第一部分 FireWall-1概述与配置 1
第1章 防火墙技术介绍 1
1.1 防火墙技术概述 1
前言页 1
1.1.1 Check Point优点 4
1.1.2 谈谈非军事区 5
1.1.3 认证问题 5
1.1.4 对周边的信任 6
1.1.5 防火墙类型 6
1.1.6 第二代应用级防火墙 7
1.2 Check Point的状态检查 7
1.3 选择Check Point FireWall-1的原因 8
1.4 关于安全策略 9
1.6 结论 11
1.5 考虑物理安全问题 11
第2章 Check Point FireWall-1体系结构 12
2.1 状态检查 12
2.1.1 包过滤器 12
2.1.2 应用级 12
2.1.3 状态检查 13
2.1.4 FireWall-1管理模块 14
2.1.5 客户机/服务器 14
2.1.6 FireWall-1防火墙模块 16
2.1.7 指定方向 17
2.2 INSPECT 17
2.3 FireWall-1核心 22
2.6 安全动态分配的端口连接 23
2.5 安全无连接协议 23
2.4 FireWall-1守护进程 23
2.7 基于UDP的应用程序 24
2.8 网络目标管理器 26
2.9 用户管理器 27
2.10 服务管理器 27
2.11 系统状态监视器 28
2.12 认证 29
2.12.1 用户认证 29
2.12.2 客户认证 30
2.12.3 话路认证 30
2.13 HTTP安全服务器 31
2.14 路由器扩展模块 31
2.15 FireWall-1性能 31
2.17 结论 33
2.16 FireWall-1安全配套 33
第3章 Check Point FireWall-1安装与配置 34
3.1 安装FireWall-1 34
3.1.1 路由 34
3.1.2 IP转发 34
3.1.3 DNS 34
3.1.4 IP地址 34
3.1.5 连通性 35
3.2 首次安装FireWall-1 35
3.3 升级到FireWall-1的新版本 35
3.3.1 FireWall-1数据库 36
3.3.2 选择适当的组件安装 36
3.3.3 软件分布与要求 37
3.3.4 安装过程 38
3.3.5 安装组件 39
3.3.6 配置 42
3.3.7 卸载FireWall-1(NT) 49
3.3.8 重新配置FireWall-1(NT) 49
3.4 UNIX安装 49
3.5 在UNIX上配置FireWall-1 50
3.6 许可 53
3.7 结论 53
第二部分 管理FireWall-1安全策略 55
第4章 安全策略 55
4.1 设置安全策略来管理FireWall-1 55
4.1.1 安全策略 55
4.1.2 服务 57
4.1.3 日志和报警 58
4.1.4 路由器访问表 60
4.1.5 SYNDefender 61
4.2 结论 66
第5章 为FireWall-1设置规则库 67
5.1 GUI配置编辑器 68
5.2 更复杂的拓扑 70
5.3 设置SMTP服务器规则 76
5.4 设置Web服务器规则 78
5.5 认证 81
5.6 结论 85
第6章 Check Point FireWall-1的高级安全功能 86
6.1 内容安全 86
6.2 统一资源识别器 87
6.3.2 定义资源 88
6.3 URL过滤 88
6.3.1 定义UFP服务器 88
6.3.3 定义规则 89
6.4 邮件 89
6.5 FTP 90
6.6 CVP检查 90
6.7 TCPSYN泛滥 93
6.7.1 TCPSYN握手 93
6.7.2 理解SYN泛滥攻击 94
6.8 Check Point的SYNDefender解决方案 94
6.8.1 SYNDefender中继 95
6.8.2 SYNDefender网关 95
6.9.2 使用SYNDefender网关 96
6.10 FireWall-1 HTTP安全服务器 96
6.9.1 使用SYNDefender中继 96
6.9 将SYNDefender与FireWall-1一起使用 96
6.11 HTTP安全服务器参数 97
6.12 HTTP服务器 97
6.13 重认证选项 98
6.14 认证类型 98
6.15 口令提示 99
6.16 多用户与口令 99
6.17 “原因”信息 100
6.18 关于代理服务器 100
6.19 防欺骗 101
6.20 结论 102
7.1.1 使用私钥 103
第7章 加密技术 103
7.1 使用密码技术加强数据完整性 103
7.1.2 非对称密钥加密/公钥加密 107
7.1.3 报文摘要算法 109
7.1.4 使用证书 111
7.1.5 谈谈密钥管理 118
7.1.6 密钥交换算法 125
7.1.7 密码技术应用与应用编程接口 126
7.2 密码技术和防火墙 127
第8章 Check Point FireWall-1虚拟专用网技术 130
8.1 外联网的安全基础 130
8.2 使用FireWall-1资源 133
8.2.2 流量控制/件能 134
8.2.1 安全性 134
8.2.3 企业管理 135
8.3 FireWall-1与证书机构 135
8.3.1 FireWall-1支持的加密方案 136
8.3.2 FWZ加密方案 136
8.3.3 手控IPSec加密方案 136
8.3.4 SKIP加密方案与FireWall-1 137
8.3.5 ISAKMP/OAKLEY加密方案 137
8.4 配置FireWall-1加密 138
8.4.1 加密域 138
8.4.2 密钥管理 139
8.4.3 有关加密的说明 139
8.5 其他FireWall-1加密方案 142
8.5.1 Microsoft的WindowsPPTP 144
8.5.2 Microsoft虚拟专用网 147
8.5.3 认证和加密 151
8.6 结论 151
第9章 FireWall-1 SecuRemote 152
9.1 配置FireWall-1 SecuRemote客户机加密 152
9.1.1 产品特征 153
9.1.2 智能操作 154
9.1.3 SecuRemote软件 154
9.1.4 封装 155
9.1.5 SecuRemote的安装 156
9.1.6 定义站点 160
9.1.7 加密方法 163
9.1.8 认证方法 163
9.1.9 卸载SecuRemote客户程序 168
9.1.10 修改网络配置 169
9.2 结论 170
第10章 INSPECT语言 171
10.1 编写一个检查脚本语句 172
10.2 测试脚本 172
10.3 INSPECT句法 173
10.4 保留字 176
第三部分 高级配置安装 177
第11章 保护企业互连体系结构的开放平台 177
11.1 企业——个同时代的展望 177
11.2 网络安全要求 177
11.3 行业标准与标准协议 178
11.3.1 RADIUS 178
11.3.3 SNMP 179
11.3.2 X.509 179
11.3.4 LDAP 180
11.4 OPSEC结构——概述 180
11.5 Check Point定义的开放协议和应用编程接口 181
11.5.1 内容矢量协议API 182
11.5.2 URL过滤协议API 183
11.5.3 可疑活动监控协议API 183
11.5.4 日志输出API 184
11.5.5 事件日志API 184
11.6 OPSEC管理界面 184
11.7 用INSPECT语言编写的安全应用程序 184
11.9 OPSEC联盟 185
11.9.1 满足基于策略集成的需求 185
11.8 在行业平台的最宽阵列中嵌入INSPECT虚拟机器或者全面的FimWall-1 185
11.9.2 OPSEC联盟伙伴 186
11.9.3 OPSEC联盟伙伴的利益 186
11.9.4 大挑战 187
第12章 网络活动配置与日志 190
12.1 防火墙同步 190
12.1.1 防火墙同步的益处 190
12.1.2 问题 191
12.1.3 配置同步 191
12.2 负载均衡 191
12.3 日志 192
12.3.1 日志查看器选项 199
12.3.2 日志管理 200
12.4 结论 200
13.1 防火墙面临的挑战:World Wide Web 202
第13章 高级防火墙安全主题 202
13.1.1 基本Web 203
13.1.2 监控HTTP协议 205
13.1.3 使用S-HTTP协议 205
13.1.4 使用SSL增强安全性 206
13.1.5 小心使用超高速缓存Web 207
13.1.6 堵住漏洞:配置检验列表 207
13.1.7 安全检验列表 208
13.1.8 小心Novell的HTTP 208
13.1.9 注意基于UNIX的Web服务器安全问题 208
13.1.10 注意公共网关接口 208
13.2 不安全的API与防火墙之间的相互作用 224
13.2.1 套接字 224
13.2.2 BSD套接字 227
13.2.3 Windows套接字 228
13.3 Java API 228
13.3.1 Perl模块 229
13.3.2 CGI脚本 231
13.3.3 ActiveX 232
13.3.4 分布式处理 233
13.3.5 用防火墙保护以Web为核心的环境 234
13.3.6 通过防火墙的代码 244
第四部分 附录 249
附录A TCP/IP传输层协议 249
附录B TCP/IP应用层协议 256
附录C 术语表 264
附录D 参考书目 278