Linux防火墙（原书第3版）

第一部分  数据包过滤及基本安全措施
第1章  防火墙的基本概念        1
1.1　OSI网络参考模型        2
1.1.1　面向无连接协议和面向连接协议        3
1.1.2　下一步        4
1.2　IP协议        4
1.2.1　IP地址分类和子网划分        4
1.2.2　IP分段        6
1.2.3　广播和多播        7
1.2.4　ICMP协议        7
1.3　传输机制        9
1.3.1　UDP        9
1.3.2　TCP        9
1.4　不要忘记ARP协议        11
1.5　主机名称和IP地址        11
1.6　路由：数据包的传送        12
1.7　服务端口：通向系统程序的大门        12
1.8　小结        16 第2章　数据包过滤的概念        17
2.1　一个数据包过滤防火墙        18
2.2　选择一个默认的数据包过滤策略        20
2.3　拒绝与禁止一个数据包        21
2.4　过滤入站数据包        22
2.4.1　对远程源地址进行过滤        22
2.4.2　对本地目的地址进行过滤        24
2.4.3　对远程源端口进行过滤        25
2.4.4　对本地目的端口进行过滤        25
2.4.5　对入站数据包的TCP连接状态 进行过滤        25
2.4.6　刺探和扫描        25
2.4.7　拒绝服务攻击        29
2.4.8　源路由数据包        35
2.5　过滤出站数据包        35
2.5.1　对本地源地址进行过滤        35
2.5.2　对远程目的地址进行过滤        36
2.5.3　对本地源端口进行过滤        36
2.5.4　对远程目的端口进行过滤        37
2.5.5　对出站数据包的TCP连接状态 进行过滤        37
2.6　专用网络和公共网络服务        37
2.6.1　保护不安全的本地服务        38
2.6.2　选择服务进行运行        38
2.7　小结        38
第3章　iptables：Linux防火墙管理程序        39
3.1　IP防火墙（IPFW）和网络过滤器 防火墙机制的区别        39
3.1.1　IPFW数据包传输        40
3.1.2　Netfilter数据包传输        41
3.2　iptables的基本语法        41
3.3　iptables的特点        42
3.3.1　NAT表的特点        44
3.3.2　mangle表的特点        45
3.4　iptables的语法规则        46
3.4.1　filter表命令        47
3.4.2　filter表目标扩展        50
3.4.3　filter表匹配扩展        51
3.4.4　NAT表目标扩展        60
3.4.5　mangle表命令        62
3.5　小结        63
第4章　构建和安装一个独立的防火墙        64
4.1　iptables：Linux防火墙管理程序        64
4.1.1　定制或购买：Linux内核        66
4.1.2　源及目的寻址的选项        66
4.2　防火墙的初始化        67
4.2.1　防火墙示例中使用的符号常量        68
4.2.2　启动内核对监控的支持        68
4.2.3　删除预先存在的规则        70
4.2.4　重置默认策略及停止防火墙        70
4.2.5　启动回环接口        71
4.2.6　定义默认策略        71
4.2.7　秘密扫描及TCP状态标记        72
4.2.8　利用连接状态绕过规则检测        72
4.2.9　源地址欺骗及其他不合法地址        73
4.3　保护被分配在非特权端口上运行的服务        77
4.3.1　被分配在非特权端口上运行的常用本地TCP服务        78
4.3.2　被分配在非特权端口上运行的 常用本地UDP服务        79
4.4　启动基本但必要的Internet服务        81
4.4.1　允许DNS（UDP/TCP端口53）        81
4.4.2　过滤AUTH用户身份认证服务 （TCP端口113）        85
4.5　启动常用TCP服务        86
4.5.1　E-mail（TCP SMTP端口25、 POP端口110、IMAP端口143）        86
4.5.2　Usenet新闻访问服务（TCP NNTP端口119）        94
4.5.3　Telnet（TCP端口23）        95
4.5.4　SSH（TCP端口22）        97
4.5.5　FTP（TCP端口21和20）        98
4.5.6　Web服务        102
4.5.7　Whois（TCP端口43）        105
4.5.8　RealAudio、RealVideo及QuickTime（TCP端口554和7070）        105
4.6　启动常用的UDP服务        107
4.6.1　traceroute（UDP端口33434）        107
4.6.2　访问提供服务的ISP的DHCP 服务器（UDP端口67和68）        108
4.6.3　访问远程网络时间服务器 （UDP端口123）        110
4.7　过滤ICMP控制和状态信息        111
4.7.1　错误状态和控制信息        111
4.7.2　ping反射请求（类型8）和反射 应答（类型0）控制信息        113
4.8　记录被丢弃的入站数据包        114
4.9　记录被丢弃的出站数据包        116
4.10　预先设定禁止访问有问题的网站        116
4.11　安装防火墙        116
4.12　小结        119
第二部分　高级议题、多个防火墙和网络防护带
第5章　防火墙的优化        121
5.1　规则的组织        121
5.1.1　从阻止高位端口流量的规则开始        121
5.1.2　使用state模块实现ESTABLISHED 和RELATED的匹配        121
5.1.3　考虑传输层协议        122
5.1.4　尽早为最常使用的服务设置防火墙规则        123
5.1.5　使用多端口模块设定端口列表        123
5.1.6　利用网络数据流来决定如何对多个网络接口设置规则        123
5.2　用户自定义规则链        124
5.3　防火墙的优化示例        126
5.3.1　脚本中的用户自定义规则链        126
5.3.2　防火墙初始化        127
5.3.3　安装规则链        129
5.3.4　构建用户自定义的EXT-input和 EXT-output规则链        131
5.3.5　tcp-state-flags        139
5.3.6　connection-tracking        140
5.3.7　local_dhcp_client_query和 remote_dhcp_server_response        140
5.3.8　source-address-check        141
5.3.9　destination-address-check        142
5.3.10　记录被丢弃的数据包        142
5.4　优化带来的结果        144
5.5　小结        145
第6章　数据包的转发        146
6.1　独立防火墙的局限性        146
6.2　基本的网关防火墙设置        147
6.3　局域网安全相关问题        148
6.4　可信家庭局域网的配置选项        149
6.4.1　对网关防火墙的局域网访问        150
6.4.2　对其他局域网的访问：在多个 局域网间转发本地网络流        151
6.5　更高或更低可信度局域网的配置选项        152
6.5.1　划分地址空间来创建多个网络        153
6.5.2　通过主机、地址或端口范围限制 内部访问        154
6.6　屏蔽子网防火墙样板        159
6.6.1　防火墙实例中的符号常量        159
6.6.2　在隔断防火墙上设置环境        161
6.6.3　清空隔断防火墙原有的安全规则        161
6.6.4　定义隔断防火墙的默认策略        162
6.6.5　启用隔断防火墙的回环接口        162
6.6.6　秘密扫描和TCP状态标志        163
6.6.7　使用连接状态来绕过规则检查        163
6.6.8　源地址欺骗和其他的恶意地址        164
6.6.9　过滤ICMP控制和状态消息        165
6.6.10　启用DNS（UDP/TCP端口53）        166
6.6.11　过滤AUTH用户身份认证服务 （TCP端口113）        170
6.6.12　E-mail（TCP SMTP端口25、POP3 端口110、IMAP端口143）        170
6.6.13　Usenet新闻访问服务（TCP NNTP 端口119）        172
6.6.14　Telnet（TCP端口23）        172
6.6.15　SSH（TCP端口22）        173
6.6.16　FTP（TCP端口21和20）        174
6.6.17　Web服务        176
6.6.18　隔断防火墙主机作为本地DHCP 服务器（UDP端口67和68）        178
6.6.19　日志记录        179
6.7　将网关从本地服务转变为转发服务        179
6.8　小结        179
第7章　NAT—网络地址转换        181
7.1　NAT概念的背景        181
7.2　iptables NAT语义        184
7.2.1　源地址NAT        185
7.2.2　目的地址NAT        186
7.3　SNAT和专用局域网的例子        188
7.3.1　伪装去往Internet的局域网数据流        188
7.3.2　对到Internet的局域网数据流 应用标准的NAT        189
7.4　DNAT、局域网和代理的例子        189
7.4.1　主机转发        190
7.4.2　主机转发和端口重定向        190
7.4.3　主机转发到服务器群        191
7.4.4　主机转发到使用专用地址的DMZ中的服务器        192
7.4.5　本地端口重定向—透明代理        193
7.5　小结        194
第8章　防火墙规则的检错        195
8.1　常用防火墙开发技巧        195
8.2　罗列防火墙规则        197
8.2.1　filter表的列表格式        197
8.2.2　nat表的列表格式        202
8.2.3　mangle表的列表格式        203
8.3　检查输入、输出和转发规则        205
8.3.1　检查输入规则        205
8.3.2　检查输出规则        206
8.3.3　检查转发规则        207
8.4　解释系统日志        209
8.4.1　syslog配置        209
8.4.2　防火墙日志信息：如何理解它们        211
8.5　检查开启的端口        214
8.5.1　netstat -a [-n -p -A inet]        214
8.5.2　使用fuser检查一个绑定在特定端口 的进程        216
8.6　小结        218
第三部分　超越iptables
第9章　入侵检测和响应        219
9.1　入侵检测        219
9.2　系统可能遭受入侵的症状        220
9.2.1　体现在系统日志中的迹象        220
9.2.2　体现在系统配置中的迹象        221
9.2.3　体现在文件系统中的迹象        221
9.2.4　体现在用户账号中的迹象        222
9.2.5　体现在安全审计工具中的迹象        222
9.2.6　体现在系统性能方面的迹象        222
9.3　系统受损后应采取的措施        223
9.4　事件报告        224
9.4.1　为什么要报告事件        224
9.4.2　报告哪些类型的事件        225
9.4.3　向谁报告事件        226
9.4.4　报告时应提供哪些信息        227
9.4.5　去哪儿获取更多的信息        228
9.5　小结        228
第10章　入侵检测工具        229
10.1　入侵检测工具包：网络工具        229
10.1.1　交换机和集线器以及为什么重要        230
10.1.2　嗅探器（sniffer）的布署        231
10.1.3　ARPWatch        231
10.2　Rootkit检测器        231
10.2.1　运行Chkrootkit        231
10.2.2　当Chkrootkit报告计算机已被 感染时如何处理        233
10.2.3　Chkrootkit及同类工具的局限性        233
10.2.4　安全地使用Chkrootkit        234
10.2.5　什么时候需要运行Chkrootkit        235
10.3　文件系统的完整性        235
10.4　日志监控        235
10.5　如何防止入侵        237
10.5.1　勤安防        237
10.5.2　勤更新        238
10.5.3　勤测试        238
10.6　小结        240
第11章　网络监控和攻击检测        241
11.1　监听以太网        241
11.2　TCPDump：简单介绍        243
11.2.1　获取和安装TCPDump        243
11.2.2　TCPDump选项        244
11.2.3　TCPDump表达式        246
11.2.4　TCPDump高级功能        248
11.3　使用TCPDump捕捉特定的协议        248
11.3.1　在现实中使用TCPDump        249
11.3.2　通过TCPDump来检测攻击        255
11.3.3　使用TCPDump记录流量        259
11.4　使用snort自动检测入侵        261
11.4.1　获取和安装Snort        261
11.4.2　配置Snort        263
11.4.3　测试Snort        264
11.4.4　接受警报        265
11.4.5　关于Snort的最后思考        265
11.5　使用ARPWatch进行监视        265
11.6　小结        267
第12章　文件系统的完整性        268
12.1　定义文件系统完整性        268
12.2　安装AIDE        269
12.3　配置AIDE        269
12.3.1　创建AIDE配置文件        270
12.3.2　一个简单的AIDE配置文件示例        271
12.3.3　初始化AIDE数据库        272
12.3.4　AIDE调度及自动运行        272
12.4　监视AIDE        273
12.5　清除AIDE数据库        274
12.6　改变AIDE报告的输出信息        275
12.7　在AIDE中定义宏        277
12.8　AIDE的监测类型        278
12.9　小结        280
第13章　内核的强化        281
13.1　经过安全强化的Linux        281
13.2　使用GrSecurity增强安全性        282
13.3　内核快速浏览        282
13.3.1　怎么称呼        283
13.3.2　你的号码是什么        283
13.3.3　内核：从20 000英尺的高度 往下看        283
13.4　要不要打补丁        284
13.5　使用GrSecurity内核        285
13.5.1　下载Grsec以及一个全新的内核        285
13.5.2　编译第一个内核        285
13.5.3　改进内核的构造        292
13.6　GrSecurity        293
13.6.1　使用Grsec的补丁        293
13.6.2　选择Grsec中的功能        293
13.6.3　构造Grsec内核        295
13.6.4　超越GrSecurity的基本功能        296
13.7　结论：专用内核        297
附      录
附录A　安全资源        299
附录B　防火墙示例与支持脚本        301
附录C　虚拟专用网        341
附录D　术语表        348