第1章 介绍信息安全 1
1.1 引言 1
目录 1
译者序 1
前言 1
作者简介 1
1.2 安全隐患和Internet 2
1.2.1 定义信息安全 3
1.2.2 常用信息安全概念 4
1.2.5 杜绝入侵机会 5
1.2.4 和小偷一样思考 5
1.2.3 知识就是力量 5
1.3.1 物理安全 6
1.3 威胁和攻击 6
1.3.2 网络安全 7
1.3.3 理解入侵动机 8
1.3.5 基础知识:TCP/UDP常用端口 10
1.3.4 安全解决方案分类 10
1.3.6 攻击类型 13
1.4 安全策略 20
1.4.3 开发安全计划和策略的责任 21
1.4.2 分配网络安全的责任 21
1.4.1 防止有意的内部安全漏洞 21
1.4.4 设计企业安全策略 22
1.4.5 评估安全需求 25
1.4.6 理解安全级别 27
1.4.7 制定安全目标 28
1.5 创建安全策略 29
1.6 保护信息技术 31
1.7 使用SSL和安全Shell 32
1.8.1 监测活动 34
1.8 其他硬件安全设备 34
1.8.2 防止未授权的外部入侵和攻击 35
1.9 本章小结 36
2.2 防火墙的定义 37
2.1 引言 37
第2章 防火墙的概念 37
2.3 网络和防火墙 40
2.3.1 防火墙接口:内部的、外部的和DMZ 41
2.3.3 地址转换 43
2.3.2 防火墙策略 43
2.3.4 虚拟专用网络 45
2.4 常用的防火墙 46
2.4.1 基于硬件的防火墙 48
2.4.2 防火墙软件 49
2.5 本章小结 50
3.2 DMZ基础 51
3.1 引言 51
第3章 DMZ的概念、布局和设计方案 51
3.2.1 DMZ的概念 54
3.2.2 流量的概念 58
3.2.3 含有和不含有DMZs的网络 60
3.3.1 为什么设计如此重要 61
3.3 DMZ设计基本原理 61
3.3.3 流和协议的基本原理 63
3.3.2 网络上主机间数据传输的终端对终端的安全性设计 63
3.3.5 公共和私人IP地址 64
3.3.4 有关TCP/IPv4的保护设计 64
3.3.6 端口 65
3.3.7 使用防火墙保护网络资源 66
3.3.8 流和安全风险 67
3.4 高级风险 69
3.4.2 Web和FTP地址 70
3.4.1 商业伙伴间的连接 70
3.4.4 高级DMZ设计概念 71
3.4.3 高级设计策略 71
3.4.5 DMZ的高利用率和故障转移 73
3.5 本章小结 75
4.2 什么是入侵检测 76
4.1 引言 76
第4章 入侵检测系统入门 76
4.2.2 基于主机的IDS 78
4.2.1 网络IDS 78
4.2.3 分布式IDS 79
4.3 什么是入侵 80
4.4.1 为何攻击者对我有兴趣 81
4.4 为何入侵监测系统很重要 81
4.4.3 我的防火墙是作为IDS工作的么 82
4.4.2 IDS是在哪里和我的安全计划的其余部分相匹配的 82
4.4.4 我还应该到哪些地方检查入侵 83
4.5 用入侵检测还能做什么 84
4.5.3 E-Mail服务器保护 85
4.5.2 监测DNS功能 85
4.5.1 监测Database Access 85
4.6 本章小结 86
4.5.4 使用IDS来检测我的公司策略 86
5.1 引言 87
第5章 用Ipchains和Iptables实施防火墙 87
5.2 理解防火墙的需求 88
5.3 配置IP传送和伪装功能 91
5.4 配置你的防火墙来过滤网络包 93
5.4.1 定制自己的网络过滤功能 94
5.5 理解Linux防火墙中的表格和链 95
5.4.2 配置内核 95
5.5.1 建立目标和用户定义链 96
5.5.2 使用Ipchains来伪装链接 99
5.5.3 使用Iptables 100
5.6 在防火墙上记录包 101
5.6.2 增加和删除包过滤规则 102
5.6.1 设置记录限制 102
5.7 配置防火墙 105
5.6.3 在Ipchains和Iptables中重定向端口 105
5.8 计算带宽使用率 108
5.9.1 权衡图形防火墙工具的优点 111
5.9 使用并获得自动化防火墙脚本和图形防火墙工具 111
5.9.2 在过程中防火墙的工作 112
5.10 本章小结 117
6.2 测试防火墙 118
6.1 引言 118
第6章 维护开放源代码的防火墙 118
6.2.2 打开端口/Daemon(后台程序) 119
6.2.1 IP伪装 119
6.2.5 检查规则数据库 120
6.2.4 可疑的用户、登录和登录时间 120
6.2.3 检测系统硬件驱动、RAM和处理器 120
6.2.7 端口扫描 121
6.2.6 检验与公司管理者和终端用户的链接 121
6.3.2 Telnet 122
6.3.1 Ipchains 122
6.3 使用Telnet、Ipchains、Netcat和SendIP来检测你的防火墙 122
6.3.3 Netcat 123
6.3.4 SendIP:包伪造器 126
6.4.1 防火墙记录程序 129
6.4 理解防火墙记录、阻塞和警报选项 129
6.4.2 fwlogwatch 133
6.4.3 自动fwlogwatch 136
6.4.4 使用带有CGI脚本的fwlogwatch 141
6.5 获取其他的防火墙记录工具 146
6.6 本章小结 147
7.2 将Solaris配置为安全路由器 148
7.1 引言 148
第7章 将Solaris配置成安全路由器和防火墙 148
7.2.2 路由选择条件 149
7.2.1 推论和基本原理 149
7.2.3 为路由进行配置 151
7.2.4 最佳安全性 153
7.2.5 安全的含义 154
7.2.6 未配置的Solaris路由 155
7.3 IPv6路由选择 156
7.3.1 配置文件 157
7.3.2 IPv6程序 159
7.3.3 IPv6路由设置过程 161
7.3.4 停用IPv6路由选择功能 162
7.4.2 手工配置 163
7.4.1 自动配置 163
7.4 IP Version 6主机 163
7.4.3 将Solaris配置为一个安全网关 164
7.5.2 通用防火墙设计 165
7.5.1 通用防火墙理论 165
7.5 将Solaris配置为防火墙 165
7.5.3 SunScreen Lite 166
7.5.5 使用NAT 167
7.5.4 IP过滤器 167
7.6 本章小结 168
8.2 防火墙的特征 170
8.1 引言 170
第8章 PIX防火墙的介绍 170
8.2.2 自适应的安全算法 171
8.2.1 嵌入式操作系统 171
8.2.5 URL过滤 178
8.2.4 VPN支持 178
8.2.3 高级协议处理 178
8.2.6 NAT和PAT 179
8.3.1 模型 180
8.3 PIX硬件 180
8.2.7 高可用性 180
8.3.2 控制台端口 182
8.4 软件认证和升级 184
8.4.2 升级软件 185
8.4.1 授权认证 185
8.4.3 密码恢复 186
8.5 命令行接口 187
8.5.2 管理访问模式 188
8.5.1 工作环境缺省配置 188
8.5.3 基本命令 190
8.5.4 管理配置 193
8.6 本章小结 194
9.2 允许出站流 197
9.1 引言 197
第9章 流通行 197
9.2.1 设置动态地址转换 198
9.2.2 禁止出站流 202
9.3.1 静态地址转换 208
9.3 允许入站流 208
9.3.3 通道 209
9.3.2 访问列表 209
9.3.5 端口改道 210
9.3.4 ICMP 210
9.4 TurboACLS 211
9.5 对象分组 212
9.6 实例研究 215
9.6.1 访问列表 216
9.6.2 通道和Outbound/Apply(入站流/应用) 218
9.7 本章小结 220
10.2 高级协议处理 221
10.1 引言 221
第10章 高级PIX配置 221
10.2.1 文件传输协议 224
10.2.2 域命名服务 227
10.2.3 简单的邮件传输协议 229
10.2.5 远程屏蔽 230
10.2.4 超文本传输协议 230
10.2.6 远程过程调用 231
10.2.7 实时流协议、NetShow和VDO Live 232
10.2.9 H.323和相关的应用程序 235
10.2.8 SOL*Net 235
10.2.11 会话发起协议 237
10.2.10 Skinny客户控制协议 237
10.3 Web流过滤 239
10.2.12 Internet定位服务和轻量级目录访问协议 239
10.3.1 URLs过滤 240
10.3.2 活动代码过滤 243
10.3.3 DHCP客户端 245
10.3.4 DHCP服务器 246
10.4.1 碎片整理保护 249
10.4 其他高级特征 249
10.4.2 AAA Floodguard 250
10.4.3 SYN Floodguard 251
10.4.4 逆向转发 252
10.4.5 单播路由 254
10.4.6 Stub多播路由 257
10.4.7 PPPoE 260
10.5 本章小结 262
11.1 引言 264
第11章 故障诊断与维修以及性能监测 264
11.2.1 PIX防火墙硬件的故障诊断与维修 265
11.2 硬件和电缆的故障诊断与维修 265
11.2.2 PIX电缆的故障诊断与维修 272
11.3 连通性的故障诊断与维修 274
11.3.1 寻址检查 275
11.3.2 路由检查 276
11.3.3 转换检查 280
11.3.4 访问查看 282
11.4 IPsec的故障诊断与维修 286
11.4.1 IKE 287
11.4.2 IPsec 289
11.5.1 显示捕获流 292
11.5 捕获流 292
11.5.2 下载捕获流 293
11.6 性能的监测和故障诊断与维修 294
11.6.1 CPU的性能监测 295
11.6.2 内存性能监测 299
11.6.3 Network性能监测 300
11.7 本章小结 301
11.6.4 标识(IDENT)协议和PIX性能 301
12.2 开始之前的准备工作 303
12.1 引言 303
第12章 安装和配置VPN-1/FireWall-1 NG防火墙 303
12.2.1 获得许可证 304
12.2.2 给主机提供安全措施 305
12.2.3 路由和网络接口 307
12.2.4 安装VPN-1/FireWall-1 NG的准备工作 309
12.2.5 从早期版本升级 312
12.3.1 从安装盘进行安装 313
12.3 在Windows系统上安装CheckPoin tVPN-1/FireWall-1 NG 313
12.3.2 在Windows系统上配置Check PointVPN-1/Rire Wall-1 NG产品 319
12.4 卸载在Windows系统上的Check Point VPN-1/FireWall-1 NG产品 327
12.4.1 卸载VPN-1 FireWall-1 328
12.4.2 卸载SVN Foundation软件包 329
12.5 在Solaris系统上安装CheckPoint VPN-1/FireWall-1 NG 330
12.4.3 卸载管理客户端软件 330
12.5.1 从光盘进行安装 331
12.5.2 在Solaris系统上配置Check Point VPN-1/FireWall-1 NG软件包 334
12.6.1 卸载VPN-1 FireWall-1 343
12.6 卸载Solaris系统上的Check Point VPN-1/FireWall-1 NG产品 343
12.6.2 卸载SVN Foundation 345
12.6.3 卸载管理客户端软件 347
12.7 在Nokia系统上安装Check Point VPN-1FireWall/1 NG 348
12.7.1 安装VPN-1/FireWall-1 NG软件包 349
12.7.2 配置在Nokia系统上的VPN-1/FireWall-1 NG 351
12.8 本章小结 353
13.2 管理对象 355
13.1 引言 355
第13章 使用图形界面 355
13.2.1 网络对象 357
13.2.2 服务 366
13.2.3 资源 370
13.2.5 服务器 371
13.2.4 OpenPlatformforSecurity(安全性的开放平台,OPSEC)应用程序 371
13.2.7 时间 374
13.2.6 内部用户 374
13.3 添加规则 375
13.2.8 虚拟链接 375
13.4.1 FW-1防火墙的隐含规则 378
13.4 全局属性 378
13.4.2 安全服务器 379
13.4.11 网络地址翻译(NAT) 380
13.4.10 LDAP账号管理 380
13.4.3 身份验证 380
13.4.4 VPN-1 380
13.4.5 Desktop Security(桌面安全性) 380
13.4.6 Visual Policy Editor(可视的策略编辑器) 380
13.4.7 网关的高可用性 380
13.4.8 管理模块的高可用性 380
13.4.9 带状态的检查 380
13.5 SecureUpdate(安全升级程序) 381
13.4.14 LogandAlert(日志和警告) 381
13.4.12 ConnectControl(连接控制) 381
13.4.13 开放的安全性扩展 381
13.6 日志查看器(Log Viewer) 383
13.8 本章小结 385
13.7 系统状态 385
14.2 使用安全策略的理由 387
14.1 引言 387
第14章 创建安全策略 387
14.3 如何编写安全策略 388
14.3.1 安全设计 389
14.3.3 编写策略 390
14.3.2 防火墙的体系结构 390
14.4.1 默认和初始的策略 393
14.4 实施安全策略 393
14.4.2 将策略翻译成规则 394
14.4.3 操作规则 401
14.4.4 策略选项 404
14.5 安装安全策略 405
14.6 策略文件 406
14.7 本章小结 407
15.2 Check Point的高可用性方法(CPHA) 408
15.1 引言 408
第15章 高级配置 408
15.2.1 启用高可用性 409
15.2.2 失败恢复 411
15.2.3 防火墙同步 412
15.3.1 网关的配置 414
15.3 单入口点VPN配置(SEP) 414
15.4 多入口点VPN的配置(MEP) 417
15.3.2 策略配置 417
15.4.1 重叠的VPN域 418
15.4.3 重叠式VPN域 420
15.4.2 网关配置 420
15.5.1 路由失败恢复 422
15.5 其他的高可用性方法 422
15.6 本章小结 423
15.5.2 硬件选项 423
16.2 加密模式 424
16.1 引言 424
第16章 配置虚拟专用网络(VPN) 424
16.2.1 加密算法:对称和不对称的加密算法 425
16.2.2 密钥交换方法:通道与即时加密 426
16.2.3 哈希(Hash)函数和数字签名 427
16.3 配置FWZ型VPN 428
16.2.6 VPN的域 428
16.2.4 证书和证书授予者(CA) 428
16.2.5 VPN的类型 428
16.3.1 定义对象 429
16.3.2 添加VPN规则 430
16.4.1 定义对象 432
16.4 配置IKE VPN 432
16.3.3 FWZ的局限性 432
16.4.2 添加VPN规则 433
16.4.3 测试VPN 435
16.5.1 本地网关对象 437
16.5 配置SecuRemote上的VPN 437
16.4.4 对外部网络的考虑 437
16.5.2 用户加密属性 438
16.5.3 客户端加密规则 439
16.6 安装SecuRemote客户端软件 441
16.7 使用SecuRemote客户端软件 442
16.7.1 修改Objects_5_0.C文件的注意事项 443
16.8 本章小结 444
16.7.2 Secure Domain Login(安全域的登录) 444
17.2 Nokia IP系列设备简介 445
17.1 引言 445
第17章 Nokia安全平台概述 445
17.3 将管理变得更容易 451
17.4 本章小结 453
18.2 配置防火墙的准备工作 455
18.1 引言 455
第18章 配置Check Point防火墙 455
18.2.1 获取许可证 456
18.2.3 理解FireWall-1防火墙软件的可选项 457
18.2.2 配置主机的名称 457
18.3 配置防火墙 458
18.3.1 安装软件包 459
18.3.2 启用这个软件包 460
18.3.3 IP传递和防火墙策略 461
18.3.4 运行cpconfig命令 464
18.4 测试防火墙的配置 472
18.4.1 测试图形用户界面客户的访问 473
18.4.2 推送和取回策略 475
18.5 升级防火墙 477
18.5.1 从4.1 SP6升级到NG FP2 478
18.6 本章小结 480
18.5.3 从NG版退回到41版 480
18.5.2 从NG FP2升级到NG FP3 480
19.2 设备开箱之后的基本系统配置 482
19.1 引言 482
第19章 Voyager Web界面介绍 482
19.2.1 前端屏幕 483
19.2.2 配置基本的接口信息 484
19.2.3 添加一个默认的网关 488
19.2.4 设置系统的时间、日期和时区 490
19.2.5 配置域名系统和主机条目 492
19.2.6 配置邮件中继 494
19.3 配置系统的安全性 495
19.2.7 配置系统事件通知 495
19.3.1 启用SSH的接入访问 496
19.3.2 禁用Telnet访问 498
19.3.4 实现FTP的安全性 499
19.3.3 FTP的一种替代方法 499
19.3.5 配置安全的套接字层 500
19.4 理解配置选项 502
19.4.3 SNMP 503
19.4.2 系统配置 503
19.4.1 接口配置 503
19.4.7 配置缺陷管理 504
19.4.6 安全性和访问配置 504
19.4.4 IPv6 504
19.4.5 重新启动和关闭系统 504
19.4.9 流量管理 505
19.4.8 配置路由 505
19.5 本章小结 506
19.4.10 路由器服务 506
20.2 重新启动操作系统 508
20.1 引言 508
第20章 系统管理基础 508
20.3.1 安装新的软件包 509
20.3 管理软件包 509
20.3.2 启用和禁用软件包 512
20.3.3 删除软件包 513
20.4 管IPSO映像 514
20.4.1 升级到新的IPSO映像 515
20.4.2 删除映像文件 517
20.5.1 用户 518
20.5 管理用户和组 518
20.5.2 组 520
20.6 配置静态路径 522
20.7.1 配置集(Configuration Sets) 523
20.7 系统备份和恢复 523
20.7.2 制作系统备份 524
20.7.3 从备份中恢复 526
20.8.1 本地系统日志 527
20.8 系统日志 527
20.8.2 远程系统日志 528
20.9 使用cron定时执行的任务 529
20.8.3 监听日志 529
20.10 本章小结 530
21.2 ISA部署:计划与设计问题 532
21.1 引言 532
第21章 ISA服务器部暑计划和设计 532
21.2.4 处理器要求 533
21.2.3 软件要求 533
21.2.1 访问网络和硬件要求 533
21.2.2 系统要求 533
21.4 执行关键任务的注意事项 541
21.3 活动目录的实现 541
21.4.1 硬盘容错 542
21.4.2 网络容错 545
21.4.3 服务器容错 546
21.4.4 堡垒主机配置 547
21.5 计划恰当的安装模式 548
21.5.3 用综合模式安装 549
21.5.2 用缓存模式安装 549
21.5.1 用防火墙模式安装 549
21.5.4 计划一个单机或阵列配置 550
21.5.5 计划ISA客户机配置 551
21.5.6 Internet连接和DNS的问题 554
21.6 本章小结 556
22.2.1 安装文件和许可权限 557
22.2 全面落实安装计划 557
第22章 ISA Server的安装 557
22.1 引言 557
22.2.4 服务器模式 558
22.2.3 Active Directory的问题 558
22.2.2 CD Key和产品许可证 558
22.2.7 ISA Server特性的安装 559
22.2.6 内部网络ID和本地访问表 559
22.2.5 ISA Server文件的磁盘位置 559
22.3.1 ISA Server的安装步骤 560
22.3 执行安装 560
22.3.2 将单机服务器升级成阵列成员的步骤 567
22.4.1 移植的类型 573
22.4 从MicrosoftProxyServer2.0移植 573
22.3.3 ISA Server安装之后的修改 573
22.4.2 在Windows 2000 平台上升级Proxy 2.0 577
22.4.3 在Windows NT 4.0上升级Proxy 2.0的安装 579
22.5 本章小结 581
23.2 理解集中式管理 582
23.1 引言 582
第23章 ISA Server的管理 582
23.2.1 ISA管理控制台 583
23.2.2 ISA向导 601
23.3.1 配置对象权限 602
23.3 执行常规管理任务 602
23.3.2 管理阵列成员 604
23.4.1 创建、配置和监视警报 606
23.4 使用监视、警报、日志和报表功能 606
23.4.2 监视会话 610
23.4.3 使用日志 611
23.4.4 生成报表 615
23.5.1 安装ISA管理控制台 624
23.5 理解远程管理 624
23.5.2 使用终端服务进行ISA远程管理 626
23.6 本章小结 629
24.2 ISA Server的性能优化 631
24.1 引言 631
第24章 ISAServer的优化、自定义、整合和备份 631
24.2.1 建立基准和监视性能 632
24.2.2 常规性能问题的讨论 649
24.3 自定义ISA Server 656
24.3.1 使用ISA Server软件开发包(SDK) 657
24.3.2 使用第三方加载程序 659
24.4 ISA Server同其他服务的整合 660
24.4.1 理解Active Directory的互用性 661
24.4.2 理解路由和远程访问服务的互用性 662
24.4.4 理解IPSecurity的互用性 663
24.4.3 理解Internet信息服务器的互用性 663
24.4.5 将ISA Server整合到一个WindowsNT 4.0域中 665
24.5.2 备份和恢复单机服务器配置 666
24.5.1 备份原理 666
24.5 备份和恢复ISA配置 666
24.5.3 备份和恢复阵列与企业配置 667
24.6 本章小结 669
25.2 故障诊断的准则 670
25.1 引言 670
第25章 ISA Server故障诊断 670
25.2.1 故障诊断五大步骤 671
25.2.2 ISAServer和Windows 2000诊断工具 673
25.2.3 ISA Server诊断资源 674
25.3.1 硬件和软件兼容性问题 679
25.3 ISA Server安装和配置问题的故障诊断 679
25.3.2 初始配置问题 680
25.4.1 验证问题 682
25.4 验证和访问问题的故障诊断 682
25.4.2 访问问题 684
25.4.3 拨号和VPN问题 686
25.5.1 客户机性能故障 687
25.5 ISA客户机问题的故障诊断 687
25.5.2 客户机连接故障 688
25.6.1 缓存问题 690
25.6 缓存和发布问题的故障诊断 690
25.6.2 发布问题 691
25.7 本章小结 692
26.1 引言 693
第26章 ISA Server发布的高级服务器 693
26.2 禁用套接字共享 695
26.2.1 禁用Web和FTP服务的套接字共享 697
26.2.2 禁用SMTP和NNTP服务的套接字共享 698
26.3 服务器发布 699
26.2.3 在ISA服务器上禁用IIS服务 699
26.3.1 在内网上发布终端服务 700
26.3.2 在ISA服务器上发布终端服务 703
26.3.3 在ISA Server和内部网络上发布终端服务 705
26.3.4 发布TSAC站点 706
26.3.5 在内部网上发布FTP服务器 713
26.3.6 发布FTP服务器协同定位ISA服务器 720
26.3.7 使用Web发布规则以实现安全的FTP访问 727
26.3.8 使用服务器发布规则发布HTTP和HTTPS(SSL)服务器 730
26.3.9 在内网上发布pcAnywhere 733
26.4.2 目标集合 736
26.4.1 进入Web请求监听程序 736
26.4 Web发布 736
26.4.3 公共DNS入口 737
26.4.4 私有的DNS入口 738
26.4.5 在ISA服务器上终止SSL连接 739
26.4.6 桥接SSL连接 751
26.4.7 使用SSL的安全FTP连接 758
26.4.8 发布一台认证服务器 759
26.5 本章小结 761
27.1 引言 763
第27章 配置ISA服务器邮件服务保护 763
27.2.1 在ISA服务器上发布IISSMTP服务 764
27.2 在ISA服务器上配置邮件服务 764
27.2.2 ISA服务器上的Messagescreener 770
27.2.3 在ISA服务器上发布交换服务器 773
27.2.4 在ISA服务器上发布Outlook Web Access 792
27.2.5 ISA服务器和交换服务器上的Message screener 799
27.3 在内网上配置邮件服务 803
27.3.1 在内网上发布Exchange服务器 803
27.3.2 Exchange RPC发布 805
27.3.3 在内网交换服务器上发布Outlook Web Access 811
27.3.4 内部网络交换服务器上的Message screener 811
27.4 GFI邮件安全与SMTP服务器邮件实质 813
27.4.1 安全邮件版本 814
27.4.2 为SMTP网关安装安全邮件 815
27.4.3 配置安全邮件 816
27.5 本章小结 821