第一部分 TCP/IP及其安全需求:防火墙 1
第1章 网络互连协议和标准概述 1
1.1 网际协议 3
1.1.1 IP寻址 3
1.1.2 IP安全风险 4
1.2 用户数据报协议 7
1.2.1 攻击用户数据报协议服:SATAN轻松应对 7
1.2.2 用于UNIX 和Windows NT上的因特网安全系统 7
1.3 传输控制协议 9
1.4 通过CIDR扩展IP 地址 11
1.4.1 TCP/IP安全风险及其对策 11
1.4.2 IPSEC——IETF提出的IP安全对策 15
1.4.3 IPSO——(美)国防部IP安全对策 15
1.5 路由信息协议 15
1.6 MBONE——多播骨干网 16
1.7 因特网控制报文协议 18
1.8 因特网组管理协议 18
1.9 开放式最短路径优先 19
1.10 边界网关协议 20
1.11 地址转换协议 20
1.11.1 地址转换协议 20
1.11.2 通过路由顺传递IP数据报的安全风险 20
1.12 简单网络管理协议 21
1.13 监视ISP连接 21
1.14 下一代IP 协议Ipv6 21
1.14.1 地址扩展 22
1.14.2 网络设备的自动配置 22
1.14.3 安全性 22
1.14.4 实时性能 22
1.14.5 多播 23
1.14.6 Ipv6安全性 23
1.15 网络时间协议 23
1.16 动态主机配置协议 23
1.17 Windows套接字( Winsock)标准 24
1.18 域名系统 24
1.19 防火墙概念 24
1.19.1 防火墙缺陷 27
1.19.2 停火区 27
1.19.3 认证问题 28
1.19.4 周边信任 28
1.19.5 内部网 28
第2章 基础连接 30
2.1 关于TTY 31
2.2 UNIXtoUNIX Copy 33
2.3 SLIP和PPP 34
2.4 Rlogin 34
2.5 虚拟终端协议 35
2.5.1 哥伦比亚大学的kermit:一种安全可靠的Telnet 服务器 35
2.5.2 Telnet服务的安全考虑 40
2.5.3 网络安全系统管理员 40
2.5.4 Telnet会话安全检查表 42
2.6 简单文件传输协议 43
2.7 文件传输协议 44
2.8 使用防火墙的一些挑战 45
2.9 IP网络日益增加的发全需求 47
第3章 加密:足够吗 48
3.1 引言 50
3.2 对称密钥加密(私有密钥) 50
3.2.1 数据加密标准 50
3.2.2 国际数据密算法 52
3.2.3 CAST算法 53
3.2.4 Skipjack 算法 58
3.2.5 RC2/RC4算法 59
3.3 非对称密钥加密/公工密钥加密 59
3.3.1 RSA 60
3.3.2 数字签名标准 61
3.4 消息摘要算法 62
3.4.1 MD2、MD4和MD5 62
3.4.2 安全哈希标准/安全哈希算法 64
3.5 证书 64
3.6 密钥管理 71
3.6.1 Kerberos协议 71
3.6.2 密钥交换算法 78
3.7 密码分析与攻击 79
3.7.1 唯密文攻击 79
3.7.2 已知明文攻击 79
3.7.3 选择明文件击 80
3.7.4 自适应选择明文攻击 80
3.7.5 中间人攻击 80
3.7.6 选择密文攻击 80
3.7.7 选择密钥攻击 80
3.7.8 软磨硬泡密码分析 80
3.7.9 时间攻击 81
3.8 加密应用程序及应用程序编程序接口 82
3.8.1 数据密及安全通信信道 82
3.8.2 认证 84
3.8.3 认证码 84
3.8.4 NT安全支技服务接口 85
3.8.5 Microsoft密码FPI 86
第4章 防火墙面临的挑战:基础Web 91
4.1 HTTP 91
4.1.1 基础Web 92
4.1.2 怎样监视HTTP协议 94
4.1.3 利用S-HTTP 95
4.1.4 使用SSL增强安全性 95
4.1.5 不心Web缓存 96
4.1.6 堵住漏洞:一个配置检查表 96
4.1.7 安全检查表 97
4.1.8 Novell的HTTP协议:小心为妙 97
4.1.9 监视基于UNIX的Web服务器的安全问题 97
4.2 URI/URL 98
4.2.1 文件URL 99
4.2.2 Gopher URL 99
4.2.3 新闻URL 99
4.2.4 部分URL 99
4.3 CGI 100
第5章 防火墙而临的挑战:高级Web 113
5.1 扩展Web服务器:危险不增加 113
5.1.1 ISAPI 113
5.1.2 NSAPI 119
5.1.3 servlet 120
5.1.4 服务器端ActiveX服务器 122
5.1.5 Web数据库网关 124
5.1.6 电子邮件应有系统的安全 124
5.1.7 Macromedia的Shokwave 126
5.2 Web页面的代码 127
5.2.1 Java applet 128
5.2.2 ActiveX控制 130
5.2.3 采用面向对象技术 135
第6章 API的安全漏洞及防火墙的交互 138
6.1 套接字 138
6.2 Java API 141
6.3 在制造业和商业环境中Java可以帮助联合各种平台 142
6.3.1 Java能够运用控制来帮助集成ERP 143
6.3.2 Java简化了制造业带来利益 144
6.3.3 JCAF简化了制造业应有和程序的开发 145
6.3.4 由中间件提供后端服务 146
6.3.5 带有Java的应用程序有助于制造业合为一体 147
6.3.6 Jini能够满足制造业和企的需求吗 149
6.3.7 企版JavaBeans提供可达性和可升级性 151
6.3.8 Java/CORBA与DCOM的比较 152
6.3.9 主要的Java产品供应商 153
6.4 Perl模块 155
6.5 CGI脚本 157
6.6 ActiveX 158
6.7 分布式处理 159
6.7.1 XDR/RPC 159
6.7.2 RPC 160
6.7.3 COM/DCOM 160
第二部分 防火墙的实现和局限 161
第七章 究竟什么是因特网/内部网防火墙 161
7.1 什和是防火墙 161
7.2 防火墙的作用 162
7.2.1 防火墙的保护职责 163
7.2.2 防火墙的访问控制 163
7.3 防火墙的安全职责 164
7.4 提高防火墙保密性 164
7.5 防火墙的优点和缺陷 164
7.5.1 访问限制 164
7.5.2 后门威胁:Modem接入 165
7.5.3 内部攻击 165
7.6 防火墙的构成 165
7.6.1 网络字全策略 165
7.6.2 包过滤 169
7.7 防火墙的获取 171
7.7.1 需求评估 171
7.7.2 购买防火墙 172
7.7.3 建造防火墙 173
7.7.4 安装 173
7.8 安装防火墙时通常应注意的问题 175
7.9 管理防火墙 179
7.9.1 管理专门知识 179
7.9.2 系统管理 179
7.10 电路层网关和包过滤 179
7.10.1 包过滤 180
7.10.2 应用网关 180
7.10.3 IP层过滤 180
7.11 防火墙与Cyberwall 180
第8章 因特网服务的脆弱性 184
8.1 保护和设置脂攻击的服务 184
8.1.1 电了邮件安全威胁 184
8.1.2 简单邮件传输协议 184
8.1.3 邮局协议 189
8.1.4 通用因特网邮件扩充协议 189
8.2 文件传输问题 199
8.1.2 文件传输协议 199
8.2.2 次要传输协议 201
8.2.3 文件服务协议 202
8.2.4 UNIX到UNIX拷贝协议 202
8.3 网络新闻传输协议 202
8.4 Web 和HTTP协议 203
8.4.1 代理HTTP 204
8.4.2 HTTP安全漏洞 204
8.5 会议系统安全性 205
8.6 注意以下这些服务 206
8.6.1 Gohet 206
8.6.2 finget 206
8.6.3 whois 207
8.6.4 Talk 207
8.6.5 IRC 207
8.6.6 DNS 208
8.6.7 网络管理站 208
8.6.8 简单网络管理协议 208
8.6.9 traceroute 209
8.6.10 网络文件系统 210
8.7 保密性和完整性 210
第9章 建立防火墙安全策略 212
9.1 评定公司安人风险 212
9.2 了解和估什威胁 216
9.2.1 病毒威胁 216
9.2.2 外部威胁 217
9.2.3 内部威胁 217
9.3 浅谈安全漏洞 218
9.4 设置安全策略 219
第10章 防火墙的设计与实现 224
10.1 基本知识的回顾 224
10.2 防火墙的选择 226
10.3 安全策略的考虑 227
10.3.1 关于物理安全问题的讨论 229
10.3.2 关于访问控制的讨论 229
10.3.3 关于认证的讨论 229
10.3.4 关于加密的讨论 229
10.3.5 关于安全审计的讨论 229
10.3.6 关于培训的讨论 229
10.4 网络遭受攻击时,应采取的处理措施 230
10.5 事故的处理 230
10.5.1 以网络信息服务为破坏工具 231
10.5.2 以远程登录/外壳服务为破坏工具 232
10.5.3 以网络文件系统为破坏工具 232
10.5.4 以FTP服务为破坏工具 232
10.6 事故处理指南 233
10.6.1 评估形势 234
10.6.2 切断链接 234
10.6.3 分析问题 234
10.6.4 采取措施 235
10.7 抓住入侵者 235
10.8 安全检查 235
10.9 起诉黑客 236
10.10 保护分司的站点 236
第11章 代理服务器 238
11.1 SOCKS 243
11.2 tcpd,TCP Wrapper 245
第12章 防火墙维护 248
12.1 让防火墙保持调 249
12.2 系统监控 251
12.3 预防性和恢复性维护 251
12.3.1 防止防火墙出现安全缺口 253
12.3.2 鉴别安全漏洞 253
12.4 更新防火墙 253
第13章 防火墙工具包与个案分析 253
13.1 个案分析:实现防火墙 255
13.2 给大型机构构建防火墙:应用级防火墙和过包过滤——个混合系统 256
13.3 给小型机构构建防火墙:包过滤或应用级防火墙——代理实现 256
13.4 在子网体系结构中构建防火墙 256
第三部分 防火墙资源指南 257
第14章 防火墙类型及市场产品介绍 257
14.1 Check Point的Firewall-1——状态检测技术 257
14.1.1 Firewall-1的检查模模块 257
14.1.2 状态检测 259
14.2 CYCON的Labyrinth Firewall--迷宫式系统 267
14.3 Net Guard的Guardian防火墙系统—— Mac层状态检测 276
14.4 Cyber Guard 的Cyber Guard防火墙 284
14.4.1 可信任操作系统 285
14.4.2 直观的远程图形用户界面(GUI) 286
14.4.3 动态状态规则技术 287
14.4.4 可确认技术 289
14.4.5 系统需求 289
14.5 Raptor防火墙:一个应用级结构 290
14.5.1 增强网络各层的安全性 291
14.5.2 Raptor防火墙(6.0)加强了对NT的管理 295
14.5.3 对专用安全代理的依赖 295
14.5.4 使用Eagle系列Raptor防火墙 296
14.5.5 系统需求 299
14.6 Milkyway 的SecurlT FIREWALL 300
14.6.1 防弹防火墙 301
14.6.2 系统需求 309
14.7 WatchGuard Technologies的WatchGuar防火墙系统——利所有主要防火墙方组合防火箱 309
14.7.1 WatchGuard概述 310
14.7.2 WatchGuard的安全管理系统 311
14.7.3 WatchGuard的防火箱 313
14.7.4 WatchGuard的总控制台 313
14.7.5 WatchGuard图形监视器 314
14.7.6 WatchGuard报告系统 316
14.7.7 WatchGuard WebBlocker 317
14.7.8 WatchGuardSchoolmate 318
14.7.9 WatchGuard的VPN向导 319
14.8 Alta Vesta Software的Firewall 98——主动防火墙 319
14.8.1 AltaVista防火墙 320
14.8.2 服务:安全问题 321
14.8.3 安全性:支持SSL 322
14.8.4 管理特征:通过隧道进行远程管理 322
14.8.5 URL和Java阻塞 323
14.8.6 增强型代理 323
14.8.7 强有力的、录活的认证 324
14.8.8 双DNS服务器 324
14.8.9 DMZ支持 325
14.8.10 配置 325
14.8.11 硬件需求 325
14.9 ANS Communicarion的InterLock防火墙——一个双宿主应用级网关 326
14.9.1 ANS InterLock 327
14.9.2 ANS InterLock服务 328
14.9.3 InterLock的访问控制 328
14.9.4 InterLock的的访问管理 331
14.9.5 ANS InterLock的人侵检测服务 332
14.9.6 InterLock的安全特征总结 333
14.10 Giobal Technology的Gnat Box防火墙——一个软盘里的防火墙 333
14.10.1 认误码GNAT Box防火墙 334
14.10.2 标准特征 337
14.10.3 什么是GNAT Box防火墙 338
14.11 Network-1 Software and Technology 的FireWall/Plus——一种高性能多协议防火墙 345
14.11.1 关于Fire Wall/Plus 345
14.11.2 Fire Wall/Plus的安装、设置和使用 347
14.11.3 为Fire Wall/Plus选择一个系统默认的规则库 348
14.11.4 性能统计 349
14.11.5 附加和扩充的过滤器 349
14.11.6 Fire Wall/Plus功能小结 352
14.11.7 Network-1公司的CyberwallPLUS 352
14.11.8 系统需求 355
14.12 Trusted lnformation System的Gauntlet Internet——一种基于应用层代理的防火墙 355
14.12.1 TIS Gauntlet Internet防火墙 357
14.12.2 防火墙对用户透明 358
14.12.3 对远地公司进行扩充的防火墙保护 359
14.12.4 Gauntlet PC Extender 359
14.13 Technologic的Interceptor防火墙,一个直觉的防火墙 360
14.13.1 Technologic的Interceptor 防火墙概述 361
14.13.2 Interceptor 的组成部分 362
14.13.3 系统需求 366
14.14 Sun的Sunscreen EFS防火墙——一个状态检查防火墙 366
14.14.1 SunScreen模型 367
14.14.2 安全访问控制 368
14.14.3 管理的简化 369
14.14.4 SunScreenSPF-200和SunScreen EFS安全解决方案 370
14.14.5 SunScreenSPF-200 370
14.14.6 SunScreenEFS 371
14.14.7 系统需求 372
14.14.8 Solstice Firewall-1 3.0 372
14.15.1 Border Ware防火墙服务器 374
14.15.2 Border Ware应用服务 379
14.15.3 安全特性 381
14.16 Ukiah Software的Net Road Fire WALL——一种多支体系统结构防火墙 382
14.16.1 NetWare和NT防火墙(Windows NTT和NeTware版) 383
14.16.2 NeTware和NT防火墙支持 386
14.16.3 NetRoad F ireWALL 平台的发展趋势 387
14.16.4 系统需求 388
14.7 Secure Comptuing的Sidewindet Firewall——一种类型增强安全 388
14.17.1 类型增强安全专利 389
14.17.2 远程管理 391
14.17.3 访问控制 391
14.17.4 广泛的事件监视 393
14.17.5 高级地滤 394
14.18 IBM的eNetwork Firwall——另一种类型增强安全 395
14.18.1 用于AIX的IBM防火墙3.1版 395
14.18.2 IBM防火墙扩要特征 400
14.18.3 通过虚拟专用网进行通信 401
14.18.4 管理防火墙 403
14.18.5 系统需求 404
第四部分 附录 405
附录A 防火墙销售商和相关工具 405
附录B 术语表 417
参考书目 428