前 言.txt

防火墙技术指南

前 言

     在当今的计算机世界，因特网无孔不入。为应付“不健全”的因特网，人们创建了几种安全机制，例如：访问控制、认证表，以及最重要的方法之一：防火墙。

     然而，防火墙（firewall）对于不同的人来说，有不同的含义。让我们考虑一下那个盲人摸象的印度寓言。因为每个人所摸到的部位不同，因此得出迥然不同的结论。摸到象腿的人说大象就像一棵树；摸到象尾的人说大象就像一根树枝；而另一个人捉住了象鼻子，并由此推断大象就像一条蛇。对一些计算机专业人员来说，甚至对那些负责因特网安全的人来说，防火墙只不过是阻止黑客进入的一堵“火墙”；对有的人来说，防火墙是一种认证机制；还有人认为防火墙是路由器的同义词。显然，以上这些观点远远不足以描述防火墙。

     问题之所以复杂化是因为这样一个事实：在相当一部分从事计算机及安全的专业人员的工作过程中，接触防火墙的时间十分短暂，且仅在机房里偶然碰到。而且，防火墙的很多重要的组成部分及其特点最近有了新的改进，因此，在一个人的工作过程中，或者大多数1995～1998年出版的关于防火墙书中，根本不能涉及这些内容，这又使问题进一步恶化，因为迄今为止这些从业人员还没有一本可用的比较有权威性的书。他们只有在教科书、网页、计算机杂志及白皮书等文字中汲取有用的信息。

     此书名为《防火墙技术指南》，旨在成为你随身携带的必备书，因为它的确做到了完全指导。我敢向你保证：市场上可能有一些与此相似的书，但没有一本像本书这样提供全面的指导。据我所知，其他的书籍或者是介绍某种具体的技术和策略，或者是介绍产品。

     本书涵盖了防火墙的技术、策略和市场上流行的所有主要的防火墙产品。与其他书相比，此书范围更广，适用性更强。此外，它提供了各种协议包括即将来临的IPv6及如何构造防火墙等的全面指导。

     事实上，本书通过探讨组成因特网所有组成部分以及使得因特网不安全的各种因素，使你的专业水平更上一层楼；它详细描述和讨论了应用在因特网上的所有协议、标准和应用程序编程接口（API）以及从加密到防火墙的安全机制。本书后一部分包括市场上主要防火墙产品、工具包及应用软件的综合评述和一些防火墙的演示版和评价书，并附有光盘随书发行。

     本书主要针对网络、Web、系统、LAN（局域网）和WAN（广域网）的管理员，但它也面对新的专业人员即因特网管理者，以及任何一个需要一本比较全面的关于防火墙方面书籍的人。阅读此书时，你会注意到本书的与众不同之处：本书非常全面，并给出了关于理解、选择、安装、维护防火墙及防火墙发展趋势的相关技术信息。本书采用与实际信息、技巧和警告的对话方式，有助于因特网、网络和安全管理员应付并完成自身的任务和责任。

     与你所在站点实现防火墙一样重要的是,你首先需要一种安全策略,它全面考虑阻塞哪些服务和使用哪些服务,它还要考虑对认证和加密设备的实现及与因特网连接时你所能承担的危险级别。本书将讨论所有在处理站点安全和管理时所涉及的专题和论点。它综述所有服务,诸如:Telnet、FTP、Web、e-mail、news等等。

     本书组织结构

     本书由三部分组成：

     第一部分“TCP/IP及其安全需求：防火墙”，全面阐述了网站的安全维护、因特网的威胁、防火墙基本原理及安全概念。

     第1章“网络互联协议及标准概述”，概述了因特网使用的所有主要标准。它讨论了TCP/IP、ICMP、IGMP、路由器(包括超级路由器和万亿位路由器)、网桥、网关、IPv6、BGP-4、BOOTP、NTP/SNTP、DHCP、WINS、DNS及其他协议。

     第2章“基础连接”，具体讨论因特网连接使用的协议和标准，如TTYs、UUCP、SLIP、PPP、Rlogin、Telnet、RAS等。

     第3章“加密：足够吗?”，介绍了在因特网上增强安全性最有效的一种技术手段：加密。具体讨论了对称加密技术，如DES、IDEA、CAST、Skipjack和RC2/RC4，还讨论了非对称密钥加密及公共密钥加密方案，例如RSA、PKCS、DSS及其他算法。

     第4章“防火墙面临的挑战：基础Web”。本章首次公开讨论了IP技术的弱点和不安全性及增强因特网提供的服务安全性的尝试。集中论述与基本Web技术有关的问题，如HTML、URL/URI、HTTP、CGI等。

     第5章“防火墙面临的挑战：高级Web”，对第4章的叙述作出了更深入的阐述，因为这些都直接影响着Web及其安全级别。本章讨论了近期出现的一些先进技术如ISAPI、NSAPI、Servlets、插件、ActiveX、JavaScript、Shockwave等的原理及安全性。

     第6章“API的安全漏洞及防火墙交互”，讨论了API对连接因特网的网络环境的影响，及因缺乏安全措施所造成的后果。叙述了套接字、Java API、Perl模块、W3C www-lib等等。

     第二部分“防火墙的实现和局限性”，是与实际结合更紧密的部分，在第一部分讨论多种协议及标准的基础上，阐述了防火墙实现、安全限制及采取安全措施的好处等的各个方面。它讨论了在不同环境下如何使用种类繁多的防火墙，使用哪种，在哪里使用及如何使用等。

     第7章“究竟什么是因特网/内部网防火墙？”，讨论了防火墙和Cyberwall的基本组成部分和技术，并进一步讲述了防火墙的优缺点、安全策略及防火墙种类。

     第8章“因特网服务的脆弱性”，列举了所有因特网服务的弱点及如何将连接到因特网上的用户和公司的危险减至最低。这章讨论了如何保护和配置电子信箱、SMTP、POP、MIME、FTP、TFTP、FSP、UUCP、News等。第9章“建立防火墙安全策略”，通过讨论如何建立防火墙策略，需要什么，怎样才有足够的安全性，使大家对因特网的安全有了进一步的认识。

     第10章“防火墙设计和实现”，将本章以前所讨论的内容付诸实施。它介绍如何规划，根据你的环境和需要选择正确的防火墙，并予以实现。

     第11章“代理服务器”，代理服务器是第10章中所讨论的防火墙成功运行的关键。本章通过说明代理服务器如何显著地增强防火墙所提供的安全性，使安全性进一步提高。此章定义了一个代理服务器，说明了如何实现它,并介绍了SOCKS概念以及如何在代理服务器上实现。

     第12章“防火墙维护”，是对前两章的自然衔接，一旦你建立了防火墙并添加了代理服务器，就应知道需要做好维护它的准备。此章将帮助防火墙正常运行，监视系统，实现预防性维护和修复性维护。

     第13章“防火墙工具包与个案分析”，提供一些相关信息和实例分析，补充了实际应用方面的内容。

     第三部分“防火墙资源向导”，扩展了第13章所包含的内容，提供了防火墙详尽的资源指南。它讨论了主要的防火墙技术和品牌，它们的优点和缺点，应注意什么，避免什么，期望什么？

     第14章“防火墙类型及市场产品介绍”，介绍了1999年夏季市场上流行的主要防火墙产品及其技术。它为你提供了所有主要销售商及其防火墙技术的概述，以便你在挑选最适合的防火墙之前，有机会将它们进行一一评估。

     附录A“防火墙销售商和产品目录”，提供了防火墙销售商及产品清单，随书光盘中包括了大多数的演示版和评价书。

     术语部分为你提供了在防火墙/因特网环境中使用的全面广泛的常用术语。

     参考书目提供了与网络相连的URL目录，这些站点提供内容包括白皮书、防火墙的性能和相关技术信息、及代理服务器。

     本书适宜的对象

     最有可能从此书中受益的是以下职业人员：

     ■ 一年或几年前毕业并关注网络安全的计算机专业人员。

     ■ 程序员/分析员/软件开发者，工程师/检测工程程序员和项目管理人员。

     ■ MIS和IS&T（信息系统和技术）专业人员。

     ■ 涉及建立、实现和管理因特网和企业内部网的专业人员。

     ■ Web主管。

     ■ 想要了解因特网的工作原理（而不是因特网的使用）的入门级专业人员。

     ■ 将此书用做快速参考手册的高级计算机人员。