前言
第一部分 FireWall-1概述与配置
第1章 防火墙技术介绍 1
1.1 防火墙技术概述 1
1.1.1 Check Point优点 4
1.1.2 谈谈非军事区 5
1.1.3 认证问题 5
1.1.4 对周边的信任 6
1.1.5 防火墙类型 6
1.1.6 第二代应用级防火墙 7
1.2 Check Point的状态检查 7
1.3 选择 Check Point FireWall-1的原因 8
1.4 关于安全策略 9
1.5 考虑物理安全问题 11
1.6 结论 11
第2章 Check Point FireWall-1体系结构 12
2.1 状态检查 12
2.1.1 包过滤器 12
2.1.2 应用级 12
2.1.3 状态检查 13
2.1.4 FireWall-1管理模块 14
2.1.5 客户机/服务器 14
2.1.6 FireWall-1防火墙模块 16
2.1.7 指定方向 17
2.2 INSPECT 17
2.3 FireWall-1 核心 22
2.4 FireWall-1 守护进程 23
2.5 安全无连接协议 23
2.6 安全动态分配的端口连接 23
2.7 基于UDP 的应用程序 24
2.8 网络目标管理器 26
2.9 用户管理器 27
2.10 服务管理器 27
2.11 系统状态监视器 28
2.12 认证 29
2.12.1 用户认证 29
2.12.2 客户认证 30
2.12.3 话路认证 30
2.13 HTTP安全服务器 31
2.14 路由器扩展模块 31
2.15 FireWall-1性能 31
2.16 FireWall-1安全配套 33
2.17 结论 33
第3章 Check Point FireWall-1安装与配置 34
3.1 安装FireWall-1 34
3.1.1 路由 34
3.1.2 IP 转发 34
3.1.3 DNS 34
3.1.4 IP地址 34
3.1.5 连通性 35
3.2 首次安装FireWall-1 35
3.3 升级到FireWall-1的新版本 35
3.3.1 FireWall-1 数据库 36
3.3.2 选择适当的组件安装 36
3.3.3 软件分布与要求 37
3.3.4 安装过程 38
3.3.5 安装组件 39
3.3.6 配置 42
3.3.7 卸载 FireWall-1(NT) 49
3.3.8 重新配置FireWall-1(NT) 49
3.4 UNIX安装 49
3.5 在UNIX上配置FireWall-1 50
3.6 许可 53
3.7 结论 53
第二部分 管理FireWall-1安全策略
第4章 安全策略 55
4.1 设置安全策略来管理FireWall-1 55
4.1.1 安全策略 55
4.1.2 服务 57
4.1.3 日志和报警 58
4.1.4 路由器访问表 60
4.1.5 SYNDefender 61
4.2 结论 66
第5章 为FireWall-1设置规则库 67
5.1 GUI配置编辑器 68
5.2 更复杂的拓扑 70
5.3 设置SMTP服务器规则 76
5.4 设置Web服务器规则 78
5.5 认证 81
5.6 结论 85
第6章 Check Point FireWall-1的高级
安全功能 86
6.1 内容安全 86
6.2 统一资源识别器 87
6.3 URL 过滤 88
6.3.1 定义UFP服务器 88
6.3.2 定义资源 88
6.3.3 定义规则 89
6.4 邮件 89
6.5 FTP 90
6.6 CVP检查 90
6.7 TCP SYN 泛滥 93
6.7.1 TCP SYN 握手 93
6.7.2 理解SYN 泛滥攻击 94
6.8 Check Point的 SYNDefender 解决方案 94
6.8.1 SYNDefender 中继 95
6.8.2 SYNDefender 网关 95
6.9 将SYNDefender与FireWall-1一起使用 96
6.9.1 使用SYNDefender中继 96
6.9.2 使用SYNDefender 网关 96
6.10 FireWall-1 HTTP安全服务器 96
6.11 HTTP安全服务器参数 97
6.12 HTTP服务器 97
6.13 重认证选项 98
6.14 认证类型 98
6.15 口令提示 99
6.16 多用户与口令 99
6.17 “原因”信息 100
6.18 关于代理服务器 100
6.19 防欺骗 101
6.20 结论 102
第7章 加密技术 103
7.1 使用密码技术加强数据完整性 103
7.1.1 使用私钥 103
7.1.2 非对称密钥加密/公钥加密 107
7.1.3 报文摘要算法 109
7.1.4 使用证书 111
7.1.5 谈谈密钥管理 118
7.1.6 密钥交换算法 125
7.1.7 密码技术应用与应用编程接口 126
7.2 密码技术和防火墙 127
第8章 Check Point FireWall-1虚拟
专用网技术 130
8.1 外联网的安全基础 130
8.2 使用FireWall-1资源 133
8.2.1 安全性 134
8.2.2 流量控制/性能 134
8.2.3 企业管理 135
8.3 FireWall-1与证书机构 135
8.3.1 FireWall-1支持的加密方案 136
8.3.2 FWZ加密方案 136
8.3.3 手控IPSec 加密方案 136
8.3.4 SKIP 加密方案与FireWall-1 137
8.3.5 ISAKMP/OAKLEY 加密方案 137
8.4 配置FireWall-1加密 138
8.4.1 加密域 138
8.4.2 密钥管理 139
8.4.3 有关加密的说明 139
8.5 其他FireWall-1 加密方案 142
8.5.1 Microsoft的Windows PPTP 144
8.5.2 Microsoft虚拟专用网 147
8.5.3 认证和加密 151
8.6 结论 151
第9章 FireWall-1 SecuRemote 152
9.1 配置FireWall-1 SecuRemote客户机加密 152
9.1.1 产品特征 153
9.1.2 智能操作 154
9.1.3 SecuRemote软件 154
9.1.4 封装 155
9.1.5 SecuRemote的安装 156
9.1.6 定义站点 160
9.1.7 加密方法 163
9.1.8 认证方法 163
9.1.9 卸载SecuRemote客户程序 168
9.1.10 修改网络配置 169
9.2 结论 170
第10章 INSPECT语言 171
10.1 编写一个检查脚本语句 172
10.2 测试脚本 172
10.3 INSPECT句法 173
10.4 保留字 176
第三部分 高级配置安装
第11章 保护企业互连体系结构的
开放平台 177
11.1 企业—一个同时代的展望 177
11.2 网络安全要求 177
11.3 行业标准与标准协议 178
11.3.1 RADIUS 178
11.3.2 X.509 179
11.3.3 SNMP 179
11.3.4 LDAP 180
11.4 OPSEC结构—概述 180
11.5 Check Point定义的开放协议和应用
编程接口 181
11.5.1 内容矢量协议API 182
11.5.2 URL过滤协议API 183
11.5.3 可疑活动监控协议API 183
11.5.4 日志输出API 184
11.5.5 事件日志API 184
11.6 OPSEC 管理界面 184
11.7 用INSPECT语言编写的安全应用程序 184
11.8 在行业平台的最宽阵列中嵌入INSPECT
虚拟机器或者全面的FireWall-1 185
11.9 OPSEC联盟 185
11.9.1 满足基于策略集成的需求 185
11.9.2 OPSEC 联盟伙伴 186
11.9.3 OPSEC 联盟伙伴的利益 186
11.9.4 大挑战 187
第12章 网络活动配置与日志 190
12.1 防火墙同步 190
12.1.1 防火墙同步的益处 190
12.1.2 问题 191
12.1.3 配置同步 191
12.2 负载均衡 191
12.3 日志 192
12.3.1 日志查看器选项 199
12.3.2 日志管理 200
12.4 结论 200
第13章 高级防火墙安全主题 202
13.1 防火墙面临的挑战: World Wide Web 202
13.1.1 基本Web 203
13.1.2 监控HTTP协议 205
13.1.3 使用S-HTTP协议 205
13.1.4 使用SSL增强安全性 206
13.1.5 小心使用超高速缓存Web 207
13.1.6 堵住漏洞: 配置检验列表 207
13.1.7 安全检验列表 208
13.1.8 小心Novell的HTTP 208
13.1.9 注意基于UNIX的Web服务器安全
问题 208
13.1.10 注意公共网关接口 208
13.2 不安全的API与防火墙之间的相互
作用 224
13.2.1 套接字 224
13.2.2 BSD 套接字 227
13.2.3 Windows套接字 228
13.3 Java API 228
13.3.1 Perl模块 229
13.3.2 CGI脚本 231
13.3.3 ActiveX 232
13.3.4 分布式处理 233
13.3.5 用防火墙保护以Web为核心的环境 234
13.3.6 通过防火墙的代码 244
第四部分 附录
附录A TCP/IP 传输层协议 249
附录B TCP/IP 应用层协议 256
附录C 术语表 264
附录D 参考书目 278