防火墙与VPN:原理与实践
分类: 图书,计算机/网络,信息安全,
作者: (美)迪波斯,(美)奥克斯 著,李展 等译
出 版 社: 清华大学出版社
出版时间: 2008-12-1字数: 566000版次: 1页数: 350印刷时间: 2008/12/01开本: 16开印次: 1纸张: 胶版纸I S B N : 9787302186519包装: 平装内容简介
本书以一个对基本网络与计算机安全概念的复习单元开始,着重介绍网络和数据链路层以及TCP和UDP传输协议,防火墙安装和配置实践,特定的防火墙技术、工具和技巧,虚拟专用网技术,日常防火墙的维护等。
书中的实例、练习以及工程题均使用了低成本,易获得的硬件来创建小型网络,帮助读者理解和学习防火墙和虚拟专用网。
本书适用于高等院校计算机及相关专业的本科生和教师,从事信息安全方面工作的人员。
作者简介
Richard W.I ibbs
Tibbs博士获得了美国乔治梅森大学系统与信息技术工程学院的哲学博士学位,专门从事运营管理研究。他还在科罗拉多大学波尔得分校获得了计算机科学硕士学位以及应用数学学士学位。
他主要研究网络安全、网络和计算机、网络和计算机容量规划、队列理论和仿真、流量监控和分析以及远程通信网络中的自适应路由。他是ACM、IEEE和INFORMS的成员。
Tibbs博士曾在工业部门、政府机关和学术研究单位工作20多年,后来在瑞德福大学任全职教师。他的行业背景包括宇航、电信和软件开发。他在政府机关工作的单位是美国地质调查局和MITRE公司,他还在美国联邦基金研究和开发中心的运输工程部工作过。
目录
第1部分 网络概念与TCP/IP族
第1章网络与数据链路层协议概述
1.1概述
1.2安全的简明定义
1.2.1协议
1.2.2安全体系结构与策略
1.2.3应用
1.2.4加密技术
1.2.5相关的技术
1.2.6检测、分析与事故响应
1.3TCP/IP协议族
1.4数据链路层帧接收模式与寻址
1.4.1以太网媒体访问控制(MAC)
1.4.2单播地址与广播地址
1.4.3多播地址
1.4.4混杂模式——在什么时机是适当的
1.5Internet协议(IP)概述
1.5.1IP首部内容
1.5.2过滤参数
1.5.3典型的过滤应用程序
1.6本章小结
1.7技能测试
1.7.1多项选择题
1.7.2练习题
1.7.3项目题
1.7.4案例研究
第2章传输控制协议与用户数据报协议详解
2.1概述
2.2TCP状态机
2.2.1TCP会话
2.2.2TCP标志及首部内容
2.2.3TCP端口
2.2.4三次握手(建立连接)
2.2.5已连接模式
2.2.6连接拆除
2.2.7半开放TCP扫描
2.2.8重要的TCP应用程序
2.3用户数据报协议
2.3.1UDP首部内容
2.3.2UDP端口
2.3.3重要的UDP应用程序
2.4Internet控制消息协议
2.4.1ICMP Ping
2.4.2ICMP TraceRoute
2.5本章小结
2.6技能测试
2.6.1多项选择题
2.6.2练习题
2.6.3项目题
2.6.4案例研究
第2部分 防火墙基础
第3章软件防火墙、小型办公室防火墙和企业防火墙
3.1概述
3.2硬件和软件防火墙
3.2.1防火墙作为路由器
3.2.2独立代理或者应用程序防火墙
3.2.3企业防火墙
3.2.4SOHO防火墙
3.3个人防火墙:基于主机的软件防火墙
3.3.1 Windows XP Firewall
3.3.2 Zone Alarm
3.3.3BlackICE
……
第4章威胁、数据包过滤和状态防火墙
第5章初步防火墙安装练习
第6章确定防火墙需求
第7章防火墙高级概念和术语
第3部分VPN和日志
第8章探索和使用VPN
第9章整合防火墙日志和系统日志
附录A 生成CD和可启动磁盘媒介
附录B 库设置和硬件需求
附录C TCP和UDP端口列表
附录D ICMP类型
附录E IP协议传输号
术语表
参考资料
书摘插图
第2部分 防火墙基础
第3章软件防火墙、小型办公室防火墙和企业防火墙
章节目标
通过阅读本章内容以及完成练习。将能够做如下工作:
简述基本硬件及软件防火墙的种类。
了解个人防火墙的重要性。
区分流入与流出流量。
认清IPTABLES及访问控制列表(ACL)的功能。
用程序及外部扫描器测试防火墙。
3.1概述
当今市场上可用的防火墙数量众多,使得选择一款防火墙变得很困难。本章概括主要的硬件防火墙及软件防火墙,以帮助用户了解可用的产品范围。虽然本书将会着重于开源LEAF Berin9防火墙,但它并不适于所有环境。在具有很多要求的大型公司中,通常企业防火墙是唯一的实践解决方案。
访问控制列表及IPTABLES是决定网络数据包被接受还是拒绝的规则,是很多防火墙的基本构件。这些概念的理解对于成功配置防火墙是必须的,因此这里对这些概念的介绍将会为用户做好后续章节的准备。
在安装防火墙之前,做出向攻击开放的内部网络端口的基准报告是有益处的。有几种工具能帮助用户扫描网络,以确定哪个端口向Internet开放,能够确定防火墙是否正确配置及是否履行其既定任务。本章中将会提供几种在线及开源工具,用于扫描网络开放端口。
3.2硬件和软件防火墙
当今市面上有众多的防火墙,并且,随着信息安全需求的增长,定期会出现新的防火墙。除了传统的企业防火墙,防火墙特性被合并到很多网络设备中,并且现在大部分操作系统还提供个人防火墙。对于想了解何种设备将提供所需要的保护级别的用户和管理员而言,司用防火墙解决方案的数量都是一个挑战。
防火墙的主要种类如下:
作为防火墙的路由器(数据包过滤器)。
独立代理,或者应用防火墙。
企业防火墙。
小型办公室/家庭办公室(Small Office/Home Office,SOHO)防火墙。
个人防火墙/基于主机的软件防火墙。
本节中简要介绍这些种类的防火墙。
为了选择适当的防火墙技术,应当牢记下列因素:
预算。
组织的规模及网络节点的数量。
所需要的保护级别。
入侵及数据丢失的风险。
所需的制造商支持级别。
安装及管理防火墙所需的时间。
当建立安全基础结构时,需要为网络安全考虑分层的实现方法。换句话说,可能有多种网络设备提供了用户计算机与Internet之间的某种级别的防火墙保护。这种分层的网络安全实现方法通常称为深度防御(defense in depth)或者深度安全(Northcutt 2003;Miles2004)。随着对每一个防火墙种类的描述,知道防火墙如何与其他防御层如何联合提供更加完整的网络及计算机安全环境是很重要的。
3.2.1 防火墙作为路由器
路由器是一种具有两个或更多网络接口的设备,对每一个到达接口的数据包,它确定其应该输出的接口。虽然路由器不被认为是防火墙,但是大多数路由器都包含有过滤流人及流出数据包的功能。路由器检查数据包的首部,在流量进入网络时提供初始防御层。图3.1演示了在公司网络边缘将公司网络连接至Internet的作为边界设备的路由器。虽然路由器仅仅提供了无状态检查,但某些流量是恶意的,并且绝不应该通过此边界路由器。因此,该路由器应该配置为拒绝或者丢弃这些最具危险性的网络流量。
……
