防火墙核心技术精解

第1章介绍信息安全
1.1引言
1.2安全隐患和Intemet
1.2.1定义信息安全
1.2.2常用信息安全概念
1.2.3知识就是力量
1.2.4和小偷一样思考
1.2.5杜绝入侵机会
1.3威胁和攻击。；
1.3.1物理安全
1.3.2网络安全
1.3.3解入侵动机
1.3.4安全解决方案分类
1.3.5基础知识TCP／UDP常用端口
1.3.6攻击类型
 1.4安全策略
1.4.1防止有意的内部安全漏洞
1.4.2分配网络安全的责任
1.4.3开发安全计划和策略的责任
1.4.4设计企业安全策略
1.4.5评估安全需求
1.4.6理解安全级别
1.4. 7制定安全目标
1.5创建安全策略
1.6保护信息技术
1.7使用SSL和安全Shell
1.8其他硬件安全设备
1.8.1监测活动
1.8.2防止未授权的外部入侵和攻击
1.9本章小结
第2章防火墙的概念
2.1引言
2.2防火墙的定义
2.3网络和防火墙
2.3.1防火墙接口内部的、外部的和
DMZ
2.3.2防火墙策略
2.3.3地址转换
2.3.4虚拟专用网络
2.4常用的防火墙
2.4；1基于硬件的防火墙
2.4.2防火墙软件
2.5本章小结
第3章DMZ的概念、布局和设计方案
3.1引言
3.2 DMZ基础
3.2.1 DMZ的概念
3.2.2流量的概念
3.2.3含有和不含有DMZs的网络
3.3DMZ设计基本原理
3.3.1为什么设计如此重要
3.3.2网络上主机间数据传输的终
端对终端的安全性设计
3.3.3流和协议的基本原理
3.3.4有关TCP／IPv4的保护设计
3.3.5公共和私人IP地址
3.3.6端口
3.3.7使用防火墙保护网络资源
3.3.8流和安全风险
3.4高级风险
3.4.1商业伙伴间的连接
3.4.2Web~llFTP地址
3.4.3高级设计策略
3.4.4高级DMZ设计概念
3.4.5DMZ的高利用率和故障转移
3.5本章小结
第4章入侵检测系统入门
4.1引言
4.2什么是入侵检测
4.2.1网络IDS
4.2.2基于主机的IDS
4.2.3分布式IDS
4.3什么是入侵
4.4为何入侵监测系统很重要
4.4.1为何攻击者对我有兴趣
4.4.21DS是在哪里和我的安全计划
的其余部分相匹配的
4.4.3我的防火墙是作为IDS工作的么
4.4.4我还应该到哪些地方检查入侵
4.5用入侵检测还能做什么
4.5.1监测DatabaseACCeSS
4.5.2监测DNS功能
4.5.3 E-Mail服务器保护
4.5.4使用IDS来检测我的公司策略
4.6本章小结
第5章用Ipchains和Iptables实施防火墙
5.1引言
5.2理解防火墙的需求
5.3配置IP传送和伪装功能
5.4配置你的防火墙来过滤网络包
5.4.1定制自己的网络过滤功能
5.4.2配置内核
5.5理解Linux防火墙中的表格和链
5.5.1建立目标和用户定义链
5.5.2使用Ipchains来伪装链接
5.5.3使用Iptables
5.6在防火墙上记录包
5.6.1设置记录限制
5.6.2增加和删除包过滤规则
5.6.3在Ipchains和Iptables中重定
向端口
5.7配置防火墙
5.8计算带宽使用率
5.9使用并获得自动化防火墙脚本和图
形防火墙工具
5.9.1权衡图形防火墙工具的优点
5.9.2在过程中防火墙的工作
5.10本章小结
第6章维护开放源代码的防火墙
6.1引言
6.2测试防火墙
6.2.11P伪装
6.2.2打开端H／Daemon(后台程序)
6.2.3检测系统硬件驱动、RAM和
处理器
6.2.4可疑的用户、登录和登录时间
6.2.5检查规则数据库
6.2.6检验与公司管理者和终端用
户的链接
6.2.7端口扫描
6.3使用Telnet、Ipchains、Netcat和
SendlP来检测你的防火墙
6.3.11pchains.
6.3.2Telnet
6.3.3Netcat
6.3.4 SendIP包伪造器
6.4理解防火墙记录、阻塞和警报选项
6.4.1防火墙记录程序
6.4.2fwlogwatch.
6.4.3自动fwlogwatch
6.4.4使用带有CGI脚本的fwlogwatch.
6.5获取其他的防火墙记录工具
6.6本章小结
第7章将Solaris配置成安全路由器和
防火墙
7.1引言
7.2将Solaris配置为安全路由器
7.2.1推论和基本原理
7.2.2路由选择条件
7.2.3为路由进行配置
7.2.4最佳安全性
7.2.5安全的含义
7.2.6未配置的Solaris路由
7.3 1Pv6路由选择
7.3.1配置文件
7.3.2 1Pv6程序
7.3.31Pv6路由设置过程
7.3.4停用IPv6路由选择功能
7.41PVersion6主机
7.4.1自动配置
7.4.2手工配置
7.4.3将Solaris配置为一个安全网关
7.5将Solaris配置为防火墙
7.5.1通用防火墙理论
7.5.2通用防火墙设计
7.5.3SunScreenLite
7.5.4 1P过滤器
7.5.5使用NAT；.
7.6本章小结
第8章PIX防火墙的介绍
8.1引言
8.2防火墙的特征
8.2.1嵌入式操作系统
8.2.2自适应的安全算法
8.2.3高级协议处理
8.2.4 VPN支持
8.2.5 URL过滤
8.2.6NAT和n＼T
8.2.7高可用性
8.3PIX硬件
8.3.1模型二
8.3.2控制台端口
8.4软件认证和升级
8.4.1授权认证
8.4.2升级软件
8.4.3密码恢复
8.5命令行接口
8.5.132作环境缺省配置
8.5.2管理访问模式
8.5.3基本命令
8.5.4管理配置
8.6本章小结
第9章流通行
9.1引言
9.2允许出站流
9.2.1设置动态地址转换
9.2.2禁止出站流
9.3允许入站流
9.3.1静态地址转换
9.3.2访问列表
9.3.3通道
9.3.41CMP
9.3.5端口改道
9.4TurboACLS
9.5对象分组
9.6实例研究
9.6.1访问列表
9.6.2通道和Outbound／Apply(入站
流／应用)
9.7本章小结
第10章高级PIX配置
10.1引言
10.2高级协议处理
10.2.1文件传输协议
10.2.2域命名服务
10.2.3简单的邮件传输协议
10.2.4超文本传输协议
10.2.5远程屏蔽
10.2.6远程过程调用
10.2.7实时流协议、NetShow和
VDOLlve
10.2.8SOL*Net
10.2.9H.323和相关的应用程序
10.2.10 Skinny客户控制协议+
10.2.11会话发起协议
10.2.12Intemet定位服务和轻量级
目录访问协议
10.3Web流过滤
10.3.1URLs过滤
10.3.2活动代码过滤
10.3.3DHCP客户端
10.3.4 DHCP服务器
10.4其他高级特征
10.4.1碎片整理保护
10.4.2AAAFloodguard
10.4.3SYNFloodguard
10.4.4逆向转发
10.4.5单播路由
10.4.6Stub多播路由二
10.4.7PPPoE
10.5本章小结
第11章故障诊断与维修以及，哇能监测
11.1引言
11.2硬件和电缆的故障诊断与维修
11.2.1PIX防火墙硬件的故障诊断
与维修
11.2.2PIX电缆的故障诊断与维修；
11.3连通性的故障诊断与维修
11.3.1寻址检查
11.3.2路由检查
11.3.3转换检查
11.3.4访问查看
11.41Psec的故障诊断与维修
11.4.11K正
11.4.21Psec
11.5捕获流
11.5.1显示捕获流
11.5.2下载捕获流
11.6性能的监测和故障诊断与维修
11.6.1CPU的性能监测；
11.6.2内存性能监测
11.6.3Network性能监测
11.6.4标识(1DENT)协议和
PIX'陛能
11.7本章小结
第12章安装和配置VPN-l／FireWall—1 NG
防火墙3
12.1引言
12.2开始之前的准备工作
12.2.1获得许可证
12.2.2给主机提供安全措施
12.2.3路由和网络接口
12.2.4安装VPN—1／FireWall-1NG
的准备工作
12.2.5从早期版本升级
12.3在Windows系统上安装Check
PointVPN-1／FireWall-1NG
12.3.1从安装盘进行安装
12.3.2在Windows系统上配置Check
PointVPN-1／FireWall-1NG产品
12.4卸载在Windows系统上的Check
PointVPN-1／FireWall-1NG产品-
12.4.1卸载VPN-1&FireWall-1
12.4.2卸载SVNFoundation软件包
12.4.3卸载管理客户端软件
12.5在Solaris系统上安装Check
PointVPN-1／FireWall-1NG
12.5.1从光盘进行安装
12.5.2在Solaris系统上配置Check
PointVPN-1／FireWall-1NG
软件包
12.6卸载Solaris系统上的Check
PointVPN-1／FireWall-1NG产品
12.6.1卸载VPN-1&FireWall-1
12.6.2卸载SVN Foundation
12.6.3卸载管理客户端软件
12.7在Nokia系统上安装Check
PointVPN-1／FireWall-1NG
12.7.1安装VPN-1／FireWall-1NG
软件包
12.7.2配置在Nokia系统上的
VPN-1／FireWall—1 NG
12.8本章小结
第13章使用图形界面
13.1引言
13.2管理对象
13.2.1网络对象
13.2.2服务
13.2.3资源
13.2.4OpenPlatformforSecurity(安
全性的开放平台，OPSEC)应
用程序
13.2.5服务器
13.2.6内部用户
13.2.7时间
13.2.8虚拟链接
13.3添加规则
13.4全局属性
13.4.1FW-1防火墙的隐含规则
13.4.2安全服务器
13.4.3身份验证
13.4.4VPN-1
13.4.5 DesktopSecurity(桌面
安全性)
13.4.6VisualPolicyEditor(可视的
策略编辑器)
13.4.7网关的高可用性
13.4.8管理模块的高可用性
13.4.9带状态的检查
13.4.10 LDAP账号管理
13.4.11网络地址翻译(NAT)
13.4.12ConnectControl(连接控制)
13.4.13开放的安全性扩展
13.4.14 LogandAlert(日志和警告).
13.5 SecureUpdate(安全升级程序)
13.6日志查看器(LogViewer)
13.7系统状态.
13.8本章小结
第14章创建安全策略
14.1引言
14.2使用安全策略的理由
14.3如何编写安全策略
14.3.1安全设计
14.3.2防火墙的体系结构
14.3.3编写策略
14.4实施安全策略
14.4.1默认和初始的策略
14.4.2将策略翻译成规则
14.4.3操作规则
14.4.4策略选项
14.5安装安全策略
14.6策略文件
14.7本章小结
第15章高级配置d
15.1引言
15.2CheckPoint的高可用性方法
(CPHA)
15.2.1启用高可用性
15.2.2失败恢复
15.2.3防火墙同步
15.3单入口点VPN配置(SEP)
15.3.1网关的配置
15.3.2策略配置
15.4多入口点VPN的配置(MEP)
15.4.1重叠的VPN域
15.4.2网关配置-
15.4.3重叠式VPN域
15.5其他的高可用性方法
15.5.1路由失败恢复
15.5.2硬件选项
15.6本章小结
第16章配置虚拟专用网络(VPN)
16.1引言
16.2加密模式
16.2.1加密算法；对称和不对称的
加密算法
16.2.2密钥交换方法通道与即时
加密
16.2.3哈希(Hash)函数和数字签名
16.2.4证书和证书授予者(CA)
16.2.5VPN的类型
16.2.6 VPN的域
16.3配置FWZ型W，N
16.3.1定义对象
16.3.2添加VPN规则
16.3.3FWZ的局限性
16.4配置IKEVPN
16.4.1定义对象
16.4.2添加VPN规则
16.4.3测试VPN
16.4.4对外部网络的考虑
16.5配置SecuRemote上的ⅦN
16.5.1本地网关对象
16.5.2用户加密属性
16.5.3客户端加密规则
16.6安装SecuRemote客户端软件
16.7使用SecuRemote客户端软件
16.7.1修改Objects 5 0.C文件的
注意事项
16.7.2SecureDomainLogin(安全域
的登录)
16.8本章小结
第17章Nokia安全平台概述
17.1引言
17.2 NokiaIP系列设备简介
17.3将管理变得更容易
17.4本章小结
第18章配置CheckPoint防火墙
18.1引言
18.2配置防火墙的准备工作
18.2.1获取许可证
18.2.2配置主机的名称
18.2.3解FireWall-1防火墙软件
的可选项
18.3配置防火墙
18.3.1安装软件包
18.3.2启用这个软件包
18.3.31P传递和防火墙策略
18.3.4运行cpconfig命令
18.4测试防火墙的配置
18.4.1测试图形用户界面客户的访问.
18.4.2推送和取回策略
18.5升级防火墙
18.5.1从4.1SP6升级到NGFP2
18.5.2从NGFP2升级到NGFP3
18.5.3从NG版退回到4.1版
18.6本章小结
第19章VoyagerWeb界面介绍
19.1引言
19.2设备开箱之后的基本系统配置
19.2.1前端屏幕
19.2.2配置基本的接口信息
19.2.3添加一个默认的网关
19.2.4设置系统的时间、日期和时区
19.2.5配置域名系统和主机条目
19.2.6配置邮件中继
19.2.7配置系统事件通知
19.3配置系统的安全性
19.3.1启用SSH的接入访问
19.3.2禁用Telnet访问
19.3.3 FTP的一种替代方法
19.3.4实现FTP的安全性
19.3.5配置安全的套接字层
19.4解配置选项
19.4.1接口配置
19.4.2系统配置
19.4.3SNMP.
19.4.41Pv6.
19.4.5重新启动和关闭系统
19.4.6安全性和访问配置
19.4.7配置缺陷管理
19.4.8配置路由
19.4.9流量管理
19.4.10路由器服务
19.5本章小结
第20章系统管理基础
20.1引言
20.2至新启动操作系统
20.3管理软件包
20.3.1安装新的软件包
20.3.2启用和禁用软件包
20.3.3删除软件包
20.4管IPSO映像
20.4.1升级到新的IPSO映像
20.4.2删除映像文件
20.5管理用户和组
20.5.1用户
20.5.2组
20.6配置静态路径
20.7系统备份和恢复
20.7.1配置集(ConfigurationSets)—
20.7.2制作系统备份
20.7.3从备份中恢复
20.8系统日志
20.8.1本地系统日志
20.8.2远程系统日志
20.8.3监听日志
20.9使用cron定时执行的任务
20.10本章小结
第21章ISA服务器部署计划和设计
21.1引言
21.21SA部署计划与设计问题
21.2.1访问网络和硬件要求
21.2.2系统要求
21.2.3软件要求
21.2.4处理器要求
21.3活动目录的实现
21.4执行关键任务的注意事项
21.4.1硬盘容错
21.4.2网络容错
21.4.3服务器容错
21.4.4堡垒主机配置
.2L5。计划恰当韵安装模式
、.21.5.1用防火墙模式安装
21.5.2用缓存模式安装
21.5.3用综合模式安装
21.5.4计划一个单机或阵列配置
’21.5.5计划ISA客户机配置
21.5.6 Intemet连接和DNS的问题
21.6本章小结
第22章ISAServer的安装
22.1引言
22.2全面落实安装计划
22.2.1安装文件和许可权限
22.2.2 CDKey和产品许可证
22.2.3ActiveDirectory的问题
22.2.4服务器模式
22.2.51SAServer文件的磁盘位置
22.2.6内部网络ID~ll本地访问表
22.2.7 1SAServer特性的安装
22.3执行安装
22.3.11SAServer的安装步骤
22.3.2将单机服务器升级成阵列成
员的步骤
22.3.31SAServer安装之后的修改
22.4从MicrosoftProxyServer2.0移植
22.4.1移植的类型
22.4.2在Windows2000平台上升
级Proxy2.0
22.4.3在WindowsNT4.0上升级
Proxy2.0的安装
22.5本章小结
第23章ISAServer的管理+
23.1引言
23.2解集中式管理
23.2.11SA管理控制台
23.2.21SA向导
23.3执行常规管理任务
23.3.1配置对象权限
23.3.2管理阵列成员.
23.4使用监视、警报、日志和报表功能
23.4.1创建、配置和监视警报
23.4.2监视会话
23.4.3使用日志
23.4.4生成报表
23.5解远程管理.
23.5.1安装ISA管理控制台
23.5.2使用终端服务进行ISA
远程管理
23.6本章小结
窘24章ISAServer的优化、自定义、整
合和备份
24.1引言
24.2 1SAServer的性能优化
24.2.1建立基准和监视性能
24.2.2常规性能问题的讨论
24.3自定义ISASewer
24.3.1使用ISAServer软件开发
包(SDK)
24.3.2使用第三方加载程序
24.4 1SAServer同其他服务的整合
24.4.1理解ActiveDirectory的互用性.，
24.4.2理解路由和远程访问服务的
互用性
24.4.3理解Intemet信息服务器的
互用性
24.4.4理解IPSecurity的互用性
24.4.5将ISAServer整合到一个
WindowsNT4.0域中
24.5备份和恢复ISA配置
24.5.1备份原理
24.5.2备份和恢复单机服务器配置
24.5.3备份和恢复阵列与企业配置
24.6本章小结
第25章ISAServer故障诊断
25.1引言
25.2故障诊断的准则
25.2.1故障诊断五大步骤
25.2.21SAServer和Windows2000
诊断工具
25.2.31SAServer诊断资源++’.；；；；
25.31SAServer安装和配置问题的故
障诊断
25.3.1硬件和软件兼容性问题
25.3.2初始配置问题
25.4验证和访问问题的故障诊断
25.4.1验证问题
25.4.2访问问题
25.4.3拨号和VPN问题
25.51SA客户机问题的故障诊断··(
25.5.1客户机性能故障.；(
25.5.2客户机连接故障(
25.6缓存和发布问题的故障诊断(
25.6.1缓存问题
25.6.2发布问题‘
25.7本章小结4
第26章ISAServer发布的高级服务器(
26.1引言
26.2禁用套接字共享
26.2.1禁用Web和FTP服务的套
接字共享
26.2.2禁用SMTP和NNTP服务的
套接字共享
26.2.3在ISA服务器上禁用IlS服务
26.3服务器发布
26.3.1在内网上发布终端服务
26.3.2在ISA服务器上发布终端服务
26.3.3在ISAServer和内部网络上
发布终端服务
26.3.4发布TSAC站点
26.3.5在内部网上发布FTP服务器
26.3.6发布FTP服务器协同定位
ISA服务器
26.3.7使用Web发布规则以实现
安全的FTP访问
26.3.8使用服务器发布规则发布HTT
和HTTPS(SSL)服务器
26.3.9在内网上发布pcAnywhere.
26.4 Web发布
26.4.1进入Web请求监听程序
26.4.2目标集合
26.4.3公共DNS入口
26.4.4私有的DNS入口
26.4.5在ISA服务器上终止SSL连接
26.4.6桥接SSL连接
26.4.7使用SSL的安全FTP连接
26.4.8发布一台认证服务器
26.5本章小结
第27章配置ISA服务器邮件服务保护，
27.1引言
27.2在ISA服务器上配置邮件服务
27.2.1在ISA服务器上发布IIS
SMTP服务
27.2.2 1SA服务器上的Message
SCreener
27.2.3在ISA服务器上发布交换
服务器
27.2.4在ISA服务器上发布Outlook
Web AcceSS.
27.2.51SA服务器和交换服务器上的
Messagescreener
27.3在内网上配置邮件服务
27.3.1在内网上发布Exchange服务器—
27.3.2ExchangeRPC发布
27.3.3在内网交换服务器上发布
OutlookWebAccess.，
27.3.4内部网络交换服务器上的
MeSSageSCreener
27.4GFI邮件安全与SMTP服务器
邮件实质
27.4.1安全邮件版本
27.4.2为SMTP网关安装安全邮件
27.4.3配置安全邮件
27.5本章小结