防火墻核心技術精解

第1章介紹信息安全
1.1引言
1.2安全隱患和Intemet
1.2.1定義信息安全
1.2.2常用信息安全概念
1.2.3知識就是力量
1.2.4和小偷一樣思考
1.2.5杜絕入侵機會
1.3威脅和攻擊。；
1.3.1物理安全
1.3.2網(wǎng)絡安全
1.3.3解入侵動機
1.3.4安全解決方案分類
1.3.5基礎知識TCP／UDP常用端口
1.3.6攻擊類型
 1.4安全策略
1.4.1防止有意的內(nèi)部安全漏洞
1.4.2分配網(wǎng)絡安全的責任
1.4.3開發(fā)安全計劃和策略的責任
1.4.4設計企業(yè)安全策略
1.4.5評估安全需求
1.4.6理解安全級別
1.4. 7制定安全目標
1.5創(chuàng)建安全策略
1.6保護信息技術
1.7使用SSL和安全Shell
1.8其他硬件安全設備
1.8.1監(jiān)測活動
1.8.2防止未授權的外部入侵和攻擊
1.9本章小結(jié)
第2章防火墻的概念
2.1引言
2.2防火墻的定義
2.3網(wǎng)絡和防火墻
2.3.1防火墻接口內(nèi)部的、外部的和
DMZ
2.3.2防火墻策略
2.3.3地址轉(zhuǎn)換
2.3.4虛擬專用網(wǎng)絡
2.4常用的防火墻
2.4；1基于硬件的防火墻
2.4.2防火墻軟件
2.5本章小結(jié)
第3章DMZ的概念、布局和設計方案
3.1引言
3.2 DMZ基礎
3.2.1 DMZ的概念
3.2.2流量的概念
3.2.3含有和不含有DMZs的網(wǎng)絡
3.3DMZ設計基本原理
3.3.1為什么設計如此重要
3.3.2網(wǎng)絡上主機間數(shù)據(jù)傳輸?shù)慕K
端對終端的安全性設計
3.3.3流和協(xié)議的基本原理
3.3.4有關TCP／IPv4的保護設計
3.3.5公共和私人IP地址
3.3.6端口
3.3.7使用防火墻保護網(wǎng)絡資源
3.3.8流和安全風險
3.4高級風險
3.4.1商業(yè)伙伴間的連接
3.4.2Web~llFTP地址
3.4.3高級設計策略
3.4.4高級DMZ設計概念
3.4.5DMZ的高利用率和故障轉(zhuǎn)移
3.5本章小結(jié)
第4章入侵檢測系統(tǒng)入門
4.1引言
4.2什么是入侵檢測
4.2.1網(wǎng)絡IDS
4.2.2基于主機的IDS
4.2.3分布式IDS
4.3什么是入侵
4.4為何入侵監(jiān)測系統(tǒng)很重要
4.4.1為何攻擊者對我有興趣
4.4.21DS是在哪里和我的安全計劃
的其余部分相匹配的
4.4.3我的防火墻是作為IDS工作的么
4.4.4我還應該到哪些地方檢查入侵
4.5用入侵檢測還能做什么
4.5.1監(jiān)測DatabaseACCeSS
4.5.2監(jiān)測DNS功能
4.5.3 E-Mail服務器保護
4.5.4使用IDS來檢測我的公司策略
4.6本章小結(jié)
第5章用Ipchains和Iptables實施防火墻
5.1引言
5.2理解防火墻的需求
5.3配置IP傳送和偽裝功能
5.4配置你的防火墻來過濾網(wǎng)絡包
5.4.1定制自己的網(wǎng)絡過濾功能
5.4.2配置內(nèi)核
5.5理解Linux防火墻中的表格和鏈
5.5.1建立目標和用戶定義鏈
5.5.2使用Ipchains來偽裝鏈接
5.5.3使用Iptables
5.6在防火墻上記錄包
5.6.1設置記錄限制
5.6.2增加和刪除包過濾規(guī)則
5.6.3在Ipchains和Iptables中重定
向端口
5.7配置防火墻
5.8計算帶寬使用率
5.9使用并獲得自動化防火墻腳本和圖
形防火墻工具
5.9.1權衡圖形防火墻工具的優(yōu)點
5.9.2在過程中防火墻的工作
5.10本章小結(jié)
第6章維護開放源代碼的防火墻
6.1引言
6.2測試防火墻
6.2.11P偽裝
6.2.2打開端H／Daemon(后臺程序)
6.2.3檢測系統(tǒng)硬件驅(qū)動、RAM和
處理器
6.2.4可疑的用戶、登錄和登錄時間
6.2.5檢查規(guī)則數(shù)據(jù)庫
6.2.6檢驗與公司管理者和終端用
戶的鏈接
6.2.7端口掃描
6.3使用Telnet、Ipchains、Netcat和
SendlP來檢測你的防火墻
6.3.11pchains.
6.3.2Telnet
6.3.3Netcat
6.3.4 SendIP包偽造器
6.4理解防火墻記錄、阻塞和警報選項
6.4.1防火墻記錄程序
6.4.2fwlogwatch.
6.4.3自動fwlogwatch
6.4.4使用帶有CGI腳本的fwlogwatch.
6.5獲取其他的防火墻記錄工具
6.6本章小結(jié)
第7章將Solaris配置成安全路由器和
防火墻
7.1引言
7.2將Solaris配置為安全路由器
7.2.1推論和基本原理
7.2.2路由選擇條件
7.2.3為路由進行配置
7.2.4最佳安全性
7.2.5安全的含義
7.2.6未配置的Solaris路由
7.3 1Pv6路由選擇
7.3.1配置文件
7.3.2 1Pv6程序
7.3.31Pv6路由設置過程
7.3.4停用IPv6路由選擇功能
7.41PVersion6主機
7.4.1自動配置
7.4.2手工配置
7.4.3將Solaris配置為一個安全網(wǎng)關
7.5將Solaris配置為防火墻
7.5.1通用防火墻理論
7.5.2通用防火墻設計
7.5.3SunScreenLite
7.5.4 1P過濾器
7.5.5使用NAT；.
7.6本章小結(jié)
第8章PIX防火墻的介紹
8.1引言
8.2防火墻的特征
8.2.1嵌入式操作系統(tǒng)
8.2.2自適應的安全算法
8.2.3高級協(xié)議處理
8.2.4 VPN支持
8.2.5 URL過濾
8.2.6NAT和n＼T
8.2.7高可用性
8.3PIX硬件
8.3.1模型二
8.3.2控制臺端口
8.4軟件認證和升級
8.4.1授權認證
8.4.2升級軟件
8.4.3密碼恢復
8.5命令行接口
8.5.132作環(huán)境缺省配置
8.5.2管理訪問模式
8.5.3基本命令
8.5.4管理配置
8.6本章小結(jié)
第9章流通行
9.1引言
9.2允許出站流
9.2.1設置動態(tài)地址轉(zhuǎn)換
9.2.2禁止出站流
9.3允許入站流
9.3.1靜態(tài)地址轉(zhuǎn)換
9.3.2訪問列表
9.3.3通道
9.3.41CMP
9.3.5端口改道
9.4TurboACLS
9.5對象分組
9.6實例研究
9.6.1訪問列表
9.6.2通道和Outbound／Apply(入站
流／應用)
9.7本章小結(jié)
第10章高級PIX配置
10.1引言
10.2高級協(xié)議處理
10.2.1文件傳輸協(xié)議
10.2.2域命名服務
10.2.3簡單的郵件傳輸協(xié)議
10.2.4超文本傳輸協(xié)議
10.2.5遠程屏蔽
10.2.6遠程過程調(diào)用
10.2.7實時流協(xié)議、NetShow和
VDOLlve
10.2.8SOL*Net
10.2.9H.323和相關的應用程序
10.2.10 Skinny客戶控制協(xié)議+
10.2.11會話發(fā)起協(xié)議
10.2.12Intemet定位服務和輕量級
目錄訪問協(xié)議
10.3Web流過濾
10.3.1URLs過濾
10.3.2活動代碼過濾
10.3.3DHCP客戶端
10.3.4 DHCP服務器
10.4其他高級特征
10.4.1碎片整理保護
10.4.2AAAFloodguard
10.4.3SYNFloodguard
10.4.4逆向轉(zhuǎn)發(fā)
10.4.5單播路由
10.4.6Stub多播路由二
10.4.7PPPoE
10.5本章小結(jié)
第11章故障診斷與維修以及，哇能監(jiān)測
11.1引言
11.2硬件和電纜的故障診斷與維修
11.2.1PIX防火墻硬件的故障診斷
與維修
11.2.2PIX電纜的故障診斷與維修；
11.3連通性的故障診斷與維修
11.3.1尋址檢查
11.3.2路由檢查
11.3.3轉(zhuǎn)換檢查
11.3.4訪問查看
11.41Psec的故障診斷與維修
11.4.11K正
11.4.21Psec
11.5捕獲流
11.5.1顯示捕獲流
11.5.2下載捕獲流
11.6性能的監(jiān)測和故障診斷與維修
11.6.1CPU的性能監(jiān)測；
11.6.2內(nèi)存性能監(jiān)測
11.6.3Network性能監(jiān)測
11.6.4標識(1DENT)協(xié)議和
PIX'陛能
11.7本章小結(jié)
第12章安裝和配置VPN-l／FireWall—1 NG
防火墻3
12.1引言
12.2開始之前的準備工作
12.2.1獲得許可證
12.2.2給主機提供安全措施
12.2.3路由和網(wǎng)絡接口
12.2.4安裝VPN—1／FireWall-1NG
的準備工作
12.2.5從早期版本升級
12.3在Windows系統(tǒng)上安裝Check
PointVPN-1／FireWall-1NG
12.3.1從安裝盤進行安裝
12.3.2在Windows系統(tǒng)上配置Check
PointVPN-1／FireWall-1NG產(chǎn)品
12.4卸載在Windows系統(tǒng)上的Check
PointVPN-1／FireWall-1NG產(chǎn)品-
12.4.1卸載VPN-1&FireWall-1
12.4.2卸載SVNFoundation軟件包
12.4.3卸載管理客戶端軟件
12.5在Solaris系統(tǒng)上安裝Check
PointVPN-1／FireWall-1NG
12.5.1從光盤進行安裝
12.5.2在Solaris系統(tǒng)上配置Check
PointVPN-1／FireWall-1NG
軟件包
12.6卸載Solaris系統(tǒng)上的Check
PointVPN-1／FireWall-1NG產(chǎn)品
12.6.1卸載VPN-1&FireWall-1
12.6.2卸載SVN Foundation
12.6.3卸載管理客戶端軟件
12.7在Nokia系統(tǒng)上安裝Check
PointVPN-1／FireWall-1NG
12.7.1安裝VPN-1／FireWall-1NG
軟件包
12.7.2配置在Nokia系統(tǒng)上的
VPN-1／FireWall—1 NG
12.8本章小結(jié)
第13章使用圖形界面
13.1引言
13.2管理對象
13.2.1網(wǎng)絡對象
13.2.2服務
13.2.3資源
13.2.4OpenPlatformforSecurity(安
全性的開放平臺，OPSEC)應
用程序
13.2.5服務器
13.2.6內(nèi)部用戶
13.2.7時間
13.2.8虛擬鏈接
13.3添加規(guī)則
13.4全局屬性
13.4.1FW-1防火墻的隱含規(guī)則
13.4.2安全服務器
13.4.3身份驗證
13.4.4VPN-1
13.4.5 DesktopSecurity(桌面
安全性)
13.4.6VisualPolicyEditor(可視的
策略編輯器)
13.4.7網(wǎng)關的高可用性
13.4.8管理模塊的高可用性
13.4.9帶狀態(tài)的檢查
13.4.10 LDAP賬號管理
13.4.11網(wǎng)絡地址翻譯(NAT)
13.4.12ConnectControl(連接控制)
13.4.13開放的安全性擴展
13.4.14 LogandAlert(日志和警告).
13.5 SecureUpdate(安全升級程序)
13.6日志查看器(LogViewer)
13.7系統(tǒng)狀態(tài).
13.8本章小結(jié)
第14章創(chuàng)建安全策略
14.1引言
14.2使用安全策略的理由
14.3如何編寫安全策略
14.3.1安全設計
14.3.2防火墻的體系結(jié)構
14.3.3編寫策略
14.4實施安全策略
14.4.1默認和初始的策略
14.4.2將策略翻譯成規(guī)則
14.4.3操作規(guī)則
14.4.4策略選項
14.5安裝安全策略
14.6策略文件
14.7本章小結(jié)
第15章高級配置d
15.1引言
15.2CheckPoint的高可用性方法
(CPHA)
15.2.1啟用高可用性
15.2.2失敗恢復
15.2.3防火墻同步
15.3單入口點VPN配置(SEP)
15.3.1網(wǎng)關的配置
15.3.2策略配置
15.4多入口點VPN的配置(MEP)
15.4.1重疊的VPN域
15.4.2網(wǎng)關配置-
15.4.3重疊式VPN域
15.5其他的高可用性方法
15.5.1路由失敗恢復
15.5.2硬件選項
15.6本章小結(jié)
第16章配置虛擬專用網(wǎng)絡(VPN)
16.1引言
16.2加密模式
16.2.1加密算法；對稱和不對稱的
加密算法
16.2.2密鑰交換方法通道與即時
加密
16.2.3哈希(Hash)函數(shù)和數(shù)字簽名
16.2.4證書和證書授予者(CA)
16.2.5VPN的類型
16.2.6 VPN的域
16.3配置FWZ型W，N
16.3.1定義對象
16.3.2添加VPN規(guī)則
16.3.3FWZ的局限性
16.4配置IKEVPN
16.4.1定義對象
16.4.2添加VPN規(guī)則
16.4.3測試VPN
16.4.4對外部網(wǎng)絡的考慮
16.5配置SecuRemote上的ⅦN
16.5.1本地網(wǎng)關對象
16.5.2用戶加密屬性
16.5.3客戶端加密規(guī)則
16.6安裝SecuRemote客戶端軟件
16.7使用SecuRemote客戶端軟件
16.7.1修改Objects 5 0.C文件的
注意事項
16.7.2SecureDomainLogin(安全域
的登錄)
16.8本章小結(jié)
第17章Nokia安全平臺概述
17.1引言
17.2 NokiaIP系列設備簡介
17.3將管理變得更容易
17.4本章小結(jié)
第18章配置CheckPoint防火墻
18.1引言
18.2配置防火墻的準備工作
18.2.1獲取許可證
18.2.2配置主機的名稱
18.2.3解FireWall-1防火墻軟件
的可選項
18.3配置防火墻
18.3.1安裝軟件包
18.3.2啟用這個軟件包
18.3.31P傳遞和防火墻策略
18.3.4運行cpconfig命令
18.4測試防火墻的配置
18.4.1測試圖形用戶界面客戶的訪問.
18.4.2推送和取回策略
18.5升級防火墻
18.5.1從4.1SP6升級到NGFP2
18.5.2從NGFP2升級到NGFP3
18.5.3從NG版退回到4.1版
18.6本章小結(jié)
第19章VoyagerWeb界面介紹
19.1引言
19.2設備開箱之后的基本系統(tǒng)配置
19.2.1前端屏幕
19.2.2配置基本的接口信息
19.2.3添加一個默認的網(wǎng)關
19.2.4設置系統(tǒng)的時間、日期和時區(qū)
19.2.5配置域名系統(tǒng)和主機條目
19.2.6配置郵件中繼
19.2.7配置系統(tǒng)事件通知
19.3配置系統(tǒng)的安全性
19.3.1啟用SSH的接入訪問
19.3.2禁用Telnet訪問
19.3.3 FTP的一種替代方法
19.3.4實現(xiàn)FTP的安全性
19.3.5配置安全的套接字層
19.4解配置選項
19.4.1接口配置
19.4.2系統(tǒng)配置
19.4.3SNMP.
19.4.41Pv6.
19.4.5重新啟動和關閉系統(tǒng)
19.4.6安全性和訪問配置
19.4.7配置缺陷管理
19.4.8配置路由
19.4.9流量管理
19.4.10路由器服務
19.5本章小結(jié)
第20章系統(tǒng)管理基礎
20.1引言
20.2至新啟動操作系統(tǒng)
20.3管理軟件包
20.3.1安裝新的軟件包
20.3.2啟用和禁用軟件包
20.3.3刪除軟件包
20.4管IPSO映像
20.4.1升級到新的IPSO映像
20.4.2刪除映像文件
20.5管理用戶和組
20.5.1用戶
20.5.2組
20.6配置靜態(tài)路徑
20.7系統(tǒng)備份和恢復
20.7.1配置集(ConfigurationSets)—
20.7.2制作系統(tǒng)備份
20.7.3從備份中恢復
20.8系統(tǒng)日志
20.8.1本地系統(tǒng)日志
20.8.2遠程系統(tǒng)日志
20.8.3監(jiān)聽日志
20.9使用cron定時執(zhí)行的任務
20.10本章小結(jié)
第21章ISA服務器部署計劃和設計
21.1引言
21.21SA部署計劃與設計問題
21.2.1訪問網(wǎng)絡和硬件要求
21.2.2系統(tǒng)要求
21.2.3軟件要求
21.2.4處理器要求
21.3活動目錄的實現(xiàn)
21.4執(zhí)行關鍵任務的注意事項
21.4.1硬盤容錯
21.4.2網(wǎng)絡容錯
21.4.3服務器容錯
21.4.4堡壘主機配置
.2L5。計劃恰當韻安裝模式
、.21.5.1用防火墻模式安裝
21.5.2用緩存模式安裝
21.5.3用綜合模式安裝
21.5.4計劃一個單機或陣列配置
’21.5.5計劃ISA客戶機配置
21.5.6 Intemet連接和DNS的問題
21.6本章小結(jié)
第22章ISAServer的安裝
22.1引言
22.2全面落實安裝計劃
22.2.1安裝文件和許可權限
22.2.2 CDKey和產(chǎn)品許可證
22.2.3ActiveDirectory的問題
22.2.4服務器模式
22.2.51SAServer文件的磁盤位置
22.2.6內(nèi)部網(wǎng)絡ID~ll本地訪問表
22.2.7 1SAServer特性的安裝
22.3執(zhí)行安裝
22.3.11SAServer的安裝步驟
22.3.2將單機服務器升級成陣列成
員的步驟
22.3.31SAServer安裝之后的修改
22.4從MicrosoftProxyServer2.0移植
22.4.1移植的類型
22.4.2在Windows2000平臺上升
級Proxy2.0
22.4.3在WindowsNT4.0上升級
Proxy2.0的安裝
22.5本章小結(jié)
第23章ISAServer的管理+
23.1引言
23.2解集中式管理
23.2.11SA管理控制臺
23.2.21SA向?qū)?br />23.3執(zhí)行常規(guī)管理任務
23.3.1配置對象權限
23.3.2管理陣列成員.
23.4使用監(jiān)視、警報、日志和報表功能
23.4.1創(chuàng)建、配置和監(jiān)視警報
23.4.2監(jiān)視會話
23.4.3使用日志
23.4.4生成報表
23.5解遠程管理.
23.5.1安裝ISA管理控制臺
23.5.2使用終端服務進行ISA
遠程管理
23.6本章小結(jié)
窘24章ISAServer的優(yōu)化、自定義、整
合和備份
24.1引言
24.2 1SAServer的性能優(yōu)化
24.2.1建立基準和監(jiān)視性能
24.2.2常規(guī)性能問題的討論
24.3自定義ISASewer
24.3.1使用ISAServer軟件開發(fā)
包(SDK)
24.3.2使用第三方加載程序
24.4 1SAServer同其他服務的整合
24.4.1理解ActiveDirectory的互用性.，
24.4.2理解路由和遠程訪問服務的
互用性
24.4.3理解Intemet信息服務器的
互用性
24.4.4理解IPSecurity的互用性
24.4.5將ISAServer整合到一個
WindowsNT4.0域中
24.5備份和恢復ISA配置
24.5.1備份原理
24.5.2備份和恢復單機服務器配置
24.5.3備份和恢復陣列與企業(yè)配置
24.6本章小結(jié)
第25章ISAServer故障診斷
25.1引言
25.2故障診斷的準則
25.2.1故障診斷五大步驟
25.2.21SAServer和Windows2000
診斷工具
25.2.31SAServer診斷資源++’.；；；；
25.31SAServer安裝和配置問題的故
障診斷
25.3.1硬件和軟件兼容性問題
25.3.2初始配置問題
25.4驗證和訪問問題的故障診斷
25.4.1驗證問題
25.4.2訪問問題
25.4.3撥號和VPN問題
25.51SA客戶機問題的故障診斷··(
25.5.1客戶機性能故障.；(
25.5.2客戶機連接故障(
25.6緩存和發(fā)布問題的故障診斷(
25.6.1緩存問題
25.6.2發(fā)布問題‘
25.7本章小結(jié)4
第26章ISAServer發(fā)布的高級服務器(
26.1引言
26.2禁用套接字共享
26.2.1禁用Web和FTP服務的套
接字共享
26.2.2禁用SMTP和NNTP服務的
套接字共享
26.2.3在ISA服務器上禁用IlS服務
26.3服務器發(fā)布
26.3.1在內(nèi)網(wǎng)上發(fā)布終端服務
26.3.2在ISA服務器上發(fā)布終端服務
26.3.3在ISAServer和內(nèi)部網(wǎng)絡上
發(fā)布終端服務
26.3.4發(fā)布TSAC站點
26.3.5在內(nèi)部網(wǎng)上發(fā)布FTP服務器
26.3.6發(fā)布FTP服務器協(xié)同定位
ISA服務器
26.3.7使用Web發(fā)布規(guī)則以實現(xiàn)
安全的FTP訪問
26.3.8使用服務器發(fā)布規(guī)則發(fā)布HTT
和HTTPS(SSL)服務器
26.3.9在內(nèi)網(wǎng)上發(fā)布pcAnywhere.
26.4 Web發(fā)布
26.4.1進入Web請求監(jiān)聽程序
26.4.2目標集合
26.4.3公共DNS入口
26.4.4私有的DNS入口
26.4.5在ISA服務器上終止SSL連接
26.4.6橋接SSL連接
26.4.7使用SSL的安全FTP連接
26.4.8發(fā)布一臺認證服務器
26.5本章小結(jié)
第27章配置ISA服務器郵件服務保護，
27.1引言
27.2在ISA服務器上配置郵件服務
27.2.1在ISA服務器上發(fā)布IIS
SMTP服務
27.2.2 1SA服務器上的Message
SCreener
27.2.3在ISA服務器上發(fā)布交換
服務器
27.2.4在ISA服務器上發(fā)布Outlook
Web AcceSS.
27.2.51SA服務器和交換服務器上的
Messagescreener
27.3在內(nèi)網(wǎng)上配置郵件服務
27.3.1在內(nèi)網(wǎng)上發(fā)布Exchange服務器—
27.3.2ExchangeRPC發(fā)布
27.3.3在內(nèi)網(wǎng)交換服務器上發(fā)布
OutlookWebAccess.，
27.3.4內(nèi)部網(wǎng)絡交換服務器上的
MeSSageSCreener
27.4GFI郵件安全與SMTP服務器
郵件實質(zhì)
27.4.1安全郵件版本
27.4.2為SMTP網(wǎng)關安裝安全郵件
27.4.3配置安全郵件
27.5本章小結(jié)