本书站在一个比较高的层次上，以纵深防御思想为主线，全面而系统地介绍了网络边界安全的方方面面。全书包括四个部分和三个附录。这四个部分依次从基础性的介绍逐步转向综合性的介绍，按照适合读者思路的方式进行组织编排。第一部分“网络边界基础”介绍了一些与边界有关的基本知识和核心概念。第二部分“边界的延伸”集中介绍了组成网络安全边界的附加部件。第三部分“边界设计”阐述了如何进行良好的设计。第四部分“边界安全评估方法”讲述了如何评估与检查已设计好的网络边界。附录中包含了Cisco访问列表配置示例，讨论了密码术的基础知识，并对网络空隙机制进行了概述。
这是一本有关网络安全的中高级技术性指南，适合于已充分了解TCP/IP和相关技术的安全专业人员、系统管理员及网络管理员阅读。



　　全书讨论了计算机网络的边界部件　如防火墙、VPN 路由器和入侵检测系统．同时解释了如何将
这些部件集成到一个统一的整体中, 以便满足现实世界业务的需求。读者可从17位信息安全专家那里学习边界防御的最优方法。因为本书在创作时与SANS Institute紧密合作, 所以本书还可以作为那些希望获得GCFW(GIAC Certified Firewall Analyst)证书的读者的补充读物。如果你需要保护自己的网络边界,请使用本书进行以下工作：
根据网络防御部件的关系来对其进行设计和配置。
调整安全设计来获取优化的性能。
选择适合自己环境的最佳防火墙。
执行边界维护过程和日志分析。
评估防御体系的强度,对网络结构进行对抗性检查。
实现报文过滤器、代理和有状态防火墙。
根据业务和技术需求部署入侵检测系统。
了解IPSec、SSH、SSL和其他隧道建立技术。
配置主机来加强网络边界防御
根据与安全有关的性质对资源进行分组，限制攻击者的影响区域。

作 者 简 介 主要作者 Karen Kent Frederick。一位在NFR Security的Rapid Response Team小组工作的高级安全工程师。她取得了Wisconsin-Parkside大学的计算机科学学士学位，并且获得了Idaho大学的计算机科学硕士学位。Karen在各种IT领域（尤其是系统管理与信息安全方面）工作过10多年的时间。她取得了4个SANS GIAC证书，并且还拥有CCSA和MCSE+ Internet证书。Karen是《Intrusion Signatures and Analysis》（New Riders出版社出版）的作者之一，并且也是《Handbook of Computer Crime Investigation》（Academic出版社出版）的作者之一。 Stephen Northcutt。他创建了Shadow Intrusion Detection System、DoD Shadow小组、GIAC Security Certification Series和SANS Immersion Security Training教育系统—目前由11个方向组成，从Security Essentials（安全基础）到Forensics（取证）。他个人编写或者合著过《Incident Handling Step-by-Step》（New Riders出版社出版）、《Network Intrusion Detection—An Analyst's Handbook》（New Riders出版社出版）。在加入SANS之前他担当Ballistic Missile Defence Organization的信息战主席。目前，他是SANS Institute的一名讲师）。 Ronald W. Ritchey。他是安全网络设计与网络入侵领域的权威人士，并且定期为Booz Allen Hamilton指导渗透检测工作，在这家公司，他可以学习到第一手的和现实世界的网络弱点影响。他还是自动化网络安全分析领域中的同行评审刊（peer-reviewed）出版领域中活跃的研究员。Ronald取得了George Mason大学的计算机科学硕士学位，目前正在努力争取拿到Information Technology and Engineering系的信息技术专业的教授（Ph.D.）资格。他的博士研究方向为自动化网络安全分析。 Scott Winters。他已经在网络和计算机安全方向工作达12年之久。他曾经当过讲师、作家、网络工程师、顾问和系统管理员，并且在各种边界安全解决方案、防火墙和基础结构设计方面工作过。他获得了SANS GIAC GSEC和GCFW证书，还获得了MCSE、CNE和Cisco CCNA以及其他技术证书。Scott的其他成就包括：SANS GIAC培训和认证课程和考试内容的创作与编辑。他还一直潜心于SANS GIAC指导程序，并且服务于SANS GCFW顾问公告牌。 Lenny Zeltser。他在信息安全方面的工作得益于在系统管理、软件结构和独立研究中的经验。Lenny在一家大型金融机构充当顾问，并与他人共同创办了一家软件公司，他目前是Kiodex公司的信息安全指导员。他还编写和提供SANS的课程、反向工程（reverse-engineered）恶意软件，并且是几个GIAC顾问公告牌的活跃成员。 其他作者 其他参与写作的人员还有Brent Deterding、Mark Edmead、Dr. Neil F. Johnson、Brian O'Berry、Daniel Martin。 技术审校人员 本书的技术审校人员包括Bill Bauer、Sam Campbell、Todd Chapman、Cl巑ent Dupuis、Dan Goldberg、Jeff Stevenson、Sergei ledovskij。 作者简介
　　Stephen Northcutt是世界知名的安全专家，曾任美国国防部信息战专家，他创建了Shadow Intrusion
Detection System、DoD Shadow小组、GIAC Security Certification Series和SANS Immersion Security
Training教育系统。目前，他是SANS Institute的一名导师
　　Lenny Zeltser是Kiodex公司的信息安全导师。
　　Scott Winters已经在网络和计算机安全方面工作达12年之久　曾经担当过讲师、作者、网络工程师、顾
问和系统管理员；他还一直积极参与SANS GIAC指导项目．并且服务于SANS GCFW顾问委员会。
　　Karen Kent Frederick是一位在NFR Security的Rapid Response Team小组工作的高级安全工程师, 她
还为SecurityFocus.com写涉及入侵检验主题的文章。Karen在，IT的各领域工作过10年以上。
　　Ronald W．Ritchey是安全网络设计与网络入侵领域的权威人士，并且领导了Booz Allen Hamilton的入
侵检测工作。

从Lihue到San Francisco（旧金山）的飞机航程约5个小时。在飞机上听不到电话的响声，也不用带着狗出去弯儿，而且个人防火墙不会因为有人设法扫描计算机而开始发出警报，也就是说，在这5个小时内几乎没有任何干扰，因此，我喜欢利用这段时间进行创作。
当飞机上所播放的一个电视节目的画面引起我注意的时候，我正陷于本书的创作之中。电视上的画面是关于美国联合航空公司（United Airlines）历史的录像，这段录像首先介绍“摇晃的”老式飞机（驾驶员座舱暴露在外）递送航空邮件的情形。今天，新式的、快速的和复杂的飞行器保持着令人难以置信的安全记录。航空工业已经从一个“奇异”的工业—一个在大城市中的娱乐工具—发展成为了一个对于我们的生活方式和经济都至关重要的工业。在2001年9月11日恐怖分子发动攻击之后的约三天内，美国的航空公司基本上处在了倒闭的边缘状态，美国国会忙着为这些航空公司提供资金援助。
通过探索航空业中的变化，可以了解到信息技术（Information Technology，IT）的过去与未来。像航空业一样，IT发展的历史也有一个曲折的历程。我们已经受益于技术上的快速提高，同时，我们也看到了在个人服务方向上的衰落趋势。我们开始着手进行连续检查—一种纵深防御方法，因为每个地方都容易受到攻击；与此同时，IT人员对于经济的发展也变得至关重要起来。
“摇晃的”飞机
如果我们在计算机中“坠落”，将会怎么样呢？如果将“坠落”一词用于计算机领域，将会赋予它一个全新的含义，不是吗？我们喜欢说操作系统的确在改进，但是事实不是这样。在Windows XP操作系统正式装到我的机器上之前，我等待了一个月的时间，之后它安装在我的Dell笔记本电脑上。我打开这部机器，然后安装由Linsky生产的无线网卡。XP甚至有该网卡的驱动程序。我下载了Microsoft急需的更新包—一个月的更新加上已有的5个急需的更新。我重启机器；它开始启动，然后却出现了机器崩溃。我想起了可怕的使用Windows NT 3.51的日子—名符其实的蓝屏死亡，显示大约一页的记录，时间约3秒。我花了大约1个小时的时间才回过神来，我猜想是计算机中某个东西出了问题。我准备将这台华丽的代表新技术发展水平的笔记本电脑扔出房间。同时，心里在想：Microsoft怎么能设计出这样差劲的东西呢？这里声明一下，请不要误会我，在我内心中，我不是在砸Microsoft的牌子。我认为Windows 2000就是一款非常棒的操作系统。Microsoft会提供更新和更好的驱动程序，它不会停步不前。
防火墙和VPN只不过是建立在这些“不稳定的”操作系统之上的软件应用程序。本书的一个主要思想是：从不信任操作系统，预期边界部件会出现故障。本书将介绍故障恢复技术、对防御部件装置进行分层以检测反常情况的技术，以及故障诊断技术。在边界防御的早期，对于信息安全专业人员而言，惟一的选择是在这些“摇晃的”操作系统上对其边界软件进行分层。
Perl Leigh Gates
1984年，如果你对我讲CIA，我会想起间谍职业，而不是机密性、完整性和可用性这三个主要安全尺度。我是DoD（Department of Defense, 美国国防部）网络的构建者之一，DoD使用大型的、高端的、快速的网络。其安全性是通过物理空隙实现的，物理空隙机制仍然是一种有价值的方法。自从Morris蠕虫（该蠕虫基本上使Internet停止运行了几天的时间）开始出现之后，我第一次开始考虑安全方面的问题。
几年以后，我听了由Tina Darmohray在一个称为SANS的小会议上讲的一堂课。她当时解释了一个带有两个防火墙系统的防火墙结构：一个防火墙系统称做Perl，另一个称做Leigh，这两个防火墙系统就是她的Perl Leigh Gates（Pearly Gates）。我所学习的所有新材料让我觉得头痛。在我回家的路上，我一直感到疑惑：为什么要两个防火墙呢？为什么不只用一个呢？
当人们对防火墙进行物理类比时，他们总是将防火墙同城堡进行比较。其主要思想是：只有一个通道进入，同时只有一条通道出去，当你进入该结构时，会遇到许多阻碍。Darmohray为什么要讨论双防火墙的问题呢？因为那些早期防火墙效率不高，同时性能也是一个重要的问题。
就在我驾车回家的时候，一架Navy F14 Tomcat飞机在公路上方飞行，与我偶然相遇。该飞机有两个引擎（Navy飞机总是至少具有两个引擎）。毕竟，在海洋上空驾驶飞机飞行的飞行员不希望因为引擎出现故障而落入大海之中。因为当时没有先进的故障恢复手段，而在有两个防火墙时，如果其中一个不稳定操作系统突然崩溃，网络仍然可以运行。
本书将讨论许多边界设计方法。有些边界设计更注重安全，而另一些边界设计则更注重性能。有些边界设计将重点放在正常工作时间上，并帮助你了解如何基于自己所在机构的需求选择这些设计。
注意　 早期的飞机如此危险的原因之一是，这些飞机大都是手工制造的。即使这些飞机是在工厂里面造出来的，在几年以后，它们也可能需要进行手工改造，因为许多时候仍然需要对这些飞机进行修理和改造。
今天，我们可以获得设备防火墙，这些防火墙是由工厂制造并且是即插即用的。但是却无法保证这些防火墙的操作系统得到了加固。当然，在该设备上的操作系统是厂家内置的、相容的，并且可能去掉了不需要的程序。这些设备是计算领域中最重要的技术改进之一。
技术上的快速提高
新式的飞行器有翅膀，在天空中飞行，在地面上着陆—这些特征同最初的飞机没有什么两样。但在飞行器骨架设计、材料、航空用电子设备、导航和路线选择以及航空站操作中使用的先进技术却是早期飞机设计中难以想像的。
同样，新式的边界系统是如此先进，以致令人难以置信—我们曾经使用那些早期的防火墙来设法保护自己的系统，然而，它还不够强健。但是，我们信心十足，并且肯定可以看到这些边界系统得到重大改进的时候。边界防御系统在价格上已经呈下降趋势；许多边界防御系统只需通过下载一个新的映像就可以进行升级。人们一直在对边界防御的结构加以改进。
当前，我们可以获得一些不错的免费防火墙（如IPtables），这样一来，使用免费防火墙可以节省大量的资金。边界安全成本的下降速度非常快，对于家庭用户和小办公室而言尤其如此。你注意到802.11无线电缆调制解调器/DSL路由器组合已经跌到怎样的价位了吗？根据推测，价格有可能跌得更低。有可能跌到99.00美元的价位。有谁曾经会想到路由器会卖到低于100.00美元的价格呢？而且，这些设备路由器易于配置—可能如点击图形用户界面那么简单。甚至有些边界防御设备的操作系统升级成了最新的操作系统版本（只需直接通过Web做出一个点击操作即可）。你可能对于为什么需要这样的预定模型感到疑惑。边界部件的基本结构正在从只包含边界防御部件的系统向混合型系统进行转变，这种混合型系统将边界防御、报告感测器，甚至（用于进行内部关联的）弱点评估组合在一起。入侵特征库和弱点插件的更新速度很快，有些人每天都下载Snort特征码，因此需要一个预定模型。
本书讨论了使用由边界设备收集的信息来帮助防御网络的重要性。有些技术可以用来收集来自边界感测器的信息，通过使用这些技术，首先对Ramen、Lion和Leaves蠕虫进行检测。使用这样的技术来进行安全分析的一些服务包括DShield（位于www.dshield.org或者www. incidents.org）和ARIS（位于www.securityfocus.com）。网络安全技术是动态变化的。为了对付不断变化的威胁，获取及时的更新来维护安全是十分重要的。
值得一提的是，易于使用与良好的安全性之间可能是矛盾的。如果进入飞机然后驾驶飞机，与进入汽车然后驾驶汽车一样容易，那么天空就会非常危险。无线接入点设备通常将所有无线的和内置的有线端口聚集到同一个广播域中。有些攻击者可能通过欺骗MAC地址来发动攻击。因此，网络设计者（像飞行员一样）需要将培训与核对清单结合起来，而不能随随便便地在网络中接入设备。
个人服务的衰落趋势
对于航空公司来说，在飞机上的服务人员对乘客的服务发生了很大的变化，而不只是其名称从女乘务员改成了机组乘务员。航空公司通过调查测试来了解人们发出抱怨的程度—他们想知道为什么有时候需要处理乘客的愤怒。可悲的是，IT业从来就没有对于个人服务热心过。也有一些例外，这要回到蓝色巨人（IBM）如日中天的时期。如果我们的IBM大型机遇到了一点点麻烦，他们会派出一班技术人员上飞机，然后通过降落伞降落，赶赴我们的停车场，而副主管会每15分钟与我们通一次话，通知我们飞机的位置。好啦，我是在开个玩笑，但这个玩笑并不过分。
今天，IT业有两个主要的特征：软件编得不好；服务越来越差。对于信息技术来说也是一样。请允许我举一个例子加以说明。我于今天早上卸载了自己的Symantec个人防火墙。对于个人防火墙的预订需要六个星期时间才更新一次。Symantec LiveUpdate大约每隔30分钟启动一次，弄乱我的屏幕，要求我点击两次OK来去掉它。在花三天时间也没有办法找出解决问题的方法之后，我只得卸载了Norton Personal Firewall。
本书的优点之一是，整个作者团体对于市场（包括快速变化的个人防火墙市场）上大多数商业和免费边界产品具有实际经验。同样，我们不想讲任何厂商的坏话—它们各自有其自己的弱点。我们在本书中用整整一章的篇幅来介绍如何在主机级别上实现防御部件（如个人防火墙），以此来帮助你避免一些常见的缺陷，同时了解可以使用哪些技术。我们可以肯定的是，由任何厂商提供的任何个人防火墙都不能够提供全面的保护功能（尽管它们是重要的和有价值的防御层）。
连续检查
飞行器工业能够在提高安全性方面取得巨大飞跃的主要原因之一是，与飞行有关的每一个部件和过程都受到严格的、完整的和连续的检查。这是我们在防御过程中需要做出的最重要的变革。当我在SANS讲课时，我通常会向学生问这样一个问题：“有谁每天都阅读事件日志？”只有少数人举手。我设法记住这些人的面容，然后在课间时将这些人聚集在一块。然后，我问他们：“日志中有些什么？存在哪些重复出现的问题？”他们通常不能做出回答。本书可以帮助你部署感测器和扫描程序。有一整章的篇幅介绍入侵检测。正如在关于软件结构的那一章中所介绍的那样，你所在机构的软件结构也可能成为安全边界的一个部件。
如果你问我在IT中具有发展前景的产业是什么，我的答案是，用于收集和显示信息的控制台、感测器和代理都具有发展前景。计算机系统的变化十分快速。它们与飞行在县镇上空的某种小型双翼飞机类似，这类飞机在飞行过程中，如果某个部件断裂了，则重新制作一个新的部件。我们可以在一次心跳的时间内添加和卸载软件，但是，当我们这样做时，却不能回到改动发生之前的状态。我们需要连续地监控变化，直到我们知道如何进行修改，并且严格实施修改控制为止。
纵深防御
当只载有一名乘客的飞机坠毁时，是一次灾难；当载满了乘客的飞机坠毁时，这种灾难就愈加严重；如果飞机被用做恐怖分子的武器，其恐怖程度简直无法形容。可以将目前的飞机场看做运用了纵深防御思想的例子。纵深防御是本书的一个主要思想，这个概念十分简单。在阻塞点后面再设阻塞点，使得攻击非常困难。为了快速通过航空通道，到达一个正在等待的、加了燃料的远程引擎喷气式飞机，接着占据该飞机，然后驾离作为飞机跑道的柏油碎石地面，最后起飞，必须要突破多少安全系统或防御层呢？如果你确实成功地将飞机升空了，还必须战胜歼击机。虽然劫持飞机不是完全不可能的，但是你不太可能击败目前在飞机场实施的纵深防御体系。
在本书的每一章中都介绍了纵深防御，纵深防御在信息技术中更易于实现。高速可编程硬件机器（如Top Layer的Attack Mitigator）可以帮助保护我们的网络边界免受拒绝服务泛洪攻击。我们在本前言中已讨论的技术，如设备防火墙和个人防火墙，允许以很少的开销或努力为边界实现多层防御。新的改进（如单个程序的包装）目前出现在已具有创新特点的产品中。当你阅读本书时，会学习到如何设计自己的网络，以使网络具有抵抗攻击的能力。随着信息社会的发展，保护知识产权资产的重要性将会继续提高。
核心商业要求
在不到一个世纪内，飞机已经从一个简单的飞行器发展成了对经济至关重要的工具。信息技术也在更少的时间内做了同样的事情，并且其重要性将继续增加。在接下来的几年内，在市场经济中生存下来的要诀是管理信息流，以便在需要资源时能够找到该资源，且获取的资源是完整的，同时维护专有信息和敏感信息的机密性。这是一项重大的任务，因此我们最好马上行动起来。
本书特色
本书凝聚了17位信息安全专家的经验，这17位专家组成了作者与审校者小组，他们一起协同工作，完成了本书的创作。我们的目标是提供一个关于设计、部署和维护可靠网络安全边界的实用指南。对网络进行保护并非易事，为了保护自己的网络，你需要了解不同类型的技术，并理解如何将这些技术进行彼此关联。这就是我们讨论关键的边界部件（如防火墙、VPN、路由器和入侵检测系统）的原因。我们还会解释如何将这些设备进行集成，以形成一个统一的整体。在对网络进行保护的时候，没有哪个单一的设备可以对付所有的威胁，这就是我们将注意力集中在分层的安全结构上的原因。纵深防御的思想贯穿全书，我们相信：对于在本书中讨论的边界安全技术的运用而言，这一思想会起到关键的作用。
本书适合的读者
这是一本中高级读本，适合于已充分了解TCP/IP和相关技术的安全专家、系统管理员和网络管理员。如果你对分析边界防御的最优方法感兴趣，并且对于增加自己的网络安全工具知识与技术知识感兴趣，那么，对于你而言，本书就是一本颇具价值的参考书籍。因为本书是同SANS Institute密切合作创作而成，所以，对于那些希望获得GCFW（GIAC Certified Firewall Analyst）证书的读者而言，本书还是一本优秀的补充读物。
内容概述
本书共包含四大部分。第一部分“网络边界基础”包含前5章，这个部分是后面各章的基础。第1章提供了一个概述，简要介绍了贯穿全书所讨论的主要内容。第一部分中的其他章讨论边界安全的核心概念，如报文过滤、有状态防火墙、代理和安全策略。
第二部分“边界的延伸”包括第6章至第10章，这一部分将集中介绍组成网络安全边界的附加部件。在此，我们分析了路由器的作用、网络的入侵检测系统（Intrusion Detection System，IDS）、虚拟专用网（Virtual Private Network，VPN）和以主机为中心的防御机制。
第三部分“边界设计”介绍如何进行良好的设计，在这一部分中，我们主要讨论如何将边界部件集成到一个统一的防御结构中去。第11章至第16章描述了一些方法，可以使用这些方法来实现适合于你的需要和预算的纵深防御，并运用你在前面的章节中学到的关于安全设备和方法的知识。除了讨论设计基础外，我们将着重点放在像资源分隔、软件结构和VPN集成这样的主题上。我们还解释了如何调整安全设计来获得最佳性能，并分析了几个结构示例。
本书以第四部分“边界安全评估方法”结束，这一部分中回答了“你是怎样知道的”这个问题，这部分包括第17章至第22章。这一部分介绍我们可以从边界系统中了解到什么，以及如何确保边界按照其设计运行。我们分析了边界维护过程、日志分析和故障诊断方法。我们还描述了对防御强度进行评估的技术，并解释了如何对网络结构进行对抗性检查。最后一章对贯穿于本书中的纵深防御概念进行了综述。从某种意义上讲，第22章与第1章首尾呼应，这一章用于汇总本书涉及的主要概念。
本书还附有几个附录。在这些附录中，提供了Cisco访问列表配置示例，讨论了密码术基础，并提供了网络空隙设备的概述。设计、部署和维护网络边界安全是一个具有挑战性的过程，我们希望本书介绍的网络防御方法能够使你的边界安全工作更加顺利。
约定
只要有可能，我们就会引用常见弱点和暴露（Common Vulnerabilities and Exposures，CVE）数据库，使你能够获取关于弱点的其他信息，例如：http://cve.mitre.org/cgi-bin/cvename. cgi name=CVE-2000-1027。

—Stephen Northcutt及其创作组

（美）Stephen Northcutt：暂无简介

陈曙辉 李化：暂无简介

在近年的IT新闻中，安全破坏事件时有耳闻。2003年1月25日这一天，就有报道称：“一种类似病毒的电脑感染在导致美国互联网系统瘫痪之后迅速向外部扩散，并导致亚洲和欧洲多数国家的互联网崩溃。”就在这一天，我们在上网时就明显感觉到了这种情况：像新浪、163这些著名的大型网站，在这一天根本就上不去，或者要等待很长的时间才能将页面下载下来。现在，我们已经离不开Internet了；然而，我们又不得不设法保护自己的机器，在机器上需要安装防火墙和最新的杀毒软件才能放心上网，否则病毒很快就会乘虚而入。因此对机器进行杀毒也已经成为了一项必不可少的工作。网络安全问题并非与已无关，它确确实实就发生在我们的身边；企业和个人也因此而越来越关注网络安全问题。
本书的一大特色是纵深防御思想贯穿于全书。这种思想利用各个部件的长处，将它们分别部署在网络中相应的位置上。这种方式十分灵活，使我们能够基于技术、预算、策略方面的限制来选择安全部件，将这些安全部件结合起来，以达到保护整个网络的安全并使网络可用的目的。
在翻译本书的过程中，我们深感对于从事安全工作或需要考虑网络边界安全的任何人而言，本书均具有极高的价值。首先，本书的原作者拥有丰富的实际经验，他们中的许多人在政府或公司的网络安全部门工作过，并继续从事着安全工作。其次，介绍一下译者，本书的翻译人员是由国防科技大学计算机学院网络安全方向的博士和长期从事网络安全工作的研究人员组成的，其大都参与或负责过国家的重大安全项目，具备丰富的理论和实践经验。
在本书的翻译过程中，我们对原作者的一些文字进行了适当的处理，以使之更加符合中国人的习惯，并对原书存在的很少的编排错误也进行了修改。
全书由陈曙辉组织翻译，参加翻译的译者有陈曙辉、李化、周志华、姜南、张军、潇东、贾蕾、左亚利、李满朝、胡班和曾迎之。如果读者发现本书存在错误或不足之处，恳请批评指正，我们的邮件联系地址是xgz_tran@hotmail.com。

译　 者
2003年3月27日

译者序
前言
第一部分　 网络边界基础
第1章　 边界安全基础 1
1.1　 行业术语 1
1.1.1　 边界 2
1.1.2　 边界路由器 2
1.1.3　 防火墙 2
1.1.4　 IDS 2
1.1.5　 VPN 3
1.1.6　 软件结构 3
1.1.7　 DMZ和被屏蔽的子网 3
1.2　 纵深防御 4
1.2.1　 纵深防御中的部件 5
1.2.2　 边界 5
1.2.3　 内部网络 8
1.2.4　 人为因素 11
1.3　 实例分析：纵深防御的运转 12
1.4　 小结 13
第2章　 报文过滤 14
2.1　 TCP/IP预备知识：报文过滤的工作原理 14
2.1.1　 TCP端口和UDP端口 14
2.1.2　 TCP的三次握手过程 15
2.2　 使用Cisco路由器做为报文过滤器 15
2.2.1　 Cisco ACL 16
2.2.2　 过滤规则的顺序 17
2.2.3　 Cisco IOS的基本知识 17
2.3　 有效使用报文过滤设备 18
2.3.1　 基于源地址的过滤：Cisco标准ACL 18
2.3.2　 基于端口和目的地址的过滤：
Cisco扩展ACL 24
2.4　 报文过滤器存在的问题 27
2.4.1　 欺骗与源路由 27
2.4.2　 报文分片 27
2.4.3　 静态报文过滤器中的“漏洞” 28
2.4.4　 双向通信与established关键字 28
2.4.5　 FTP协议 30
2.5　 动态报文过滤与自反访问表 32
2.5.1　 使用自反ACL解决FTP问题 33
2.5.2　 使用自反ACL解决DNS问题 34
2.5.3　 自反访问表存在的问题 34
2.6　 小结 35
2.7　 参考资料 35
第3章　 有状态防火墙 36
3.1　 有状态防火墙的工作原理 36
3.2　 状态的概念 37
3.2.1　 传输协议与网络协议和状态 38
3.2.2　 应用级通信和状态 41
3.3　 有状态过滤和有状态检查 45
3.4　 小结 54
3.5　 参考资料 55
第4章　 代理防火墙 56
4.1　 基础知识 56
4.2　 代理的类型 58
4.2.1　 反向代理 58
4.2.2　 应用级代理 59
4.2.3　 电路级代理 59
4.3　 代理或应用网关防火墙 59
4.3.1　 代理防火墙的优点 59
4.3.2　 代理防火墙的缺陷 60
4.3.3　 没有代理的情况 60
4.4　 代理的协议问题 61
4.4.1　 IPSec 61
4.4.2　 SSL 61
4.5　 常见的代理软件 63
4.5.1　 SOCKS 63
4.5.2　 Gauntlet 64
4.5.3　 PORTUS 65
4.6　 小结 65
4.7　 参考资料 66
第5章　 安全策略 67
5.1　 防火墙策略 67
5.1.1　 积极的策略实施 68
5.1.2　 不可实施的策略 68
5.2　 策略的开发步骤 73
5.2.1　 识别风险 73
5.2.2　 报告发现的问题 74
5.2.3　 按需创建或更新安全策略 75
5.2.4　 判断策略的一致性 75
5.2.5　 探寻公司的规则和文化 75
5.2.6　 策略的要素 77
5.2.7　 好策略的特点 77
5.3　 边界策略 78
5.3.1　 现实世界的操作和策略 78
5.3.2　 通信路径的规则 80
5.4　 小结 80
5.5　 参考资料 81
第二部分　 边界的延伸
第6章　 路由器的作用 83
6.1　 路由器作为边界设备 83
6.1.1　 路由 84
6.1.2　 安全的动态路由 85
6.2　 路由器作为安全设备 87
6.2.1　 路由器作为纵深防御的一部分 87
6.2.2　 路由器作为惟一的边界安全设备 90
6.3　 路由器加固 94
6.3.1　 操作系统 94
6.3.2　 锁住管理点 95
6.3.3　 禁止不必要的服务 101
6.3.4　 因特网控制消息协议的阻断 102
6.3.5　 欺骗和源路由 104
6.3.6　 路由器日志基本原理 104
6.4　 小结 105
6.5　 参考资料 106
第7章　 网络入侵检测 107
7.1　 网络入侵检测基本原理 107
7.1.1　 入侵检测的必要性 107
7.1.2　 网络IDS特征码 108
7.1.3　 假阳性和假阴性 109
7.1.4　 警报、日志和报告 111
7.1.5　 入侵检测软件 111
7.1.6　 IDS 112
7.2　 边界防御体系中网络IDS的作用 113
7.2.1　 发现薄弱点 113
7.2.2　 检测由你的主机发出的攻击 114
7.2.3　 事故处理和调查 114
7.2.4　 弥补其他防御部件的不足 114
7.3　 IDS感测器的放置 115
7.3.1　 安装多个网络感测器 116
7.3.2　 在过滤设备附近放置感测器 116
7.3.3　 在内部网络中放置IDS感测器 117
7.3.4　 使用加密 117
7.3.5　 在大流量环境中的处理 117
7.3.6　 配置交换机 118
7.3.7　 使用IDS管理网络 118
7.3.8　 维护感测器安全性 118
7.3.9　 使用防火墙/IDS混合设备 118
7.4　 实例分析 119
7.4.1　 实例分析1：简单的网络结构 119
7.4.2　 IDS部署建议 119
7.4.3　 实例分析2：多个外部接入点 120
7.4.4　 IDS部署建议 121
7.4.5　 实例分析3：无限制网络 121
7.4.6　 IDS部署建议 121
7.5　 小结 122
第8章　 虚拟专用网 123
8.1　 VPN基础知识 123
8.2　 VPN的优缺点 126
8.2.1　 VPN的优点 126
8.2.2　 VPN的缺陷 128
8.3　 IPSec基础知识 129
8.3.1　 IPSec协议包 130
8.3.2　 IKE 132
8.3.3　 IPSec安全协议AH和ESP 134
8.3.4　 IPSec配置实例 139
8.4　 其他VPN协议：PPTP和L2TP 147
8.4.1　 PPTP 147
8.4.2　 L2TP 148
8.4.3　 PPTP、L2TP以及IPSec的比较 148
8.4.4　 PPTP和L2TP实例 149
8.5　 小结 151
8.6　 参考资料 152
第9章　 主机加固 153
9.1　 安全加固级别 153
9.2　 级别1：防止本地攻击的安全加固 154
9.2.1　 管理工具的使用限制 154
9.2.2　 进行正确的文件访问控制 155
9.2.3　 管理用户 156
9.2.4　 有效地管理用户 157
9.2.5　 记录与安全相关的信息 157
9.2.6　 Windows日志 158
9.2.7　 UNIX日志 158
9.3　 级别2：抵御网络攻击的安全加固 158
9.3.1　 删除不必要的账号 159
9.3.2　 使用健壮的口令 159
9.3.3　 停止未用的网络服务 161
9.3.4　 改变缺省的SNMP字符串 161
9.3.5　 禁用资源共享服务（Windows） 161
9.3.6　 禁用远程访问服务（UNIX） 162
9.4　 级别3：抵御应用程序攻击的安全加固 163
9.4.1　 定义访问方法 163
9.4.2　 应用程序的口令 164
9.4.3　 操作系统和应用程序的补丁 164
9.5　 其他加固方针 165
9.5.1　 常见的安全弱点 165
9.5.2　 安全加固核查清单 165
9.6　 小结 166
第10章　 主机防御部件 167
10.1　 主机和边界 167
10.1.1　 工作站考虑事项 168
10.1.2　 服务器考虑事项 169
10.2　 反病毒软件 170
10.2.1　 反病毒软件的优点 171
10.2.2　 反病毒软件的局限性 172
10.3　 以主机为中心的防火墙 174
10.3.1　 工作站上的防火墙 174
10.3.2　 服务器上的防火墙 177
10.4　 基于主机的入侵检测 185
10.4.1　 基于主机的IDS的作用 186
10.4.2　 基于主机的IDS种类 187
10.5　 主机防御部件的难点 191
10.5.1　 受到损害的主机上的防御部件 191
10.5.2　 控制分布式主机防御部件 192
10.6　 小结 193
10.7　 参考资料 193
第三部分　 边界设计
第11章　 设计基础 195
11.1　 收集设计需求信息 195
11.1.1　 确定哪些资源需要保护 196
11.1.2　 确定谁是潜在的攻击者 198
11.1.3　 定义业务需求 201
11.2　 设计要素 204
11.2.1　 防火墙和路由器 205
11.2.2　 防火墙与虚拟专用网 207
11.2.3　 多重防火墙 208
11.3　 小结 211
11.4　 参考资料 211
第12章　 资源隔离 212
12.1　 安全区域 212
12.1.1　 同一个子网 212
12.1.2　 多个子网 215
12.2　 常见的设计要素 219
12.2.1　 邮件中继 219
12.2.2　 分割DNS 222
12.2.3　 无线网络 226
12.3　 基于VLAN的分隔 229
12.3.1　 VLAN边界 230
12.3.2　 跳过VLAN 230
12.3.3　 专用VLAN 231
12.4　 小结 232
12.5　 参考资料 232
第13章　 软件结构 234
13.1　 软件结构和网络防御 234
13.1.1　 软件结构的重要性 234
13.1.2　 评估应用程序安全的必要性 235
13.2　 软件结构对网络防御的影响 235
13.2.1　 防火墙和报文过滤设备的改动 236
13.2.2　 与网络配置的冲突 237
13.2.3　 加密连接 238
13.2.4　 性能和可靠性 239
13.2.5　 特殊的操作系统 239
13.3　 软件部件的部署 239
13.3.1　 单一系统上的应用程序 239
13.3.2　 多级应用程序 239
13.3.3　 管理员对系统的访问 240
13.3.4　 内部用户使用的应用程序 241
13.4　 确定潜在的软件结构问题 241
13.4.1　 软件评估检查表 241
13.4.2　 应用程序相关信息的来源 242
13.4.3　 处理不安全的应用程序 242
13.5　 软件测试 243
13.5.1　 主机安全 243
13.5.2　 网络设置和安全 244
13.6　 网络防御设计建议 244
13.7　 实例分析：客户反馈系统 245
13.7.1　 部署位置 246
13.7.2　 结构上的建议 246
13.8　 实例分析：基于Web的在线账单
应用程序 246
13.8.1　 部署位置 247
13.8.2　 结构上的建议 248
13.9　 小结 248
13.10　 参考资料 249
第14章　 VPN集成 250
14.1　 安全Shell 250
14.1.1　 标准SSH连接 250
14.1.2　 SSH隧道 252
14.2　 SSL 253
14.2.1　 SSL标准连接 253
14.2.2　 SSL隧道 256
14.3　 远程桌面解决方案 257
14.3.1　 单会话软件 257
14.3.2　 多会话软件 258
14.4　 IPSec 259
14.4.1　 IPSec客户集成 260
14.4.2　 IPSec服务器集成 261
14.4.3　 IPSec边界防御调整 261
14.4.4　 IPSec结构 262
14.5　 VPN其他需要考虑的事项 262
14.5.1　 专有VPN的执行 262
14.5.2　 受到损害或怀有恶意的VPN客户 263
14.6　 VPN设计实例分析 263
14.7　 小结 266
第15章　 根据性能调整设计 267
15.1　 性能与安全 267
15.1.1　 定义性能 267
15.1.2　 了解在安全中性能的重要性 268
15.2　 影响性能的网络安全设计元素 269
15.2.1　 网络过滤器的性能影响 269
15.2.2　 网络结构 271
15.2.3　 实例分析 275
15.3　 加密的影响 277
15.3.1　 密码服务 277
15.3.2　 了解网络层和传输层的加密 278
15.3.3　 使用硬件加速器来提高性能 280
15.3.4　 实例分析 280
15.4　 通过负载平衡来提高性能 282
15.4.1　 负载平衡存在的问题 283
15.4.2　 第4层调度程序 283
15.4.3　 第7层调度程序 284
15.5　 小结 284
15.6　 参考资料 284
第16章　 实例设计 285
16.1　 安全设计标准回顾 285
16.2　 实例分析 286
16.2.1　 实例分析1：使用宽带连接进行
远程工作 286
16.2.2　 实例分析2：存在基本Internet连接的
小企业 288
16.2.3　 实例分析3：小型电子商务站点 291
16.2.4　 实例分析4：一个复杂的电子
商务站点 295
16.2.5　 DMZ区域 298
16.3　 小结 300
第四部分　 边界安全评估方法
第17章　 维护安全边界 301
17.1　 系统监控与网络监控 301
17.1.1　 Big Brother简介 302
17.1.2　 建立监控过程 304
17.1.3　 进行远程监控时需要考虑的
安全事项 310
17.2　 事故响应 313
17.2.1　 通知选项 313
17.2.2　 一般的响应准则 314
17.2.3　 恶意事故响应 314
17.2.4　 自动化事件响应 315
17.3　 适应变更 316
17.3.1　 变更管理的基础 316
17.3.2　 修改－管理控制的实现 318
17.4　 小结 321
17.5　 参考资料 321
第18章　 网络日志分析 322
18.1　 网络日志文件的重要性 322
18.1.1　 日志文件的特征 322
18.1.2　 日志文件的作用 324
18.2　 日志分析基础 326
18.2.1　 开始入手 326
18.2.2　 自动化日志分析 327
18.2.3　 时间戳 330
18.3　 分析路由器日志 331
18.3.1　 Cisco路由器日志 331
18.3.2　 其他路由器日志 331
18.4　 分析网络防火墙日志 332
18.4.1　 Cisco PIX日志 332
18.4.2　 Check Point的Firewall-1日志 333
18.4.3　 IPTables日志 334
18.5　 分析以主机为中心的防火墙和
IDS日志 334
18.5.1　 ZoneAlarm 335
18.5.2　 Tiny Personal Firewall 336
18.5.3　 BlackICE Defender 337
18.6　 小结 337
第19章　 防御部件故障诊断 339
19.1　 故障诊断过程 339
19.1.1　 收集症状 339
19.1.2　 检查最近的变更 340
19.1.3　 形成假定 340
19.1.4　 测试假定 340
19.1.5　 分析结果 341
19.1.6　 如必要的话重复以上步骤 341
19.2　 故障诊断经验法则 341
19.2.1　 一次只进行一次修改 341
19.2.2　 开放思维 342
19.2.3　 换个角度考虑 342
19.2.4　 将重点一直放在问题修复上 342
19.2.5　 不要实现一种比原问题带来
更多麻烦的修复方法 342
19.2.6　 应当记住：最难于诊断的问题往往是
最容易忽略的问题 343
19.3　 故障检修员的工具箱 343
19.3.1　 应用层故障诊断 343
19.3.2　 传输层故障诊断 346
19.3.3　 网络层故障诊断 354
19.3.4　 链路层故障诊断 359
19.4　 小结 361
19.5　 参考资料 361
第20章　 评估技术 362
20.1　 外部评估 362
20.1.1　 计划 363
20.1.2　 初期侦察 364
20.1.3　 系统列举 366
20.1.4　 服务列举 368
20.1.5　 弱点发现 372
20.1.6　 弱点调查 375
20.2　 内部评估 376
20.2.1　 准备内部评估 376
20.2.2　 验证访问控制 377
20.3　 小结 380
20.4　 参考资料 382
第21章　 攻击设计 383
21.1　 攻击网络的黑客方法 383
21.2　 对抗性检查 384
21.3　 GIAC GCFW学生实习设计 386
21.3.1　 实习设计1 386
21.3.2　 确定留下的入口：内部防火墙 393
21.3.3　 实习设计2 396
21.4　 小结 404
21.5　 参考资料 404
第22章　 纵深防御的重要性 405
22.1　 纵深防御结构的一个例子
—城堡 405
22.1.1　 坚固的城墙与火力更强的炮弹 406
22.1.2　 密道 406
22.1.3　 隐藏技术 408
22.1.4　 防御熟悉内幕的人 410
22.2　 具有吸收能力的边界 412
22.2.1　 “蜂蜜罐” 413
22.2.2　 速率限制 413
22.2.3　 故障恢复 415
22.3　 信息的纵深防御 415
22.3.1　 扩散问题 415
22.3.2　 密码术与纵深防御 417
22.4　 小结 417
第五部分　 附　　　录
附录A　 Cisco访问列表配置示例 419
附录B　 密码术基础 428
附录C　 网络空隙 432