防火墙与网络安全 入侵检测和VPNsPDF格式文档图书下载

第1章 防火墙规划与设计 1

1.1 关于防火墙的误解 1

目录 1

1.2 什么是安全策略 2

1.3 什么是防火墙 3

1.3.1 类比：安全警卫Sam 3

1.3.2 防火墙提供安全性 4

1.3.3 防火墙为个人用户提供保护 4

1.3.4 防火墙为网络边界提供安全 4

1.3.6 防火墙面临诸多威胁并且执行各种安全防护任务 6

1.3.5 防火墙由多个组件组成 6

1.4 防火墙保护的类型 11

1.4.1 多层防火墙保护 11

1.4.2 包过滤器 11

1.4.3 NAT 14

1.4.4 应用层网关 15

1.5 防火墙的局限 16

1.6 评估防火墙设备 16

1.6.2 纯软件的防火墙组件 17

1.6.1 防火墙硬件 17

1.7 本章小结 19

1.8 关键术语 20

1.9 复习题 22

1.10 实用项目 24

1.11 案例项目 27

第2章 开发安全策略 28

2.1 什么是安全策略 28

2.2 安全策略的重要性 29

2.4.1 组建一个工作团队 30

2.3 确定有效的安全策略所需达到的目标 30

2.4 构建安全策略的7个步骤 30

2.4.2 制定公司的整体安全策略 31

2.4.3 确定被保护的资产 32

2.4.4 决定安全策略审核的内容 33

2.4.5 确定安全风险 35

2.4.6 定义可接受的使用策略 35

2.4.7 提供远程访问 35

2.5 考虑防火墙的不足 36

2.7 定义针对违反安全规则的响应 37

2.6 其他的安全策略主题 37

2.8 克服管理的障碍 38

2.8.1 雇员的培训 38

2.8.2 呈交并回顾制定过程 39

2.8.3 改进安全策略 39

2.9 本章小结 39

2.10 关键术语 40

2.11 复习题 40

2.12 实用项目 42

2.13 案例项目 45

第3章 防火墙配置策略 47

3.1 对防火墙建立规则和约束 47

3.1.1 规则的作用 48

3.1.2 限制性的防火墙 48

3.1.3 侧重连通性的防火墙 49

3.2 防火墙配置策略：总的观点 49

3.2.1 可伸缩性 50

3.2.2 生产效率 50

3.3 不同的防火墙配置策略 51

3.2.3 处理IP地址问题 51

3.3.1 屏蔽路由器 52

3.3.2 双宿主主机 54

3.3.3 屏蔽式主机 54

3.3.4 两个路由器共用一个防火墙 55

3.3.5 DMZ屏蔽子网 56

3.3.6 多重防火墙DMZ 58

3.4 为防火墙添加新功能的方法 63

3.4.1 NAT 63

3.3.8 专用防火墙 63

3.3.7 反向防火墙 63

3.4.2 加密 64

3.4.3 应用程序代理 65

3.4.4 VPN 66

3.4.5 入侵检测系统（IDS） 66

3.5 本章小结 68

3.6 关键术语 69

3.7 复习题 70

3.8 实用项目 72

3.9 案例项目 75

4.1 理解数据包和数据包过滤 77

第4章 数据包过滤 77

4.1.1 执行数据包过滤的装置 78

4.1.2 数据包的剖析 78

4.1.3 关于数据包过滤的快速指南 80

4.1.4 规则的使用 80

4.2 数据包过滤的方法 82

4.2.1 无状态数据包过滤 82

4.2.2 有状态数据包过滤 87

4.3.1 适应多种变化的数据包过滤器规则 89

4.3 设立专用的数据包过滤器规则 89

4.2.3 根据数据包内容过滤 89

4.3.2 适用于ICMP的数据包过滤器规则 90

4.3.3 阻断ping包的数据包过滤器规则 90

4.3.4 启用Web访问的数据包过滤器规则 91

4.3.5 启用DNS的数据包过滤器规则 92

4.3.6 启用FTP的数据包过滤器规则 92

4.3.7 使用电子邮件的数据包过滤器规则 93

4.4 本章小结 93

4.5 关键术语 94

4.6 复习题 95

4.7 实用项目 97

4.8 案例项目 100

第5章 代理服务器和应用级防火墙 102

5.1 代理服务器概述 102

5.1.1 “代理服务器”的比喻说明 102

5.1.2 代理服务器是如何工作的 103

5.1.3 代理服务器和数据包过滤器的不同 104

5.1.4 代理服务器配置示例 104

5.2.1 隐藏内部客户机的身份 106

5.2 代理服务器的目标 106

5.2.2 阻断URL 107

5.2.3 阻断和过滤内容 107

5.2.4 电子邮件的代理保护 108

5.2.5 提高性能 109

5.2.6 保障安全 109

5.2.7 提供用户身份验证 110

5.2.8 重定向URL 110

5.3 代理服务器配置的注意事项 110

5.3.1 提供可伸缩性 110

5.3.2 客户端配置 111

5.3.3 服务配置 112

5.3.4 创建过滤规则 113

5.3.5 确认单个故障点 113

5.3.6 确认缓冲区溢出弱点 113

5.4 选择代理服务器 113

5.4.1 透明代理 114

5.4.2 非透明代理 114

5.4.3 基于SOCKS的代理 114

5.5 基于代理服务器的防火墙的比较 115

5.5.3 WinGate 116

5.5.1 开放源代码的T.REX防火墙 116

5.5.2 Squid 116

5.5.4 Symantec企业防火墙 117

5.5.5 ISA 117

5.6 反向代理 117

5.7 代理服务器何时不适用 119

5.8 本章小结 119

5.9 关键术语 120

5.10 复习题 121

5.11 实用项目 123

5.12 案例项目 128

第6章 用户身份验证 130

6.1 常规身份验证过程 130

6.2 防火墙实现身份验证过程的方式 131

6.3 防火墙身份验证的类型 132

6.3.1 用户身份验证 132

6.3.2 客户端身份验证 133

6.3.3 会话身份验证 134

6.4.1 Kerberos身份验证 135

6.4 集中式身份验证 135

6.4.2 TACACS+ 137

6.4.3 远程身份验证拨号用户服务（RADIUS） 137

6.4.4 TACACS+和RADIUS的比较 137

6.5 口令安全性问题 139

6.5.1 可能被破解的口令 139

6.5.2 用户使用口令的误区 139

6.5.3 马虎的安全习惯 139

6.7 其他的身份验证系统 140

6.6.2 屏蔽口令系统 140

6.6.1 一次性口令软件 140

6.6 口令安全工具 140

6.7.1 单口令系统 141

6.7.2 一次性口令系统 141

6.7.3 基于证书的身份验证 142

6.7.4 802.1x Wi-Fi身份验证 142

6.8 本章小结 143

6.9 关键术语 143

6.10 复习题 145

6.11 实用项目 146

6.12 案例项目 152

第7章 加密和防火墙 153

7.1 为何防火墙需要使用加密技术 153

7.1.1 黑客们对未加密防火墙的利用 154

7.1.2 加密的代价 154

7.1.3 保证数据完整性 155

7.1.4 维持机密性 155

7.1.5 对网络客户端进行身份验证 155

7.2.1 数字证书 156

7.2 数字证书、公钥和私钥 156

7.1.6 启用VPN 156

7.2.2 密钥 158

7.3 分析流行的加密方案 162

7.3.1 对称加密和非对称加密 163

7.3.2 PGP 164

7.3.3 X.509 165

7.3.4 X.509和PGP的比较 165

7.3.5 SSL 166

7.4.2 IPSec的模式 167

7.4.1 理解IPSec 167

7.4 使用IPSec加密 167

7.4.3 IPSec协议 168

7.4.4 IPSec组件 169

7.4.5 启用IPSec 170

7.4.6 IPSec的局限 171

7.5 本章小结 171

7.6 关键术语 172

7.7 复习题 174

7.8 实用项目 175

7.9 案例项目 181

第8章 选择堡垒主机 183

8.1 安装堡垒主机：常规需求 183

8.2 选择主机计算机 184

8.2.1 是否需要多台主机 184

8.2.2 内存考虑 185

8.2.3 处理器速度 185

8.2.4 选择操作系统 186

8.3.1 物理位置 187

8.3 放置堡垒主机 187

8.3.2 网络位置 188

8.3.3 保证主机本身的安全性 189

8.4 配置堡垒主机 191

8.4.1 让主机自行防卫 191

8.4.2 选择要提供的服务 192

8.4.3 有关UNIX系统的考虑事项 192

8.4.4 有关Windows系统的考虑事项 193

8.4.5 禁用账户 193

8.4.6 禁用不需要的服务 194

8.4.7 限制端口 195

8.5 进行备份 196

8.6 对堡垒主机进行审核 196

8.7 连接堡垒主机 196

8.8 本章小结 197

8.9 关键术语 198

8.10 复习题 199

8.11 实用项目 200

8.12 案例项目 207

9.1 VPN的组件和操作 208

第9章 创建虚拟专用网 208

9.1.1 VPN内部组件 209

9.1.2 VPN的核心活动 211

9.1.3 VPN的优点和缺点 213

9.1.4 VPN扩展了网络边界 213

9.2 VPN的类型 214

9.2.1 VPN器件 214

9.2.2 软件VPN系统 215

9.2.3 组合了硬件和软件的VPN 216

9.3 VPN设置 217

9.3.1 mesh配置 217

9.2.4 结合使用不同供应商产品的VPN 217

9.3.2 hub-and-spoke配置 218

9.3.3 混合配置 219

9.3.4 配置和企业内外网的访问 219

9.4 VPN使用的隧道协议 220

9.4.1 IPSec／IKE 220

9.4.2 PPTP 221

9.4.3 L2TP 221

9.4.4 工作在SSL／PPP和SSH上的PPP 221

9.5.1 配置服务器 222

9.5 在VPN内启用远程接入连接 222

9.5.2 配置客户端 224

9.6 使用VPN的良好习惯 224

9.6.1 采用VPN策略的必要性 224

9.6.2 VPN和包过滤 224

9.6.3 PPTP过滤器 226

9.6.4 L2TP和IPSec包过滤规则 226

9.6.5 对VPN进行审核和测试 227

9.7 本章小结 228

9.8 关键术语 229

9.9 复习题 230

9.10 实用项目 232

9.11 案例项目 238

第10章 建立自己的防火墙 240

10.1 企业防火墙和桌面防火墙 240

10.2 桌面防火墙 242

10.2.1 Tiny Pcrsonal Firewall 242

10.2.2 Sygate Firewalls 246

10.2.3 ZoneAlarm防火墙 249

10.3.1 Linksys 253

10.3 企业防火墙 253

10.3.2 Microsoft的Internet Security and Acceleration Server 2000 254

10.4 本章小结 256

10.5 关键术语 257

10.6 复习题 258

10.7 实用项目 260

10.8 案例项目 267

第11章 防火墙管理 269

11.1 使防火墙满足新的需求 269

11.1.1 确定防火墙需要的资源 270

11.1.3 增加软件升级和补丁 271

11.1.2 识别新的危险 271

11.1.4 添加硬件 273

11.1.5 处理网络的复杂性 273

11.2 遵守一些已证明行之有效的安全规则 274

11.2.1 环境管理 274

11.2.2 BOIS、启动和屏保锁 275

11.3.1 为什么远程管理工具很重要 276

11.3.2 远程管理工具的安全性事项 276

11.3 使用远程管理接口 276

11.3.3 远程管理工具的基本特征 277

11.4 追踪日志文件的内容 277

11.4.1 准备使用报告 277

11.4.2 监视可疑事件 278

11.4.3 自动化安全检查 280

11.5 安全漏洞总是会发生 281

11.5.1 使用入侵检测系统（IDS） 281

11.5.2 接受安全报警 282

11.5.3 发生入侵时 282

11.6.1 数据缓存 283

11.5.4 入侵发生过程中和之后的应对 283

11.6 配置高级防火墙功能 283

11.6.2 热备用冗余系统 284

11.6.3 负载平衡 285

11.6.4 过滤内容 286

11.7 本章小结 287

11.8 关键术语 288

11.9 复习题 289

11.10 实用项目 291

11.11 案例项目 294

附录A 安全资源 296

A.1 与安全性相关的网站 296

A.2 反病毒站点 297

A.3 免费在线安全性扫描网站 297

A.4 事故响应站点 298

A.5 安全证书站点 298

A.6 安全专题的背景信息 299

A.7 时事通讯、新闻组和邮件列表 299

术语表 301

查看更多关于防火墙与网络安全 入侵检测和VPNs的内容