LINUX防火墙 原书第3版PDF|Epub|txt|kindle电子书版本下载

LINUX防火墙 原书第3版PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

目录1

译者序1

前言1

第一部分 数据包过滤及基本安全措施第1章 防火墙的基本概念1

1.1 OSI网络参考模型2

1.1.1 面向无连接协议和面向连接协议3

1.1.2 下一步4

1.2 IP协议4

1.2.1 IP地址分类和子网划分4

1.2.2 IP分段6

1.2.3 广播和多播7

1.2.4 ICMP协议7

1.3 传输机制9

1.3.1 UDP9

1.3.2 TCP9

1.5 主机名称和IP地址11

1.4 不要忘记ARP协议11

1.6 路由：数据包的传送12

1.7 服务端口：通向系统程序的大门12

1.8 小结16

第2章 数据包过滤的概念17

2.1 一个数据包过滤防火墙18

2.2 选择一个默认的数据包过滤策略20

2.3 拒绝与禁止一个数据包21

2.4.1 对远程源地址进行过滤22

2.4 过滤入站数据包22

2.4.2 对本地目的地址进行过滤24

2.4.3 对远程源端口进行过滤25

2.4.4 对本地目的端口进行过滤25

2.4.5 对入站数据包的TCP连接状态进行过滤25

2.4.6 刺探和扫描25

2.4.7 拒绝服务攻击29

2.5.1 对本地源地址进行过滤35

2.5 过滤出站数据包35

2.4.8 源路由数据包35

2.5.2 对远程目的地址进行过滤36

2.5.3 对本地源端口进行过滤36

2.5.4 对远程目的端口进行过滤37

2.5.5 对出站数据包的TCP连接状态进行过滤37

2.6 专用网络和公共网络服务37

2.6.1 保护不安全的本地服务38

2.6.2 选择服务进行运行38

2.7 小结38

第3章 iptables:Linux防火墙管理程序39

3.1 IP防火墙（IPFW）和网络过滤器防火墙机制的区别39

3.1.1 IPFW数据包传输40

3.1.2 Netfilter数据包传输41

3.2 iptables的基本语法41

3.3 iptables的特点42

3.3.1 NAT表的特点44

3.3.2 mangle表的特点45

3.4 iptables的语法规则46

3.4.1 filter表命令47

3.4.2 filter表目标扩展50

3.4.3 filter表匹配扩展51

3.4.4 NAT表目标扩展60

3.4.5 mangle表命令62

3.5 小结63

第4章 构建和安装一个独立的防火墙64

4.1 iptables:Linux防火墙管理程序64

4.1.1 定制或购买：Linux内核66

4.1.2 源及目的寻址的选项66

4.2 防火墙的初始化67

4.2.1 防火墙示例中使用的符号常量68

4.2.2 启动内核对监控的支持68

4.2.3 删除预先存在的规则70

4.2.4 重置默认策略及停止防火墙70

4.2.6 定义默认策略71

4.2.5 启动回环接口71

4.2.7 秘密扫描及TCP状态标记72

4.2.8 利用连接状态绕过规则检测72

4.2.9 源地址欺骗及其他不合法地址73

4.3 保护被分配在非特权端口上运行的服务77

4.3.1 被分配在非特权端口上运行的常用本地TCP服务78

4.3.2 被分配在非特权端口上运行的常用本地UDP服务79

4.4 启动基本但必要的Internet服务81

4.4.1 允许DNS（UDP/TCP端口53）81

4.4.2 过滤AUTH用户身份认证服务（TCP端口113）85

4.5 启动常用TCP服务86

4.5.1 E-mail（TCP SMTP端口25、POP端口110、IMAP端口143）86

4.5.2 Usenet新闻访问服务（TCP NNTP端口119）94

4.5.3 Telnet（TCP端口23）95

4.5.4 SSH（TCP端口22）97

4.5.5 FTP（TCP端口21和20）98

4.5.6 Web服务102

4.5.7 Whois（TCP端口43）105

4.5.8 RealAudio、RealVideo及QuickTime（TCP端口554和7070）105

4.6 启动常用的UDP服务107

4.6.1 traceroute（UDP端口33434）107

4.6.2 访问提供服务的ISP的DHCP服务器（UDP端口67和68）108

4.6.3 访问远程网络时间服务器（UDP端口123）110

4.7 过滤ICMP控制和状态信息111

4.7.1 错误状态和控制信息111

4.7.2 ping反射请求（类型8）和反射应答（类型0）控制信息113

4.8 记录被丢弃的入站数据包114

4.9 记录被丢弃的出站数据包116

4.10 预先设定禁止访问有问题的网站116

4.11 安装防火墙116

4.12 小结119

5.1.1 从阻止高位端口流量的规则开始121

5.1.2 使用state模块实现ESTABLISHED和RELATED的匹配121

5.1 规则的组织121

第二部分 高级议题、多个防火墙和网络防护带第5章 防火墙的优化121

5.1.3 考虑传输层协议122

5.1.4 尽早为最常使用的服务设置防火墙规则123

5.1.5 使用多端口模块设定端口列表123

5.1.6 利用网络数据流来决定如何对多个网络接口设置规则123

5.2 用户自定义规则链124

5.3 防火墙的优化示例126

5.3.1 脚本中的用户自定义规则链126

5.3.2 防火墙初始化127

5.3.3 安装规则链129

5.3.4 构建用户自定义的EXT-input和EXT-output规则链131

5.3.5 tcp-state-flags139

5.3.6 connection-tracking140

5.3.7 local_dhcp_client_query和remote_dhcp_server_response140

5.3.8 source-address-check141

5.3.10 记录被丢弃的数据包142

5.3.9 destination-address-check142

5.4 优化带来的结果144

5.5 小结145

第6章 数据包的转发146

6.1 独立防火墙的局限性146

6.2 基本的网关防火墙设置147

6.3 局域网安全相关问题148

6.4 可信家庭局域网的配置选项149

6.4.1 对网关防火墙的局域网访问150

6.4.2 对其他局域网的访问：在多个局域网间转发本地网络流151

6.5 更高或更低可信度局域网的配置选项152

6.5.1 划分地址空间来创建多个网络153

6.5.2 通过主机、地址或端口范围限制内部访问154

6.6 屏蔽子网防火墙样板159

6.6.1 防火墙实例中的符号常量159

6.6.2 在隔断防火墙上设置环境161

6.6.3 清空隔断防火墙原有的安全规则161

6.6.4 定义隔断防火墙的默认策略162

6.6.5 启用隔断防火墙的回环接口162

6.6.7 使用连接状态来绕过规则检查163

6.6.6 秘密扫描和TCP状态标志163

6.6.8 源地址欺骗和其他的恶意地址164

6.6.9 过滤ICMP控制和状态消息165

6.6.10 启用DNS（UDP/TCP端口53）166

6.6.11 过滤AUTH用户身份认证服务（TCP端口113）170

6.6.12 E-mail（TCP SMTP端口25、POP3端口110、IMAP端口143）170

6.6.13 Usenet新闻访问服务（TCP NNTP端口119）172

6.6.14 Telnet（TCP端口23）172

6.6.15 SSH（TCP端口22）173

6.6.16 FTP（TCP端口21和20）174

6.6.17 Web服务176

6.6.18 隔断防火墙主机作为本地DHCP服务器（UDP端口67和68）178

6.6.19 日志记录179

6.7 将网关从本地服务转变为转发服务179

6.8 小结179

7.1 NAT概念的背景181

第7章 NAT——网络地址转换181

7.2 iptables NAT语义184

7.2.1 源地址NAT185

7.2.2 目的地址NAT186

7.3 SNAT和专用局域网的例子188

7.3.1 伪装去往Internet的局域网数据流188

7.3.2 对到Internet的局域网数据流应用标准的NAT189

7.4 DNAT、局域网和代理的例子189

7.4.2 主机转发和端口重定向190

7.4.1 主机转发190

7.4.3 主机转发到服务器群191

7.4.4 主机转发到使用专用地址的DMZ中的服务器192

7.4.5 本地端口重定向——透明代理193

7.5 小结194

第8章 防火墙规则的检错195

8.1 常用防火墙开发技巧195

8.2 罗列防火墙规则197

8.2.1 filter表的列表格式197

8.2.2 nat表的列表格式202

8.2.3 mangle表的列表格式203

8.3 检查输入、输出和转发规则205

8.3.1 检查输入规则205

8.3.2 检查输出规则206

8.3.3 检查转发规则207

8.4 解释系统日志209

8.4.1 syslog配置209

8.4.2 防火墙日志信息：如何理解它们211

8.5.1 netstat-a[-n-p-Ainet]214

8.5 检查开启的端口214

8.5.2 使用fuser检查一个绑定在特定端口的进程216

8.6 小结218

第三部分 超越iptables219

第9章 入侵检测和响应219

9.1 入侵检测219

9.2 系统可能遭受入侵的症状220

9.2.1 体现在系统日志中的迹象220

9.2.3 体现在文件系统中的迹象221

9.2.2 体现在系统配置中的迹象221

9.2.4 体现在用户账号中的迹象222

9.2.5 体现在安全审计工具中的迹象222

9.2.6 体现在系统性能方面的迹象222

9.3 系统受损后应采取的措施223

9.4 事件报告224

9.4.1 为什么要报告事件224

9.4.2 报告哪些类型的事件225

9.4.3 向谁报告事件226

9.4.4 报告时应提供哪些信息227

9.4.5 去哪儿获取更多的信息228

9.5 小结228

第10章 入侵检测工具229

10.1 入侵检测工具包：网络工具229

10.1.1 交换机和集线器以及为什么重要230

10.2.1 运行Chkrootkit231

10.2 Rootkit检测器231

10.1.3 ARPWatch231

10.1.2 嗅探器（sniffer）的布署231

10.2.2 当Chkrootkit报告计算机已被感染时如何处理233

10.2.3 Chkrootkit及同类工具的局限性233

10.2.4 安全地使用Chkrootkit234

10.2.5 什么时候需要运行Chkrootkit235

10.3 文件系统的完整性235

10.4 日志监控235

10.5 如何防止入侵237

10.5.1 勤安防237

10.5.2 勤更新238

10.5.3 勤测试238

10.6 小结240

第11章 网络监控和攻击检测241

11.1 监听以太网241

11.2 TCPDump：简单介绍243

11.2.1 获取和安装TCPDump243

11.2.2 TCPDump选项244

11.2.3 TCPDump表达式246

11.2.4 TCPDump高级功能248

11.3 使用TCPDump捕捉特定的协议248

11.3.1 在现实中使用TCPDump249

11.3.2 通过TCPDump来检测攻击255

11.3.3 使用TCPDump记录流量259

11.4 使用snort自动检测入侵261

11.4.1 获取和安装Snort261

11.4.2 配置Snort263

11.4.3 测试Snort264

11.4.4 接受警报265

11.4.5 关于Snort的最后思考265

11.5 使用ARPWatch进行监视265

11.6 小结267

第12章 文件系统的完整性268

12.1 定义文件系统完整性268

12.3 配置AIDE269

12.2 安装AIDE269

12.3.1 创建AIDE配置文件270

12.3.2 一个简单的AIDE配置文件示例271

12.3.3 初始化AIDE数据库272

12.3.4 AIDE调度及自动运行272

12.4 监视AIDE273

12.5 清除AIDE数据库274

12.6 改变AIDE报告的输出信息275

12.7 在AIDE中定义宏277

12.8 AIDE的监测类型278

12.9 小结280

第13章 内核的强化281

13.1 经过安全强化的Linux281

13.2 使用GrSecurity增强安全性282

13.3 内核快速浏览282

13.3.2 你的号码是什么283

13.3.3 内核：从20000英尺的高度往下看283

13.3.1 怎么称呼283

13.4 要不要打补丁284

13.5 使用GrSecurity内核285

13.5.1 下载Grsec以及一个全新的内核285

13.5.2 编译第一个内核285

13.5.3 改进内核的构造292

13.6.1 使用Grsec的补丁293

13.6.2 选择Grsec中的功能293

13.6 GrSecurity293

13.6.3 构造Grsec内核295

13.6.4 超越GrSecurity的基本功能296

13.7 结论：专用内核297

附录299

附录A 安全资源299

附录B 防火墙示例与支持脚本301

附录C 虚拟专用网341

附录D 术语表348