前言

第1篇 防火墻基礎(chǔ)
第1章 防火墻在網(wǎng)絡(luò)安全防護(hù)體系中的地位和作用2
1.1 網(wǎng)絡(luò)中計(jì)算機(jī)之間的通信及安全威脅2
1.1.1 網(wǎng)絡(luò)體系結(jié)構(gòu)2
1.1.2 網(wǎng)絡(luò)信息流動(dòng)過程中面臨的安全威脅10
1.2 網(wǎng)絡(luò)安全技術(shù)框架11
1.2.1 針對(duì)OSI參考模型的網(wǎng)絡(luò)安全體系11
1.2.2 基于信息保障概念的網(wǎng)絡(luò)空間縱深防護(hù)框架12
1.3 網(wǎng)絡(luò)安全防護(hù)體系中的防火墻16
1.3.1 防火墻與縱深防護(hù)16
1.3.2 防火墻與零信任安全17
1.4 思考與實(shí)踐18
1.5 學(xué)習(xí)目標(biāo)檢驗(yàn)20
第2章 防火墻概述21
2.1 防火墻的分類21
2.1.1 按照防火墻產(chǎn)品的形態(tài)分類21
2.1.2 按照防火墻部署的位置分類23
2.1.3 按照防火墻的功能應(yīng)用分類24
2.1.4 按照防火墻的技術(shù)特點(diǎn)分類26
2.2 防火墻基本技術(shù)26
2.2.1 包過濾技術(shù)26
2.2.2 代理技術(shù)30
2.2.3 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)32
2.2.4 虛擬專用網(wǎng)技術(shù)37
2.3 防火墻體系結(jié)構(gòu)41
2.3.1 屏蔽路由器結(jié)構(gòu)41
2.3.2 雙宿堡壘主機(jī)結(jié)構(gòu)41
2.3.3 屏蔽主機(jī)結(jié)構(gòu)42
2.3.4 屏蔽子網(wǎng)結(jié)構(gòu)42
2.4 防火墻的發(fā)展44
2.4.1 防火墻的局限性44
2.4.2 防火墻面臨的攻擊45
2.4.3 防火墻新產(chǎn)品和新技術(shù)46
2.5 思考與實(shí)踐48
2.6 學(xué)習(xí)目標(biāo)檢驗(yàn)53
第2篇 防火墻標(biāo)準(zhǔn)
第3章 防火墻技術(shù)要求55
3.1 安全功能要求55
3.1.1 組網(wǎng)與部署55
3.1.2 網(wǎng)絡(luò)層控制58
3.1.3 應(yīng)用層控制58
3.1.4 攻擊防護(hù)59
3.1.5 安全審計(jì)、告警與統(tǒng)計(jì)60
3.2 自身安全要求61
3.2.1 身份標(biāo)識(shí)與鑒別61
3.2.2 管理能力61
3.2.3 管理審計(jì)61
3.2.4 管理方式62
3.2.5 安全支撐系統(tǒng)62
3.3 性能要求62
3.3.1 吞吐量62
3.3.2 延遲63
3.3.3 連接速率63
3.3.4 并發(fā)連接數(shù)63
3.4 安全保障要求64
3.4.1 開發(fā)64
3.4.2 指導(dǎo)性文檔65
3.4.3 生命周期支持65
3.4.4 測試66
3.4.5 脆弱性評(píng)定66
3.5 思考與實(shí)踐67
3.6 學(xué)習(xí)目標(biāo)檢驗(yàn)68
第4章 防火墻測評(píng)方法69
4.1 環(huán)境測評(píng)69
4.2 安全功能測評(píng)70
4.2.1 組網(wǎng)與部署70
4.2.2 網(wǎng)絡(luò)層控制72
4.2.3 應(yīng)用層控制73
4.2.4 攻擊防護(hù)74
4.2.5 安全審計(jì)、告警與統(tǒng)計(jì)75
4.3 自身安全測評(píng)76
4.3.1 身份標(biāo)識(shí)與鑒別76
4.3.2 管理能力76
4.3.3 管理審計(jì)76
4.3.4 管理方式77
4.3.5 安全支撐系統(tǒng)77
4.4 性能測評(píng)77
4.4.1 吞吐量77
4.4.2 延遲78
4.4.3 連接速率78
4.4.4 并發(fā)連接數(shù)78
4.5 安全保障測評(píng)78
4.5.1 開發(fā)78
4.5.2 指導(dǎo)性文檔79
4.5.3 生命周期支持79
4.5.4 測試80
4.5.5 脆弱性評(píng)定80
4.6 思考與實(shí)踐80
4.7 學(xué)習(xí)目標(biāo)檢驗(yàn)81
第3篇 防火墻實(shí)現(xiàn)
第5章 基于SPI的簡單防火墻實(shí)現(xiàn)83
5.1 Windows平臺(tái)網(wǎng)絡(luò)數(shù)據(jù)包截獲技術(shù)83
5.1.1 Windows網(wǎng)絡(luò)體系結(jié)構(gòu)83
5.1.2 Windows中的網(wǎng)絡(luò)數(shù)據(jù)包截獲83
5.2 基于SPI的包過濾技術(shù)85
5.2.1 SPI簡介85
5.2.2 基于SPI的包過濾技術(shù)原理87
5.3 思考與實(shí)踐93
5.4 學(xué)習(xí)目標(biāo)檢驗(yàn)93
第6章 基于NDIS的簡單防火墻實(shí)現(xiàn)94
6.1 NDIS簡介94
6.1.1 NDIS結(jié)構(gòu)94
6.1.2 NDIS網(wǎng)絡(luò)驅(qū)動(dòng)程序94
6.2 基于NDIS的包過濾技術(shù)原理95
6.2.1 NDIS中間層驅(qū)動(dòng)95
6.2.2 Filter Drivers在包過濾中的應(yīng)用96
6.3 思考與實(shí)踐109
6.4 學(xué)習(xí)目標(biāo)檢驗(yàn)109
第7章 基于WFP的簡單防火墻實(shí)現(xiàn)110
7.1 WFP簡介110
7.1.1 WFP的概念110
7.1.2 WFP的作用110
7.2 基于WFP的包過濾技術(shù)原理111
7.2.1 WFP框架結(jié)構(gòu)111
7.2.2 WFP在包過濾中的應(yīng)用112
7.3 思考與實(shí)踐116
7.4 學(xué)習(xí)目標(biāo)檢驗(yàn)116
第4篇 防火墻應(yīng)用
第8章 個(gè)人防火墻的應(yīng)用118
8.1 Windows系統(tǒng)個(gè)人防火墻118
8.1.1 Windows系統(tǒng)個(gè)人防火墻簡介118
8.1.2 Windows Defender防火墻的
設(shè)置與應(yīng)用120
8.1.3 高級(jí)安全Windows Defender防火墻的設(shè)置與應(yīng)用126
8.2 第三方個(gè)人防火墻134
8.2.1 ZoneAlarm Pro防火墻簡介135
8.2.2 ZoneAlarm Pro防火墻的設(shè)置與
應(yīng)用135
8.3 思考與實(shí)踐145
8.4 學(xué)習(xí)目標(biāo)檢驗(yàn)145
第9章 開源防火墻的應(yīng)用146
9.1 Linux防火墻146
9.1.1 Linux防火墻的功能框架146
9.1.2 iptables的應(yīng)用148
9.1.3 firewalld的應(yīng)用158
9.2 WAF開源防火墻164
9.2.1 WAF防火墻產(chǎn)品及功能框架164
9.2.2 ModSecurity的應(yīng)用167
9.2.3 HIHTTPS的應(yīng)用172
9.2.4 NASXI的應(yīng)用175
9.3 思考與實(shí)踐177
9.4 學(xué)習(xí)目標(biāo)檢驗(yàn)179
第10章 商業(yè)防火墻的選擇與仿真應(yīng)用180
10.1 商業(yè)防火墻產(chǎn)品180
10.1.1 國內(nèi)商業(yè)防火墻產(chǎn)品介紹181
10.1.2 國外商業(yè)防火墻產(chǎn)品介紹188
10.2 商業(yè)防火墻產(chǎn)品的選擇190
10.2.1 等級(jí)保護(hù)對(duì)防火墻的要求190
10.2.2 等保2.0時(shí)代商業(yè)防火墻產(chǎn)品的選擇191
10.3 防火墻的部署193
10.3.1 防火墻部署的位置193
10.3.2 防火墻部署的模式194
10.4 Cisco Packet Tracer仿真防火墻的應(yīng)用194
10.4.1 Cisco Packet Tracer簡介194
10.4.2 訪問控制列表的基本配置203
10.5 GNS3仿真防火墻的應(yīng)用215
10.5.1 GNS3的簡介215
10.5.2 GNS3的基本配置216
10.6 思考與實(shí)踐231
10.7 學(xué)習(xí)目標(biāo)檢驗(yàn)233
附錄 部分參考解答或提示234
參考文獻(xiàn)238