防火墙核心技术精解PDF电子书下载

第1章　介绍信息安全 1

1.1 引言 1

目录 1

译者序 1

前言 1

作者简介 1

1.2　安全隐患和Internet 2

1.2.1　定义信息安全 3

1.2.2　常用信息安全概念 4

1.2.5　杜绝入侵机会 5

1.2.4　和小偷一样思考 5

1.2.3　知识就是力量 5

1.3.1　物理安全 6

1.3　威胁和攻击 6

1.3.2　网络安全 7

1.3.3　理解入侵动机 8

1.3.5　基础知识：TCP/UDP常用端口 10

1.3.4　安全解决方案分类 10

1.3.6　攻击类型 13

1.4　安全策略 20

1.4.3　开发安全计划和策略的责任 21

1.4.2　分配网络安全的责任 21

1.4.1　防止有意的内部安全漏洞 21

1.4.4　设计企业安全策略 22

1.4.5　评估安全需求 25

1.4.6　理解安全级别 27

1.4.7　制定安全目标 28

1.5　创建安全策略 29

1.6　保护信息技术 31

1.7　使用SSL和安全Shell 32

1.8.1 监测活动 34

1.8　其他硬件安全设备 34

1.8.2　防止未授权的外部入侵和攻击 35

1.9　本章小结 36

2.2　防火墙的定义 37

2.1 引言 37

第2章　防火墙的概念 37

2.3　网络和防火墙 40

2.3.1 防火墙接口：内部的、外部的和DMZ 41

2.3.3　地址转换 43

2.3.2　防火墙策略 43

2.3.4　虚拟专用网络 45

2.4　常用的防火墙 46

2.4.1　基于硬件的防火墙 48

2.4.2　防火墙软件 49

2.5　本章小结 50

3.2 DMZ基础 51

3.1 引言 51

第3章　DMZ的概念、布局和设计方案 51

3.2.1 DMZ的概念 54

3.2.2　流量的概念 58

3.2.3　含有和不含有DMZs的网络 60

3.3.1　为什么设计如此重要 61

3.3 DMZ设计基本原理 61

3.3.3　流和协议的基本原理 63

3.3.2　网络上主机间数据传输的终端对终端的安全性设计 63

3.3.5　公共和私人IP地址 64

3.3.4　有关TCP/IPv4的保护设计 64

3.3.6　端口 65

3.3.7　使用防火墙保护网络资源 66

3.3.8　流和安全风险 67

3.4　高级风险 69

3.4.2 Web和FTP地址 70

3.4.1　商业伙伴间的连接 70

3.4.4　高级DMZ设计概念 71

3.4.3　高级设计策略 71

3.4.5 DMZ的高利用率和故障转移 73

3.5　本章小结 75

4.2　什么是入侵检测 76

4.1 引言 76

第4章　入侵检测系统入门 76

4.2.2　基于主机的IDS 78

4.2.1 网络IDS 78

4.2.3　分布式IDS 79

4.3　什么是入侵 80

4.4.1　为何攻击者对我有兴趣 81

4.4　为何入侵监测系统很重要 81

4.4.3　我的防火墙是作为IDS工作的么 82

4.4.2 IDS是在哪里和我的安全计划的其余部分相匹配的 82

4.4.4　我还应该到哪些地方检查入侵 83

4.5　用入侵检测还能做什么 84

4.5.3 E-Mail服务器保护 85

4.5.2　监测DNS功能 85

4.5.1　监测Database Access 85

4.6　本章小结 86

4.5.4　使用IDS来检测我的公司策略 86

5.1 引言 87

第5章　用Ipchains和Iptables实施防火墙 87

5.2　理解防火墙的需求 88

5.3　配置IP传送和伪装功能 91

5.4　配置你的防火墙来过滤网络包 93

5.4.1　定制自己的网络过滤功能 94

5.5　理解Linux防火墙中的表格和链 95

5.4.2　配置内核 95

5.5.1　建立目标和用户定义链 96

5.5.2　使用Ipchains来伪装链接 99

5.5.3　使用Iptables 100

5.6　在防火墙上记录包 101

5.6.2　增加和删除包过滤规则 102

5.6.1　设置记录限制 102

5.7　配置防火墙 105

5.6.3　在Ipchains和Iptables中重定向端口 105

5.8　计算带宽使用率 108

5.9.1 权衡图形防火墙工具的优点 111

5.9　使用并获得自动化防火墙脚本和图形防火墙工具 111

5.9.2　在过程中防火墙的工作 112

5.10　本章小结 117

6.2　测试防火墙 118

6.1 引言 118

第6章　维护开放源代码的防火墙 118

6.2.2　打开端口／Daemon（后台程序） 119

6.2.1 IP伪装 119

6.2.5　检查规则数据库 120

6.2.4　可疑的用户、登录和登录时间 120

6.2.3　检测系统硬件驱动、RAM和处理器 120

6.2.7　端口扫描 121

6.2.6　检验与公司管理者和终端用户的链接 121

6.3.2　Telnet 122

6.3.1 Ipchains 122

6.3　使用Telnet、Ipchains、Netcat和SendIP来检测你的防火墙 122

6.3.3 Netcat 123

6.3.4 SendIP：包伪造器 126

6.4.1　防火墙记录程序 129

6.4　理解防火墙记录、阻塞和警报选项 129

6.4.2 fwlogwatch 133

6.4.3 自动fwlogwatch 136

6.4.4　使用带有CGI脚本的fwlogwatch 141

6.5　获取其他的防火墙记录工具 146

6.6　本章小结 147

7.2　将Solaris配置为安全路由器 148

7.1 引言 148

第7章　将Solaris配置成安全路由器和防火墙 148

7.2.2　路由选择条件 149

7.2.1　推论和基本原理 149

7.2.3　为路由进行配置 151

7.2.4　最佳安全性 153

7.2.5　安全的含义 154

7.2.6　未配置的Solaris路由 155

7.3 IPv6路由选择 156

7.3.1　配置文件 157

7.3.2　IPv6程序 159

7.3.3 IPv6路由设置过程 161

7.3.4　停用IPv6路由选择功能 162

7.4.2　手工配置 163

7.4.1 自动配置 163

7.4 IP Version 6主机 163

7.4.3　将Solaris配置为一个安全网关 164

7.5.2　通用防火墙设计 165

7.5.1　通用防火墙理论 165

7.5　将Solaris配置为防火墙 165

7.5.3 SunScreen Lite 166

7.5.5 使用NAT 167

7.5.4 IP过滤器 167

7.6　本章小结 168

8.2　防火墙的特征 170

8.1　引言 170

第8章　PIX防火墙的介绍 170

8.2.2　自适应的安全算法 171

8.2.1　嵌入式操作系统 171

8.2.5　URL过滤 178

8.2.4　VPN支持 178

8.2.3　高级协议处理 178

8.2.6 NAT和PAT 179

8.3.1 模型 180

8.3 PIX硬件 180

8.2.7　高可用性 180

8.3.2　控制台端口 182

8.4　软件认证和升级 184

8.4.2　升级软件 185

8.4.1　授权认证 185

8.4.3　密码恢复 186

8.5　命令行接口 187

8.5.2　管理访问模式 188

8.5.1 工作环境缺省配置 188

8.5.3　基本命令 190

8.5.4　管理配置 193

8.6　本章小结 194

9.2　允许出站流 197

9.1　引言 197

第9章　流通行 197

9.2.1　设置动态地址转换 198

9.2.2　禁止出站流 202

9.3.1　静态地址转换 208

9.3　允许入站流 208

9.3.3　通道 209

9.3.2　访问列表 209

9.3.5　端口改道 210

9.3.4 ICMP 210

9.4　TurboACLS 211

9.5　对象分组 212

9.6　实例研究 215

9.6.1　访问列表 216

9.6.2　通道和Outbound/Apply（入站流／应用） 218

9.7　本章小结 220

10.2　高级协议处理 221

10.1　引言 221

第10章　高级PIX配置 221

10.2.1　文件传输协议 224

10.2.2　域命名服务 227

10.2.3　简单的邮件传输协议 229

10.2.5　远程屏蔽 230

10.2.4　超文本传输协议 230

10.2.6　远程过程调用 231

10.2.7　实时流协议、NetShow和VDO Live 232

10.2.9 H.323和相关的应用程序 235

10.2.8 SOL*Net 235

10.2.11 会话发起协议 237

10.2.10 Skinny客户控制协议 237

10.3 Web流过滤 239

10.2.12 Internet定位服务和轻量级目录访问协议 239

10.3.1 URLs过滤 240

10.3.2　活动代码过滤 243

10.3.3 DHCP客户端 245

10.3.4 DHCP服务器 246

10.4.1　碎片整理保护 249

10.4　其他高级特征 249

10.4.2 AAA Floodguard 250

10.4.3 SYN Floodguard 251

10.4.4　逆向转发 252

10.4.5　单播路由 254

10.4.6 Stub多播路由 257

10.4.7 PPPoE 260

10.5　本章小结 262

11.1　引言 264

第11章　故障诊断与维修以及性能监测 264

11.2.1 PIX防火墙硬件的故障诊断与维修 265

11.2　硬件和电缆的故障诊断与维修 265

11.2.2 PIX电缆的故障诊断与维修 272

11.3　连通性的故障诊断与维修 274

11.3.1 寻址检查 275

11.3.2　路由检查 276

11.3.3　转换检查 280

11.3.4　访问查看 282

11.4 IPsec的故障诊断与维修 286

11.4.1 IKE 287

11.4.2 IPsec 289

11.5.1　显示捕获流 292

11.5　捕获流 292

11.5.2　下载捕获流 293

11.6　性能的监测和故障诊断与维修 294

11.6.1 CPU的性能监测 295

11.6.2　内存性能监测 299

11.6.3 Network性能监测 300

11.7　本章小结 301

11.6.4　标识（IDENT）协议和PIX性能 301

12.2　开始之前的准备工作 303

12.1　引言 303

第12章　安装和配置VPN-1/FireWall-1 NG防火墙 303

12.2.1　获得许可证 304

12.2.2　给主机提供安全措施 305

12.2.3　路由和网络接口 307

12.2.4 安装VPN-1/FireWall-1 NG的准备工作 309

12.2.5　从早期版本升级 312

12.3.1　从安装盘进行安装 313

12.3　在Windows系统上安装CheckPoin tVPN-1/FireWall-1 NG 313

12.3.2　在Windows系统上配置Check PointVPN-1/Rire Wall-1 NG产品 319

12.4　卸载在Windows系统上的Check Point VPN-1/FireWall-1 NG产品 327

12.4.1　卸载VPN-1 FireWall-1 328

12.4.2　卸载SVN Foundation软件包 329

12.5　在Solaris系统上安装CheckPoint VPN-1/FireWall-1 NG 330

12.4.3　卸载管理客户端软件 330

12.5.1　从光盘进行安装 331

12.5.2　在Solaris系统上配置Check Point VPN-1/FireWall-1 NG软件包 334

12.6.1　卸载VPN-1 FireWall-1 343

12.6　卸载Solaris系统上的Check Point VPN-1/FireWall-1 NG产品 343

12.6.2　卸载SVN Foundation 345

12.6.3　卸载管理客户端软件 347

12.7　在Nokia系统上安装Check Point VPN-1FireWall/1 NG 348

12.7.1 安装VPN-1/FireWall-1 NG软件包 349

12.7.2 配置在Nokia系统上的VPN-1/FireWall-1 NG 351

12.8　本章小结 353

13.2　管理对象 355

13.1　引言 355

第13章　使用图形界面 355

13.2.1　网络对象 357

13.2.2　服务 366

13.2.3　资源 370

13.2.5　服务器 371

13.2.4 OpenPlatformforSecurity（安全性的开放平台，OPSEC）应用程序 371

13.2.7　时间 374

13.2.6　内部用户 374

13.3　添加规则 375

13.2.8　虚拟链接 375

13.4.1 FW-1防火墙的隐含规则 378

13.4　全局属性 378

13.4.2　安全服务器 379

13.4.11　网络地址翻译（NAT） 380

13.4.10 LDAP账号管理 380

13.4.3　身份验证 380

13.4.4 VPN-1 380

13.4.5 Desktop Security（桌面安全性） 380

13.4.6 Visual Policy Editor（可视的策略编辑器） 380

13.4.7　网关的高可用性 380

13.4.8　管理模块的高可用性 380

13.4.9　带状态的检查 380

13.5 SecureUpdate（安全升级程序） 381

13.4.14 LogandAlert（日志和警告） 381

13.4.12 ConnectControl（连接控制） 381

13.4.13　开放的安全性扩展 381

13.6　日志查看器（Log Viewer） 383

13.8　本章小结 385

13.7　系统状态 385

14.2　使用安全策略的理由 387

14.1 引言 387

第14章　创建安全策略 387

14.3　如何编写安全策略 388

14.3.1　安全设计 389

14.3.3　编写策略 390

14.3.2　防火墙的体系结构 390

14.4.1　默认和初始的策略 393

14.4　实施安全策略 393

14.4.2　将策略翻译成规则 394

14.4.3　操作规则 401

14.4.4　策略选项 404

14.5　安装安全策略 405

14.6　策略文件 406

14.7　本章小结 407

15.2 Check Point的高可用性方法（CPHA） 408

15.1　引言 408

第15章　高级配置 408

15.2.1　启用高可用性 409

15.2.2　失败恢复 411

15.2.3　防火墙同步 412

15.3.1　网关的配置 414

15.3　单入口点VPN配置（SEP） 414

15.4　多入口点VPN的配置（MEP） 417

15.3.2　策略配置 417

15.4.1　重叠的VPN域 418

15.4.3　重叠式VPN域 420

15.4.2　网关配置 420

15.5.1　路由失败恢复 422

15.5　其他的高可用性方法 422

15.6　本章小结 423

15.5.2　硬件选项 423

16.2　加密模式 424

16.1　引言 424

第16章　配置虚拟专用网络（VPN） 424

16.2.1　加密算法：对称和不对称的加密算法 425

16.2.2　密钥交换方法：通道与即时加密 426

16.2.3　哈希（Hash）函数和数字签名 427

16.3　配置FWZ型VPN 428

16.2.6 VPN的域 428

16.2.4　证书和证书授予者（CA） 428

16.2.5 VPN的类型 428

16.3.1 定义对象 429

16.3.2　添加VPN规则 430

16.4.1　定义对象 432

16.4　配置IKE VPN 432

16.3.3 FWZ的局限性 432

16.4.2 添加VPN规则 433

16.4.3　测试VPN 435

16.5.1　本地网关对象 437

16.5　配置SecuRemote上的VPN 437

16.4.4　对外部网络的考虑 437

16.5.2　用户加密属性 438

16.5.3　客户端加密规则 439

16.6　安装SecuRemote客户端软件 441

16.7　使用SecuRemote客户端软件 442

16.7.1　修改Objects_5_0.C文件的注意事项 443

16.8　本章小结 444

16.7.2 Secure Domain Login（安全域的登录） 444

17.2 Nokia IP系列设备简介 445

17.1　引言 445

第17章　Nokia安全平台概述 445

17.3　将管理变得更容易 451

17.4　本章小结 453

18.2　配置防火墙的准备工作 455

18.1　引言 455

第18章　配置Check Point防火墙 455

18.2.1　获取许可证 456

18.2.3　理解FireWall-1防火墙软件的可选项 457

18.2.2　配置主机的名称 457

18.3　配置防火墙 458

18.3.1　安装软件包 459

18.3.2　启用这个软件包 460

18.3.3 IP传递和防火墙策略 461

18.3.4　运行cpconfig命令 464

18.4　测试防火墙的配置 472

18.4.1　测试图形用户界面客户的访问 473

18.4.2　推送和取回策略 475

18.5　升级防火墙 477

18.5.1　从4.1 SP6升级到NG FP2 478

18.6　本章小结 480

18.5.3　从NG版退回到41版 480

18.5.2　从NG FP2升级到NG FP3 480

19.2　设备开箱之后的基本系统配置 482

19.1　引言 482

第19章　Voyager Web界面介绍 482

19.2.1　前端屏幕 483

19.2.2　配置基本的接口信息 484

19.2.3　添加一个默认的网关 488

19.2.4　设置系统的时间、日期和时区 490

19.2.5　配置域名系统和主机条目 492

19.2.6　配置邮件中继 494

19.3　配置系统的安全性 495

19.2.7 配置系统事件通知 495

19.3.1　启用SSH的接入访问 496

19.3.2　禁用Telnet访问 498

19.3.4　实现FTP的安全性 499

19.3.3 FTP的一种替代方法 499

19.3.5　配置安全的套接字层 500

19.4　理解配置选项 502

19.4.3 SNMP 503

19.4.2　系统配置 503

19.4.1　接口配置 503

19.4.7　配置缺陷管理 504

19.4.6　安全性和访问配置 504

19.4.4　IPv6 504

19.4.5　重新启动和关闭系统 504

19.4.9　流量管理 505

19.4.8　配置路由 505

19.5　本章小结 506

19.4.10　路由器服务 506

20.2　重新启动操作系统 508

20.1 引言 508

第20章　系统管理基础 508

20.3.1　安装新的软件包 509

20.3　管理软件包 509

20.3.2　启用和禁用软件包 512

20.3.3　删除软件包 513

20.4　管IPSO映像 514

20.4.1　升级到新的IPSO映像 515

20.4.2　删除映像文件 517

20.5.1　用户 518

20.5　管理用户和组 518

20.5.2　组 520

20.6　配置静态路径 522

20.7.1 配置集（Configuration Sets） 523

20.7　系统备份和恢复 523

20.7.2　制作系统备份 524

20.7.3　从备份中恢复 526

20.8.1　本地系统日志 527

20.8　系统日志 527

20.8.2　远程系统日志 528

20.9　使用cron定时执行的任务 529

20.8.3　监听日志 529

20.10　本章小结 530

21.2 ISA部署：计划与设计问题 532

21.1　引言 532

第21章　ISA服务器部暑计划和设计 532

21.2.4　处理器要求 533

21.2.3　软件要求 533

21.2.1　访问网络和硬件要求 533

21.2.2　系统要求 533

21.4　执行关键任务的注意事项 541

21.3　活动目录的实现 541

21.4.1　硬盘容错 542

21.4.2　网络容错 545

21.4.3　服务器容错 546

21.4.4　堡垒主机配置 547

21.5　计划恰当的安装模式 548

21.5.3　用综合模式安装 549

21.5.2　用缓存模式安装 549

21.5.1　用防火墙模式安装 549

21.5.4　计划一个单机或阵列配置 550

21.5.5　计划ISA客户机配置 551

21.5.6　Internet连接和DNS的问题 554

21.6　本章小结 556

22.2.1　安装文件和许可权限 557

22.2　全面落实安装计划 557

第22章　ISA Server的安装 557

22.1　引言 557

22.2.4　服务器模式 558

22.2.3 Active Directory的问题 558

22.2.2 CD Key和产品许可证 558

22.2.7 ISA Server特性的安装 559

22.2.6　内部网络ID和本地访问表 559

22.2.5 ISA Server文件的磁盘位置 559

22.3.1 ISA Server的安装步骤 560

22.3　执行安装 560

22.3.2　将单机服务器升级成阵列成员的步骤 567

22.4.1　移植的类型 573

22.4　从MicrosoftProxyServer2.0移植 573

22.3.3 ISA Server安装之后的修改 573

22.4.2　在Windows 2000 平台上升级Proxy 2.0 577

22.4.3　在Windows NT 4.0上升级Proxy 2.0的安装 579

22.5　本章小结 581

23.2　理解集中式管理 582

23.1 引言 582

第23章　ISA Server的管理 582

23.2.1 ISA管理控制台 583

23.2.2 ISA向导 601

23.3.1　配置对象权限 602

23.3　执行常规管理任务 602

23.3.2　管理阵列成员 604

23.4.1　创建、配置和监视警报 606

23.4　使用监视、警报、日志和报表功能 606

23.4.2 监视会话 610

23.4.3　使用日志 611

23.4.4　生成报表 615

23.5.1　安装ISA管理控制台 624

23.5　理解远程管理 624

23.5.2　使用终端服务进行ISA远程管理 626

23.6　本章小结 629

24.2 ISA Server的性能优化 631

24.1 引言 631

第24章　ISAServer的优化、自定义、整合和备份 631

24.2.1　建立基准和监视性能 632

24.2.2　常规性能问题的讨论 649

24.3 自定义ISA Server 656

24.3.1　使用ISA Server软件开发包（SDK） 657

24.3.2　使用第三方加载程序 659

24.4 ISA Server同其他服务的整合 660

24.4.1　理解Active Directory的互用性 661

24.4.2　理解路由和远程访问服务的互用性 662

24.4.4　理解IPSecurity的互用性 663

24.4.3　理解Internet信息服务器的互用性 663

24.4.5　将ISA Server整合到一个WindowsNT 4.0域中 665

24.5.2　备份和恢复单机服务器配置 666

24.5.1　备份原理 666

24.5　备份和恢复ISA配置 666

24.5.3　备份和恢复阵列与企业配置 667

24.6　本章小结 669

25.2　故障诊断的准则 670

25.1 引言 670

第25章　ISA Server故障诊断 670

25.2.1　故障诊断五大步骤 671

25.2.2 ISAServer和Windows 2000诊断工具 673

25.2.3 ISA Server诊断资源 674

25.3.1　硬件和软件兼容性问题 679

25.3 ISA Server安装和配置问题的故障诊断 679

25.3.2　初始配置问题 680

25.4.1　验证问题 682

25.4　验证和访问问题的故障诊断 682

25.4.2　访问问题 684

25.4.3　拨号和VPN问题 686

25.5.1　客户机性能故障 687

25.5 ISA客户机问题的故障诊断 687

25.5.2　客户机连接故障 688

25.6.1　缓存问题 690

25.6　缓存和发布问题的故障诊断 690

25.6.2　发布问题 691

25.7　本章小结 692

26.1　引言 693

第26章　ISA Server发布的高级服务器 693

26.2　禁用套接字共享 695

26.2.1　禁用Web和FTP服务的套接字共享 697

26.2.2　禁用SMTP和NNTP服务的套接字共享 698

26.3　服务器发布 699

26.2.3　在ISA服务器上禁用IIS服务 699

26.3.1　在内网上发布终端服务 700

26.3.2　在ISA服务器上发布终端服务 703

26.3.3　在ISA Server和内部网络上发布终端服务 705

26.3.4　发布TSAC站点 706

26.3.5　在内部网上发布FTP服务器 713

26.3.6　发布FTP服务器协同定位ISA服务器 720

26.3.7　使用Web发布规则以实现安全的FTP访问 727

26.3.8　使用服务器发布规则发布HTTP和HTTPS（SSL）服务器 730

26.3.9　在内网上发布pcAnywhere 733

26.4.2 目标集合 736

26.4.1　进入Web请求监听程序 736

26.4 Web发布 736

26.4.3　公共DNS入口 737

26.4.4　私有的DNS入口 738

26.4.5　在ISA服务器上终止SSL连接 739

26.4.6　桥接SSL连接 751

26.4.7　使用SSL的安全FTP连接 758

26.4.8　发布一台认证服务器 759

26.5　本章小结 761

27.1　引言 763

第27章　配置ISA服务器邮件服务保护 763

27.2.1　在ISA服务器上发布IISSMTP服务 764

27.2　在ISA服务器上配置邮件服务 764

27.2.2 ISA服务器上的Messagescreener 770

27.2.3　在ISA服务器上发布交换服务器 773

27.2.4 在ISA服务器上发布Outlook Web Access 792

27.2.5 ISA服务器和交换服务器上的Message screener 799

27.3　在内网上配置邮件服务 803

27.3.1　在内网上发布Exchange服务器 803

27.3.2 Exchange RPC发布 805

27.3.3　在内网交换服务器上发布Outlook Web Access 811

27.3.4 内部网络交换服务器上的Message screener 811

27.4 GFI邮件安全与SMTP服务器邮件实质 813

27.4.1　安全邮件版本 814

27.4.2　为SMTP网关安装安全邮件 815

27.4.3　配置安全邮件 816

27.5　本章小结 821