因特网防火墙技术PDF电子书下载

第1章 概论 1

1．1 因特网的特点 1

1．2 因特网将成为信息战的战略目标 1

前言 1

1．3 如何保护因特网的站点 2

1．3．1 无安全防卫 2

1．3．2 模糊安全防卫 3

1．3．3 主机安全防卫 3

1．3．4 网络安全防卫 3

1．4 防火墙 4

2．1．1 电子邮件 6

2．1．2 文件传输（FTP） 6

2．1 因特网服务的安全隐患 6

第2章 因特网的安全与保安策略 6

2．1．3 远程登录（Telnet） 7

2．1．4 用户新闻(Usent News) 8

2．1．5 万维网（WWW） 8

2．1．6 其他的网络信息服务 9

2．1．7 网络文件系统（NFS） 9

2．2 因特网的安全问题及其原因 10

2．2．1 薄弱的认证环节 10

2．2．2 系统的易被监视性 10

2．2．4 有缺陷的局域网服务和相互信任的主机 11

2．2．3 易欺骗性 11

2．2．6 无法估计主机的安全性 12

2．3 因特网上站点的脆弱性 12

2．2．5 复杂的设置和控制 12

2．4 因特网的保安措施 13

2．4．1 最小特权 13

2．4．2 纵深防御 14

2．4．3 阻塞点 14

2．4．4 最弱连接 14

2．4．5 失败时的保安策略 15

2．4．6 全体参与 15

3．1．1 包过滤 16

第3章 建立防火墙 16

3．1 一些有关的定义 16

3．1．2 代理服务 18

3．1．3 多种技术的混合使用 19

3．2 防火墙结构 20

3．2．1 双宿主主机结构 20

3．2．2 主机过滤结构 21

3．2．3 子网过滤结构 22

3．3 防火墙的各种变化和组合 24

3．3．1 使用多堡垒主机 24

3．3．2 合并内外部路由器 25

3．3．3 合并堡垒主机和外部路由器 26

3．3．4 慎将堡垒主机与内部路由器合并 27

3．3．5 慎用多内部路由器结构 27

3．3．6 使用多外部路由器 29

3．3．7 多参数网络结构 30

3．3．8 双宿主主机加子网过滤 30

3．4 内部防火墙 31

3．4．1 试验网络 31

3．4．2 低保密度网络 32

3．4．3 高保密度网络 32

3．4．4 联合防火墙 33

3．5 防火墙的未来 34

3．4．6 内部防火墙的堡垒主机之选择 34

3．4．5 共享参数网络 34

第4章 堡垒主机 36

4．1 建立堡垒主机的一般原则 36

4．2 特殊的堡垒主机 37

4．2．1 无路由双宿主主机 37

4．2．2 牺牲主机 37

4．2．3内部堡垒主机 37

4．3 堡垒主机的选择 37

4．3．1 堡垒主机操作系统的选择 37

4．3．2 堡垒主机速度的选择 38

4．4．1 位置要安全 39

4．3．3 如何配置堡垒主机的硬件 39

4．4 堡垒主机的物理位置 39

4．4．2 堡垒主机在网络上的位置 40

4．5 堡垒主机提供服务的选择 40

4．6 建立堡垒主机 42

4．6．1 系统日志的建立方法 43

4．6．2 关闭所有不需要的服务 44

4．6．3 如何关闭服务 44

4．6．4 哪些服务需要被保留 45

4．6．5 堡垒主机的重新配置 47

4．6．6 进行安全分析 49

4．7．2 自动监测堡垒主机 50

4．7 堡垒主机的监测 50

4．7．1 监测堡垒主机的运行 50

4．8 对堡垒主机的保护与备份 51

第5章 包过滤 52

5．1 包过滤是如何工作的 52

5．1．1 包过滤的优点 53

5．1．2 包过滤的缺点 54

5．2 包过滤路由器的配置 54

5．2．1 协议总是双向的 54

5．2．2 准确理解“往内”与“往外”的语义 54

5．3 包的基本构造 55

5．2．3 准确设置“默认允许”与“默认拒绝” 55

5．4 在协议各层上包的传输 56

5．4．1 TCP/IP以太网的例子 56

5．4．2 IP层以上各层的情况 58

5．4．3 IP层以下各层的情况 62

5．4．4 应用层协议 62

5．4．5 Non-IP协议（非IP协议） 63

5．5 路由器对包的操作 63

5．5．1 日志记录 63

5．5．2 返回ICMP错误码 64

5．6 设定包过滤规则 64

5．7 依据地址进行过滤 66

5．8 依据服务进行过滤 67

5．8．1 往外的Telnet服务 68

5．8．2 往内的Telnet服务 68

5．8．3 有关Telnet的总结 69

5．8．4 不要仅依据源端口来过滤 70

5．9 包过滤路由器的选择 70

5．9．1 包过滤路由器的速度 70

5．9．2 用通用计算机做路由器 71

5．9．3 包过滤规则 71

5．9．4 包过滤规则的次序 73

5．9．5 对进入和离开网络的包分别制定规则 75

5．10 应该对放行与拒绝的包建立日志 77

5．11 设置包过滤的物理位置 77

5．12 包过滤系统的集成 78

5．13 一些因特网服务的包过滤特性 82

5．13．1 电子邮件 82

5．13．2 简单邮件传输协议（SMTP） 83

5．13．3 邮政管理协议（POP） 87

5．13．4 文件传输 88

5．13．5 远程登录（Telnet） 91

5．13．6 网络新闻传输协议（NNTP） 92

5．13．7 WWW 93

5．13．8 域名系统（DNS） 94

第6章 代理系统 97

6．1 为什么要进行代理 97

6．2 代理的优点 98

6．3 代理的缺点 98

6．4 代理是如何工作的 99

6．4．1 使用定制客户软件进行代理 99

6．4．2 使用定制用户过程进行代理 100

6．5 代理服务器 100

6．5．1 应用级与回路级代理 100

6．6．1 TCP与其他协议 101

6．6 在因特网服务中使用代理 101

6．5．3 智能代理服务器 101

6．5．2 公共与专用代理服务器 101

6．6．2 单向与多向连接 102

6．7 不使用代理服务器的代理 102

6．8 使用SOCKS进行代理 102

6．9 使用TIS因特网防火墙工具包进行代理 104

6．10 使用TIS FWTK的FTP代理 104

6．10．1 使用TIS FWTK的Telnet和rlogin代理 104

6．11．2 代理无法保证服务的安全 105

6．11．1 没有代理服务器 105

6．11 如果不能代理怎么办 105

6．10．3 其他的TIS FWTK代理 105

6．10．2 使用TIS FWTK的公共代理 105

6．11．3 无法修改客户程序或过程 106

6．12 一些因特网服务代理的特性 106

6．12．1 电子邮件 106

6．12．2 文件传输 106

6．12．3 Telnet 107

6．12．4 NNTP 107

6．12．5 WWW 108

6．12．6 DNS 108

7．1．1 电子邮件 109

7．1 在防火墙中配置因特网服务 109

第7章 因特网服务在防火墙中的配置及实例 109

7．1．2 文件传输 110

7．1．3 远程登录Telnet服务配置的注意事项 114

7．1．4 新闻传输协议NNTP配置的注意事项 114

7．1．5 HTTP和WWW的配置注意事项 116

7．1．6 DNS配置的注意事项 118

7．2 防火墙实例 126

7．2．1 子网过滤结构的防火墙 126

7．2．2 主机过滤结构的防火墙 139

第8章 系统的安全保障和防火墙的维护 145

8．1 使用往内服务的安全隐患 145

8．2 什么是认证 146

8．3 认证机制的实例 147

8．4 安全规定的内容 147

8．4．1 安全规定应包含的内容 147

8．4．2 在安全规定中不应被提及的内容 148

8．5 如何制订安全规定 148

8．6 防火墙的维护 149

8．7 安全事故的处理 150

附录A 有关防火墙的资源 152

附录B 防火墙工具和软件 159

附录C TCP/IP的内部结构 164

附录D 有关网络安全和防火墙的书籍 166