前言

第1篇 防火墻基礎(chǔ)
第1章 防火墻在網(wǎng)絡(luò)安全防護體系中的地位和作用2
1.1 網(wǎng)絡(luò)中計算機之間的通信及安全威脅2
1.1.1 網(wǎng)絡(luò)體系結(jié)構(gòu)2
1.1.2 網(wǎng)絡(luò)信息流動過程中面臨的安全威脅10
1.2 網(wǎng)絡(luò)安全技術(shù)框架11
1.2.1 針對OSI參考模型的網(wǎng)絡(luò)安全體系11
1.2.2 基于信息保障概念的網(wǎng)絡(luò)空間縱深防護框架12
1.3 網(wǎng)絡(luò)安全防護體系中的防火墻16
1.3.1 防火墻與縱深防護16
1.3.2 防火墻與零信任安全17
1.4 思考與實踐18
1.5 學(xué)習(xí)目標(biāo)檢驗20
第2章 防火墻概述21
2.1 防火墻的分類21
2.1.1 按照防火墻產(chǎn)品的形態(tài)分類21
2.1.2 按照防火墻部署的位置分類23
2.1.3 按照防火墻的功能應(yīng)用分類24
2.1.4 按照防火墻的技術(shù)特點分類26
2.2 防火墻基本技術(shù)26
2.2.1 包過濾技術(shù)26
2.2.2 代理技術(shù)30
2.2.3 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)32
2.2.4 虛擬專用網(wǎng)技術(shù)37
2.3 防火墻體系結(jié)構(gòu)41
2.3.1 屏蔽路由器結(jié)構(gòu)41
2.3.2 雙宿堡壘主機結(jié)構(gòu)41
2.3.3 屏蔽主機結(jié)構(gòu)42
2.3.4 屏蔽子網(wǎng)結(jié)構(gòu)42
2.4 防火墻的發(fā)展44
2.4.1 防火墻的局限性44
2.4.2 防火墻面臨的攻擊45
2.4.3 防火墻新產(chǎn)品和新技術(shù)46
2.5 思考與實踐48
2.6 學(xué)習(xí)目標(biāo)檢驗53
第2篇 防火墻標(biāo)準(zhǔn)
第3章 防火墻技術(shù)要求55
3.1 安全功能要求55
3.1.1 組網(wǎng)與部署55
3.1.2 網(wǎng)絡(luò)層控制58
3.1.3 應(yīng)用層控制58
3.1.4 攻擊防護59
3.1.5 安全審計、告警與統(tǒng)計60
3.2 自身安全要求61
3.2.1 身份標(biāo)識與鑒別61
3.2.2 管理能力61
3.2.3 管理審計61
3.2.4 管理方式62
3.2.5 安全支撐系統(tǒng)62
3.3 性能要求62
3.3.1 吞吐量62
3.3.2 延遲63
3.3.3 連接速率63
3.3.4 并發(fā)連接數(shù)63
3.4 安全保障要求64
3.4.1 開發(fā)64
3.4.2 指導(dǎo)性文檔65
3.4.3 生命周期支持65
3.4.4 測試66
3.4.5 脆弱性評定66
3.5 思考與實踐67
3.6 學(xué)習(xí)目標(biāo)檢驗68
第4章 防火墻測評方法69
4.1 環(huán)境測評69
4.2 安全功能測評70
4.2.1 組網(wǎng)與部署70
4.2.2 網(wǎng)絡(luò)層控制72
4.2.3 應(yīng)用層控制73
4.2.4 攻擊防護74
4.2.5 安全審計、告警與統(tǒng)計75
4.3 自身安全測評76
4.3.1 身份標(biāo)識與鑒別76
4.3.2 管理能力76
4.3.3 管理審計76
4.3.4 管理方式77
4.3.5 安全支撐系統(tǒng)77
4.4 性能測評77
4.4.1 吞吐量77
4.4.2 延遲78
4.4.3 連接速率78
4.4.4 并發(fā)連接數(shù)78
4.5 安全保障測評78
4.5.1 開發(fā)78
4.5.2 指導(dǎo)性文檔79
4.5.3 生命周期支持79
4.5.4 測試80
4.5.5 脆弱性評定80
4.6 思考與實踐80
4.7 學(xué)習(xí)目標(biāo)檢驗81
第3篇 防火墻實現(xiàn)
第5章 基于SPI的簡單防火墻實現(xiàn)83
5.1 Windows平臺網(wǎng)絡(luò)數(shù)據(jù)包截獲技術(shù)83
5.1.1 Windows網(wǎng)絡(luò)體系結(jié)構(gòu)83
5.1.2 Windows中的網(wǎng)絡(luò)數(shù)據(jù)包截獲83
5.2 基于SPI的包過濾技術(shù)85
5.2.1 SPI簡介85
5.2.2 基于SPI的包過濾技術(shù)原理87
5.3 思考與實踐93
5.4 學(xué)習(xí)目標(biāo)檢驗93
第6章 基于NDIS的簡單防火墻實現(xiàn)94
6.1 NDIS簡介94
6.1.1 NDIS結(jié)構(gòu)94
6.1.2 NDIS網(wǎng)絡(luò)驅(qū)動程序94
6.2 基于NDIS的包過濾技術(shù)原理95
6.2.1 NDIS中間層驅(qū)動95
6.2.2 Filter Drivers在包過濾中的應(yīng)用96
6.3 思考與實踐109
6.4 學(xué)習(xí)目標(biāo)檢驗109
第7章 基于WFP的簡單防火墻實現(xiàn)110
7.1 WFP簡介110
7.1.1 WFP的概念110
7.1.2 WFP的作用110
7.2 基于WFP的包過濾技術(shù)原理111
7.2.1 WFP框架結(jié)構(gòu)111
7.2.2 WFP在包過濾中的應(yīng)用112
7.3 思考與實踐116
7.4 學(xué)習(xí)目標(biāo)檢驗116
第4篇 防火墻應(yīng)用
第8章 個人防火墻的應(yīng)用118
8.1 Windows系統(tǒng)個人防火墻118
8.1.1 Windows系統(tǒng)個人防火墻簡介118
8.1.2 Windows Defender防火墻的
設(shè)置與應(yīng)用120
8.1.3 高級安全Windows Defender防火墻的設(shè)置與應(yīng)用126
8.2 第三方個人防火墻134
8.2.1 ZoneAlarm Pro防火墻簡介135
8.2.2 ZoneAlarm Pro防火墻的設(shè)置與
應(yīng)用135
8.3 思考與實踐145
8.4 學(xué)習(xí)目標(biāo)檢驗145
第9章 開源防火墻的應(yīng)用146
9.1 Linux防火墻146
9.1.1 Linux防火墻的功能框架146
9.1.2 iptables的應(yīng)用148
9.1.3 firewalld的應(yīng)用158
9.2 WAF開源防火墻164
9.2.1 WAF防火墻產(chǎn)品及功能框架164
9.2.2 ModSecurity的應(yīng)用167
9.2.3 HIHTTPS的應(yīng)用172
9.2.4 NASXI的應(yīng)用175
9.3 思考與實踐177
9.4 學(xué)習(xí)目標(biāo)檢驗179
第10章 商業(yè)防火墻的選擇與仿真應(yīng)用180
10.1 商業(yè)防火墻產(chǎn)品180
10.1.1 國內(nèi)商業(yè)防火墻產(chǎn)品介紹181
10.1.2 國外商業(yè)防火墻產(chǎn)品介紹188
10.2 商業(yè)防火墻產(chǎn)品的選擇190
10.2.1 等級保護對防火墻的要求190
10.2.2 等保2.0時代商業(yè)防火墻產(chǎn)品的選擇191
10.3 防火墻的部署193
10.3.1 防火墻部署的位置193
10.3.2 防火墻部署的模式194
10.4 Cisco Packet Tracer仿真防火墻的應(yīng)用194
10.4.1 Cisco Packet Tracer簡介194
10.4.2 訪問控制列表的基本配置203
10.5 GNS3仿真防火墻的應(yīng)用215
10.5.1 GNS3的簡介215
10.5.2 GNS3的基本配置216
10.6 思考與實踐231
10.7 學(xué)習(xí)目標(biāo)檢驗233
附錄 部分參考解答或提示234
參考文獻238