本书站在一个比较高的层次上,以纵深防御思想为主线,全面而系统地介绍了网络边界安全的方方面面。全书包括四个部分和三个附录。这四个部分依次从基础性的介绍逐步转向综合性的介绍,按照适合读者思路的方式进行组织编排。第一部分“网络边界基础”介绍了一些与边界有关的基本知识和核心概念。第二部分“边界的延伸”集中介绍了组成网络安全边界的附加部件。第三部分“边界设计”阐述了如何进行良好的设计。第四部分“边界安全评估方法”讲述了如何评估与检查已设计好的网络边界。附录中包含了Cisco访问列表配置示例,讨论了密码术的基础知识,并对网络空隙机制进行了概述。\r\n 这是一本有关网络安全的中高级技术性指南,适合于已充分了解TCP/IP和相关技术的安全专业人员、系统管理员及网络管理员阅读。
译者序\r\n前言\r\n\r\n第一部分 网络边界基础\r\n\r\n第1章 边界安全基础 \r\n\r\n1.1 行业术语 \r\n1.1.1 边界 \r\n1.1.2 边界路由器 \r\n1.1.3 防火墙 \r\n1.1.4 IDS \r\n1.1.5 VPN \r\n1.1.6 软件结构 \r\n1.1.7 DMZ和被屏蔽的子网 \r\n1.2 纵深防御 \r\n1.2.1 纵深防御中的部件 \r\n1.2.2 边界 \r\n1.2.3 内部网络 \r\n1.2.4 人为因素 \r\n1.3 实例分析:纵深防御的运转 \r\n1.4 小结 \r\n\r\n第2章 报文过滤 \r\n\r\n2.1 TCP/IP预备知识:报文过滤的工作原理 \r\n2.1.1 TCP端口和UDP端口 \r\n2.1.2 TCP的三次握手过程\r\n2.2 使用Cisco路由器做为报文过滤器 \r\n2.2.1 Cisco ACL \r\n2.2.2 过滤规则的顺序 \r\n2.2.3 Cisco IOS的基本知识 \r\n2.3 有效使用报文过滤设备 \r\n2.3.1 基于源地址的过滤:Cisco标准ACL \r\n2.3.2 基于端口和目的地址的过滤:Cisco扩展ACL \r\n2.4 报文过滤器存在的问题 \r\n2.4.1 欺骗与源路由 \r\n2.4.2 报文分片 \r\n2.4.3 静态报文过滤器中的“漏洞”\r\n2.4.4 双向通信与established关键字 \r\n2.4.5 FTP协议 \r\n2.5 动态报文过滤与自反访问表 \r\n2.5.1 使用自反ACL解决FTP问题 \r\n2.5.2 使用自反ACL解决DNS问题 \r\n2.5.3 自反访问表存在的问题 \r\n2.6 小结 \r\n2.7 参考资料 \r\n\r\n第3章 有状态防火墙 \r\n\r\n3.1 有状态防火墙的工作原理 \r\n3.2 状态的概念 \r\n3.2.1 传输协议与网络协议和状态 \r\n3.2.2 应用级通信和状态 \r\n3.3 有状态过滤和有状态检查 \r\n3.4 小结 \r\n3.5 参考资料 \r\n\r\n第4章 代理防火墙 \r\n\r\n4.1 基础知识 \r\n4.2 代理的类型\r\n4.2.1 反向代理\r\n4.2.2 应用级代理\r\n4.2.3 电路级代理\r\n4.3 代理或应用网关防火墙\r\n4.3.1 代理防火墙的优点\r\n4.3.2 代理防火墙的缺陷\r\n4.3.3 没有代理的情况\r\n4.4 代理的协议问题\r\n4.4.1 IPSec\r\n4.4.2 SSL\r\n4.5 常见的代理软件\r\n4.5.1 SOCKS\r\n4.5.2 Gauntlet\r\n4.5.3 PORTUS\r\n4.6 小结\r\n4.7 参考资料\r\n\r\n第5章 安全策略\r\n\r\n5.1 防火墙策略\r\n5.1.1 积极的策略实施\r\n5.1.2 不可实施的策略\r\n5.2 策略的开发步骤\r\n5.2.1 识别风险\r\n5.2.2 报告发现的问题\r\n5.2.3 按需创建或更新安全策略\r\n5.2.4 判断策略的一致性\r\n5.2.5 探寻公司的规则和文化\r\n5.2.6 策略的要素\r\n5.2.7 好策略的特点\r\n5.3 边界策略\r\n5.3.1 现实世界的操作和策略\r\n5.3.2 通信路径的规则\r\n5.4 小结\r\n5.5 参考资料\r\n\r\n第二部分 边界的延伸\r\n\r\n第6章 路由器的作用\r\n\r\n6.1 路由器作为边界设备\r\n6.1.1 路由 \r\n6.1.2 安全的动态路由 \r\n6.2 路由器作为安全设备\r\n6.2.1 路由器作为纵深防御的一部分\r\n6.2.2 路由器作为惟一的边界安全设备 \r\n6.3 路由器加固\r\n6.3.1 操作系统\r\n6.3.2 锁住管理点 \r\n6.3.3 禁止不必要的服务 \r\n6.3.4 因特网控制消息协议的阻断 \r\n6.3.5 欺骗和源路由\r\n6.3.6 路由器日志基本原理\r\n6.4 小结 \r\n6.5 参考资料 \r\n\r\n第7章 网络入侵检测\r\n\r\n7.1 网络入侵检测基本原理\r\n7.1.1 入侵检测的必要性\r\n7.1.2 网络IDS特征码 \r\n7.1.3 假阳性和假阴性\r\n7.1.4 警报、日志和报告\r\n7.1.5 入侵检测软件\r\n7.1.6 IDS \r\n7.2 边界防御体系中网络IDS的作用\r\n7.2.1 发现薄弱点\r\n7.2.2 检测由你的主机发出的攻击\r\n7.2.3 事故处理和调查\r\n7.2.4 弥补其他防御部件的不足\r\n7.3 IDS感测器的放置\r\n7.3.1 安装多个网络感测器\r\n7.3.2 在过滤设备附近放置感测器\r\n7.3.3 在内部网络中放置IDS感测器\r\n7.3.4 使用加密\r\n7.3.5 在大流量环境中的处理\r\n7.3.6 配置交换机\r\n7.3.7 使用IDS管理网络\r\n7.3.8 维护感测器安全性\r\n7.3.9 使用防火墙/IDS混合设备\r\n7.4 实例分析\r\n7.4.1 实例分析1:简单的网络结构\r\n7.4.2 IDS部署建议\r\n7.4.3 实例分析2:多个外部接入点\r\n7.4.4 IDS部署建议\r\n7.4.5 实例分析3:无限制网络\r\n7.4.6 IDS部署建议\r\n7.5 小结\r\n\r\n第8章 虚拟专用网\r\n\r\n8.1 VPN基础知识\r\n8.2 VPN的优缺点\r\n8.2.1 VPN的优点\r\n8.2.2 VPN的缺陷 \r\n8.3 IPSec基础知识 \r\n8.3.1 IPSec协议包 \r\n8.3.2 IKE \r\n8.3.3 IPSec安全协议AH和ESP \r\n8.3.4 IPSec配置实例 \r\n8.4 其他VPN协议:PPTP和L2TP\r\n8.4.1 PPTP\r\n8.4.2 L2TP\r\n8.4.3 PPTP、L2TP以及IPSec的比较\r\n8.4.4 PPTP和L2TP实例 \r\n8.5 小结 \r\n8.6 参考资料 \r\n\r\n第9章 主机加固\r\n\r\n9.1 安全加固级别\r\n9.2 级别1:防止本地攻击的安全加固\r\n9.2.1 管理工具的使用限制\r\n9.2.2 进行正确的文件访问控制 \r\n9.2.3 管理用户 \r\n9.2.4 有效地管理用户\r\n9.2.5 记录与安全相关的信息\r\n9.2.6 Windows日志\r\n9.2.7 UNIX日志\r\n9.3 级别2:抵御网络攻击的安全加固\r\n9.3.1 删除不必要的账号\r\n9.3.2 使用健壮的口令\r\n9.3.3 停止未用的网络服务\r\n9.3.4 改变缺省的SNMP字符串\r\n9.3.5 禁用资源共享服务(Windows)\r\n9.3.6 禁用远程访问服务(UNIX)\r\n9.4 级别3:抵御应用程序攻击的安全加固\r\n9.4.1 定义访问方法\r\n9.4.2 应用程序的口令\r\n9.4.3 操作系统和应用程序的补丁\r\n9.5 其他加固方针\r\n9.5.1 常见的安全弱点\r\n9.5.2 安全加固核查清单\r\n9.6 小结\r\n\r\n第10章 主机防御部件\r\n\r\n10.1 主机和边界\r\n10.1.1 工作站考虑事项 \r\n10.1.2 服务器考虑事项 \r\n10.2 反病毒软件 \r\n10.2.1 反病毒软件的优点 \r\n10.2.2 反病毒软件的局限性 \r\n10.3 以主机为中心的防火墙\r\n10.3.1 工作站上的防火墙\r\n10.3.2 服务器上的防火墙\r\n10.4 基于主机的入侵检测\r\n10.4.1 基于主机的IDS的作用 \r\n10.4.2 基于主机的IDS种类 \r\n10.5 主机防御部件的难点\r\n10.5.1 受到损害的主机上的防御部件\r\n10.5.2 控制分布式主机防御部件\r\n10.6 小结\r\n10.7 参考资料\r\n\r\n第三部分 边界设计\r\n\r\n第11章 设计基础\r\n\r\n11.1 收集设计需求信息\r\n11.1.1 确定哪些资源需要保护 \r\n11.1.2 确定谁是潜在的攻击者 \r\n11.1.3 定义业务需求 \r\n11.2 设计要素 \r\n11.2.1 防火墙和路由器 \r\n11.2.2 防火墙与虚拟专用网 \r\n11.2.3 多重防火墙 \r\n11.3 小结\r\n11.4 参考资料\r\n\r\n第12章 资源隔离\r\n\r\n12.1 安全区域\r\n12.1.1 同一个子网\r\n12.1.2 多个子网\r\n12.2 常见的设计要素\r\n12.2.1 邮件中继\r\n12.2.2 分割DNS \r\n12.2.3 无线网络\r\n12.3 基于VLAN的分隔 \r\n12.3.1 VLAN边界\r\n12.3.2 跳过VLAN\r\n12.3.3 专用VLAN \r\n12.4 小结 \r\n12.5 参考资料 \r\n\r\n第13章 软件结构\r\n\r\n13.1 软件结构和网络防御\r\n13.1.1 软件结构的重要性\r\n13.1.2 评估应用程序安全的必要性\r\n13.2 软件结构对网络防御的影响\r\n13.2.1 防火墙和报文过滤设备的改动 \r\n13.2.2 与网络配置的冲突 \r\n13.2.3 加密连接 \r\n13.2.4 性能和可靠性\r\n13.2.5 特殊的操作系统\r\n13.3 软件部件的部署\r\n13.3.1 单一系统上的应用程序\r\n13.3.2 多级应用程序\r\n13.3.3 管理员对系统的访问\r\n13.3.4 内部用户使用的应用程序\r\n13.4 确定潜在的软件结构问题\r\n13.4.1 软件评估检查表\r\n13.4.2 应用程序相关信息的来源\r\n13.4.3 处理不安全的应用程序\r\n13.5 软件测试\r\n13.5.1 主机安全\r\n13.5.2 网络设置和安全\r\n13.6 网络防御设计建议\r\n13.7 实例分析:客户反馈系统\r\n13.7.1 部署位置\r\n13.7.2 结构上的建议\r\n13.8 实例分析:基于Web的在线账单应用程序\r\n13.8.1 部署位置\r\n13.8.2 结构上的建议\r\n13.9 小结\r\n13.10 参考资料\r\n\r\n第14章 VPN集成\r\n\r\n14.1 安全Shell\r\n14.1.1 标准SSH连接\r\n14.1.2 SSH隧道\r\n14.2 SSL\r\n14.2.1 SSL标准连接\r\n14.2.2 SSL隧道\r\n14.3 远程桌面解决方案\r\n14.3.1 单会话软件\r\n14.3.2 多会话软件 \r\n14.4 IPSec \r\n14.4.1 IPSec客户集成 \r\n14.4.2 IPSec服务器集成\r\n14.4.3 IPSec边界防御调整\r\n14.4.4 IPSec结构\r\n14.5 VPN其他需要考虑的事项\r\n14.5.1 专有VPN的执行\r\n14.5.2 受到损害或怀有恶意的VPN客户\r\n14.6 VPN设计实例分析\r\n14.7 小结 \r\n\r\n第15章 根据性能调整设计\r\n\r\n15.1 性能与安全\r\n15.1.1 定义性能\r\n15.1.2 了解在安全中性能的重要性\r\n15.2 影响性能的网络安全设计元素\r\n15.2.1 网络过滤器的性能影响\r\n15.2.2 网络结构 \r\n15.2.3 实例分析 \r\n15.3 加密的影响\r\n15.3.1 密码服务\r\n15.3.2 了解网络层和传输层的加密\r\n15.3.3 使用硬件加速器来提高性能\r\n15.3.4 实例分析\r\n15.4 通过负载平衡来提高性能\r\n15.4.1 负载平衡存在的问题\r\n15.4.2 第4层调度程序\r\n15.4.3 第7层调度程序\r\n15.5 小结\r\n15.6 参考资料\r\n\r\n第16章 实例设计\r\n\r\n16.1 安全设计标准回顾\r\n16.2 实例分析\r\n16.2.1 实例分析1:使用宽带连接进行远程工作\r\n16.2.2 实例分析2:存在基本Internet连接的小企业 \r\n16.2.3 实例分析3:小型电子商务站点 \r\n16.2.4 实例分析4:一个复杂的电子商务站点 \r\n16.2.5 DMZ区域 \r\n16.3 小结 \r\n\r\n第四部分 边界安全评估方法\r\n\r\n第17章 维护安全边界\r\n\r\n17.1 系统监控与网络监控\r\n17.1.1 Big Brother简介 \r\n17.1.2 建立监控过程 \r\n17.1.3 进行远程监控时需要考虑的安全事项 \r\n17.2 事故响应\r\n17.2.1 通知选项\r\n17.2.2 一般的响应准则\r\n17.2.3 恶意事故响应\r\n17.2.4 自动化事件响应\r\n17.3 适应变更\r\n17.3.1 变更管理的基础\r\n17.3.2 修改-管理控制的实现\r\n17.4 小结\r\n17.5 参考资料\r\n\r\n第18章 网络日志分析\r\n\r\n18.1 网络日志文件的重要性\r\n18.1.1 日志文件的特征\r\n18.1.2 日志文件的作用 \r\n18.2 日志分析基础\r\n18.2.1 开始入手\r\n18.2.2 自动化日志分析 \r\n18.2.3 时间戳 \r\n18.3 分析路由器日志\r\n18.3.1 Cisco路由器日志\r\n18.3.2 其他路由器日志\r\n18.4 分析网络防火墙日志\r\n18.4.1 Cisco PIX日志\r\n18.4.2 Check Point的Firewall-1日志\r\n18.4.3 IPTables日志\r\n18.5 分析以主机为中心的防火墙和IDS日志\r\n18.5.1 ZoneAlarm \r\n18.5.2 Tiny Personal Firewall \r\n18.5.3 BlackICE Defender\r\n18.6 小结\r\n\r\n第19章 防御部件故障诊断\r\n\r\n19.1 故障诊断过程\r\n19.1.1 收集症状\r\n19.1.2 检查最近的变更\r\n19.1.3 形成假定\r\n19.1.4 测试假定\r\n19.1.5 分析结果\r\n19.1.6 如必要的话重复以上步骤\r\n19.2 故障诊断经验法则\r\n19.2.1 一次只进行一次修改\r\n19.2.2 开放思维\r\n19.2.3 换个角度考虑\r\n19.2.4 将重点一直放在问题修复上\r\n19.2.5 不要实现一种比原问题带来更多麻烦的修复方法\r\n19.2.6 应当记住:最难于诊断的问题往往是最容易忽略的问题\r\n19.3 故障检修员的工具箱\r\n19.3.1 应用层故障诊断\r\n19.3.2 传输层故障诊断 \r\n19.3.3 网络层故障诊断 \r\n19.3.4 链路层故障诊断 \r\n19.4 小结\r\n19.5 参考资料\r\n\r\n第20章 评估技术\r\n\r\n20.1 外部评估\r\n20.1.1 计划 \r\n20.1.2 初期侦察 \r\n20.1.3 系统列举 \r\n20.1.4 服务列举 \r\n20.1.5 弱点发现 \r\n20.1.6 弱点调查 \r\n20.2 内部评估\r\n20.2.1 准备内部评估\r\n20.2.2 验证访问控制 \r\n20.3 小结 \r\n20.4 参考资料 \r\n\r\n第21章 攻击设计\r\n\r\n21.1 攻击网络的黑客方法\r\n21.2 对抗性检查 \r\n21.3 GIAC GCFW学生实习设计\r\n21.3.1 实习设计1\r\n21.3.2 确定留下的入口:内部防火墙 \r\n21.3.3 实习设计2 \r\n21.4 小结\r\n21.5 参考资料\r\n\r\n第22章 纵深防御的重要性\r\n\r\n22.1 纵深防御结构的一个例子-城堡\r\n22.1.1 坚固的城墙与火力更强的炮弹\r\n22.1.2 密道\r\n22.1.3 隐藏技术 \r\n22.1.4 防御熟悉内幕的人 \r\n22.2 具有吸收能力的边界 \r\n22.2.1 “蜂蜜罐”\r\n22.2.2 速率限制\r\n22.2.3 故障恢复\r\n22.3 信息的纵深防御\r\n22.3.1 扩散问题\r\n22.3.2 密码术与纵深防御\r\n22.4 小结\r\n\r\n第五部分 附录\r\n\r\n附录A Cisco访问列表配置示例 \r\n附录B 密码术基础 \r\n附录C 网络空隙
从Lihue到San Francisco(旧金山)的飞机航程约5个小时。在飞机上听不到电话的响声,也不用带着狗出去弯儿,而且个人防火墙不会因为有人设法扫描计算机而开始发出警报,也就是说,在这5个小时内几乎没有任何干扰,因此,我喜欢利用这段时间进行创作。
当飞机上所播放的一个电视节目的画面引起我注意的时候,我正陷于本书的创作之中。电视上的画面是关于美国联合航空公司(United Airlines)历史的录像,这段录像首先介绍“摇晃的”老式飞机(驾驶员座舱暴露在外)递送航空邮件的情形。今天,新式的、快速的和复杂的飞行器保持着令人难以置信的安全记录。航空工业已经从一个"奇异"的工业-一个在大城市中的娱乐工具-发展成为了一个对于我们的生活方式和经济都至关重要的工业。在2001年9月11日恐怖分子发动攻击之后的约三天内,美国的航空公司基本上处在了倒闭的边缘状态,美国国会忙着为这些航空公司提供资金援助。
通过探索航空业中的变化,可以了解到信息技术(Information Technology,IT)的过去与未来。像航空业一样,IT发展的历史也有一个曲折的历程。我们已经受益于技术上的快速提高,同时,我们也看到了在个人服务方向上的衰落趋势。我们开始着手进行连续检查-一种纵深防御方法,因为每个地方都容易受到攻击;与此同时,IT人员对于经济的发展也变得至关重要起来。
“摇晃的”飞机
如果我们在计算机中“坠落”,将会怎么样呢?如果将“坠落”一词用于计算机领域,将会赋予它一个全新的含义,不是吗?我们喜欢说操作系统的确在改进,但是事实不是这样。在Windows XP操作系统正式装到我的机器上之前,我等待了一个月的时间,之后它安装在我的Dell笔记本电脑上。我打开这部机器,然后安装由Linsky生产的无线网卡。XP甚至有该网卡的驱动程序。我下载了Microsoft急需的更新包-一个月的更新加上已有的5个急需的更新。我重启机器;它开始启动,然后却出现了机器崩溃。我想起了可怕的使用Windows NT 3.51的日子-名符其实的蓝屏死亡,显示大约一页的记录,时间约3秒。我花了大约1个小时的时间才回过神来,我猜想是计算机中某个东西出了问题。我准备将这台华丽的代表新技术发展水平的笔记本电脑扔出房间。同时,心里在想:Microsoft怎么能设计出这样差劲的东西呢?这里声明一下,请不要误会我,在我内心中,我不是在砸Microsoft的牌子。我认为Windows 2000就是一款非常棒的操作系统。Microsoft会提供更新和更好的驱动程序,它不会停步不前。
防火墙和VPN只不过是建立在这些“不稳定的”操作系统之上的软件应用程序。本书的一个主要思想是:从不信任操作系统,预期边界部件会出现故障。本书将介绍故障恢复技术、对防御部件装置进行分层以检测反常情况的技术,以及故障诊断技术。在边界防御的早期,对于信息安全专业人员而言,惟一的选择是在这些"摇晃的"操作系统上对其边界软件进行分层。
Perl Leigh Gates
1984年,如果你对我讲CIA,我会想起间谍职业,而不是机密性、完整性和可用性这三个主要安全尺度。我是DoD(Department of Defense, 美国国防部)网络的构建者之一,DoD使用大型的、高端的、快速的网络。其安全性是通过物理空隙实现的,物理空隙机制仍然是一种有价值的方法。自从Morris蠕虫(该蠕虫基本上使Internet停止运行了几天的时间)开始出现之后,我第一次开始考虑安全方面的问题。
几年以后,我听了由Tina Darmohray在一个称为SANS的小会议上讲的一堂课。她当时解释了一个带有两个防火墙系统的防火墙结构:一个防火墙系统称做Perl,另一个称做Leigh,这两个防火墙系统就是她的Perl Leigh Gates(Pearly Gates)。我所学习的所有新材料让我觉得头痛。在我回家的路上,我一直感到疑惑:为什么要两个防火墙呢?为什么不只用一个呢?
当人们对防火墙进行物理类比时,他们总是将防火墙同城堡进行比较。其主要思想是:只有一个通道进入,同时只有一条通道出去,当你进入该结构时,会遇到许多阻碍。Darmohray为什么要讨论双防火墙的问题呢?因为那些早期防火墙效率不高,同时性能也是一个重要的问题。
就在我驾车回家的时候,一架Navy F14 Tomcat飞机在公路上方飞行,与我偶然相遇。该飞机有两个引擎(Navy飞机总是至少具有两个引擎)。毕竟,在海洋上空驾驶飞机飞行的飞行员不希望因为引擎出现故障而落入大海之中。因为当时没有先进的故障恢复手段,而在有两个防火墙时,如果其中一个不稳定操作系统突然崩溃,网络仍然可以运行。
本书将讨论许多边界设计方法。有些边界设计更注重安全,而另一些边界设计则更注重性能。有些边界设计将重点放在正常工作时间上,并帮助你了解如何基于自己所在机构的需求选择这些设计。
注意 早期的飞机如此危险的原因之一是,这些飞机大都是手工制造的。即使这些飞机是在工厂里面造出来的,在几年以后,它们也可能需要进行手工改造,因为许多时候仍然需要对这些飞机进行修理和改造。
今天,我们可以获得设备防火墙,这些防火墙是由工厂制造并且是即插即用的。但是却无法保证这些防火墙的操作系统得到了加固。当然,在该设备上的操作系统是厂家内置的、相容的,并且可能去掉了不需要的程序。这些设备是计算领域中最重要的技术改进之一。
技术上的快速提高
新式的飞行器有翅膀,在天空中飞行,在地面上着陆-这些特征同最初的飞机没有什么两样。但在飞行器骨架设计、材料、航空用电子设备、导航和路线选择以及航空站操作中使用的先进技术却是早期飞机设计中难以想像的。
同样,新式的边界系统是如此先进,以致令人难以置信-我们曾经使用那些早期的防火墙来设法保护自己的系统,然而,它还不够强健。但是,我们信心十足,并且肯定可以看到这些边界系统得到重大改进的时候。边界防御系统在价格上已经呈下降趋势;许多边界防御系统只需通过下载一个新的映像就可以进行升级。人们一直在对边界防御的结构加以改进。
当前,我们可以获得一些不错的免费防火墙(如IPtables),这样一来,使用免费防火墙可以节省大量的资金。边界安全成本的下降速度非常快,对于家庭用户和小办公室而言尤其如此。你注意到802.11无线电缆调制解调器/DSL路由器组合已经跌到怎样的价位了吗?根据推测,价格有可能跌得更低。有可能跌到99.00美元的价位。有谁曾经会想到路由器会卖到低于100.00美元的价格呢?而且,这些设备路由器易于配置-可能如点击图形用户界面那么简单。甚至有些边界防御设备的操作系统升级成了最新的操作系统版本(只需直接通过Web做出一个点击操作即可)。你可能对于为什么需要这样的预定模型感到疑惑。边界部件的基本结构正在从只包含边界防御部件的系统向混合型系统进行转变,这种混合型系统将边界防御、报告感测器,甚至(用于进行内部关联的)弱点评估组合在一起。入侵特征库和弱点插件的更新速度很快,有些人每天都下载Snort特征码,因此需要一个预定模型。
本书讨论了使用由边界设备收集的信息来帮助防御网络的重要性。有些技术可以用来收集来自边界感测器的信息,通过使用这些技术,首先对Ramen、Lion和Leaves蠕虫进行检测。使用这样的技术来进行安全分析的一些服务包括DShield(位于www.dshield.org或者www. incidents.org)和ARIS(位于www.securityfocus.com)。网络安全技术是动态变化的。为了对付不断变化的威胁,获取及时的更新来维护安全是十分重要的。
值得一提的是,易于使用与良好的安全性之间可能是矛盾的。如果进入飞机然后驾驶飞机,与进入汽车然后驾驶汽车一样容易,那么天空就会非常危险。无线接入点设备通常将所有无线的和内置的有线端口聚集到同一个广播域中。有些攻击者可能通过欺骗MAC地址来发动攻击。因此,网络设计者(像飞行员一样)需要将培训与核对清单结合起来,而不能随随便便地在网络中接入设备。
个人服务的衰落趋势
对于航空公司来说,在飞机上的服务人员对乘客的服务发生了很大的变化,而不只是其名称从女乘务员改成了机组乘务员。航空公司通过调查测试来了解人们发出抱怨的程度-他们想知道为什么有时候需要处理乘客的愤怒。可悲的是,IT业从来就没有对于个人服务热心过。也有一些例外,这要回到蓝色巨人(IBM)如日中天的时期。如果我们的IBM大型机遇到了一点点麻烦,他们会派出一班技术人员上飞机,然后通过降落伞降落,赶赴我们的停车场,而副主管会每15分钟与我们通一次话,通知我们飞机的位置。好啦,我是在开个玩笑,但这个玩笑并不过分。
今天,IT业有两个主要的特征:软件编得不好;服务越来越差。对于信息技术来说也是一样。请允许我举一个例子加以说明。我于今天早上卸载了自己的Symantec个人防火墙。对于个人防火墙的预订需要六个星期时间才更新一次。Symantec LiveUpdate大约每隔30分钟启动一次,弄乱我的屏幕,要求我点击两次OK来去掉它。在花三天时间也没有办法找出解决问题的方法之后,我只得卸载了Norton Personal Firewall。
本书的优点之一是,整个作者团体对于市场(包括快速变化的个人防火墙市场)上大多数商业和免费边界产品具有实际经验。同样,我们不想讲任何厂商的坏话-它们各自有其自己的弱点。我们在本书中用整整一章的篇幅来介绍如何在主机级别上实现防御部件(如个人防火墙),以此来帮助你避免一些常见的缺陷,同时了解可以使用哪些技术。我们可以肯定的是,由任何厂商提供的任何个人防火墙都不能够提供全面的保护功能(尽管它们是重要的和有价值的防御层)。
连续检查
飞行器工业能够在提高安全性方面取得巨大飞跃的主要原因之一是,与飞行有关的每一个部件和过程都受到严格的、完整的和连续的检查。这是我们在防御过程中需要做出的最重要的变革。当我在SANS讲课时,我通常会向学生问这样一个问题:“有谁每天都阅读事件日志?”只有少数人举手。我设法记住这些人的面容,然后在课间时将这些人聚集在一块。然后,我问他们:“日志中有些什么?存在哪些重复出现的问题?”他们通常不能做出回答。本书可以帮助你部署感测器和扫描程序。有一整章的篇幅介绍入侵检测。正如在关于软件结构的那一章中所介绍的那样,你所在机构的软件结构也可能成为安全边界的一个部件。
如果你问我在IT中具有发展前景的产业是什么,我的答案是,用于收集和显示信息的控制台、感测器和代理都具有发展前景。计算机系统的变化十分快速。它们与飞行在县镇上空的某种小型双翼飞机类似,这类飞机在飞行过程中,如果某个部件断裂了,则重新制作一个新的部件。我们可以在一次心跳的时间内添加和卸载软件,但是,当我们这样做时,却不能回到改动发生之前的状态。我们需要连续地监控变化,直到我们知道如何进行修改,并且严格实施修改控制为止。
纵深防御
当只载有一名乘客的飞机坠毁时,是一次灾难;当载满了乘客的飞机坠毁时,这种灾难就愈加严重;如果飞机被用做恐怖分子的武器,其恐怖程度简直无法形容。可以将目前的飞机场看做运用了纵深防御思想的例子。纵深防御是本书的一个主要思想,这个概念十分简单。在阻塞点后面再设阻塞点,使得攻击非常困难。为了快速通过航空通道,到达一个正在等待的、加了燃料的远程引擎喷气式飞机,接着占据该飞机,然后驾离作为飞机跑道的柏油碎石地面,最后起飞,必须要突破多少安全系统或防御层呢?如果你确实成功地将飞机升空了,还必须战胜歼击机。虽然劫持飞机不是完全不可能的,但是你不太可能击败目前在飞机场实施的纵深防御体系。
在本书的每一章中都介绍了纵深防御,纵深防御在信息技术中更易于实现。高速可编程硬件机器(如Top Layer的Attack Mitigator)可以帮助保护我们的网络边界免受拒绝服务泛洪攻击。我们在本前言中已讨论的技术,如设备防火墙和个人防火墙,允许以很少的开销或努力为边界实现多层防御。新的改进(如单个程序的包装)目前出现在已具有创新特点的产品中。当你阅读本书时,会学习到如何设计自己的网络,以使网络具有抵抗攻击的能力。随着信息社会的发展,保护知识产权资产的重要性将会继续提高。
核心商业要求
在不到一个世纪内,飞机已经从一个简单的飞行器发展成了对经济至关重要的工具。信息技术也在更少的时间内做了同样的事情,并且其重要性将继续增加。在接下来的几年内,在市场经济中生存下来的要诀是管理信息流,以便在需要资源时能够找到该资源,且获取的资源是完整的,同时维护专有信息和敏感信息的机密性。这是一项重大的任务,因此我们最好马上行动起来。
本书特色
本书凝聚了17位信息安全专家的经验,这17位专家组成了作者与审校者小组,他们一起协同工作,完成了本书的创作。我们的目标是提供一个关于设计、部署和维护可靠网络安全边界的实用指南。对网络进行保护并非易事,为了保护自己的网络,你需要了解不同类型的技术,并理解如何将这些技术进行彼此关联。这就是我们讨论关键的边界部件(如防火墙、VPN、路由器和入侵检测系统)的原因。我们还会解释如何将这些设备进行集成,以形成一个统一的整体。在对网络进行保护的时候,没有哪个单一的设备可以对付所有的威胁,这就是我们将注意力集中在分层的安全结构上的原因。纵深防御的思想贯穿全书,我们相信:对于在本书中讨论的边界安全技术的运用而言,这一思想会起到关键的作用。
本书适合的读者
这是一本中高级读本,适合于已充分了解TCP/IP和相关技术的安全专家、系统管理员和网络管理员。如果你对分析边界防御的最优方法感兴趣,并且对于增加自己的网络安全工具知识与技术知识感兴趣,那么,对于你而言,本书就是一本颇具价值的参考书籍。因为本书是同SANS Institute密切合作创作而成,所以,对于那些希望获得GCFW(GIAC Certified Firewall Analyst)证书的读者而言,本书还是一本优秀的补充读物。
内容概述
本书共包含四大部分。第一部分“网络边界基础”包含前5章,这个部分是后面各章的基础。第1章提供了一个概述,简要介绍了贯穿全书所讨论的主要内容。第一部分中的其他章讨论边界安全的核心概念,如报文过滤、有状态防火墙、代理和安全策略。
第二部分“边界的延伸”包括第6章至第10章,这一部分将集中介绍组成网络安全边界的附加部件。在此,我们分析了路由器的作用、网络的入侵检测系统(Intrusion Detection System,IDS)、虚拟专用网(Virtual Private Network,VPN)和以主机为中心的防御机制。
第三部分“边界设计”介绍如何进行良好的设计,在这一部分中,我们主要讨论如何将边界部件集成到一个统一的防御结构中去。第11章至第16章描述了一些方法,可以使用这些方法来实现适合于你的需要和预算的纵深防御,并运用你在前面的章节中学到的关于安全设备和方法的知识。除了讨论设计基础外,我们将着重点放在像资源分隔、软件结构和VPN集成这样的主题上。我们还解释了如何调整安全设计来获得最佳性能,并分析了几个结构示例。
本书以第四部分“边界安全评估方法”结束,这一部分中回答了“你是怎样知道的”这个问题,这部分包括第17章至第22章。这一部分介绍我们可以从边界系统中了解到什么,以及如何确保边界按照其设计运行。我们分析了边界维护过程、日志分析和故障诊断方法。我们还描述了对防御强度进行评估的技术,并解释了如何对网络结构进行对抗性检查。最后一章对贯穿于本书中的纵深防御概念进行了综述。从某种意义上讲,第22章与第1章首尾呼应,这一章用于汇总本书涉及的主要概念。
本书还附有几个附录。在这些附录中,提供了Cisco访问列表配置示例,讨论了密码术基础,并提供了网络空隙设备的概述。设计、部署和维护网络边界安全是一个具有挑战性的过程,我们希望本书介绍的网络防御方法能够使你的边界安全工作更加顺利。
约定
只要有可能,我们就会引用常见弱点和暴露(Common Vulnerabilities and Exposures,CVE)数据库,使你能够获取关于弱点的其他信息,例如:http://cve.mitre.org/cgi-bin/cvename. cgi?name=CVE-2000-1027。
——Stephen Northcutt及其创作组
第二书店&China-pub战略联盟提供专业服务
第二书店联系方式 010-64348411 webmaster@dearbook.com