《Linux网路安全技术与实现》是2012年清华大学出版社出版的图书,作者是陈勇勛。该书採用由浅入深的方式,逐步引导读者进入网路安全的世界,以帮助愿意迈入网路安全领域的IT技术人员,完整、正确地构建企业网路的安全萤幕障。
基本介绍
- 书名:Linux网路安全技术与实现
- 作者:陈勇勛
- ISBN:9787302278863
- 页数:494
- 定价:68.00元
- 出版社:清华大学出版社
- 出版时间:2012-3
内容介绍
《Linux网路安全技术与实现(第2版)》是一本将理论与实践完美结合的书。从网路的基本概念开始,採用由浅入深的方式,逐步引导读者进入网路安全的世界,让读者从无到有地快速理解,以帮助愿意迈入网路安全领域的IT技术人员,完整、正确地构建企业网路的安全萤幕障。
作品目录
第 1 章 防火墙的基本概念
1.1 TCP/IP的基本概念
1.1.1 套用层
1.1.2 传输层
1.1.3 网路层
1.1.4 链路层
1.2 数据包传输
1.3 TCP、UDP及Socket的关係
1.4 何谓防火墙
1.5 防火墙的判断依据
1.5.1 各层数据包包头内的信息
1.5.2 数据包所承载的数据内容
1.5.3 连线状态
1.6 防火墙的分类
1.6.1 数据包过滤防火墙
1.6.2 套用层防火墙
1.7 常见的防火墙结构
1.7.1 单机防火墙
1.7.2 网关式防火墙
1.7.3 透明防火墙
1.8 小结
第 2 章 Netfilter/iptables
2.1 何谓核心
2.2 何谓Netfilter
2.3 Netfilter与Linux的关係
2.4 Netfilter工作的位置
2.5 Netfilter的命令结构
2.6 Netfilter的filter机制
2.7 规则的匹配方式
2.8 Netfilter与iptables的关係
2.9 iptables工具的使用方法
2.9.1 iptables命令参数
2.9.2 iptables规则语法
2.9.3 学以致用:iptables的规则语法
2.10 使用iptables机制来构建简单的单机防火墙
2.10.1 如何测试防火墙规则正确与否
2.10.2 解决无法在防火墙主机上对外建立连线的问题
2.10.3 管理防火墙规则资料库的办法
2.11 使用filter机制来构建网关式防火墙
2.12 Netfilter的NAT机制
2.12.1 IP网段的划分
2.12.2 私有IP
2.12.3 NAT
2.12.4 数据包传输方向与SNAT及DNAT的关係
2.12.5 NAT的分类
2.12.6 NAT并非无所不能
2.13 Netfilter的Mangle机制
2.14 Netfilter的raw机制
2.15 小结
第 3 章 Netfilter的匹配方式及处理方法
3.1 匹配方式
3.1.1 内置的匹配方式
3.1.2 从模组扩展而来的匹配方式
3.2 处理方法
3.2.1 内置的处理方法
3.2.2 由模组扩展的处理方法
3.3 小结
第 4 章 Netfilter/Iptables的高级技巧
4.1 防火墙性能的最最佳化
4.1.1 调整防火墙规则顺序
4.1.2 巧妙使用multiport及iprange模组
4.1.3 巧妙使用用户定义的链
4.2 Netfilter连线处理能力与记忆体消耗
4.2.1 计算最大连线数
4.2.2 调整连线跟蹤数
4.2.3 连线跟蹤数量与记忆体消耗
4.3 使用raw 表
4.4 简单及複杂通信协定的处理
4.4.1 简单通信协定
4.4.2 複杂通信协定
4.4.3 ICMP数据包的处理原则
4.4.4 在DMZ上使用NAT将面临的问题及解决方案
4.4.5 常见的网路攻击手段及防御方法
4.5 小结
第 5 章 代理伺服器的套用
5.1 何谓代理伺服器
5.2 代理伺服器支持的通信协定
5.3 代理伺服器的分类
5.3.1 何谓快取代理
5.3.2 何谓反向代理
5.4 代理伺服器的硬体要求
5.5 安装Squid代理
5.6 使用Squid构建快取代理
5.6.1 快取代理的基本配置
5.6.2 快取代理客户端的配置
5.6.3 快取代理的高级配置
5.6.4 快取代理连线访问控制
5.6.5 快取对象的管理
5.6.6 Squid代理的工作日誌
5.6.7 Squid代理的名称解析
5.7 透明代理
5.7.1 透明代理的工作原理
5.7.2 透明代理的配置
5.8 反向代理
5.8.1 Web 伺服器的分类
5.8.2 构建反向代理
5.9 小结
第 6 章 使用Netfilter/Iptables保护企业网路
6.1 防火墙结构的选择
6.2 防火墙本机的安全
6.2.1 网路攻击
6.2.2 系统入侵
6.2.3 入站/出站的考虑事项
6.2.4 远程管理的安全考虑事项
6.3 防火墙的规则定义
6.3.1 企业内部与网际网路
6.3.2 DMZ与网际网路
6.3.3 企业内部与DMZ
6.4 入侵与防御的其他注意事项
6.4.1 更新系统软体
6.4.2 Syn Flooding攻击防御
6.4.3 IP欺骗防御
6.5 小结
第 7 章 Linux核心编译
7.1 为何需要重新编译核心
7.2 核心编译
7.2.1 安装软体开发环境
7.2.2 获取核心原始码
7.2.3 整合原始码
7.2.4 设定编译完成后的核心版本号
7.2.5 清理核心原始码以外的临时档案
7.2.6 设定核心编译参数
7.2.7 执行编译操作
7.2.8 安装模组及结构中心
7.2.9 修改开机管理程式
7.3 如何安装核心补丁
7.3.1 下载补丁档案及核心原始码
7.3.2 準备核心及补丁的原始码
7.3.3 运行核心补丁
7.3.4 设定核心编译参数
7.3.5 核心编译完毕后的检查
7.4 小结
第 8 章 套用层防火墙
8.1 如何为iptables安装补丁
8.2 Layer7模组识别套用层协定的原理
8.3 安装Layer7模组的模式
8.4 如何使用Layer7模组
8.5 Layer7模组使用示例说明
8.6 结合使用包过滤器与Layer7模组
8.7 小结
第 9 章 透明式防火墙
9.1 何谓桥接模式
9.2 何谓透明式防火墙
9.3 构建透明式防火墙
9.3.1 使用Linux构建网桥
9.3.2 Netfilter在Layer3及Layer2的工作逻辑
9.3.3 另一种透明式防火墙
9.3.4 配置代理ARP
9.4 小结
第 10 章 基于策略的路由及多路频宽合併
10.1 何谓基于策略的路由
10.2 了解Linux的路由机制
10.3 路由策略资料库与路由表的管理
10.3.1 管理策略资料库
10.3.2 管理路由表
10.4 频宽合併
10.4.1 何谓频宽合併
10.4.2 企业内的频宽合併
10.5 小结
第 11 章 Linux的频宽管理
11.1 伫列
11.1.1 不可分类的伫列算法
11.1.2 可分类的伫列算法
11.2 Linux频宽管理
11.3 过滤器
11.3.1 FW过滤器
11.3.2 U32过滤器
11.4 频宽管理部署示例
11.4.1 频宽划分
11.4.2 设定伫列算法
11.4.3 设定伫列规则
11.4.4 设定过滤器
11.4.5 测试
11.5 频宽借用
11.6 类别中的伫列
11.7 Linux频宽管理的限制
11.8 网桥模式中的频宽管理
11.9 多接口的频宽管理
11.9.1 为核心及iptables安装补丁
11.9.2 多接口频宽管理
11.10 实际案例
11.11 小结
第 12 章 流量统计
12.1 安装及测试SNMP伺服器
12.1.1 安装SNMP伺服器
12.1.2 测试SNMP伺服器
12.2 安装及设定MRTG
12.2.1 安装MRTG
12.2.2 设定MRTG
12.2.3 使用cfgmaker工具编写MRTG针对网卡的配置档案
12.3 另一种网路流量监测方式
12.3.1 结合使用Netfilter/Iptables和MRTG来监测网路流量
12.3.2 手动编写MRTG的配置档案
12.4 外部程式及MRTG配置档案的示例
12.5 小结
第 13 章 弱点扫描、入侵检测及主动防御系统
13.1 何谓弱点扫描
13.1.1 OpenVAS弱点扫描工具
13.1.2 OpenVAS弱点扫描工具的工作架构
13.1.3 下载及安装OpenVAS弱点扫描工具
13.1.4 进行弱点扫描
13.2 入侵检测系统
13.2.1 网路设备的限制
13.2.2 入侵检测系统的分类
13.2.3 入侵检测系统的部署
13.2.4 Snort入侵检测系统介绍
13.2.5 下载及安装Snort入侵检测系统
13.2.6 下载及安装Snort的规则资料库
13.2.7 配置Snort
13.2.8 Snort的启停
13.2.9 Snort的警告
13.3 主动防御系统
13.3.1 下载Guardian
13.3.2 安装Guardian
13.3.3 设定Guardian
13.3.4 Guardian的启停
13.4 小结
第 14 章 VPN基础篇
14.1 何谓VPN
14.1.1 VPN的原理
14.1.2 常见的VPN架构
14.1.3 VPN的安全问题
14.1.4 VPN机制的优缺点
14.2 数据加解密
14.2.1 何谓“明文”
14.2.2 何谓“密文”
14.3 数据加密类型
14.3.1 对称加密
14.3.2 非对称加密
14.4 哈希算法
14.4.1 常见的哈希算法
14.4.2 哈希算法的特性
14.5 基于IPSec的VPN
14.5.1 IPSec的工作模式
14.5.2 IPSec的组成要素
14.5.3 AH及ESP协定运行时需要设定的参数
14.5.4 安装IPSec参数的管理工具
14.5.5 配置传输模式IPSec VPN
14.6 Linux中的IPSec架构
14.6.1 IPSec机制的SPD
14.6.2 IPSec机制的SAD
14.7 小结
第 15 章 VPN实战篇
15.1 IKE
15.2 Preshared Keys验证模式下的传输模式VPN
15.2.1 资料库伺服器的设定
15.2.2 客户端主机的设定
15.2.3 启动VPN
15.3 Preshared Keys验证模式下的隧道模式VPN
15.3.1 VPN 伺服器(A)主机上的设定
15.3.2 VPN 伺服器(B)主机上的设定
15.4 何谓数字证书
15.4.1 数字证书的必要性
15.4.2 证书管理中心
15.4.3 将Linux系统作为企业的CA
15.5 数字证书验证模式下的传输模式VPN
15.5.1 证书的生成及保存
15.5.2 客户端VPN主机的设定
15.6 数字证书验证模式下的隧道模式VPN
15.6.1 证书的生成及保存
15.6.2 设定VPN 伺服器(A)
15.6.3 设定VPN 伺服器(B)
15.6.4 启动IPSec
15.7 小结
第 16 章 VPN:L2TP Over IPSec
16.1 何谓PPP
16.2 何谓L2TP协定
16.2.1 L2TP协定的原理
16.2.2 L2TP协定的安全问题
16.2.3 L2TP协定安全问题的解决方案
16.2.4 Client to Site的L2TP VPN结构探讨
16.2.5 L2TP 客户端及伺服器之间网段的选择
16.2.6 Proxy ARP的工作原理
16.3 构建L2TP VPN
16.3.1 配置L2TP伺服器
16.3.2 配置PPP伺服器
16.3.3 建立VPN的拨号帐户
16.3.4 证书的生成及保存
16.3.5 配置安全策略
16.3.6 IKE配置档案
16.3.7 启动L2TP伺服器
16.4 配置L2TP客户端
16.4.1 生成L2TP客户端证书
16.4.2 将证书导入Windows XP/7系统前的準备工作
16.4.3 设定Windows XP系统上的L2TP客户端
16.4.4 设定Windows 7系统中的L2TP客户端
16.5 IPSec连线穿透NAT的问题
16.6 小结
1.1 TCP/IP的基本概念
1.1.1 套用层
1.1.2 传输层
1.1.3 网路层
1.1.4 链路层
1.2 数据包传输
1.3 TCP、UDP及Socket的关係
1.4 何谓防火墙
1.5 防火墙的判断依据
1.5.1 各层数据包包头内的信息
1.5.2 数据包所承载的数据内容
1.5.3 连线状态
1.6 防火墙的分类
1.6.1 数据包过滤防火墙
1.6.2 套用层防火墙
1.7 常见的防火墙结构
1.7.1 单机防火墙
1.7.2 网关式防火墙
1.7.3 透明防火墙
1.8 小结
第 2 章 Netfilter/iptables
2.1 何谓核心
2.2 何谓Netfilter
2.3 Netfilter与Linux的关係
2.4 Netfilter工作的位置
2.5 Netfilter的命令结构
2.6 Netfilter的filter机制
2.7 规则的匹配方式
2.8 Netfilter与iptables的关係
2.9 iptables工具的使用方法
2.9.1 iptables命令参数
2.9.2 iptables规则语法
2.9.3 学以致用:iptables的规则语法
2.10 使用iptables机制来构建简单的单机防火墙
2.10.1 如何测试防火墙规则正确与否
2.10.2 解决无法在防火墙主机上对外建立连线的问题
2.10.3 管理防火墙规则资料库的办法
2.11 使用filter机制来构建网关式防火墙
2.12 Netfilter的NAT机制
2.12.1 IP网段的划分
2.12.2 私有IP
2.12.3 NAT
2.12.4 数据包传输方向与SNAT及DNAT的关係
2.12.5 NAT的分类
2.12.6 NAT并非无所不能
2.13 Netfilter的Mangle机制
2.14 Netfilter的raw机制
2.15 小结
第 3 章 Netfilter的匹配方式及处理方法
3.1 匹配方式
3.1.1 内置的匹配方式
3.1.2 从模组扩展而来的匹配方式
3.2 处理方法
3.2.1 内置的处理方法
3.2.2 由模组扩展的处理方法
3.3 小结
第 4 章 Netfilter/Iptables的高级技巧
4.1 防火墙性能的最最佳化
4.1.1 调整防火墙规则顺序
4.1.2 巧妙使用multiport及iprange模组
4.1.3 巧妙使用用户定义的链
4.2 Netfilter连线处理能力与记忆体消耗
4.2.1 计算最大连线数
4.2.2 调整连线跟蹤数
4.2.3 连线跟蹤数量与记忆体消耗
4.3 使用raw 表
4.4 简单及複杂通信协定的处理
4.4.1 简单通信协定
4.4.2 複杂通信协定
4.4.3 ICMP数据包的处理原则
4.4.4 在DMZ上使用NAT将面临的问题及解决方案
4.4.5 常见的网路攻击手段及防御方法
4.5 小结
第 5 章 代理伺服器的套用
5.1 何谓代理伺服器
5.2 代理伺服器支持的通信协定
5.3 代理伺服器的分类
5.3.1 何谓快取代理
5.3.2 何谓反向代理
5.4 代理伺服器的硬体要求
5.5 安装Squid代理
5.6 使用Squid构建快取代理
5.6.1 快取代理的基本配置
5.6.2 快取代理客户端的配置
5.6.3 快取代理的高级配置
5.6.4 快取代理连线访问控制
5.6.5 快取对象的管理
5.6.6 Squid代理的工作日誌
5.6.7 Squid代理的名称解析
5.7 透明代理
5.7.1 透明代理的工作原理
5.7.2 透明代理的配置
5.8 反向代理
5.8.1 Web 伺服器的分类
5.8.2 构建反向代理
5.9 小结
第 6 章 使用Netfilter/Iptables保护企业网路
6.1 防火墙结构的选择
6.2 防火墙本机的安全
6.2.1 网路攻击
6.2.2 系统入侵
6.2.3 入站/出站的考虑事项
6.2.4 远程管理的安全考虑事项
6.3 防火墙的规则定义
6.3.1 企业内部与网际网路
6.3.2 DMZ与网际网路
6.3.3 企业内部与DMZ
6.4 入侵与防御的其他注意事项
6.4.1 更新系统软体
6.4.2 Syn Flooding攻击防御
6.4.3 IP欺骗防御
6.5 小结
第 7 章 Linux核心编译
7.1 为何需要重新编译核心
7.2 核心编译
7.2.1 安装软体开发环境
7.2.2 获取核心原始码
7.2.3 整合原始码
7.2.4 设定编译完成后的核心版本号
7.2.5 清理核心原始码以外的临时档案
7.2.6 设定核心编译参数
7.2.7 执行编译操作
7.2.8 安装模组及结构中心
7.2.9 修改开机管理程式
7.3 如何安装核心补丁
7.3.1 下载补丁档案及核心原始码
7.3.2 準备核心及补丁的原始码
7.3.3 运行核心补丁
7.3.4 设定核心编译参数
7.3.5 核心编译完毕后的检查
7.4 小结
第 8 章 套用层防火墙
8.1 如何为iptables安装补丁
8.2 Layer7模组识别套用层协定的原理
8.3 安装Layer7模组的模式
8.4 如何使用Layer7模组
8.5 Layer7模组使用示例说明
8.6 结合使用包过滤器与Layer7模组
8.7 小结
第 9 章 透明式防火墙
9.1 何谓桥接模式
9.2 何谓透明式防火墙
9.3 构建透明式防火墙
9.3.1 使用Linux构建网桥
9.3.2 Netfilter在Layer3及Layer2的工作逻辑
9.3.3 另一种透明式防火墙
9.3.4 配置代理ARP
9.4 小结
第 10 章 基于策略的路由及多路频宽合併
10.1 何谓基于策略的路由
10.2 了解Linux的路由机制
10.3 路由策略资料库与路由表的管理
10.3.1 管理策略资料库
10.3.2 管理路由表
10.4 频宽合併
10.4.1 何谓频宽合併
10.4.2 企业内的频宽合併
10.5 小结
第 11 章 Linux的频宽管理
11.1 伫列
11.1.1 不可分类的伫列算法
11.1.2 可分类的伫列算法
11.2 Linux频宽管理
11.3 过滤器
11.3.1 FW过滤器
11.3.2 U32过滤器
11.4 频宽管理部署示例
11.4.1 频宽划分
11.4.2 设定伫列算法
11.4.3 设定伫列规则
11.4.4 设定过滤器
11.4.5 测试
11.5 频宽借用
11.6 类别中的伫列
11.7 Linux频宽管理的限制
11.8 网桥模式中的频宽管理
11.9 多接口的频宽管理
11.9.1 为核心及iptables安装补丁
11.9.2 多接口频宽管理
11.10 实际案例
11.11 小结
第 12 章 流量统计
12.1 安装及测试SNMP伺服器
12.1.1 安装SNMP伺服器
12.1.2 测试SNMP伺服器
12.2 安装及设定MRTG
12.2.1 安装MRTG
12.2.2 设定MRTG
12.2.3 使用cfgmaker工具编写MRTG针对网卡的配置档案
12.3 另一种网路流量监测方式
12.3.1 结合使用Netfilter/Iptables和MRTG来监测网路流量
12.3.2 手动编写MRTG的配置档案
12.4 外部程式及MRTG配置档案的示例
12.5 小结
第 13 章 弱点扫描、入侵检测及主动防御系统
13.1 何谓弱点扫描
13.1.1 OpenVAS弱点扫描工具
13.1.2 OpenVAS弱点扫描工具的工作架构
13.1.3 下载及安装OpenVAS弱点扫描工具
13.1.4 进行弱点扫描
13.2 入侵检测系统
13.2.1 网路设备的限制
13.2.2 入侵检测系统的分类
13.2.3 入侵检测系统的部署
13.2.4 Snort入侵检测系统介绍
13.2.5 下载及安装Snort入侵检测系统
13.2.6 下载及安装Snort的规则资料库
13.2.7 配置Snort
13.2.8 Snort的启停
13.2.9 Snort的警告
13.3 主动防御系统
13.3.1 下载Guardian
13.3.2 安装Guardian
13.3.3 设定Guardian
13.3.4 Guardian的启停
13.4 小结
第 14 章 VPN基础篇
14.1 何谓VPN
14.1.1 VPN的原理
14.1.2 常见的VPN架构
14.1.3 VPN的安全问题
14.1.4 VPN机制的优缺点
14.2 数据加解密
14.2.1 何谓“明文”
14.2.2 何谓“密文”
14.3 数据加密类型
14.3.1 对称加密
14.3.2 非对称加密
14.4 哈希算法
14.4.1 常见的哈希算法
14.4.2 哈希算法的特性
14.5 基于IPSec的VPN
14.5.1 IPSec的工作模式
14.5.2 IPSec的组成要素
14.5.3 AH及ESP协定运行时需要设定的参数
14.5.4 安装IPSec参数的管理工具
14.5.5 配置传输模式IPSec VPN
14.6 Linux中的IPSec架构
14.6.1 IPSec机制的SPD
14.6.2 IPSec机制的SAD
14.7 小结
第 15 章 VPN实战篇
15.1 IKE
15.2 Preshared Keys验证模式下的传输模式VPN
15.2.1 资料库伺服器的设定
15.2.2 客户端主机的设定
15.2.3 启动VPN
15.3 Preshared Keys验证模式下的隧道模式VPN
15.3.1 VPN 伺服器(A)主机上的设定
15.3.2 VPN 伺服器(B)主机上的设定
15.4 何谓数字证书
15.4.1 数字证书的必要性
15.4.2 证书管理中心
15.4.3 将Linux系统作为企业的CA
15.5 数字证书验证模式下的传输模式VPN
15.5.1 证书的生成及保存
15.5.2 客户端VPN主机的设定
15.6 数字证书验证模式下的隧道模式VPN
15.6.1 证书的生成及保存
15.6.2 设定VPN 伺服器(A)
15.6.3 设定VPN 伺服器(B)
15.6.4 启动IPSec
15.7 小结
第 16 章 VPN:L2TP Over IPSec
16.1 何谓PPP
16.2 何谓L2TP协定
16.2.1 L2TP协定的原理
16.2.2 L2TP协定的安全问题
16.2.3 L2TP协定安全问题的解决方案
16.2.4 Client to Site的L2TP VPN结构探讨
16.2.5 L2TP 客户端及伺服器之间网段的选择
16.2.6 Proxy ARP的工作原理
16.3 构建L2TP VPN
16.3.1 配置L2TP伺服器
16.3.2 配置PPP伺服器
16.3.3 建立VPN的拨号帐户
16.3.4 证书的生成及保存
16.3.5 配置安全策略
16.3.6 IKE配置档案
16.3.7 启动L2TP伺服器
16.4 配置L2TP客户端
16.4.1 生成L2TP客户端证书
16.4.2 将证书导入Windows XP/7系统前的準备工作
16.4.3 设定Windows XP系统上的L2TP客户端
16.4.4 设定Windows 7系统中的L2TP客户端
16.5 IPSec连线穿透NAT的问题
16.6 小结
