目录.txt

防火墙技术指南

译者序
前言
第一部分   TCP/IP及其安全需求：防火墙
第1章   网络互连协议和标准概述	1
1.1   网际协议	3
1.1.1   IP寻址	3
1.1.2   IP安全风险	4
1.2   用户数据报协议	7
1.2.1   攻击用户数据报协议服务:SATAN 轻松
应对	7
1.2.2   用于UNIX和Windows NT上的因特网
安全系统	7
1.3   传输控制协议	9
1.4   通过CIDR扩展IP地址	11
1.4.1   TCP/IP安全风险及其对策 	11
1.4.2   IPSEC—IETF提出的IP安全对策	15
1.4.3   IPSO—(美)国防部IP安全对策	15
1.5   路由信息协议	15
1.6   MBONE—多播骨干网	16
1.7   因特网控制报文协议	18
1.8   因特网组管理协议	18
1.9   开放式最短路径优先	19
1.10   边界网关协议版本4(BGP-4)	20
1.11   地址转换协议	20
1.11.1   反向地址转换协议	20
1.11.2   通过路由器传递IP数据报的安全
风险	20
1.12   简单网络管理协议	21
1.13   监视ISP连接	21
1.14   下一代IP协议IPv6	21
1.14.1   地址扩展	22
1.14.2   网络设备的自动配置	22
1.14.3   安全性	22
1.14.4   实时性能	22
1.14.5   多播	23
1.14.6   IPv6安全性	23
1.15   网络时间协议	23
1.16   动态主机配置协议	23
1.17   Windows套接字（Winsock）标准	24
1.18   域名系统	24
1.19   防火墙概念	24
1.19.1   防火墙缺陷	27
1.19.2   停火区	27
1.19.3   认证问题	28
1.19.4   周边信任	28
1.19.5   内部网 	28
第2章   基础连接	30
2.1   关于TTY	31
2.2   UNIX to UNIX Copy	33
2.3   SLIP和PPP	34
2.4   Rlogin	34
2.5   虚拟终端协议	35
2.5.1   哥伦比亚大学的Kermit：一种安全
可靠的Telnet服务器	35
2.5.2   Telnet服务的安全考虑	40
2.5.3   网络安全系统管理员	40
2.5.4   Telnet会话安全检查表	42
2.6   简单文件传输协议	43
2.7   文件传输协议	44
2.8   使用防火墙的一些挑战	45
2.9   IP网络日益增加的安全需求	47
第3章   加密：足够吗	48
3.1   引言	50
3.2   对称密钥加密（私有密钥）	50
3.2.1   数据加密标准	50
3.2.2   国际数据加密算法	52
3.2.3   CAST算法	53
3.2.4   Skipjack算法	58
3.2.5   RC2/RC4算法	59
3.3   非对称密钥加密/公开密钥加密	59
3.3.1   RSA	60
3.3.2   数字签名标准	61
3.4   消息摘要算法	62
3.4.1   MD2、MD4和MD5	62
3.4.2   安全哈希标准/安全哈希算法	64
3.5   证书	64
3.6   密钥管理	71
3.6.1   Kerberos协议	71
3.6.2   密钥交换算法	78
3.7   密码分析与攻击	79
3.7.1   唯密文攻击	79
3.7.2   已知明文攻击	79
3.7.3   选择明文攻击	80
3.7.4   自适应选择明文攻击	80
3.7.5   中间人攻击	80
3.7.6   选择密文攻击	80
3.7.7   选择密钥攻击	80
3.7.8   软磨硬泡密码分析	80
3.7.9   时间攻击	81
3.8   加密应用程序及应用程序编程接口	82
3.8.1   数据保密及安全通信信道	82
3.8.2   认证	84
3.8.3   认证码	84
3.8.4   NT安全支持服务接口	85
3.8.5   Microsoft 加密API	86
第4章   防火墙面临的挑战：基础Web	91
4.1   HTTP	91
4.1.1   基础Web	92
4.1.2   怎样监视HTTP协议	94
4.1.3   利用S-HTTP	95
4.1.4   使用SSL增强安全性	95
4.1.5   小心Web缓存	96
4.1.6   堵住漏洞：一个配置检查表	96
4.1.7   安全检查表	97
4.1.8   Novell的HTTP协议：小心为妙	97
4.1.9   监视基于UNIX的Web服务器的安全
问题	97
4.2   URI/URL	98
4.2.1   文件URL	99
4.2.2   Gopher URL	99
4.2.3   新闻URL	99
4.2.4   部分URL	99
4.3   CGI	100
第5章   防火墙面临的挑战：高级Web	113
5.1   扩展Web服务器：危险不断增加	113
5.1.1   ISAPI	113
5.1.2   NSAPI	119
5.1.3   servlet	120
5.1.4   服务器端ActiveX服务器	122
5.1.5   Web数据库网关	124
5.1.6   电子邮件应用系统的安全	124
5.1.7   Macromedia的Shockwave	126
5.2   Web页面中的代码	127
5.2.1   Java applet	128
5.2.2   ActiveX控件和安全威胁	130
5.2.3   采用面向对象技术	135
第6章   API的安全漏洞及防火墙的交互	138
6.1   套接字	138
6.2   Java API	141
6.3   在制造业和商业环境中Java可以帮助联合
各种平台	142
6.3.1   Java能够运用控制来帮助集成ERP 	143
6.3.2   Java 计算为制造业带来利益	144
6.3.3   JCAF简化了制造业应用程序的开发	145
6.3.4   由中间件提供后端服务	146
6.3.5   带有Java的应用程序有助于制造业合
为一体	147
6.3.6   Jini能够满足制造业和企业的需求吗	149
6.3.7   企业版JavaBeans提供可达性和可
升级性	151
6.3.8   Java/CORBA与DCOM的比较  	152
6.3.9   主要的Java产品供应商	153
6.4   Perl 模块	155
6.5   CGI 脚本	157
6.6   ActiveX	158
6.7   分布式处理	159
6.7.1   XDR/RPC	159
6.7.2   RPC	160
6.7.3   COM/DCOM	160
第二部分   防火墙的实现和局限
第7章   究竟什么是因特网/内部网防火墙	161
7.1   什么是防火墙	161
7.2   防火墙的作用	162
7.2.1   防火墙的保护职责	163
7.2.2   防火墙的访问控制	163
7.3   防火墙的安全职责	164
7.4   提高防火墙保密性	164
7.5   防火墙的优点和缺陷	164
7.5.1   访问限制	164
7.5.2   后门威胁：Modem接入	165
7.5.3   内部攻击	165
7.6   防火墙的构成	165
7.6.1   网络安全策略	165
7.6.2   包过滤	169
7.7   防火墙的获取	171
7.7.1   需求评估	171
7.7.2   购买防火墙	172
7.7.3   建造防火墙	173
7.7.4   安装	173
7.8   安装防火墙时通常应注意的问题	175
7.9   管理防火墙	179
7.9.1   管理专门知识	179
7.9.2   系统管理	179
7.10   电路层网关和包过滤	179
7.10.1   包过滤	180
7.10.2   应用网关	180
7.10.3   IP层过滤	180
7.11   防火墙与Cyberwall	180
第8章   因特网服务的脆弱性	184
8.1   保护和设置易受攻击的服务	184
8.1.1   电子邮件安全威胁	184
8.1.2   简单邮件传输协议 	184
8.1.3   邮局协议	189
8.1.4   通用因特网邮件扩充协议	189
8.2   文件传输问题	199
8.2.1   文件传输协议	199
8.2.2   次要文件传输协议	201
8.2.3   文件服务协议	202
8.2.4   UNIX 到UNIX 拷贝协议	202
8.3   网络新闻传输协议	202
8.4   Web和HTTP协议	203
8.4.1   代理HTTP	204
8.4.2   HTTP安全漏洞	204
8.5   会议系统安全性	205
8.6   注意以下这些服务	206
8.6.1   Gopher	206
8.6.2   finger	206
8.6.3   whois	207
8.6.4   Talk	207
8.6.5   IRC	207
8.6.6   DNS	208
8.6.7   网络管理站	208
8.6.8   简单网络管理协议	208
8.6.9   traceroute	209
8.6.10   网络文件系统	210
8.7   保密性和完整性	210
第9章   建立防火墙安全策略	212
9.1   评定公司安全风险	212
9.2   了解和估计威胁	216
9.2.1   病毒威胁	216
9.2.2   外部威胁	217
9.2.3   内部威胁	217
9.3   浅谈安全漏洞	218
9.4   设置安全策略	219
第10章   防火墙的设计与实现	224
10.1   基本知识的回顾	224
10.2   防火墙的选择	226
10.3   安全策略的考虑	227
10.3.1   关于物理安全问题的讨论	229
10.3.2   关于访问控制的讨论	229
10.3.3   关于认证的讨论	229
10.3.4   关于加密的讨论	229
10.3.5   关于安全审计的讨论	229
10.3.6   关于培训的讨论	229
10.4   网络遭受攻击时，应采取的处理措施	230
10.5   事故的处理	230
10.5.1   以网络信息服务为破坏工具	231
10.5.2   以远程登录/外壳服务为破坏工具	232
10.5.3   以网络文件系统为破坏工具 	232
10.5.4   以FTP服务为破坏工具	232
10.6   事故处理指南	233
10.6.1   评估形势	234
10.6.2   切断链接	234
10.6.3   分析问题	234
10.6.4   采取措施	235
10.7   抓住入侵者	235
10.8   安全检查	235
10.9   起诉黑客	236
10.10   保护公司的站点	236
第11章   代理服务器	238
11.1   SOCKS	243
11.2   tcpd，TCP Wrapper	245
第12章   防火墙维护	248
12.1   让防火墙保持协调	249
12.2   系统监控	251
12.3   预防性和恢复性维护	251
12.3.1   防止防火墙出现安全缺口	253
12.3.2   鉴别安全漏洞	253
12.4   更新防火墙	253
第13章   防火墙工具包与个案分析	255
13.1   个案分析：实现防火墙	255
13.2   给大型机构构建防火墙：应用级防火墙
和包过滤—一个混合系统	256
13.3   给小型组织构建防火墙：包过滤或应用
级防火墙—代理实现	256
13.4   在子网体系结构中构建防火墙	256
第三部分   防火墙资源指南
第14章   防火墙类型及市场产品介绍	257
14.1   Check Point的Firewall-1—状态检测
技术	257
14.1.1   Firewall-1的检查模块	257
14.1.2   状态检测	259
14.2   CYCON的Labyrinth Firewall—迷宫式
系统	267
14.3   Net Guard的Guardian 防火墙系统—
Mac 层状态检测	276
14.4   Cyber Guard的Cyber Guard防火墙	284
14.4.1   可信任操作系统	285
14.4.2   直观的远程图形用户界面
（GUI）	286
14.4.3   动态状态规则技术	287
14.4.4   可确认技术	289
14.4.5   系统需求	289
14.5   Raptor的防火墙：一个应用级结构	290
14.5.1   增强网络各层的安全性	291
14.5.2   Raptor 防火墙（6.0）加强了对NT的
管理	295
14.5.3   对专用安全代理的依赖	295
14.5.4   使用Eagle系列Raptor防火墙	296
14.5.5   系统需求	299
14.6   Milkyway的SecurIT FIREWALL	300
14.6.1   防弹防火墙	301
14.6.2   系统需求	309
14.7   WatchGuard Technologies的WatchGuard
防火墙系统—利用所有主要防火墙方
法组合防火箱	309
14.7.1   WatchGuard 概述	310
14.7.2   WatchGuard的安全管理系统	311
14.7.3   WatchGuard的防火箱	313
14.7.4   WatchGuard的总控制台	313
14.7.5   WatchGuard  图形监视器	314
14.7.6   WatchGuard报告系统	316
14.7.7   WatchGuard  WebBlocker	317
14.7.8   WatchGuard  SchoolMate	318
14.7.9   WatchGuard的VPN向导	319
14.7.10   系统需求	319
14.8   AltaVista Software的Firewall 98—主动
防火墙	319
14.8.1   AltaVista防火墙	320
14.8.2   服务：安全问题	321
14.8.3   安全性：支持SSL	322
14.8.4   管理特征：通过隧道进行远程
管理	322
14.8.5   URL和Java阻塞	323
14.8.6   增强型代理	323
14.8.7   强有力的、灵活的认证	324
14.8.8   双DNS服务器	324
14.8.9   DMZ支持  	325
14.8.10   配置	325
14.8.11   硬件需求	325
14.9   ANS Communication的InterLock 防火墙
—一个双宿主应用级网关	326
14.9.1   ANS InterLock	327
14.9.2   ANS InterLock服务	328
14.9.3   InterLock的访问控制	328
14.9.4   InterLock的访问管理	331
14.9.5   ANS InterLock的入侵检测服务	332
14.9.6   InterLock的安全特征总结	333
14.10   Global Technology的Gnat Box 防火墙
—一个软盘里的防火墙	333
14.10.1   认识GNAT Box防火墙	334
14.10.2   标准特征	337
14.10.3   什么是GNAT Box防火墙	338
14.11   Network－1 software and Technology
的FireWall/Plus—一种高性能多
协议防火墙	345
14.11.1   关于FireWall/Plus	345
14.11.2   FireWall/Plus的安装、设置和
使用	347
14.11.3   为FireWall/Plus选择一个系统
默认的规则库	348
14.11.4   性能统计	349
14.11.5   附加和扩充的过滤器	349
14.11.6   FireWall/Plus功能小结	352
14.11.7   Network－1公司的Cyberwall
PLUS	352
14.11.8   系统需求	355
14.12   Trusted Information System的Gauntlet Internet
—一种基于应用层代理的防火墙	355
14.12.1   TIS  Gauntlet Internet防火墙	357
14.12.2   防火墙对用户透明	358
14.12.3   对远地公司进行扩充的防火墙
保护	359
14.12.4   Gauntlet PC Extender	359
14.13   Technologic的  Interceptor防火墙，一
个直觉的防火墙	360
14.13.1   Technologic的Interceptor防火墙
概述	361
14.13.2   Interceptor的组成部分	362
14.13.3   系统需求	366
14.14   Sun的Sunscreen EFS 防火墙—
一个状态检查防火墙	366
14.14.1   SunScreen 模型	367
14.14.2   安全访问控制	368
14.14.3   管理的简化	369
14.14.4   SunScreen SPF-200和SunScreen EFS
安全解决方案	370
14.14.5   SunScreen SPF-200	370
14.14.6   SunScreen EFS	371
14.14.7   系统需求	372
14.14.8   Solstice Firewall-1 3.0	372
14.15   Secure Computing的 BorderWare 防火墙：
包过滤和电路级网关的有机组合	374
14.15.1   BorderWare  防火墙服务器 	374
14.15.2   BorderWare应用服务	379
14.15.3   安全特性	381
14.16   Ukiah Software的NetRoad FireWALl
—一种多层体系结构防火墙	382
14.16.1   NetRoad防火墙（Windows NT和
Netware版）	383
14.16.2   NetWare和NT 防火墙支持	386
14.16.3   NetRoad FireWALL平台的发展
趋势	387
14.16.4   系统需求	388
14.17   Secure Comptuting的Sidewinder Firewall
—一种类型增强安全	388
14.17.1   类型增强安全专利	389
14.17.2   远程管理	391
14.17.3   访问控制	391
14.17.4   广泛的事件监视	393
14.17.5   高级过滤	394
14.18   IBM的 eNetwork Firewall—另一
种类型增强安全	395
14.18.1   用于AIX的IBM防火墙3.1版	396
14.18.2   IBM防火墙的主要特征	400
14.18.3   通过虚拟专用网进行通信	401
14.18.4   管理防火墙	403
14.18.5   系统需求	404
第四部分   附      录
附录A   防火墙销售商和相关工具	405
附录B   术语表	417
参考书目	428