本书详细介绍Check Point公司推出的防火墙技术—FireWall-1。主要内容包括FireWall-1的基本功能、安装与配置,管理FireWall-1的方法、规则库、加密技术、安全策略, FireWall-1高级功能等。本书内容丰富、条理清晰,为网络安全提供了有效的方法与策略。本书适合网络应用开发人员、网络安全技术人员等参考。
读者
很可能要利用本书的专业人员是:
几年或多年前毕业的关心安全问题或寻求FireWall-1认证的懂计算机的专业人员。
编程人员/分析人员/软件开发人员,工程师/测试工程师编程人员和项目经理。
管理信息系统(MIS)和信息系统与技术(IS&T)专业人员。
涉及内联网和互联网的建立,执行和管理的专业人员。
Web网站管理人员。
想了解互联网如何工作而不是如何使用互联网的刚入门(从计算机知识上说)的专业人员。
可能会将此书当作快速参考资料使用的精通计算机知识的人员。
第1部分 FireWall-1概述及其结构
第1章为你提供了防火墙技术和Check Point公司的FireWall-1的概述。
第2章论述了Check Point公司的检查技术和FireWall-1的检查模块。它还论述了FireWall-1的全状态戒备,和如何保障无状态和无连接的协议,如用户数据协议(UDP),以及动态配置的端口的连接。
第3章论述了FireWall-1的结构和安装。
第2部分 管理FireWall-1的安全策略
第4章是针对FireWall-1的安全策略的。
第5章说明了建立目标程序和将它们装入FireWall-1的规则库的过程。
第6章论述了FireWall-1的先进的安全主题,如信息存储向量协议(CVP)。
第7章论述了加密技术,它在与FireWall-1进行虚拟专用连网时是需要的。
第8章说明如何在不同的防火墙设置之间建立虚拟专用网(VPN)。
第9章说明FireWall-1的VPN对远程用户的扩展,使可远程访问VPN。
第10章论述了FireWall-1的INSPECT语言,该语言可使管理人员写入他们自己的策略。
第3部分 先进的结构配置
第11章Check Point公司的OPSEC,这是一种保证不同的安全产品安全互用的工业标准。
第12章论及了先进的FireWall-1的拓扑学,如负载的平衡,纠错和记录。
第13章谈到所有管理人员都应知道的先进的防火墙的安全技术。
Check Point软件技术公司(Check Point Software Technologies Inc.)不仅在美国市场,而且在全世界都是防火墙软件最大的销售商,占有市场份额的47%。公司是制造防火墙的公司,更广泛地说,是整个互联网安全方面的领头羊。Check Point公司的主导产品就是FireWall-1,它是通过原始设备制造商(OEM)合伙销售的,这包括SUN微系统、BAY网络、Hewlett Packard和TimeStep。它的大约54%的产品用在Window的NT平台上,并且根据该公司的说法,这个市场部分还在增长。因此,根据Check Point公司的FireWall-1在市场上的如此巨大的主导地位,有一本涵盖FireWall-1的结构和管理这个题目的书也是势在必行的了。
除了FireWall-1外,Check Point技术公司还开发适用于任何机构的基础设施的一套互联网技术。这些技术包括Provider-1,它可以让某个机构在一个地点监测数百个单独的安全策略;FloodGate-1,它是为关键应用的需要提供所需的带宽的应用带宽策略管理技术;Check Point公司的VPN-1,它是为某个机构提供企业级的VPN技术的一个系列产品,也是为达到安全通信的OPSEC众多产品。
本书通过提供安全专业人员甚至在试图安装防火墙前就应知道的防火墙技术的潜在观点,使Check Point公司关于FireWall-1的说明书更添价值。它还根据FireWall-1的安装和结构,提供了以环境为导向的企业内联网/互联网安全威胁和解决方法的梗概。
因此,本书不仅提供了有关FireWall-1的安装和管理的额外信息,而且也论及了包括FireWall-1的VPN的实施、安全策略的开发、代理服务以及所有使用FireWall-1方面的问题。本书应该是专业人员获得认证,安装、维护和扩展FireWall-1 提供的多种特性的好帮手。
本书由三部分组成。第一部分包括了FireWall-1的技术和结构方面,第二部分包括了安全策略和FireWall-1的规则库,而第三部分包括了先进的结构和管理。
(美)Marcus Goncalves Steven A.Brown:暂无简介
贺卫东 周沛龙 吴亚飙:暂无简介
前言
第一部分 FireWall-1概述与配置
第1章 防火墙技术介绍 1
1.1 防火墙技术概述 1
1.1.1 Check Point优点 4
1.1.2 谈谈非军事区 5
1.1.3 认证问题 5
1.1.4 对周边的信任 6
1.1.5 防火墙类型 6
1.1.6 第二代应用级防火墙 7
1.2 Check Point的状态检查 7
1.3 选择 Check Point FireWall-1的原因 8
1.4 关于安全策略 9
1.5 考虑物理安全问题 11
1.6 结论 11
第2章 Check Point FireWall-1体系结构 12
2.1 状态检查 12
2.1.1 包过滤器 12
2.1.2 应用级 12
2.1.3 状态检查 13
2.1.4 FireWall-1管理模块 14
2.1.5 客户机/服务器 14
2.1.6 FireWall-1防火墙模块 16
2.1.7 指定方向 17
2.2 INSPECT 17
2.3 FireWall-1 核心 22
2.4 FireWall-1 守护进程 23
2.5 安全无连接协议 23
2.6 安全动态分配的端口连接 23
2.7 基于UDP 的应用程序 24
2.8 网络目标管理器 26
2.9 用户管理器 27
2.10 服务管理器 27
2.11 系统状态监视器 28
2.12 认证 29
2.12.1 用户认证 29
2.12.2 客户认证 30
2.12.3 话路认证 30
2.13 HTTP安全服务器 31
2.14 路由器扩展模块 31
2.15 FireWall-1性能 31
2.16 FireWall-1安全配套 33
2.17 结论 33
第3章 Check Point FireWall-1安装与配置 34
3.1 安装FireWall-1 34
3.1.1 路由 34
3.1.2 IP 转发 34
3.1.3 DNS 34
3.1.4 IP地址 34
3.1.5 连通性 35
3.2 首次安装FireWall-1 35
3.3 升级到FireWall-1的新版本 35
3.3.1 FireWall-1 数据库 36
3.3.2 选择适当的组件安装 36
3.3.3 软件分布与要求 37
3.3.4 安装过程 38
3.3.5 安装组件 39
3.3.6 配置 42
3.3.7 卸载 FireWall-1(NT) 49
3.3.8 重新配置FireWall-1(NT) 49
3.4 UNIX安装 49
3.5 在UNIX上配置FireWall-1 50
3.6 许可 53
3.7 结论 53
第二部分 管理FireWall-1安全策略
第4章 安全策略 55
4.1 设置安全策略来管理FireWall-1 55
4.1.1 安全策略 55
4.1.2 服务 57
4.1.3 日志和报警 58
4.1.4 路由器访问表 60
4.1.5 SYNDefender 61
4.2 结论 66
第5章 为FireWall-1设置规则库 67
5.1 GUI配置编辑器 68
5.2 更复杂的拓扑 70
5.3 设置SMTP服务器规则 76
5.4 设置Web服务器规则 78
5.5 认证 81
5.6 结论 85
第6章 Check Point FireWall-1的高级
安全功能 86
6.1 内容安全 86
6.2 统一资源识别器 87
6.3 URL 过滤 88
6.3.1 定义UFP服务器 88
6.3.2 定义资源 88
6.3.3 定义规则 89
6.4 邮件 89
6.5 FTP 90
6.6 CVP检查 90
6.7 TCP SYN 泛滥 93
6.7.1 TCP SYN 握手 93
6.7.2 理解SYN 泛滥攻击 94
6.8 Check Point的 SYNDefender 解决方案 94
6.8.1 SYNDefender 中继 95
6.8.2 SYNDefender 网关 95
6.9 将SYNDefender与FireWall-1一起使用 96
6.9.1 使用SYNDefender中继 96
6.9.2 使用SYNDefender 网关 96
6.10 FireWall-1 HTTP安全服务器 96
6.11 HTTP安全服务器参数 97
6.12 HTTP服务器 97
6.13 重认证选项 98
6.14 认证类型 98
6.15 口令提示 99
6.16 多用户与口令 99
6.17 “原因”信息 100
6.18 关于代理服务器 100
6.19 防欺骗 101
6.20 结论 102
第7章 加密技术 103
7.1 使用密码技术加强数据完整性 103
7.1.1 使用私钥 103
7.1.2 非对称密钥加密/公钥加密 107
7.1.3 报文摘要算法 109
7.1.4 使用证书 111
7.1.5 谈谈密钥管理 118
7.1.6 密钥交换算法 125
7.1.7 密码技术应用与应用编程接口 126
7.2 密码技术和防火墙 127
第8章 Check Point FireWall-1虚拟
专用网技术 130
8.1 外联网的安全基础 130
8.2 使用FireWall-1资源 133
8.2.1 安全性 134
8.2.2 流量控制/性能 134
8.2.3 企业管理 135
8.3 FireWall-1与证书机构 135
8.3.1 FireWall-1支持的加密方案 136
8.3.2 FWZ加密方案 136
8.3.3 手控IPSec 加密方案 136
8.3.4 SKIP 加密方案与FireWall-1 137
8.3.5 ISAKMP/OAKLEY 加密方案 137
8.4 配置FireWall-1加密 138
8.4.1 加密域 138
8.4.2 密钥管理 139
8.4.3 有关加密的说明 139
8.5 其他FireWall-1 加密方案 142
8.5.1 Microsoft的Windows PPTP 144
8.5.2 Microsoft虚拟专用网 147
8.5.3 认证和加密 151
8.6 结论 151
第9章 FireWall-1 SecuRemote 152
9.1 配置FireWall-1 SecuRemote客户机加密 152
9.1.1 产品特征 153
9.1.2 智能操作 154
9.1.3 SecuRemote软件 154
9.1.4 封装 155
9.1.5 SecuRemote的安装 156
9.1.6 定义站点 160
9.1.7 加密方法 163
9.1.8 认证方法 163
9.1.9 卸载SecuRemote客户程序 168
9.1.10 修改网络配置 169
9.2 结论 170
第10章 INSPECT语言 171
10.1 编写一个检查脚本语句 172
10.2 测试脚本 172
10.3 INSPECT句法 173
10.4 保留字 176
第三部分 高级配置安装
第11章 保护企业互连体系结构的
开放平台 177
11.1 企业—一个同时代的展望 177
11.2 网络安全要求 177
11.3 行业标准与标准协议 178
11.3.1 RADIUS 178
11.3.2 X.509 179
11.3.3 SNMP 179
11.3.4 LDAP 180
11.4 OPSEC结构—概述 180
11.5 Check Point定义的开放协议和应用
编程接口 181
11.5.1 内容矢量协议API 182
11.5.2 URL过滤协议API 183
11.5.3 可疑活动监控协议API 183
11.5.4 日志输出API 184
11.5.5 事件日志API 184
11.6 OPSEC 管理界面 184
11.7 用INSPECT语言编写的安全应用程序 184
11.8 在行业平台的最宽阵列中嵌入INSPECT
虚拟机器或者全面的FireWall-1 185
11.9 OPSEC联盟 185
11.9.1 满足基于策略集成的需求 185
11.9.2 OPSEC 联盟伙伴 186
11.9.3 OPSEC 联盟伙伴的利益 186
11.9.4 大挑战 187
第12章 网络活动配置与日志 190
12.1 防火墙同步 190
12.1.1 防火墙同步的益处 190
12.1.2 问题 191
12.1.3 配置同步 191
12.2 负载均衡 191
12.3 日志 192
12.3.1 日志查看器选项 199
12.3.2 日志管理 200
12.4 结论 200
第13章 高级防火墙安全主题 202
13.1 防火墙面临的挑战: World Wide Web 202
13.1.1 基本Web 203
13.1.2 监控HTTP协议 205
13.1.3 使用S-HTTP协议 205
13.1.4 使用SSL增强安全性 206
13.1.5 小心使用超高速缓存Web 207
13.1.6 堵住漏洞: 配置检验列表 207
13.1.7 安全检验列表 208
13.1.8 小心Novell的HTTP 208
13.1.9 注意基于UNIX的Web服务器安全
问题 208
13.1.10 注意公共网关接口 208
13.2 不安全的API与防火墙之间的相互
作用 224
13.2.1 套接字 224
13.2.2 BSD 套接字 227
13.2.3 Windows套接字 228
13.3 Java API 228
13.3.1 Perl模块 229
13.3.2 CGI脚本 231
13.3.3 ActiveX 232
13.3.4 分布式处理 233
13.3.5 用防火墙保护以Web为核心的环境 234
13.3.6 通过防火墙的代码 244
第四部分 附录
附录A TCP/IP 传输层协议 249
附录B TCP/IP 应用层协议 256
附录C 术语表 264
附录D 参考书目 278
