INTERNET安全與防火墻相關條目

V.V.Preetham是位于Georgia的Atlanta的ConceptUniv的ChiefArchitect。他還是SunCertifiedArchitect、SunCertitiedJavaProgrammer、BEAWebLogicEnterpriseDeveloper、CIWEnterpriseDevelopter和MicrosoftCertifiedProductSpecialist。他還是IBM關于WebSphere3.5、VisualAge、XML和UML方面的認證專家。他編寫過JavaWebServicesProgramming。目前他從事的工作涉及咨詢、研究和開發(fā)。V.V.精通C、C++、C#和Java。他對于Internet協(xié)議、聯(lián)網(wǎng)協(xié)議和J2EE的OMG也有廣泛的研究。

第1章Internet概述1.1Internet的基本概念1.1.1Internet的歷史1.1.2基本的Internet介紹1.2OSI模型1.3TCP/IP1.3.1TCP/IP分層結構1.3.2TCP/IP協(xié)議1.3.3Internet尋址1.4Internet工作原理1.5小結1.6課后練習1.6.1多選題1.6.2問答題1.7答案1.7.1多選題答案1.7.2問答題答案

第2章網(wǎng)絡安全概述2.1安全的基本元素2.1.1設計安全模型2.1.2風險分析2.1.3確保安全模型的成功2.1.4安全模型的發(fā)展2.2基本的安全概念2.2.1密碼術2.2.2身份認證2.2.3授權2.2.4審計2.2.5公鑰基礎結構2.2.6數(shù)字證書2.3常見的安全威脅2.3.1踩點2.3.2掃描2.3.3枚舉2.3.4社會工程2.3.5應用程序和操作系統(tǒng)攻擊2.3.6網(wǎng)絡攻擊2.3.7拒絕服務攻擊2.3.8惡意軟件2.4評估漏洞2.5估計威脅2.5.1分析威脅2.5.2威脅建模2.6安全策略2.6.1最少特2.6.2全面防御2.6.3瓶頸2.6.4最弱鏈接2.6.5故障保護態(tài)度2.6.6普遍參與2.6.7防御的多樣性2.6.8簡化2.6.9通過隱匿安全2.7小結2.8課后練習2.8.1多選題2.8.2問答題2.9答案2.9.1多選題答案2.9.2問答題答案

第3章網(wǎng)絡安全防火墻3.1防火墻的起源和需求3.1.1防火墻的歷史3.1.2防火墻的功能3.1.3防火墻在網(wǎng)絡安全中的作用3.2防火墻類型3.2.1網(wǎng)絡層防火墻3.2.2應用層防火墻3.3防火墻的限制和未來趨勢3.3.1防火墻的局限性3.3.2防火墻的未來發(fā)展3.4小結3.5課后練習3.5.1多選題3.5.2問答題3.6答案3.6.1多選題答案3.6.2問答題答案

第4章防火墻技術4.1簡介4.2TCP/IP聯(lián)網(wǎng)4.2.1封裝4.2.2解復用4.2.3IP路由選擇4.3數(shù)據(jù)包過濾4.3.1過濾過程4.3.2數(shù)據(jù)包過濾的優(yōu)點4.3.3數(shù)據(jù)包過濾的缺點4.4代理服務器4.4.1代理服務器的特性4.4.2代理服務的需求4.4.3SOCKS4.4.4代理服務的優(yōu)點4.4.5代理服務的缺點4.5用戶身份認證4.6網(wǎng)絡地址轉換4.6.1NAT的工作原理4.6.2NAT的優(yōu)點4.6.3NAT的缺點4.7虛擬專用網(wǎng)4.7.1VPN需求4.7.2通過隧道發(fā)送4.7.3點對點協(xié)議4.7.4點對點隧道協(xié)議4.7.5第2層隧道協(xié)議4.7.6Internet協(xié)議安全隧道模式4.7.7虛擬專用網(wǎng)的優(yōu)點4.7.8虛擬專用網(wǎng)的缺點4.8小結4.9課后練習4.9.1多選題4.9.2問答題4.10答案4.10.1多選題答案4.10.2問答題答案

第5章防火墻體系結構5.1撥號體系結構5.2單路由器體系結5.3雙路由器體系結構5.4雙端口主機體系結構5.5篩選主機體系結構5.6篩選子網(wǎng)體系結構5.7篩選子網(wǎng)體系結構的變異5.7.1多堡壘主機5.7.2充當內部和外部路由器的一個路由器5.7.3充當外部路由器的堡壘主機5.7.4多個外部路由器5.7.5多個周邊網(wǎng)絡5.8小結5.9課后練習5.9.1多選題5.9.2問答題5.10答案5.10.1多選題答案5.10.2問答題答案

第6章防火墻設計6.1防火墻設計概述6.2防火墻安全策略6.2.1安全策略需求6.2.2設計策略的指導原則6.2.3策略設計一覽表6.2.4完成安全策略6.3防火墻產品6.3.1基于路由器的防火墻6.3.2基于工作站的防火墻6.4評估防火墻6.4.1評估參數(shù)6.4.2選擇防火墻的額外準則6.5防火墻配置6.6配置數(shù)據(jù)包過濾體系結構6.6.1服務配置6.6.2數(shù)據(jù)包過濾規(guī)則6.7小結6.8課后練習6.8.1多選題6.8.2問答題6.9答案6.9.1多選題答案6.9.2問答題答案

第7章堡壘主機7.1堡壘主機簡介7.2系統(tǒng)需求7.2.1硬件7.2.2操作系統(tǒng)7.2.3服務7.2.4位置7.3強化7.3.1硬件設置7.3.2操作系統(tǒng)設置7.3.3配置服務7.3.4安全措施7.3.5連接和運行7.4Windows堡壘主機7.4.1安裝服務7.4.2啟用的服務7.4.3禁用的服務7.5UNIX堡壘主機7.5.1安裝服務7.5.2啟用的服務7.5.3禁用的服務7.6堡壘主機設計7.7小結7.8課后練習7.8.1多選題7.8.2問答題7.9答案7.9.1多選題答案7.9.2問答題答案

第8章Internet服務和防火墻8.1WWW8.1.1Web服務器8.1.2保護網(wǎng)絡客戶8.1.3HTTP過濾規(guī)則8.2電子郵件8.2.1郵件系統(tǒng)組件8.2.2電子郵件附件8.2.3保護電子郵件消息8.2.4用于SMTP和POP的過濾規(guī)則8.3文件傳輸協(xié)議8.3.1訪問FTP服務器8.3.2保護FTP服務器8.4小結8.5課后練習8.5.1多選題8.5.2問答題8.6答案8.6.1多選題答案8.6.2問答題答案

第9章預防措施9.1補救措施9.2法律措施9.3小結9.4課后練習9.5答案

第10章實現(xiàn)基于Windows和基于Linux的防火墻10.1使用MicrosoftISAServer2000實現(xiàn)防火墻10.1.1ISAServer的特性10.1.2ISA安裝考慮事項10.1.3在ISAServer上配置安全性10.2在Linux中實現(xiàn)防火墻10.2.1IPchains10.2.2IPtables10.3小結10.4課后練習10.4.1多選題10.4.2問答題10.5答案10.5.1多選題答案10.5.2問答題答案

第11章實現(xiàn)基于路由器的防火墻11.1路由器簡介11.2使用路由器作為防火墻11.2.1拒絕協(xié)議11.2.2IP過濾11.2.3使用IP數(shù)據(jù)包過濾阻止IP欺騙11.3使用Cisco路由器作為防火墻11.4基于上下文的訪問控制11.4.1CBAC功能11.4.2CBAC的優(yōu)點11.4.3CBAC的局限性11.4.4CBAC的工作原理11.4.5配置CBAC11.5小結11.6課后練習11.6.1多選題11.6.2問答題11.7答案11.7.1多選題答案11.7.2問答題答案

·確定網(wǎng)絡安全威脅·堵住每個協(xié)議和服務中的漏洞·設計、實現(xiàn)和維護防火墻·保護各種基于Windows、Unix和Linux的系統(tǒng)·理解網(wǎng)絡保護的法律問題

數(shù)據(jù)的被盜或者濫用可能會使公司處于混亂，導致數(shù)百萬美元的損失。實現(xiàn)防火墻是保護網(wǎng)絡的第一步。本書將介紹如何構建有效的防火墻，并且講解保護公司網(wǎng)絡的其他方法。本書將使你獲得保持公司網(wǎng)絡安全并且獲取競爭優(yōu)勢的知識。

《INTERNET安全與防火墻》

將網(wǎng)絡和用戶連接到 Internet 會引入安全性和效率問題。ISA Server 2004 為組織提供了在每個用戶的基礎上控制訪問和監(jiān)視使用的綜合能力。ISA 服務器保護網(wǎng)絡免受未經(jīng)授權的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護的網(wǎng)絡受到攻擊時向管理員發(fā)出警報。

ISA 服務器是防火墻，通過數(shù)據(jù)包級別、電路級別和應用程序級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡應用程序支持、緊密地集成虛擬專用網(wǎng)絡(VPN)、系統(tǒng)堅固、集成的入侵檢測、智能的第 7 層應用程序篩選器、對所有客戶端的防火墻透明性、高級身份驗證、安全的服務器發(fā)布等方法，增強安全性。ISA Server 2004 可實現(xiàn)下列功能:

保護網(wǎng)絡免受未經(jīng)授權的訪問。

保護 Web 和電子郵件服務器防御外來攻擊。

檢查傳入和傳出的網(wǎng)絡通訊以確保安全性。

接收可疑活動警報。

防火墻技術，最初是針對 Internet 網(wǎng)絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Internet之間建立起一個安全網(wǎng)關(Security Gateway)，從而保護內部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。

防火墻有網(wǎng)絡防火墻和計算機防火墻的提法。網(wǎng)絡防火墻是指在外部網(wǎng)絡和內部網(wǎng)絡之間設置網(wǎng)絡防火墻。這種防火墻又稱篩選路由器。網(wǎng)絡防火墻檢測進入信息的協(xié)議、目的地址、端口(網(wǎng)絡層)及被傳輸?shù)男畔⑿问?應用層)等，濾除不符合規(guī)定的外來信息。防火墻示意圖見圖8.14，網(wǎng)絡防火墻也對用戶網(wǎng)絡向外部網(wǎng)絡發(fā)出的信息進行檢測。

計算機防火墻是指在外部網(wǎng)絡和用戶計算機之間設置防火墻。計算機防火墻也可以是用戶計算機的一部分。計算機防火墻檢測接口規(guī)程、傳輸協(xié)議、目的地址及/或被傳輸?shù)男畔⒔Y構等，將不符合規(guī)定的進入信息剔除。計算機防火墻對用戶計算機輸出的信息進行檢查，并加上相應協(xié)議層的標志，用以將信息傳送到接收用戶計算機(或網(wǎng)絡)中去。

使用防火墻的好處有:保護脆弱的服務，控制對系統(tǒng)的訪問，集中地安全管理，增強保密性，記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)情況。防火墻的設計通常有兩種基本設計策略:第一，允許任何服務除非被明確禁止;第二，禁止任何服務除非被明確允許。一般采用第二種策略。

從技術角度來看，目前有兩類防火墻，即標準防火墻和雙穴網(wǎng)關。標準防火墻使用專門的軟件，并要求比較高的管理水平，而且在信息傳輸上有一定的延遲。雙穴網(wǎng)關是標準防火墻的擴充，也稱應用層網(wǎng)關，它是一個單獨的系統(tǒng)，但能夠同時完成標準防火墻的所有功能。它的優(yōu)點是能夠運行比較復雜的應用，同時防止在互聯(lián)網(wǎng)和內部系統(tǒng)之間建立任何直接的連接，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡到達內部網(wǎng)絡。

隨著防火墻技術的進步，在雙穴網(wǎng)關的基礎上又演化出兩種防火墻配置，一種是隱蔽主機網(wǎng)關，一種是隱蔽智能網(wǎng)關。目前，技術比較復雜而且安全級別較高的防火墻是隱蔽智能網(wǎng)關，它將網(wǎng)關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關提供了對互聯(lián)網(wǎng)服務進行幾乎透明的訪問，同時也阻止了外部未授權訪問者對專用網(wǎng)絡的非法訪問。