INTERNET安全與防火墻

第1章Internet概述1.1Internet的基本概念1.1.1Internet的歷史1.1.2基本的Internet介紹1.2OSI模型1.3TCP/IP1.3.1TCP/IP分層結(jié)構(gòu)1.3.2TCP/IP協(xié)議1.3.3Internet尋址1.4Internet工作原理1.5小結(jié)1.6課后練習(xí)1.6.1多選題1.6.2問答題1.7答案1.7.1多選題答案1.7.2問答題答案

第2章網(wǎng)絡(luò)安全概述2.1安全的基本元素2.1.1設(shè)計(jì)安全模型2.1.2風(fēng)險(xiǎn)分析2.1.3確保安全模型的成功2.1.4安全模型的發(fā)展2.2基本的安全概念2.2.1密碼術(shù)2.2.2身份認(rèn)證2.2.3授權(quán)2.2.4審計(jì)2.2.5公鑰基礎(chǔ)結(jié)構(gòu)2.2.6數(shù)字證書2.3常見的安全威脅2.3.1踩點(diǎn)2.3.2掃描2.3.3枚舉2.3.4社會(huì)工程2.3.5應(yīng)用程序和操作系統(tǒng)攻擊2.3.6網(wǎng)絡(luò)攻擊2.3.7拒絕服務(wù)攻擊2.3.8惡意軟件2.4評(píng)估漏洞2.5估計(jì)威脅2.5.1分析威脅2.5.2威脅建模2.6安全策略2.6.1最少特2.6.2全面防御2.6.3瓶頸2.6.4最弱鏈接2.6.5故障保護(hù)態(tài)度2.6.6普遍參與2.6.7防御的多樣性2.6.8簡(jiǎn)化2.6.9通過隱匿安全2.7小結(jié)2.8課后練習(xí)2.8.1多選題2.8.2問答題2.9答案2.9.1多選題答案2.9.2問答題答案

第3章網(wǎng)絡(luò)安全防火墻3.1防火墻的起源和需求3.1.1防火墻的歷史3.1.2防火墻的功能3.1.3防火墻在網(wǎng)絡(luò)安全中的作用3.2防火墻類型3.2.1網(wǎng)絡(luò)層防火墻3.2.2應(yīng)用層防火墻3.3防火墻的限制和未來趨勢(shì)3.3.1防火墻的局限性3.3.2防火墻的未來發(fā)展3.4小結(jié)3.5課后練習(xí)3.5.1多選題3.5.2問答題3.6答案3.6.1多選題答案3.6.2問答題答案

第4章防火墻技術(shù)4.1簡(jiǎn)介4.2TCP/IP聯(lián)網(wǎng)4.2.1封裝4.2.2解復(fù)用4.2.3IP路由選擇4.3數(shù)據(jù)包過濾4.3.1過濾過程4.3.2數(shù)據(jù)包過濾的優(yōu)點(diǎn)4.3.3數(shù)據(jù)包過濾的缺點(diǎn)4.4代理服務(wù)器4.4.1代理服務(wù)器的特性4.4.2代理服務(wù)的需求4.4.3SOCKS4.4.4代理服務(wù)的優(yōu)點(diǎn)4.4.5代理服務(wù)的缺點(diǎn)4.5用戶身份認(rèn)證4.6網(wǎng)絡(luò)地址轉(zhuǎn)換4.6.1NAT的工作原理4.6.2NAT的優(yōu)點(diǎn)4.6.3NAT的缺點(diǎn)4.7虛擬專用網(wǎng)4.7.1VPN需求4.7.2通過隧道發(fā)送4.7.3點(diǎn)對(duì)點(diǎn)協(xié)議4.7.4點(diǎn)對(duì)點(diǎn)隧道協(xié)議4.7.5第2層隧道協(xié)議4.7.6Internet協(xié)議安全隧道模式4.7.7虛擬專用網(wǎng)的優(yōu)點(diǎn)4.7.8虛擬專用網(wǎng)的缺點(diǎn)4.8小結(jié)4.9課后練習(xí)4.9.1多選題4.9.2問答題4.10答案4.10.1多選題答案4.10.2問答題答案

第5章防火墻體系結(jié)構(gòu)5.1撥號(hào)體系結(jié)構(gòu)5.2單路由器體系結(jié)5.3雙路由器體系結(jié)構(gòu)5.4雙端口主機(jī)體系結(jié)構(gòu)5.5篩選主機(jī)體系結(jié)構(gòu)5.6篩選子網(wǎng)體系結(jié)構(gòu)5.7篩選子網(wǎng)體系結(jié)構(gòu)的變異5.7.1多堡壘主機(jī)5.7.2充當(dāng)內(nèi)部和外部路由器的一個(gè)路由器5.7.3充當(dāng)外部路由器的堡壘主機(jī)5.7.4多個(gè)外部路由器5.7.5多個(gè)周邊網(wǎng)絡(luò)5.8小結(jié)5.9課后練習(xí)5.9.1多選題5.9.2問答題5.10答案5.10.1多選題答案5.10.2問答題答案

第6章防火墻設(shè)計(jì)6.1防火墻設(shè)計(jì)概述6.2防火墻安全策略6.2.1安全策略需求6.2.2設(shè)計(jì)策略的指導(dǎo)原則6.2.3策略設(shè)計(jì)一覽表6.2.4完成安全策略6.3防火墻產(chǎn)品6.3.1基于路由器的防火墻6.3.2基于工作站的防火墻6.4評(píng)估防火墻6.4.1評(píng)估參數(shù)6.4.2選擇防火墻的額外準(zhǔn)則6.5防火墻配置6.6配置數(shù)據(jù)包過濾體系結(jié)構(gòu)6.6.1服務(wù)配置6.6.2數(shù)據(jù)包過濾規(guī)則6.7小結(jié)6.8課后練習(xí)6.8.1多選題6.8.2問答題6.9答案6.9.1多選題答案6.9.2問答題答案

第7章堡壘主機(jī)7.1堡壘主機(jī)簡(jiǎn)介7.2系統(tǒng)需求7.2.1硬件7.2.2操作系統(tǒng)7.2.3服務(wù)7.2.4位置7.3強(qiáng)化7.3.1硬件設(shè)置7.3.2操作系統(tǒng)設(shè)置7.3.3配置服務(wù)7.3.4安全措施7.3.5連接和運(yùn)行7.4Windows堡壘主機(jī)7.4.1安裝服務(wù)7.4.2啟用的服務(wù)7.4.3禁用的服務(wù)7.5UNIX堡壘主機(jī)7.5.1安裝服務(wù)7.5.2啟用的服務(wù)7.5.3禁用的服務(wù)7.6堡壘主機(jī)設(shè)計(jì)7.7小結(jié)7.8課后練習(xí)7.8.1多選題7.8.2問答題7.9答案7.9.1多選題答案7.9.2問答題答案

第8章Internet服務(wù)和防火墻8.1WWW8.1.1Web服務(wù)器8.1.2保護(hù)網(wǎng)絡(luò)客戶8.1.3HTTP過濾規(guī)則8.2電子郵件8.2.1郵件系統(tǒng)組件8.2.2電子郵件附件8.2.3保護(hù)電子郵件消息8.2.4用于SMTP和POP的過濾規(guī)則8.3文件傳輸協(xié)議8.3.1訪問FTP服務(wù)器8.3.2保護(hù)FTP服務(wù)器8.4小結(jié)8.5課后練習(xí)8.5.1多選題8.5.2問答題8.6答案8.6.1多選題答案8.6.2問答題答案

第9章預(yù)防措施9.1補(bǔ)救措施9.2法律措施9.3小結(jié)9.4課后練習(xí)9.5答案

第10章實(shí)現(xiàn)基于Windows和基于Linux的防火墻10.1使用MicrosoftISAServer2000實(shí)現(xiàn)防火墻10.1.1ISAServer的特性10.1.2ISA安裝考慮事項(xiàng)10.1.3在ISAServer上配置安全性10.2在Linux中實(shí)現(xiàn)防火墻10.2.1IPchains10.2.2IPtables10.3小結(jié)10.4課后練習(xí)10.4.1多選題10.4.2問答題10.5答案10.5.1多選題答案10.5.2問答題答案

第11章實(shí)現(xiàn)基于路由器的防火墻11.1路由器簡(jiǎn)介11.2使用路由器作為防火墻11.2.1拒絕協(xié)議11.2.2IP過濾11.2.3使用IP數(shù)據(jù)包過濾阻止IP欺騙11.3使用Cisco路由器作為防火墻11.4基于上下文的訪問控制11.4.1CBAC功能11.4.2CBAC的優(yōu)點(diǎn)11.4.3CBAC的局限性11.4.4CBAC的工作原理11.4.5配置CBAC11.5小結(jié)11.6課后練習(xí)11.6.1多選題11.6.2問答題11.7答案11.7.1多選題答案11.7.2問答題答案

V.V.Preetham是位于Georgia的Atlanta的ConceptUniv的ChiefArchitect。他還是SunCertifiedArchitect、SunCertitiedJavaProgrammer、BEAWebLogicEnterpriseDeveloper、CIWEnterpriseDevelopter和MicrosoftCertifiedProductSpecialist。他還是IBM關(guān)于WebSphere3.5、VisualAge、XML和UML方面的認(rèn)證專家。他編寫過JavaWebServicesProgramming。目前他從事的工作涉及咨詢、研究和開發(fā)。V.V.精通C、C++、C#和Java。他對(duì)于Internet協(xié)議、聯(lián)網(wǎng)協(xié)議和J2EE的OMG也有廣泛的研究。

數(shù)據(jù)的被盜或者濫用可能會(huì)使公司處于混亂，導(dǎo)致數(shù)百萬美元的損失。實(shí)現(xiàn)防火墻是保護(hù)網(wǎng)絡(luò)的第一步。本書將介紹如何構(gòu)建有效的防火墻，并且講解保護(hù)公司網(wǎng)絡(luò)的其他方法。本書將使你獲得保持公司網(wǎng)絡(luò)安全并且獲取競(jìng)爭(zhēng)優(yōu)勢(shì)的知識(shí)。

·確定網(wǎng)絡(luò)安全威脅·堵住每個(gè)協(xié)議和服務(wù)中的漏洞·設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)防火墻·保護(hù)各種基于Windows、Unix和Linux的系統(tǒng)·理解網(wǎng)絡(luò)保護(hù)的法律問題

《INTERNET安全與防火墻》

將網(wǎng)絡(luò)和用戶連接到 Internet 會(huì)引入安全性和效率問題。ISA Server 2004 為組織提供了在每個(gè)用戶的基礎(chǔ)上控制訪問和監(jiān)視使用的綜合能力。ISA 服務(wù)器保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時(shí)向管理員發(fā)出警報(bào)。

ISA 服務(wù)器是防火墻，通過數(shù)據(jù)包級(jí)別、電路級(jí)別和應(yīng)用程序級(jí)別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專用網(wǎng)絡(luò)(VPN)、系統(tǒng)堅(jiān)固、集成的入侵檢測(cè)、智能的第 7 層應(yīng)用程序篩選器、對(duì)所有客戶端的防火墻透明性、高級(jí)身份驗(yàn)證、安全的服務(wù)器發(fā)布等方法，增強(qiáng)安全性。ISA Server 2004 可實(shí)現(xiàn)下列功能:

保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問。

保護(hù) Web 和電子郵件服務(wù)器防御外來攻擊。

檢查傳入和傳出的網(wǎng)絡(luò)通訊以確保安全性。

接收可疑活動(dòng)警報(bào)。

防火墻技術(shù)，最初是針對(duì) Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國(guó)防部等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻有網(wǎng)絡(luò)防火墻和計(jì)算機(jī)防火墻的提法。網(wǎng)絡(luò)防火墻是指在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間設(shè)置網(wǎng)絡(luò)防火墻。這種防火墻又稱篩選路由器。網(wǎng)絡(luò)防火墻檢測(cè)進(jìn)入信息的協(xié)議、目的地址、端口(網(wǎng)絡(luò)層)及被傳輸?shù)男畔⑿问?應(yīng)用層)等，濾除不符合規(guī)定的外來信息。防火墻示意圖見圖8.14，網(wǎng)絡(luò)防火墻也對(duì)用戶網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)出的信息進(jìn)行檢測(cè)。

計(jì)算機(jī)防火墻是指在外部網(wǎng)絡(luò)和用戶計(jì)算機(jī)之間設(shè)置防火墻。計(jì)算機(jī)防火墻也可以是用戶計(jì)算機(jī)的一部分。計(jì)算機(jī)防火墻檢測(cè)接口規(guī)程、傳輸協(xié)議、目的地址及/或被傳輸?shù)男畔⒔Y(jié)構(gòu)等，將不符合規(guī)定的進(jìn)入信息剔除。計(jì)算機(jī)防火墻對(duì)用戶計(jì)算機(jī)輸出的信息進(jìn)行檢查，并加上相應(yīng)協(xié)議層的標(biāo)志，用以將信息傳送到接收用戶計(jì)算機(jī)(或網(wǎng)絡(luò))中去。

使用防火墻的好處有:保護(hù)脆弱的服務(wù)，控制對(duì)系統(tǒng)的訪問，集中地安全管理，增強(qiáng)保密性，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)情況。防火墻的設(shè)計(jì)通常有兩種基本設(shè)計(jì)策略:第一，允許任何服務(wù)除非被明確禁止;第二，禁止任何服務(wù)除非被明確允許。一般采用第二種策略。

從技術(shù)角度來看，目前有兩類防火墻，即標(biāo)準(zhǔn)防火墻和雙穴網(wǎng)關(guān)。標(biāo)準(zhǔn)防火墻使用專門的軟件，并要求比較高的管理水平，而且在信息傳輸上有一定的延遲。雙穴網(wǎng)關(guān)是標(biāo)準(zhǔn)防火墻的擴(kuò)充，也稱應(yīng)用層網(wǎng)關(guān)，它是一個(gè)單獨(dú)的系統(tǒng)，但能夠同時(shí)完成標(biāo)準(zhǔn)防火墻的所有功能。它的優(yōu)點(diǎn)是能夠運(yùn)行比較復(fù)雜的應(yīng)用，同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立任何直接的連接，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò)。

隨著防火墻技術(shù)的進(jìn)步，在雙穴網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種防火墻配置，一種是隱蔽主機(jī)網(wǎng)關(guān)，一種是隱蔽智能網(wǎng)關(guān)。目前，技術(shù)比較復(fù)雜而且安全級(jí)別較高的防火墻是隱蔽智能網(wǎng)關(guān)，它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時(shí)也阻止了外部未授權(quán)訪問者對(duì)專用網(wǎng)絡(luò)的非法訪問。