防火墙技术大全PDF电子书下载

第1章 简介 1

1.1 防火墙的定义 1

1.2 为什么使用防火墙 2

1.3 常见攻击类型 2

1.4 防火墙的部署 3

1.5 防火墙的优势和弱点 3

1.5.1 优势 4

1.5.2 弱点 4

1.6 完善的安全措施 4

1.6.1 完善系统本身 4

1.6.2 补丁 5

1.6.3 硬件与操作系统 5

1.6.4 层次防御 5

1.6.5 创建安全策略 6

1.6.6 监测与记录 6

1.6.7 审计和测试 6

第2章 防火墙管理的TCP/IP基础 7

2.1 TCP/IP网络中的数据传输 7

2.2 在数据传输中应用的OSI七层模型 8

2.3 理解IP协议是如何工作的 10

2.3.1 IP地址 10

2.3.2 将IP地址转换为二进制格式 10

2.3.3 IP地址的层次结构 11

2.3.4 子网与地址划分的灵活性及高效性 12

2.3.5 IP是如何在网络中路由的 14

2.3.6 广播和组播 17

2.3.7 IP头部 17

2.3.8 用ARP和RARP进行地址解析 18

2.3.9 ICMP协议 19

2.4 传输层协议：与应用程序的接口 20

2.4.1 无连接通信：用户数据报协议 20

2.4.2 可靠顺序交付：传输控制协议 21

2.5 应用程序及工具 23

2.5.1 Ping、 Traceroute和Netstat 23

2.5.2 使用地址转换隐藏私有地址 24

2.5.3 访问控制列表（ACL） 26

2.5.4 域名服务（DNS） 26

2.5.5 简单网络管理协议（SNMP） 27

2.5.6 超文本传输协议（HTTP） 27

2.5.7 电子邮件（E-mail） 27

2.5.8 远程登录（Telnet） 28

2.5.9 远程服务（R-Services） 28

2.5.10 文件传输协议（FTP） 28

第3章 网络设计的考虑 29

3.1 把安全作为网络设计的一部分 29

3.2 Intranet、 Extranet和Internet——安全的理由 29

3.2.1 Intranet 29

3.2.2 Extranet 30

3.2.3 Internet 30

3.2.4 Internet服务提供商（Intemet-Service Provider， ISP）及分散组织 30

3.2.5 部门安全 31

3.2.6 小办公室/家庭办公室（SOHO） 31

3.3 网络设计方法 31

3.3.1 Tyjor公司——设计实例 31

3.3.2 定义网络的目的 31

3.3.3 需求 32

3.3.4 预算 37

3.3.5 选择销售商 37

3.3.6 完成设计 37

3.3.7 创建实施计划 38

3.3.8 测试和确认 39

3.3.9 提供支持 39

3.4 网络 39

3.4.1 网络拓扑的类型 40

3.4.2 路由协议 46

3.5 普通网络防火墙设计 47

3.5.1 非军事区（DMZ） 48

3.5.2 堡垒主机 48

3.5.3 过滤网关 49

3.6 创建公司安全策略 49

3.6.1 接受使用策略 49

3.6.2 特殊策略 50

第4章 防火墙的体系结构 52

4.1 包过滤器 52

4.1.1 包过滤的过程 53

4.1.2 创建一个规则库 53

4.1.3 包过滤的优缺点 56

4.2 应用级网关 56

4.2.1 应用级网关的工作过程 57

4.2.2 应用级网关的缺点 58

4.3 电路级网关 59

4.3.1 电路级网关的工作过程 59

4.3.2 电路级网关的缺点 59

4.4 状态包检查（SPI） 59

4.4.1 SPI防火墙的工作过程 60

4.4.2 SPI在安全上的优点 61

4.5 实施方式 61

4.5.1 基于网络主机的防火墙 62

4.5.2 基于路由器的防火墙 62

4.5.3 基于单个主机的防火墙 62

4.5.4 硬件防火墙 63

第5章 防火墙的高级功能 64

5.1 身份验证和授权 64

5.2 网络地址转换 65

5.2.1 静态NAT 66

5.2.2 动态NAT 67

5.2.3 端口转换 67

5.2.4 服务器负载平衡 68

5.3 密码理论 68

5.3.1 加密密码 68

5.3.2 哈希验证 69

5.4 虚拟专用网络（VPN） 71

5.5 IPSec（IP安全协议） 73

5.6 网络监控 73

5.6.1 审计 73

5.6.2 会话窃听 74

5.7 病毒免疫 75

5.8 可用性 75

5.8.1 状态信息 76

5.8.2 高可用性 76

5.8.3 负载平衡 77

5.9 管理 78

5.10 防火墙的其他特性 79

第6章 防火墙攻击 81

6.1 了解入侵者：他们的攻击方法 81

6.1.1 攻击目标的选择 81

6.1.2 跟踪 82

6.1.3 识别并侦察防火墙 86

6.2 未雨绸缪——准备基础知识 92

6.2.1 包过滤防火墙 92

6.2.2 应用级代理防火墙 92

6.2.3 IP欺骗 92

6.2.4 会话劫持 93

6.2.5 形同虚设的访问控制列表（ACL） 95

6.2.6 隧道 97

6.2.7 代理服务器的外来访问 98

6.2.8 操作系统和应用程序 98

6.2.9 防火墙提供的远程管理功能 98

6.2.10 拒绝服务（DoS） 99

6.3 公布的防火墙漏洞 99

6.3.1 Check Point FireWall-1 IP分片漏洞 99

6.3.2 Check Point FireWall-1 RDP头部绕过防火墙的漏洞 100

6.3.3 Cisco PIX TACACS＋的DoS漏洞 100

6.3.4 Raptor防火墙在代理HTTP请求中的漏洞 100

第7章 Check Point FireWall-1简介 101

7.1 什么是FireWall-1 101

7.2 FireWall-1组件 101

7.2.1 管理模块 102

7.2.2 GUI客户端 102

7.2.3 FireWall-1的防火墙模块 104

7.3 不同的管理模块配置 106

7.3.1 单设备防火墙（Single DeviceFirewall） 107

7.3.2 拥有外部GUI客户端的单设备防火墙 107

7.3.3 只有单个管理模块的多防火墙 107

7.3.4 有冗余管理模块的多防火墙 108

7.3.5 一对一的防火墙模块和管理模块 109

7.3.6 高可用性防火墙 109

7.3.7 其他防火墙组件 110

7.4 FireWall-1对象 110

7.4.1 管理FireWall-1对象 110

7.4.2 服务 119

7.4.3 资源 122

7.4.4 用户 124

7.4.5 时间 125

第8章 FireWall-1的安装 127

8.1 许可证 127

8.1.1 评估许可证 127

8.1.2 永久许可证 128

8.1.3 X/Motif许可证 128

8.2 FireWall-1的安装前提示 128

8.2.1 安装哪一种FireWall-1组件 128

8.2.2 IP转发的考虑 128

8.2.3 FireWall-1组件的连通性 130

8.3 在Windows平台上安装FireWall-1 130

8.3.1 最小系统要求 130

8.3.2 安装过程 130

8.4 在Unix平台上安装FireWall-1 138

8.5 FireWall-1安装结束后再安装许可证 144

第9章 配置FireWall-1 145

9.1 远程管理 145

9.1.1 启用远程Windows GUI客户端 145

9.1.2 登录Windows NT GUI策略编辑器 147

9.1.3 启用远程Unix GUI客户端 147

9.1.4 登录Unix GUI策略编辑器 148

9.1.5 在分布式防火墙和管理模块之间建立连接 148

9.1.6 策略编辑器菜单和工具条 149

9.1.7 策略属性 150

9.2 创建FireWall-1规则库 156

9.2.1 创建一个标准的NAT规则 157

9.2.2 准规则和显式规则 158

9.2.3 清理规则 159

9.2.4 隐藏规则 159

9.2.5 FireWall-1的规则顺序 159

第10章 FireWall-1高级功能 161

10.1 身份验证 161

10.1.1 用户身份验证 161

10.1.2 客户身份验证 163

10.1.3 会话身份验证 166

10.2 内容安全 168

10.3 内容向量协议 170

10.4 URL过滤协议 172

10.5 NAT 175

10.6 账户管理客户端 180

10.7 VPN和SecuRemote 182

10.7.1 VPN的一些考虑 182

10.7.2 网关到网关VPN 184

10.7.3 SecuRemote 187

第11章 Check Point Next Generation 191

11.1 新特征和功能增强概述 191

11.1.1 NG的策略管理器 191

11.1.2 增强的日志功能 192

11.1.3 审计 193

11.1.4 TCP服务属性 193

11.1.5 增强的网络地址转换 194

11.1.6 NG对象数据库 194

11.1.7 进程监视 194

11.1.8 可视化策略编辑器 195

11.1.9 安全内部通信（SIC） 195

11.1.10 SecureUpdate 196

11.1.11 管理高可用性 196

11.2 升级考虑 198

11.3 在Windows上安装Check Point NG防火墙 198

11.4 在Unix上安装Check Point NG防火墙 201

11.5 NG策略管理器的操作 203

11.5.1 创建时间对象 203

11.5.2 创建基本管理模块对象 205

11.5.3 创建防火墙模块对象 206

11.6 使用SecureUpdate 207

11.6.1 应用SecureUpdate进行产品管理 207

11.6.2 许可证管理 208

第12章 Cisco PIX防火墙 210

12.1 产品背景 210

12.2 PIX的特征与功能 210

12.2.1 PIX模型 212

12.2.2 PIX性能 214

12.3 软件版本 215

12.3.1 PIX版本6.X 215

12.3.2 PIX 6.X版可以做的事与不可以做的事 216

12.3.3 PIX版本5.3 216

12.4 自适应安全算法 216

第13章 Cisco PIX安装 221

13.1 为PIX安装制定计划 221

13.2 安装前 222

13.2.1 选择许可证 222

13.2.2 选择PIX型号 223

13.2.3 物理位置 224

13.3 安装 225

13.3.1 接口配置 225

13.3.2 电缆连接 226

13.3.3 初始PIX输入 226

13.3.4 配置PIX 227

13.4 使用TFTP升级你的IOS 234

第14章 Cisco PIX配置 237

14.1 路由选择 237

14.1.1 静态 237

14.1.2 路由信息协议（RIP） 238

14.2 流量过滤和地址转换 239

14.2.1 管道（conduit） 239

14.2.2 静态（static） 241

14.2.3 Outbound/Apply命令 242

14.2.4 NAT/Global 244

14.2.5 访问表 245

第15章 Cisco PIX高级功能 249

15.1 用户访问管理 249

15.1.1 访问PIX 249

15.1.2 通过PIX的流量 250

15.2 流量管理 252

15.2.1 包管理 252

15.2.2 协议管理 254

15.3 冗余度 256

15.4 PIX监控 258

第16章 Cisco安全策略管理器 263

16.1 背景 263

16.1.1 应用区 263

16.1.2 操作流 264

16.2 安装 264

16.3 拓扑图 267

16.3.1 创建拓扑图 267

16.3.2 查看拓扑图 272

16.4 策略设计 275

16.4.1 网络对象组 276

16.4.2 网络服务组 277

16.4.3 创建规则集 278

16.5 PIX命令 283

16.5.1 策略前的分发 284

16.5.2 分发策略 288

16.6 报告 290

16.6.1 监控报告 291

16.6.2 系统报告 291

第17章 Cisco IOS防火墙特征集 293

17.1 产品背景 293

17.2 IOS防火墙的特征和功能 293

17.2.1 IOS FFS阶段1的特征 293

17.2.2 IOS FFS阶段2的特征 294

17.3 计划安装IOS防火墙的特征集 294

17.3.1 选择硬件平台 294

17.3.2 选择软件特征集 295

17.3.3 选择软件版本 296

17.4 IOS防火墙设计考虑 296

17.4.1 IOS防火墙的强度 296

17.4.2 警告 297

17.4.3 IOS FFS设计示例 297

17.5 安装和配置防火墙 298

17.5.1 Cisco IOS的命令行界面 298

17.5.2 记录IP和端口信息 300

17.5.3 安装软件 300

17.6 配置IOS FFS 302

17.7 配置CBAC 307

17.7.1 理解CBAC的工作原理 307

17.7.2 配置访问控制表 308

17.7.3 配置检查规则 309

17.7.4 打开告警和审计跟踪 311

17.7.5 配置PAM 311

第18章 Linux内核防火墙——Iptables 312

18.1 Linux内核防火墙的发展 312

18.2 安装Iptables 317

18.3 构建Iptables防火墙 317

18.3.1 独立主机 318

18.3.2 简单的NAT防火墙 320

18.3.3 端口转发防火墙 322

18.3.4 具有DMZ和透明Web代理的防火墙 324

18.3.5 允许IPSec VPN通过的防火墙 327

18.3.6 实现服务类型（TOS）标记 328

18.4 通过日志实现故障诊断 328

18.5 防火墙实用工具 329

18.5.1 Mason 329

18.5.2 Iptables-save和Iptables-restore 329

18.5.3 Knetfilter 329

第19章 Symantec防火墙企业版的背景与安装 330

19.1 Symantec/Raptor 6.5 的历史 330

19.1.1 对标准服务的支持 331

19.1.2 支持的验证类型 331

19.1.3 关于Symantec防火墙企业版6.5 332

19.1.4 Symantec防火墙企业版6.5 的重要特性 332

19.1.5 代理 337

19.2 安装 339

19.2.1 安装准备 339

19.2.2 网络设置 340

19.2.3 测试网络配置 346

19.2.4 测试TCP/IP的连通性 346

19.2.5 检查名称解析（DNS） 346

19.2.6 ping主机 346

19.2.7 理解网络如何处理名称解析 346

19.2.8 提前约见Internet服务提供商（ISP） 347

19.2.9 知道哪些服务需要通过安全网关 347

19.2.10 安装Symantec防火墙企业版6.5 347

19.2.11 安装Symantec Raptor管理控制台 348

19.2.12 连接到Symantec防火墙企业版 349

19.2.13 安装远程日志记录 349

19.2.14 Vulture：未授权的服务 349

第20章 Symantec防火墙企业版的配置 350

20.1 网络接口的配置 350

20.2 配置网络实体 353

20.3 用户和用户组的配置 357

20.3.1 定义用户组 358

20.3.2 定义用户 358

20.4 配置Symantec和代理服务 365

20.4.1 Symantec服务 365

20.4.2 代理服务 370

20.5 授权规则的填写 372

20.6 地址转换的配置 377

20.6.1 地址转换 378

20.6.2 虚拟客户机 381

第21章 Symantec防火墙企业版高级功能 383

21.1 使用客户协议和服务 383

21.1.1 定义一个GSP服务 383

21.1.2 为过滤器中的应用定义协议 386

21.2 拒绝服务（DoS） 387

21.3 配置代理以支持第三方软件 388

21.3.1 使用SQL＊Net V2代理 389

21.3.2 代理连接小结 390

21.3.3 配置SQL＊Net V2客户机 390

21.3.4 创建客户配置文件 390

21.3.5 H.3 23标准 391

21.4 设定证书验证 396

21.4.1 在主机上生成证书 396

21.4.2 在Entrust CA服务器上生成一个证书 397

21.5 配置服务重新定向 399

21.5.1 使用服务重新定向 399

21.5.2 给所支持的重新定向添加一个规则 400

21.6 通告方式的配置 400

21.6.1 音频通告的配置 401

21.6.2 邮件通告功能的配置 402

21.6.3 呼叫通告功能的配置 403

21.6.4 客户端程序通告的配置 404

21.6.5 SNMP通告的配置 404

第22章 微软ISA Server 2000综述 405

22.1 产品背景 405

22.2 ISA特征 406

22.2.1 多层防火墙 406

22.2.2 基于策略的访问控制 407

22.3 ISA组件 408

22.3.1 服务器软件 408

22.3.2 客户端软件 408

22.4 ISA操作模式 409

22.5 ISA管理 410

22.5.1 本地管理 410

22.5.2 远程管理 411

22.6 报警 412

22.6.1 条件 412

22.6.2 动作 414

22.7 日志 415

22.7.1 数据包过滤器日志 416

22.7.2 防火墙服务和Web代理日志 417

22.7.3 方法 418

22.8 报表 420

22.8.1 报表的产生 420

22.8.2 报表的日程安排 422

第23章 微软ISA Server 2000的安装和配置 424

23.1 微软ISA Server 2000安装准备 424

23.2 软件安装 425

23.2.1 初始安装 425

23.2.2 安全服务器向导 429

23.2.3 从微软Proxy Server 2升级 432

23.3 启动向导 433

23.3.1 创建日程表 434

23.3.2 创建客户端集 436

23.3.3 创建协议规则 437

23.3.4 创建目标集 439

23.3.5 创建站点和内容规则 440

23.3.6 为防火墙和SecureNAT客户端配置路由 441

第24章 微软ISA Server 2000的高级功能 443

24.1 包过滤器和入侵检测 443

24.2 报警管理 444

24.3 创建协议定义 445

24.4 虚拟专用网络 446

24.4.1 远程访问 446

24.4.2 站点到站点的VPN 447

24.5 应用程序过滤器 450

24.5.1 SMTP过滤器 451

24.5.2 SMTP的体系结构 453

24.6 高可用性 455

第25章 SonicWALL防火墙的背景和管理 457

25.1 产品 457

25.2 6.2 版的软件特征 459

25.3 SonicWALL的包处理 461

25.4 SonicWALL的管理 461

第26章 安装SonicWALL 466

26.1 物理安装 466

26.1.1 安装硬件 466

26.1.2 物理安装过程 466

26.2 初始化配置信息 467

26.3 基于Web的配置向导 468

26.3.1 管理控制台配置 468

26.3.2 安装向导 468

第27章 SonicWALL配置 474

27.1 安全策略示例 474

27.2 网络访问规则 475

27.3 网络访问规则类型和等级 475

27.3.1 增加服务 476

27.3.2 通过服务确定的网络访问规则 477

27.3.3 创建和编辑规则 480

27.3.4 增加和编辑用户 483

27.3.5 配置SNMP 485

27.3.6 安全的远程管理 486

第28章 SonicWALL高级配置 487

28.1 日志 487

28.2 代理中继 488

28.3 静态路由 489

28.4 DHCP服务器 490

28.5 Intranet防火墙 492

28.6 DMZ地址 493

28.7 高级NAT 494

28.8 以太网设置 495

28.9 过滤 496

28.9.1 种类标签 496

28.9.2 列表升级标签 497

28.9.3 自定义标签 498

28.9.4 关键词标签 499

28.9.5 赞同标签 500

28.10 VPN 501

28.10.1 配置组VPN 501

28.10.2 客户端配置 502

28.10.3 测试VPN客户端配置 503

28.10.4 在两个SonicWALL设备之间配置IKE 504

28.11 高可用性 507

28.12 反病毒 511

28.12.1 反病毒小结 513

28.12.2 E-Mail过滤器 513

第29章 NetScreen防火墙的背景和管理 515

29.1 背景 515

29.1.1 产品和性能 515

29.1.2 NetScreen应用产品 515

29.1.3 NetScreen安全系统 518

29.2 ScreenOS操作系统 520

29.2.1 ScreenOS的规则处理 521

29.2.2 ScreenOS特征集 523

29.2.3 ScreenOS管理接口 523

第30章 安装NetScreen 525

30.1 NetScreen设备的安装 525

30.1.1 安装NetScreen-5XP 525

30.1.2 安装NetScreen-25/50 527

30.1.3 安装NetScreen-100 529

30.2 NetScreen安全系统的安装 531

30.2.1 安装NetScreen-500 531

30.2.2 架设NetScreen-500 532

30.2.3 在基本的单独配置下连接NetScreen-500 533

30.2.4 在冗余（HA）配置下连接NetScreen-500 534

30.2.5 安装NetScreen-1000 535

30.2.6 架设NetScreen-1000 536

30.2.7 在独立配置下连接NetScreen-1000 536

30.2.8 在冗余配置下连接NetScreen-1000 536

第31章 NetScreen的配置 537

31.1 控制台初始化配置 537

31.2 用GUI进行NetScreen配置 540

第32章 NetScreen的高级配置 555

32.1 虚拟专用网 555

32.1.1 手工密钥站点到站点的VPN配置 555

32.1.2 高可用性配置 561

32.1.3 用VIP进行负载平衡 562

32.1.4 带宽整形和优先化 564

32.1.5 监控NetScreen设备 565

32.1.6 ScreenOS的调试命令 565

32.2 NetScreen-1000设备的一个配置文件示例 566