防火墙核心技术精解

第1章介绍信息安全

1.1引言

1.2安全隐患和Intemet

1.2.1定义信息安全

1.2.2常用信息安全概念

1.2.3知识就是力量

1.2.4和小偷一样思考

1.2.5杜绝入侵机会

1.3威胁和攻击。；

1.3.1物理安全

1.3.2网络安全

1.3.3解入侵动机

1.3.4安全解决方案分类

1.3.5基础知识TCP／UDP常用端口

1.3.6攻击类型

1.4安全策略

1.4.1防止有意的内部安全漏洞

1.4.2分配网络安全的责任

1.4.3开发安全计划和策略的责任

1.4.4设计企业安全策略

1.4.5评估安全需求

1.4.6理解安全级别

1.4. 7制定安全目标

1.5创建安全策略

1.6保护信息技术

1.7使用SSL和安全Shell

1.8其他硬件安全设备

1.8.1监测活动

1.8.2防止未授权的外部入侵和攻击

1.9本章小结

第2章防火墙的概念

2.1引言

2.2防火墙的定义

2.3网络和防火墙

2.3.1防火墙接口内部的、外部的和

DMZ

2.3.2防火墙策略

2.3.3地址转换

2.3.4虚拟专用网络

2.4常用的防火墙

2.4；1基于硬件的防火墙

2.4.2防火墙软件

2.5本章小结

第3章DMZ的概念、布局和设计方案

3.1引言

3.2 DMZ基础

3.2.1 DMZ的概念

3.2.2流量的概念

3.2.3含有和不含有DMZs的网络

3.3DMZ设计基本原理

3.3.1为什么设计如此重要

3.3.2网络上主机间数据传输的终

端对终端的安全性设计

3.3.3流和协议的基本原理

3.3.4有关TCP／IPv4的保护设计

3.3.5公共和私人IP地址

3.3.6端口

3.3.7使用防火墙保护网络资源

3.3.8流和安全风险

3.4高级风险

3.4.1商业伙伴间的连接

3.4.2Web~llFTP地址

3.4.3高级设计策略

3.4.4高级DMZ设计概念

3.4.5DMZ的高利用率和故障转移

3.5本章小结

第4章入侵检测系统入门

4.1引言

4.2什么是入侵检测

4.2.1网络IDS

4.2.2基于主机的IDS

4.2.3分布式IDS

4.3什么是入侵

4.4为何入侵监测系统很重要

4.4.1为何攻击者对我有兴趣

4.4.21DS是在哪里和我的安全计划

的其余部分相匹配的

4.4.3我的防火墙是作为IDS工作的么

4.4.4我还应该到哪些地方检查入侵

4.5用入侵检测还能做什么

4.5.1监测DatabaseACCeSS

4.5.2监测DNS功能

4.5.3 E-Mail服务器保护

4.5.4使用IDS来检测我的公司策略

4.6本章小结

第5章用Ipchains和Iptables实施防火墙

5.1引言

5.2理解防火墙的需求

5.3配置IP传送和伪装功能

5.4配置你的防火墙来过滤网络包

5.4.1定制自己的网络过滤功能

5.4.2配置内核

5.5理解Linux防火墙中的表格和链

5.5.1建立目标和用户定义链

5.5.2使用Ipchains来伪装链接

5.5.3使用Iptables

5.6在防火墙上记录包

5.6.1设置记录限制

5.6.2增加和删除包过滤规则

5.6.3在Ipchains和Iptables中重定

向端口

5.7配置防火墙

5.8计算带宽使用率

5.9使用并获得自动化防火墙脚本和图

形防火墙工具

5.9.1权衡图形防火墙工具的优点

5.9.2在过程中防火墙的工作

5.10本章小结

第6章维护开放源代码的防火墙

6.1引言

6.2测试防火墙

6.2.11P伪装

6.2.2打开端H／Daemon(后台程序)

6.2.3检测系统硬件驱动、RAM和

处理器

6.2.4可疑的用户、登录和登录时间

6.2.5检查规则数据库

6.2.6检验与公司管理者和终端用

户的链接

6.2.7端口扫描

6.3使用Telnet、Ipchains、Netcat和

SendlP来检测你的防火墙

6.3.11pchains.

6.3.2Telnet

6.3.3Netcat

6.3.4 SendIP包伪造器

6.4理解防火墙记录、阻塞和警报选项

6.4.1防火墙记录程序

6.4.2fwlogwatch.

6.4.3自动fwlogwatch

6.4.4使用带有CGI脚本的fwlogwatch.

6.5获取其他的防火墙记录工具

6.6本章小结

第7章将Solaris配置成安全路由器和

防火墙

7.1引言

7.2将Solaris配置为安全路由器

7.2.1推论和基本原理

7.2.2路由选择条件

7.2.3为路由进行配置

7.2.4最佳安全性

7.2.5安全的含义

7.2.6未配置的Solaris路由

7.3 1Pv6路由选择

7.3.1配置文件

7.3.2 1Pv6程序

7.3.31Pv6路由设置过程

7.3.4停用IPv6路由选择功能

7.41PVersion6主机

7.4.1自动配置

7.4.2手工配置

7.4.3将Solaris配置为一个安全网关

7.5将Solaris配置为防火墙

7.5.1通用防火墙理论

7.5.2通用防火墙设计

7.5.3SunScreenLite

7.5.4 1P过滤器

7.5.5使用NAT；.

7.6本章小结

第8章PIX防火墙的介绍

8.1引言

8.2防火墙的特征

8.2.1嵌入式操作系统

8.2.2自适应的安全算法

8.2.3高级协议处理

8.2.4 VPN支持

8.2.5 URL过滤

8.2.6NAT和n＼T

8.2.7高可用性

8.3PIX硬件

8.3.1模型二

8.3.2控制台端口

8.4软件认证和升级

8.4.1授权认证

8.4.2升级软件

8.4.3密码恢复

8.5命令行接口

8.5.132作环境缺省配置

8.5.2管理访问模式

8.5.3基本命令

8.5.4管理配置

8.6本章小结

第9章流通行

9.1引言

9.2允许出站流

9.2.1设置动态地址转换

9.2.2禁止出站流

9.3允许入站流

9.3.1静态地址转换

9.3.2访问列表

9.3.3通道

9.3.41CMP

9.3.5端口改道

9.4TurboACLS

9.5对象分组

9.6实例研究

9.6.1访问列表

9.6.2通道和Outbound／Apply(入站

流／应用)

9.7本章小结

第10章高级PIX配置

10.1引言

10.2高级协议处理

10.2.1文件传输协议

10.2.2域命名服务

10.2.3简单的邮件传输协议

10.2.4超文本传输协议

10.2.5远程屏蔽

10.2.6远程过程调用

10.2.7实时流协议、NetShow和

VDOLlve

10.2.8SOL*Net

10.2.9H.323和相关的应用程序

10.2.10 Skinny客户控制协议+

10.2.11会话发起协议

10.2.12Intemet定位服务和轻量级

目录访问协议

10.3Web流过滤

10.3.1URLs过滤

10.3.2活动代码过滤

10.3.3DHCP客户端

10.3.4 DHCP服务器

10.4其他高级特征

10.4.1碎片整理保护

10.4.2AAAFloodguard

10.4.3SYNFloodguard

10.4.4逆向转发

10.4.5单播路由

10.4.6Stub多播路由二

10.4.7PPPoE

10.5本章小结

第11章故障诊断与维修以及，哇能监测

11.1引言

11.2硬件和电缆的故障诊断与维修

11.2.1PIX防火墙硬件的故障诊断

与维修

11.2.2PIX电缆的故障诊断与维修；

11.3连通性的故障诊断与维修

11.3.1寻址检查

11.3.2路由检查

11.3.3转换检查

11.3.4访问查看

11.41Psec的故障诊断与维修

11.4.11K正

11.4.21Psec

11.5捕获流

11.5.1显示捕获流

11.5.2下载捕获流

11.6性能的监测和故障诊断与维修

11.6.1CPU的性能监测；

11.6.2内存性能监测

11.6.3Network性能监测

11.6.4标识(1DENT)协议和

PIX'陛能

11.7本章小结

第12章安装和配置VPN-l／FireWall—1 NG

防火墙3

12.1引言

12.2开始之前的准备工作

12.2.1获得许可证

12.2.2给主机提供安全措施

12.2.3路由和网络接口

12.2.4安装VPN—1／FireWall-1NG

的准备工作

12.2.5从早期版本升级

12.3在Windows系统上安装Check

PointVPN-1／FireWall-1NG

12.3.1从安装盘进行安装

12.3.2在Windows系统上配置Check

PointVPN-1／FireWall-1NG产品

12.4卸载在Windows系统上的Check

PointVPN-1／FireWall-1NG产品-

12.4.1卸载VPN-1&FireWall-1

12.4.2卸载SVNFoundation软件包

12.4.3卸载管理客户端软件

12.5在Solaris系统上安装Check

PointVPN-1／FireWall-1NG

12.5.1从光盘进行安装

12.5.2在Solaris系统上配置Check

PointVPN-1／FireWall-1NG

软件包

12.6卸载Solaris系统上的Check

PointVPN-1／FireWall-1NG产品

12.6.1卸载VPN-1&FireWall-1

12.6.2卸载SVN Foundation

12.6.3卸载管理客户端软件

12.7在Nokia系统上安装Check

PointVPN-1／FireWall-1NG

12.7.1安装VPN-1／FireWall-1NG

软件包

12.7.2配置在Nokia系统上的

VPN-1／FireWall—1 NG

12.8本章小结

第13章使用图形界面

13.1引言

13.2管理对象

13.2.1网络对象

13.2.2服务

13.2.3资源

13.2.4OpenPlatformforSecurity(安

全性的开放平台，OPSEC)应

用程序

13.2.5服务器

13.2.6内部用户

13.2.7时间

13.2.8虚拟链接

13.3添加规则

13.4全局属性

13.4.1FW-1防火墙的隐含规则

13.4.2安全服务器

13.4.3身份验证

13.4.4VPN-1

13.4.5 DesktopSecurity(桌面

安全性)

13.4.6VisualPolicyEditor(可视的

策略编辑器)

13.4.7网关的高可用性

13.4.8管理模块的高可用性

13.4.9带状态的检查

13.4.10 LDAP账号管理

13.4.11网络地址翻译(NAT)

13.4.12ConnectControl(连接控制)

13.4.13开放的安全性扩展

13.4.14 LogandAlert(日志和警告).

13.5 SecureUpdate(安全升级程序)

13.6日志查看器(LogViewer)

13.7系统状态.

13.8本章小结

第14章创建安全策略

14.1引言

14.2使用安全策略的理由

14.3如何编写安全策略

14.3.1安全设计

14.3.2防火墙的体系结构

14.3.3编写策略

14.4实施安全策略

14.4.1默认和初始的策略

14.4.2将策略翻译成规则

14.4.3操作规则

14.4.4策略选项

14.5安装安全策略

14.6策略文件

14.7本章小结

第15章高级配置d

15.1引言

15.2CheckPoint的高可用性方法

(CPHA)

15.2.1启用高可用性

15.2.2失败恢复

15.2.3防火墙同步

15.3单入口点VPN配置(SEP)

15.3.1网关的配置

15.3.2策略配置

15.4多入口点VPN的配置(MEP)

15.4.1重叠的VPN域

15.4.2网关配置-

15.4.3重叠式VPN域

15.5其他的高可用性方法

15.5.1路由失败恢复

15.5.2硬件选项

15.6本章小结

第16章配置虚拟专用网络(VPN)

16.1引言

16.2加密模式

16.2.1加密算法；对称和不对称的

加密算法

16.2.2密钥交换方法通道与即时

加密

16.2.3哈希(Hash)函数和数字签名

16.2.4证书和证书授予者(CA)

16.2.5VPN的类型

16.2.6 VPN的域

16.3配置FWZ型W，N

16.3.1定义对象

16.3.2添加VPN规则

16.3.3FWZ的局限性

16.4配置IKEVPN

16.4.1定义对象

16.4.2添加VPN规则

16.4.3测试VPN

16.4.4对外部网络的考虑

16.5配置SecuRemote上的ⅦN

16.5.1本地网关对象

16.5.2用户加密属性

16.5.3客户端加密规则

16.6安装SecuRemote客户端软件

16.7使用SecuRemote客户端软件

16.7.1修改Objects 5 0.C文件的

注意事项

16.7.2SecureDomainLogin(安全域

的登录)

16.8本章小结

第17章Nokia安全平台概述

17.1引言

17.2 NokiaIP系列设备简介

17.3将管理变得更容易

17.4本章小结

第18章配置CheckPoint防火墙

18.1引言

18.2配置防火墙的准备工作

18.2.1获取许可证

18.2.2配置主机的名称

18.2.3解FireWall-1防火墙软件

的可选项

18.3配置防火墙

18.3.1安装软件包

18.3.2启用这个软件包

18.3.31P传递和防火墙策略

18.3.4运行cpconfig命令

18.4测试防火墙的配置

18.4.1测试图形用户界面客户的访问.

18.4.2推送和取回策略

18.5升级防火墙

18.5.1从4.1SP6升级到NGFP2

18.5.2从NGFP2升级到NGFP3

18.5.3从NG版退回到4.1版

18.6本章小结

第19章VoyagerWeb界面介绍

19.1引言

19.2设备开箱之后的基本系统配置

19.2.1前端屏幕

19.2.2配置基本的接口信息

19.2.3添加一个默认的网关

19.2.4设置系统的时间、日期和时区

19.2.5配置域名系统和主机条目

19.2.6配置邮件中继

19.2.7配置系统事件通知

19.3配置系统的安全性

19.3.1启用SSH的接入访问

19.3.2禁用Telnet访问

19.3.3 FTP的一种替代方法

19.3.4实现FTP的安全性

19.3.5配置安全的套接字层

19.4解配置选项

19.4.1接口配置

19.4.2系统配置

19.4.3SNMP.

19.4.41Pv6.

19.4.5重新启动和关闭系统

19.4.6安全性和访问配置

19.4.7配置缺陷管理

19.4.8配置路由

19.4.9流量管理

19.4.10路由器服务

19.5本章小结

第20章系统管理基础

20.1引言

20.2至新启动操作系统

20.3管理软件包

20.3.1安装新的软件包

20.3.2启用和禁用软件包

20.3.3删除软件包

20.4管IPSO映像

20.4.1升级到新的IPSO映像

20.4.2删除映像文件

20.5管理用户和组

20.5.1用户

20.5.2组

20.6配置静态路径

20.7系统备份和恢复

20.7.1配置集(ConfigurationSets)—

20.7.2制作系统备份

20.7.3从备份中恢复

20.8系统日志

20.8.1本地系统日志

20.8.2远程系统日志

20.8.3监听日志

20.9使用cron定时执行的任务

20.10本章小结

第21章ISA服务器部署计划和设计

21.1引言

21.21SA部署计划与设计问题

21.2.1访问网络和硬件要求

21.2.2系统要求

21.2.3软件要求

21.2.4处理器要求

21.3活动目录的实现

21.4执行关键任务的注意事项

21.4.1硬盘容错

21.4.2网络容错

21.4.3服务器容错

21.4.4堡垒主机配置

.2L5。计划恰当韵安装模式

、.21.5.1用防火墙模式安装

21.5.2用缓存模式安装

21.5.3用综合模式安装

21.5.4计划一个单机或阵列配置

’21.5.5计划ISA客户机配置

21.5.6 Intemet连接和DNS的问题

21.6本章小结

第22章ISAServer的安装

22.1引言

22.2全面落实安装计划

22.2.1安装文件和许可权限

22.2.2 CDKey和产品许可证

22.2.3ActiveDirectory的问题

22.2.4服务器模式

22.2.51SAServer文件的磁盘位置

22.2.6内部网络ID~ll本地访问表

22.2.7 1SAServer特性的安装

22.3执行安装

22.3.11SAServer的安装步骤

22.3.2将单机服务器升级成阵列成

员的步骤

22.3.31SAServer安装之后的修改

22.4从MicrosoftProxyServer2.0移植

22.4.1移植的类型

22.4.2在Windows2000平台上升

级Proxy2.0

22.4.3在WindowsNT4.0上升级

Proxy2.0的安装

22.5本章小结

第23章ISAServer的管理+

23.1引言

23.2解集中式管理

23.2.11SA管理控制台

23.2.21SA向导

23.3执行常规管理任务

23.3.1配置对象权限

23.3.2管理阵列成员.

23.4使用监视、警报、日志和报表功能

23.4.1创建、配置和监视警报

23.4.2监视会话

23.4.3使用日志

23.4.4生成报表

23.5解远程管理.

23.5.1安装ISA管理控制台

23.5.2使用终端服务进行ISA

远程管理

23.6本章小结

窘24章ISAServer的优化、自定义、整

合和备份

24.1引言

24.2 1SAServer的性能优化

24.2.1建立基准和监视性能

24.2.2常规性能问题的讨论

24.3自定义ISASewer

24.3.1使用ISAServer软件开发

包(SDK)

24.3.2使用第三方加载程序

24.4 1SAServer同其他服务的整合

24.4.1理解ActiveDirectory的互用性.，

24.4.2理解路由和远程访问服务的

互用性

24.4.3理解Intemet信息服务器的

互用性

24.4.4理解IPSecurity的互用性

24.4.5将ISAServer整合到一个

WindowsNT4.0域中

24.5备份和恢复ISA配置

24.5.1备份原理

24.5.2备份和恢复单机服务器配置

24.5.3备份和恢复阵列与企业配置

24.6本章小结

第25章ISAServer故障诊断

25.1引言

25.2故障诊断的准则

25.2.1故障诊断五大步骤

25.2.21SAServer和Windows2000

诊断工具

25.2.31SAServer诊断资源++’.；；；；

25.31SAServer安装和配置问题的故

障诊断

25.3.1硬件和软件兼容性问题

25.3.2初始配置问题

25.4验证和访问问题的故障诊断

25.4.1验证问题

25.4.2访问问题

25.4.3拨号和VPN问题

25.51SA客户机问题的故障诊断··(

25.5.1客户机性能故障.；(

25.5.2客户机连接故障(

25.6缓存和发布问题的故障诊断(

25.6.1缓存问题

25.6.2发布问题‘

25.7本章小结4

第26章ISAServer发布的高级服务器(

26.1引言

26.2禁用套接字共享

26.2.1禁用Web和FTP服务的套

接字共享

26.2.2禁用SMTP和NNTP服务的

套接字共享

26.2.3在ISA服务器上禁用IlS服务

26.3服务器发布

26.3.1在内网上发布终端服务

26.3.2在ISA服务器上发布终端服务

26.3.3在ISAServer和内部网络上

发布终端服务

26.3.4发布TSAC站点

26.3.5在内部网上发布FTP服务器

26.3.6发布FTP服务器协同定位

ISA服务器

26.3.7使用Web发布规则以实现

安全的FTP访问

26.3.8使用服务器发布规则发布HTT

和HTTPS(SSL)服务器

26.3.9在内网上发布pcAnywhere.

26.4 Web发布

26.4.1进入Web请求监听程序

26.4.2目标集合

26.4.3公共DNS入口

26.4.4私有的DNS入口

26.4.5在ISA服务器上终止SSL连接

26.4.6桥接SSL连接

26.4.7使用SSL的安全FTP连接

26.4.8发布一台认证服务器

26.5本章小结

第27章配置ISA服务器邮件服务保护，

27.1引言

27.2在ISA服务器上配置邮件服务

27.2.1在ISA服务器上发布IIS

SMTP服务

27.2.2 1SA服务器上的Message

SCreener

27.2.3在ISA服务器上发布交换

服务器

27.2.4在ISA服务器上发布Outlook

Web AcceSS.

27.2.51SA服务器和交换服务器上的

Messagescreener

27.3在内网上配置邮件服务

27.3.1在内网上发布Exchange服务器—

27.3.2ExchangeRPC发布

27.3.3在内网交换服务器上发布

OutlookWebAccess.，

27.3.4内部网络交换服务器上的

MeSSageSCreener

27.4GFI邮件安全与SMTP服务器

邮件实质

27.4.1安全邮件版本

27.4.2为SMTP网关安装安全邮件

27.4.3配置安全邮件

27.5本章小结