防火墙技术指南[按需印刷]

.1.8 因特网组管理协议18
1.9 开放式最短路径优先19
1.10 边界网关协议版本4(bgp-4)20
1.11 地址转换协议20
1.11.1 反向地址转换协议20
1.11.2 通过路由器传递ip数据报的安全
风险20
1.12 简单网络管理协议21
1.13 监视isp连接21
1.14 下一代ip协议ipv621
1.14.1 地址扩展22
1.14.2 网络设备的自动配置22
1.14.3 安全性22
1.14.4 实时性能22
1.14.5 多播23
1.14.6 ipv6安全性23
1.15 网络时间协议23
1.16 动态主机配置协议23
1.17 windows套接字（winsock）标准24
1.18 域名系统24
1.19 防火墙概念24
1.19.1 防火墙缺陷27
1.19.2 停火区27
1.19.3 认证问题28
1.19.4 周边信任28
1.19.5 内部网 28
第2章 基础连接30
2.1 关于tty31
2.2 unix to unix copy33
2.3 slip和ppp34
2.4 rlogin34
2.5 虚拟终端协议35
2.5.1 哥伦比亚大学的kermit：一种安全
可靠的telnet服务器35
2.5.2 telnet服务的安全考虑40
2.5.3 网络安全系统管理员40
2.5.4 telnet会话安全检查表42
2.6 简单文件传输协议43
2.7 文件传输协议44
2.8 使用防火墙的一些挑战45
2.9 ip网络日益增加的安全需求47
第3章 加密：足够吗48
3.1 引言50
3.2 对称密钥加密（私有密钥）50
3.2.1 数据加密标准50
3.2.2 国际数据加密算法52
3.2.3 cast算法53
3.2.4 skipjack算法58
3.2.5 rc2/rc4算法59
3.3 非对称密钥加密/公开密钥加密59
3.3.1 rsa60
3.3.2 数字签名标准61
3.4 消息摘要算法62
3.4.1 md2、md4和md562
3.4.2 安全哈希标准/安全哈希算法64
3.5 证书64
3.6 密钥管理71
3.6.1 kerberos协议71
3.6.2 密钥交换算法78
3.7 密码分析与攻击79
3.7.1 唯密文攻击79
3.7.2 已知明文攻击79
3.7.3 选择明文攻击80
3.7.4 自适应选择明文攻击80
3.7.5 中间人攻击80
3.7.6 选择密文攻击80
3.7.7 选择密钥攻击80
3.7.8 软磨硬泡密码分析80
3.7.9 时间攻击81
3.8 加密应用程序及应用程序编程接口82
3.8.1 数据保密及安全通信信道82
3.8.2 认证84
3.8.3 认证码84
3.8.4 nt安全支持服务接口85
3.8.5 microsoft 加密api86
第4章 防火墙面临的挑战：基础web91
4.1 http91
4.1.1 基础web92
4.1.2 怎样监视http协议94
4.1.3 利用s-http95
4.1.4 使用ssl增强安全性95
4.1.5 小心web缓存96
4.1.6 堵住漏洞：一个配置检查表96
4.1.7 安全检查表97
4.1.8 novell的http协议：小心为妙97
4.1.9 监视基于unix的web服务器的安全
问题97
4.2 uri/url98
4.2.1 文件url99
4.2.2 gopher url99
4.2.3 新闻url99
4.2.4 部分url99
4.3 cgi100
第5章 防火墙面临的挑战：高级web113
5.1 扩展web服务器：危险不断增加113
5.1.1 isapi113
5.1.2 nsapi119
5.1.3 servlet120
5.1.4 服务器端activex服务器122
5.1.5 web数据库网关124
5.1.6 电子邮件应用系统的安全124
5.1.7 macromedia的shockwave126
5.2 web页面中的代码127
5.2.1 java applet128
5.2.2 activex控件和安全威胁130
5.2.3 采用面向对象技术135
第6章 api的安全漏洞及防火墙的交互138
6.1 套接字138
6.2 java api141
6.3 在制造业和商业环境中java可以帮助联合
各种平台142
6.3.1 java能够运用控制来帮助集成erp 143
6.3.2 java 计算为制造业带来利益144
6.3.3 jcaf简化了制造业应用程序的开发145
6.3.4 由中间件提供后端服务146
6.3.5 带有java的应用程序有助于制造业合
为一体147
6.3.6 jini能够满足制造业和企业的需求吗149
6.3.7 企业版javabeans提供可达性和可
升级性151
6.3.8 java/corba与dcom的比较 152
6.3.9 主要的java产品供应商153
6.4 perl 模块155
6.5 cgi 脚本157
6.6 activex158
6.7 分布式处理159
6.7.1 xdr/rpc159
6.7.2 rpc160
6.7.3 com/dcom160
第二部分 防火墙的实现和局限
第7章 究竟什么是因特网/内部网防火墙161
7.1 什么是防火墙161
7.2 防火墙的作用162
7.2.1 防火墙的保护职责163
7.2.2 防火墙的访问控制163
7.3 防火墙的安全职责164
7.4 提高防火墙保密性164
7.5 防火墙的优点和缺陷164
7.5.1 访问限制164
7.5.2 后门威胁：modem接入165
7.5.3 内部攻击165
7.6 防火墙的构成165
7.6.1 网络安全策略165
7.6.2 包过滤169
7.7 防火墙的获取171
7.7.1 需求评估171
7.7.2 购买防火墙172
7.7.3 建造防火墙173
7.7.4 安装173
7.8 安装防火墙时通常应注意的问题175
7.9 管理防火墙179
7.9.1 管理专门知识179
7.9.2 系统管理179
7.10 电路层网关和包过滤179
7.10.1 包过滤180
7.10.2 应用网关180
7.10.3 ip层过滤180
7.11 防火墙与cyberwall180
第8章 因特网服务的脆弱性184
8.1 保护和设置易受攻击的服务184
8.1.1 电子邮件安全威胁184
8.1.2 简单邮件传输协议 184
8.1.3 邮局协议189
8.1.4 通用因特网邮件扩充协议189
8.2 文件传输问题199
8.2.1 文件传输协议199
8.2.2 次要文件传输协议201
8.2.3 文件服务协议202
8.2.4 unix 到unix 拷贝协议202
8.3 网络新闻传输协议202
8.4 web和http协议203
8.4.1 代理http204
8.4.2 http安全漏洞204
8.5 会议系统安全性205
8.6 注意以下这些服务206
8.6.1 gopher206
8.6.2 finger206
8.6.3 whois207
8.6.4 talk207
8.6.5 irc207
8.6.6 dns208
8.6.7 网络管理站208
8.6.8 简单网络管理协议208
8.6.9 traceroute209
8.6.10 网络文件系统210
8.7 保密性和完整性210
第9章 建立防火墙安全策略212
9.1 评定公司安全风险212
9.2 了解和估计威胁216
9.2.1 病毒威胁216
9.2.2 外部威胁217
9.2.3 内部威胁217
9.3 浅谈安全漏洞218
9.4 设置安全策略219
第10章 防火墙的设计与实现224
10.1 基本知识的回顾224
10.2 防火墙的选择226
10.3 安全策略的考虑227
10.3.1 关于物理安全问题的讨论229
10.3.2 关于访问控制的讨论229
10.3.3 关于认证的讨论229
10.3.4 关于加密的讨论229
10.3.5 关于安全审计的讨论229
10.3.6 关于培训的讨论229
10.4 网络遭受攻击时，应采取的处理措施230
10.5 事故的处理230
10.5.1 以网络信息服务为破坏工具231
10.5.2 以远程登录/外壳服务为破坏工具232
10.5.3 以网络文件系统为破坏工具 232
10.5.4 以ftp服务为破坏工具232
10.6 事故处理指南233
10.6.1 评估形势234
10.6.2 切断链接234
10.6.3 分析问题234
10.6.4 采取措施235
10.7 抓住入侵者235
10.8 安全检查235
10.9 起诉黑客236
10.10 保护公司的站点236
第11章 代理服务器238
11.1 socks243
11.2 tcpd，tcp wrapper245
第12章 防火墙维护248
12.1 让防火墙保持协调249
12.2 系统监控251
12.3 预防性和恢复性维护251
12.3.1 防止防火墙出现安全缺口253
12.3.2 鉴别安全漏洞253
12.4 更新防火墙253
第13章 防火墙工具包与个案分析255
13.1 个案分析：实现防火墙255
13.2 给大型机构构建防火墙：应用级防火墙
和包过滤—一个混合系统256
13.3 给小型组织构建防火墙：包过滤或应用
级防火墙—代理实现256
13.4 在子网体系结构中构建防火墙256
第三部分 防火墙资源指南
第14章 防火墙类型及市场产品介绍257
14.1 check point的firewall-1—状态检测
技术257
14.1.1 firewall-1的检查模块257
14.1.2 状态检测259
14.2 cycon的labyrinth firewall—迷宫式
系统267
14.3 net guard的guardian 防火墙系统—
mac 层状态检测276
14.4 cyber guard的cyber guard防火墙284
14.4.1 可信任操作系统285
14.4.2 直观的远程图形用户界面
（gui）286
14.4.3 动态状态规则技术287
14.4.4 可确认技术289
14.4.5 系统需求289
14.5 raptor的防火墙：一个应用级结构290
14.5.1 增强网络各层的安全性291
14.5.2 raptor 防火墙（6.0）加强了对nt的
管理295
14.5.3 对专用安全代理的依赖295
14.5.4 使用eagle系列raptor防火墙296
14.5.5 系统需求299
14.6 milkyway的securit firewall300
14.6.1 防弹防火墙301
14.6.2 系统需求309
14.7 watchguard technologies的watchguard
防火墙系统—利用所有主要防火墙方
法组合防火箱309
14.7.1 watchguard 概述310
14.7.2 watchguard的安全管理系统311
14.7.3 watchguard的防火箱313
14.7.4 watchguard的总控制台313
14.7.5 watchguard 图形监视器314
14.7.6 watchguard报告系统316
14.7.7 watchguard webblocker317
14.7.8 watchguard schoolmate318
14.7.9 watchguard的vpn向导319
14.7.10 系统需求319
14.8 altavista software的firewall 98—主动
防火墙319
14.8.1 altavista防火墙320
14.8.2 服务：安全问题321
14.8.3 安全性：支持ssl322
14.8.4 管理特征：通过隧道进行远程
管理322
14.8.5 url和java阻塞323
14.8.6 增强型代理323
14.8.7 强有力的、灵活的认证324
14.8.8 双dns服务器324
14.8.9 dmz支持 325
14.8.10 配置325
14.8.11 硬件需求325
14.9 ans communication的interlock 防火墙
—一个双宿主应用级网关326
14.9.1 ans interlock327
14.9.2 ans interlock服务328
14.9.3 interlock的访问控制328
14.9.4 interlock的访问管理331
14.9.5 ans interlock的入侵检测服务332
14.9.6 interlock的安全特征总结333
14.10 global technology的gnat box 防火墙
—一个软盘里的防火墙333
14.10.1 认识gnat box防火墙334
14.10.2 标准特征337
14.10.3 什么是gnat box防火墙338
14.11 network－1 software and technology
的firewall/plus—一种高性能多
协议防火墙345
14.11.1 关于firewall/plus345
14.11.2 firewall/plus的安装、设置和
使用347
14.11.3 为firewall/plus选择一个系统
默认的规则库348
14.11.4 性能统计349
14.11.5 附加和扩充的过滤器349
14.11.6 firewall/plus功能小结352
14.11.7 network－1公司的cyberwall
plus352
14.11.8 系统需求355
14.12 trusted information system的gauntlet internet
—一种基于应用层代理的防火墙355
14.12.1 tis gauntlet internet防火墙357
14.12.2 防火墙对用户透明358
14.12.3 对远地公司进行扩充的防火墙
保护359
14.12.4 gauntlet pc extender359
14.13 technologic的 interceptor防火墙，一
个直觉的防火墙360
14.13.1 technologic的interceptor防火墙
概述361
14.13.2 interceptor的组成部分362
14.13.3 系统需求366
14.14 sun的sunscreen efs 防火墙—
一个状态检查防火墙366
14.14.1 sunscreen 模型367
14.14.2 安全访问控制368
14.14.3 管理的简化369
14.14.4 sunscreen spf-200和sunscreen efs
安全解决方案370
14.14.5 sunscreen spf-200370
14.14.6 sunscreen efs371
14.14.7 系统需求372
14.14.8 solstice firewall-1 3.0372
14.15 secure computing的 borderware 防火墙：
包过滤和电路级网关的有机组合374
14.15.1 borderware 防火墙服务器 374
14.15.2 borderware应用服务379
14.15.3 安全特性381
14.16 ukiah software的netroad firewall
—一种多层体系结构防火墙382
14.16.1 netroad防火墙（windows nt和
netware版）383
14.16.2 netware和nt 防火墙支持386
14.16.3 netroad firewall平台的发展
趋势387
14.16.4 系统需求388
14.17 secure comptuting的sidewinder firewall
—一种类型增强安全388
14.17.1 类型增强安全专利389
14.17.2 远程管理391
14.17.3 访问控制391
14.17.4 广泛的事件监视393
14.17.5 高级过滤394
14.18 ibm的 enetwork firewall—另一
种类型增强安全395
14.18.1 用于aix的ibm防火墙3.1版396
14.18.2 ibm防火墙的主要特征400
14.18.3 通过虚拟专用网进行通信401
14.18.4 管理防火墙403
14.18.5 系统需求404
第四部分 附 录
附录a 防火墙销售商和相关工具405
附录b 术语表417
参考书目428