Linux防火墙（原书第3版）何泾沙等译 PDF下载

本书详细介绍Linux操作系统中构建防火墙的方法，以及入侵检测和系统安全的技术。主要内容包括：防火墙的基础知识，Linux防火墙管理程序iptable，构建防火墙的方法，防火墙的优化，数据包的转发，网络监控和攻击检测，内核强化等。本书独立于Linux某个发行版本，涉及常驻于Linux内核的Netfilter核心软件。可帮助读者掌握Linux系统与网络安全技术。

本书条理清晰，图示丰富，可供各类计算机专业技术人员参考。

译者序
前言
第一部分 数据包过滤及基本安全措施
第1章 防火墙的基本概念
1．1 OSI网络参考模型
1．1．1 面向无连接协议和面向连接协议
1．1．2 下一步
1．2 IP协议
1．2．1 IP地址分类和子网划分
1．2．2 IP分段
1．2．3 广播和多播
1．2．4 ICMP协议
1．3 传输机制
1．3．1 UDP
1．3．2 TCP
1．4 不要忘记ARP协议
1．5 主机名称和IP地址
1．6 路由：数据包的传送
1．7 服务端口：通向系统程序的大门
1．8 小结
第2章 数据包过滤的概念
2．1 一个数据包过滤防火墙
2．2 选择一个默认的数据包过滤策略
2．3 拒绝与禁止一个数据包
2．4 过滤入站数据包
2．4．1 对远程源地址进行过滤
2．4．2 对本地目的地址进行过滤
2．4．3 对远程源端口进行过滤
2．4．4 对本地目的端口进行过滤
2．4．5 对入站数据包的TCP连接状态进行过滤
2．4．6 刺探和扫描
2．4．7 拒绝服务攻击
2．4．8 源路由数据包
2．5 过滤出站数据包
2．5．1 对本地源地址进行过滤
2．5．2 对远程目的地址进行过滤
2．5．3 对本地源端口进行过滤
2．5．4 对远程目的端口进行过滤
2．5．5 对出站数据包的TCP连接状态进行过滤
2．6 专用网络和公共网络服务
2．6．1 保护不安全的本地服务
2．6．2 选择服务进行运行
2．7 小结
第3章 iptables：Linux防火墙管理程序
3．1 IP防火墙(IPFW)和网络过滤器防火墙机制的区别
3．1．1 IPFW数据包传输
3．1．2 Netfilter数据包传输
3．2 iptables的基本语法
3．3 iptables的特点
3．3．1 NAT表的特点
3．3．2 mangle表的特点
3．4 iptables的语法规则
3．4．1 filter表命令
3．4．2 filter表目标扩展
3．4．3 filter表匹配扩展
3．4．4 NAT表目标扩展
3．4．5 mangle表命令
3．5 小结
第4章 构建和安装一个独立的防火墙
4．1 iptables：Linux防火墙管理程序
4．1．1 定制或购买：Linux内核
4．1．2 源及目的寻址的选项
4．2 防火墙的初始化
4．2．1 防火墙示例中使用的符号常量
4．2．2 启动内核对监控的支持
4．2．3 删除预先存在的规则
4．2．4 重置默认策略及停止防火墙
4．2．5 启动回环接口
4．2．6 定义默认策略
4．2．7 秘密扫描及‘TCP状态标记
4．2．8 利用连接状态绕过规则检测
4．2．9 源地址欺骗及其他不合法地址
4．3 保护被分配在非特权端口上运行的服务
4．3．1 被分配在非特权端口上运行的常用本地TCP服务
4．3．2 被分配在非特权端口上运行的常用本地UDP服务
4．4 启动基本但必要的Internet服务
4．4．1 允许DNS(UDP／TCP端口53)
4．4．2 过滤AUTH用户身份认证服务(TCP端口113)
4．5 启动常用TCP服务
4．5．1 E—mail(TCPSMTP端口25、POP端口llO、IMAP端口143)
4．5．2 Usenet新闻访问服务(TCPNNTP端口119)
4．5．3 Telnet(TCP端口23)
4．5．4 SSH(17CP端口22)
4．5．5 FTP(TCP端口21和20)
4．5．6 Web服务
4．5．7 Whois(TCP端口43)
4．5．8 RealAudio、Real’Video及Quick'rime(TCP端口554和7070)
4．6 启动常用的UDP服务
4．6．1 traceroute(UDP端口33434)
4．6．2 访问提供服务的ISP的DHCP服务器(UDP端口67和68)
4．6．3 访问远程网络时间服务器(UDP端口123)
4．7 过滤ICMP控制和状态信息
4．7．1 错误状态和控制信息
4．7．2 ping反射请求(类型8)和反射应答(类型0)控制信息
4．8 记录被丢弃的入站数据包
4．9 记录被丢弃的出站数据包
4．10 预先设定禁止访问有问题的网站
4．11 安装防火墙
4．12 小结
第二部分 高级议题、多个防火墙和网络防护带
第5章 防火墙的优化
5．1 规则的组织
5．1．1 从阻止高位端口流量的规则开始
5．1．2 使用state模块实现ESTABLISHED和RELATED的匹配
5．1．3 考虑传输层协议
5．1．4 尽早为最常使用的服务设置防火墙规则
5．1．5 使用多端口模块设定端口列表
5．1．6 利用网络数据流来决定如何对多个网络接口设置规则
5．2 用户自定义规则链
5．3 防火墙的优化示例
5．3．1 脚本中的用户自定义规则链
5．3．2 防火墙初始化
5．3．3 安装规则链
5．3．4 构建用户自定义的IEXT-input和EXT-output规则链
5．3．5 tcp-state-flags
5．3．6 connection-tracking
5．3．7 localdhcp-client-query和remote-dhcp-serveF-response
5．3．8 source-addresstcheck
5．3．9 destination-address-check
5．3．10 记录被丢弃的数据包
5．4 优化带来的结果
5．5 小结
第6章 数据包的转发
6．1 独立防火墙的局限性
6．2 基本的网关防火墙设置
6．3 局域网安全相关问题
6．4 可信家庭局域网的配置选项
6．4．1 对网关防火墙的局域网访问
6．4．2 对其他局域网的访问：在多个局域网间转发本地网络流
6．5 更高或更低可信度局域网的配置选项
6．5．1 划分地址空间来创建多个网络
6．5．2 通过主机、地址或端口范围限制内部访问
6．6 屏蔽子网防火墙样板
6．6．1 防火墙实例中的符号常量
6．6．2 在隔断防火墙上设置环境
6．6．3 清空隔断防火墙原有的安全规则
6．6．4 定义隔断防火墙的默认策略
6．6．5 启用隔断防火墙的回环接口
6．6．6 秘密扫描和TCP状态标志
6．6．7 使用连接状态来绕过规则检查
6．6．8 源地址欺骗和其他的恶意地址
6．6．9 过滤ICMP控制和状态消息
6．6．10 启用DNS(UDP／TCP端H53)
6．6．11 过滤AUTH用户身份认证服务(17CP端口113)
6．6．12 E-mail(TCPSMTP端口25、POP3端口110、IMAP端口143)
6．6．13 Usenet新闻访问服务(TCPNNTP端口119)
6．6．14 Telnet(17CP端1123)
6．6．15 SSH(TCP端口22t)
6．6．16 FTP(TCP端口21和20)
6．6．17 Web服务
6．6．18 隔断防火墙主机作为本地DHCP服务器(UDP端口67和68)
6．6．19 日志记录
6．7 将网关从本地服务转变为转发服务
6．8 小结
第7章 NAT——网络地址转换
7．1 NAT概念的背景
7．2 iptablesNAT语义
7．2．1 源地址NAT
7．2．2 目的地址NAT
7．3 SNAT和专用局域网的例子
7．3．1 伪装去往Internet的局域网数据流
7．3．2 对到Internet的局域网数据流应用标准的NAT
7．4 DNAT、局域网和代理的例子
7．4．1 主机转发
7．4．2 主机转发和端口重定向
7．4．3 主机转发到服务器群
7．4．4 主机转发到使用专用地址的DMZ中的服务器
7．4．5 本地端口重定向——透明代理
7．5 小结
第8章 防火墙规则的检错
8．1 常用防火墙开发技巧
8．2 罗列防火墙规则
8．2．1 filter表的列表格式
8．2．2 nat表的列表格式
8．2．3 mangle表的列表格式
8．3 检查输入、输出和转发规则
8．3．1 检查输入规则
8．3．2 检查输出规则
8．3．3 检查转发规则
8．4 解释系统日志
8．4．1 syslog配置
8．4．2 防火墙日志信息：如何理解它们
8．5 检查开启的端口
8．5．1 netstat-a[-n-p-Ainet]
8．5．2 使用fuser检查一个绑定在特定端口的进程
8．6 小结
第三部分 超越iptables
第9章 入侵检测和响应
9．1 入侵检测
9．2 系统可能遭受入侵的症状
9．2．1 体现在系统日志中的迹象
9．2．2 体现在系统配置中的迹象
9．2．3 体现在文件系统中的迹象
9．2．4 体现在用户账号中的迹象
9．2．5 体现在安全审计工具中的迹象
9．2．6 体现在系统性能方面的迹象
9．3 系统受损后应采取的措施
9．4 事件报告
9．4．1 为什么要报告事件
9．4．2 报告哪些类型的事件
9．4．3 向谁报告事件
9．4．4 报告时应提供哪些信息
9．4．5 去哪儿获取更多的信息
9．5 小结
第10章 入侵检测工具
10．1 入侵检测工具包：网络工具
10．1．1 交换机和集线器以及为什么重要
10．1．2 嗅探器(sniffer)的布署
10．1．3 ARPWatch
10．2 Rootkit检测器
10．2．1 运行Chkrootkit
10．2．2 当Chkrootkit报告计算机已被感染时如何处理
10．2．3 Chkrootkit及同类工具的局限性
10．2．4 安全地使用Chkrootkit
10．2．5 什么时候需要运行Chkrootkit
10．3 文件系统的完整性
10．4 日志监控
10．5 如何防止入侵
10．5．1 勤安防
10．5．2 勤更新
10．5．3 勤测试
10．6 小结
第11章 网络监控和攻击检测
11．1 监听以太网
11．2 TCPDump：简单介绍
11．2．1 获取和安装TCPDump
11．2．2 TCPDump选项
11．2．3 TCPDump表达式
11．2．4 TCPDump高级功能
11．3 使用TCPDump捕捉特定的协议
11．3．1 在现实中使用TCPDump
11．3．2 通过TCPDump来检测攻击
11．3．3 使用TCPDump记录流量
11．4 使用snort自动检测入侵
11．4．1 获取和安装Snort
11．4．2 配置Snort
11．4．3 测试Snort
11．4．4 接受警报
11．4．5 关于Snort的最后思考
11．5 使用ARPWatch进行监视
11．6 小结
笫12章 文件系统的完整性
12．1 定义文件系统完整性
12．2 安装AIDE
12．3 配置AIDE
12．3．1 创建AIDE配置文件
12．3．2 一个简单的．AIDE配置文件示例
12．3．3 初始化AIDE数据库
12．3．4 AIDE调度及自动运行
12．4 监视AIDE
12．5 清除AIDE数据库
12．6 改变AIDE报告的输出信息
12．7 在AIDE中定义宏
12．8 AIDE的监测类型
12．9 小结
第13章 内核的强化
13．1 经过安全强化的Linux
13．2 使用GrSecurity增强安全性
13．3 内核快速浏览
13．3．1 怎么称呼
13．3．2 你的号码是什么
13．3．3 内核：从20000英尺的高度往下看
13．4 要不要打补丁
13．5 使用GrSecurity内核
13．5．1 下载Grsec以及一个全新的内核
13．5．2 编译第一个内核
13．5．3 改进内核的构造
13．6 GrSecurity
13．6．1 使用Grsec的补丁
13．6．2 选择Grsec中的功能
13．6．3 构造Grsec内核
13．6．4 超越GrSecurity的基本功能
13．7 结论：专用内核
附录
附录A 安全资源
附录B 防火墙示例与支持脚本
附录C 虚拟专用网
附录D 术语表