译者序 1
前言 1
第1章 理解TCP/IP 1
1.1 TCP/IP的历史 1
1.2探索地址、子网和主机名 2
1.2.1 地址类 2
1.2.2 子网 3
1.2.3 无类的地址和CIDR 6
1.2.4 主机名 6
1.3 操作网络接口 7
1.4 网络配置文件 10
1.4.1 /etc/hosts文件 10
1.4.2 /etc/ethers文件 10
1.4.3 /etc/networks文件 11
1.4.4 etc/protocols文件 11
1.4.5 etc/services文件 11
1.4.6 /etc/inetd.conf文件 12
1.5 理解网络访问文件 12
1.5.3 用户和主机等价 13
1.5.2 .rhosts文件 13
1.5.1 /etc/hosts.equiv文件 13
1.6 检查TCP/IP守护程序 14
1.6.1 slink守护程序 14
1.6.2 ldsocket守护程序 14
1.6.6 RARP守护程序(rarpd) 15
1.6.7 BOOTP守护程序(bootpd) 15
1.6.8 route守护程序(routed) 15
1.6.5 SNMP守护程序(snmpd) 15
1.6.4 行式打印机守护程序(lpd) 15
1.6.3 cpd守护程序 15
1.6.9 域名服务器(named) 16
1.6.10 系统记录器(syslogd) 17
1.6.11 inetd—超级服务器 17
1.6.12 RWHO守护程序(rwhod) 17
1.7 探索TCP/IP实用程序 17
1.7.1 管理命令 17
1.7.2 用户命令 27
1.8 本章小结 34
2.1.1 D1级 35
2.1.2 C1级 35
第2章 安全 35
2.1 安全级别 35
2.1.3 C2级 36
2.1.4 B1级 36
2.1.5 B2级 36
2.1.6 B3级 36
2.2.2 EAL-2 37
2.2.4 EAL-4 37
2.2.3 EAL-3 37
2.2.1 EAL-1 37
2.2 加拿大安全 37
2.1.7 A级 37
2.2.5 EAL-5 38
2.2.6 EAL-6 38
2.2.7 EAL-7 38
2.3 局部安全问题 38
2.3.1 安全策略 38
2.3.2 口令文件 38
2.3.3 影像口令文件 40
2.3.4 拔号口令文件 40
2.3.5 组文件 42
2.4 口令生命期和控制 43
2.5 破坏者和口令 45
2.6 C2安全性和可信任计算基础 47
2.7 理解网络等价 48
2.7.1 主机等价 48
2.7.2 用户等价 49
2.8 定义用户和组 50
2.9 理解许可权限 51
2.9.1 检查标准的许可权限 51
2.9.2 root和NFS 52
2.10.1 如何对口令加密 53
2.10 探索数据加密方法 53
2.10.2 对文件加密 54
2.11 检查Kerberos身份验证 55
2.11.1 理解Kerberos 55
2.11.2 Kerberos的缺点 55
2.12 理解IP电子欺骗 56
2.13 本章小结 56
2.14 致谢 56
2.15 一个例子程序 56
第3章 设计网络策略 59
3.1 网络安全计划 59
3.2 站点安全策略 59
3.3 安全策略方案 60
3.4 保护安全策略的责任 61
3.5 危险分析 61
3.6 识别资源 64
3.7 识别威胁 64
3.7.1 定义未授权访问 64
3.7.2 信息泄露的危险 64
3.7.3 无法使用服务 65
3.8 网络使用和责任 65
3.9 识别谁可以使用网络资源 65
3.9.1 识别资源的正确使用方法 66
3.9.2 确定谁有权授权访问和同意使用 67
3.9.3 确定用户责任 69
3.9.4 确定系统管理员的责任 69
3.9.5 如何处理敏感信息 70
3.10 安全策略遭到违反时的行动计划 70
3.10.1 对违反策略的反应 70
3.10.2 对本地用户违反策略行为的反应 71
3.10.3 反应策略 71
3.10.4 定义Internet上好公民的责任 73
3.10.5 与外部组织的联系和责任 73
3.12 识别与防止安全问题 74
3.11 解释和宣传安全策略 74
3.12.1 访问入口点 75
3.12.2 不正确配置的系统 77
3.12.3 软件故障 77
3.12.4 内部的人的威胁 77
3.12.5 物理安全 77
3.12.6 机密 78
3.13 实现合算的策略控制 78
3.14 选择策略控制 78
3.17 监视系统使用 79
3.18 监视机制 79
3.16 检测和监视非授权活动 79
3.15 使用后退战略 79
3.19 监视计划 80
3.20 报告过程 80
3.20.1 帐户管理过程 80
3.20.2 配置管理过程 81
3.20.3 恢复过程 82
3.21 系统管理员问题报告过程 84
3.22 保护网络连接 84
3.23 使用加密保护网络 84
3.23.3 保密增强邮件(PEM) 85
3.23.1 数据加密标准(DES) 85
3.23.2 crypt 85
3.23.4 完全保密(PGP) 86
3.23.5 源身份验证 86
3.23.6 信息完整性 86
3.23.7 使用校验和 87
3.23.8 密码校验和 87
3.23.9 使用身份验证系统 87
3.25 保持信息更新 88
3.26 邮件列表 88
3.24 使用Kerberos 88
3.23.10 使用智能卡 88
3.26.1 Unix安全邮件列表 89
3.26.2 Risks论坛列表 89
3.26.3 VIRUS-L列表 90
3.26.4 Bugtrap列表 90
3.26.5 Computer Underground Digest 90
3.26.6 CERT邮件列表 90
3.26.7 CERT-TOOLS邮件列表 91
3.26.8 TCP/IP邮件列表 91
3.26.9 SUN-NETS邮件列表 91
3.28.1 计算机快速响应小组 92
3.27 新闻组 92
3.28 安全响应小组 92
3.28.2 DDN安全协调中心 93
3.28.3 NIST计算机安全资源和反应情报交换所 93
3.28.4 DOE计算机事故报告能力(CIAC) 94
3.28.5 NASA Ames计算机网络安全响应小组 94
3.29 本章小结 94
第4章 一次性口令身份验证系统 95
4.1 什么是OTP 95
4.2 OTP的历史 97
4.3 实现OTP 98
4.3.1 决定使用OTP的哪个版本 99
4.3.2 S/KEY和OPIE如何工作 99
4.4 Bellcore S/KEY版本1.0 100
4.5 美国海军研究实验室OPIE 100
4.5.1 获取OPIE源代码 100
4.5.2 编译OPIE代码 101
4.5.3 测试编译过的程序 103
4.6 安装OPIE 106
4.7 LogDaemon5.0 111
4.7.2 编译LogDaemon代码 112
4.7.1 获取LogDaemon代码 112
4.7.3 测试编译过的程序 113
4.7.4 安装LogDaemon 115
4.7.5 LogDaemon组件 115
4.8 使用S/KEY和OPIE计算器 116
4.8.1 Unix 116
4.8.2 Macintosh 117
4.8.3 Microsoft Windows 117
4.9 实际操作OTP 118
4.8.4 外部计算器 118
4.10 有关/bin/login的安全注释 119
4.11 使用OTP和X Windows 120
4.12 获取更多的信息 120
4.13 本章小结 121
第5章 过滤路由器简介 122
5.1.1 危险区 122
5.1 详细定义 123
5.1.2 OSI参考模型和过滤路由器 123
5.1.3 OSI层次模型 124
5.1.4 过滤路由器和防火墙与OSI模型的关系 136
5.2 理解包过滤 137
5.2.1 包过滤和网络策略 137
5.2.2 一个简单的包过滤模型 138
5.2.3 包过滤器操作 138
5.2.4 包过滤器设计 140
5.2.5 包过滤器规则和全相关 143
5.3 本章小结 144
6.1.1 定义访问列表 145
第6章 包过滤器 145
6.1.2 使用标准访问列表 146
6.1 实现包过滤器规则 147
6.1.3 使用扩展访问列表 147
6.1.4 过滤发来和发出的终端呼叫 148
6.2 检查包过滤器位置和地址欺骗 149
6.2.1 放置包过滤器 149
6.2.2 过滤输入和输出端口 150
6.3 在包过滤时检查协议特定的问题 152
6.3.1 过滤FIP网络流量 152
6.3.2 过滤TELNET网络流量 169
6.3.3 过滤X-Windows会话 169
6.3.4 包过滤和UDP传输协议 170
6.3.5 包过滤ICMP 172
6.3.6 包过滤RIP 173
6.4 过滤路由器配置的例子 173
6.4.1 学习实例1 173
6.4.2 学习实例2 175
6.4.3 学习实例3 176
6.5 本章小结 178
7.1.1 KarIBridge包过滤器 179
7.1 基于PC的包过滤器 179
第7章 PC包过滤 179
7.1.2 Drawbridge包过滤器 193
7.2 本章小结 207
第8章 防火墙体系结构和理论 208
8.1 检查防火墙部件 208
8.1.1 双宿主主机 209
8.1.2 保垒主机 215
8.1.3 过滤子网 225
8.1.4 应用层网关 227
9.1 TCP Wrapper 231
第9章 防火墙实现 231
9.1.1 例子1 232
9.1.2 例子2 232
9.1.3 例子3 232
9.1.4 例子4 232
9.2 FireWall-1网关 232
9.2.1 FireWall-1的资源要求 233
9.2.2 FireWall-1体系结构概览 233
9.2.3 FireWall-1控制模块 236
9.2.4 网络对象管理器 236
9.2.5 服务管理器 239
9.2.6 规则库管理器 241
9.2.7 日志浏览器 243
9.2.8 FireWall-1应用程序举例 244
9.2.9 FireWall-1的性能 246
9.2.10 FireWall-1规则语言 246
9.2.11 获得FireWall-1的信息 247
9.3 ANS InterLock 247
9.3.1 InterLock的资源要求 249
9.3.2 InterLock概览 249
9.3.3 配置InterLock 250
9.3.5 InterLock代理应用程序网关服务 253
9.3.6 ANS InterLock附加信息源 259
9.4 可信任信息系统Gauntlet 259
9.4.1 使用Gauntlet配置的例子 260
9.4.2 配置Gauntlet 261
9.4.3 用户使用Gauntlet防火墙的概况 263
9.5 TIS防火墙工具箱 266
9.5.1 建立TLS防火墙工具箱 266
9.5.2 配置带最小服务的堡垒主机 268
9.5.3 安装工具箱组件 269
9.5.4 网络许可权限表 272
9.6 本章小结 277
第10章 TLS防火墙工具箱 278
10.1 理解TIS 278
10.2 在哪里能得到TIS工具箱 278
10.3 在SunOS4.1.3和4.1.4下编译 279
10.4 在BSDI下编译 279
10.5 安装工具箱 279
10.6 准备配置 281
10.7 配置TCP/IP 284
10.8 netperm表 285
10.9 配置netacl 286
10.9.1 使用netacl连接 287
10.9.2 重启动inetd 288
10.10 配置Telnet代理 289
10.10.1 通过Telnet代理连接 289
10.10.2 主机访问规则 291
10.10.3 验证Telnet代理 292
10.11 配置rlogin网关 293
10.11.1 通过rlogin代理的连接 294
10.11.3 验证rlogin代理 295
10.12 配置FTP网关 295
10.11.2 主机访问规则 295
10.12.1 主机访问规则 296
10.12.2 验证FTP代理 297
10.12.3 通过FTP代理连接 298
10.12.4 允许使用netacl的FTP 298
10.13 配置发送邮件代理smap和smapd 299
10.13.1 安装smap客户机 299
10.13.2 配置smap客户机 300
10.13.3 安装smapd应用程序 301
10.13.4 配置smapd应用程序 301
10.13.5 为smap配置DNS 302
10.14 配置HTTP代理 303
10.14.1 非代理所知HTTP客户机 304
10.14.2 使用代理所知HTTP客户机 304
10.14.3 主机访问规则 305
10.15 配置X Windows代理 306
10.16 理解身份验证服务器 307
10.16.1 身份验证数据库 308
10.16.2 增加用户 309
10.16.3 身份验证外壳authmgr 312
10.16.4 数据库管理 312
10.16.5 正在工作的身份验证 314
10.17 为其它服务使用plug-gw 315
10.17.1 配置plug-gw 315
10.17.2 plug-gw和NNTP 316
10.17.3 plug-gw和POP 318
10.18.1 portscan 320
10.18.2 netscan 320
10.18 伴随的管理工具 320
10.18.3 报告工具 321
10.18.4 身份验证服务器报告 323
10.18.5 服务拒绝报告 324
10.18.6 FTP使用报告 325
10.18.7 HTTP使用报告 326
10.18.8 netacl报告 326
10.18.9 邮件使用报告 327
10.18. 10 Telnet和rlogin使用报告 328
10.19 到哪里寻找帮助 329
第11章 Black Hole 330
11.1 理解Black Hole 330
11.1.1 系统要求 331
11.1.2 Black Hole核心模块 333
11.1.3 Black Hole扩展模块 334
11.2 使用Black Hole进行网络设计 335
11.3 使用Black Hole接口 336
11.4 理解策略数据库 338
11.5.1 规则 342
11.5.2 用户和用户维护 342
11.5 服务、用户和规则 342
11.6 配置Black Hole 346
11.6.1 配置内部和外部DNS 347
11.6.2 配置应用程序服务 349
11.7 生成报告 354
11.8 更多的信息 357
11.9 本章小结 358
附录A 工作表列表 359
附录B 信息源 360
附录C 销售商列表 364
附录D OPIE和Log Daemon手册 366
9.3.4 InterLock ACRB 522