Linux防火牆（第4版）

第1部分數據包過濾以及基本安全措施1
第1章 數據包過濾防火牆的預備知識 3
1.1 OSI網絡模型 5
1.1.1 面向連接和無連接的協議 6
1.1.2 下一步 7
1.2 IP協議 7
1.2.1 IP編址和子網划分 7
1.2.2 IP分片 10
1.2.3 廣播與組播 10
1.2.4 ICMP 11
1.3 傳輸層機制 13
1.3.1 UDP 13
1.3.2 TCP 14
1.4 地址解析協議（ARP） 16
1.5 主機名和IP地址 16
1.6 路由：將數據包從這里傳輸到那里 17
1.7 服務端口：通向您系統中程序的大門 17
1.8 小結 22
第2章 數據包過濾防火牆概念 23
2.1 一個數據包過濾防火牆 24
2.2 選擇一個默認的數據包過濾策略 26
2.3 對一個數據包的駁回（Rejecting）VS拒絕（Denying） 28
2.4 過濾傳入的數據包 28
2.4.1 遠程源地址過濾 28
2.4.2 本地目的地址過濾 31
2.4.3 遠程源端口過濾 31
2.4.4 本地目的端口過濾 32
2.4.5 傳入TCP的連接狀態過濾 32
2.4.6 探測和掃描 32
2.4.7 拒絕服務攻擊 36
2.4.8 源路由數據包 42
2.5 過濾傳出數據包 42
2.5.1 本地源地址過濾 42
2.5.2 遠程目的地址過濾 43
2.5.3 本地源端口過濾 43
2.5.4 遠程目的端口過濾 44
2.5.5 傳出TCP連接狀態過濾 44
2.6 私有網絡服務VS公有網絡服務 44
2.6.1 保護不安全的本地服務 45
2.6.2 選擇運行的服務 45
2.7 小結 46
第3章 iptables：傳統的Linux防火牆管理程序 47
3.1 IP防火牆（IPFW）和Netfilter防火牆機制的不同 47
3.1.1 IPFW數據包傳輸 48
3.1.2 Netfilter數據包傳輸 49
3.2 iptables基本語法 50
3.3 iptables特性 51
3.3.1 NAT表特性 53
3.3.2 mangle表特性 55
3.4 iptables語法 55
3.4.1 filter表命令 57
3.4.2 filter表目標擴展 60
3.4.3 filter表匹配擴展 62
3.4.4 nat表目標擴展 71
3.4.5 mangle表命令 73
3.5 小結 74
第4章 nftables：（新）Linux防火牆管理程序 75
4.1 iptables和nftables的差別 75
4.2 nftables基本語法 75
4.3 nftables特性 75
4.4 nftables語法 76
4.4.1 表語法 77
4.4.2 規則鏈語法 78
4.4.3 規則語法 78
4.4.4 nftables的基礎操作 82
4.4.5 nftables文件語法 83
4.5 小結 83
第5章 構建和安裝獨立的防火牆 85
5.1 Linux防火牆管理程序 86
5.1.1 定制與購買：Linux內核 87
5.1.2 源地址和目的地址的選項 88
5.2 初始化防火牆 89
5.2.1 符號常量在防火牆示例中的使用 90
5.2.2 啟用內核對監控的支持 90
5.2.3 移除所有預先存在的規則 92
5.2.4 重置默認策略及停止防火牆 93
5.2.5 啟用回環接口 94
5.2.6 定義默認策略 95
5.2.7 利用連接狀態繞過規則檢測 96
5.2.8 源地址欺騙及其他不合法地址 97
5.3 保護被分配在非特權端口上的服務 101
5.3.1 分配在非特權端口上的常用本地TCP服務 102
5.3.2 分配在非特權端口上的常用本地UDP服務 104
5.4 啟用基本的、必需的互聯網服務 106
5.5 啟用常用TCP服務 111
5.5.1 Email（TCPSMTP端口25，POP端口110，IMAP端口143） 111
5.5.2 SSH（TCP端口22） 117
5.5.3 FTP（TCP端口20、21） 118
5.5.4 通用的TCP服務 121
5.6 啟用常用UDP服務 122
5.6.1 訪問您ISP的DHCP服務器（UDP端口67、68） 122
5.6.2 訪問遠程網絡時間服務器（UDP端口123） 124
5.7 記錄被丟棄的傳入數據包 125
5.8 記錄被丟棄的傳出數據包 126
5.9 安裝防火牆 126
5.9.1 調試防火牆腳本的小竅門 127
5.9.2 在啟動RedHat和SUSE時啟動防火牆 128
5.9.3 在啟動Debian時啟動防火牆 128
5.9.4 安裝使用動態IP地址的防火牆 128
5.10 小結 129
第2部分 高級議題、多個防火牆和網絡防護帶 131
第6章 防火牆的優化 133
6.1 規則組織 133
6.1.1 從阻止高位端口流量的規則開始 133
6.1.2 使用狀態模塊進行ESTABLISHED和RELATED匹配 134
6.1.3 考慮傳輸層協議 134
6.1.4 盡早為常用的服務設置防火牆規則 135
6.1.5 使用網絡數據流來決定在哪里為多個網絡接口設置規則 135
6.2 用戶自定義規則鏈 136
6.3 優化的示例 139
6.3.1 優化的iptables腳本 139
6.3.2 防火牆初始化 140
6.3.3 安裝規則鏈 142
6.3.4 構建用戶自定義的EXT—input和EXT—output規則鏈 144
6.3.5 tcp—state—flags 152
6.3.6 connection—tracking 153
6.3.7 local—dhcp—client—query和remote—dhcp—server—response 153
6.3.8 source—address—check 155
6.3.9 destination—address—check 155
6.3.10 在iptables中記錄丟棄的數據包 156
6.3.11 優化的nftables腳本 157
6.3.12 防火牆初始化 158
6.3.13 構建規則文件 159
6.3.14 在nftables中記錄丟棄的數據包 163
6.4 優化帶來了什麼 163
6.4.1 iptables的優化 163
6.4.2 nftables的優化 164
6.5 小結 164
第7章 數據包轉發 165
7.1 獨立防火牆的局限性 165
7.2 基本的網關防火牆的設置 166
7.3 局域網安全問題 168
7.4 可信家庭局域網的配置選項 169
7.4.1 對網關防火牆的局域網訪問 170
7.4.2 對其他局域網的訪問：在多個局域網間轉發本地流量 171
7.5 較大型或不可信局域網的配置選項 173
7.5.1 划分地址空間來創建多個網絡 173
7.5.2 通過主機、地址或端口范圍限制內部訪問 175
7.6 小結 180
第8章 網絡地址轉換 181
8.1 NAT的概念背景 181
8.2 iptables和nftables中的NAT語義 184
8.2.1 源地址NAT 186
8.2.2 目的地址NAT 187
8.3 SNAT和私有局域網的例子 189
8.3.1 偽裝發往互聯網的局域網流量 189
8.3.2 對發往互聯網的局域網流量應用標准的NAT 190
8.4 DNAT、局域網和代理的例子 191
8.5 小結 192
……
第9章 調試防火牆規則 193
第10章 虛擬專用網絡 209
第3部分 iptables和nftables之外的事 215
第11章 入侵檢測和響應 217
第12章 入侵檢測工具 227
第13章 網絡監控和攻擊檢測 239
第14章 文件系統完整性 269
第4部分 附錄 285
附錄A 安全資源 287
附錄B 防火牆示例與支持腳本 289
附錄C 詞匯表 325
附錄D GNU自由文檔許可證 335