深入剖析網(wǎng)絡(luò)邊界安全

譯者序
前言
第一部分 網(wǎng)絡(luò)邊界基礎(chǔ)
第1章 邊界安全基礎(chǔ) 
1.1 行業(yè)術(shù)語 
1.1.1 邊界 
1.1.2 邊界路由器 
1.1.3 防火墻 
1.1.4 IDS 
1.1.5 VPN 
1.1.6 軟件結(jié)構(gòu) 
1.1.7 DMZ和被屏蔽的子網(wǎng) 
1.2 縱深防御 
1.2.1 縱深防御中的部件 
1.2.2 邊界 
1.2.3 內(nèi)部網(wǎng)絡(luò) 
1.2.4 人為因素 
1.3 實例分析：縱深防御的運轉(zhuǎn) 
1.4 小結(jié) 
第2章 報文過濾 
2.1 TCP/IP預(yù)備知識：報文過濾的工作原理 
2.1.1 TCP端口和UDP端口 
2.1.2 TCP的三次握手過程
2.2 使用Cisco路由器做為報文過濾器 
2.2.1 Cisco ACL 
2.2.2 過濾規(guī)則的順序 
2.2.3 Cisco IOS的基本知識 
2.3 有效使用報文過濾設(shè)備 
2.3.1 基于源地址的過濾：Cisco標(biāo)準(zhǔn)ACL 
2.3.2 基于端口和目的地址的過濾：Cisco擴展ACL 
2.4 報文過濾器存在的問題 
2.4.1 欺騙與源路由 
2.4.2 報文分片 
2.4.3 靜態(tài)報文過濾器中的“漏洞”
2.4.4 雙向通信與established關(guān)鍵字 
2.4.5 FTP協(xié)議 
2.5 動態(tài)報文過濾與自反訪問表 
2.5.1 使用自反ACL解決FTP問題 
2.5.2 使用自反ACL解決DNS問題 
2.5.3 自反訪問表存在的問題 
2.6 小結(jié) 
2.7 參考資料 
第3章 有狀態(tài)防火墻 
3.1 有狀態(tài)防火墻的工作原理 
3.2 狀態(tài)的概念 
3.2.1 傳輸協(xié)議與網(wǎng)絡(luò)協(xié)議和狀態(tài) 
3.2.2 應(yīng)用級通信和狀態(tài) 
3.3 有狀態(tài)過濾和有狀態(tài)檢查 
3.4 小結(jié) 
3.5 參考資料 
第4章 代理防火墻 
4.1 基礎(chǔ)知識 
4.2 代理的類型
4.2.1 反向代理
4.2.2 應(yīng)用級代理
4.2.3 電路級代理
4.3 代理或應(yīng)用網(wǎng)關(guān)防火墻
4.3.1 代理防火墻的優(yōu)點
4.3.2 代理防火墻的缺陷
4.3.3 沒有代理的情況
4.4 代理的協(xié)議問題
4.4.1 IPSec
4.4.2 SSL
4.5 常見的代理軟件
4.5.1 SOCKS
4.5.2 Gauntlet
4.5.3 PORTUS
4.6 小結(jié)
4.7 參考資料
第5章 安全策略
5.1 防火墻策略
5.1.1 積極的策略實施
5.1.2 不可實施的策略
5.2 策略的開發(fā)步驟
5.2.1 識別風(fēng)險
5.2.2 報告發(fā)現(xiàn)的問題
5.2.3 按需創(chuàng)建或更新安全策略
5.2.4 判斷策略的一致性
5.2.5 探尋公司的規(guī)則和文化
5.2.6 策略的要素
5.2.7 好策略的特點
5.3 邊界策略
5.3.1 現(xiàn)實世界的操作和策略
5.3.2 通信路徑的規(guī)則
5.4 小結(jié)
5.5 參考資料
第二部分 邊界的延伸
第6章 路由器的作用
6.1 路由器作為邊界設(shè)備
6.1.1 路由 
6.1.2 安全的動態(tài)路由 
6.2 路由器作為安全設(shè)備
6.2.1 路由器作為縱深防御的一部分
6.2.2 路由器作為惟一的邊界安全設(shè)備 
6.3 路由器加固
6.3.1 操作系統(tǒng)
6.3.2 鎖住管理點 
6.3.3 禁止不必要的服務(wù) 
6.3.4 因特網(wǎng)控制消息協(xié)議的阻斷 
6.3.5 欺騙和源路由
6.3.6 路由器日志基本原理
6.4 小結(jié) 
6.5 參考資料 
第7章 網(wǎng)絡(luò)入侵檢測
7.1 網(wǎng)絡(luò)入侵檢測基本原理
7.1.1 入侵檢測的必要性
7.1.2 網(wǎng)絡(luò)IDS特征碼 
7.1.3 假陽性和假陰性
7.1.4 警報、日志和報告
7.1.5 入侵檢測軟件
7.1.6 IDS 
7.2 邊界防御體系中網(wǎng)絡(luò)IDS的作用
7.2.1 發(fā)現(xiàn)薄弱點
7.2.2 檢測由你的主機發(fā)出的攻擊
7.2.3 事故處理和調(diào)查
7.2.4 彌補其他防御部件的不足
7.3 IDS感測器的放置
7.3.1 安裝多個網(wǎng)絡(luò)感測器
7.3.2 在過濾設(shè)備附近放置感測器
7.3.3 在內(nèi)部網(wǎng)絡(luò)中放置IDS感測器
7.3.4 使用加密
7.3.5 在大流量環(huán)境中的處理
7.3.6 配置交換機
7.3.7 使用IDS管理網(wǎng)絡(luò)
7.3.8 維護感測器安全性
7.3.9 使用防火墻/IDS混合設(shè)備
7.4 實例分析
7.4.1 實例分析1：簡單的網(wǎng)絡(luò)結(jié)構(gòu)
7.4.2 IDS部署建議
7.4.3 實例分析2：多個外部接入點
7.4.4 IDS部署建議
7.4.5 實例分析3：無限制網(wǎng)絡(luò)
7.4.6 IDS部署建議
7.5 小結(jié)
第8章 虛擬專用網(wǎng)
8.1 VPN基礎(chǔ)知識
8.2 VPN的優(yōu)缺點
8.2.1 VPN的優(yōu)點
8.2.2 VPN的缺陷 
8.3 IPSec基礎(chǔ)知識 
8.3.1 IPSec協(xié)議包 
8.3.2 IKE 
8.3.3 IPSec安全協(xié)議AH和ESP 
8.3.4 IPSec配置實例 
8.4 其他VPN協(xié)議：PPTP和L2TP
8.4.1 PPTP
8.4.2 L2TP
8.4.3 PPTP、L2TP以及IPSec的比較
8.4.4 PPTP和L2TP實例 
8.5 小結(jié) 
8.6 參考資料 
第9章 主機加固
9.1 安全加固級別
9.2 級別1：防止本地攻擊的安全加固
9.2.1 管理工具的使用限制
9.2.2 進行正確的文件訪問控制 
9.2.3 管理用戶 
9.2.4 有效地管理用戶
9.2.5 記錄與安全相關(guān)的信息
9.2.6 Windows日志
9.2.7 UNIX日志
9.3 級別2：抵御網(wǎng)絡(luò)攻擊的安全加固
9.3.1 刪除不必要的賬號
9.3.2 使用健壯的口令
9.3.3 停止未用的網(wǎng)絡(luò)服務(wù)
9.3.4 改變?nèi)笔〉腟NMP字符串
9.3.5 禁用資源共享服務(wù)（Windows）
9.3.6 禁用遠(yuǎn)程訪問服務(wù)（UNIX）
9.4 級別3：抵御應(yīng)用程序攻擊的安全加固
9.4.1 定義訪問方法
9.4.2 應(yīng)用程序的口令
9.4.3 操作系統(tǒng)和應(yīng)用程序的補丁
9.5 其他加固方針
9.5.1 常見的安全弱點
9.5.2 安全加固核查清單
9.6 小結(jié)
第10章 主機防御部件
10.1 主機和邊界
10.1.1 工作站考慮事項 
10.1.2 服務(wù)器考慮事項 
10.2 反病毒軟件 
10.2.1 反病毒軟件的優(yōu)點 
10.2.2 反病毒軟件的局限性 
10.3 以主機為中心的防火墻
10.3.1 工作站上的防火墻
10.3.2 服務(wù)器上的防火墻
10.4 基于主機的入侵檢測
10.4.1 基于主機的IDS的作用 
10.4.2 基于主機的IDS種類 
10.5 主機防御部件的難點
10.5.1 受到損害的主機上的防御部件
10.5.2 控制分布式主機防御部件
10.6 小結(jié)
10.7 參考資料
第三部分 邊界設(shè)計
第11章 設(shè)計基礎(chǔ)
11.1 收集設(shè)計需求信息
11.1.1 確定哪些資源需要保護 
11.1.2 確定誰是潛在的攻擊者 
11.1.3 定義業(yè)務(wù)需求 
11.2 設(shè)計要素 
11.2.1 防火墻和路由器 
11.2.2 防火墻與虛擬專用網(wǎng) 
11.2.3 多重防火墻 
11.3 小結(jié)
11.4 參考資料
第12章 資源隔離
12.1 安全區(qū)域
12.1.1 同一個子網(wǎng)
12.1.2 多個子網(wǎng)
12.2 常見的設(shè)計要素
12.2.1 郵件中繼
12.2.2 分割DNS 
12.2.3 無線網(wǎng)絡(luò)
12.3 基于VLAN的分隔 
12.3.1 VLAN邊界
12.3.2 跳過VLAN
12.3.3 專用VLAN 
12.4 小結(jié) 
12.5 參考資料 
第13章 軟件結(jié)構(gòu)
13.1 軟件結(jié)構(gòu)和網(wǎng)絡(luò)防御
13.1.1 軟件結(jié)構(gòu)的重要性
13.1.2 評估應(yīng)用程序安全的必要性
13.2 軟件結(jié)構(gòu)對網(wǎng)絡(luò)防御的影響
13.2.1 防火墻和報文過濾設(shè)備的改動 
13.2.2 與網(wǎng)絡(luò)配置的沖突 
13.2.3 加密連接 
13.2.4 性能和可靠性
13.2.5 特殊的操作系統(tǒng)
13.3 軟件部件的部署
13.3.1 單一系統(tǒng)上的應(yīng)用程序
13.3.2 多級應(yīng)用程序
13.3.3 管理員對系統(tǒng)的訪問
13.3.4 內(nèi)部用戶使用的應(yīng)用程序
13.4 確定潛在的軟件結(jié)構(gòu)問題
13.4.1 軟件評估檢查表
13.4.2 應(yīng)用程序相關(guān)信息的來源
13.4.3 處理不安全的應(yīng)用程序
13.5 軟件測試
13.5.1 主機安全
13.5.2 網(wǎng)絡(luò)設(shè)置和安全
13.6 網(wǎng)絡(luò)防御設(shè)計建議
13.7 實例分析：客戶反饋系統(tǒng)
13.7.1 部署位置
13.7.2 結(jié)構(gòu)上的建議
13.8 實例分析：基于Web的在線賬單應(yīng)用程序
13.8.1 部署位置
13.8.2 結(jié)構(gòu)上的建議
13.9 小結(jié)
13.10 參考資料
第14章 VPN集成
14.1 安全Shell
14.1.1 標(biāo)準(zhǔn)SSH連接
14.1.2 SSH隧道
14.2 SSL
14.2.1 SSL標(biāo)準(zhǔn)連接
14.2.2 SSL隧道
14.3 遠(yuǎn)程桌面解決方案
14.3.1 單會話軟件
14.3.2 多會話軟件 
14.4 IPSec 
14.4.1 IPSec客戶集成 
14.4.2 IPSec服務(wù)器集成
14.4.3 IPSec邊界防御調(diào)整
14.4.4 IPSec結(jié)構(gòu)
14.5 VPN其他需要考慮的事項
14.5.1 專有VPN的執(zhí)行
14.5.2 受到損害或懷有惡意的VPN客戶
14.6 VPN設(shè)計實例分析
14.7 小結(jié) 
第15章 根據(jù)性能調(diào)整設(shè)計
15.1 性能與安全
15.1.1 定義性能
15.1.2 了解在安全中性能的重要性
15.2 影響性能的網(wǎng)絡(luò)安全設(shè)計元素
15.2.1 網(wǎng)絡(luò)過濾器的性能影響
15.2.2 網(wǎng)絡(luò)結(jié)構(gòu) 
15.2.3 實例分析 
15.3 加密的影響
15.3.1 密碼服務(wù)
15.3.2 了解網(wǎng)絡(luò)層和傳輸層的加密
15.3.3 使用硬件加速器來提高性能
15.3.4 實例分析
15.4 通過負(fù)載平衡來提高性能
15.4.1 負(fù)載平衡存在的問題
15.4.2 第4層調(diào)度程序
15.4.3 第7層調(diào)度程序
15.5 小結(jié)
15.6 參考資料
第16章 實例設(shè)計
16.1 安全設(shè)計標(biāo)準(zhǔn)回顧
16.2 實例分析
16.2.1 實例分析1：使用寬帶連接進行遠(yuǎn)程工作
16.2.2 實例分析2：存在基本Internet連接的小企業(yè) 
16.2.3 實例分析3：小型電子商務(wù)站點 
16.2.4 實例分析4：一個復(fù)雜的電子商務(wù)站點 
16.2.5 DMZ區(qū)域 
16.3 小結(jié) 
第四部分 邊界安全評估方法
第17章 維護安全邊界
17.1 系統(tǒng)監(jiān)控與網(wǎng)絡(luò)監(jiān)控
17.1.1 Big Brother簡介 
17.1.2 建立監(jiān)控過程 
17.1.3 進行遠(yuǎn)程監(jiān)控時需要考慮的安全事項 
17.2 事故響應(yīng)
17.2.1 通知選項
17.2.2 一般的響應(yīng)準(zhǔn)則
17.2.3 惡意事故響應(yīng)
17.2.4 自動化事件響應(yīng)
17.3 適應(yīng)變更
17.3.1 變更管理的基礎(chǔ)
17.3.2 修改－管理控制的實現(xiàn)
17.4 小結(jié)
17.5 參考資料
第18章 網(wǎng)絡(luò)日志分析
18.1 網(wǎng)絡(luò)日志文件的重要性
18.1.1 日志文件的特征
18.1.2 日志文件的作用 
18.2 日志分析基礎(chǔ)
18.2.1 開始入手
18.2.2 自動化日志分析 
18.2.3 時間戳 
18.3 分析路由器日志
18.3.1 Cisco路由器日志
18.3.2 其他路由器日志
18.4 分析網(wǎng)絡(luò)防火墻日志
18.4.1 Cisco PIX日志
18.4.2 Check Point的Firewall-1日志
18.4.3 IPTables日志
18.5 分析以主機為中心的防火墻和IDS日志
18.5.1 ZoneAlarm 
18.5.2 Tiny Personal Firewall 
18.5.3 BlackICE Defender
18.6 小結(jié)
第19章 防御部件故障診斷
19.1 故障診斷過程
19.1.1 收集癥狀
19.1.2 檢查最近的變更
19.1.3 形成假定
19.1.4 測試假定
19.1.5 分析結(jié)果
19.1.6 如必要的話重復(fù)以上步驟
19.2 故障診斷經(jīng)驗法則
19.2.1 一次只進行一次修改
19.2.2 開放思維
19.2.3 換個角度考慮
19.2.4 將重點一直放在問題修復(fù)上
19.2.5 不要實現(xiàn)一種比原問題帶來更多麻煩的修復(fù)方法
19.2.6 應(yīng)當(dāng)記住：最難于診斷的問題往往是最容易忽略的問題
19.3 故障檢修員的工具箱
19.3.1 應(yīng)用層故障診斷
19.3.2 傳輸層故障診斷 
19.3.3 網(wǎng)絡(luò)層故障診斷 
19.3.4 鏈路層故障診斷 
19.4 小結(jié)
19.5 參考資料
第20章 評估技術(shù)
20.1 外部評估
20.1.1 計劃 
20.1.2 初期偵察 
20.1.3 系統(tǒng)列舉 
20.1.4 服務(wù)列舉 
20.1.5 弱點發(fā)現(xiàn) 
20.1.6 弱點調(diào)查 
20.2 內(nèi)部評估
20.2.1 準(zhǔn)備內(nèi)部評估
20.2.2 驗證訪問控制 
20.3 小結(jié) 
20.4 參考資料 
第21章 攻擊設(shè)計
21.1 攻擊網(wǎng)絡(luò)的黑客方法
21.2 對抗性檢查 
21.3 GIAC GCFW學(xué)生實習(xí)設(shè)計
21.3.1 實習(xí)設(shè)計1
21.3.2 確定留下的入口：內(nèi)部防火墻 
21.3.3 實習(xí)設(shè)計2 
21.4 小結(jié)
21.5 參考資料
第22章 縱深防御的重要性
22.1 縱深防御結(jié)構(gòu)的一個例子-城堡
22.1.1 堅固的城墻與火力更強的炮彈
22.1.2 密道
22.1.3 隱藏技術(shù) 
22.1.4 防御熟悉內(nèi)幕的人 
22.2 具有吸收能力的邊界 
22.2.1 “蜂蜜罐”
22.2.2 速率限制
22.2.3 故障恢復(fù)
22.3 信息的縱深防御
22.3.1 擴散問題
22.3.2 密碼術(shù)與縱深防御
22.4 小結(jié)
第五部分 附錄
附錄A Cisco訪問列表配置示例 
附錄B 密碼術(shù)基礎(chǔ) 
附錄C 網(wǎng)絡(luò)空隙