防火墻原理與技術(shù)內(nèi)容提要:

本書是ISEC系列教材中的一書,主要從防火墻核心技術(shù)、測試和選購方法、配置、防火墻新技術(shù)、和防火墻應(yīng)用案例等多個(gè)方面對(duì)防火墻相關(guān)技術(shù)進(jìn)行了闡述和分析。

全書在深入淺出對(duì)防火墻原理進(jìn)行分析的基礎(chǔ)上,注重防火墻的實(shí)際應(yīng)用和案例分析。

本書適用于負(fù)責(zé)安全保障的網(wǎng)絡(luò)管理人員、信息管理人員和對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)安全管理感興趣的讀者,也可以作為網(wǎng)絡(luò)安全培訓(xùn)和高等院校的教材。

出版說明

前言

第一部分 防火墻基礎(chǔ)技術(shù)篇

第1章 防火墻概論

1.1 防火墻概論

1.2 防火墻的基本結(jié)構(gòu)

1.3 防火墻的模型與分類

1.4 攻擊方式與防火墻防御

1.5 防火墻的發(fā)展

1.6 練習(xí)題

第2章 防火墻技術(shù)

2.1 包過濾技術(shù)

2.2 網(wǎng)絡(luò)地址翻譯技術(shù)

2.3 網(wǎng)絡(luò)代理技術(shù)

2.4 練習(xí)題

第3章 虛擬專用網(wǎng)絡(luò)

3.1 虛擬專用網(wǎng)絡(luò)概述

3.2 虛擬專用網(wǎng)絡(luò)的用途

3.3 虛擬專用網(wǎng)絡(luò)相關(guān)協(xié)議

3.4 IPSEC虛擬專用網(wǎng)絡(luò)

3.5 虛擬專...

本書以國家信息化安全教育認(rèn)證(ISEC)考試大綱為依據(jù),從防火墻技術(shù)原理起筆,介紹了防火墻測試和選購的方法,側(cè)重于防火墻在實(shí)際網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用。針對(duì)配置不完善的防火墻可能存在大量安全漏洞等問題,詳細(xì)講解了典型防火墻產(chǎn)品的配置方法,精選了防火墻在政府、企業(yè)中實(shí)現(xiàn)網(wǎng)絡(luò)安全解決方案的真實(shí)案例,最后通過對(duì)防火墻新技術(shù)的分析和未來發(fā)展的展望來幫助讀者建立和完善多層次的防火墻相關(guān)知識(shí)體系。

書名:防火墻原理與技術(shù)

ISBN:711114172

作者: 王偉 寧宇鵬等

出版社:機(jī)械工業(yè)出版社

定價(jià):22

頁數(shù):191

出版日期:2006-5-1

版次:22

開本:787*1092

包裝:精裝

簡介:本書是ISEC系列教材中的一書，主要從防火墻核心技術(shù)、測試和選購方法、配置、防火墻新技術(shù)、和防火墻應(yīng)用案例等多個(gè)方面對(duì)防火墻相關(guān)技術(shù)進(jìn)行了闡述和分析。

全書在深入淺出對(duì)防火墻原理進(jìn)行分析的基礎(chǔ)上，注重防火墻的實(shí)際應(yīng)用和案例分析。

本書適用于負(fù)責(zé)安全保障的網(wǎng)絡(luò)管理人員、信息管理人員和對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)安全管理感興趣的讀者，也可以作為網(wǎng)絡(luò)安全培訓(xùn)和高等院校的教材。

目錄:

第一部分 防火墻基礎(chǔ)技術(shù)篇

第1章 防火墻基礎(chǔ)

1.1 防火墻概論

1.1.1 防火墻定義

1.1.2 防火墻的優(yōu)點(diǎn)

1.1.3 防火墻的弱點(diǎn)

1.2 防火墻的基本結(jié)構(gòu)

1.2.1 屏蔽路由器

1.2.2 雙宿主機(jī)防火墻

1.2.3 屏蔽主機(jī)防火墻

1.2.4 屏蔽子網(wǎng)防火墻

1.2.5 其他的防火墻結(jié)構(gòu)

1.2.6 典型的防火墻結(jié)構(gòu)

1.3 防火墻的模型與分類

1.3.1 防火墻的模型

1.3.2 防火墻的分類

1.3.3 各類防火墻的優(yōu)缺點(diǎn)

1.4 攻擊方式與防火墻防御

1.4.1 常見攻擊與防火墻防御方法

1.4.2 攻擊防火墻的主要手段

1.5 防火墻的發(fā)展

1.5.1 發(fā)展歷程

1.5.2 技術(shù)展望

1.5.3 進(jìn)一步的探討

1.6 練習(xí)題

第2章 防火墻技術(shù)

2.1 包過濾技術(shù)

2.1.1 包過濾原理

2.1.2 包過濾模型

2.1.3 包過濾技術(shù)

2.1.4 包過濾技術(shù)優(yōu)缺點(diǎn)

2.2 網(wǎng)絡(luò)地址翻譯技術(shù)

2.2.1 NAT相關(guān)術(shù)語

2.2.2 靜態(tài)網(wǎng)絡(luò)地址翻譯技術(shù)

2.2.3 動(dòng)態(tài)網(wǎng)絡(luò)地址翻譯技術(shù)

2.2.4 網(wǎng)絡(luò)地址翻譯技術(shù)實(shí)現(xiàn)負(fù)載均衡

2.2.5 網(wǎng)絡(luò)地址翻譯技術(shù)處理網(wǎng)絡(luò)地址交迭

2.2.6 網(wǎng)絡(luò)地址翻譯技術(shù)優(yōu)缺點(diǎn)

2.3 網(wǎng)絡(luò)代理技術(shù)

2.3.1 應(yīng)用層代理

2.3.2 應(yīng)用層代理技術(shù)的優(yōu)缺點(diǎn)分析

2.3.3 電路級(jí)代理

2.4 練習(xí)題

第3章 虛擬專用網(wǎng)絡(luò)

3.1 虛擬專用網(wǎng)絡(luò)概述

3.2 虛擬專用網(wǎng)絡(luò)的用途

3.3 虛擬專用網(wǎng)絡(luò)相關(guān)協(xié)議

3.3.1 IPSEC協(xié)議

3.3.2 PPTP/L2TP協(xié)議

3.3.3 SOCKS v5協(xié)議

3.3.4 幾種虛擬專用網(wǎng)絡(luò)協(xié)議的簡要比較

3.4 IPSEC虛擬專用網(wǎng)絡(luò)

3.4.1 IPSEC工作原理

3.4.2 IPSEC主要協(xié)議

3.5 虛擬專用網(wǎng)絡(luò)的實(shí)施

3.5.1 傳輸模式IPSEC虛擬專用網(wǎng)絡(luò)

3.5.2 隧道模式IPSEC虛擬專用網(wǎng)絡(luò)

3.5.3 遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò)

3.6 Windows環(huán)境下IPSEC的設(shè)置

3.6.1 IPSEC虛擬專用網(wǎng)絡(luò)的設(shè)置

3.6.2 IPSEC虛擬專用網(wǎng)絡(luò)的檢測

3.7 未來的虛擬專用網(wǎng)絡(luò)發(fā)展趨勢

3.8 練習(xí)題

第二部分 防火墻測試選購篇

第4章 防火墻標(biāo)準(zhǔn)與測試

4.1 防火墻標(biāo)準(zhǔn)

4.2 防火墻測試的意義

4.3 防火墻產(chǎn)品的測試

4.3.1 防火墻產(chǎn)品的測試方法

4.3.2 防火墻產(chǎn)品的測試結(jié)果分析

4.3.3 防火墻產(chǎn)品測試舉例

4.4 防火墻系統(tǒng)的測試

4.4.1 端口檢查

4.4.2 在線測試

4.4.3 日志審核

4.4.4 配置測試

4.4.5 第三方評(píng)測

4.5 練習(xí)題

第5章 防火墻產(chǎn)品

5.1 國內(nèi)主流產(chǎn)品

5.1.1 天融信網(wǎng)絡(luò)衛(wèi)士防火墻

5.1.2 中網(wǎng)"黑客愁"防火墻

5.1.3 聯(lián)想網(wǎng)御防火墻

5.1.4 東軟網(wǎng)眼防火墻

5.1.5 方正數(shù)碼方御火墻

5.1.6 中科安勝高保障防火墻

5.2 國外主流產(chǎn)品

5.2.1 CheckPoint公司的FireWall-1防火墻

5.2.2 Cisco Systems公司的Cisco PIX防火墻

5.2.3 NetScreen公司的NetScreen防火墻

5.2.4 Network-1公司的CyberwallPlus防火墻

5.2.5 SonicWALL公司的SonicWALL防火墻

5.2.6 NAI公司的Cauntlet Firewall防火墻

5.2.7 AXENT公司的Raptor防火墻

5.3 練習(xí)題

第6章 防火墻產(chǎn)品的選購

6.1 防火墻選型的基本原則

6.2 防火墻產(chǎn)品選型的具體標(biāo)準(zhǔn)

6.2.1 防火墻自身是否安全

6.2.2 防火墻是否具有很好的性能

6.2.3 防火墻是否穩(wěn)定

6.2.4 防火墻是否可靠

6.2.5 防火墻的管理是否簡便

6.2.6 防火墻是否易用

6.2.7 防火墻是否可以抵抗拒絕服務(wù)攻擊

6.2.8 防火墻是否具有可擴(kuò)展. 可升級(jí)性

6.2.9 防火墻是否能適應(yīng)復(fù)雜環(huán)境

6.2.10 防火墻是否具備AAA和日志功能

6.2.11 防火墻是否支持VPN功能

6.2.12 防火墻是否具備附加功能

6.3 防火墻產(chǎn)品功能總結(jié)

6.4 練習(xí)題

第三部分 防火墻配置實(shí)例篇

第7章 Cisco IOS防火墻特征集

7.1 防火墻配置概述

7.2 Cisco IOS防火墻持征集

7.3 配置Cisco IOS防火墻包過濾功能

7.3.1 配置訪問控制列表

7.3.2 翻轉(zhuǎn)掩碼(wildcard bits)

7.3.3 配置標(biāo)準(zhǔn)訪問控制列表

7.3.4 配置擴(kuò)展訪問控制列表

7.3.5 配置標(biāo)識(shí)訪問控制列表

7.3.6 配置動(dòng)態(tài)訪問控制列表

7.3.7 配置反射訪問控制列表

7.3.8 訪問控制列表配置要點(diǎn)

7.4 Cisco IOS防火墻NAT配置

7.4.1 靜態(tài)NAT配置

7.4.2 動(dòng)態(tài)NAT配置

7.4.3 負(fù)載均衡配置

7.4.4 網(wǎng)絡(luò)地址交迭配置

7.5 練習(xí)題

第8章 Linux Iptables防火墻配置

8.1 基于Linux的防火墻

8.2 Iptables原理和配置

8.2.1 Iptables原理

8.2.2 Iptables命令參數(shù)

8.2.3 Iptables的擴(kuò)展

8.2.4 構(gòu)建Iptables防火墻

8.3 Iptables防火墻的配置

8.3.1 默認(rèn)策略的制定

8.3.2 包過濾配置實(shí)例

8.3.3 NAT的配置

8.3.4 DMZ區(qū)的配置

8.3.5 其他配置

8.4 練習(xí)題

第9章 商業(yè)防火墻配置示例

9.1 FOUND SecuwayAdmin配置

9.1.1 配置順序

9.1.2 對(duì)象菜單

9.1.3 配置安全策略

9.1.4 門菜單

9.1.5 系統(tǒng)菜單

9.2 注冊門

9.2.1 輸入基本門信息

9.2.2 為每個(gè)端口配置IP地址和有效網(wǎng)絡(luò)

9.2.3 配置DNS服務(wù)器

9.2.4 配置安全主機(jī)

9.2.5 配置日志級(jí)別

9.2.6 配置時(shí)間選項(xiàng)

9.2.7 配置路由信息

9.2.8 保存配置

9.2.9 將配置發(fā)送至FOUND Secuway方正方通防火墻

9.3 創(chuàng)建安全策略的實(shí)例

9.3.1 創(chuàng)建安全策略的基本知識(shí)

9.3.2 創(chuàng)建安全策略時(shí)的注意事項(xiàng)

9.3.3 創(chuàng)建安全策略

9.4 練習(xí)題

第四部分 防火墻深入應(yīng)用篇

第10章 防火墻新技術(shù)

10.1 流過濾技術(shù)

10.1.1 流過濾與數(shù)據(jù)包內(nèi)容過濾的比較

10.1.2 流過濾技術(shù)與應(yīng)用代理技術(shù)的差別

10.1.3 流過濾的作用

10.2 智能防火墻技術(shù)

10.3 雙循防火墻技術(shù)

10.3.1 基于P2DR的雙循架構(gòu)

10.3.2 雙循防火墻關(guān)鍵技術(shù)

10.4 核檢測技術(shù)

10.5 智能IP識(shí)別技術(shù)

10.5.1 零拷貝流分析算法

10.5.2 快速搜索算法

10.6 千兆防火墻的高性能技術(shù)

10.6.1 快速內(nèi)存訪問機(jī)制

10.6.2 三級(jí)并行處理機(jī)制

10.6.3 快速查表機(jī)制

10.7 NP技術(shù)

10.7.1 網(wǎng)絡(luò)處理器

10.7.2 網(wǎng)絡(luò)處理器的功能特性

10.7.3 網(wǎng)絡(luò)處理器在防火墻中的應(yīng)用

10.8 分布防火墻技術(shù)

10.8.1 分布式防火墻的產(chǎn)生

10.8.2 分布式防火墻的主要特點(diǎn)

10.8.3 分布式防火墻的主要優(yōu)勢

10.8.4 分布式防火墻的主要功能

10.9 練習(xí)題

第11章 防火墻指標(biāo)說明與解決方案

11.1 防火墻產(chǎn)品技術(shù)指標(biāo)說明

11.1.1 產(chǎn)品描述

11.1.2 功能指標(biāo)

11.1.3 性能指標(biāo)

11.2 防火墻應(yīng)用方案實(shí)例

11.2.1 "金管工程"網(wǎng)絡(luò)與系統(tǒng)概述

11.2.2 "金管工程"系統(tǒng)與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

11.2.3 "金管工程"計(jì)算機(jī)網(wǎng)絡(luò)安全需求

11.2.4 "金管工程"計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)

11.2.5 "金管工程"防火墻設(shè)備的實(shí)施

11.2.6 技術(shù)服務(wù)和培訓(xùn)方案

11.3 練習(xí)題

附錄

附錄A 部分防火墻廠商站點(diǎn)

附錄B 技術(shù)站點(diǎn)

附錄C 單選題答案

《防火墻與VPN原理與實(shí)踐》以一個(gè)對(duì)基本網(wǎng)絡(luò)與計(jì)算機(jī)安全概念的復(fù)習(xí)單元開始，著重介紹網(wǎng)絡(luò)和數(shù)據(jù)鏈路層以及TCP和LJDP傳輸協(xié)議，防火墻安裝和配置實(shí)踐，特定的防火墻技術(shù)、工具和技巧，虛擬專用網(wǎng)技術(shù)，日常防火墻的維護(hù)等。

書中的實(shí)例、練習(xí)以及工程題均使用了低成本、易獲得的硬件來創(chuàng)建小型網(wǎng)絡(luò)，幫助讀者理解和學(xué)習(xí)防火墻和虛擬專用網(wǎng)。

《防火墻與VPN原理與實(shí)踐》適用于高等院校計(jì)算機(jī)及相關(guān)專業(yè)的本科生和教師，從事信息安全方面工作的人員。

防火墻是汽車中一個(gè)部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個(gè)意思了，我們可以類比來理解，在網(wǎng)絡(luò)中，所謂"防火墻"，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你"同意"的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你"不同意"的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

防火墻(FireWall)成為新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。作為Internet網(wǎng)的安全性保護(hù)軟件，F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件。企業(yè)信息系統(tǒng)對(duì)于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺(tái)IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶，則可以通過設(shè)置使用FireWall過濾掉從該主機(jī)發(fā)出的包。如果一個(gè)企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息，那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對(duì)于路由器來說，就要不僅分析IP層的信息，而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。FireWall一般安裝在路由器 上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺(tái)主機(jī)上，保護(hù)這臺(tái)主機(jī)不受侵犯。