防火墙原理与实施 (2008 年度畅销榜NO.44266 )

CRACK、SATAN是什么?当使用因特网时，如何创建安全的数据传输通道?什么是拒绝服务攻击?包过滤器的作用是什么?Linux 0S中包含了哪些内置的包过滤工具?在哪里能得到免费的软件以构建防火墙等等。这些都是从事网络管理的专业人士必须知道的。\r\n\r\n 本书针对网络管理员所面临的防火墙问题，通过精心准备和细致研究，提出了最好的解决方案。为了照顾 终端用户，作者用通俗易懂的方式深入介绍了复杂的包过滤和代理等技术。同时，还通过一步步介绍常用的工 具和命令，引导一般用户进行实践，达到成功使用防火墙的目的。从本书可以学到构建防火墙的基本概念，并 了解几个常用的商用防火墙。\r\n\r\n 本书适用于网络管理人员及对防火墙技术感兴趣的人士。\r\n\r\n \r\n
\r\n

第一部分 了解防火墙和因特网安全 \r\n\r\n 第1章 防火墙基础知识 \r\n\r\n 1. 1 为什么需要防火墙 \r\n\r\n 1. 2 使用站点的安全策略设计防火墙 \r\n\r\n 1. 3 防火墙技术 \r\n\r\n 1. 4 硬件防火墙还是软件防火墙?开发还是购买 \r\n\r\n 1. 5 防火墙能做什么 \r\n\r\n 1. 6 防火墙不能防范什么 \r\n\r\n 1. 7 小结 \r\n\r\n 第2章 TCP／IP协议集简介 \r\n\r\n 2. 1 TCP/IP简介 \r\n\r\n 2. 2 0SI网络模型 \r\n\r\n 2. 3 TCP/IP协议 \r\n\r\n 2. 4 IP编址技术 \r\n\r\n 2. 5 检测IP数据报的内容 \r\n\r\n 2. 6 什么是TCP. UDP端口 \r\n\r\n 2. 7 普通TCP/IP服务 \r\n\r\n 2. 8 其他网络服务 \r\n\r\n 2. 9 小结 \r\n\r\n 第3章 安全与因特网 \r\n\r\n 3. 1 局域网和广域网 \r\n\r\n 3. 2 局域网的安全 \r\n\r\n 3. 3 广域网的安全 \r\n\r\n 3. 4 小结 \r\n\r\n 第4章 防火墙的安全规则及设计策略 \r\n\r\n 4. 1 在防火墙之前的设计 \r\n\r\n 4. 2 防火墙策略 \r\n\r\n 4. 3 事故报告和响应 \r\n\r\n 4. 4 在安全咨询方面保持领先 \r\n\r\n 4. 5 小结 \r\n\r\n 第5章 包过滤 \r\n\r\n 5. 1 防守的第一线 \r\n\r\n 5. 2 用于包过滤的IP头信息 \r\n\r\n 5. 3 TCP和UDP头信息 \r\n\r\n 5. 4 ICMP包 \r\n\r\n 5. 5 无状态操作和有状态检查 \r\n\r\n 5. 6 硬件和软件包过滤器 \r\n\r\n 5. 7 包过滤器的优缺点 \r\n\r\n 5. 8 小结 \r\n\r\n 第6章 使用堡垒主机 \r\n\r\n 6. 1 配置一台堡垒主机 \r\n\r\n 6. 2 从头安装一个安全的操作系统 \r\n\r\n 6. 3 删除不必要的服务和应用 \r\n\r\n 6. 4 删除不必要的应用和文件 \r\n\r\n 6. 5 资源保护和访问控制 \r\n\r\n 6. 6 配置审计和日志 \r\n\r\n 6. 7 在堡垒主机上运行代理软件 \r\n\r\n 6. 8 当堡垒主机的安全受到威胁时 \r\n\r\n 6. 9 小结 \r\n\r\n 第7章 应用网关和代理服务器 \r\n\r\n 7. 1 使用代理服务器 \r\n\r\n 7. 2 传统代理和透明代理 \r\n\r\n 7. 3 网络地址转换器 \r\n\r\n 7. 4 内容屏蔽和阻塞 \r\n\r\n 7. 5 日志和报警措施 \r\n\r\n 7. 6 客户端的考虑 \r\n\r\n 7. 7 小结 \r\n\r\n 第8章 操作系统监视和审计技术 \r\n\r\n 8. 1 审计与日志文件 \r\n\r\n 8. 2 UNIX \r\n\r\n 8. 3 Windows NT \r\n\r\n 8. 4 针对特定应用程序的日志文件 \r\n\r\n 8. 5 其他考虑事项 \r\n\r\n 8. 6 小结 \r\n\r\n 第二部分 因特网上的加密与安全通信 \r\n\r\n 第9章 加密技术 \r\n\r\n 9. 1 保护敏感信息 \r\n\r\n 9. 2 什么是加密 \r\n\r\n 9. 3 因特网上实用加密技术 \r\n\r\n 9. 4 小结 \r\n\r\n 第10章 虚拟专用网和隧道 \r\n\r\n 10. 1 因特网上的安全通信 \r\n\r\n 10. 2 IPSec协议集 \r\n\r\n 10. 3 点对点隧道协议 \r\n\r\n 10. 4 小结 \r\n\r\n 第11章 使用PGP加密 \r\n\r\n 11. 1 在因特网上传输安全信息 \r\n\r\n 11. 2 安装PGP \r\n\r\n 11. 3 小结 \r\n\r\n 第三部分 防火墙的安装与配置 \r\n\r\n 第12章 可在因特网上得到的防火墙工具 \r\n\r\n 12. 1 使用免费软件和共享软件产品 \r\n\r\n 12. 2 TCPWraPpers软件包 \r\n\r\n 12. 3 TISFirewall Toolkit \r\n\r\n 12. 4 SOCKS \r\n\r\n 12. 5 SQUID \r\n\r\n 12. 6 Drawbridge \r\n\r\n 12. 7 SATAN \r\n\r\n 12. 8 其他方便的安全软件 \r\n\r\n 12. 9 小结 \r\n\r\n 第13章 使用TCP Wrappers \r\n\r\n 13. 1 TCP Wrappers简介 \r\n\r\n 13. 2 获得TCP Wrappers \r\n\r\n 13. 3 配置TCP WraPPers \r\n\r\n 13. 4 TCPWrappers的局限性 \r\n\r\n 13. 5 小结 \r\n\r\n 第14章 使用TIS Firewall Toolkit \r\n\r\n 14. 1 利用工具包构建防火墙 \r\n\r\n 14. 2 FWTK组件 \r\n\r\n 14. 3 配置代理服务 \r\n\r\n 14. 4 在堡垒主机上安装工具包 \r\n\r\n 14. 5 小结 \r\n\r\n 第15章 SOCKS \r\n\r\n 15. 1 SOCKS V4和SOCKSV5 \r\n\r\n 15. 2 SOCKS化的应用程序 \r\n\r\n 15. 3 SoclcsCap \r\n\r\n 15. 4 怎样得到SOCKS \r\n\r\n 15. 5 SOCKS技术支持 \r\n\r\n 15. 6 小结 \r\n\r\n 第16章 SQUlD \r\n\r\n 16. 1 什么是SQUID \r\n\r\n 16. 2 从哪里得到SQUID \r\n\r\n 16. 3 安装和配置SQUID \r\n\r\n 16. 4 管理SQUID \r\n\r\n 16. 5 配置客户使用SQUID \r\n\r\n 16. 6 小结 \r\n\r\n 第17章 在Linux中使用ipfwadm和ipchains \r\n\r\n 17. 1 什么是ipfwadm和ipchains \r\n\r\n 17. 2 安装和配置ipfwadm \r\n\r\n 17. 3 安装和配置ipchains \r\n\r\n 17. 4 小结 \r\n\r\n 第18章 微软代理服务器 \r\n\r\n 18. 1 微软代理服务器概况 \r\n\r\n 18. 2 安装配置微软代理服务器2. 0 \r\n\r\n 18. 3 客户端软件配置问题 \r\n\r\n 18. 4 小结 \r\n\r\n 第19章 Elron CommandView防火墙 \r\n\r\n 19. 1 概述 \r\n\r\n 19. 2 安装CommandView防火墙 \r\n\r\n 19. 3 CommandView防火墙管理器应用程序 \r\n\r\n 19. 4 管理用户服务 \r\n\r\n 19. 5 进一步研究 \r\n\r\n 19. 6 小结 \r\n\r\n 第20章 防火墙设备 \r\n\r\n 20. 1 什么是防火墙设备 \r\n\r\n 20. 2 防火墙设备的价格 \r\n\r\n 20. 3 小结 \r\n\r\n 第21章 防火墙及其他 \r\n\r\n 21. 1 防火墙是因特网的产物 \r\n\r\n 21. 2 防火墙的新功能 \r\n\r\n 21. 3 家庭计算机面临的问题 \r\n\r\n 21. 4 虚拟专用网客户 \r\n\r\n 21. 5 IPv6：下一代IP协议 \r\n\r\n 21. 6 小结 \r\n\r\n 第四部分 附录 \r\n\r\n 附录A TCP和UDP命令端口, \r\n\r\n 附录B 其他可用的安全工具 \r\n\r\n 附录C 附加资源 \r\n\r\n \r\n
\r\n

因特网——21世纪人类社会的数字神经, 正以前所未有的速度在全球各个地方迅猛发展. 其规模一天天扩大, 带宽一天天提升, 服务一天天增加. 网上席卷的信息浪潮正铺天盖地地冲向人类生活的各个领域. 这一切必将对人类社会的科学. 技术. 政治. 经济. 军事乃至文化和生活产生巨大的作用和深远的影响.

以TCP/IP为代表的开放式体系结构是因特网成功发展的关键原因之一, 但这同时也给网络安全带来了深刻的危机和严重的挑战. 全球每年因网络安全漏洞和黑客入侵造成的经济损失不计其数. 各国政府和相关部门在推进网络化. 信息化的同时也都十分关注网络安全的防范和处理. 随着我国加入WT0进程脚步的日渐加快, 这一问题将更为严峻和紧迫. 我国的网络信息安全应该主要靠我们自己来解决.

当前, 有关网络安全. 特别是防火墙方面实用的书太少, 本书正好满足这方面的需求. 本书有以下三个特点：第一是内容新颖, 如虚拟专用网. 分布式拒绝服务攻击(DDOS)及Linux下的防火墙等技术和工具都是在同类书中尚未见到的. 第二是基础扎实, 为了让初学者了解防火墙的工作原理, 作者从TCP/IP协议的机制及其固有的安全脆弱性到包过滤. 应用代理的工作原理都进行了详细的论述. 第三是注重实践, 作者用了很大篇幅来介绍防火墙安全体系的构造. 安全策略和安全规则的制定以及各种流行商用防火墙的实际使用等. 尤其注重面向任务的解决方案和便于实现的技巧. 它不仅对需要了解和使用防火墙的广大用户是一本有益的启蒙和指导书, 而且对那些从事防火墙和网络安全研究的大专院校师生及专门研究人员也是一本难得的实用参考书.

本书由李之棠. 李伟明. 陈琳. 尹恒. 隋诚. 舒承春等翻译, 最后由李之棠审稿. 在翻译过程中, 曾得到华中科技大学天华网络安全研究所的研究生. 武汉天融信网络安全技术有限公司的有关同志以及电子工业出版社吴源等同志的帮助, 在此一并表示感谢.

由于我们水平有限, 不妥之处在所难免, 诚望读者批评指正.

译者

2000年11月于武汉

在短短的几年之内, 因特网已经渗透到人们生活的各个方面. 可以预料, 未来的几年里, 对大多数人来说, 连上因特网, 就和使用电话一样普遍. 随着技术的发展, 出现了一个新的领地—赛百空间. 然而在这个新的领域, 使用传统的方法来保护网络上的数据和资源越来越显得力不从心.

要保证与因特网相连的网络的安全, 需要使用防火墙. 防火墙是指一个大系列的产品, 用于在网络和因特网之间限制网络数据流, 从而保护网络不受外部网络的威胁. 建立防火墙的两种基本技术是包过滤和应用程序代理网关. 如果理解了这两种技术的工作原理, 那么就可以更好地为网络建立或购买防火墙产品. 本书主要涉及这些方面, 并且讲述了防火墙的其他重要特征, 例如, 日志. 报警和认证等特征.

虽然现在很多厂家都销售称为“防火墙装置”的产品, 但是还是需要时间仔细地做出购买的方案. 如果不使用商业产品, 而是从因特网上下载软件, 例如TIS因特网防火墙, 或者TCP Wrapper来构建防火墙, 也可以建立更加安全的环境.

关于防火墙内容的书很少, 而其中在过去几年内出版的又更少. 一些书涉及防火墙的每一个可能的主题, 还有一些只是讨论某一种特定的防火墙产品. 本书将给读者介绍所有建立防火墙的重要概念, 以及这些概念在一些产品(免费和商业产品)中的实现.

本书内容

本书的内容从易到难, 从简单的介绍到复杂的主题, 一一叙述. 如果已经对一些主题很熟悉, 可以跳过这些主题的章节. 文中的交叉参考信息使得更容易找到其他信息, 返回前面的章节以更全面理解概念.

第1章介绍防火墙的有关知识. 很好地讨论了为什么需要防火墙, 以及防火墙可以保护和不可以保护的安全类型.

第2章专门针对没有深刻把握TCP／IP以及提供网络服务工具的用户. 如果对地址类型或者划分子网不熟悉, 可以参考本章.

第3章讨论了在简单网络和更大的网络, 例如连接了因特网的网络安全实现之间的差别. 还讨论普通黑客使用的一些攻击方法, 例如拒绝服务攻击和IP地址欺骗.

第4章讨论建立防火墙的不同体系结构. 涉及DMz(非军事区域)和双宿主机的作用, 介绍包过滤以及应用程序代理技术. 还介绍网络安全策略的选择以及怎样使用防火墙实现这些策赂.

第5章讨论防火墙的早期类型. 介绍监视路由器使用的技术, 禁止不需要的数据流通过防火墙, 从而不能进入网络内部.

第6章包含了当选择用于提供防火墙服务的计算机时, 所需考虑的有关配置的重要问题. 由于暴露于因特网之中, 它们是网络中最脆弱的主机, 所以, 为了抵御入侵者, 它们尤其需要配置得很好.

第7章分析了一种更新的技术. 包过滤器可以允许或阻止网络和外部世界之间的IP包数据流, 而代理服务器则不需要在客户和服务器之间有直接的IP流就能提供网络服务.

第8章介绍了在UNIX和WindowsNT中常见的设置审计的方法.

第9章讨论加密技术. 如果没有基本的密码学概念, 那么需要阅读这一章. 可以了解到私有密钥和公开密钥的区别以及二者更适合用在哪些场合.

第10章继续介绍了如何用加密技术在因特网上建立安全隧道连接.

第11章讲述在出于个人安全需要, 例如传送已用数字签名签过的邮件时, 如何迅速安装并使用PGP. 对在UNIX和windows NT下安装PGP都作了介绍.

第12章简要叙述了可以从因特网上下载的常用的工具, 大多数情况下, 可以免费使用它们构造防火墙.

第13章更为详细地介绍了如何安装和配置这些免费工具. 在UNIx主机上使用TCP软件包有助于实现安全访问, 并对诸如Telnet和FTP这样重要的网络服务提供日志功能.

第14章更详细地介绍了一个可以免费下载的产品. 如果对UNIX系统管理不熟悉, 那么要配置FWTK就比较困难, 但这一章使读者以正确的方向起步, 它介绍了重要的概念, 并说明了配置文件是如何工作的.

第15章是关于SOCKS安全协议的. 这种产品在Internet Explorer这样的商业产品中被广泛地实现. 在许多库中也提供了这个协议, 它们可以使现存的应用程序SOCK化(SOCKSxy).

第16章介绍了可从因特网上免费获得的有用工具. SQUID是一个可用于访问控制和管理网络带宽的缓冲代理服务器. 它在本地缓存中存储频繁地对Web对象访问的事件.

第17章讨论了已被加入到Linux内核中的包过滤能力, 以及如何使用ipfwadm和ipchains这两个工具来管理这些函数.

第18章讨论了如何在防火墙产品中安装Mcrosoft项目. 还简要介绍了如何用服务器的图形用户接口来配置服务.

第19章讨论了另一个用于Windows NT服务器的商业产品. 分析了防火墙和基本的配置问题.

第20章瞄准了新出现的一种防火墙产品, 它尽可能地做到即插即用, 并希望防火墙的配置过程对于端用户更为容易.

在第21章中, 将会看到因特网安全性发展的一些可能性, 例如新一代IP协议IPv6, 还有关于保护商业网络, 以及保护用于访问网络的主机的讨论.

附录A简要介绍了TCP和UDP端口, 列出了常用端口和它们的用途.

附录B收集了可使网络上主机更安全的有用的工具, 并告诉在哪里下载像SATAN和COPS这样的工具.

最后, 附录C列出了可以跟踪因特网安全和防火墙技术的有用资源. 由于因特网上的威胁在迅速变化, 所以必须对于当前的威胁十分熟悉.