(已有17条评价)基本信息
- 原书名:Linux Firewalls (3rd Edition)
- 原出版社: Sams
- 作者: (美)Steve Suehring,Robert L.Ziegler
- 译者: 何泾沙 等
- 出版社:机械工业出版社
- ISBN:9787111190233
- 上架时间:2006-6-27
- 出版日期:2006 年6月
- 开本:16开
- 页码:356
- 版次:3-1
- 所属分类:计算机 > 操作系统 > Linux
计算机 > 安全 > 网络安全/防火墙/黑客
编辑推荐
本书条理清晰,图示丰富,是Linux防火墙权威指南,本身最有价值的部分莫过于对iptables、包过滤以及防火墙优化的详细介绍。同时还包含了通过自定义内核来增加安全性的高级主题。本书适用于独立用户、系统管理员、咨询专家、IT从业人员以及其他需要构建Linux防火墙的人。
内容简介
书籍
计算机书籍
本书详细介绍Linux操作系统中构建防火墙的方法,以及入侵检测和系统安全的技术。主要内容包括:防火墙的基础知识,Linux防火墙管理程序iptable,构建防火墙的方法,防火墙的优化,数据包的转发,网络监控和攻击检测,内核强化等。本书独立于Linux某个发行版本,涉及常驻于Linux内核的Netfilter核心软件。可帮助读者掌握Linux系统与网络安全技术。.
本书条理清晰,图示丰富,可供各类计算机专业技术人员参考。..
本书是Linux防火墙权威指南,包括如何使用Linux Netfilter/iptables来实现防火墙的主题。本书的主题既包括如何安装和设置防火墙的基础知识,也包括针对黑客攻击的防范。本身最有价值的部分莫过于对iptables、包过滤以及防火墙优化的详细介绍。同时还包含了通过自定义内核来增加安全性的高级主题。.
本书适用于独立用户、系统管理员、咨询专家、IT从业人员以及其他需要构建Linux防火墙的人。本书内容独立于各个Linux发行版,包含针对SUSE Linux、Debian以及RedHat不同发行版的例子。...
计算机书籍
本书详细介绍Linux操作系统中构建防火墙的方法,以及入侵检测和系统安全的技术。主要内容包括:防火墙的基础知识,Linux防火墙管理程序iptable,构建防火墙的方法,防火墙的优化,数据包的转发,网络监控和攻击检测,内核强化等。本书独立于Linux某个发行版本,涉及常驻于Linux内核的Netfilter核心软件。可帮助读者掌握Linux系统与网络安全技术。.
本书条理清晰,图示丰富,可供各类计算机专业技术人员参考。..
本书是Linux防火墙权威指南,包括如何使用Linux Netfilter/iptables来实现防火墙的主题。本书的主题既包括如何安装和设置防火墙的基础知识,也包括针对黑客攻击的防范。本身最有价值的部分莫过于对iptables、包过滤以及防火墙优化的详细介绍。同时还包含了通过自定义内核来增加安全性的高级主题。.
本书适用于独立用户、系统管理员、咨询专家、IT从业人员以及其他需要构建Linux防火墙的人。本书内容独立于各个Linux发行版,包含针对SUSE Linux、Debian以及RedHat不同发行版的例子。...
作译者
Steve Suehring 是一个具有多方面专业技能的软件架构师。他在很多领域都有研究,从大型机上的0S/390到微软的Windows,再到多个Linux发行版。他曾是Linux World杂志关于计算机安全方面的编辑,从事安全咨询以及开源软件培训方面的工作。.
Robert L.Ziegler 是一位知名的软件架构师和咨询专家,曾经为很多公司服务,其中包括Nokia公司。他因为撰写本书而著名,并且开设了一个受人尊敬的防火墙资源网站来分享他的设计经验以及对工具的评估。...
Robert L.Ziegler 是一位知名的软件架构师和咨询专家,曾经为很多公司服务,其中包括Nokia公司。他因为撰写本书而著名,并且开设了一个受人尊敬的防火墙资源网站来分享他的设计经验以及对工具的评估。...
目录
译者序.
前言
第一部分 数据包过滤及基本安全措施
第1章 防火墙的基本概念
1.1 OSI网络参考模型
1.2 IP协议
1.3 传输机制
1.4 不要忘记ARP协议
1.5 主机名称和IP地址
1.6 路由:数据包的传送
1.7 服务端口:通向系统程序的大门
1.8 小结
笫2章 数据包过滤的概念
2.1 一个数据包过滤防火墙
2.2 选择一个默认的数据包过滤策略
2.3 拒绝与禁止一个数据包
2.4 过滤入站数据包
2.5 过滤出站数据包
2.6 专用网络和公共网络服务
2.7 小结
前言
第一部分 数据包过滤及基本安全措施
第1章 防火墙的基本概念
1.1 OSI网络参考模型
1.2 IP协议
1.3 传输机制
1.4 不要忘记ARP协议
1.5 主机名称和IP地址
1.6 路由:数据包的传送
1.7 服务端口:通向系统程序的大门
1.8 小结
笫2章 数据包过滤的概念
2.1 一个数据包过滤防火墙
2.2 选择一个默认的数据包过滤策略
2.3 拒绝与禁止一个数据包
2.4 过滤入站数据包
2.5 过滤出站数据包
2.6 专用网络和公共网络服务
2.7 小结
译者序
随着计算机和互联网技术的快速发展以及在越来越多的应用领域中的迅速普及,人类对计算机和互联网的依赖程度越来越高,因此增强计算机系统以及互联网络的安全性能也变得越来越重要。然而,实现计算机系统的安全,尤其是实现对采用分布式方式进行运行和管理的互联网络的安全是一个复杂而且技术难度较高的工作,充满了挑战性,近年来也是一个极具活力的研究和开发领域。.
防火墙作为互联网络中使用最广泛的安全措施之一,伴随着近年来互联网的快速发展而得到广泛的应用,同时也被实践证明是至今为数不多的成功的网络安全应用实例。然而,防火墙的技术开发以及准确的系统配置和管理对于正确地发挥其在安全方面的功能至关重要。因此,专用的防火墙设备价格昂贵,对技术和管理人员的要求也很高。另一方面,Linux作为目前唯一在全球范围内得到广泛接受和应用的开源操作系统,所提供的灵活性和可操作性为开发和配置防火墙以及按照特定网络环境的要求构建防火墙提供了一个价格低廉、性能优良的平台,日益获得了众多企业和个人用户的广泛接受。..
本书是最新的第3版,着重介绍了如何使用Linux操作系统提供的各种机制构建有效的软件防火墙。本书还介绍了互联网环境中防火墙技术的相关内容,如入侵检测、系统安全等。因此,本书适合希望对防火墙的基本概念和知识进行系统了解的人士,也适合对Linux操作系统及其安全已经有了一定程度的了解,但是希望在此基础上对此领域中的技术和应用进行更进一步学习和了解的人土。本书从防火墙的基本概念人手,重点介绍了如何基于Linux操作系统中提供的各种机制和手段构建、配置和管理防火墙,并且讨论了在此基础上如何实现更加完善的网络安全功能并对其进行有效管理的方法,如数据包转发、网络地址变换、入侵检测、网络监控等。因此,本书是一部浅入深出、含量丰富的技术书籍,适合在企业中从事系统安全方面的广大技术和管理工作人员以及家庭用户阅读和学习。
本书由北京工业大学教授、博土生导师、软件学院副院长、北京市特聘教授何泾沙博土负责翻译。北京工业大学软件学院研究生刘辉、王海兰、吴丽和李波参与了部分章节的翻译和校对工作。全书由何泾沙进行统稿及审校。由于译者的水平有限,加上时间上的限制,本书的翻译中难免存在不妥之处,敬请广大读者批评指正,译者在此深表谢意。...
防火墙作为互联网络中使用最广泛的安全措施之一,伴随着近年来互联网的快速发展而得到广泛的应用,同时也被实践证明是至今为数不多的成功的网络安全应用实例。然而,防火墙的技术开发以及准确的系统配置和管理对于正确地发挥其在安全方面的功能至关重要。因此,专用的防火墙设备价格昂贵,对技术和管理人员的要求也很高。另一方面,Linux作为目前唯一在全球范围内得到广泛接受和应用的开源操作系统,所提供的灵活性和可操作性为开发和配置防火墙以及按照特定网络环境的要求构建防火墙提供了一个价格低廉、性能优良的平台,日益获得了众多企业和个人用户的广泛接受。..
本书是最新的第3版,着重介绍了如何使用Linux操作系统提供的各种机制构建有效的软件防火墙。本书还介绍了互联网环境中防火墙技术的相关内容,如入侵检测、系统安全等。因此,本书适合希望对防火墙的基本概念和知识进行系统了解的人士,也适合对Linux操作系统及其安全已经有了一定程度的了解,但是希望在此基础上对此领域中的技术和应用进行更进一步学习和了解的人土。本书从防火墙的基本概念人手,重点介绍了如何基于Linux操作系统中提供的各种机制和手段构建、配置和管理防火墙,并且讨论了在此基础上如何实现更加完善的网络安全功能并对其进行有效管理的方法,如数据包转发、网络地址变换、入侵检测、网络监控等。因此,本书是一部浅入深出、含量丰富的技术书籍,适合在企业中从事系统安全方面的广大技术和管理工作人员以及家庭用户阅读和学习。
本书由北京工业大学教授、博土生导师、软件学院副院长、北京市特聘教授何泾沙博土负责翻译。北京工业大学软件学院研究生刘辉、王海兰、吴丽和李波参与了部分章节的翻译和校对工作。全书由何泾沙进行统稿及审校。由于译者的水平有限,加上时间上的限制,本书的翻译中难免存在不妥之处,敬请广大读者批评指正,译者在此深表谢意。...
前言
本书主要介绍如何在Linux操作系统中使用Netfilter和iptables构建一个基于软件的防火墙。除了介绍防火墙的基础知识,本书还进一步在网络计算的环境中对防火墙进行更加深入的阐述。最后,我们还将探讨入侵检测和系统安全等主题。.
计算机安全是一个不断发展的研究领域。目前已经有很多关于这方面的书籍,并且这方面的书籍还会持续增加。计算机安全始终围绕着如何保护数据这一主题,主要涉及以下三个原则:保密性、完整性、有效性。保密性是指保证数据只能够被得到授权的人访问,而不允许被其他人访问。完整性是指确认数据完好并且没有被损坏。有效性是指当需要访问数据时,就能够正常地访问。这三个原则指导着计算机安全领域中的讨论,并为本书提供了框架。
除了保密性、完整性,有效性这三个原则,我还赞成深入的、基于风险评估的计算机安全方法。虽然防火墙和杀毒软件在保护数据方面起着巨大的作用,但是我并不认为存在着一劳永逸的解决方案。然而,每种安全措施都有一定的成本。因此,每种附加的安全措施或安全层必须要被评估,以保证使用该层所付出的成本不会超过使用该层所带来的好处。
让我们看一下以下示例:我的家庭网络使用了两个防火墙,一个隔断防火墙和一个网关(参阅第6章,“数据包的转发”)。我认为使用两个防火墙带来的好处远大于配置和维护防火墙带来的开销。而有些人只使用单一的防火墙或者根本不使用防火墙。他们认为使用两个或者一个防火墙的成本要高于数据安全所带来的好处。我们还可以找出很多利用“成本收益比”(COSt/benefit)进行评估的例子。不幸的是,这种分析在很多安全领域中常常被忽视,而不仅仅是计算机安全领域。如果想要获取关于进行这种分析的更多信息并熟练掌握,请参考Bruce Schneier的著作《Secrets and Lies》和《Beyond Fear》。
撰写本书的目的
撰写本书的目的首先是给读者提供足够的信息,使其可以利用Linux中的iptables来配置防火墙。本书的另外一个目的是让读者对系统与网络安全有所了解。然而,由于本书并不是系统与网络安全的专著,虽然对系统与网络安全的介绍占据了书中的很大篇幅,但这终究不是本书的主题。同时,本书中涉及的一些话题,我还未看到其他文献有所提及。
本书是第3版,也是新作者Steve Suehring参与修订的第1版。Bob Ziegler撰写了本书的原始材料,并且在2001年修订并完成了第2版。Bob在前两版中的工作非常出色,在他打下的坚实基础上,我编撰出(本书的)第3版。此外,本书以前的版本中有一些内容是由Carl B.Constantine撰稿。Carl修订过的撰稿在本版的附录C中可见。
从1995年开始,在为一家ISP(Internet Service Provider,网络服务提供商)工作的时候,我学到了自己关于Linux安全方面的大部分知识。那时我主要学到的是安全意识。安全意识是网络服务提供商必不可少的,因为对网络服务提供商的基本要求是它必须提供7x24小时的公共接入服务。这就意味着网络服务提供商所提供的公共服务,时时刻刻都会面临外界袭击网络或侵犯系统的风险。如果不将安全视为运营的核心,那么提供的服务就很难达到客户要求的可靠性,同时我们也不能保证所掌握的数据的完整性。在1995年的时候,尽管安全工具、软件普遍缺乏,也没有书籍像本书一样涉及网络系统安全的问题,但我们仍需提供安全的保障。
以上这个背景也可以帮助解释“为什么选择linux?”无论过去还是现在,答案都很简单:当面临以及要解决这类问题的时候,Linux和开源工具是当时唯一的解决途径。投有其他的方法能够提供Linux和开源软件所能捉供的可靠性。与Linux相比,当时没有其他的操作系统能够在保持总体拥有成本(Total Cost of Ownership,TCO)较低的同时还保证运行的安全性和稳定性。这个状况在今天依然没有太大的变化。单从技术的角度来评价的话,Linux是最出色的。抛去那些有偿研究所取得的成果,考虑总体拥有成本,Linux和开源软件就显得更加优越。为什么选择Linux?因为它是有效的。..
本书的读者对象
我在一些书中经常看到近乎无用的“本书的读者对象’部分,这样说是因为那些书的该部分总是试图让你觉得你应该阅读该书。因此,为使出版社满意,我也要告诉你每个人都应该阅读本书。事实上,每个人都应该反复地阅读本书,并且每读一次都应该买一本新书。
然而严肃地说,我无法告诉你是不是应该读这本书,我只想介绍弓下这本书。
在读本书之前,你应该已经选择了一个Linux的版本并已将其安装完毕。另外,我还必须假设你现在想要得到的并不是简单地想要了解Linux或Unix操作系统方面简介性的知识,比如chmod命令。那方面的资料很多,你可以在网上找到大量相关信息,但是本书所要讲授的重点和它们相去甚远。然而,本书还是覆盖了大量的基础性内容,如网络安全、数据包过滤以及0SI模型中的层(假如你不太了解OSI模型,本书也会有相应的介绍)。
假如你对防火墙一无所知,或是你对Linux和Linux安全只有很浅的了解,而想在这方面提高一个层次,那么,希望本书对你会有所帮助。本书无论对家庭用户还是对企业中的系统安全管理员都有一定的帮助。
如果想从本书得到最大的收获,你应该基本熟悉、至少不惧怕Linux命令或shell命令。你应该知道如何在文件系统中移动文件以及如何使用基本的shell命令。
Linox的发布
有关Linux和开源方面的书籍应该更加中立于任何发行版或者覆盖多种发行版,本书在这两方面都做到了。建立在常驻于Linux内核的Netfilter核心软件之上,Linux防火墙通过使用iptables防火墙管理程序来构成。因此,它与各种Linux发行版在很大程度上是没有关系的。然而,本书的确包含了一些来自SUSE、Red Hat/Fedora和Debian的命令和观点。我们承认,也有别的Linux发行版,它们中的一些也是很棒的。选择以上这三种发行版并不意味着放弃其他的发行版。
在本书的第2版中只使用了Red Hat。因此,在此修订版中我尽力去除那些只与此发行版有关的内容和写法。这样做并不是为了偏向某一发行版而排斥其他的发行版,而是一种务实的决定,是为了给更多的读者提供实际的应用和防止当读者与作者所使用的发行版不一致时所产生的有关文件和命令位置的混乱。
本书中的错误
尽管花了很多精力去核对论据、数据、文件和语法,一些错误还是不可避免地会流过拼写检查、技术性编辑、印刷排版和复审的整个过程。我首先对书中还可能存在的错误感到抱歉。我在此也邀请本书的读者访问我的网站,即下面的配套网站,以获得与本书相关的更新以及其他信息。同时有任何反馈信息请发到我的邮箱:steve.suehring@braingia.com。尽管我不能保证会有正确的答案,但我肯定会尽力回答和并且指出一个正确的方向。
计算机安全是一个不断发展的研究领域。目前已经有很多关于这方面的书籍,并且这方面的书籍还会持续增加。计算机安全始终围绕着如何保护数据这一主题,主要涉及以下三个原则:保密性、完整性、有效性。保密性是指保证数据只能够被得到授权的人访问,而不允许被其他人访问。完整性是指确认数据完好并且没有被损坏。有效性是指当需要访问数据时,就能够正常地访问。这三个原则指导着计算机安全领域中的讨论,并为本书提供了框架。
除了保密性、完整性,有效性这三个原则,我还赞成深入的、基于风险评估的计算机安全方法。虽然防火墙和杀毒软件在保护数据方面起着巨大的作用,但是我并不认为存在着一劳永逸的解决方案。然而,每种安全措施都有一定的成本。因此,每种附加的安全措施或安全层必须要被评估,以保证使用该层所付出的成本不会超过使用该层所带来的好处。
让我们看一下以下示例:我的家庭网络使用了两个防火墙,一个隔断防火墙和一个网关(参阅第6章,“数据包的转发”)。我认为使用两个防火墙带来的好处远大于配置和维护防火墙带来的开销。而有些人只使用单一的防火墙或者根本不使用防火墙。他们认为使用两个或者一个防火墙的成本要高于数据安全所带来的好处。我们还可以找出很多利用“成本收益比”(COSt/benefit)进行评估的例子。不幸的是,这种分析在很多安全领域中常常被忽视,而不仅仅是计算机安全领域。如果想要获取关于进行这种分析的更多信息并熟练掌握,请参考Bruce Schneier的著作《Secrets and Lies》和《Beyond Fear》。
撰写本书的目的
撰写本书的目的首先是给读者提供足够的信息,使其可以利用Linux中的iptables来配置防火墙。本书的另外一个目的是让读者对系统与网络安全有所了解。然而,由于本书并不是系统与网络安全的专著,虽然对系统与网络安全的介绍占据了书中的很大篇幅,但这终究不是本书的主题。同时,本书中涉及的一些话题,我还未看到其他文献有所提及。
本书是第3版,也是新作者Steve Suehring参与修订的第1版。Bob Ziegler撰写了本书的原始材料,并且在2001年修订并完成了第2版。Bob在前两版中的工作非常出色,在他打下的坚实基础上,我编撰出(本书的)第3版。此外,本书以前的版本中有一些内容是由Carl B.Constantine撰稿。Carl修订过的撰稿在本版的附录C中可见。
从1995年开始,在为一家ISP(Internet Service Provider,网络服务提供商)工作的时候,我学到了自己关于Linux安全方面的大部分知识。那时我主要学到的是安全意识。安全意识是网络服务提供商必不可少的,因为对网络服务提供商的基本要求是它必须提供7x24小时的公共接入服务。这就意味着网络服务提供商所提供的公共服务,时时刻刻都会面临外界袭击网络或侵犯系统的风险。如果不将安全视为运营的核心,那么提供的服务就很难达到客户要求的可靠性,同时我们也不能保证所掌握的数据的完整性。在1995年的时候,尽管安全工具、软件普遍缺乏,也没有书籍像本书一样涉及网络系统安全的问题,但我们仍需提供安全的保障。
以上这个背景也可以帮助解释“为什么选择linux?”无论过去还是现在,答案都很简单:当面临以及要解决这类问题的时候,Linux和开源工具是当时唯一的解决途径。投有其他的方法能够提供Linux和开源软件所能捉供的可靠性。与Linux相比,当时没有其他的操作系统能够在保持总体拥有成本(Total Cost of Ownership,TCO)较低的同时还保证运行的安全性和稳定性。这个状况在今天依然没有太大的变化。单从技术的角度来评价的话,Linux是最出色的。抛去那些有偿研究所取得的成果,考虑总体拥有成本,Linux和开源软件就显得更加优越。为什么选择Linux?因为它是有效的。..
本书的读者对象
我在一些书中经常看到近乎无用的“本书的读者对象’部分,这样说是因为那些书的该部分总是试图让你觉得你应该阅读该书。因此,为使出版社满意,我也要告诉你每个人都应该阅读本书。事实上,每个人都应该反复地阅读本书,并且每读一次都应该买一本新书。
然而严肃地说,我无法告诉你是不是应该读这本书,我只想介绍弓下这本书。
在读本书之前,你应该已经选择了一个Linux的版本并已将其安装完毕。另外,我还必须假设你现在想要得到的并不是简单地想要了解Linux或Unix操作系统方面简介性的知识,比如chmod命令。那方面的资料很多,你可以在网上找到大量相关信息,但是本书所要讲授的重点和它们相去甚远。然而,本书还是覆盖了大量的基础性内容,如网络安全、数据包过滤以及0SI模型中的层(假如你不太了解OSI模型,本书也会有相应的介绍)。
假如你对防火墙一无所知,或是你对Linux和Linux安全只有很浅的了解,而想在这方面提高一个层次,那么,希望本书对你会有所帮助。本书无论对家庭用户还是对企业中的系统安全管理员都有一定的帮助。
如果想从本书得到最大的收获,你应该基本熟悉、至少不惧怕Linux命令或shell命令。你应该知道如何在文件系统中移动文件以及如何使用基本的shell命令。
Linox的发布
有关Linux和开源方面的书籍应该更加中立于任何发行版或者覆盖多种发行版,本书在这两方面都做到了。建立在常驻于Linux内核的Netfilter核心软件之上,Linux防火墙通过使用iptables防火墙管理程序来构成。因此,它与各种Linux发行版在很大程度上是没有关系的。然而,本书的确包含了一些来自SUSE、Red Hat/Fedora和Debian的命令和观点。我们承认,也有别的Linux发行版,它们中的一些也是很棒的。选择以上这三种发行版并不意味着放弃其他的发行版。
在本书的第2版中只使用了Red Hat。因此,在此修订版中我尽力去除那些只与此发行版有关的内容和写法。这样做并不是为了偏向某一发行版而排斥其他的发行版,而是一种务实的决定,是为了给更多的读者提供实际的应用和防止当读者与作者所使用的发行版不一致时所产生的有关文件和命令位置的混乱。
本书中的错误
尽管花了很多精力去核对论据、数据、文件和语法,一些错误还是不可避免地会流过拼写检查、技术性编辑、印刷排版和复审的整个过程。我首先对书中还可能存在的错误感到抱歉。我在此也邀请本书的读者访问我的网站,即下面的配套网站,以获得与本书相关的更新以及其他信息。同时有任何反馈信息请发到我的邮箱:steve.suehring@braingia.com。尽管我不能保证会有正确的答案,但我肯定会尽力回答和并且指出一个正确的方向。
