Linux防火墻

第一部分 基本事項(xiàng)
第1章 包過濾防火墻的基本概念
1.1 TCP/IP參考網(wǎng)絡(luò)模型
1.2 服務(wù)端口：通向系統(tǒng)程序的大門
1.3 數(shù)據(jù)包：IP網(wǎng)絡(luò)消息
1.3.1 IP消息類型:ICMP
1.3.2 IP消息類型：UDP
1.3.3 IP消息類型:TCP
1.4 小結(jié)
第二部分 包過濾和基本安全標(biāo)準(zhǔn)
第2章 包過濾概念
2.1 包過濾防火墻
2.2 選擇一個(gè)默認(rèn)的包過濾策略
2.3 拒絕（Reject）和禁止（Deny）一個(gè)包
2.4 輸入包的過濾
2.4.1 遠(yuǎn)程源地址過濾
2.4.2 本地目的地址過濾
2.4.3 遠(yuǎn)程源端口過濾
2.4.4 本地目的端口過濾
2.4.5 輸入包的TCP連接狀態(tài)過濾
2.4.6 刺探和掃描
2.4.7 拒絕服務(wù)攻擊
2.4.8 過濾輸入數(shù)據(jù)包的各種考慮
2.5 輸出包的過濾
2.5.1 本地源地址過濾
2.5.2 遠(yuǎn)程目的地址過濾
2.5.3 本地源端口過濾
2.5.4 遠(yuǎn)程目的端口過濾
2.5.5 TCP連接狀態(tài)的輸出過濾
2.6 內(nèi)部專用對公共網(wǎng)絡(luò)服務(wù)
2.6.1 保護(hù)不安全的本地服務(wù)
2.6.2 選擇要運(yùn)行的服務(wù)
2.7 小結(jié)
第3章 構(gòu)建和安裝防火墻
3.1 ipchains：Linux防火墻管理程序
3.1.1 防火墻腳本中所使用的ipchains選項(xiàng)
3.1.2 源和目的地址選項(xiàng)
3.2 初始化防火墻
3.2.1 防火墻例子中使用的符號(hào)常量
3.2.2 刪除任何已存在的規(guī)則
3.2.3 定義默認(rèn)策略
3.2.4 啟用回環(huán)接口
3.2.5 源地址欺騙和其他的不合法地址
3.3 ICMP控制和狀態(tài)消息過濾
3.3.1 錯(cuò)誤狀態(tài)和控制消息 
3.3.2 ping Echo Request（類型8）和Echo Reply（類型0）控制消息
3.4 保護(hù)分配在非特權(quán)端口上的服務(wù)
3.4.1 分配給非特權(quán)端口的常用本地TCP服務(wù)
3.4.2 分配給非特權(quán)端口的常用本地UDP服務(wù)
3.5 激活基本的Internet服務(wù)
3.5.1 允許DNS（UDP/TCP端口53）
3.6 激活公用TCP服務(wù)
3.6.1 E－mail（TCP SMTP端口25，POP端口110，IMAP端口143）
3.6.2 訪問Usenet新聞服務(wù)（TCP NNTP端口119）
3.6.3 telnet（TCP端口23）
3.6.4 SSH（TCP端口22）
3.6.5 ftp（TCP端口21，20）
3.6.6 Web服務(wù)
3.6.7 finger（TCP端口79）
3.6.8 whois（TCP端口43）
3.6.9 gopher（TCP端口70）
3.6.10 WAIS（TCP端口210）
3.7 激活公用UDP服務(wù)
3.7.1 traceroute（UDP端口33434）
3.7.2 訪問ISP的DHCP服務(wù)器（UDP端口67，68）
3.7.3 訪問遠(yuǎn)程網(wǎng)絡(luò)時(shí)間服務(wù)器（UDP 123）
3.8 記錄被禁止的輸入數(shù)據(jù)包
3.9 禁止訪問有問題的站點(diǎn)
3.10 激活LAN訪問
3.10.1 激活LAN對防火墻內(nèi)部網(wǎng)絡(luò)接口的訪問
3.10.2 激活LAN訪問Internet:IP轉(zhuǎn)發(fā)和地址隱藏
3.11 安裝防火墻
3.11.1 安裝帶有靜態(tài)IP地址的防火墻
3.11.2 安裝帶有動(dòng)態(tài)IP地址的防火墻
3.12 小結(jié)
第4章 局域網(wǎng)、多重防火墻和網(wǎng)絡(luò)防御帶
4.1 LAN安全相關(guān)問題
4.2 可信家庭網(wǎng)絡(luò)的配置選項(xiàng)
4.2.1 LAN訪問堡壘防火墻
4.2.2 LAN訪問別的局域網(wǎng)：在多個(gè)LAN之間轉(zhuǎn)發(fā)本地網(wǎng)絡(luò)流
4.2.3 LAN訪問Internet:通過地址隱藏再轉(zhuǎn)發(fā)
4.3 大型內(nèi)部網(wǎng)絡(luò)的安全配置選項(xiàng)
4.3.1 劃分子網(wǎng)，創(chuàng)建多個(gè)網(wǎng)絡(luò)
4.3.2 通過主機(jī)地址或端口范圍限制內(nèi)部訪問
4.3.3 LAN到Internet網(wǎng)絡(luò)流的地址隱藏
4.3.4 端口重定向——透明代理
4.3.5 轉(zhuǎn)發(fā)從Internet到內(nèi)部服務(wù)器的連接請求
4.4 屏蔽子網(wǎng)防火墻樣板
4.4.1 防火墻實(shí)例中的符號(hào)常量說明
4.4.2 清空隔斷（choke）防火墻原有的安全規(guī)則
4.4.3 定義隔斷防火墻的默認(rèn)策略
4.4.4 激活隔斷防火墻機(jī)器的回環(huán)接口
4.4.5 源地址欺騙和別的惡意地址
4.4.6 過濾ICMP控制和狀態(tài)信息
4.4.7 激活DNS（UDP/TCP端口53）
4.4.8 過濾用戶認(rèn)證服務(wù)（TCP端口113）
4.4.9 E－mail（TCP SMTP端口25、POP端口110、IMAP端口143）
4.4.1O 訪問Usenet新聞組服務(wù)（TCP NNTP端口119）
4.4.11 Telnet（TCP端口23）
4.4.12 SSH（TCP端口22）
4.4.13 FTP（TCP端口21和20）
4.4.14 Web服務(wù)
4.4.15 finger（TCP端口79）
4.4.16 Whois服務(wù)（TCP端口43）
4.4.17 gopher服務(wù)（TCP端口70）
4.4.18 WAIS（TCP端口43）
4.4.19 RealAudio和QuickTime服務(wù)（端口554）
4.4.20 IRC（TCP端口6667）
4.4.21 CU-SeeMe（UDP端口7648，7649，24032；TCP端口7648，7649）
4.4.22 Quake服務(wù)（UDP端口26000以及1025－1200）
4.4.23 網(wǎng)絡(luò)時(shí)間服務(wù)（UDP端口123）
4.4.24 遠(yuǎn)程系統(tǒng)日志（UDP端口514）
4.4.25 Choke主機(jī)作為本地DHCP服務(wù)器（UDP端口67和68）
4.4.26 使局域網(wǎng)中主機(jī)訪問Choke防火墻主機(jī)
4.4.27 激活I(lǐng)P地址隱藏功能
4.4.28 日志記錄
4.5 小結(jié)
第5章 調(diào)試防火墻規(guī)則
5.1 常用的防火墻開發(fā)技巧
5.2 列出防火墻規(guī)則
5.2.1 ipchains－Linput
5.2.2 ipchains－Linput－n
5.2.3 ipchains－Linput－v
5.2.4 ipchains－Linput－nv
5.3 檢查輸入、輸出和轉(zhuǎn)發(fā)規(guī)則
5.3.1 檢查輸入規(guī)則
5.3.2 檢查輸出規(guī)則
5.3.3 檢查轉(zhuǎn)發(fā)規(guī)則
5.4 用單個(gè)數(shù)據(jù)包對防火墻規(guī)則進(jìn)行測試
5.5 檢查打開的端口
5.5.1 netstat－a［-n-p-Ainet］
5.5.2 strobe
5.5.3 nmap
5.6 調(diào)試SSH——一個(gè)真實(shí)的例子
5.7 小結(jié)
第三部分 系統(tǒng)級安全和監(jiān)控
第6章 檢查系統(tǒng)是否正常運(yùn)行
6.1 用ifconfig檢查網(wǎng)絡(luò)接口
6.2 用ping命令檢查網(wǎng)絡(luò)連接
6.3 用netstat命令檢查網(wǎng)絡(luò)
6.4 用ps－ax檢查所有進(jìn)程
6.5 系統(tǒng)日志詳解
6.5.1 日志記錄什么以及在何處記錄
6.5.2 Syslog的配置
6.5.3 防火墻日志消息
6.5.4 常被刺探的端口
6.5.5 常見的端口掃描日志例子
6.5.6 自動(dòng)日志分析軟件包
6.6 小結(jié)
第7章 UNIX系統(tǒng)管理相關(guān)問題
7.1 認(rèn)證：檢查身份
7.1.1 Shadow口令
7.1.2 MD5口令hash（哈希）法
7.1.3 伯克利（Berkeley）rhost認(rèn)證：hosts.equiv和.rhost文件
7.1.4 共享訪問中央認(rèn)證：網(wǎng)絡(luò)信息服務(wù)（NIS）
7.2 授權(quán)：根據(jù)身份限定訪問權(quán)限
7.2.1 root帳號(hào)訪問特權(quán)
7.2.2 限制訪問su
7.2.3 tcp_wrappers程序
7.2.4 文件和目錄權(quán)限
7.3 特定服務(wù)器配置
7.3.1 Telnet配置的相關(guān)問題
7.3.2 SSH配置的相關(guān)問題
7.3.3 SMTP配置的相關(guān)問題
7.3.4 DNS配置的相關(guān)問題
7.3.5 FTP配置相關(guān)問題
7.3.6 POP服務(wù)器相關(guān)配置問題
7.3.7 DHCP服務(wù)器相關(guān)配置問題
7.3.8 NTP配置的相關(guān)問題
7.3.9 HTTP CGI腳本配置相關(guān)問題
7.4 SOCKS：應(yīng)用層代理防火墻
7.5 /etc/passwd和/etc/group文件中的系統(tǒng)帳號(hào)
7.6 設(shè)置PATH變量
7.7 /etc/issue.net文件
7.8 遠(yuǎn)程日志
7.9 保持軟件不斷升級
7.9.1 從Red Hat處取得系統(tǒng)的錯(cuò)誤更改
7.9.2 利用mountd進(jìn)行攻擊的例子
7.10 小結(jié)
第8章 入侵檢測和事件報(bào)告
8.1 系統(tǒng)完整性檢查工具
8.1.1 COPS
8.1.2 Crack
8.1.3 ifstatus
8.1.4 MD5
8.1.5 SATAN
8.1.6 tiger
8.1.7 tripwire
8.2 系統(tǒng)可能受損的跡象
8.2.1 與系統(tǒng)日志有關(guān)的跡象
8.2.2 與系統(tǒng)配置有關(guān)的跡象
8.2.3 與文件系統(tǒng)有關(guān)的跡象
8.2.4 與用戶帳號(hào)有關(guān)的跡象
8.2.5 與安全審計(jì)工具有關(guān)的跡象
8.2.6 與系統(tǒng)性能有關(guān)的跡象
8.3 系統(tǒng)受到安全侵害后應(yīng)該采取的措施
8.4 事件報(bào)告
8.4.1 為什么要報(bào)告事件
8.4.2 報(bào)告哪類事件
8.4.3 向誰報(bào)告事件
8.4.4 你應(yīng)提供哪些信息
8.4.5 去何處查找更多的信息
8.5 小結(jié)
第四部分 附錄
附錄A 安全資源
附錄B 防火墻應(yīng)用實(shí)例和支持腳本
附錄C 詞匯表