译者序
前言
第一部分 TCP/IP及其安全需求:防火墙
第1章 网络互连协议和标准概述 1
1.1 网际协议 3
1.1.1 IP寻址 3
1.1.2 IP安全风险 4
1.2 用户数据报协议 7
1.2.1 攻击用户数据报协议服务:SATAN 轻松
应对 7
1.2.2 用于UNIX和Windows NT上的因特网
安全系统 7
1.3 传输控制协议 9
1.4 通过CIDR扩展IP地址 11
1.4.1 TCP/IP安全风险及其对策 11
1.4.2 IPSEC—IETF提出的IP安全对策 15
1.4.3 IPSO—(美)国防部IP安全对策 15
1.5 路由信息协议 15
1.6 MBONE—多播骨干网 16
1.7 因特网控制报文协议 18
1.8 因特网组管理协议 18
1.9 开放式最短路径优先 19
1.10 边界网关协议版本4(BGP-4) 20
1.11 地址转换协议 20
1.11.1 反向地址转换协议 20
1.11.2 通过路由器传递IP数据报的安全
风险 20
1.12 简单网络管理协议 21
1.13 监视ISP连接 21
1.14 下一代IP协议IPv6 21
1.14.1 地址扩展 22
1.14.2 网络设备的自动配置 22
1.14.3 安全性 22
1.14.4 实时性能 22
1.14.5 多播 23
1.14.6 IPv6安全性 23
1.15 网络时间协议 23
1.16 动态主机配置协议 23
1.17 Windows套接字(Winsock)标准 24
1.18 域名系统 24
1.19 防火墙概念 24
1.19.1 防火墙缺陷 27
1.19.2 停火区 27
1.19.3 认证问题 28
1.19.4 周边信任 28
1.19.5 内部网 28
第2章 基础连接 30
2.1 关于TTY 31
2.2 UNIX to UNIX Copy 33
2.3 SLIP和PPP 34
2.4 Rlogin 34
2.5 虚拟终端协议 35
2.5.1 哥伦比亚大学的Kermit:一种安全
可靠的Telnet服务器 35
2.5.2 Telnet服务的安全考虑 40
2.5.3 网络安全系统管理员 40
2.5.4 Telnet会话安全检查表 42
2.6 简单文件传输协议 43
2.7 文件传输协议 44
2.8 使用防火墙的一些挑战 45
2.9 IP网络日益增加的安全需求 47
第3章 加密:足够吗 48
3.1 引言 50
3.2 对称密钥加密(私有密钥) 50
3.2.1 数据加密标准 50
3.2.2 国际数据加密算法 52
3.2.3 CAST算法 53
3.2.4 Skipjack算法 58
3.2.5 RC2/RC4算法 59
3.3 非对称密钥加密/公开密钥加密 59
3.3.1 RSA 60
3.3.2 数字签名标准 61
3.4 消息摘要算法 62
3.4.1 MD2. MD4和MD5 62
3.4.2 安全哈希标准/安全哈希算法 64
3.5 证书 64
3.6 密钥管理 71
3.6.1 Kerberos协议 71
3.6.2 密钥交换算法 78
3.7 密码分析与攻击 79
3.7.1 唯密文攻击 79
3.7.2 已知明文攻击 79
3.7.3 选择明文攻击 80
3.7.4 自适应选择明文攻击 80
3.7.5 中间人攻击 80
3.7.6 选择密文攻击 80
3.7.7 选择密钥攻击 80
3.7.8 软磨硬泡密码分析 80
3.7.9 时间攻击 81
3.8 加密应用程序及应用程序编程接口 82
3.8.1 数据保密及安全通信信道 82
3.8.2 认证 84
3.8.3 认证码 84
3.8.4 NT安全支持服务接口 85
3.8.5 Microsoft 加密API 86
第4章 防火墙面临的挑战:基础Web 91
4.1 HTTP 91
4.1.1 基础Web 92
4.1.2 怎样监视HTTP协议 94
4.1.3 利用S-HTTP 95
4.1.4 使用SSL增强安全性 95
4.1.5 小心Web缓存 96
4.1.6 堵住漏洞:一个配置检查表 96
4.1.7 安全检查表 97
4.1.8 Novell的HTTP协议:小心为妙 97
4.1.9 监视基于UNIX的Web服务器的安全
问题 97
4.2 URI/URL 98
4.2.1 文件URL 99
4.2.2 Gopher URL 99
4.2.3 新闻URL 99
4.2.4 部分URL 99
4.3 CGI 100
第5章 防火墙面临的挑战:高级Web 113
5.1 扩展Web服务器:危险不断增加 113
5.1.1 ISAPI 113
5.1.2 NSAPI 119
5.1.3 servlet 120
5.1.4 服务器端ActiveX服务器 122
5.1.5 Web数据库网关 124
5.1.6 电子邮件应用系统的安全 124
5.1.7 Macromedia的Shockwave 126
5.2 Web页面中的代码 127
5.2.1 Java applet 128
5.2.2 ActiveX控件和安全威胁 130
5.2.3 采用面向对象技术 135
第6章 API的安全漏洞及防火墙的交互 138
6.1 套接字 138
6.2 Java API 141
6.3 在制造业和商业环境中Java可以帮助联合
各种平台 142
6.3.1 Java能够运用控制来帮助集成ERP 143
6.3.2 Java 计算为制造业带来利益 144
6.3.3 JCAF简化了制造业应用程序的开发 145
6.3.4 由中间件提供后端服务 146
6.3.5 带有Java的应用程序有助于制造业合
为一体 147
6.3.6 Jini能够满足制造业和企业的需求吗 149
6.3.7 企业版JavaBeans提供可达性和可
升级性 151
6.3.8 Java/CORBA与DCOM的比较 152
6.3.9 主要的Java产品供应商 153
6.4 Perl 模块 155
6.5 CGI 脚本 157
6.6 ActiveX 158
6.7 分布式处理 159
6.7.1 XDR/RPC 159
6.7.2 RPC 160
6.7.3 COM/DCOM 160
第二部分 防火墙的实现和局限
第7章 究竟什么是因特网/内部网防火墙 161
7.1 什么是防火墙 161
7.2 防火墙的作用 162
7.2.1 防火墙的保护职责 163
7.2.2 防火墙的访问控制 163
7.3 防火墙的安全职责 164
7.4 提高防火墙保密性 164
7.5 防火墙的优点和缺陷 164
7.5.1 访问限制 164
7.5.2 后门威胁:Modem接入 165
7.5.3 内部攻击 165
7.6 防火墙的构成 165
7.6.1 网络安全策略 165
7.6.2 包过滤 169
7.7 防火墙的获取 171
7.7.1 需求评估 171
7.7.2 购买防火墙 172
7.7.3 建造防火墙 173
7.7.4 安装 173
7.8 安装防火墙时通常应注意的问题 175
7.9 管理防火墙 179
7.9.1 管理专门知识 179
7.9.2 系统管理 179
7.10 电路层网关和包过滤 179
7.10.1 包过滤 180
7.10.2 应用网关 180
7.10.3 IP层过滤 180
7.11 防火墙与Cyberwall 180
第8章 因特网服务的脆弱性 184
8.1 保护和设置易受攻击的服务 184
8.1.1 电子邮件安全威胁 184
8.1.2 简单邮件传输协议 184
8.1.3 邮局协议 189
8.1.4 通用因特网邮件扩充协议 189
8.2 文件传输问题 199
8.2.1 文件传输协议 199
8.2.2 次要文件传输协议 201
8.2.3 文件服务协议 202
8.2.4 UNIX 到UNIX 拷贝协议 202
8.3 网络新闻传输协议 202
8.4 Web和HTTP协议 203
8.4.1 代理HTTP 204
8.4.2 HTTP安全漏洞 204
8.5 会议系统安全性 205
8.6 注意以下这些服务 206
8.6.1 Gopher 206
8.6.2 finger 206
8.6.3 whois 207
8.6.4 Talk 207
8.6.5 IRC 207
8.6.6 DNS 208
8.6.7 网络管理站 208
8.6.8 简单网络管理协议 208
8.6.9 traceroute 209
8.6.10 网络文件系统 210
8.7 保密性和完整性 210
第9章 建立防火墙安全策略 212
9.1 评定公司安全风险 212
9.2 了解和估计威胁 216
9.2.1 病毒威胁 216
9.2.2 外部威胁 217
9.2.3 内部威胁 217
9.3 浅谈安全漏洞 218
9.4 设置安全策略 219
第10章 防火墙的设计与实现 224
10.1 基本知识的回顾 224
10.2 防火墙的选择 226
10.3 安全策略的考虑 227
10.3.1 关于物理安全问题的讨论 229
10.3.2 关于访问控制的讨论 229
10.3.3 关于认证的讨论 229
10.3.4 关于加密的讨论 229
10.3.5 关于安全审计的讨论 229
10.3.6 关于培训的讨论 229
10.4 网络遭受攻击时, 应采取的处理措施 230
10.5 事故的处理 230
10.5.1 以网络信息服务为破坏工具 231
10.5.2 以远程登录/外壳服务为破坏工具 232
10.5.3 以网络文件系统为破坏工具 232
10.5.4 以FTP服务为破坏工具 232
10.6 事故处理指南 233
10.6.1 评估形势 234
10.6.2 切断链接 234
10.6.3 分析问题 234
10.6.4 采取措施 235
10.7 抓住入侵者 235
10.8 安全检查 235
10.9 起诉黑客 236
10.10 保护公司的站点 236
第11章 代理服务器 238
11.1 SOCKS 243
11.2 tcpd, TCP Wrapper 245
第12章 防火墙维护 248
12.1 让防火墙保持协调 249
12.2 系统监控 251
12.3 预防性和恢复性维护 251
12.3.1 防止防火墙出现安全缺口 253
12.3.2 鉴别安全漏洞 253
12.4 更新防火墙 253
第13章 防火墙工具包与个案分析 255
13.1 个案分析:实现防火墙 255
13.2 给大型机构构建防火墙:应用级防火墙
和包过滤—一个混合系统 256
13.3 给小型组织构建防火墙:包过滤或应用
级防火墙—代理实现 256
13.4 在子网体系结构中构建防火墙 256
第三部分 防火墙资源指南
第14章 防火墙类型及市场产品介绍 257
14.1 Check Point的Firewall-1—状态检测
技术 257
14.1.1 Firewall-1的检查模块 257
14.1.2 状态检测 259
14.2 CYCON的Labyrinth Firewall—迷宫式
系统 267
14.3 Net Guard的Guardian 防火墙系统—
Mac 层状态检测 276
14.4 Cyber Guard的Cyber Guard防火墙 284
14.4.1 可信任操作系统 285
14.4.2 直观的远程图形用户界面
(GUI) 286
14.4.3 动态状态规则技术 287
14.4.4 可确认技术 289
14.4.5 系统需求 289
14.5 Raptor的防火墙:一个应用级结构 290
14.5.1 增强网络各层的安全性 291
14.5.2 Raptor 防火墙(6.0)加强了对NT的
管理 295
14.5.3 对专用安全代理的依赖 295
14.5.4 使用Eagle系列Raptor防火墙 296
14.5.5 系统需求 299
14.6 Milkyway的SecurIT FIREWALL 300
14.6.1 防弹防火墙 301
14.6.2 系统需求 309
14.7 WatchGuard Technologies的WatchGuard
防火墙系统—利用所有主要防火墙方
法组合防火箱 309
14.7.1 WatchGuard 概述 310
14.7.2 WatchGuard的安全管理系统 311
14.7.3 WatchGuard的防火箱 313
14.7.4 WatchGuard的总控制台 313
14.7.5 WatchGuard 图形监视器 314
14.7.6 WatchGuard报告系统 316
14.7.7 WatchGuard WebBlocker 317
14.7.8 WatchGuard SchoolMate 318
14.7.9 WatchGuard的VPN向导 319
14.7.10 系统需求 319
14.8 AltaVista Software的Firewall 98—主动
防火墙 319
14.8.1 AltaVista防火墙 320
14.8.2 服务:安全问题 321
14.8.3 安全性:支持SSL 322
14.8.4 管理特征:通过隧道进行远程
管理 322
14.8.5 URL和Java阻塞 323
14.8.6 增强型代理 323
14.8.7 强有力的. 灵活的认证 324
14.8.8 双DNS服务器 324
14.8.9 DMZ支持 325
14.8.10 配置 325
14.8.11 硬件需求 325
14.9 ANS Communication的InterLock 防火墙
—一个双宿主应用级网关 326
14.9.1 ANS InterLock 327
14.9.2 ANS InterLock服务 328
14.9.3 InterLock的访问控制 328
14.9.4 InterLock的访问管理 331
14.9.5 ANS InterLock的入侵检测服务 332
14.9.6 InterLock的安全特征总结 333
14.10 Global Technology的Gnat Box 防火墙
—一个软盘里的防火墙 333
14.10.1 认识GNAT Box防火墙 334
14.10.2 标准特征 337
14.10.3 什么是GNAT Box防火墙 338
14.11 Network-1 software and Technology
的FireWall/Plus—一种高性能多
协议防火墙 345
14.11.1 关于FireWall/Plus 345
14.11.2 FireWall/Plus的安装. 设置和
使用 347
14.11.3 为FireWall/Plus选择一个系统
默认的规则库 348
14.11.4 性能统计 349
14.11.5 附加和扩充的过滤器 349
14.11.6 FireWall/Plus功能小结 352
14.11.7 Network-1公司的Cyberwall
PLUS 352
14.11.8 系统需求 355
14.12 Trusted Information System的Gauntlet Internet
—一种基于应用层代理的防火墙 355
14.12.1 TIS Gauntlet Internet防火墙 357
14.12.2 防火墙对用户透明 358
14.12.3 对远地公司进行扩充的防火墙
保护 359
14.12.4 Gauntlet PC Extender 359
14.13 Technologic的 Interceptor防火墙, 一
个直觉的防火墙 360
14.13.1 Technologic的Interceptor防火墙
概述 361
14.13.2 Interceptor的组成部分 362
14.13.3 系统需求 366
14.14 Sun的Sunscreen EFS 防火墙—
一个状态检查防火墙 366
14.14.1 SunScreen 模型 367
14.14.2 安全访问控制 368
14.14.3 管理的简化 369
14.14.4 SunScreen SPF-200和SunScreen EFS
安全解决方案 370
14.14.5 SunScreen SPF-200 370
14.14.6 SunScreen EFS 371
14.14.7 系统需求 372
14.14.8 Solstice Firewall-1 3.0 372
14.15 Secure Computing的 BorderWare 防火墙:
包过滤和电路级网关的有机组合 374
14.15.1 BorderWare 防火墙服务器 374
14.15.2 BorderWare应用服务 379
14.15.3 安全特性 381
14.16 Ukiah Software的NetRoad FireWALl
—一种多层体系结构防火墙 382
14.16.1 NetRoad防火墙(Windows NT和
Netware版) 383
14.16.2 NetWare和NT 防火墙支持 386
14.16.3 NetRoad FireWALL平台的发展
趋势 387
14.16.4 系统需求 388
14.17 Secure Comptuting的Sidewinder Firewall
—一种类型增强安全 388
14.17.1 类型增强安全专利 389
14.17.2 远程管理 391
14.17.3 访问控制 391
14.17.4 广泛的事件监视 393
14.17.5 高级过滤 394
14.18 IBM的 eNetwork Firewall—另一
种类型增强安全 395
14.18.1 用于AIX的IBM防火墙3.1版 396
14.18.2 IBM防火墙的主要特征 400
14.18.3 通过虚拟专用网进行通信 401
14.18.4 管理防火墙 403
14.18.5 系统需求 404
第四部分 附 录
附录A 防火墙销售商和相关工具 405
附录B 术语表 417
参考书目 428