Linux防火墻（原書第3版）

第一部分  數(shù)據(jù)包過濾及基本安全措施
第1章  防火墻的基本概念        1
1.1　OSI網(wǎng)絡參考模型        2
1.1.1　面向無連接協(xié)議和面向連接協(xié)議        3
1.1.2　下一步        4
1.2　IP協(xié)議        4
1.2.1　IP地址分類和子網(wǎng)劃分        4
1.2.2　IP分段        6
1.2.3　廣播和多播        7
1.2.4　ICMP協(xié)議        7
1.3　傳輸機制        9
1.3.1　UDP        9
1.3.2　TCP        9
1.4　不要忘記ARP協(xié)議        11
1.5　主機名稱和IP地址        11
1.6　路由：數(shù)據(jù)包的傳送        12
1.7　服務端口：通向系統(tǒng)程序的大門        12
1.8　小結        16 第2章　數(shù)據(jù)包過濾的概念        17
2.1　一個數(shù)據(jù)包過濾防火墻        18
2.2　選擇一個默認的數(shù)據(jù)包過濾策略        20
2.3　拒絕與禁止一個數(shù)據(jù)包        21
2.4　過濾入站數(shù)據(jù)包        22
2.4.1　對遠程源地址進行過濾        22
2.4.2　對本地目的地址進行過濾        24
2.4.3　對遠程源端口進行過濾        25
2.4.4　對本地目的端口進行過濾        25
2.4.5　對入站數(shù)據(jù)包的TCP連接狀態(tài) 進行過濾        25
2.4.6　刺探和掃描        25
2.4.7　拒絕服務攻擊        29
2.4.8　源路由數(shù)據(jù)包        35
2.5　過濾出站數(shù)據(jù)包        35
2.5.1　對本地源地址進行過濾        35
2.5.2　對遠程目的地址進行過濾        36
2.5.3　對本地源端口進行過濾        36
2.5.4　對遠程目的端口進行過濾        37
2.5.5　對出站數(shù)據(jù)包的TCP連接狀態(tài) 進行過濾        37
2.6　專用網(wǎng)絡和公共網(wǎng)絡服務        37
2.6.1　保護不安全的本地服務        38
2.6.2　選擇服務進行運行        38
2.7　小結        38
第3章　iptables：Linux防火墻管理程序        39
3.1　IP防火墻（IPFW）和網(wǎng)絡過濾器 防火墻機制的區(qū)別        39
3.1.1　IPFW數(shù)據(jù)包傳輸        40
3.1.2　Netfilter數(shù)據(jù)包傳輸        41
3.2　iptables的基本語法        41
3.3　iptables的特點        42
3.3.1　NAT表的特點        44
3.3.2　mangle表的特點        45
3.4　iptables的語法規(guī)則        46
3.4.1　filter表命令        47
3.4.2　filter表目標擴展        50
3.4.3　filter表匹配擴展        51
3.4.4　NAT表目標擴展        60
3.4.5　mangle表命令        62
3.5　小結        63
第4章　構建和安裝一個獨立的防火墻        64
4.1　iptables：Linux防火墻管理程序        64
4.1.1　定制或購買：Linux內核        66
4.1.2　源及目的尋址的選項        66
4.2　防火墻的初始化        67
4.2.1　防火墻示例中使用的符號常量        68
4.2.2　啟動內核對監(jiān)控的支持        68
4.2.3　刪除預先存在的規(guī)則        70
4.2.4　重置默認策略及停止防火墻        70
4.2.5　啟動回環(huán)接口        71
4.2.6　定義默認策略        71
4.2.7　秘密掃描及TCP狀態(tài)標記        72
4.2.8　利用連接狀態(tài)繞過規(guī)則檢測        72
4.2.9　源地址欺騙及其他不合法地址        73
4.3　保護被分配在非特權端口上運行的服務        77
4.3.1　被分配在非特權端口上運行的常用本地TCP服務        78
4.3.2　被分配在非特權端口上運行的 常用本地UDP服務        79
4.4　啟動基本但必要的Internet服務        81
4.4.1　允許DNS（UDP/TCP端口53）        81
4.4.2　過濾AUTH用戶身份認證服務 （TCP端口113）        85
4.5　啟動常用TCP服務        86
4.5.1　E-mail（TCP SMTP端口25、 POP端口110、IMAP端口143）        86
4.5.2　Usenet新聞訪問服務（TCP NNTP端口119）        94
4.5.3　Telnet（TCP端口23）        95
4.5.4　SSH（TCP端口22）        97
4.5.5　FTP（TCP端口21和20）        98
4.5.6　Web服務        102
4.5.7　Whois（TCP端口43）        105
4.5.8　RealAudio、RealVideo及QuickTime（TCP端口554和7070）        105
4.6　啟動常用的UDP服務        107
4.6.1　traceroute（UDP端口33434）        107
4.6.2　訪問提供服務的ISP的DHCP 服務器（UDP端口67和68）        108
4.6.3　訪問遠程網(wǎng)絡時間服務器 （UDP端口123）        110
4.7　過濾ICMP控制和狀態(tài)信息        111
4.7.1　錯誤狀態(tài)和控制信息        111
4.7.2　ping反射請求（類型8）和反射 應答（類型0）控制信息        113
4.8　記錄被丟棄的入站數(shù)據(jù)包        114
4.9　記錄被丟棄的出站數(shù)據(jù)包        116
4.10　預先設定禁止訪問有問題的網(wǎng)站        116
4.11　安裝防火墻        116
4.12　小結        119
第二部分　高級議題、多個防火墻和網(wǎng)絡防護帶
第5章　防火墻的優(yōu)化        121
5.1　規(guī)則的組織        121
5.1.1　從阻止高位端口流量的規(guī)則開始        121
5.1.2　使用state模塊實現(xiàn)ESTABLISHED 和RELATED的匹配        121
5.1.3　考慮傳輸層協(xié)議        122
5.1.4　盡早為最常使用的服務設置防火墻規(guī)則        123
5.1.5　使用多端口模塊設定端口列表        123
5.1.6　利用網(wǎng)絡數(shù)據(jù)流來決定如何對多個網(wǎng)絡接口設置規(guī)則        123
5.2　用戶自定義規(guī)則鏈        124
5.3　防火墻的優(yōu)化示例        126
5.3.1　腳本中的用戶自定義規(guī)則鏈        126
5.3.2　防火墻初始化        127
5.3.3　安裝規(guī)則鏈        129
5.3.4　構建用戶自定義的EXT-input和 EXT-output規(guī)則鏈        131
5.3.5　tcp-state-flags        139
5.3.6　connection-tracking        140
5.3.7　local_dhcp_client_query和 remote_dhcp_server_response        140
5.3.8　source-address-check        141
5.3.9　destination-address-check        142
5.3.10　記錄被丟棄的數(shù)據(jù)包        142
5.4　優(yōu)化帶來的結果        144
5.5　小結        145
第6章　數(shù)據(jù)包的轉發(fā)        146
6.1　獨立防火墻的局限性        146
6.2　基本的網(wǎng)關防火墻設置        147
6.3　局域網(wǎng)安全相關問題        148
6.4　可信家庭局域網(wǎng)的配置選項        149
6.4.1　對網(wǎng)關防火墻的局域網(wǎng)訪問        150
6.4.2　對其他局域網(wǎng)的訪問：在多個 局域網(wǎng)間轉發(fā)本地網(wǎng)絡流        151
6.5　更高或更低可信度局域網(wǎng)的配置選項        152
6.5.1　劃分地址空間來創(chuàng)建多個網(wǎng)絡        153
6.5.2　通過主機、地址或端口范圍限制 內部訪問        154
6.6　屏蔽子網(wǎng)防火墻樣板        159
6.6.1　防火墻實例中的符號常量        159
6.6.2　在隔斷防火墻上設置環(huán)境        161
6.6.3　清空隔斷防火墻原有的安全規(guī)則        161
6.6.4　定義隔斷防火墻的默認策略        162
6.6.5　啟用隔斷防火墻的回環(huán)接口        162
6.6.6　秘密掃描和TCP狀態(tài)標志        163
6.6.7　使用連接狀態(tài)來繞過規(guī)則檢查        163
6.6.8　源地址欺騙和其他的惡意地址        164
6.6.9　過濾ICMP控制和狀態(tài)消息        165
6.6.10　啟用DNS（UDP/TCP端口53）        166
6.6.11　過濾AUTH用戶身份認證服務 （TCP端口113）        170
6.6.12　E-mail（TCP SMTP端口25、POP3 端口110、IMAP端口143）        170
6.6.13　Usenet新聞訪問服務（TCP NNTP 端口119）        172
6.6.14　Telnet（TCP端口23）        172
6.6.15　SSH（TCP端口22）        173
6.6.16　FTP（TCP端口21和20）        174
6.6.17　Web服務        176
6.6.18　隔斷防火墻主機作為本地DHCP 服務器（UDP端口67和68）        178
6.6.19　日志記錄        179
6.7　將網(wǎng)關從本地服務轉變?yōu)檗D發(fā)服務        179
6.8　小結        179
第7章　NAT—網(wǎng)絡地址轉換        181
7.1　NAT概念的背景        181
7.2　iptables NAT語義        184
7.2.1　源地址NAT        185
7.2.2　目的地址NAT        186
7.3　SNAT和專用局域網(wǎng)的例子        188
7.3.1　偽裝去往Internet的局域網(wǎng)數(shù)據(jù)流        188
7.3.2　對到Internet的局域網(wǎng)數(shù)據(jù)流 應用標準的NAT        189
7.4　DNAT、局域網(wǎng)和代理的例子        189
7.4.1　主機轉發(fā)        190
7.4.2　主機轉發(fā)和端口重定向        190
7.4.3　主機轉發(fā)到服務器群        191
7.4.4　主機轉發(fā)到使用專用地址的DMZ中的服務器        192
7.4.5　本地端口重定向—透明代理        193
7.5　小結        194
第8章　防火墻規(guī)則的檢錯        195
8.1　常用防火墻開發(fā)技巧        195
8.2　羅列防火墻規(guī)則        197
8.2.1　filter表的列表格式        197
8.2.2　nat表的列表格式        202
8.2.3　mangle表的列表格式        203
8.3　檢查輸入、輸出和轉發(fā)規(guī)則        205
8.3.1　檢查輸入規(guī)則        205
8.3.2　檢查輸出規(guī)則        206
8.3.3　檢查轉發(fā)規(guī)則        207
8.4　解釋系統(tǒng)日志        209
8.4.1　syslog配置        209
8.4.2　防火墻日志信息：如何理解它們        211
8.5　檢查開啟的端口        214
8.5.1　netstat -a [-n -p -A inet]        214
8.5.2　使用fuser檢查一個綁定在特定端口 的進程        216
8.6　小結        218
第三部分　超越iptables
第9章　入侵檢測和響應        219
9.1　入侵檢測        219
9.2　系統(tǒng)可能遭受入侵的癥狀        220
9.2.1　體現(xiàn)在系統(tǒng)日志中的跡象        220
9.2.2　體現(xiàn)在系統(tǒng)配置中的跡象        221
9.2.3　體現(xiàn)在文件系統(tǒng)中的跡象        221
9.2.4　體現(xiàn)在用戶賬號中的跡象        222
9.2.5　體現(xiàn)在安全審計工具中的跡象        222
9.2.6　體現(xiàn)在系統(tǒng)性能方面的跡象        222
9.3　系統(tǒng)受損后應采取的措施        223
9.4　事件報告        224
9.4.1　為什么要報告事件        224
9.4.2　報告哪些類型的事件        225
9.4.3　向誰報告事件        226
9.4.4　報告時應提供哪些信息        227
9.4.5　去哪兒獲取更多的信息        228
9.5　小結        228
第10章　入侵檢測工具        229
10.1　入侵檢測工具包：網(wǎng)絡工具        229
10.1.1　交換機和集線器以及為什么重要        230
10.1.2　嗅探器（sniffer）的布署        231
10.1.3　ARPWatch        231
10.2　Rootkit檢測器        231
10.2.1　運行Chkrootkit        231
10.2.2　當Chkrootkit報告計算機已被 感染時如何處理        233
10.2.3　Chkrootkit及同類工具的局限性        233
10.2.4　安全地使用Chkrootkit        234
10.2.5　什么時候需要運行Chkrootkit        235
10.3　文件系統(tǒng)的完整性        235
10.4　日志監(jiān)控        235
10.5　如何防止入侵        237
10.5.1　勤安防        237
10.5.2　勤更新        238
10.5.3　勤測試        238
10.6　小結        240
第11章　網(wǎng)絡監(jiān)控和攻擊檢測        241
11.1　監(jiān)聽以太網(wǎng)        241
11.2　TCPDump：簡單介紹        243
11.2.1　獲取和安裝TCPDump        243
11.2.2　TCPDump選項        244
11.2.3　TCPDump表達式        246
11.2.4　TCPDump高級功能        248
11.3　使用TCPDump捕捉特定的協(xié)議        248
11.3.1　在現(xiàn)實中使用TCPDump        249
11.3.2　通過TCPDump來檢測攻擊        255
11.3.3　使用TCPDump記錄流量        259
11.4　使用snort自動檢測入侵        261
11.4.1　獲取和安裝Snort        261
11.4.2　配置Snort        263
11.4.3　測試Snort        264
11.4.4　接受警報        265
11.4.5　關于Snort的最后思考        265
11.5　使用ARPWatch進行監(jiān)視        265
11.6　小結        267
第12章　文件系統(tǒng)的完整性        268
12.1　定義文件系統(tǒng)完整性        268
12.2　安裝AIDE        269
12.3　配置AIDE        269
12.3.1　創(chuàng)建AIDE配置文件        270
12.3.2　一個簡單的AIDE配置文件示例        271
12.3.3　初始化AIDE數(shù)據(jù)庫        272
12.3.4　AIDE調度及自動運行        272
12.4　監(jiān)視AIDE        273
12.5　清除AIDE數(shù)據(jù)庫        274
12.6　改變AIDE報告的輸出信息        275
12.7　在AIDE中定義宏        277
12.8　AIDE的監(jiān)測類型        278
12.9　小結        280
第13章　內核的強化        281
13.1　經(jīng)過安全強化的Linux        281
13.2　使用GrSecurity增強安全性        282
13.3　內核快速瀏覽        282
13.3.1　怎么稱呼        283
13.3.2　你的號碼是什么        283
13.3.3　內核：從20 000英尺的高度 往下看        283
13.4　要不要打補丁        284
13.5　使用GrSecurity內核        285
13.5.1　下載Grsec以及一個全新的內核        285
13.5.2　編譯第一個內核        285
13.5.3　改進內核的構造        292
13.6　GrSecurity        293
13.6.1　使用Grsec的補丁        293
13.6.2　選擇Grsec中的功能        293
13.6.3　構造Grsec內核        295
13.6.4　超越GrSecurity的基本功能        296
13.7　結論：專用內核        297
附      錄
附錄A　安全資源        299
附錄B　防火墻示例與支持腳本        301
附錄C　虛擬專用網(wǎng)        341
附錄D　術語表        348