具体描述
作者简介
目录信息
译者序
前言
第1章 理解TCP/IP
1.1TCP/IP的历史
1.2 探索地址、子网和主机名
1.2.1地址类
1.2.2 子网
1.2.3无类的地址和CIDR
1.2.4 主机名
1.3操作网络接口
1.4 网络配置文件
1.4.1/etc/hosts文件
1.4.2/etc/ethers文件
1.4.3/etc/networks文件
1.4.4 etc/protocols文件
1.4.5etc/services文件
1.4.6/etc/inetd.conf文件
1.5理解网络访问文件
1.5.1/etc/hosts.equiv文件
1.5.2.rhosts文件
1.5.3用户和主机等价
1.6 检查TCP/IP守护程序
1.6.1slink守护程序
1.6.2ldsocket守护程序
1.6.3cpd守护程序
1.6.4 行式打印机守护程序(1pd)
1.6.5SNMP守护程序(snmpd)
1.6.6RARP守护程序(rarpd)
1.6.7BOOTP守护程序(bootpd)
1.6.8route守护程序(routed)
1.6.9 域名服务器(named)
1.6.10 系统记录器(syslogd)
1.6.11 inetd――超级服务器
1.6.12 RWHO守护程序(rwhod)
1.7探索TCP/IP实用程序
1.7.1管理命令
1.7.2用户命令
1.8 本章小结
第2章 安全
2.1安全级别
2.1.1D1级
2.1.2C1级
2.1.3C2级
2.1.4B1级
2.1.5B2级
2.1.6B3级
2.1.7A级
2.2加拿大安全
2.2.1EAL-1
2.2.2EAL-2
2.2.3EAL-3
2.2.4 EAL-4
2.2.5EAL-5
2.2.6EAL-6
2.2.7EAL-7
2.3局部安全问题
2.3.1安全策略
2.3.2口令文件
2.3.3影像口令文件
2.3.4拨号口令文件
2.3.5组文件
2.4口令生命期和控制
2.5破坏者和口令
2.6C2安全性和可信任计算基础
2.7理解网络等价
2.7.1主机等价
2.7.2用户等价
2.8定义用户和组
2.9理解许可权限
2.9.1检查标准的许可权限
2.9.2r0ot和NFS
2.10 探索数据加密方法
2.10.1如何对口令加密
2.10.2对文件加密
2.11 检查Kerberos身份验证
2.11.1 理解Kerberos
2.11.2Kerberos的缺点
2.12理解IP电子欺骗
2.13 本章小结
2.14致谢
2.15一个例子程序
第3章 设计网络策略
3.1网络安全计划
3.2站点安全策略
3.3安全策略方案
3.4保护安全策略的责任
3.5危险分析
3.6识别资源
3.7识别威胁
3.7.1定义未授权访问
3.7.2信息泄露的危险
3.7.3无法使用服务
3.8网络使用和责任
3.9识别谁可以使用网络资源
3.9.1识别资源的正确使用方法
3.9.2确定谁有权授权访问和同意使用
3.9.3确定用户责任
3.9.4确定系统管理员的责任
3.9.5如何处理敏感信息
3.10 安全策略遭到违反时的行动计划
3.10.1对违反策略的反应
3.10.2对本地用户违反策略行为的
反应
3.10.3反应策略
3.10.4 定义Internet上好公民的责任
3.10.5 与外部组织的联系和责任
3.11解释和宣传安全策略
3.12识别与防止安全问题
3.12.1访问人口点
3.12.2 不正确配置的系统
3.12.3软件故障
3.12.4内部的人的威胁
3.13.5物理安全
3.12.6机密
3.13实现合算的策略控制
3.14选择策略控制
3.15使用后退战略
3.16检测和监视非授权活动
3.17监视系统使用
3.18监视机制
3.19监视计划
3.20报告过程
3.20.1帐户管理过程
3.20.2配置管理过程
3.20.3恢复过程
3.21系统管理员问题报告过程
3.22 保护网络连接
3.23使用加密保护网络
3.23.1数据加密标准(DES)
3.23.2crypt
3.23.3保密增强邮件(PEM)
3.23.4完全保密(PGP)
3.23.5源身份验证
3.23.6信息完整性
3.23.7使用校验和
3.23.8密码校验和
3.23.9使用身份验证系统
3.23.10使用智能卡
3.24 使用Kerberos
3.25 保持信息更新
3.26 邮件列表
3.26.1Unix安全邮件列表
3.26.2Risks论坛列表
3.26.3VIRUS-L列表
3.26.4Bugtraq列表
3.26.5ComputerUndergroundDigest
3.26.6CERT邮件列表
3.26.7CERT-TOOLS邮件列表
3.26.8TCP/IP邮件列表
3.26.9SUN-NETS邮件列表
3.27 新闻组
3.28 安全响应小组
3.28.1计算机快速响应小组
3.28.2DDN安全协调中心
3.28.3NIST计算机安全资源和反应
情报交换所
3.28.4 DOE计算机事故报告能力
(CIAC)
3.28.5NASAAmes计算机网络安全
响应小组
3.29 本章小结
第4章 一次性口令身份验证系统
4.1什么是OTP
4.2OTP的历史
4.3实现OTP
4.3.1决定使用OTP的哪个版本
4.3.2S/KEY和OPIE如何工作
4.4 BellcoreS/KEY版本1.0
4.5 美国海军研究实验室OPIE
4.5.1获取OPIE源代码
4.5.2编译OPIE代码
4.5.3测试编译过的程序
4.6安装OPIE
4.7LogDaemon5.0
4.7.1获取LogDacmon代码
4.7.2编译LgDaemon代码
4.7.3测试编译过的程序
4.7.4 安装LogDaemon
4.7.5LogDaemon组件
4.8使用S/KEY和OPIE计算器
4.8.1Unix
4.8.2Macintosh
4.8.3MicrosoftWindows
4.8.4 外部计算器
4.9 实际操作OTP
4.10 有关/bin/login的安全注释
4.11 使用OTP和XWindows
4.12 获取更多的信息
4.13 本章小结
第5章 过滤路由器简介
5.1详细定义
5.1.1危险区
5.1.2 OSI参考模型和过滤路由器
5.1.3OSI层次模型
5.1.4 过滤路由器和防火墙与OSI模型
的关系
5.2理解包过滤
5.2.1包过滤和网络策略
5.2.2 一个简单的包过滤模型
5.2.3包过滤器操作
5.2.4包过滤器设计
5.2.5 包过滤器规则和全相关
5.3本章小结
第6章 包过滤器
6.1实现包过滤器规则
6.1.1定义访问列表
6.1.2使用标准访问列表
6.1.3使用扩展访问列表
6.1.4 过滤发来和发出的终端呼叫
6.2检查包过滤器位置和地址欺骗
6.2.1放置包过滤器
6.2.2 过滤输入和输出端口
6.3在包过滤时检查协议特定的问题
6.3.1过滤FTP网络流量
6.3.2过滤TELNET网络流量
6.3.3过滤X-Windows会话
6.3.4 包过滤和UDP传输协议
6.3.5包过滤ICMP
6.3.6包过滤RIP
6.4 过滤路由器配置的例子
6.4.1学习实例1
6.4.2学习实例2
6.4.3学习实例3
6.5本章小结
第7章 PC包过滤
7.1基于PC的包过滤器
7.1.1 KarlBridge包过滤器
7.1.2Drawbridge包过滤器
7.2本章小结
第8章 防火墙体系结构和理论
8.1检查防火墙部件
8.1.1双宿主主机
8.1.2保垒主机
8.1.3过滤子网
8.1.4应用层网关
8.2本章小结
第9章 防火墙实现
9.1 TCPWrapper
9.1.1例子1
9.1.2例子2
9.1.3例子3
9.1.4例子4
9.2FireWall-1网关
9.2.1FireWall-1的资源要求
9.2.2FireWall-1体系结构概览
9.2.3FireWall-1控制模块
9.2.4网络对象管理器
9.2.5服务管理器
9.2.6规则库管理器
9.2.7日志浏览器
9.2.8FirWall-1应用程序举例
9.2.9FireWall-1的性能
9.2.10FireWall-1规则语言
9.2.11获得FireWall-1的信息
9.3ANSInterLock
9.3.1InterLock的资源要求
9.3.2InerLock概览
9.3.3配置InterLock
9.3.4InterLockACRB
9.3.5InterLock代理应用程序
网关服务
9.3.6 ANSInterLock附加信息源
9.4 可信任信息系统Gauntlet
9.4.1使用Gauntlet配置的例子
9.4.2配置Gauntlet
9.4.3用户使用Gauntlet防火墙的概况
9.5TIS防火墙工具箱
9.5.1建立TIS防火墙工具箱
9.5.2配置带最小服务的堡垒主机
9.5.3安装工具箱组件
9.5.4 网络许可权限表
9.6本章小结
第10章 TIS防火墙工具箱
10.1理解TIS
10.2在哪里能得到TIS工具箱
10.3在SunOS4.1.3和4.1.4下编译
10.4在BSDI下编译
10.5安装工具箱
10.6准备配置
10.7配置TCP/IP
10.8netperm表
10.9配置netacl
10.9.1使用netacl连接
10.9.2重启动inetd
10.10 配置Telnet代理
10.10.1通过Telnet代理连接
10.10.2主机访问规则
10.10.3验证Telnet代理
10.11配置rlogin网关
10.11.1通过rlogin代理的连接
10.11.2主机访问规则
10.11.3验证rlogin代理
10.12 配置FTP网关
10.12.1主机访问规则
10.12.2验证FTP代理
10.12.3通过FTP代理连接
10.12.4 允许使用netacl的FTP
10.13 配置发送邮件代理smap和smapd
10.13.1安装smap客户机
10.13.2配置smap客户机
10.13.3安装smapd应用程序
10.13.4 配置smapd应用程序
10.13.5为smap配置DNS
10.14 配置HTTP代理
10.14.1非代理所知HTTP客户机
10.14.2使用代理所知HTTP客户机
10.14.3主机访问规则
10.15配置XWindows代理
10.16 理解身份验证服务器
10.16.1身份验证数据库
10.16.2增加用户
10.16.3身份验证外壳authmgr
10.16.4 数据库管理
10.16.5正在工作的身份验证
10.17 为其它服务使用plug-gw
10.17.1配置plug-gw
10.17.2plug-gw和NNTP
10.17.3plug-gw和POP
10.18 伴随的管理工具
10.18.1portscan
10.18.2netscan
10.18.3报告工具
10.18.4身份验证服务器报告
10.18.5服务拒绝报告
10.18.6FTP使用报告
10.18.7HTTP使用报告
10.18.8netacl报告
10.18.9邮件使用报告
10.18.10Telnet和rlogin使用报告
10.19 到哪里寻找帮助
第11章 BlackHole
11.1理解BlackHole
11.1.1系统要求
11.1.2BlackHole核心模块
11.1.3BlackHole扩展模块
11.2使用BlackHole进行网络设计
11.3使用BlackHole接口
11.4理解策略数据库
11.5服务、用户和规则
11.5.1规则
11.5.2用户和用户维护
11.6配置BlackHole
11.6.1配置内部和外部DNS
11.6.2配置应用程序服务
11.7生成报告
11.8更多的信息
11.9本章小结
附录A 工作表列表
附录B 信息源
附录C 销售商列表
附录D OPIE和L0gDaem0n手册
· · · · · · (收起)
读后感
评分
评分
评分
评分
用户评价
这本书的深度和广度共同构建了一个坚实的安全知识体系。如果说其他书籍侧重于介绍“是什么”,这本书则非常强调“为什么”和“如何做正确”。我尤其欣赏它对于“安全架构设计”的宏大叙事。它将防火墙的角色从一个单纯的“过滤设备”,提升到了整个网络安全体系中的“智能决策枢纽”。 书中对下一代防火墙(NGFW)的模块化组件的拆解和重组分析,非常透彻。它解释了流量可视化、应用识别、入侵防御系统(IPS)如何协同工作,形成一个多层次的防御纵深。这种将单一组件置于整体架构中进行审视的方法,有效地帮助读者打破了“工具箱思维”,真正学会如何设计一个健壮的、可扩展的安全边界。对于想要理解现代企业如何平衡安全强度与网络性能的读者来说,这本书提供了无与伦比的洞察力。它不只是教你如何设置一个规则,而是教你如何设计一套能够抵御未来未知威胁的安全哲学。
评分从阅读体验上来说,这本书的行文流畅度令人称赞,尽管主题是技术性的,但作者的文字功底使得整个阅读过程如同与一位经验丰富的资深专家在进行一对一的深入交流。它没有那种教科书式的僵硬感,反而充满了一种娓娓道来的说服力。书中对一些经典安全漏洞的剖析,比如某个历史上的著名防火墙配置失误导致的数据泄露事件,作者并没有简单地将其归咎于“人为失误”,而是深入挖掘了是流程、培训还是工具设计本身存在缺陷。 这种追根溯源的分析方法,极大地提升了我对“系统性思考”的理解。此外,书中对不同厂商设备配置思路的对比介绍,虽然没有直接给出具体的命令行,但却点明了它们在设计哲学上的核心差异,这对于我们未来进行技术选型和多厂商环境下的兼容性评估,提供了宝贵的参考框架。阅读过程中,我感觉自己正在构建一个强大的、跨越厂商和技术的安全知识地图,而不是被局限在某个特定工具的使用手册中。
评分这本书的装帧设计真是让人眼前一亮,那种沉稳的深蓝色调,配上简洁有力的书名字体,一眼就能感受到内容的专业与权威。我原本对网络安全这个话题抱着一种敬而远之的态度,总觉得那是技术大牛们才需要深入钻研的领域,但这本书的排版和图示设计,却非常巧妙地平衡了深度与易读性。 比如,它在介绍基础概念时,会用一些非常直观的比喻,把复杂的协议和攻击模型“翻译”成日常生活中能理解的场景,这对于我这种想入门但又怕被枯燥术语劝退的读者来说,简直是救命稻草。 我记得其中有一章节详细阐述了“零信任架构”的演进,作者并没有直接抛出复杂的架构图,而是先从传统边界防御的局限性入手,层层递进地剖析了为什么我们需要重塑信任模型。 这种循序渐进的叙述方式,让我能够真正理解每一个安全决策背后的逻辑,而不是仅仅背诵那些时髦的概念。阅读的过程中,我甚至会时不时地停下来,思考一下自己日常使用的网络服务中,哪些环节可能存在潜在的隐患,这本书俨然成了一个绝佳的安全思维训练工具。 整体感觉,这本书不仅仅是在传授知识,更是在培养一种审慎的安全意识和分析问题的框架。
评分这本书的实用价值简直是超出了我的预期。我不是专业的网络工程师,但因为工作需要,我必须对公司现有安全策略有一个宏观的了解。这本书提供了一个极佳的“蓝图”。它详尽地介绍了不同部署模式下(例如旁路模式、串联模式)防火墙的性能考量和最佳实践。虽然书中包含了很多技术细节,但作者总能适时地插入“业务影响分析”的段落,将纯粹的技术配置与实际的业务连续性、合规性要求联系起来。 举个例子,当讨论VPN建立和加密算法的选择时,它不仅罗列了IKEv2和IPsec的参数,还分析了在特定行业法规下,哪些加密套件是强制要求的,哪些可能会带来合规风险。这使得这本书可以同时服务于需要深入配置的工程师,以及需要制定策略的管理者。 我个人认为,最精彩的部分是对“安全策略的生命周期管理”的阐述。如何评审、如何变更、如何审计这些策略,这些往往是被许多技术手册忽略的“软性”环节,但恰恰是导致安全漏洞的常见原因。这本书将这些“软技能”也纳入了系统的讲解范围,非常全面。
评分读完这本书,我最大的感受是其内容的广度与前沿性。我原本以为这种专注于“防火墙”主题的书籍,内容会相对集中在传统的ACL(访问控制列表)和NAT配置上,但让我惊喜的是,它将话题拓展到了云原生环境下的安全实践和新兴的DDoS缓解策略。特别是关于Web应用防火墙(WAF)的章节,作者深入探讨了OWASP Top 10的最新变化,并结合实际案例展示了如何通过配置规则来有效防御变异的注入攻击。 这种与时俱进的更新速度,在安全领域尤为宝贵,因为威胁的演化速度实在太快了。 书中对于“安全运营”的论述也极其到位,它没有仅仅停留在“如何部署”的层面,而是花了大量篇幅讲解了“如何有效监控”和“如何快速响应”。那种描述安全事件生命周期的部分,读起来就像在看一部精彩的攻防实录,充满了张力和逻辑性,让人对安全团队日常工作中的压力与挑战有了更深层次的体会。 我特别欣赏作者在讨论新兴技术时所采取的批判性视角,比如在探讨SD-WAN安全集成时,它平衡地列举了效率提升和潜在的攻击面扩大的风险,而不是一味鼓吹新技术的好处。这种成熟、不偏激的论述风格,大大增强了书籍的可信度。
评分 评分 评分 评分 评分相关图书
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2026 book.quotespace.org All Rights Reserved. 小美书屋 版权所有