防火墙与网络安全：入侵检测和VPNs

目 录
第1章 防火墙规划与设计 1
1.1 关于防火墙的误解 1
1.2 什么是安全策略 2
1.3 什么是防火墙 3
1.3.1 类比：安全警卫Sam 3
1.3.2 防火墙提供安全性 4
1.3.3 防火墙为个人用户提供保护 4
1.3.4 防火墙为网络边界提供安全 4
1.3.5 防火墙由多个组件组成 6
1.3.6 防火墙面临诸多威胁并且执行各种安全防护任务 6
1.4 防火墙保护的类型 11
1.4.1 多层防火墙保护 11
1.4.2 包过滤器 11
1.4.3 NAT 14
1.4.4 应用层网关 15
1.5 防火墙的局限 16
1.6 评估防火墙设备 16
1.6.1 防火墙硬件 17
1.6.2 纯软件的防火墙组件 17
1.7 本章小结 19
1.8 关键术语 20
1.9 复习题 22
1.10 实用项目 24
1.11 案例项目 27
第2章 开发安全策略 28
2.1 什么是安全策略 28
2.2 安全策略的重要性 29
2.3 确定有效的安全策略所需达到的目标 30
2.4 构建安全策略的7个步骤 30
2.4.1 组建一个工作团队 30
2.4.2 制定公司的整体安全策略 31
2.4.3 确定被保护的资产 32
2.4.4 决定安全策略审核的内容 33
2.4.5 确定安全风险 35
2.4.6 定义可接受的使用策略 35
2.4.7 提供远程访问 35
2.5 考虑防火墙的不足 36
2.6 其他的安全策略主题 37
2.7 定义针对违反安全规则的响应 37
2.8 克服管理的障碍 38
2.8.1 雇员的培训 38
2.8.2 呈交并回顾制定过程 39
2.8.3 改进安全策略 39
2.9 本章小结 39
2.10 关键术语 40
2.11 复习题 40
2.12 实用项目 42
2.13 案例项目 45
第3章 防火墙配置策略 47
3.1 对防火墙建立规则和约束 47
3.1.1 规则的作用 48
3.1.2 限制性的防火墙 48
3.1.3 侧重连通性的防火墙 49
3.2 防火墙配置策略：总的观点 49
3.2.1 可伸缩性 50
3.2.2 生产效率 50
3.2.3 处理IP地址问题 51
3.3 不同的防火墙配置策略 51
3.3.1 屏蔽路由器 52
3.3.2 双宿主主机 54
3.3.3 屏蔽式主机 54
3.3.4 两个路由器共用一个防火墙 55
3.3.5 DMZ屏蔽子网 56
3.3.6 多重防火墙DMZ 58
3.3.7 反向防火墙 63
3.3.8 专用防火墙 63
3.4 为防火墙添加新功能的方法 63
3.4.1 NAT 63
3.4.2 加密 64
3.4.3 应用程序代理 65
3.4.4 VPN 66
3.4.5 入侵检测系统(IDS) 66
3.5 本章小结 68
3.6 关键术语 69
3.7 复习题 70
3.8 实用项目 72
3.9 案例项目 75
第4章 数据包过滤 77
4.1 理解数据包和数据包过滤 77
4.1.1 执行数据包过滤的装置 78
4.1.2 数据包的剖析 78
4.1.3 关于数据包过滤的快速指南 80
4.1.4 规则的使用 80
4.2 数据包过滤的方法 82
4.2.1 无状态数据包过滤 82
4.2.2 有状态数据包过滤 87
4.2.3 根据数据包内容过滤 89
4.3 设立专用的数据包过滤器规则 89
4.3.1 适应多种变化的数据包过滤器规则 89
4.3.2 适用于ICMP的数据包过滤器规则 90
4.3.3 阻断ping包的数据包过滤器规则 90
4.3.4 启用Web访问的数据包过滤器规则 91
4.3.5 启用DNS的数据包过滤器规则 92
4.3.6 启用FTP的数据包过滤器规则 92
4.3.7 使用电子邮件的数据包过滤器规则 93
4.4 本章小结 93
4.5 关键术语 94
4.6 复习题 95
4.7 实用项目 97
4.8 案例项目 100
第5章 代理服务器和应用级防火墙 102
5.1 代理服务器概述 102
5.1.1 “代理服务器”的比喻说明 102
5.1.2 代理服务器是如何工作的 103
5.1.3 代理服务器和数据包过滤器的不同 104
5.1.4 代理服务器配置示例 104
5.2 代理服务器的目标 106
5.2.1 隐藏内部客户机的身份 106
5.2.2 阻断URL 107
5.2.3 阻断和过滤内容 107
5.2.4 电子邮件的代理保护 108
5.2.5 提高性能 109
5.2.6 保障安全 109
5.2.7 提供用户身份验证 110
5.2.8 重定向URL 110
5.3 代理服务器配置的注意事项 110
5.3.1 提供可伸缩性 110
5.3.2 客户端配置 111
5.3.3 服务配置 112
5.3.4 创建过滤规则 113
5.3.5 确认单个故障点 113
5.3.6 确认缓冲区溢出弱点 113
5.4 选择代理服务器 113
5.4.1 透明代理 114
5.4.2 非透明代理 114
5.4.3 基于SOCKS的代理 114
5.5 基于代理服务器的防火墙的比较 115
5.5.1 开放源代码的T.REX防火墙 116
5.5.2 Squid 116
5.5.3 WinGate 116
5.5.4 Symantec企业防火墙 117
5.5.5 ISA 117
5.6 反向代理 117
5.7 代理服务器何时不适用 119
5.8 本章小结 119
5.9 关键术语 120
5.10 复习题 121
5.11 实用项目 123
5.12 案例项目 128
第6章 用户身份验证 130
6.1 常规身份验证过程 130
6.2 防火墙实现身份验证过程的方式 131
6.3 防火墙身份验证的类型 132
6.3.1 用户身份验证 132
6.3.2 客户端身份验证 133
6.3.3 会话身份验证 134
6.4 集中式身份验证 135
6.4.1 Kerberos身份验证 135
6.4.2 TACACS+ 137
6.4.3 远程身份验证拨号用户服务(RADIUS) 137
6.4.4 TACACS+和RADIUS的比较 137
6.5 口令安全性问题 139
6.5.1 可能被破解的口令 139
6.5.2 用户使用口令的误区 139
6.5.3 马虎的安全习惯 139
6.6 口令安全工具 140
6.6.1 一次性口令软件 140
6.6.2 屏蔽口令系统 140
6.7 其他的身份验证系统 140
6.7.1 单口令系统 141
6.7.2 一次性口令系统 141
6.7.3 基于证书的身份验证 142
6.7.4 802.1x Wi-Fi身份验证 142
6.8 本章小结 143
6.9 关键术语 143
6.10 复习题 145
6.11 实用项目 146
6.12 案例项目 152
第7章 加密和防火墙 153
7.1 为何防火墙需要使用加密技术 153
7.1.1 黑客们对未加密防火墙的利用 154
7.1.2 加密的代价 154
7.1.3 保证数据完整性 155
7.1.4 维持机密性 155
7.1.5 对网络客户端进行身份验证 155
7.1.6 启用VPN 156
7.2 数字证书、公钥和私钥 156
7.2.1 数字证书 156
7.2.2 密钥 158
7.3 分析流行的加密方案 162
7.3.1 对称加密和非对称加密 163
7.3.2 PGP 164
7.3.3 X.509 165
7.3.4 X.509和PGP的比较 165
7.3.5 SSL 166
7.4 使用IPSec加密 167
7.4.1 理解IPSec 167
7.4.2 IPSec的模式 167
7.4.3 IPSec协议 168
7.4.4 IPSec组件 169
7.4.5 启用IPSec 170
7.4.6 IPSec的局限 171
7.5 本章小结 171
7.6 关键术语 172
7.7 复习题 174
7.8 实用项目 175
7.9 案例项目 181
第8章 选择堡垒主机 183
8.1 安装堡垒主机：常规需求 183
8.2 选择主机计算机 184
8.2.1 是否需要多台主机 184
8.2.2 内存考虑 185
8.2.3 处理器速度 185
8.2.4 选择操作系统 186
8.3 放置堡垒主机 187
8.3.1 物理位置 187
8.3.2 网络位置 188
8.3.3 保证主机本身的安全性 189
8.4 配置堡垒主机 191
8.4.1 让主机自行防卫 191
8.4.2 选择要提供的服务 192
8.4.3 有关UNIX系统的考虑事项 192
8.4.4 有关Windows系统的考虑事项 193
8.4.5 禁用账户 193
8.4.6 禁用不需要的服务 194
8.4.7 限制端口 195
8.5 进行备份 196
8.6 对堡垒主机进行审核 196
8.7 连接堡垒主机 196
8.8 本章小结 197
8.9 关键术语 198
8.10 复习题 199
8.11 实用项目 200
8.12 案例项目 207
第9章 创建虚拟专用网 208
9.1 VPN的组件和操作 208
9.1.1 VPN内部组件 209
9.1.2 VPN的核心活动 211
9.1.3 VPN的优点和缺点 213
9.1.4 VPN扩展了网络边界 213
9.2 VPN的类型 214
9.2.1 VPN器件 214
9.2.2 软件VPN系统 215
9.2.3 组合了硬件和软件的VPN 216
9.2.4 结合使用不同供应商产品的VPN 217
9.3 VPN设置 217
9.3.1 mesh配置 217
9.3.2 hub-and-spoke配置 218
9.3.3 混合配置 219
9.3.4 配置和企业内外网的访问 219
9.4 VPN使用的隧道协议 220
9.4.1 IPSec/IKE 220
9.4.2 PPTP 221
9.4.3 L2TP 221
9.4.4 工作在SSL/PPP和SSH上的PPP 221
9.5 在VPN内启用远程接入连接 222
9.5.1 配置服务器 222
9.5.2 配置客户端 224
9.6 使用VPN的良好习惯 224
9.6.1 采用VPN策略的必要性 224
9.6.2 VPN和包过滤 224
9.6.3 PPTP过滤器 226
9.6.4 L2TP和IPSec包过滤规则 226
9.6.5 对VPN进行审核和测试 227
9.7 本章小结 228
9.8 关键术语 229
9.9 复习题 230
9.10 实用项目 232
9.11 案例项目 238
第10章 建立自己的防火墙 240
10.1 企业防火墙和桌面防火墙 240
10.2 桌面防火墙 242
10.2.1 Tiny Personal Firewall 242
10.2.2 Sygate Firewalls 246
10.2.3 ZoneAlarm防火墙 249
10.3 企业防火墙 253
10.3.1 Linksys 253
10.3.2 Microsoft的Internet Security and Acceleration Server 2000 254
10.4 本章小结 256
10.5 关键术语 257
10.6 复习题 258
10.7 实用项目 260
10.8 案例项目 267
第11章 防火墙管理 269
11.1 使防火墙满足新的需求 269
11.1.1 确定防火墙需要的资源 270
11.1.2 识别新的危险 271
11.1.3 增加软件升级和补丁 271
11.1.4 添加硬件 273
11.1.5 处理网络的复杂性 273
11.2 遵守一些已证明行之有效的安全规则 274
11.2.1 环境管理 274
11.2.2 BOIS、启动和屏保锁 275
11.3 使用远程管理接口 276
11.3.1 为什么远程管理工具很重要 276
11.3.2 远程管理工具的安全性事项 276
11.3.3 远程管理工具的基本特征 277
11.4 追踪日志文件的内容 277
11.4.1 准备使用报告 277
11.4.2 监视可疑事件 278
11.4.3 自动化安全检查 280
11.5 安全漏洞总是会发生 281
11.5.1 使用入侵检测系统(IDS) 281
11.5.2 接受安全报警 282
11.5.3 发生入侵时 282
11.5.4 入侵发生过程中和之后的应对 283
11.6 配置高级防火墙功能 283
11.6.1 数据缓存 283
11.6.2 热备用冗余系统 284
11.6.3 负载平衡 285
11.6.4 过滤内容 286
11.7 本章小结 287
11.8 关键术语 288
11.9 复习题 289
11.10 实用项目 291
11.11 案例项目 294
附录A 安全资源 296
A.1 与安全性相关的网站 296
A.2 反病毒站点 297
A.3 免费在线安全性扫描网站 297
A.4 事故响应站点 298
A.5 安全证书站点 298
A.6 安全专题的背景信息 299
A.7 时事通讯、新闻组和邮件列表 299
术语表 301