《因特网防火墙技术》求取 ⇩

第1章 概论1

1．1 因特网的特点1

1．2 因特网将成为信息战的战略目标1

前言1

1．3 如何保护因特网的站点2

1．3．1 无安全防卫2

1．3．2 模糊安全防卫3

1．3．3 主机安全防卫3

1．3．4 网络安全防卫3

1．4 防火墙4

2．1．1 电子邮件6

2．1．2 文件传输（FTP）6

2．1 因特网服务的安全隐患6

第2章 因特网的安全与保安策略6

2．1．3 远程登录（Telnet）7

2．1．4 用户新闻(Usent News)8

2．1．5 万维网（WWW）8

2．1．6 其他的网络信息服务9

2．1．7 网络文件系统（NFS）9

2．2 因特网的安全问题及其原因10

2．2．1 薄弱的认证环节10

2．2．2 系统的易被监视性10

2．2．4 有缺陷的局域网服务和相互信任的主机11

2．2．3 易欺骗性11

2．2．6 无法估计主机的安全性12

2．3 因特网上站点的脆弱性12

2．2．5 复杂的设置和控制12

2．4 因特网的保安措施13

2．4．1 最小特权13

2．4．2 纵深防御14

2．4．3 阻塞点14

2．4．4 最弱连接14

2．4．5 失败时的保安策略15

2．4．6 全体参与15

3．1．1 包过滤16

第3章 建立防火墙16

3．1 一些有关的定义16

3．1．2 代理服务18

3．1．3 多种技术的混合使用19

3．2 防火墙结构20

3．2．1 双宿主主机结构20

3．2．2 主机过滤结构21

3．2．3 子网过滤结构22

3．3 防火墙的各种变化和组合24

3．3．1 使用多堡垒主机24

3．3．2 合并内外部路由器25

3．3．3 合并堡垒主机和外部路由器26

3．3．4 慎将堡垒主机与内部路由器合并27

3．3．5 慎用多内部路由器结构27

3．3．6 使用多外部路由器29

3．3．7 多参数网络结构30

3．3．8 双宿主主机加子网过滤30

3．4 内部防火墙31

3．4．1 试验网络31

3．4．2 低保密度网络32

3．4．3 高保密度网络32

3．4．4 联合防火墙33

3．5 防火墙的未来34

3．4．6 内部防火墙的堡垒主机之选择34

3．4．5 共享参数网络34

第4章 堡垒主机36

4．1 建立堡垒主机的一般原则36

4．2 特殊的堡垒主机37

4．2．1 无路由双宿主主机37

4．2．2 牺牲主机37

4．2．3内部堡垒主机37

4．3 堡垒主机的选择37

4．3．1 堡垒主机操作系统的选择37

4．3．2 堡垒主机速度的选择38

4．4．1 位置要安全39

4．3．3 如何配置堡垒主机的硬件39

4．4 堡垒主机的物理位置39

4．4．2 堡垒主机在网络上的位置40

4．5 堡垒主机提供服务的选择40

4．6 建立堡垒主机42

4．6．1 系统日志的建立方法43

4．6．2 关闭所有不需要的服务44

4．6．3 如何关闭服务44

4．6．4 哪些服务需要被保留45

4．6．5 堡垒主机的重新配置47

4．6．6 进行安全分析49

4．7．2 自动监测堡垒主机50

4．7 堡垒主机的监测50

4．7．1 监测堡垒主机的运行50

4．8 对堡垒主机的保护与备份51

第5章 包过滤52

5．1 包过滤是如何工作的52

5．1．1 包过滤的优点53

5．1．2 包过滤的缺点54

5．2 包过滤路由器的配置54

5．2．1 协议总是双向的54

5．2．2 准确理解“往内”与“往外”的语义54

5．3 包的基本构造55

5．2．3 准确设置“默认允许”与“默认拒绝”55

5．4 在协议各层上包的传输56

5．4．1 TCP/IP以太网的例子56

5．4．2 IP层以上各层的情况58

5．4．3 IP层以下各层的情况62

5．4．4 应用层协议62

5．4．5 Non-IP协议（非IP协议）63

5．5 路由器对包的操作63

5．5．1 日志记录63

5．5．2 返回ICMP错误码64

5．6 设定包过滤规则64

5．7 依据地址进行过滤66

5．8 依据服务进行过滤67

5．8．1 往外的Telnet服务68

5．8．2 往内的Telnet服务68

5．8．3 有关Telnet的总结69

5．8．4 不要仅依据源端口来过滤70

5．9 包过滤路由器的选择70

5．9．1 包过滤路由器的速度70

5．9．2 用通用计算机做路由器71

5．9．3 包过滤规则71

5．9．4 包过滤规则的次序73

5．9．5 对进入和离开网络的包分别制定规则75

5．10 应该对放行与拒绝的包建立日志77

5．11 设置包过滤的物理位置77

5．12 包过滤系统的集成78

5．13 一些因特网服务的包过滤特性82

5．13．1 电子邮件82

5．13．2 简单邮件传输协议（SMTP）83

5．13．3 邮政管理协议（POP）87

5．13．4 文件传输88

5．13．5 远程登录（Telnet）91

5．13．6 网络新闻传输协议（NNTP）92

5．13．7 WWW93

5．13．8 域名系统（DNS）94

第6章 代理系统97

6．1 为什么要进行代理97

6．2 代理的优点98

6．3 代理的缺点98

6．4 代理是如何工作的99

6．4．1 使用定制客户软件进行代理99

6．4．2 使用定制用户过程进行代理100

6．5 代理服务器100

6．5．1 应用级与回路级代理100

6．6．1 TCP与其他协议101

6．6 在因特网服务中使用代理101

6．5．3 智能代理服务器101

6．5．2 公共与专用代理服务器101

6．6．2 单向与多向连接102

6．7 不使用代理服务器的代理102

6．8 使用SOCKS进行代理102

6．9 使用TIS因特网防火墙工具包进行代理104

6．10 使用TIS FWTK的FTP代理104

6．10．1 使用TIS FWTK的Telnet和rlogin代理104

6．11．2 代理无法保证服务的安全105

6．11．1 没有代理服务器105

6．11 如果不能代理怎么办105

6．10．3 其他的TIS FWTK代理105

6．10．2 使用TIS FWTK的公共代理105

6．11．3 无法修改客户程序或过程106

6．12 一些因特网服务代理的特性106

6．12．1 电子邮件106

6．12．2 文件传输106

6．12．3 Telnet107

6．12．4 NNTP107

6．12．5 WWW108

6．12．6 DNS108

7．1．1 电子邮件109

7．1 在防火墙中配置因特网服务109

第7章 因特网服务在防火墙中的配置及实例109

7．1．2 文件传输110

7．1．3 远程登录Telnet服务配置的注意事项114

7．1．4 新闻传输协议NNTP配置的注意事项114

7．1．5 HTTP和WWW的配置注意事项116

7．1．6 DNS配置的注意事项118

7．2 防火墙实例126

7．2．1 子网过滤结构的防火墙126

7．2．2 主机过滤结构的防火墙139

第8章 系统的安全保障和防火墙的维护145

8．1 使用往内服务的安全隐患145

8．2 什么是认证146

8．3 认证机制的实例147

8．4 安全规定的内容147

8．4．1 安全规定应包含的内容147

8．4．2 在安全规定中不应被提及的内容148

8．5 如何制订安全规定148

8．6 防火墙的维护149

8．7 安全事故的处理150

附录A 有关防火墙的资源152

附录B 防火墙工具和软件159

附录C TCP/IP的内部结构164

附录D 有关网络安全和防火墙的书籍166