Linux 防火牆, 4/e (Linux Firewalls: Enhancing Security with nftables and Beyond, 4/e)

史蒂夫·蘇哈林 (Steve Suehring)

買這商品的人也買了...

商品描述

<內容簡介>

《Linux防火牆(第4版)》是構建Linux防火牆的傑出指南,包括如何使用Linux iptables/nftables來實現防火牆安全的主題。本書共分三大部分。第1部分為數據包過濾以及基本的安全措施,其內容有:數據包過濾防火牆的預備知識、數據包過濾防火牆概念、傳統的Linux防火牆管理程序iptables、新的Linux防火牆管理程序nftables、構建和安裝獨立的防火牆。第2部分為Linux防火牆的高級主題、多個防火牆和網絡防護帶,其內容有:防火牆的優化、數據包轉發、NAT、調試防火牆規則、虛擬專用網絡。第3部分則講解了iptables和nftables之外的主題,包括入侵檢測和響應、入侵檢測工具、網絡監控和攻擊檢測、文件系統完整性等內容。
《Linux防火牆(第4版)》適合Linux系統管理員、網絡安全專業技術人員閱讀。

<章節目錄>

第1部分數據包過濾以及基本安全措施1
第1章數據包過濾防火牆的預備知識3
1.1 OSI網絡模型5
1.1.1面向連接和無連接的協議6
1.1.2下一步7
1.2 IP協議7
1.2. 1 IP編址和子網劃分7
1.2.2 IP分片10
1.2.3廣播與組播10
1.2.4 ICMP 11
1.3傳輸層機制13
1.3.1 UDP 13
1.3.2 TCP 14
1.4地址解析協議(ARP) 16
1.5主機名和IP地址16
1.6路由:將數據包從這里傳輸到那裡17
1.7服務埠:通向您系統中程序的大門17
1.8小結22
第2章數據包過濾防火牆概念23
2.1一個數據包過濾防火牆24
2.2選擇一個默認的數據包過濾策略26
2.3對一個數據包的駁回(Rejecting)VS拒絕(Denying) 28
2.4過濾傳入的數據包28
2.4.1遠程源地址過濾28
2.4.2本地目的地址過濾31
2.4.3遠程源埠過濾31
2.4.4本地目的埠過濾32
2.4.5傳入TCP的連接狀態過濾32
2.4.6探測和掃描32
2.4.7拒絕服務攻擊36
2.4.8源路由數據包42
2.5過濾傳出數據包42
2.5.1本地源地址過濾42
2.5.2遠程目的地址過濾43
2.5.3本地源埠過濾43
2.5.4遠程目的埠過濾44
2.5.5傳出TCP連接狀態過濾44
2.6私有網絡服務VS公有網絡服務44
2.6.1保護不安全的本地服務45
2.6.2選擇運行的服務45
2.7小結46
第3章iptables:傳統的Linux防火牆管理程序47
3.1 IP防火牆(IPFW)和Netfilter防火牆機制的不同47
3.1.1 IPFW數據包傳輸48
3.1.2 Netfilter數據包傳輸49
3.2 iptables基本語法50
3.3 iptables特性51
3.3.1 NAT表特性53
3.3.2 mangle表特性55
3.4 iptables語法55
3.4.1 filter表命令57
3.4.2 filter表目標擴展60
3.4.3 filter表匹配擴展62
3.4.4 nat表目標擴展71
3.4.5 mangle表命令73
3.5小結74
第4章nftables:(新)Linux防火牆管理程序75
4.1 iptables和nftables的差別75
4.2 nftables基本語法75
4.3 nftables特性75
4.4 nftables語法76
4.4.1表語法77
4.4.2規則鏈語法78
4.4.3規則語法78
4.4.4 nftables的基礎操作82
4.4. 5 nftables文件語法83
4.5小結83
第5章構建和安裝獨立的防火牆85
5.1 Linux防火牆管理程序86
5.1.1定製與購買:Linux內核87
5.1.2源地址和目的地址的選項88
5.2初始化防火牆89
5.2 .1符號常量在防火牆示例中的使用90
5.2.2啟用內核對監控的支持90
5.2.3移除所有預先存在的規則92
5.2.4重置默認策略及停止防火牆93
5.2.5啟用回環接口94
5.2.6定義默認策略95
5.2.7利用連接狀態繞過規則檢測96
5.2.8源地址欺騙及其他不合法地址97
5.3保護被分配在非特權埠上的服務101
5.3.1分配在非特權埠上的常用本地TCP服務102
5.3.2分配在非特權埠上的常用本地UDP服務104
5.4啟用基本的、必需的因特網服務106
5.5啟用常用TCP服務111
5.5.1 Email(TCPSMTP埠25,POP埠110 ,IMAP埠143) 111
5.5.2 SSH(TCP埠22) 117
5.5.3 FTP(TCP埠20、21) 118
5.5.4通用的TCP服務121
5.6啟用常用UDP服務122
5.6.1訪問您ISP的DHCP服務器(UDP埠67、68) 122
5.6.2訪問遠程網絡時間服務器(UDP埠123) 124
5.7記錄被丟棄的傳入數據包125
5.8記錄被丟棄的傳出數據包126
5.9安裝防火牆126
5.9.1調試防火牆腳本的小竅門127
5.9.2在啟動RedHat和SUSE時啟動防火牆128
5.9.3在啟動Debian時啟動防火牆128
5.9.4安裝使用動態IP地址的防火牆128
5.10小結129
第2部分高級議題、多個防火牆和網絡防護帶131
第6章防火牆的優化133
6.1規則組織133
6.1.1從阻止高位埠流量的規則開始133
6.1.2使用狀態模塊進行ESTABLISHED和RELATED匹配134
6.1.3考慮傳輸層協議134
6.1.4儘早為常用的服務設置防火牆規則135
6.1.5使用網絡數據流來決定在哪裡為多個網絡接口設置規則135
6.2用戶自定義規則鏈136
6.3優化的示例139
6.3.1優化的iptables腳本139
6.3.2防火牆初始化140
6.3.3安裝規則鏈142
6.3.4構建用戶自定義的EXT—input和EXT—output規則鏈144
6.3.5 tcp—state—flags 152
6.3.6 connection—tracking 153
6.3. 7 local—dhcp—client—query和remote—dhcp—server—response 153
6.3.8 source—address—check 155
6.3.9 destination—address—check 155
6.3.10在iptables中記錄丟棄的數據包156
6.3.11優化的nftables腳本157
6.3.12防火牆初始化158
6.3.13構建規則文件159
6.3.14在nftables中記錄丟棄的數據包163
6.4優化帶來了什麼163
6.4.1 iptables的優化163
6.4.2 nftables的優化164
6.5小結164
第7章數據包轉發165
7.1獨立防火牆的局限性165
7.2基本的網關防火牆的設置166
7.3局域網安全問題168
7.4可信家庭局域網的配置選項169
7.4.1對網關防火牆的局域網訪問170
7.4.2對其他局域網的訪問:在多個局域網間轉發本地流量171
7.5較大型或不可信局域網的配置選項173
7.5.1劃分地址空間來創建多個網絡173
7.5.2通過主機、地址或埠範圍限制內部訪問175
7.6小結180
第8章網絡地址轉換181
8.1 NAT的概念背景181
8.2 iptables和nftables中的NAT語義184
8.2.1源地址NAT 186
8.2.2目的地址NAT 187
8.3 SNAT和私有局域網的例子189
8.3.1偽裝發往因特網的局域網流量189
8.3.2對發往因特網的局域網流量應用標準的NAT 190
8.4 DNAT、局域網和代理的例子191
8.5小結192
……
第9章調試防火牆規則193
第10章虛擬專用網絡209
第3部分iptables和nftables之外的事215
第11章入侵檢測和響應217
第12章入侵檢測工具227
第13章網絡監控和攻擊檢測239
第14章文件系統完整性269
第4部分附錄285
附錄A安全資源287
附錄B防火牆示例與支持腳本289
附錄C詞彙表325
附錄D GNU自由文檔許可證335