Linux防火墻（原書第3版）

第一部分  數(shù)據(jù)包過濾及基本安全措施
第1章  防火墻的基本概念        1
1.1　OSI網(wǎng)絡(luò)參考模型        2
1.1.1　面向無(wú)連接協(xié)議和面向連接協(xié)議        3
1.1.2　下一步        4
1.2　IP協(xié)議        4
1.2.1　IP地址分類和子網(wǎng)劃分        4
1.2.2　IP分段        6
1.2.3　廣播和多播        7
1.2.4　ICMP協(xié)議        7
1.3　傳輸機(jī)制        9
1.3.1　UDP        9
1.3.2　TCP        9
1.4　不要忘記ARP協(xié)議        11
1.5　主機(jī)名稱和IP地址        11
1.6　路由：數(shù)據(jù)包的傳送        12
1.7　服務(wù)端口：通向系統(tǒng)程序的大門        12
1.8　小結(jié)        16 第2章　數(shù)據(jù)包過濾的概念        17
2.1　一個(gè)數(shù)據(jù)包過濾防火墻        18
2.2　選擇一個(gè)默認(rèn)的數(shù)據(jù)包過濾策略        20
2.3　拒絕與禁止一個(gè)數(shù)據(jù)包        21
2.4　過濾入站數(shù)據(jù)包        22
2.4.1　對(duì)遠(yuǎn)程源地址進(jìn)行過濾        22
2.4.2　對(duì)本地目的地址進(jìn)行過濾        24
2.4.3　對(duì)遠(yuǎn)程源端口進(jìn)行過濾        25
2.4.4　對(duì)本地目的端口進(jìn)行過濾        25
2.4.5　對(duì)入站數(shù)據(jù)包的TCP連接狀態(tài) 進(jìn)行過濾        25
2.4.6　刺探和掃描        25
2.4.7　拒絕服務(wù)攻擊        29
2.4.8　源路由數(shù)據(jù)包        35
2.5　過濾出站數(shù)據(jù)包        35
2.5.1　對(duì)本地源地址進(jìn)行過濾        35
2.5.2　對(duì)遠(yuǎn)程目的地址進(jìn)行過濾        36
2.5.3　對(duì)本地源端口進(jìn)行過濾        36
2.5.4　對(duì)遠(yuǎn)程目的端口進(jìn)行過濾        37
2.5.5　對(duì)出站數(shù)據(jù)包的TCP連接狀態(tài) 進(jìn)行過濾        37
2.6　專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)服務(wù)        37
2.6.1　保護(hù)不安全的本地服務(wù)        38
2.6.2　選擇服務(wù)進(jìn)行運(yùn)行        38
2.7　小結(jié)        38
第3章　iptables：Linux防火墻管理程序        39
3.1　IP防火墻（IPFW）和網(wǎng)絡(luò)過濾器 防火墻機(jī)制的區(qū)別        39
3.1.1　IPFW數(shù)據(jù)包傳輸        40
3.1.2　Netfilter數(shù)據(jù)包傳輸        41
3.2　iptables的基本語(yǔ)法        41
3.3　iptables的特點(diǎn)        42
3.3.1　NAT表的特點(diǎn)        44
3.3.2　mangle表的特點(diǎn)        45
3.4　iptables的語(yǔ)法規(guī)則        46
3.4.1　filter表命令        47
3.4.2　filter表目標(biāo)擴(kuò)展        50
3.4.3　filter表匹配擴(kuò)展        51
3.4.4　NAT表目標(biāo)擴(kuò)展        60
3.4.5　mangle表命令        62
3.5　小結(jié)        63
第4章　構(gòu)建和安裝一個(gè)獨(dú)立的防火墻        64
4.1　iptables：Linux防火墻管理程序        64
4.1.1　定制或購(gòu)買：Linux內(nèi)核        66
4.1.2　源及目的尋址的選項(xiàng)        66
4.2　防火墻的初始化        67
4.2.1　防火墻示例中使用的符號(hào)常量        68
4.2.2　啟動(dòng)內(nèi)核對(duì)監(jiān)控的支持        68
4.2.3　刪除預(yù)先存在的規(guī)則        70
4.2.4　重置默認(rèn)策略及停止防火墻        70
4.2.5　啟動(dòng)回環(huán)接口        71
4.2.6　定義默認(rèn)策略        71
4.2.7　秘密掃描及TCP狀態(tài)標(biāo)記        72
4.2.8　利用連接狀態(tài)繞過規(guī)則檢測(cè)        72
4.2.9　源地址欺騙及其他不合法地址        73
4.3　保護(hù)被分配在非特權(quán)端口上運(yùn)行的服務(wù)        77
4.3.1　被分配在非特權(quán)端口上運(yùn)行的常用本地TCP服務(wù)        78
4.3.2　被分配在非特權(quán)端口上運(yùn)行的 常用本地UDP服務(wù)        79
4.4　啟動(dòng)基本但必要的Internet服務(wù)        81
4.4.1　允許DNS（UDP/TCP端口53）        81
4.4.2　過濾AUTH用戶身份認(rèn)證服務(wù) （TCP端口113）        85
4.5　啟動(dòng)常用TCP服務(wù)        86
4.5.1　E-mail（TCP SMTP端口25、 POP端口110、IMAP端口143）        86
4.5.2　Usenet新聞訪問服務(wù)（TCP NNTP端口119）        94
4.5.3　Telnet（TCP端口23）        95
4.5.4　SSH（TCP端口22）        97
4.5.5　FTP（TCP端口21和20）        98
4.5.6　Web服務(wù)        102
4.5.7　Whois（TCP端口43）        105
4.5.8　RealAudio、RealVideo及QuickTime（TCP端口554和7070）        105
4.6　啟動(dòng)常用的UDP服務(wù)        107
4.6.1　traceroute（UDP端口33434）        107
4.6.2　訪問提供服務(wù)的ISP的DHCP 服務(wù)器（UDP端口67和68）        108
4.6.3　訪問遠(yuǎn)程網(wǎng)絡(luò)時(shí)間服務(wù)器 （UDP端口123）        110
4.7　過濾ICMP控制和狀態(tài)信息        111
4.7.1　錯(cuò)誤狀態(tài)和控制信息        111
4.7.2　ping反射請(qǐng)求（類型8）和反射 應(yīng)答（類型0）控制信息        113
4.8　記錄被丟棄的入站數(shù)據(jù)包        114
4.9　記錄被丟棄的出站數(shù)據(jù)包        116
4.10　預(yù)先設(shè)定禁止訪問有問題的網(wǎng)站        116
4.11　安裝防火墻        116
4.12　小結(jié)        119
第二部分　高級(jí)議題、多個(gè)防火墻和網(wǎng)絡(luò)防護(hù)帶
第5章　防火墻的優(yōu)化        121
5.1　規(guī)則的組織        121
5.1.1　從阻止高位端口流量的規(guī)則開始        121
5.1.2　使用state模塊實(shí)現(xiàn)ESTABLISHED 和RELATED的匹配        121
5.1.3　考慮傳輸層協(xié)議        122
5.1.4　盡早為最常使用的服務(wù)設(shè)置防火墻規(guī)則        123
5.1.5　使用多端口模塊設(shè)定端口列表        123
5.1.6　利用網(wǎng)絡(luò)數(shù)據(jù)流來(lái)決定如何對(duì)多個(gè)網(wǎng)絡(luò)接口設(shè)置規(guī)則        123
5.2　用戶自定義規(guī)則鏈        124
5.3　防火墻的優(yōu)化示例        126
5.3.1　腳本中的用戶自定義規(guī)則鏈        126
5.3.2　防火墻初始化        127
5.3.3　安裝規(guī)則鏈        129
5.3.4　構(gòu)建用戶自定義的EXT-input和 EXT-output規(guī)則鏈        131
5.3.5　tcp-state-flags        139
5.3.6　connection-tracking        140
5.3.7　local_dhcp_client_query和 remote_dhcp_server_response        140
5.3.8　source-address-check        141
5.3.9　destination-address-check        142
5.3.10　記錄被丟棄的數(shù)據(jù)包        142
5.4　優(yōu)化帶來(lái)的結(jié)果        144
5.5　小結(jié)        145
第6章　數(shù)據(jù)包的轉(zhuǎn)發(fā)        146
6.1　獨(dú)立防火墻的局限性        146
6.2　基本的網(wǎng)關(guān)防火墻設(shè)置        147
6.3　局域網(wǎng)安全相關(guān)問題        148
6.4　可信家庭局域網(wǎng)的配置選項(xiàng)        149
6.4.1　對(duì)網(wǎng)關(guān)防火墻的局域網(wǎng)訪問        150
6.4.2　對(duì)其他局域網(wǎng)的訪問：在多個(gè) 局域網(wǎng)間轉(zhuǎn)發(fā)本地網(wǎng)絡(luò)流        151
6.5　更高或更低可信度局域網(wǎng)的配置選項(xiàng)        152
6.5.1　劃分地址空間來(lái)創(chuàng)建多個(gè)網(wǎng)絡(luò)        153
6.5.2　通過主機(jī)、地址或端口范圍限制 內(nèi)部訪問        154
6.6　屏蔽子網(wǎng)防火墻樣板        159
6.6.1　防火墻實(shí)例中的符號(hào)常量        159
6.6.2　在隔斷防火墻上設(shè)置環(huán)境        161
6.6.3　清空隔斷防火墻原有的安全規(guī)則        161
6.6.4　定義隔斷防火墻的默認(rèn)策略        162
6.6.5　啟用隔斷防火墻的回環(huán)接口        162
6.6.6　秘密掃描和TCP狀態(tài)標(biāo)志        163
6.6.7　使用連接狀態(tài)來(lái)繞過規(guī)則檢查        163
6.6.8　源地址欺騙和其他的惡意地址        164
6.6.9　過濾ICMP控制和狀態(tài)消息        165
6.6.10　啟用DNS（UDP/TCP端口53）        166
6.6.11　過濾AUTH用戶身份認(rèn)證服務(wù) （TCP端口113）        170
6.6.12　E-mail（TCP SMTP端口25、POP3 端口110、IMAP端口143）        170
6.6.13　Usenet新聞訪問服務(wù)（TCP NNTP 端口119）        172
6.6.14　Telnet（TCP端口23）        172
6.6.15　SSH（TCP端口22）        173
6.6.16　FTP（TCP端口21和20）        174
6.6.17　Web服務(wù)        176
6.6.18　隔斷防火墻主機(jī)作為本地DHCP 服務(wù)器（UDP端口67和68）        178
6.6.19　日志記錄        179
6.7　將網(wǎng)關(guān)從本地服務(wù)轉(zhuǎn)變?yōu)檗D(zhuǎn)發(fā)服務(wù)        179
6.8　小結(jié)        179
第7章　NAT—網(wǎng)絡(luò)地址轉(zhuǎn)換        181
7.1　NAT概念的背景        181
7.2　iptables NAT語(yǔ)義        184
7.2.1　源地址NAT        185
7.2.2　目的地址NAT        186
7.3　SNAT和專用局域網(wǎng)的例子        188
7.3.1　偽裝去往Internet的局域網(wǎng)數(shù)據(jù)流        188
7.3.2　對(duì)到Internet的局域網(wǎng)數(shù)據(jù)流 應(yīng)用標(biāo)準(zhǔn)的NAT        189
7.4　DNAT、局域網(wǎng)和代理的例子        189
7.4.1　主機(jī)轉(zhuǎn)發(fā)        190
7.4.2　主機(jī)轉(zhuǎn)發(fā)和端口重定向        190
7.4.3　主機(jī)轉(zhuǎn)發(fā)到服務(wù)器群        191
7.4.4　主機(jī)轉(zhuǎn)發(fā)到使用專用地址的DMZ中的服務(wù)器        192
7.4.5　本地端口重定向—透明代理        193
7.5　小結(jié)        194
第8章　防火墻規(guī)則的檢錯(cuò)        195
8.1　常用防火墻開發(fā)技巧        195
8.2　羅列防火墻規(guī)則        197
8.2.1　filter表的列表格式        197
8.2.2　nat表的列表格式        202
8.2.3　mangle表的列表格式        203
8.3　檢查輸入、輸出和轉(zhuǎn)發(fā)規(guī)則        205
8.3.1　檢查輸入規(guī)則        205
8.3.2　檢查輸出規(guī)則        206
8.3.3　檢查轉(zhuǎn)發(fā)規(guī)則        207
8.4　解釋系統(tǒng)日志        209
8.4.1　syslog配置        209
8.4.2　防火墻日志信息：如何理解它們        211
8.5　檢查開啟的端口        214
8.5.1　netstat -a [-n -p -A inet]        214
8.5.2　使用fuser檢查一個(gè)綁定在特定端口 的進(jìn)程        216
8.6　小結(jié)        218
第三部分　超越iptables
第9章　入侵檢測(cè)和響應(yīng)        219
9.1　入侵檢測(cè)        219
9.2　系統(tǒng)可能遭受入侵的癥狀        220
9.2.1　體現(xiàn)在系統(tǒng)日志中的跡象        220
9.2.2　體現(xiàn)在系統(tǒng)配置中的跡象        221
9.2.3　體現(xiàn)在文件系統(tǒng)中的跡象        221
9.2.4　體現(xiàn)在用戶賬號(hào)中的跡象        222
9.2.5　體現(xiàn)在安全審計(jì)工具中的跡象        222
9.2.6　體現(xiàn)在系統(tǒng)性能方面的跡象        222
9.3　系統(tǒng)受損后應(yīng)采取的措施        223
9.4　事件報(bào)告        224
9.4.1　為什么要報(bào)告事件        224
9.4.2　報(bào)告哪些類型的事件        225
9.4.3　向誰(shuí)報(bào)告事件        226
9.4.4　報(bào)告時(shí)應(yīng)提供哪些信息        227
9.4.5　去哪兒獲取更多的信息        228
9.5　小結(jié)        228
第10章　入侵檢測(cè)工具        229
10.1　入侵檢測(cè)工具包：網(wǎng)絡(luò)工具        229
10.1.1　交換機(jī)和集線器以及為什么重要        230
10.1.2　嗅探器（sniffer）的布署        231
10.1.3　ARPWatch        231
10.2　Rootkit檢測(cè)器        231
10.2.1　運(yùn)行Chkrootkit        231
10.2.2　當(dāng)Chkrootkit報(bào)告計(jì)算機(jī)已被 感染時(shí)如何處理        233
10.2.3　Chkrootkit及同類工具的局限性        233
10.2.4　安全地使用Chkrootkit        234
10.2.5　什么時(shí)候需要運(yùn)行Chkrootkit        235
10.3　文件系統(tǒng)的完整性        235
10.4　日志監(jiān)控        235
10.5　如何防止入侵        237
10.5.1　勤安防        237
10.5.2　勤更新        238
10.5.3　勤測(cè)試        238
10.6　小結(jié)        240
第11章　網(wǎng)絡(luò)監(jiān)控和攻擊檢測(cè)        241
11.1　監(jiān)聽以太網(wǎng)        241
11.2　TCPDump：簡(jiǎn)單介紹        243
11.2.1　獲取和安裝TCPDump        243
11.2.2　TCPDump選項(xiàng)        244
11.2.3　TCPDump表達(dá)式        246
11.2.4　TCPDump高級(jí)功能        248
11.3　使用TCPDump捕捉特定的協(xié)議        248
11.3.1　在現(xiàn)實(shí)中使用TCPDump        249
11.3.2　通過TCPDump來(lái)檢測(cè)攻擊        255
11.3.3　使用TCPDump記錄流量        259
11.4　使用snort自動(dòng)檢測(cè)入侵        261
11.4.1　獲取和安裝Snort        261
11.4.2　配置Snort        263
11.4.3　測(cè)試Snort        264
11.4.4　接受警報(bào)        265
11.4.5　關(guān)于Snort的最后思考        265
11.5　使用ARPWatch進(jìn)行監(jiān)視        265
11.6　小結(jié)        267
第12章　文件系統(tǒng)的完整性        268
12.1　定義文件系統(tǒng)完整性        268
12.2　安裝AIDE        269
12.3　配置AIDE        269
12.3.1　創(chuàng)建AIDE配置文件        270
12.3.2　一個(gè)簡(jiǎn)單的AIDE配置文件示例        271
12.3.3　初始化AIDE數(shù)據(jù)庫(kù)        272
12.3.4　AIDE調(diào)度及自動(dòng)運(yùn)行        272
12.4　監(jiān)視AIDE        273
12.5　清除AIDE數(shù)據(jù)庫(kù)        274
12.6　改變AIDE報(bào)告的輸出信息        275
12.7　在AIDE中定義宏        277
12.8　AIDE的監(jiān)測(cè)類型        278
12.9　小結(jié)        280
第13章　內(nèi)核的強(qiáng)化        281
13.1　經(jīng)過安全強(qiáng)化的Linux        281
13.2　使用GrSecurity增強(qiáng)安全性        282
13.3　內(nèi)核快速瀏覽        282
13.3.1　怎么稱呼        283
13.3.2　你的號(hào)碼是什么        283
13.3.3　內(nèi)核：從20 000英尺的高度 往下看        283
13.4　要不要打補(bǔ)丁        284
13.5　使用GrSecurity內(nèi)核        285
13.5.1　下載Grsec以及一個(gè)全新的內(nèi)核        285
13.5.2　編譯第一個(gè)內(nèi)核        285
13.5.3　改進(jìn)內(nèi)核的構(gòu)造        292
13.6　GrSecurity        293
13.6.1　使用Grsec的補(bǔ)丁        293
13.6.2　選擇Grsec中的功能        293
13.6.3　構(gòu)造Grsec內(nèi)核        295
13.6.4　超越GrSecurity的基本功能        296
13.7　結(jié)論：專用內(nèi)核        297
附      錄
附錄A　安全資源        299
附錄B　防火墻示例與支持腳本        301
附錄C　虛擬專用網(wǎng)        341
附錄D　術(shù)語(yǔ)表        348