《Internet防火墙与网络安全》求取 ⇩

译者序1

前言1

第1章 理解TCP/IP1

1.1TCP/IP的历史1

1.2探索地址、子网和主机名2

1.2.1 地址类2

1.2.2 子网3

1.2.3 无类的地址和CIDR6

1.2.4 主机名6

1.3 操作网络接口7

1.4 网络配置文件10

1.4.1 /etc/hosts文件10

1.4.2 /etc/ethers文件10

1.4.3 /etc/networks文件11

1.4.4 etc/protocols文件11

1.4.5 etc/services文件11

1.4.6 /etc/inetd.conf文件12

1.5 理解网络访问文件12

1.5.3 用户和主机等价13

1.5.2 .rhosts文件13

1.5.1 /etc/hosts.equiv文件13

1.6 检查TCP/IP守护程序14

1.6.1 slink守护程序14

1.6.2 ldsocket守护程序14

1.6.6 RARP守护程序(rarpd)15

1.6.7 BOOTP守护程序(bootpd)15

1.6.8 route守护程序(routed)15

1.6.5 SNMP守护程序(snmpd)15

1.6.4 行式打印机守护程序(lpd)15

1.6.3 cpd守护程序15

1.6.9 域名服务器(named)16

1.6.10 系统记录器(syslogd)17

1.6.11 inetd—超级服务器17

1.6.12 RWHO守护程序(rwhod)17

1.7 探索TCP/IP实用程序17

1.7.1 管理命令17

1.7.2 用户命令27

1.8 本章小结34

2.1.1 D1级35

2.1.2 C1级35

第2章 安全35

2.1安全级别35

2.1.3 C2级36

2.1.4 B1级36

2.1.5 B2级36

2.1.6 B3级36

2.2.2 EAL-237

2.2.4 EAL-437

2.2.3 EAL-337

2.2.1 EAL-137

2.2 加拿大安全37

2.1.7 A级37

2.2.5 EAL-538

2.2.6 EAL-638

2.2.7 EAL-738

2.3 局部安全问题38

2.3.1 安全策略38

2.3.2 口令文件38

2.3.3 影像口令文件40

2.3.4 拔号口令文件40

2.3.5 组文件42

2.4 口令生命期和控制43

2.5 破坏者和口令45

2.6 C2安全性和可信任计算基础47

2.7 理解网络等价48

2.7.1 主机等价48

2.7.2 用户等价49

2.8 定义用户和组50

2.9 理解许可权限51

2.9.1 检查标准的许可权限51

2.9.2 root和NFS52

2.10.1 如何对口令加密53

2.10 探索数据加密方法53

2.10.2 对文件加密54

2.11 检查Kerberos身份验证55

2.11.1 理解Kerberos55

2.11.2 Kerberos的缺点55

2.12 理解IP电子欺骗56

2.13 本章小结56

2.14 致谢56

2.15 一个例子程序56

第3章设计网络策略59

3.1 网络安全计划59

3.2 站点安全策略59

3.3 安全策略方案60

3.4 保护安全策略的责任61

3.5 危险分析61

3.6 识别资源64

3.7 识别威胁64

3.7.1 定义未授权访问64

3.7.2 信息泄露的危险64

3.7.3 无法使用服务65

3.8 网络使用和责任65

3.9 识别谁可以使用网络资源65

3.9.1 识别资源的正确使用方法66

3.9.2 确定谁有权授权访问和同意使用67

3.9.3 确定用户责任69

3.9.4 确定系统管理员的责任69

3.9.5 如何处理敏感信息70

3.10 安全策略遭到违反时的行动计划70

3.10.1 对违反策略的反应70

3.10.2 对本地用户违反策略行为的反应71

3.10.3 反应策略71

3.10.4 定义Internet上好公民的责任73

3.10.5 与外部组织的联系和责任73

3.12 识别与防止安全问题74

3.11 解释和宣传安全策略74

3.12.1 访问入口点75

3.12.2 不正确配置的系统77

3.12.3 软件故障77

3.12.4 内部的人的威胁77

3.12.5 物理安全77

3.12.6 机密78

3.13 实现合算的策略控制78

3.14 选择策略控制78

3.17 监视系统使用79

3.18 监视机制79

3.16 检测和监视非授权活动79

3.15 使用后退战略79

3.19 监视计划80

3.20 报告过程80

3.20.1 帐户管理过程80

3.20.2 配置管理过程81

3.20.3 恢复过程82

3.21 系统管理员问题报告过程84

3.22 保护网络连接84

3.23 使用加密保护网络84

3.23.3 保密增强邮件(PEM)85

3.23.1 数据加密标准(DES)85

3.23.2 crypt85

3.23.4 完全保密(PGP)86

3.23.5 源身份验证86

3.23.6 信息完整性86

3.23.7 使用校验和87

3.23.8 密码校验和87

3.23.9 使用身份验证系统87

3.25 保持信息更新88

3.26 邮件列表88

3.24 使用Kerberos88

3.23.10 使用智能卡88

3.26.1 Unix安全邮件列表89

3.26.2 Risks论坛列表89

3.26.3 VIRUS-L列表90

3.26.4 Bugtrap列表90

3.26.5 Computer Underground Digest90

3.26.6 CERT邮件列表90

3.26.7 CERT-TOOLS邮件列表91

3.26.8 TCP/IP邮件列表91

3.26.9 SUN-NETS邮件列表91

3.28.1 计算机快速响应小组92

3.27 新闻组92

3.28 安全响应小组92

3.28.2 DDN安全协调中心93

3.28.3 NIST计算机安全资源和反应情报交换所93

3.28.4 DOE计算机事故报告能力(CIAC)94

3.28.5 NASA Ames计算机网络安全响应小组94

3.29 本章小结94

第4章 一次性口令身份验证系统95

4.1什么是OTP95

4.2 OTP的历史97

4.3 实现OTP98

4.3.1 决定使用OTP的哪个版本99

4.3.2 S/KEY和OPIE如何工作99

4.4 Bellcore S/KEY版本1.0100

4.5 美国海军研究实验室OPIE100

4.5.1 获取OPIE源代码100

4.5.2 编译OPIE代码101

4.5.3 测试编译过的程序103

4.6 安装OPIE106

4.7 LogDaemon5.0111

4.7.2 编译LogDaemon代码112

4.7.1 获取LogDaemon代码112

4.7.3 测试编译过的程序113

4.7.4 安装LogDaemon115

4.7.5 LogDaemon组件115

4.8 使用S/KEY和OPIE计算器116

4.8.1 Unix116

4.8.2 Macintosh117

4.8.3 Microsoft Windows117

4.9 实际操作OTP118

4.8.4 外部计算器118

4.10 有关/bin/login的安全注释119

4.11 使用OTP和X Windows120

4.12 获取更多的信息120

4.13 本章小结121

第5章过滤路由器简介122

5.1.1 危险区122

5.1 详细定义123

5.1.2 OSI参考模型和过滤路由器123

5.1.3 OSI层次模型124

5.1.4 过滤路由器和防火墙与OSI模型的关系136

5.2 理解包过滤137

5.2.1 包过滤和网络策略137

5.2.2 一个简单的包过滤模型138

5.2.3 包过滤器操作138

5.2.4 包过滤器设计140

5.2.5 包过滤器规则和全相关143

5.3 本章小结144

6.1.1 定义访问列表145

第6章包过滤器145

6.1.2 使用标准访问列表146

6.1 实现包过滤器规则147

6.1.3 使用扩展访问列表147

6.1.4 过滤发来和发出的终端呼叫148

6.2 检查包过滤器位置和地址欺骗149

6.2.1 放置包过滤器149

6.2.2 过滤输入和输出端口150

6.3 在包过滤时检查协议特定的问题152

6.3.1 过滤FIP网络流量152

6.3.2 过滤TELNET网络流量169

6.3.3 过滤X-Windows会话169

6.3.4 包过滤和UDP传输协议170

6.3.5 包过滤ICMP172

6.3.6 包过滤RIP173

6.4 过滤路由器配置的例子173

6.4.1 学习实例1173

6.4.2 学习实例2175

6.4.3 学习实例3176

6.5 本章小结178

7.1.1 KarIBridge包过滤器179

7.1 基于PC的包过滤器179

第7章PC包过滤179

7.1.2 Drawbridge包过滤器193

7.2 本章小结207

第8章 防火墙体系结构和理论208

8.1检查防火墙部件208

8.1.1 双宿主主机209

8.1.2 保垒主机215

8.1.3 过滤子网225

8.1.4 应用层网关227

9.1 TCP Wrapper231

第9章 防火墙实现231

9.1.1例子1232

9.1.2 例子2232

9.1.3 例子3232

9.1.4 例子4232

9.2 FireWall-1网关232

9.2.1 FireWall-1的资源要求233

9.2.2 FireWall-1体系结构概览233

9.2.3 FireWall-1控制模块236

9.2.4 网络对象管理器236

9.2.5 服务管理器239

9.2.6 规则库管理器241

9.2.7 日志浏览器243

9.2.8 FireWall-1应用程序举例244

9.2.9 FireWall-1的性能246

9.2.10 FireWall-1规则语言246

9.2.11 获得FireWall-1的信息247

9.3 ANS InterLock247

9.3.1 InterLock的资源要求249

9.3.2 InterLock概览249

9.3.3 配置InterLock250

9.3.5 InterLock代理应用程序网关服务253

9.3.6 ANS InterLock附加信息源259

9.4 可信任信息系统Gauntlet259

9.4.1 使用Gauntlet配置的例子260

9.4.2 配置Gauntlet261

9.4.3 用户使用Gauntlet防火墙的概况263

9.5 TIS防火墙工具箱266

9.5.1 建立TLS防火墙工具箱266

9.5.2 配置带最小服务的堡垒主机268

9.5.3 安装工具箱组件269

9.5.4 网络许可权限表272

9.6 本章小结277

第10章TLS防火墙工具箱278

10.1 理解TIS278

10.2 在哪里能得到TIS工具箱278

10.3 在SunOS4.1.3和4.1.4下编译279

10.4 在BSDI下编译279

10.5 安装工具箱279

10.6 准备配置281

10.7 配置TCP/IP284

10.8 netperm表285

10.9 配置netacl286

10.9.1 使用netacl连接287

10.9.2 重启动inetd288

10.10 配置Telnet代理289

10.10.1 通过Telnet代理连接289

10.10.2 主机访问规则291

10.10.3 验证Telnet代理292

10.11 配置rlogin网关293

10.11.1 通过rlogin代理的连接294

10.11.3 验证rlogin代理295

10.12 配置FTP网关295

10.11.2 主机访问规则295

10.12.1 主机访问规则296

10.12.2 验证FTP代理297

10.12.3 通过FTP代理连接298

10.12.4 允许使用netacl的FTP298

10.13 配置发送邮件代理smap和smapd299

10.13.1 安装smap客户机299

10.13.2 配置smap客户机300

10.13.3 安装smapd应用程序301

10.13.4 配置smapd应用程序301

10.13.5 为smap配置DNS302

10.14 配置HTTP代理303

10.14.1 非代理所知HTTP客户机304

10.14.2 使用代理所知HTTP客户机304

10.14.3 主机访问规则305

10.15 配置X Windows代理306

10.16 理解身份验证服务器307

10.16.1 身份验证数据库308

10.16.2 增加用户309

10.16.3 身份验证外壳authmgr312

10.16.4 数据库管理312

10.16.5 正在工作的身份验证314

10.17 为其它服务使用plug-gw315

10.17.1 配置plug-gw315

10.17.2 plug-gw和NNTP316

10.17.3 plug-gw和POP318

10.18.1 portscan320

10.18.2 netscan320

10.18 伴随的管理工具320

10.18.3 报告工具321

10.18.4 身份验证服务器报告323

10.18.5 服务拒绝报告324

10.18.6 FTP使用报告325

10.18.7 HTTP使用报告326

10.18.8 netacl报告326

10.18.9 邮件使用报告327

10.18. 10 Telnet和rlogin使用报告328

10.19 到哪里寻找帮助329

第11章Black Hole330

11.1 理解Black Hole330

11.1.1 系统要求331

11.1.2 Black Hole核心模块333

11.1.3 Black Hole扩展模块334

11.2 使用Black Hole进行网络设计335

11.3 使用Black Hole接口336

11.4 理解策略数据库338

11.5.1 规则342

11.5.2 用户和用户维护342

11.5 服务、用户和规则342

11.6 配置Black Hole346

11.6.1 配置内部和外部DNS347

11.6.2 配置应用程序服务349

11.7 生成报告354

11.8 更多的信息357

11.9 本章小结358

附录A 工作表列表359

附录B 信息源360

附录C 销售商列表364

附录DOPIE和Log Daemon手册366

9.3.4 InterLock ACRB522