例項(xiàng)目 75
第4章 數(shù)據(jù)包過濾 77
4.1 理解數(shù)據(jù)包和數(shù)據(jù)包過濾 77
4.1.1 執(zhí)行數(shù)據(jù)包過濾的裝置 78
4.1.2 數(shù)據(jù)包的剖析 78
4.1.3 關(guān)于數(shù)據(jù)包過濾的快速指南 80
4.1.4 規(guī)則的使用 80
4.2 數(shù)據(jù)包過濾的方法 82
4.2.1 無狀態(tài)數(shù)據(jù)包過濾 82
4.2.2 有狀態(tài)數(shù)據(jù)包過濾 87
4.2.3 根據(jù)數(shù)據(jù)包內(nèi)容過濾 89
4.3 設(shè)立專用的數(shù)據(jù)包過濾器規(guī)則 89
4.3.1 適應(yīng)多種變化的數(shù)據(jù)包過濾器規(guī)則 89
4.3.2 適用于ICMP的數(shù)據(jù)包過濾器規(guī)則 90
4.3.3 阻斷ping包的數(shù)據(jù)包過濾器規(guī)則 90
4.3.4 啟用Web訪問的數(shù)據(jù)包過濾器規(guī)則 91
4.3.5 啟用DNS的數(shù)據(jù)包過濾器規(guī)則 92
4.3.6 啟用FTP的數(shù)據(jù)包過濾器規(guī)則 92
4.3.7 使用電子郵件的數(shù)據(jù)包過濾器規(guī)則 93
4.4 本章小結(jié) 93
4.5 關(guān)鍵術(shù)語 94
4.6 復(fù)習(xí)題 95
4.7 實(shí)用項(xiàng)目 97
4.8 案例項(xiàng)目 100
第5章 代理服務(wù)器和應(yīng)用級(jí)防火墻 102
5.1 代理服務(wù)器概述 102
5.1.1 “代理服務(wù)器”的比喻說明 102
5.1.2 代理服務(wù)器是如何工作的 103
5.1.3 代理服務(wù)器和數(shù)據(jù)包過濾器的不同 104
5.1.4 代理服務(wù)器配置示例 104
5.2 代理服務(wù)器的目標(biāo) 106
5.2.1 隱藏內(nèi)部客戶機(jī)的身份 106
5.2.2 阻斷URL 107
5.2.3 阻斷和過濾內(nèi)容 107
5.2.4 電子郵件的代理保護(hù) 108
5.2.5 提高性能 109
5.2.6 保障安全 109
5.2.7 提供用戶身份驗(yàn)證 110
5.2.8 重定向URL 110
5.3 代理服務(wù)器配置的注意事項(xiàng) 110
5.3.1 提供可伸縮性 110
5.3.2 客戶端配置 111
5.3.3 服務(wù)配置 112
5.3.4 創(chuàng)建過濾規(guī)則 113
5.3.5 確認(rèn)單個(gè)故障點(diǎn) 113
5.3.6 確認(rèn)緩沖區(qū)溢出弱點(diǎn) 113
5.4 選擇代理服務(wù)器 113
5.4.1 透明代理 114
5.4.2 非透明代理 114
5.4.3 基于SOCKS的代理 114
5.5 基于代理服務(wù)器的防火墻的比較 115
5.5.1 開放源代碼的T.REX防火墻 116
5.5.2 Squid 116
5.5.3 WinGate 116
5.5.4 Symantec企業(yè)防火墻 117
5.5.5 ISA 117
5.6 反向代理 117
5.7 代理服務(wù)器何時(shí)不適用 119
5.8 本章小結(jié) 119
5.9 關(guān)鍵術(shù)語 120
5.10 復(fù)習(xí)題 121
5.11 實(shí)用項(xiàng)目 123
5.12 案例項(xiàng)目 128
第6章 用戶身份驗(yàn)證 130
6.1 常規(guī)身份驗(yàn)證過程 130
6.2 防火墻實(shí)現(xiàn)身份驗(yàn)證過程的方式 131
6.3 防火墻身份驗(yàn)證的類型 132
6.3.1 用戶身份驗(yàn)證 132
6.3.2 客戶端身份驗(yàn)證 133
6.3.3 會(huì)話身份驗(yàn)證 134
6.4 集中式身份驗(yàn)證 135
6.4.1 Kerberos身份驗(yàn)證 135
6.4.2 TACACS+ 137
6.4.3 遠(yuǎn)程身份驗(yàn)證撥號(hào)用戶服務(wù)(RADIUS) 137
6.4.4 TACACS+和RADIUS的比較 137
6.5 口令安全性問題 139
6.5.1 可能被破解的口令 139
6.5.2 用戶使用口令的誤區(qū) 139
6.5.3 馬虎的安全習(xí)慣 139
6.6 口令安全工具 140
6.6.1 一次性口令軟件 140
6.6.2 屏蔽口令系統(tǒng) 140
6.7 其他的身份驗(yàn)證系統(tǒng) 140
6.7.1 單口令系統(tǒng) 141
6.7.2 一次性口令系統(tǒng) 141
6.7.3 基于證書的身份驗(yàn)證 142
6.7.4 802.1x Wi-Fi身份驗(yàn)證 142
6.8 本章小結(jié) 143
6.9 關(guān)鍵術(shù)語 143
6.10 復(fù)習(xí)題 145
6.11 實(shí)用項(xiàng)目 146
6.12 案例項(xiàng)目 152
第7章 加密和防火墻 153
7.1 為何防火墻需要使用加密技術(shù) 153
7.1.1 黑客們對(duì)未加密防火墻的利用 154
7.1.2 加密的代價(jià) 154
7.1.3 保證數(shù)據(jù)完整性 155
7.1.4 維持機(jī)密性 155
7.1.5 對(duì)網(wǎng)絡(luò)客戶端進(jìn)行身份驗(yàn)證 155
7.1.6 啟用VPN 156
7.2 數(shù)字證書、公鑰和私鑰 156
7.2.1 數(shù)字證書 156
7.2.2 密鑰 158
7.3 分析流行的加密方案 162
7.3.1 對(duì)稱加密和非對(duì)稱加密 163
7.3.2 PGP 164
7.3.3 X.509 165
7.3.4 X.509和PGP的比較 165
7.3.5 SSL 166
7.4 使用IPSec加密 167
7.4.1 理解IPSec 167
7.4.2 IPSec的模式 167
7.4.3 IPSec協(xié)議 168
7.4.4 IPSec組件 169
7.4.5 啟用IPSec 170
7.4.6 IPSec的局限 171
7.5 本章小結(jié) 171
7.6 關(guān)鍵術(shù)語 172
7.7 復(fù)習(xí)題 174
7.8 實(shí)用項(xiàng)目 175
7.9 案例項(xiàng)目 181
第8章 選擇堡壘主機(jī) 183
8.1 安裝堡壘主機(jī)：常規(guī)需求 183
8.2 選擇主機(jī)計(jì)算機(jī) 184
8.2.1 是否需要多臺(tái)主機(jī) 184
8.2.2 內(nèi)存考慮 185
8.2.3 處理器速度 185
8.2.4 選擇操作系統(tǒng) 186
8.3 放置堡壘主機(jī) 187
8.3.1 物理位置 187
8.3.2 網(wǎng)絡(luò)位置 188
8.3.3 保證主機(jī)本身的安全性 189
8.4 配置堡壘主機(jī) 191
8.4.1 讓主機(jī)自行防衛(wèi) 191
8.4.2 選擇要提供的服務(wù) 192
8.4.3 有關(guān)UNIX系統(tǒng)的考慮事項(xiàng) 192
8.4.4 有關(guān)Windows系統(tǒng)的考慮事項(xiàng) 193
8.4.5 禁用賬戶 193
8.4.6 禁用不需要的服務(wù) 194
8.4.7 限制端口 195
8.5 進(jìn)行備份 196
8.6 對(duì)堡壘主機(jī)進(jìn)行審核 196
8.7 連接堡壘主機(jī) 196
8.8 本章小結(jié) 197
8.9 關(guān)鍵術(shù)語 198
8.10 復(fù)習(xí)題 199
8.11 實(shí)用項(xiàng)目 200
8.12 案例項(xiàng)目 207
第9章 創(chuàng)建虛擬專用網(wǎng) 208
9.1 VPN的組件和操作 208
9.1.1 VPN內(nèi)部組件 209
9.1.2 VPN的核心活動(dòng) 211
9.1.3 VPN的優(yōu)點(diǎn)和缺點(diǎn) 213
9.1.4 VPN擴(kuò)展了網(wǎng)絡(luò)邊界 213
9.2 VPN的類型 214
9.2.1 VPN器件 214
9.2.2 軟件VPN系統(tǒng) 215
9.2.3 組合了硬件和軟件的VPN 216
9.2.4 結(jié)合使用不同供應(yīng)商產(chǎn)品的VPN 217
9.3 VPN設(shè)置 217
9.3.1 mesh配置 217
9.3.2 hub-and-spoke配置 218
9.3.3 混合配置 219
9.3.4 配置和企業(yè)內(nèi)外網(wǎng)的訪問 219
9.4 VPN使用的隧道協(xié)議 220
9.4.1 IPSec/IKE 220
9.4.2 PPTP 221
9.4.3 L2TP 221
9.4.4 工作在SSL/PPP和SSH上的PPP 221
9.5 在VPN內(nèi)啟用遠(yuǎn)程接入連接 222
9.5.1 配置服務(wù)器 222
9.5.2 配置客戶端 224
9.6 使用VPN的良好習(xí)慣 224
9.6.1 采用VPN策略的必要性 224
9.6.2 VPN和包過濾 224
9.6.3 PPTP過濾器 226
9.6.4 L2TP和IPSec包過濾規(guī)則 226
9.6.5 對(duì)VPN進(jìn)行審核和測(cè)試 227
9.7 本章小結(jié) 228
9.8 關(guān)鍵術(shù)語 229
9.9 復(fù)習(xí)題 230
9.10 實(shí)用項(xiàng)目 232
9.11 案例項(xiàng)目 238
第10章 建立自己的防火墻 240
10.1 企業(yè)防火墻和桌面防火墻 240
10.2 桌面防火墻 242
10.2.1 Tiny Personal Firewall 242
10.2.2 Sygate Firewalls 246
10.2.3 ZoneAlarm防火墻 249
10.3 企業(yè)防火墻 253
10.3.1 Linksys 253
10.3.2 Microsoft的Internet Security and Acceleration Server 2000 254
10.4 本章小結(jié) 256
10.5 關(guān)鍵術(shù)語 257
10.6 復(fù)習(xí)題 258
10.7 實(shí)用項(xiàng)目 260
10.8 案例項(xiàng)目 267
第11章 防火墻管理 269
11.1 使防火墻滿足新的需求 269
11.1.1 確定防火墻需要的資源 270
11.1.2 識(shí)別新的危險(xiǎn) 271
11.1.3 增加軟件升級(jí)和補(bǔ)丁 271
11.1.4 添加硬件 273
11.1.5 處理網(wǎng)絡(luò)的復(fù)雜性 273
11.2 遵守一些已證明行之有效的安全規(guī)則 274
11.2.1 環(huán)境管理 274
11.2.2 BOIS、啟動(dòng)和屏保鎖 275
11.3 使用遠(yuǎn)程管理接口 276
11.3.1 為什么遠(yuǎn)程管理工具很重要 276
11.3.2 遠(yuǎn)程管理工具的安全性事項(xiàng) 276
11.3.3 遠(yuǎn)程管理工具的基本特征 277
11.4 追蹤日志文件的內(nèi)容 277
11.4.1 準(zhǔn)備使用報(bào)告 277
11.4.2 監(jiān)視可疑事件 278
11.4.3 自動(dòng)化安全檢查 280
11.5 安全漏洞總是會(huì)發(fā)生 281
11.5.1 使用入侵檢測(cè)系統(tǒng)(IDS) 281
11.5.2 接受安全報(bào)警 282
11.5.3 發(fā)生入侵時(shí) 282
11.5.4 入侵發(fā)生過程中和之后的應(yīng)對(duì) 283
11.6 配置高級(jí)防火墻功能 283
11.6.1 數(shù)據(jù)緩存 283
11.6.2 熱備用冗余系統(tǒng) 284
11.6.3 負(fù)載平衡 285
11.6.4 過濾內(nèi)容 286
11.7 本章小結(jié) 287
11.8 關(guān)鍵術(shù)語 288
11.9 復(fù)習(xí)題 289
11.10 實(shí)用項(xiàng)目 291
11.11 案例項(xiàng)目 294
附錄A 安全資源 296
A.1 與安全性相關(guān)的網(wǎng)站 296
A.2 反病毒站點(diǎn) 297
A.3 免費(fèi)在線安全性掃描網(wǎng)站 297
A.4 事故響應(yīng)站點(diǎn) 298
A.5 安全證書站點(diǎn) 298
A.6 安全專題的背景信息 299
A.7 時(shí)事通訊、新聞組和郵件列表 299
術(shù)語表 301