Check Point FireWall-1管理指南

前言

第一部分 firewall-1概述与配置

第1章 防火墙技术介绍 1

1.1 防火墙技术概述 1

1.1.1 check point优点 4

1.1.2 谈谈非军事区 5

1.1.3 认证问题 5

1.1.4 对周边的信任 6

1.1.5 防火墙类型 6

1.1.6 第二代应用级防火墙 7

1.2 check point的状态检查 7

1.3 选择 check point firewall-1的原因 8

1.4 关于安全策略 9

1.5 考虑物理安全问题 11

1.6 结论 11

第2章 check point firewall-1体系结构 12

2.1 状态检查 12

2.1.1 包过滤器 12

2.1.2 应用级 12

.2.1.3 状态检查 13

2.1.4 firewall-1管理模块 14

2.1.5 客户机/服务器 14

2.1.6 firewall-1防火墙模块 16

2.1.7 指定方向 17

2.2 inspect 17

2.3 firewall-1 核心 22

2.4 firewall-1 守护进程 23

2.5 安全无连接协议 23

2.6 安全动态分配的端口连接 23

2.7 基于udp 的应用程序 24

2.8 网络目标管理器 26

2.9 用户管理器 27

2.10 服务管理器 27

2.11 系统状态监视器 28

2.12 认证 29

2.12.1 用户认证 29

2.12.2 客户认证 30

2.12.3 话路认证 30

2.13 http安全服务器 31

2.14 路由器扩展模块 31

2.15 firewall-1性能 31

2.16 firewall-1安全配套 33

2.17 结论 33

第3章 check point firewall-1安装与配置 34

3.1 安装firewall-1 34

3.1.1 路由 34

3.1.2 ip 转发 34

3.1.3 dns 34

3.1.4 ip地址 34

3.1.5 连通性 35

3.2 首次安装firewall-1 35

3.3 升级到firewall-1的新版本 35

3.3.1 firewall-1 数据库 36

3.3.2 选择适当的组件安装 36

3.3.3 软件分布与要求 37

3.3.4 安装过程 38

3.3.5 安装组件 39

3.3.6 配置 42

3.3.7 卸载 firewall-1(nt) 49

3.3.8 重新配置firewall-1(nt) 49

3.4 unix安装 49

3.5 在unix上配置firewall-1 50

3.6 许可 53

3.7 结论 53

第二部分 管理firewall-1安全策略

第4章 安全策略 55

4.1 设置安全策略来管理firewall-1 55

4.1.1 安全策略 55

4.1.2 服务 57

4.1.3 日志和报警 58

4.1.4 路由器访问表 60

4.1.5 syndefender 61

4.2 结论 66

第5章 为firewall-1设置规则库 67

5.1 gui配置编辑器 68

5.2 更复杂的拓扑 70

5.3 设置smtp服务器规则 76

5.4 设置web服务器规则 78

5.5 认证 81

5.6 结论 85

第6章 check point firewall-1的高级

安全功能 86

6.1 内容安全 86

6.2 统一资源识别器 87

6.3 url 过滤 88

6.3.1 定义ufp服务器 88

6.3.2 定义资源 88

6.3.3 定义规则 89

6.4 邮件 89

6.5 ftp 90

6.6 cvp检查 90

6.7 tcp syn 泛滥 93

6.7.1 tcp syn 握手 93

6.7.2 理解syn 泛滥攻击 94

6.8 check point的 syndefender 解决方案 94

6.8.1 syndefender 中继 95

6.8.2 syndefender 网关 95

6.9 将syndefender与firewall-1一起使用 96

6.9.1 使用syndefender中继 96

6.9.2 使用syndefender 网关 96

6.10 firewall-1 http安全服务器 96

6.11 http安全服务器参数 97

6.12 http服务器 97

6.13 重认证选项 98

6.14 认证类型 98

6.15 口令提示 99

6.16 多用户与口令 99

6.17 “原因”信息 100

6.18 关于代理服务器 100

6.19 防欺骗 101

6.20 结论 102

第7章 加密技术 103

7.1 使用密码技术加强数据完整性 103

7.1.1 使用私钥 103

7.1.2 非对称密钥加密/公钥加密 107

7.1.3 报文摘要算法 109

7.1.4 使用证书 111

7.1.5 谈谈密钥管理 118

7.1.6 密钥交换算法 125

7.1.7 密码技术应用与应用编程接口 126

7.2 密码技术和防火墙 127

第8章 check point firewall-1虚拟

专用网技术 130

8.1 外联网的安全基础 130

8.2 使用firewall-1资源 133

8.2.1 安全性 134

8.2.2 流量控制/性能 134

8.2.3 企业管理 135

8.3 firewall-1与证书机构 135

8.3.1 firewall-1支持的加密方案 136

8.3.2 fwz加密方案 136

8.3.3 手控ipsec 加密方案 136

8.3.4 skip 加密方案与firewall-1 137

8.3.5 isakmp/oakley 加密方案 137

8.4 配置firewall-1加密 138

8.4.1 加密域 138

8.4.2 密钥管理 139

8.4.3 有关加密的说明 139

8.5 其他firewall-1 加密方案 142

8.5.1 microsoft的windows pptp 144

8.5.2 microsoft虚拟专用网 147

8.5.3 认证和加密 151

8.6 结论 151

第9章 firewall-1 securemote 152

9.1 配置firewall-1 securemote客户机加密 152

9.1.1 产品特征 153

9.1.2 智能操作 154

9.1.3 securemote软件 154

9.1.4 封装 155

9.1.5 securemote的安装 156

9.1.6 定义站点 160

9.1.7 加密方法 163

9.1.8 认证方法 163

9.1.9 卸载securemote客户程序 168

9.1.10 修改网络配置 169

9.2 结论 170

第10章 inspect语言 171

10.1 编写一个检查脚本语句 172

10.2 测试脚本 172

10.3 inspect句法 173

10.4 保留字 176

第三部分 高级配置安装

第11章 保护企业互连体系结构的

开放平台 177

11.1 企业—一个同时代的展望 177

11.2 网络安全要求 177

11.3 行业标准与标准协议 178

11.3.1 radius 178

11.3.2 x.509 179

11.3.3 snmp 179

11.3.4 ldap 180

11.4 opsec结构—概述 180

11.5 check point定义的开放协议和应用

编程接口 181

11.5.1 内容矢量协议api 182

11.5.2 url过滤协议api 183

11.5.3 可疑活动监控协议api 183

11.5.4 日志输出api 184

11.5.5 事件日志api 184

11.6 opsec 管理界面 184

11.7 用inspect语言编写的安全应用程序 184

11.8 在行业平台的最宽阵列中嵌入inspect

虚拟机器或者全面的firewall-1 185

11.9 opsec联盟 185

11.9.1 满足基于策略集成的需求 185

11.9.2 opsec 联盟伙伴 186

11.9.3 opsec 联盟伙伴的利益 186

11.9.4 大挑战 187

第12章 网络活动配置与日志 190

12.1 防火墙同步 190

12.1.1 防火墙同步的益处 190

12.1.2 问题 191

12.1.3 配置同步 191

12.2 负载均衡 191

12.3 日志 192

12.3.1 日志查看器选项 199

12.3.2 日志管理 200

12.4 结论 200

第13章 高级防火墙安全主题 202

13.1 防火墙面临的挑战: world wide web 202

13.1.1 基本web 203

13.1.2 监控http协议 205

13.1.3 使用s-http协议 205

13.1.4 使用ssl增强安全性 206

13.1.5 小心使用超高速缓存web 207

13.1.6 堵住漏洞: 配置检验列表 207

13.1.7 安全检验列表 208

13.1.8 小心novell的http 208

13.1.9 注意基于unix的web服务器安全

问题 208

13.1.10 注意公共网关接口 208

13.2 不安全的api与防火墙之间的相互

作用 224

13.2.1 套接字 224

13.2.2 bsd 套接字 227

13.2.3 windows套接字 228

13.3 java api 228

13.3.1 perl模块 229

13.3.2 cgi脚本 231

13.3.3 activex 232

13.3.4 分布式处理 233

13.3.5 用防火墙保护以web为核心的环境 234

13.3.6 通过防火墙的代码 244

第四部分 附录

附录a tcp/ip 传输层协议 249

附录b tcp/ip 应用层协议 256

附录c 术语表 264

附录d 参考书目 278