防火墙技术指南PDF电子书下载

第一部分 TCP/IP及其安全需求:防火墙 1

第1章 网络互连协议和标准概述 1

1.1 网际协议 3

1.1.1 IP寻址 3

1.1.2 IP安全风险 4

1.2 用户数据报协议 7

1.2.1 攻击用户数据报协议服:SATAN轻松应对 7

1.2.2 用于UNIX 和Windows NT上的因特网安全系统 7

1.3 传输控制协议 9

1.4 通过CIDR扩展IP 地址 11

1.4.1 TCP/IP安全风险及其对策 11

1.4.2 IPSEC——IETF提出的IP安全对策 15

1.4.3 IPSO——(美)国防部IP安全对策 15

1.5 路由信息协议 15

1.6 MBONE——多播骨干网 16

1.7 因特网控制报文协议 18

1.8 因特网组管理协议 18

1.9 开放式最短路径优先 19

1.10 边界网关协议 20

1.11 地址转换协议 20

1.11.1 地址转换协议 20

1.11.2 通过路由顺传递IP数据报的安全风险 20

1.12 简单网络管理协议 21

1.13 监视ISP连接 21

1.14 下一代IP 协议Ipv6 21

1.14.1 地址扩展 22

1.14.2 网络设备的自动配置 22

1.14.3 安全性 22

1.14.4 实时性能 22

1.14.5 多播 23

1.14.6 Ipv6安全性 23

1.15 网络时间协议 23

1.16 动态主机配置协议 23

1.17 Windows套接字( Winsock)标准 24

1.18 域名系统 24

1.19 防火墙概念 24

1.19.1 防火墙缺陷 27

1.19.2 停火区 27

1.19.3 认证问题 28

1.19.4 周边信任 28

1.19.5 内部网 28

第2章 基础连接 30

2.1 关于TTY 31

2.2 UNIXtoUNIX Copy 33

2.3 SLIP和PPP 34

2.4 Rlogin 34

2.5 虚拟终端协议 35

2.5.1 哥伦比亚大学的kermit：一种安全可靠的Telnet 服务器 35

2.5.2 Telnet服务的安全考虑 40

2.5.3 网络安全系统管理员 40

2.5.4 Telnet会话安全检查表 42

2.6 简单文件传输协议 43

2.7 文件传输协议 44

2.8 使用防火墙的一些挑战 45

2.9 IP网络日益增加的发全需求 47

第3章 加密：足够吗 48

3.1 引言 50

3.2 对称密钥加密(私有密钥) 50

3.2.1 数据加密标准 50

3.2.2 国际数据密算法 52

3.2.3 CAST算法 53

3.2.4 Skipjack 算法 58

3.2.5 RC2/RC4算法 59

3.3 非对称密钥加密/公工密钥加密 59

3.3.1 RSA 60

3.3.2 数字签名标准 61

3.4 消息摘要算法 62

3.4.1 MD2、MD4和MD5 62

3.4.2 安全哈希标准/安全哈希算法 64

3.5 证书 64

3.6 密钥管理 71

3.6.1 Kerberos协议 71

3.6.2 密钥交换算法 78

3.7 密码分析与攻击 79

3.7.1 唯密文攻击 79

3.7.2 已知明文攻击 79

3.7.3 选择明文件击 80

3.7.4 自适应选择明文攻击 80

3.7.5 中间人攻击 80

3.7.6 选择密文攻击 80

3.7.7 选择密钥攻击 80

3.7.8 软磨硬泡密码分析 80

3.7.9 时间攻击 81

3.8 加密应用程序及应用程序编程序接口 82

3.8.1 数据密及安全通信信道 82

3.8.2 认证 84

3.8.3 认证码 84

3.8.4 NT安全支技服务接口 85

3.8.5 Microsoft密码FPI 86

第4章 防火墙面临的挑战：基础Web 91

4.1 HTTP 91

4.1.1 基础Web 92

4.1.2 怎样监视HTTP协议 94

4.1.3 利用S-HTTP 95

4.1.4 使用SSL增强安全性 95

4.1.5 不心Web缓存 96

4.1.6 堵住漏洞：一个配置检查表 96

4.1.7 安全检查表 97

4.1.8 Novell的HTTP协议：小心为妙 97

4.1.9 监视基于UNIX的Web服务器的安全问题 97

4.2 URI/URL 98

4.2.1 文件URL 99

4.2.2 Gopher URL 99

4.2.3 新闻URL 99

4.2.4 部分URL 99

4.3 CGI 100

第5章 防火墙而临的挑战：高级Web 113

5.1 扩展Web服务器：危险不增加 113

5.1.1 ISAPI 113

5.1.2 NSAPI 119

5.1.3 servlet 120

5.1.4 服务器端ActiveX服务器 122

5.1.5 Web数据库网关 124

5.1.6 电子邮件应有系统的安全 124

5.1.7 Macromedia的Shokwave 126

5.2 Web页面的代码 127

5.2.1 Java applet 128

5.2.2 ActiveX控制 130

5.2.3 采用面向对象技术 135

第6章 API的安全漏洞及防火墙的交互 138

6.1 套接字 138

6.2 Java API 141

6.3 在制造业和商业环境中Java可以帮助联合各种平台 142

6.3.1 Java能够运用控制来帮助集成ERP 143

6.3.2 Java简化了制造业带来利益 144

6.3.3 JCAF简化了制造业应有和程序的开发 145

6.3.4 由中间件提供后端服务 146

6.3.5 带有Java的应用程序有助于制造业合为一体 147

6.3.6 Jini能够满足制造业和企的需求吗 149

6.3.7 企版JavaBeans提供可达性和可升级性 151

6.3.8 Java/CORBA与DCOM的比较 152

6.3.9 主要的Java产品供应商 153

6.4 Perl模块 155

6.5 CGI脚本 157

6.6 ActiveX 158

6.7 分布式处理 159

6.7.1 XDR/RPC 159

6.7.2 RPC 160

6.7.3 COM/DCOM 160

第二部分 防火墙的实现和局限 161

第七章 究竟什么是因特网/内部网防火墙 161

7.1 什和是防火墙 161

7.2 防火墙的作用 162

7.2.1 防火墙的保护职责 163

7.2.2 防火墙的访问控制 163

7.3 防火墙的安全职责 164

7.4 提高防火墙保密性 164

7.5 防火墙的优点和缺陷 164

7.5.1 访问限制 164

7.5.2 后门威胁：Modem接入 165

7.5.3 内部攻击 165

7.6 防火墙的构成 165

7.6.1 网络字全策略 165

7.6.2 包过滤 169

7.7 防火墙的获取 171

7.7.1 需求评估 171

7.7.2 购买防火墙 172

7.7.3 建造防火墙 173

7.7.4 安装 173

7.8 安装防火墙时通常应注意的问题 175

7.9 管理防火墙 179

7.9.1 管理专门知识 179

7.9.2 系统管理 179

7.10 电路层网关和包过滤 179

7.10.1 包过滤 180

7.10.2 应用网关 180

7.10.3 IP层过滤 180

7.11 防火墙与Cyberwall 180

第8章 因特网服务的脆弱性 184

8.1 保护和设置脂攻击的服务 184

8.1.1 电了邮件安全威胁 184

8.1.2 简单邮件传输协议 184

8.1.3 邮局协议 189

8.1.4 通用因特网邮件扩充协议 189

8.2 文件传输问题 199

8.1.2 文件传输协议 199

8.2.2 次要传输协议 201

8.2.3 文件服务协议 202

8.2.4 UNIX到UNIX拷贝协议 202

8.3 网络新闻传输协议 202

8.4 Web 和HTTP协议 203

8.4.1 代理HTTP 204

8.4.2 HTTP安全漏洞 204

8.5 会议系统安全性 205

8.6 注意以下这些服务 206

8.6.1 Gohet 206

8.6.2 finget 206

8.6.3 whois 207

8.6.4 Talk 207

8.6.5 IRC 207

8.6.6 DNS 208

8.6.7 网络管理站 208

8.6.8 简单网络管理协议 208

8.6.9 traceroute 209

8.6.10 网络文件系统 210

8.7 保密性和完整性 210

第9章 建立防火墙安全策略 212

9.1 评定公司安人风险 212

9.2 了解和估什威胁 216

9.2.1 病毒威胁 216

9.2.2 外部威胁 217

9.2.3 内部威胁 217

9.3 浅谈安全漏洞 218

9.4 设置安全策略 219

第10章 防火墙的设计与实现 224

10.1 基本知识的回顾 224

10.2 防火墙的选择 226

10.3 安全策略的考虑 227

10.3.1 关于物理安全问题的讨论 229

10.3.2 关于访问控制的讨论 229

10.3.3 关于认证的讨论 229

10.3.4 关于加密的讨论 229

10.3.5 关于安全审计的讨论 229

10.3.6 关于培训的讨论 229

10.4 网络遭受攻击时，应采取的处理措施 230

10.5 事故的处理 230

10.5.1 以网络信息服务为破坏工具 231

10.5.2 以远程登录/外壳服务为破坏工具 232

10.5.3 以网络文件系统为破坏工具 232

10.5.4 以FTP服务为破坏工具 232

10.6 事故处理指南 233

10.6.1 评估形势 234

10.6.2 切断链接 234

10.6.3 分析问题 234

10.6.4 采取措施 235

10.7 抓住入侵者 235

10.8 安全检查 235

10.9 起诉黑客 236

10.10 保护分司的站点 236

第11章 代理服务器 238

11.1 SOCKS 243

11.2 tcpd，TCP Wrapper 245

第12章 防火墙维护 248

12.1 让防火墙保持调 249

12.2 系统监控 251

12.3 预防性和恢复性维护 251

12.3.1 防止防火墙出现安全缺口 253

12.3.2 鉴别安全漏洞 253

12.4 更新防火墙 253

第13章 防火墙工具包与个案分析 253

13.1 个案分析：实现防火墙 255

13.2 给大型机构构建防火墙：应用级防火墙和过包过滤——个混合系统 256

13.3 给小型机构构建防火墙：包过滤或应用级防火墙——代理实现 256

13.4 在子网体系结构中构建防火墙 256

第三部分 防火墙资源指南 257

第14章 防火墙类型及市场产品介绍 257

14.1 Check Point的Firewall-1——状态检测技术 257

14.1.1 Firewall-1的检查模模块 257

14.1.2 状态检测 259

14.2 CYCON的Labyrinth Firewall--迷宫式系统 267

14.3 Net Guard的Guardian防火墙系统—— Mac层状态检测 276

14.4 Cyber Guard 的Cyber Guard防火墙 284

14.4.1 可信任操作系统 285

14.4.2 直观的远程图形用户界面(GUI) 286

14.4.3 动态状态规则技术 287

14.4.4 可确认技术 289

14.4.5 系统需求 289

14.5 Raptor防火墙：一个应用级结构 290

14.5.1 增强网络各层的安全性 291

14.5.2 Raptor防火墙(6.0)加强了对NT的管理 295

14.5.3 对专用安全代理的依赖 295

14.5.4 使用Eagle系列Raptor防火墙 296

14.5.5 系统需求 299

14.6 Milkyway 的SecurlT FIREWALL 300

14.6.1 防弹防火墙 301

14.6.2 系统需求 309

14.7 WatchGuard Technologies的WatchGuar防火墙系统——利所有主要防火墙方组合防火箱 309

14.7.1 WatchGuard概述 310

14.7.2 WatchGuard的安全管理系统 311

14.7.3 WatchGuard的防火箱 313

14.7.4 WatchGuard的总控制台 313

14.7.5 WatchGuard图形监视器 314

14.7.6 WatchGuard报告系统 316

14.7.7 WatchGuard WebBlocker 317

14.7.8 WatchGuardSchoolmate 318

14.7.9 WatchGuard的VPN向导 319

14.8 Alta Vesta Software的Firewall 98——主动防火墙 319

14.8.1 AltaVista防火墙 320

14.8.2 服务：安全问题 321

14.8.3 安全性：支持SSL 322

14.8.4 管理特征：通过隧道进行远程管理 322

14.8.5 URL和Java阻塞 323

14.8.6 增强型代理 323

14.8.7 强有力的、录活的认证 324

14.8.8 双DNS服务器 324

14.8.9 DMZ支持 325

14.8.10 配置 325

14.8.11 硬件需求 325

14.9 ANS Communicarion的InterLock防火墙——一个双宿主应用级网关 326

14.9.1 ANS InterLock 327

14.9.2 ANS InterLock服务 328

14.9.3 InterLock的访问控制 328

14.9.4 InterLock的的访问管理 331

14.9.5 ANS InterLock的人侵检测服务 332

14.9.6 InterLock的安全特征总结 333

14.10 Giobal Technology的Gnat Box防火墙——一个软盘里的防火墙 333

14.10.1 认误码GNAT Box防火墙 334

14.10.2 标准特征 337

14.10.3 什么是GNAT Box防火墙 338

14.11 Network-1 Software and Technology 的FireWall/Plus——一种高性能多协议防火墙 345

14.11.1 关于Fire Wall/Plus 345

14.11.2 Fire Wall/Plus的安装、设置和使用 347

14.11.3 为Fire Wall/Plus选择一个系统默认的规则库 348

14.11.4 性能统计 349

14.11.5 附加和扩充的过滤器 349

14.11.6 Fire Wall/Plus功能小结 352

14.11.7 Network-1公司的CyberwallPLUS 352

14.11.8 系统需求 355

14.12 Trusted lnformation System的Gauntlet Internet——一种基于应用层代理的防火墙 355

14.12.1 TIS Gauntlet Internet防火墙 357

14.12.2 防火墙对用户透明 358

14.12.3 对远地公司进行扩充的防火墙保护 359

14.12.4 Gauntlet PC Extender 359

14.13 Technologic的Interceptor防火墙，一个直觉的防火墙 360

14.13.1 Technologic的Interceptor 防火墙概述 361

14.13.2 Interceptor 的组成部分 362

14.13.3 系统需求 366

14.14 Sun的Sunscreen EFS防火墙——一个状态检查防火墙 366

14.14.1 SunScreen模型 367

14.14.2 安全访问控制 368

14.14.3 管理的简化 369

14.14.4 SunScreenSPF-200和SunScreen EFS安全解决方案 370

14.14.5 SunScreenSPF-200 370

14.14.6 SunScreenEFS 371

14.14.7 系统需求 372

14.14.8 Solstice Firewall-1 3.0 372

14.15.1 Border Ware防火墙服务器 374

14.15.2 Border Ware应用服务 379

14.15.3 安全特性 381

14.16 Ukiah Software的Net Road Fire WALL——一种多支体系统结构防火墙 382

14.16.1 NetWare和NT防火墙(Windows NTT和NeTware版) 383

14.16.2 NeTware和NT防火墙支持 386

14.16.3 NetRoad F ireWALL 平台的发展趋势 387

14.16.4 系统需求 388

14.7 Secure Comptuing的Sidewindet Firewall——一种类型增强安全 388

14.17.1 类型增强安全专利 389

14.17.2 远程管理 391

14.17.3 访问控制 391

14.17.4 广泛的事件监视 393

14.17.5 高级地滤 394

14.18 IBM的eNetwork Firwall——另一种类型增强安全 395

14.18.1 用于AIX的IBM防火墙3.1版 395

14.18.2 IBM防火墙扩要特征 400

14.18.3 通过虚拟专用网进行通信 401

14.18.4 管理防火墙 403

14.18.5 系统需求 404

第四部分 附录 405

附录A 防火墙销售商和相关工具 405

附录B 术语表 417

参考书目 428