更安全的Linux网络PDF电子书下载

第1章 防火墙的基本概念 1

1．1 TCP／IP的基本概念 2

应用层 2

传输层 4

网络层 4

连接层 4

1．2封包的传递 5

1．3 ARP通信协议 9

1．4 TCP、UDP及Socket的关系 11

1．5什么是防火墙 15

1．6防火墙的判别依据 17

各层封包包头内的信息 17

封包所承载的数据内容 19

连接状态 20

1．7防火墙的分类 21

包过滤防火墙 21

应用层防火墙 22

1．8常见的防火墙结构 23

单机防火墙 24

网关式防火墙 25

通透式防火墙 29

第2章 Linux防火墙基础篇 31

2．1什么是Kernel 32

2．2什么是Netfilter 33

2．3 Netfilter与Linux的关系 33

2．4 Netfilter工作的位置 35

2．5 Netfilter的命令结构 37

2．6 Netfilter的Filter机制 38

2．7规则的匹配方式 42

2．8 Netfilter与Iptables的关系 43

2．9 Iptables工具的使用方法 46

Iptables命令参数 46

Iptables规则语法 57

牛刀小试：Iptables的规则语法 66

2．10以Filter机制来构建简单的单机防火墙 69

如何测试防火墙规则正确与否 72

解决无法在防火墙主机上对外建立连接的问题 75

防火墙规则数据库的管理方法 83

2．11以Filter机制来构建网关式防火墙 85

2．12 Netfilter的NAT机制 88

IP网段的划分 89

Private IP 89

NAT 90

封包传递方向与SNAT及DNAT的关系 92

NAT的分类 95

NAT不是万能的 104

2．13 Netfilter的Mangle机制 104

2．14 Netfilter的RAW机制 108

2．15 Netfilter的完整结构 108

2．16实战演练 110

实战2-1 state模块描述下的4种连接状态 110

练习2-1：ESTABLISHED状态的实验 111

练习2-2：RELATED状态的实验 112

练习2-3：NEW状态的实验 113

练习2-4：INVALID状态的实验 113

实战2-2以Netfilter构建单机防火墙 114

实战2-3启动Linux内的Router机制 115

实战2-4以Netfilter构建网关式防火墙 116

实战2-5构建一对多NAT 118

实战2-6构建多对多NAT 119

实战2-7构建一对一NAT 121

实战2-8构建NAPT 123

第3章 Netfilter模块的匹配方式与处理方法 127

3．1匹配方式 128

内建的匹配方式 128

使用模块延伸出来的匹配方式 133

3．2处理方法 170

内建的处理方法 170

由模块延伸的处理方法 175

3．3实战演练 185

实战3-1以multiport及state再加上tcp-flags的判别来改写范例 185

实战3-2使用mac模块来过滤MAC Address 187

实战3-3 当有PortScan攻击行为发生时，将攻击者的IP锁定，使得该IP在10分钟内都不得再连接本机的任何服务 188

实战3-4 User Define Chain的应用及管理 189

实战3-5 将Netfilter的LOG分类记录于／var／log／netfilter文件 191

第4章 Netfilter／Iptables的高级技巧 193

4．1防火墙性能的最佳化 194

调整防火墙规则顺序 194

善用multiport及iprange模块 196

善用User Define 197

4．2 Netfilter连接处理能力与内存的损耗 198

最大连接数量的计算 199

连接追踪数量的调整 200

连接追踪数量与内存的损耗 200

4．3使用RAW Table 200

4．4简单及复杂通信协议的处理 202

简单的通信协议 203

复杂的通信协议 204

ICMP封包的处理原则 213

在DMZ上使用NAT将面临的问题及解决方案 214

常见的网络攻击手法及防护方式 217

4．5实战演练 237

实战4-1 FTP通信协议穿越防火墙的处理 237

实战4-2 FTP通信协议穿越NAT的处理 238

第5章 Proxy Server的应用 241

5．1什么是Proxy Server 242

5．2 Proxy Server能够支持的通信协议 243

5．3 Proxy Server的分类 243

什么是Cache Proxy 244

什么是Reverse Proxy 245

5．4 Proxy Server的硬件需求 246

5．5安装Squid Proxy 247

5．6以Squid构建Cache Proxy 248

Cache Proxy的基本设置 248

Cache Proxy客户端的设置 253

Cache Proxy的高级设置 254

Cache Proxy连接访问控制 258

Cache对象的管理 260

Squid Proxy运行过程的记录文件 265

Squid Proxy名称解析的考虑 268

5．7 Transparent Proxy 269

Transparent Proxy的工作原理 269

设置Transparent Proxy 270

5．8 Reverse Proxy 271

Web Server的分类 271

构建Reverse Proxy 274

5．9实战演练 279

实战5-1构建一个Transparent Proxy 279

实战5-2以Squid Proxy构建一个Name Base的Reverse Proxy 281

第6章 使用Netfilter／Iptables保护企业网络 285

6．1防火墙结构的选择 286

6．2防火墙的本机安全 288

网络攻击 288

系统入侵 289

Inbound／Outbound的考虑 289

远程管理的安全考虑 290

6．3防火墙规则定义 290

企业内部与因特网 291

DMZ与因特网 292

企业内部与DMZ 297

6．4入侵与防御的其他注意事项 297

更新套件 297

Syn Flooding攻击防御 298

IF欺骗防护 300

第7章 弱点扫描及入侵检测 303

7．1什么是弱点扫描 304

Nessus弱点扫描工具 304

Nessus弱点扫描工具的操作架构 305

下载及安装Nessus弱点扫描工具 305

Nessus Client的操作及Report的生成 313

Nessus Server的模块更新 319

7．2入侵检测系统 322

网络设备的限制 322

入侵检测系统的分类 324

入侵检测系统的部署 324

Snort入侵检测系统介绍 325

下载及安装Snort入侵检测系统 326

下载及安装Snort入侵检测系统的规则数据库 326

设置Snort 329

Snort的启动与停止 330

Snort的Alert 330

7．3主动防御系统 331

取得Guardian 331

安装Guardian 332

设定Guardian 332

Guardian的启动与停止 334

7．4实战演练 335

实战7-1 Nessus工具软件的安装及操作 335

实战7-2 Snort工具软件的安装及操作 336

第8章 VPN基础篇 339

8．1什么是VPN 340

VPN的原理 342

常见的VPN架构 343

VPN的安全性问题 344

VPN机制的优缺点 344

8．2认识数据加／解密 345

什么是明文 346

什么是密文 346

8．3数据加／解密的类型 348

8．4散列算法 350

8．5 IPSec Base VPN 351

IPSec的工作模式 352

IPSec的组成要素 353

AH及ESP协议执行时所需设定的参数 361

设置Transport模式IPSec VPN 363

8．6 Linux下的IPSec架构 373

IPSec机制的SPD 373

IPSec机制的SAD 374

8．7实战演练 378

实战8-1构建传输模式的ESP VPN（1） 378

实战8-2构建传输模式的ESP VPN（2） 379

第9章 VPN实务篇 381

9．1 Internet Key Exchange（IKE） 383

9．2以Preshared Keys为验证模式下的传输模式VPN 387

9．3以Preshared Keys为验证模式下的隧道模式VPN 391

9．4什么是数字证书 394

数字证书的必要性 394

证书管理中心 396

以Linux系统来担任企业CA的角色 402

9．5以数字证书为验证模式下的传输模式VPN 409

9．6以数字证书为验证模式下的隧道模式VPN 413

9．7实战演练——构建传输模式的ESP VPN 415

第10章 VPN：L2TP Over IPSec 419

10．1什么是PPP协议 420

10．2什么是L2TP协议 421

L2TP协议的原理 421

L2TP协议的安全性问题 423

L2TP协议安全性问题的解决方案 424

Clent to Site的L2TP VPN结构探讨 425

L2TP Client及L2TP Server之间网段的选择 425

Proxy ARP的运行原理 426

10．3构建L2TP VPN 429

组建L2 TP Server 429

组建PPP Server 431

建立VPN的拨接账号 431

产生及放置证书 432

指定Security Policy的设定文件 433

指定IKE的设定文件 434

启动L2TP Server 435

10．4设定L2 TP Client 435

产生L2TP Client的证书 435

将证书导入Windows XP系统前的准备 436

启动及设置MMC 436

导入“计算机”及“CA”的证书 440

在Windows XP系统下设置拨号网络 445

拨号网络下预设网关的问题 449

10．5实战演练——构建L2TP VPN Server 451

附录A VMware Server的安装及使用 455

A．1 VMware Server的功能 456

A．2取得VMware Server软件 456

A．3安装VMware Server的准备事项 457

A．4安装VMware Server 457

A．5启动VMware Server Console 463

A．6新增虚拟机器 464

A．7启动虚拟机器及鼠标、键盘的控制 471

A．8认识VMware Server的网络功能 472

A．9设定VMware Server的网络功能 473

A．9．1删除现有VMware Server的网卡 473

A．9．2在现有VMware Server 上新增网络接口功能 475

A．10设定虚拟机器网络接口的连接位置 479

A．11虚拟机器的备份及还原 481