內容介紹
《Linux網路安全技術與實現(第2版)》是一本將理論與實踐完美結合的書。從網路的基本概念開始,採用由淺入深的方式,逐步引導讀者進入網路安全的世界,讓讀者從無到有地快速理解,以幫助願意邁入網路安全領域的IT技術人員,完整、正確地構建企業網路的安全螢幕障。作品目錄
第 1 章 防火牆的基本概念1.1 TCP/IP的基本概念
1.1.1 套用層
1.1.2 傳輸層
1.1.3 網路層
1.1.4 鏈路層
1.2 數據包傳輸
1.3 TCP、UDP及Socket的關係
1.4 何謂防火牆
1.5 防火牆的判斷依據
1.5.1 各層數據包包頭內的信息
1.5.2 數據包所承載的數據內容
1.5.3 連線狀態
1.6 防火牆的分類
1.6.1 數據包過濾防火牆
1.6.2 套用層防火牆
1.7 常見的防火牆結構
1.7.1 單機防火牆
1.7.2 網關式防火牆
1.7.3 透明防火牆
1.8 小結
第 2 章 Netfilter/iptables
2.1 何謂核心
2.2 何謂Netfilter
2.3 Netfilter與Linux的關係
2.4 Netfilter工作的位置
2.5 Netfilter的命令結構
2.6 Netfilter的filter機制
2.7 規則的匹配方式
2.8 Netfilter與iptables的關係
2.9 iptables工具的使用方法
2.9.1 iptables命令參數
2.9.2 iptables規則語法
2.9.3 學以致用:iptables的規則語法
2.10 使用iptables機制來構建簡單的單機防火牆
2.10.1 如何測試防火牆規則正確與否
2.10.2 解決無法在防火牆主機上對外建立連線的問題
2.10.3 管理防火牆規則資料庫的辦法
2.11 使用filter機制來構建網關式防火牆
2.12 Netfilter的NAT機制
2.12.1 IP網段的劃分
2.12.2 私有IP
2.12.3 NAT
2.12.4 數據包傳輸方向與SNAT及DNAT的關係
2.12.5 NAT的分類
2.12.6 NAT並非無所不能
2.13 Netfilter的Mangle機制
2.14 Netfilter的raw機制
2.15 小結
第 3 章 Netfilter的匹配方式及處理方法
3.1 匹配方式
3.1.1 內置的匹配方式
3.1.2 從模組擴展而來的匹配方式
3.2 處理方法
3.2.1 內置的處理方法
3.2.2 由模組擴展的處理方法
3.3 小結
第 4 章 Netfilter/Iptables的高級技巧
4.1 防火牆性能的最最佳化
4.1.1 調整防火牆規則順序
4.1.2 巧妙使用multiport及iprange模組
4.1.3 巧妙使用用戶定義的鏈
4.2 Netfilter連線處理能力與記憶體消耗
4.2.1 計算最大連線數
4.2.2 調整連線跟蹤數
4.2.3 連線跟蹤數量與記憶體消耗
4.3 使用raw 表
4.4 簡單及複雜通信協定的處理
4.4.1 簡單通信協定
4.4.2 複雜通信協定
4.4.3 ICMP數據包的處理原則
4.4.4 在DMZ上使用NAT將面臨的問題及解決方案
4.4.5 常見的網路攻擊手段及防禦方法
4.5 小結
第 5 章 代理伺服器的套用
5.1 何謂代理伺服器
5.2 代理伺服器支持的通信協定
5.3 代理伺服器的分類
5.3.1 何謂快取代理
5.3.2 何謂反向代理
5.4 代理伺服器的硬體要求
5.5 安裝Squid代理
5.6 使用Squid構建快取代理
5.6.1 快取代理的基本配置
5.6.2 快取代理客戶端的配置
5.6.3 快取代理的高級配置
5.6.4 快取代理連線訪問控制
5.6.5 快取對象的管理
5.6.6 Squid代理的工作日誌
5.6.7 Squid代理的名稱解析
5.7 透明代理
5.7.1 透明代理的工作原理
5.7.2 透明代理的配置
5.8 反向代理
5.8.1 Web 伺服器的分類
5.8.2 構建反向代理
5.9 小結
第 6 章 使用Netfilter/Iptables保護企業網路
6.1 防火牆結構的選擇
6.2 防火牆本機的安全
6.2.1 網路攻擊
6.2.2 系統入侵
6.2.3 入站/出站的考慮事項
6.2.4 遠程管理的安全考慮事項
6.3 防火牆的規則定義
6.3.1 企業內部與網際網路
6.3.2 DMZ與網際網路
6.3.3 企業內部與DMZ
6.4 入侵與防禦的其他注意事項
6.4.1 更新系統軟體
6.4.2 Syn Flooding攻擊防禦
6.4.3 IP欺騙防禦
6.5 小結
第 7 章 Linux核心編譯
7.1 為何需要重新編譯核心
7.2 核心編譯
7.2.1 安裝軟體開發環境
7.2.2 獲取核心原始碼
7.2.3 整合原始碼
7.2.4 設定編譯完成後的核心版本號
7.2.5 清理核心原始碼以外的臨時檔案
7.2.6 設定核心編譯參數
7.2.7 執行編譯操作
7.2.8 安裝模組及結構中心
7.2.9 修改開機管理程式
7.3 如何安裝核心補丁
7.3.1 下載補丁檔案及核心原始碼
7.3.2 準備核心及補丁的原始碼
7.3.3 運行核心補丁
7.3.4 設定核心編譯參數
7.3.5 核心編譯完畢後的檢查
7.4 小結
第 8 章 套用層防火牆
8.1 如何為iptables安裝補丁
8.2 Layer7模組識別套用層協定的原理
8.3 安裝Layer7模組的模式
8.4 如何使用Layer7模組
8.5 Layer7模組使用示例說明
8.6 結合使用包過濾器與Layer7模組
8.7 小結
第 9 章 透明式防火牆
9.1 何謂橋接模式
9.2 何謂透明式防火牆
9.3 構建透明式防火牆
9.3.1 使用Linux構建網橋
9.3.2 Netfilter在Layer3及Layer2的工作邏輯
9.3.3 另一種透明式防火牆
9.3.4 配置代理ARP
9.4 小結
第 10 章 基於策略的路由及多路頻寬合併
10.1 何謂基於策略的路由
10.2 了解Linux的路由機制
10.3 路由策略資料庫與路由表的管理
10.3.1 管理策略資料庫
10.3.2 管理路由表
10.4 頻寬合併
10.4.1 何謂頻寬合併
10.4.2 企業內的頻寬合併
10.5 小結
第 11 章 Linux的頻寬管理
11.1 佇列
11.1.1 不可分類的佇列算法
11.1.2 可分類的佇列算法
11.2 Linux頻寬管理
11.3 過濾器
11.3.1 FW過濾器
11.3.2 U32過濾器
11.4 頻寬管理部署示例
11.4.1 頻寬劃分
11.4.2 設定佇列算法
11.4.3 設定佇列規則
11.4.4 設定過濾器
11.4.5 測試
11.5 頻寬借用
11.6 類別中的佇列
11.7 Linux頻寬管理的限制
11.8 網橋模式中的頻寬管理
11.9 多接口的頻寬管理
11.9.1 為核心及iptables安裝補丁
11.9.2 多接口頻寬管理
11.10 實際案例
11.11 小結
第 12 章 流量統計
12.1 安裝及測試SNMP伺服器
12.1.1 安裝SNMP伺服器
12.1.2 測試SNMP伺服器
12.2 安裝及設定MRTG
12.2.1 安裝MRTG
12.2.2 設定MRTG
12.2.3 使用cfgmaker工具編寫MRTG針對網卡的配置檔案
12.3 另一種網路流量監測方式
12.3.1 結合使用Netfilter/Iptables和MRTG來監測網路流量
12.3.2 手動編寫MRTG的配置檔案
12.4 外部程式及MRTG配置檔案的示例
12.5 小結
第 13 章 弱點掃描、入侵檢測及主動防禦系統
13.1 何謂弱點掃描
13.1.1 OpenVAS弱點掃描工具
13.1.2 OpenVAS弱點掃描工具的工作架構
13.1.3 下載及安裝OpenVAS弱點掃描工具
13.1.4 進行弱點掃描
13.2 入侵檢測系統
13.2.1 網路設備的限制
13.2.2 入侵檢測系統的分類
13.2.3 入侵檢測系統的部署
13.2.4 Snort入侵檢測系統介紹
13.2.5 下載及安裝Snort入侵檢測系統
13.2.6 下載及安裝Snort的規則資料庫
13.2.7 配置Snort
13.2.8 Snort的啟停
13.2.9 Snort的警告
13.3 主動防禦系統
13.3.1 下載Guardian
13.3.2 安裝Guardian
13.3.3 設定Guardian
13.3.4 Guardian的啟停
13.4 小結
第 14 章 VPN基礎篇
14.1 何謂VPN
14.1.1 VPN的原理
14.1.2 常見的VPN架構
14.1.3 VPN的安全問題
14.1.4 VPN機制的優缺點
14.2 數據加解密
14.2.1 何謂“明文”
14.2.2 何謂“密文”
14.3 數據加密類型
14.3.1 對稱加密
14.3.2 非對稱加密
14.4 哈希算法
14.4.1 常見的哈希算法
14.4.2 哈希算法的特性
14.5 基於IPSec的VPN
14.5.1 IPSec的工作模式
14.5.2 IPSec的組成要素
14.5.3 AH及ESP協定運行時需要設定的參數
14.5.4 安裝IPSec參數的管理工具
14.5.5 配置傳輸模式IPSec VPN
14.6 Linux中的IPSec架構
14.6.1 IPSec機制的SPD
14.6.2 IPSec機制的SAD
14.7 小結
第 15 章 VPN實戰篇
15.1 IKE
15.2 Preshared Keys驗證模式下的傳輸模式VPN
15.2.1 資料庫伺服器的設定
15.2.2 客戶端主機的設定
15.2.3 啟動VPN
15.3 Preshared Keys驗證模式下的隧道模式VPN
15.3.1 VPN 伺服器(A)主機上的設定
15.3.2 VPN 伺服器(B)主機上的設定
15.4 何謂數字證書
15.4.1 數字證書的必要性
15.4.2 證書管理中心
15.4.3 將Linux系統作為企業的CA
15.5 數字證書驗證模式下的傳輸模式VPN
15.5.1 證書的生成及保存
15.5.2 客戶端VPN主機的設定
15.6 數字證書驗證模式下的隧道模式VPN
15.6.1 證書的生成及保存
15.6.2 設定VPN 伺服器(A)
15.6.3 設定VPN 伺服器(B)
15.6.4 啟動IPSec
15.7 小結
第 16 章 VPN:L2TP Over IPSec
16.1 何謂PPP
16.2 何謂L2TP協定
16.2.1 L2TP協定的原理
16.2.2 L2TP協定的安全問題
16.2.3 L2TP協定安全問題的解決方案
16.2.4 Client to Site的L2TP VPN結構探討
16.2.5 L2TP 客戶端及伺服器之間網段的選擇
16.2.6 Proxy ARP的工作原理
16.3 構建L2TP VPN
16.3.1 配置L2TP伺服器
16.3.2 配置PPP伺服器
16.3.3 建立VPN的撥號帳戶
16.3.4 證書的生成及保存
16.3.5 配置安全策略
16.3.6 IKE配置檔案
16.3.7 啟動L2TP伺服器
16.4 配置L2TP客戶端
16.4.1 生成L2TP客戶端證書
16.4.2 將證書導入Windows XP/7系統前的準備工作
16.4.3 設定Windows XP系統上的L2TP客戶端
16.4.4 設定Windows 7系統中的L2TP客戶端
16.5 IPSec連線穿透NAT的問題
16.6 小結