防火墻技術指南

譯者序
前言
第一部分   TCP/IP及其安全需求：防火墻
第1章   網(wǎng)絡互連協(xié)議和標準概述 1
1.1   網(wǎng)際協(xié)議 3
1.1.1   IP尋址 3
1.1.2   IP安全風險 4
1.2   用戶數(shù)據(jù)報協(xié)議 7
1.2.1   攻擊用戶數(shù)據(jù)報協(xié)議服務:SATAN 輕松
應對 7
1.2.2   用于UNIX和Windows NT上的因特網(wǎng)
安全系統(tǒng) 7
1.3   傳輸控制協(xié)議 9
1.4   通過CIDR擴展IP地址 11
1.4.1   TCP/IP安全風險及其對策  11
1.4.2   IPSEC—IETF提出的IP安全對策 15
1.4.3   IPSO—(美)國防部IP安全對策 15
1.5   路由信息協(xié)議 15
1.6   MBONE—多播骨干網(wǎng) 16
1.7   因特網(wǎng)控制報文協(xié)議 18
1.8   因特網(wǎng)組管理協(xié)議 18
1.9   開放式最短路徑優(yōu)先 19
1.10   邊界網(wǎng)關協(xié)議版本4(BGP-4) 20
1.11   地址轉(zhuǎn)換協(xié)議 20
1.11.1   反向地址轉(zhuǎn)換協(xié)議 20
1.11.2   通過路由器傳遞IP數(shù)據(jù)報的安全
風險 20
1.12   簡單網(wǎng)絡管理協(xié)議 21
1.13   監(jiān)視ISP連接 21
1.14   下一代IP協(xié)議IPv6 21
1.14.1   地址擴展 22
1.14.2   網(wǎng)絡設備的自動配置 22
1.14.3   安全性 22
1.14.4   實時性能 22
1.14.5   多播 23
1.14.6   IPv6安全性 23
1.15   網(wǎng)絡時間協(xié)議 23
1.16   動態(tài)主機配置協(xié)議 23
1.17   Windows套接字（Winsock）標準 24
1.18   域名系統(tǒng) 24
1.19   防火墻概念 24
1.19.1   防火墻缺陷 27
1.19.2   停火區(qū) 27
1.19.3   認證問題 28
1.19.4   周邊信任 28
1.19.5   內(nèi)部網(wǎng)  28
第2章   基礎連接 30
2.1   關于TTY 31
2.2   UNIX to UNIX Copy 33
2.3   SLIP和PPP 34
2.4   Rlogin 34
2.5   虛擬終端協(xié)議 35
2.5.1   哥倫比亞大學的Kermit：一種安全
可靠的Telnet服務器 35
2.5.2   Telnet服務的安全考慮 40
2.5.3   網(wǎng)絡安全系統(tǒng)管理員 40
2.5.4   Telnet會話安全檢查表 42
2.6   簡單文件傳輸協(xié)議 43
2.7   文件傳輸協(xié)議 44
2.8   使用防火墻的一些挑戰(zhàn) 45
2.9   IP網(wǎng)絡日益增加的安全需求 47
第3章   加密：足夠嗎 48
3.1   引言 50
3.2   對稱密鑰加密（私有密鑰） 50
3.2.1   數(shù)據(jù)加密標準 50
3.2.2   國際數(shù)據(jù)加密算法 52
3.2.3   CAST算法 53
3.2.4   Skipjack算法 58
3.2.5   RC2/RC4算法 59
3.3   非對稱密鑰加密/公開密鑰加密 59
3.3.1   RSA 60
3.3.2   數(shù)字簽名標準 61
3.4   消息摘要算法 62
3.4.1   MD2. MD4和MD5 62
3.4.2   安全哈希標準/安全哈希算法 64
3.5   證書 64
3.6   密鑰管理 71
3.6.1   Kerberos協(xié)議 71
3.6.2   密鑰交換算法 78
3.7   密碼分析與攻擊 79
3.7.1   唯密文攻擊 79
3.7.2   已知明文攻擊 79
3.7.3   選擇明文攻擊 80
3.7.4   自適應選擇明文攻擊 80
3.7.5   中間人攻擊 80
3.7.6   選擇密文攻擊 80
3.7.7   選擇密鑰攻擊 80
3.7.8   軟磨硬泡密碼分析 80
3.7.9   時間攻擊 81
3.8   加密應用程序及應用程序編程接口 82
3.8.1   數(shù)據(jù)保密及安全通信信道 82
3.8.2   認證 84
3.8.3   認證碼 84
3.8.4   NT安全支持服務接口 85
3.8.5   Microsoft 加密API 86
第4章   防火墻面臨的挑戰(zhàn)：基礎Web 91
4.1   HTTP 91
4.1.1   基礎Web 92
4.1.2   怎樣監(jiān)視HTTP協(xié)議 94
4.1.3   利用S-HTTP 95
4.1.4   使用SSL增強安全性 95
4.1.5   小心Web緩存 96
4.1.6   堵住漏洞：一個配置檢查表 96
4.1.7   安全檢查表 97
4.1.8   Novell的HTTP協(xié)議：小心為妙 97
4.1.9   監(jiān)視基于UNIX的Web服務器的安全
問題 97
4.2   URI/URL 98
4.2.1   文件URL 99
4.2.2   Gopher URL 99
4.2.3   新聞URL 99
4.2.4   部分URL 99
4.3   CGI 100
第5章   防火墻面臨的挑戰(zhàn)：高級Web 113
5.1   擴展Web服務器：危險不斷增加 113
5.1.1   ISAPI 113
5.1.2   NSAPI 119
5.1.3   servlet 120
5.1.4   服務器端ActiveX服務器 122
5.1.5   Web數(shù)據(jù)庫網(wǎng)關 124
5.1.6   電子郵件應用系統(tǒng)的安全 124
5.1.7   Macromedia的Shockwave 126
5.2   Web頁面中的代碼 127
5.2.1   Java applet 128
5.2.2   ActiveX控件和安全威脅 130
5.2.3   采用面向?qū)ο蠹夹g 135
第6章   API的安全漏洞及防火墻的交互 138
6.1   套接字 138
6.2   Java API 141
6.3   在制造業(yè)和商業(yè)環(huán)境中Java可以幫助聯(lián)合
各種平臺 142
6.3.1   Java能夠運用控制來幫助集成ERP  143
6.3.2   Java 計算為制造業(yè)帶來利益 144
6.3.3   JCAF簡化了制造業(yè)應用程序的開發(fā) 145
6.3.4   由中間件提供后端服務 146
6.3.5   帶有Java的應用程序有助于制造業(yè)合
為一體 147
6.3.6   Jini能夠滿足制造業(yè)和企業(yè)的需求嗎 149
6.3.7   企業(yè)版JavaBeans提供可達性和可
升級性 151
6.3.8   Java/CORBA與DCOM的比較   152
6.3.9   主要的Java產(chǎn)品供應商 153
6.4   Perl 模塊 155
6.5   CGI 腳本 157
6.6   ActiveX 158
6.7   分布式處理 159
6.7.1   XDR/RPC 159
6.7.2   RPC 160
6.7.3   COM/DCOM 160
第二部分   防火墻的實現(xiàn)和局限
第7章   究竟什么是因特網(wǎng)/內(nèi)部網(wǎng)防火墻 161
7.1   什么是防火墻 161
7.2   防火墻的作用 162
7.2.1   防火墻的保護職責 163
7.2.2   防火墻的訪問控制 163
7.3   防火墻的安全職責 164
7.4   提高防火墻保密性 164
7.5   防火墻的優(yōu)點和缺陷 164
7.5.1   訪問限制 164
7.5.2   后門威脅：Modem接入 165
7.5.3   內(nèi)部攻擊 165
7.6   防火墻的構(gòu)成 165
7.6.1   網(wǎng)絡安全策略 165
7.6.2   包過濾 169
7.7   防火墻的獲取 171
7.7.1   需求評估 171
7.7.2   購買防火墻 172
7.7.3   建造防火墻 173
7.7.4   安裝 173
7.8   安裝防火墻時通常應注意的問題 175
7.9   管理防火墻 179
7.9.1   管理專門知識 179
7.9.2   系統(tǒng)管理 179
7.10   電路層網(wǎng)關和包過濾 179
7.10.1   包過濾 180
7.10.2   應用網(wǎng)關 180
7.10.3   IP層過濾 180
7.11   防火墻與Cyberwall 180
第8章   因特網(wǎng)服務的脆弱性 184
8.1   保護和設置易受攻擊的服務 184
8.1.1   電子郵件安全威脅 184
8.1.2   簡單郵件傳輸協(xié)議  184
8.1.3   郵局協(xié)議 189
8.1.4   通用因特網(wǎng)郵件擴充協(xié)議 189
8.2   文件傳輸問題 199
8.2.1   文件傳輸協(xié)議 199
8.2.2   次要文件傳輸協(xié)議 201
8.2.3   文件服務協(xié)議 202
8.2.4   UNIX 到UNIX 拷貝協(xié)議 202
8.3   網(wǎng)絡新聞傳輸協(xié)議 202
8.4   Web和HTTP協(xié)議 203
8.4.1   代理HTTP 204
8.4.2   HTTP安全漏洞 204
8.5   會議系統(tǒng)安全性 205
8.6   注意以下這些服務 206
8.6.1   Gopher 206
8.6.2   finger 206
8.6.3   whois 207
8.6.4   Talk 207
8.6.5   IRC 207
8.6.6   DNS 208
8.6.7   網(wǎng)絡管理站 208
8.6.8   簡單網(wǎng)絡管理協(xié)議 208
8.6.9   traceroute 209
8.6.10   網(wǎng)絡文件系統(tǒng) 210
8.7   保密性和完整性 210
第9章   建立防火墻安全策略 212
9.1   評定公司安全風險 212
9.2   了解和估計威脅 216
9.2.1   病毒威脅 216
9.2.2   外部威脅 217
9.2.3   內(nèi)部威脅 217
9.3   淺談安全漏洞 218
9.4   設置安全策略 219
第10章   防火墻的設計與實現(xiàn) 224
10.1   基本知識的回顧 224
10.2   防火墻的選擇 226
10.3   安全策略的考慮 227
10.3.1   關于物理安全問題的討論 229
10.3.2   關于訪問控制的討論 229
10.3.3   關于認證的討論 229
10.3.4   關于加密的討論 229
10.3.5   關于安全審計的討論 229
10.3.6   關于培訓的討論 229
10.4   網(wǎng)絡遭受攻擊時, 應采取的處理措施 230
10.5   事故的處理 230
10.5.1   以網(wǎng)絡信息服務為破壞工具 231
10.5.2   以遠程登錄/外殼服務為破壞工具 232
10.5.3   以網(wǎng)絡文件系統(tǒng)為破壞工具  232
10.5.4   以FTP服務為破壞工具 232
10.6   事故處理指南 233
10.6.1   評估形勢 234
10.6.2   切斷鏈接 234
10.6.3   分析問題 234
10.6.4   采取措施 235
10.7   抓住入侵者 235
10.8   安全檢查 235
10.9   起訴黑客 236
10.10   保護公司的站點 236
第11章   代理服務器 238
11.1   SOCKS 243
11.2   tcpd, TCP Wrapper 245
第12章   防火墻維護 248
12.1   讓防火墻保持協(xié)調(diào) 249
12.2   系統(tǒng)監(jiān)控 251
12.3   預防性和恢復性維護 251
12.3.1   防止防火墻出現(xiàn)安全缺口 253
12.3.2   鑒別安全漏洞 253
12.4   更新防火墻 253
第13章   防火墻工具包與個案分析 255
13.1   個案分析：實現(xiàn)防火墻 255
13.2   給大型機構(gòu)構(gòu)建防火墻：應用級防火墻
和包過濾—一個混合系統(tǒng) 256
13.3   給小型組織構(gòu)建防火墻：包過濾或應用
級防火墻—代理實現(xiàn) 256
13.4   在子網(wǎng)體系結(jié)構(gòu)中構(gòu)建防火墻 256
第三部分   防火墻資源指南
第14章   防火墻類型及市場產(chǎn)品介紹 257
14.1   Check Point的Firewall-1—狀態(tài)檢測
技術 257
14.1.1   Firewall-1的檢查模塊 257
14.1.2   狀態(tài)檢測 259
14.2   CYCON的Labyrinth Firewall—迷宮式
系統(tǒng) 267
14.3   Net Guard的Guardian 防火墻系統(tǒng)—
Mac 層狀態(tài)檢測 276
14.4   Cyber Guard的Cyber Guard防火墻 284
14.4.1   可信任操作系統(tǒng) 285
14.4.2   直觀的遠程圖形用戶界面
（GUI） 286
14.4.3   動態(tài)狀態(tài)規(guī)則技術 287
14.4.4   可確認技術 289
14.4.5   系統(tǒng)需求 289
14.5   Raptor的防火墻：一個應用級結(jié)構(gòu) 290
14.5.1   增強網(wǎng)絡各層的安全性 291
14.5.2   Raptor 防火墻（6.0）加強了對NT的
管理 295
14.5.3   對專用安全代理的依賴 295
14.5.4   使用Eagle系列Raptor防火墻 296
14.5.5   系統(tǒng)需求 299
14.6   Milkyway的SecurIT FIREWALL 300
14.6.1   防彈防火墻 301
14.6.2   系統(tǒng)需求 309
14.7   WatchGuard Technologies的WatchGuard
防火墻系統(tǒng)—利用所有主要防火墻方
法組合防火箱 309
14.7.1   WatchGuard 概述 310
14.7.2   WatchGuard的安全管理系統(tǒng) 311
14.7.3   WatchGuard的防火箱 313
14.7.4   WatchGuard的總控制臺 313
14.7.5   WatchGuard  圖形監(jiān)視器 314
14.7.6   WatchGuard報告系統(tǒng) 316
14.7.7   WatchGuard  WebBlocker 317
14.7.8   WatchGuard  SchoolMate 318
14.7.9   WatchGuard的VPN向?qū)?319
14.7.10   系統(tǒng)需求 319
14.8   AltaVista Software的Firewall 98—主動
防火墻 319
14.8.1   AltaVista防火墻 320
14.8.2   服務：安全問題 321
14.8.3   安全性：支持SSL 322
14.8.4   管理特征：通過隧道進行遠程
管理 322
14.8.5   URL和Java阻塞 323
14.8.6   增強型代理 323
14.8.7   強有力的. 靈活的認證 324
14.8.8   雙DNS服務器 324
14.8.9   DMZ支持   325
14.8.10   配置 325
14.8.11   硬件需求 325
14.9   ANS Communication的InterLock 防火墻
—一個雙宿主應用級網(wǎng)關 326
14.9.1   ANS InterLock 327
14.9.2   ANS InterLock服務 328
14.9.3   InterLock的訪問控制 328
14.9.4   InterLock的訪問管理 331
14.9.5   ANS InterLock的入侵檢測服務 332
14.9.6   InterLock的安全特征總結(jié) 333
14.10   Global Technology的Gnat Box 防火墻
—一個軟盤里的防火墻 333
14.10.1   認識GNAT Box防火墻 334
14.10.2   標準特征 337
14.10.3   什么是GNAT Box防火墻 338
14.11   Network－1 software and Technology
的FireWall/Plus—一種高性能多
協(xié)議防火墻 345
14.11.1   關于FireWall/Plus 345
14.11.2   FireWall/Plus的安裝. 設置和
使用 347
14.11.3   為FireWall/Plus選擇一個系統(tǒng)
默認的規(guī)則庫 348
14.11.4   性能統(tǒng)計 349
14.11.5   附加和擴充的過濾器 349
14.11.6   FireWall/Plus功能小結(jié) 352
14.11.7   Network－1公司的Cyberwall
PLUS 352
14.11.8   系統(tǒng)需求 355
14.12   Trusted Information System的Gauntlet Internet
—一種基于應用層代理的防火墻 355
14.12.1   TIS  Gauntlet Internet防火墻 357
14.12.2   防火墻對用戶透明 358
14.12.3   對遠地公司進行擴充的防火墻
保護 359
14.12.4   Gauntlet PC Extender 359
14.13   Technologic的  Interceptor防火墻, 一
個直覺的防火墻 360
14.13.1   Technologic的Interceptor防火墻
概述 361
14.13.2   Interceptor的組成部分 362
14.13.3   系統(tǒng)需求 366
14.14   Sun的Sunscreen EFS 防火墻—
一個狀態(tài)檢查防火墻 366
14.14.1   SunScreen 模型 367
14.14.2   安全訪問控制 368
14.14.3   管理的簡化 369
14.14.4   SunScreen SPF-200和SunScreen EFS
安全解決方案 370
14.14.5   SunScreen SPF-200 370
14.14.6   SunScreen EFS 371
14.14.7   系統(tǒng)需求 372
14.14.8   Solstice Firewall-1 3.0 372
14.15   Secure Computing的 BorderWare 防火墻：
包過濾和電路級網(wǎng)關的有機組合 374
14.15.1   BorderWare  防火墻服務器  374
14.15.2   BorderWare應用服務 379
14.15.3   安全特性 381
14.16   Ukiah Software的NetRoad FireWALl
—一種多層體系結(jié)構(gòu)防火墻 382
14.16.1   NetRoad防火墻（Windows NT和
Netware版） 383
14.16.2   NetWare和NT 防火墻支持 386
14.16.3   NetRoad FireWALL平臺的發(fā)展
趨勢 387
14.16.4   系統(tǒng)需求 388
14.17   Secure Comptuting的Sidewinder Firewall
—一種類型增強安全 388
14.17.1   類型增強安全專利 389
14.17.2   遠程管理 391
14.17.3   訪問控制 391
14.17.4   廣泛的事件監(jiān)視 393
14.17.5   高級過濾 394
14.18   IBM的 eNetwork Firewall—另一
種類型增強安全 395
14.18.1   用于AIX的IBM防火墻3.1版 396
14.18.2   IBM防火墻的主要特征 400
14.18.3   通過虛擬專用網(wǎng)進行通信 401
14.18.4   管理防火墻 403
14.18.5   系統(tǒng)需求 404
第四部分   附      錄
附錄A   防火墻銷售商和相關工具 405
附錄B   術語表 417
參考書目 428