Check Point FireWall-1管理指南

前言
第一部分   FireWall-1概述與配置
第1章   防火墻技術介紹 1
1.1   防火墻技術概述 1
1.1.1   Check Point優(yōu)點 4
1.1.2   談談非軍事區(qū) 5
1.1.3   認證問題 5
1.1.4   對周邊的信任 6
1.1.5   防火墻類型 6
1.1.6   第二代應用級防火墻 7
1.2   Check Point的狀態(tài)檢查 7
1.3   選擇 Check Point FireWall-1的原因 8
1.4   關于安全策略 9
1.5   考慮物理安全問題 11
1.6   結論  11
第2章   Check Point FireWall-1體系結構 12
2.1   狀態(tài)檢查 12
2.1.1   包過濾器  12
2.1.2   應用級 12
2.1.3   狀態(tài)檢查 13
2.1.4   FireWall-1管理模塊  14
2.1.5   客戶機/服務器   14
2.1.6   FireWall-1防火墻模塊 16
2.1.7   指定方向  17
2.2   INSPECT 17
2.3   FireWall-1 核心 22
2.4   FireWall-1 守護進程  23
2.5   安全無連接協(xié)議 23
2.6   安全動態(tài)分配的端口連接 23
2.7   基于UDP 的應用程序 24
2.8   網絡目標管理器 26
2.9   用戶管理器 27
2.10   服務管理器 27
2.11   系統(tǒng)狀態(tài)監(jiān)視器 28
2.12   認證 29
2.12.1   用戶認證 29
2.12.2   客戶認證 30
2.12.3   話路認證 30
2.13   HTTP安全服務器  31
2.14   路由器擴展模塊 31
2.15   FireWall-1性能 31
2.16   FireWall-1安全配套 33
2.17   結論 33
第3章   Check Point FireWall-1安裝與配置 34
3.1   安裝FireWall-1 34
3.1.1   路由 34
3.1.2   IP 轉發(fā) 34
3.1.3   DNS 34
3.1.4   IP地址 34
3.1.5   連通性 35
3.2   首次安裝FireWall-1 35
3.3   升級到FireWall-1的新版本 35
3.3.1   FireWall-1 數據庫 36
3.3.2    選擇適當的組件安裝 36
3.3.3   軟件分布與要求  37
3.3.4   安裝過程 38
3.3.5   安裝組件 39
3.3.6   配置 42
3.3.7   卸載 FireWall-1(NT) 49
3.3.8   重新配置FireWall-1(NT) 49
3.4   UNIX安裝 49
3.5   在UNIX上配置FireWall-1  50
3.6   許可 53
3.7   結論 53
第二部分   管理FireWall-1安全策略
第4章   安全策略 55
4.1   設置安全策略來管理FireWall-1 55
4.1.1   安全策略 55
4.1.2   服務 57
4.1.3   日志和報警 58
4.1.4   路由器訪問表 60
4.1.5   SYNDefender 61
4.2   結論 66
第5章   為FireWall-1設置規(guī)則庫 67
5.1   GUI配置編輯器 68
5.2   更復雜的拓撲 70
5.3   設置SMTP服務器規(guī)則 76
5.4   設置Web服務器規(guī)則  78
5.5   認證 81
5.6   結論  85
第6章   Check Point FireWall-1的高級
        安全功能 86
6.1   內容安全 86
6.2   統(tǒng)一資源識別器 87
6.3   URL 過濾 88
6.3.1   定義UFP服務器 88
6.3.2   定義資源 88
6.3.3   定義規(guī)則 89
6.4   郵件 89
6.5   FTP 90
6.6   CVP檢查 90
6.7   TCP SYN 泛濫  93
6.7.1   TCP SYN 握手  93
6.7.2   理解SYN 泛濫攻擊 94
6.8   Check Point的 SYNDefender 解決方案 94
6.8.1   SYNDefender 中繼 95
6.8.2   SYNDefender 網關 95
6.9   將SYNDefender與FireWall-1一起使用 96
6.9.1   使用SYNDefender中繼 96
6.9.2   使用SYNDefender 網關  96
6.10   FireWall-1 HTTP安全服務器 96
6.11   HTTP安全服務器參數 97
6.12   HTTP服務器 97
6.13   重認證選項 98
6.14   認證類型 98
6.15   口令提示 99
6.16   多用戶與口令 99
6.17   “原因”信息 100
6.18   關于代理服務器 100
6.19   防欺騙 101
6.20   結論 102
第7章   加密技術 103
7.1   使用密碼技術加強數據完整性 103
7.1.1   使用私鑰 103
7.1.2   非對稱密鑰加密/公鑰加密 107
7.1.3   報文摘要算法 109
7.1.4   使用證書 111
7.1.5   談談密鑰管理 118
7.1.6   密鑰交換算法 125
7.1.7   密碼技術應用與應用編程接口 126
7.2   密碼技術和防火墻 127
第8章   Check Point FireWall-1虛擬
        專用網技術 130
8.1   外聯網的安全基礎 130
8.2   使用FireWall-1資源 133
8.2.1   安全性 134
8.2.2   流量控制/性能 134
8.2.3   企業(yè)管理 135
8.3   FireWall-1與證書機構  135
8.3.1   FireWall-1支持的加密方案  136
8.3.2   FWZ加密方案 136
8.3.3   手控IPSec 加密方案  136
8.3.4   SKIP 加密方案與FireWall-1 137
8.3.5   ISAKMP/OAKLEY 加密方案 137
8.4   配置FireWall-1加密 138
8.4.1   加密域 138
8.4.2   密鑰管理 139
8.4.3   有關加密的說明 139
8.5   其他FireWall-1 加密方案 142
8.5.1   Microsoft的Windows PPTP  144
8.5.2   Microsoft虛擬專用網 147
8.5.3   認證和加密 151
8.6   結論 151
第9章   FireWall-1 SecuRemote 152
9.1   配置FireWall-1 SecuRemote客戶機加密 152
9.1.1   產品特征 153
9.1.2   智能操作 154
9.1.3   SecuRemote軟件 154
9.1.4   封裝  155
9.1.5   SecuRemote的安裝 156
9.1.6   定義站點 160
9.1.7   加密方法 163
9.1.8   認證方法 163
9.1.9   卸載SecuRemote客戶程序 168
9.1.10   修改網絡配置 169
9.2   結論 170
第10章   INSPECT語言 171
10.1   編寫一個檢查腳本語句 172
10.2   測試腳本 172
10.3   INSPECT句法  173
10.4   保留字  176
第三部分   高級配置安裝
第11章   保護企業(yè)互連體系結構的
         開放平臺  177
11.1   企業(yè)—一個同時代的展望  177
11.2   網絡安全要求 177
11.3   行業(yè)標準與標準協(xié)議 178
11.3.1   RADIUS 178
11.3.2   X.509 179
11.3.3   SNMP 179
11.3.4   LDAP 180
11.4   OPSEC結構—概述 180
11.5   Check Point定義的開放協(xié)議和應用
          編程接口 181
11.5.1   內容矢量協(xié)議API 182
11.5.2   URL過濾協(xié)議API 183
11.5.3   可疑活動監(jiān)控協(xié)議API 183
11.5.4   日志輸出API 184
11.5.5   事件日志API 184
11.6   OPSEC 管理界面 184
11.7   用INSPECT語言編寫的安全應用程序  184
11.8   在行業(yè)平臺的最寬陣列中嵌入INSPECT
         虛擬機器或者全面的FireWall-1 185
11.9   OPSEC聯盟 185
11.9.1   滿足基于策略集成的需求  185
11.9.2   OPSEC 聯盟伙伴  186
11.9.3   OPSEC 聯盟伙伴的利益  186
11.9.4   大挑戰(zhàn)  187
第12章   網絡活動配置與日志 190
12.1   防火墻同步 190
12.1.1   防火墻同步的益處 190
12.1.2   問題 191
12.1.3   配置同步 191
12.2   負載均衡 191
12.3   日志 192
12.3.1   日志查看器選項 199
12.3.2   日志管理 200
12.4   結論 200
第13章   高級防火墻安全主題 202
13.1   防火墻面臨的挑戰(zhàn): World Wide Web 202
13.1.1   基本Web 203
13.1.2   監(jiān)控HTTP協(xié)議 205
13.1.3   使用S-HTTP協(xié)議 205
13.1.4   使用SSL增強安全性 206
13.1.5   小心使用超高速緩存Web 207
13.1.6   堵住漏洞: 配置檢驗列表 207
13.1.7   安全檢驗列表 208
13.1.8   小心Novell的HTTP 208
13.1.9   注意基于UNIX的Web服務器安全
               問題 208
13.1.10   注意公共網關接口 208
13.2   不安全的API與防火墻之間的相互
          作用 224
13.2.1   套接字 224
13.2.2   BSD 套接字 227
13.2.3   Windows套接字 228
13.3   Java API 228
13.3.1   Perl模塊 229
13.3.2   CGI腳本 231
13.3.3   ActiveX 232
13.3.4   分布式處理  233
13.3.5   用防火墻保護以Web為核心的環(huán)境 234
13.3.6   通過防火墻的代碼 244
第四部分   附錄
附錄A   TCP/IP 傳輸層協(xié)議 249
附錄B   TCP/IP 應用層協(xié)議 256
附錄C   術語表 264
附錄D   參考書目 278