Internet防火墙与网络安全PDF电子书下载

译者序 1

前言 1

第1章 理解TCP/IP 1

1.1 TCP/IP的历史 1

1.2探索地址、子网和主机名 2

1.2.1 地址类 2

1.2.2 子网 3

1.2.3 无类的地址和CIDR 6

1.2.4 主机名 6

1.3 操作网络接口 7

1.4 网络配置文件 10

1.4.1 /etc/hosts文件 10

1.4.2 /etc/ethers文件 10

1.4.3 /etc/networks文件 11

1.4.4 etc/protocols文件 11

1.4.5 etc/services文件 11

1.4.6 /etc/inetd.conf文件 12

1.5 理解网络访问文件 12

1.5.3 用户和主机等价 13

1.5.2 .rhosts文件 13

1.5.1 /etc/hosts.equiv文件 13

1.6 检查TCP/IP守护程序 14

1.6.1 slink守护程序 14

1.6.2 ldsocket守护程序 14

1.6.6 RARP守护程序(rarpd) 15

1.6.7 BOOTP守护程序(bootpd) 15

1.6.8 route守护程序(routed) 15

1.6.5 SNMP守护程序(snmpd) 15

1.6.4 行式打印机守护程序(lpd) 15

1.6.3 cpd守护程序 15

1.6.9 域名服务器(named) 16

1.6.10 系统记录器(syslogd) 17

1.6.11 inetd—超级服务器 17

1.6.12 RWHO守护程序(rwhod) 17

1.7 探索TCP/IP实用程序 17

1.7.1 管理命令 17

1.7.2 用户命令 27

1.8 本章小结 34

2.1.1 D1级 35

2.1.2 C1级 35

第2章 安全 35

2.1 安全级别 35

2.1.3 C2级 36

2.1.4 B1级 36

2.1.5 B2级 36

2.1.6 B3级 36

2.2.2 EAL-2 37

2.2.4 EAL-4 37

2.2.3 EAL-3 37

2.2.1 EAL-1 37

2.2 加拿大安全 37

2.1.7 A级 37

2.2.5 EAL-5 38

2.2.6 EAL-6 38

2.2.7 EAL-7 38

2.3 局部安全问题 38

2.3.1 安全策略 38

2.3.2 口令文件 38

2.3.3 影像口令文件 40

2.3.4 拔号口令文件 40

2.3.5 组文件 42

2.4 口令生命期和控制 43

2.5 破坏者和口令 45

2.6 C2安全性和可信任计算基础 47

2.7 理解网络等价 48

2.7.1 主机等价 48

2.7.2 用户等价 49

2.8 定义用户和组 50

2.9 理解许可权限 51

2.9.1 检查标准的许可权限 51

2.9.2 root和NFS 52

2.10.1 如何对口令加密 53

2.10 探索数据加密方法 53

2.10.2 对文件加密 54

2.11 检查Kerberos身份验证 55

2.11.1 理解Kerberos 55

2.11.2 Kerberos的缺点 55

2.12 理解IP电子欺骗 56

2.13 本章小结 56

2.14 致谢 56

2.15 一个例子程序 56

第3章 设计网络策略 59

3.1 网络安全计划 59

3.2 站点安全策略 59

3.3 安全策略方案 60

3.4 保护安全策略的责任 61

3.5 危险分析 61

3.6 识别资源 64

3.7 识别威胁 64

3.7.1 定义未授权访问 64

3.7.2 信息泄露的危险 64

3.7.3 无法使用服务 65

3.8 网络使用和责任 65

3.9 识别谁可以使用网络资源 65

3.9.1 识别资源的正确使用方法 66

3.9.2 确定谁有权授权访问和同意使用 67

3.9.3 确定用户责任 69

3.9.4 确定系统管理员的责任 69

3.9.5 如何处理敏感信息 70

3.10 安全策略遭到违反时的行动计划 70

3.10.1 对违反策略的反应 70

3.10.2 对本地用户违反策略行为的反应 71

3.10.3 反应策略 71

3.10.4 定义Internet上好公民的责任 73

3.10.5 与外部组织的联系和责任 73

3.12 识别与防止安全问题 74

3.11 解释和宣传安全策略 74

3.12.1 访问入口点 75

3.12.2 不正确配置的系统 77

3.12.3 软件故障 77

3.12.4 内部的人的威胁 77

3.12.5 物理安全 77

3.12.6 机密 78

3.13 实现合算的策略控制 78

3.14 选择策略控制 78

3.17 监视系统使用 79

3.18 监视机制 79

3.16 检测和监视非授权活动 79

3.15 使用后退战略 79

3.19 监视计划 80

3.20 报告过程 80

3.20.1 帐户管理过程 80

3.20.2 配置管理过程 81

3.20.3 恢复过程 82

3.21 系统管理员问题报告过程 84

3.22 保护网络连接 84

3.23 使用加密保护网络 84

3.23.3 保密增强邮件(PEM) 85

3.23.1 数据加密标准(DES) 85

3.23.2 crypt 85

3.23.4 完全保密(PGP) 86

3.23.5 源身份验证 86

3.23.6 信息完整性 86

3.23.7 使用校验和 87

3.23.8 密码校验和 87

3.23.9 使用身份验证系统 87

3.25 保持信息更新 88

3.26 邮件列表 88

3.24 使用Kerberos 88

3.23.10 使用智能卡 88

3.26.1 Unix安全邮件列表 89

3.26.2 Risks论坛列表 89

3.26.3 VIRUS-L列表 90

3.26.4 Bugtrap列表 90

3.26.5 Computer Underground Digest 90

3.26.6 CERT邮件列表 90

3.26.7 CERT-TOOLS邮件列表 91

3.26.8 TCP/IP邮件列表 91

3.26.9 SUN-NETS邮件列表 91

3.28.1 计算机快速响应小组 92

3.27 新闻组 92

3.28 安全响应小组 92

3.28.2 DDN安全协调中心 93

3.28.3 NIST计算机安全资源和反应情报交换所 93

3.28.4 DOE计算机事故报告能力(CIAC) 94

3.28.5 NASA Ames计算机网络安全响应小组 94

3.29 本章小结 94

第4章 一次性口令身份验证系统 95

4.1 什么是OTP 95

4.2 OTP的历史 97

4.3 实现OTP 98

4.3.1 决定使用OTP的哪个版本 99

4.3.2 S/KEY和OPIE如何工作 99

4.4 Bellcore S/KEY版本1.0 100

4.5 美国海军研究实验室OPIE 100

4.5.1 获取OPIE源代码 100

4.5.2 编译OPIE代码 101

4.5.3 测试编译过的程序 103

4.6 安装OPIE 106

4.7 LogDaemon5.0 111

4.7.2 编译LogDaemon代码 112

4.7.1 获取LogDaemon代码 112

4.7.3 测试编译过的程序 113

4.7.4 安装LogDaemon 115

4.7.5 LogDaemon组件 115

4.8 使用S/KEY和OPIE计算器 116

4.8.1 Unix 116

4.8.2 Macintosh 117

4.8.3 Microsoft Windows 117

4.9 实际操作OTP 118

4.8.4 外部计算器 118

4.10 有关/bin/login的安全注释 119

4.11 使用OTP和X Windows 120

4.12 获取更多的信息 120

4.13 本章小结 121

第5章 过滤路由器简介 122

5.1.1 危险区 122

5.1 详细定义 123

5.1.2 OSI参考模型和过滤路由器 123

5.1.3 OSI层次模型 124

5.1.4 过滤路由器和防火墙与OSI模型的关系 136

5.2 理解包过滤 137

5.2.1 包过滤和网络策略 137

5.2.2 一个简单的包过滤模型 138

5.2.3 包过滤器操作 138

5.2.4 包过滤器设计 140

5.2.5 包过滤器规则和全相关 143

5.3 本章小结 144

6.1.1 定义访问列表 145

第6章 包过滤器 145

6.1.2 使用标准访问列表 146

6.1 实现包过滤器规则 147

6.1.3 使用扩展访问列表 147

6.1.4 过滤发来和发出的终端呼叫 148

6.2 检查包过滤器位置和地址欺骗 149

6.2.1 放置包过滤器 149

6.2.2 过滤输入和输出端口 150

6.3 在包过滤时检查协议特定的问题 152

6.3.1 过滤FIP网络流量 152

6.3.2 过滤TELNET网络流量 169

6.3.3 过滤X-Windows会话 169

6.3.4 包过滤和UDP传输协议 170

6.3.5 包过滤ICMP 172

6.3.6 包过滤RIP 173

6.4 过滤路由器配置的例子 173

6.4.1 学习实例1 173

6.4.2 学习实例2 175

6.4.3 学习实例3 176

6.5 本章小结 178

7.1.1 KarIBridge包过滤器 179

7.1 基于PC的包过滤器 179

第7章 PC包过滤 179

7.1.2 Drawbridge包过滤器 193

7.2 本章小结 207

第8章 防火墙体系结构和理论 208

8.1 检查防火墙部件 208

8.1.1 双宿主主机 209

8.1.2 保垒主机 215

8.1.3 过滤子网 225

8.1.4 应用层网关 227

9.1 TCP Wrapper 231

第9章 防火墙实现 231

9.1.1 例子1 232

9.1.2 例子2 232

9.1.3 例子3 232

9.1.4 例子4 232

9.2 FireWall-1网关 232

9.2.1 FireWall-1的资源要求 233

9.2.2 FireWall-1体系结构概览 233

9.2.3 FireWall-1控制模块 236

9.2.4 网络对象管理器 236

9.2.5 服务管理器 239

9.2.6 规则库管理器 241

9.2.7 日志浏览器 243

9.2.8 FireWall-1应用程序举例 244

9.2.9 FireWall-1的性能 246

9.2.10 FireWall-1规则语言 246

9.2.11 获得FireWall-1的信息 247

9.3 ANS InterLock 247

9.3.1 InterLock的资源要求 249

9.3.2 InterLock概览 249

9.3.3 配置InterLock 250

9.3.5 InterLock代理应用程序网关服务 253

9.3.6 ANS InterLock附加信息源 259

9.4 可信任信息系统Gauntlet 259

9.4.1 使用Gauntlet配置的例子 260

9.4.2 配置Gauntlet 261

9.4.3 用户使用Gauntlet防火墙的概况 263

9.5 TIS防火墙工具箱 266

9.5.1 建立TLS防火墙工具箱 266

9.5.2 配置带最小服务的堡垒主机 268

9.5.3 安装工具箱组件 269

9.5.4 网络许可权限表 272

9.6 本章小结 277

第10章 TLS防火墙工具箱 278

10.1 理解TIS 278

10.2 在哪里能得到TIS工具箱 278

10.3 在SunOS4.1.3和4.1.4下编译 279

10.4 在BSDI下编译 279

10.5 安装工具箱 279

10.6 准备配置 281

10.7 配置TCP/IP 284

10.8 netperm表 285

10.9 配置netacl 286

10.9.1 使用netacl连接 287

10.9.2 重启动inetd 288

10.10 配置Telnet代理 289

10.10.1 通过Telnet代理连接 289

10.10.2 主机访问规则 291

10.10.3 验证Telnet代理 292

10.11 配置rlogin网关 293

10.11.1 通过rlogin代理的连接 294

10.11.3 验证rlogin代理 295

10.12 配置FTP网关 295

10.11.2 主机访问规则 295

10.12.1 主机访问规则 296

10.12.2 验证FTP代理 297

10.12.3 通过FTP代理连接 298

10.12.4 允许使用netacl的FTP 298

10.13 配置发送邮件代理smap和smapd 299

10.13.1 安装smap客户机 299

10.13.2 配置smap客户机 300

10.13.3 安装smapd应用程序 301

10.13.4 配置smapd应用程序 301

10.13.5 为smap配置DNS 302

10.14 配置HTTP代理 303

10.14.1 非代理所知HTTP客户机 304

10.14.2 使用代理所知HTTP客户机 304

10.14.3 主机访问规则 305

10.15 配置X Windows代理 306

10.16 理解身份验证服务器 307

10.16.1 身份验证数据库 308

10.16.2 增加用户 309

10.16.3 身份验证外壳authmgr 312

10.16.4 数据库管理 312

10.16.5 正在工作的身份验证 314

10.17 为其它服务使用plug-gw 315

10.17.1 配置plug-gw 315

10.17.2 plug-gw和NNTP 316

10.17.3 plug-gw和POP 318

10.18.1 portscan 320

10.18.2 netscan 320

10.18 伴随的管理工具 320

10.18.3 报告工具 321

10.18.4 身份验证服务器报告 323

10.18.5 服务拒绝报告 324

10.18.6 FTP使用报告 325

10.18.7 HTTP使用报告 326

10.18.8 netacl报告 326

10.18.9 邮件使用报告 327

10.18. 10 Telnet和rlogin使用报告 328

10.19 到哪里寻找帮助 329

第11章 Black Hole 330

11.1 理解Black Hole 330

11.1.1 系统要求 331

11.1.2 Black Hole核心模块 333

11.1.3 Black Hole扩展模块 334

11.2 使用Black Hole进行网络设计 335

11.3 使用Black Hole接口 336

11.4 理解策略数据库 338

11.5.1 规则 342

11.5.2 用户和用户维护 342

11.5 服务、用户和规则 342

11.6 配置Black Hole 346

11.6.1 配置内部和外部DNS 347

11.6.2 配置应用程序服务 349

11.7 生成报告 354

11.8 更多的信息 357

11.9 本章小结 358

附录A 工作表列表 359

附录B 信息源 360

附录C 销售商列表 364

附录D OPIE和Log Daemon手册 366

9.3.4 InterLock ACRB 522