第1章 简介 1
1.1防火墙的定义 1
1.2为什么使用防火墙 2
1.3常见攻击类型 2
1.4防火墙的部署 3
1.5防火墙的优势和弱点 3
1.5.1优势 4
1.5.2弱点 4
1.6完善的安全措施 4
1.6.1完善系统本身 4
1.6.2补丁 5
1.6.3硬件与操作系统 5
1.6.4层次防御 5
1.6.5创建安全策略 6
1.6.6监测与记录 6
1.6.7审计和测试 6
第2章 防火墙管理的TCP/IP基础 7
2.1 TCP/IP网络中的数据传输 7
2.2在数据传输中应用的OSI七层模型 8
2.3理解IP协议是如何工作的 10
2.3.1 IP地址 10
2.3.2将IP地址转换为二进制格式 10
2.3.3 IP地址的层次结构 11
2.3.4子网与地址划分的灵活性及高效性 12
2.3.5 IP是如何在网络中路由的 14
2.3.6广播和组播 17
2.3.7 IP头部 17
2.3.8用ARP和RARP进行地址解析 18
2.3.9 ICMP协议 19
2.4传输层协议:与应用程序的接口 20
2.4.1无连接通信:用户数据报协议 20
2.4.2可靠顺序交付:传输控制协议 21
2.5应用程序及工具 23
2.5.1 Ping、Traceroute和Netstat 23
2.5.2使用地址转换隐藏私有地址 24
2.5.3访问控制列表(ACL) 26
2.5.4域名服务(DNS) 26
2.5.5简单网络管理协议(SNMP) 27
2.5.6超文本传输协议(HTTP) 27
2.5.7电子邮件(E-mail) 27
2.5.8远程登录(Telnet) 28
2.5.9远程服务(R-Services) 28
2.5.10文件传输协议(FTP) 28
第3章 网络设计的考虑 29
3.1把安全作为网络设计的一部分 29
3.2 Intranet、Extranet和Intemet——安全的理由 29
3.2.1 Intranet 29
3.2.2 Extranet 30
3.2.3 Internet 30
3.2.4 Intemet服务提供商(Intemet-ServiceProvider,ISP)及分散组织 30
3.2.5部门安全 31
3.2.6小办公室/家庭办公室(SOHO) 31
3.3网络设计方法 31
3.3.1 Tyjor公司——设计实例 31
3.3.2定义网络的目的 31
3.3.3需求 32
3.3.4预算 37
3.3.5选择销售商 37
3.3.6完成设计 37
3.3.7创建实施计划 38
3.3.8测试和确认 39
3.3.9提供支持 39
3.4网络 39
3.4.1网络拓扑的类型 40
3.4.2路由协议 46
3.5普通网络防火墙设计 47
3.5.1非军事区(DMZ) 48
3.5.2堡垒主机 48
3.5.3过滤网关 49
3.6创建公司安全策略 49
3.6.1接受使用策略 49
3.6.2特殊策略 50
第4章 防火墙的体系结构 52
4.1包过滤器 52
4.1.1包过滤的过程 53
4.1.2创建一个规则库 53
4.1.3包过滤的优缺点 56
4.2应用级网关 56
4.2.1应用级网关的工作过程 57
4.2.2应用级网关的缺点 58
4.3电路级网关 59
4.3.1电路级网关的工作过程 59
4.3.2电路级网关的缺点 59
4.4状态包检查(SPI) 59
4.4.1 SPI防火墙的工作过程 60
4.4.2 SPI在安全上的优点 61
4.5实施方式 61
4.5.1基于网络主机的防火墙 62
4.5.2基于路由器的防火墙 62
4.5.3基于单个主机的防火墙 62
4.5.4硬件防火墙 63
第5章 防火墙的高级功能 64
5.1身份验证和授权 64
5.2网络地址转换 65
5.2.1静态NAT 66
5.2.2动态NAT 67
5.2.3端口转换 67
5.2.4服务器负载平衡 68
5.3密码理论 68
5.3.1加密密码 68
5.3.2哈希验证 69
5.4虚拟专用网络(VPN) 71
5.5 IPSec(IP安全协议) 73
5.6网络监控 73
5.6.1审计 73
5.6.2会话窃听 74
5.7病毒免疫 75
5.8可用性 75
5.8.1状态信息 76
5.8.2高可用性 76
5.8.3负载平衡 77
5.9管理 78
5.10防火墙的其他特性 79
第6章 防火墙攻击 81
6.1了解入侵者:他们的攻击方法 81
6.1.1攻击目标的选择 81
6.1.2跟踪 82
6.1.3识别并侦察防火墙 86
6.2未雨绸缪——准备基础知识 92
6.2.1包过滤防火墙 92
6.2.2应用级代理防火墙 92
6.2.3 IP欺骗 92
6.2.4会话劫持 93
6.2.5形同虚设的访问控制列表(ACL) 95
6.2.6隧道 97
6.2.7代理服务器的外来访问 98
6.2.8操作系统和应用程序 98
6.2.9防火墙提供的远程管理功能 98
6.2.10拒绝服务(DoS) 99
6.3公布的防火墙漏洞 99
6.3.1 CheckPointFireWall-1IP分片漏洞 99
6.3.2 CheckPointFireWall-1RDP头部绕过防火墙的漏洞 100
6.3.3 CiscoPIXTACACS+的DoS漏洞 100
6.3.4 Raptor防火墙在代理HTTP请求中的漏洞 100
第7章 CheckPointFireWall-1简介 101
7.1什么是FireWall-1 101
7.2 FireWall-1组件 101
7.2.1管理模块 102
7.2.2 GUI客户端 102
7.2.3 FireWall-1的防火墙模块 104
7.3不同的管理模块配置 106
7.3.1单设备防火墙(SingleDeviceFirewail) 107
7.3.2拥有外部GUI客户端的单设备防火墙 107
7.3.3只有单个管理模块的多防火墙 107
7.3.4有冗余管理模块的多防火墙 108
7.3.5一对一的防火墙模块和管理模块 109
7.3.6高可用性防火墙 109
7.3.7其他防火墙组件 110
7.4 FireWall-1对象 110
7.4.1管理FireWall-1对象 110
7.4.2服务 119
7.4.3资源 122
7.4.4用户 124
7.4.5时间 125
第8章 FireWall-1的安装 127
8.1许可证 127
8.1.1评估许可证 127
8.1.2永久许可证 128
8.1.3 X/Motif许可证 128
8.2 FireWall-1的安装前提示 128
8.2.1安装哪一种FireWall-1组件 128
8.2.2 IP转发的考虑 128
8.2.3 FireWall-1组件的连通性 130
8.3在Windows平台上安装FireWall-1 130
8.3.1最小系统要求 130
8.3.2安装过程 130
8.4在Unix平台上安装FireWall-1 138
8.5 FireWall-1安装结束后再安装许可证 144
第9章 配置FireWall-1 145
9.1远程管理 145
9.1.1启用远程WindowsGUI客户端 145
9.1.2登录WindowsNTGUI策略编辑器 147
9.1.3启用远程UnixGUI客户端 147
9.1.4登录UnixGUI策略编辑器 148
9.1.5在分布式防火墙和管理模块之间建立连接 148
9.1.6策略编辑器菜单和工具条 149
9.1.7策略属性 150
9.2创建FireWall-1规则库 156
9.2.1创建一个标准的NAT规则 157
9.2.2准规则和显式规则 158
9.2.3清理规则 159
9.2.4隐藏规则 159
9.2.5 FireWall-1的规则顺序 159
第10章 FireWall-1高级功能 161
10.1身份验证 161
10.1.1用户身份验证 161
10.1.2客户身份验证 163
10.1.3会话身份验证 166
10.2内容安全 168
10.3内容向量协议 170
10.4 URL过滤协议 172
10.5 NAT 175
10.6账户管理客户端 180
10.7 VPN和SecuRemote 182
10.7.1 VPN的一些考虑 182
10.7.2 网关到网关VPN 184
10.7.3 SecuRemote 187
第11章 CheckPointNextGenertion 191
11.1新特征和功能增强概述 191
11.1.1 NG的策略管理器 191
11.1.2增强的日志功能 192
11.1.3审计 193
11.1.4 TCP服务属性 193
11.1.5增强的网络地址转换 194
11.1.6 NG对象数据库 194
11.1.7进程监视 194
11.1.8可视化策略编辑器 195
11.1.9安全内部通信(SIC) 195
11.1.10 SecureUpdate 196
11.1.11管理高可用性 196
11.2升级考虑 198
11.3在Windows上安装CheckPointNG防火墙 198
11.4在Unix上安装CheckPointNG防火墙 201
11.5 NG策略管理器的操作 203
11.5.1创建时间对象 203
11.5.2创建基本管理模块对象 205
11.5.3创建防火墙模块对象 206
11.6使用SecureUpdate 207
11.6.1应用SecureUpdate进行产品管理 207
11.6.2许可证管理 208
第12章 CiscoPLX防火墙 210
12.1产品背景 210
12.2 PIX的特征与功能 210
12.2.1 PIX模型 212
12.2.2 PIX性能 214
12.3软件版本 215
12.3.1 PIX版本6.X 215
12.3.2 PIX6.X版可以做的事与不可以做的事 216
12.3.3 PIX版本5.3 216
12.4自适应安全算法 216
第13章 CiscoPIX安装 221
13.1为PIX安装制定计划 221
13.2安装前 222
13.2.1选择许可证 222
13.2.2选择P1X型号 223
13.2.3物理位置 224
13.3安装 225
13.3.1接口配置 225
13.3.2电缆连接 226
13.3.3初始PIX输入 226
13.3.4配置PIX 227
13.4使用TFTP升级你的IOS 234
第14章 CiscoPIX配置 237
14.1路由选择 237
14.1.1静态 237
14.1.2路由信息协议(RIP) 238
14.2流量过滤和地址转换 239
14.2.1管道(conduit) 239
14.2.2静态(static) 241
14.2.3 Outbound/Apply命令 242
14.2.4 NAT/Global 244
14.2.5访问表 245
第15章 CiscoPIX高级功能 249
15.1用户访问管理 249
15.1.1访问PIX 249
15.1.2通过PIX的流量 250
15.2流量管理 252
15.2.1包管理 252
15.2.2协议管理 254
15.3冗余度 256
15.4 PIX监控 258
第16章 Cisco安全策略管理器 263
16.1背景 263
16.1.1应用区 263
16.1.2操作流 264
16.2安装 264
16.3拓扑图 267
16.3.1创建拓扑图 267
16.3.2查看拓扑图 272
16.4策略设计 275
16.4.1网络对象组 276
16.4.2网络服务组 277
16.4.3创建规则集 278
16.5 PIX命令 283
16.5.1策略前的分发 284
16.5.2分发策略 288
16.6报告 290
16.6.1监控报告 291
16.6.2系统报告 291
第17章 CiscoIOS防火墙特征集 293
17.1产品背景 293
17.2 IOS防火墙的特征和功能 293
17.2.1 IOSFFS阶段1的特征 293
17.2.2 IOSFFS阶段2的特征 294
17.3计划安装IOS防火墙的特征集 294
17.3.1选择硬件平台 294
17.3.2选择软件特征集 295
17.3.3选择软件版本 296
17.4 IOS防火墙设计考虑 296
17.4.1 IOS防火墙的强度 296
17.4.2警告 297
17.4.3 IOSFFS设计示例 297
17.5安装和配置防火墙 298
17.5.1 CiscoIOS的命令行界面 298
17.5.2记录IP和端口信息 300
17.5.3安装软件 300
17.6配置IOSFFS 302
17.7配置CBAC 307
17.7.1理解CBAC的工作原理 307
17.7.2配置访问控制表 308
17.7.3配置检查规则 309
17.7.4打开告警和审计跟踪 311
17.7.5配置PAM 311
第18章 Linux内核防火墙——Iptables 312
18.1 Linux内核防火墙的发展 312
18.2安装Iptables 317
18.3构建Iptables防火墙 317
18.3.1独立主机 318
18.3.2简单的NAT防火墙 320
18.3.3端口转发防火墙 322
18.3.4具有DMZ和透明Web代理的防火墙 324
18.3.5允许IPSecVPN通过的防火墙 327
18.3.6实现服务类型(TOS)标记 328
18.4通过日志实现故障诊断 328
18.5防火墙实用工具 329
18.5.1 Mason 329
18.5.2 Iptables-save和Iptables-restore 329
18.5.3 Knetfilter 329
第19章 Symantec防火墙企业版的背景与安装 330
19.1 Symantec/Raptor6.5的历史 330
19.1.1对标准服务的支持 331
19.1.2支持的验证类型 331
19.1.3关于Symantec防火墙企业版6.5 332
19.1.4 Symantec防火墙企业版6.5的重要特性 332
19.1.5代理 337
19.2安装 339
19.2.1安装准备 339
19.2.2网络设置 340
19.2.3测试网络配置 346
19.2.4测试TCP/IP的连通性 346
19.2.5检查名称解析(DNS) 346
19.2.6 ping主机 346
19.2.7理解网络如何处理名称解析 346
19.2.8提前约见Intemet服务提供商(ISP) 347
19.2.9知道哪些服务需要通过安全网关 347
19.2.10安装Symantec防火墙企业版6.5 347
19.2.11安装SymantecRaptor管理控制台 348
19.2.12连接到Symantec防火墙企业版 349
19.2.13安装远程日志记录 349
19.2.14 Vulture:未授权的服务 349
第20章 Symantec防火墙企业版的配置 350
20.1网络接口的配置 350
20.2配置网络实体 353
20.3用户和用户组的配置 357
20.3.1定义用户组 358
20.3.2定义用户 358
20.4配置Symantec和代理服务 365
20.4.1 Symantec服务 365
20.4.2代理服务 370
20.5授权规则的填写 372
20.6地址转换的配置 377
20.6.1地址转换 378
20.6.2虚拟客户机 381
第21章 Symantec防火墙企业版高级功能 383
21.1使用客户协议和服务 383
21.1.1定义一个GSP服务 383
21.1.2为过滤器中的应用定义协议 386
21.2拒绝服务(DoS) 387
21.3配置代理以支持第三方软件 388
21.3.1使用SQLNetV2代理 389
21.3.2代理连接小结 390
21.3.3配置SQLNetV2客户机 390
21.3.4创建客户配置文件 390
21.3.5 H.323标准 391
21.4设定证书验证 396
21.4.1在主机上生成证书 396
21.4.2在EntrustCA服务器上生成一个证书 397
21.5配置服务重新定向 399
21.5.1使用服务重新定向 399
21.5.2给所支持的重新定向添加一个规则 400
21.6通告方式的配置 400
21.6.1音频通告的配置 401
21.6.2邮件通告功能的配置 402
21.6.3呼叫通告功能的配置 403
21.6.4客户端程序通告的配置 404
21.6.5 SNMP通告的配置 404
第22章 微软ISAServer2000综述 405
22.1产品背景 405
22.2 ISA特征 406
22.2.1多层防火墙 406
22.2.2基于策略的访问控制 407
22.3 ISA组件 408
22.3.1服务器软件 408
22.3.2客户端软件 408
22.4 ISA操作模式 409
22.5 ISA管理 410
22.5.1本地管理 410
22.5.2远程管理 411
22.6报警 412
22.6.1条件 412
22.6.2动作 414
22.7日志 415
22.7.1数据包过滤器日志 416
22.7.2防火墙服务和Web代理日志 417
22.7.3方法 418
22.8报表 420
22.8.1报表的产生 420
22.8.2报表的日程安排 422
第23章 微软ISAServer2000的安装和配置 424
23.1微软ISAServer2000安装准备 424
23.2软件安装 425
23.2.1初始安装 425
23.2.2安全服务器向导 429
23.2.3从微软ProxyServer2升级 432
23.3启动向导 433
23.3.1创建日程表 434
23.3.2创建客户端集 436
23.3.3创建协议规则 437
23.3.4创建目标集 439
23.3.5创建站点和内容规则 440
23.3.6为防火墙和SecureNAT客户端配置路由 441
第24章 微软ISAServer2000的高级功能 443
24.1包过滤器和入侵检测 443
24.2报警管理 444
24.3创建协议定义 445
24.4虚拟专用网络 446
24.4.1远程访问 446
24.4.2站点到站点的VPN 447
24.5应用程序过滤器 450
24.5.1 SMTP过滤器 451
24.5.2 SMTP的体系结构 453
24.6高可用性 455
第25章 SonicWALL防火墙的背景和管理 457
25.1 产品 457
25.2 6.2版的软件特征 459
25.3 SonicWALL的包处理 461
25.4 SonicWALL的管理 461
第26章 安装SonicWALL 466
26.1物理安装 466
26.1.1安装硬件 466
26.1.2物理安装过程 466
26.2初始化配置信息 467
26.3基于Web的配置向导 468
26.3.1管理控制台配置 468
26.3.2安装向导 468
第27章 SonicWALL配置 474
27.1安全策略示例 474
27.2网络访问规则 475
27.3网络访问规则类型和等级 475
27.3.1增加服务 476
27.3.2通过服务确定的网络访问规则 477
27.3.3创建和编辑规则 480
27.3.4增加和编辑用户 483
27.3.5配置SNMP 485
27.3.6安全的远程管理 486
第28章 SonicWALL高级配置 487
28.1日志 487
28.2代理中继 488
28.3静态路由 489
28.4 DHCP服务器 490
28.5 Intranet防火墙 492
28.6 DMZ地址 493
28.7高级NAT 494
28.8以太网设置 495
28.9过滤 496
28.9.1种类标签 496
28.9.2列表升级标签 497
28.9.3自定义标签 498
28.9.4关键词标签 499
28.9.5赞同标签 500
28.10 VPN 501
28.10.1配置组VPN 501
28.10.2客户端配置 502
28.10.3测试VPN客户端配置 503
28.10.4在两个SonicWALL设备之间配置IKE 504
28.11高可用性 507
28.12反病毒 511
28.12.1反病毒小结 513
28.12.2 E-Mail过滤器 513
第29章 NetScreen防火墙的背景和管理 515
29.1背景 515
29.1.1产品和性能 515
29.1.2 NetScreen应用产品 515
29.1.3 NetScreen安全系统 518
29.2 ScreenOS操作系统 520
29.2.1 ScreenOS的规则处理 521
29.2.2 ScreenOS特征集 523
29.2.3 ScreenOS管理接口 523
第30章 安装NetScreen 525
30.1 NetScreen设备的安装 525
30.1.1安装NetScreen-5XP 525
30.1.2安装NetScreen-25/50 527
30.1.3安装NetScreen-100 529
30.2 NetScreen安全系统的安装 531
30.2.1安装NetScreen-500 531
30.2.2架设NetScreen-500 532
30.2.3在基本的单独配置下连接NetScreen-500 533
30.2.4在冗余(HA)配置下连接NetScreen-500 534
30.2.5安装NetScreen-1000 535
30.2.6架设NetScreen-1000 536
30.2.7在独立配置下连接NetScreen-1000 536
30.2.8在冗余配置下连接NetScreen-1000 536
第31章 NetScreen的配置 537
31.1控制台初始化配置 537
31.2用GUI进行NetScreen配置 540
第32章 NetScreen的高级配置 555
32.1虚拟专用网 555
32.1.1手工密钥站点到站点的VPN配置 555
32.1.2高可用性配置 561
32.1.3用VIP进行负载平衡 562
32.1.4带宽整形和优先化 564
32.1.5监控NetScreen设备 565
32.1.6 ScreenOS的调试命令 565
32.2 NetScreen-1000设备的一个配置文件示例 566