Linux防火墙(第4版)

本书是使用iptables和nftables构建Linux防火墙的杰出指南 伴随着Linux系统和网络管理员面临的安全挑战日渐增多，他们可用的安全工具和技术也得以显著改进。杰出Linux安全专业人士Steve Suehring在本书之前版本的基础上进行了修订，涵盖了Linux安全中的重要改进。 作为关注Linux安全的所有管理员来说，本书作为不可或缺的资源，讲解了iptable和nftable的所有内容。本书还在之前版本的网络和防火墙基础之上，添加了检测漏洞和入侵的现代工具和技术。 本书针对当今的Linux内核进行了更新，包含的代码示例和支持脚本可用于Red Hat/Fedora、Ubuntu和Debian。如果您是一名Linux从业人员，本书可以帮助您理解任何Linux系统的安全，以及从家庭网络到企业网络在内的各种规模的网络安全。 本书涵盖了如下内容： 安装、配置和更新运行iptables或nftables的防火墙； 迁移到nftbales，或者使用新的iptables增强； 管理复杂的多防火墙配置； 创建、调试和优化防火墙规则； 使用Samhain和其他工具来保护文件系统的完整性，以及监控网络和检测入侵； 针对端口扫描和其他攻击对系统进行加固； 使用chkrootkit检测rootkit和后门等漏洞。

《Linux防火墙（第4版）》是构建Linux防火墙的杰出指南，包括如何使用Linux iptables/nftables来实现防火墙安全的主题。本书共分三大部分。第1部分为数据包过滤以及基本的安全措施，其内容有：数据包过滤防火墙的预备知识、数据包过滤防火墙概念、传统的Linux防火墙管理程序iptables、新的Linux防火墙管理程序nftables、构建和安装独立的防火墙。第2部分为Linux防火墙的高级主题、多个防火墙和网络防护带，其内容有：防火墙的优化、数据包转发、NAT、调试防火墙规则、虚拟专用网络。第3部分则讲解了iptables和nftables之外的主题，包括入侵检测和响应、入侵检测工具、网络监控和攻击检测、文件系统完整性等内容。《Linux防火墙（第4版）》适合Linux系统管理员、网络安全专业技术人员阅读。

Steve Suehring是一位技术架构师，提供各种技术的咨询服务，并发表过与这些技术相关的演讲。从1995年起，他就从事Linux管理和安全工作，并担任过LinuxWorld杂志的Linux Security编辑。他还写作了JavaScript Step by Step，Third Edition和MySQL Bible图书。

第1部分数据包过滤以及基本安全措施1
第1章数据包过滤防火墙的预备知识3
1．1OSI网络模型5
1．1．1面向连接和无连接的协议6
1．1．2下一步7
1．2IP协议7
1．2．1IP编址和子网划分7
1．2．2IP分片10
1．2．3广播与组播10
1．2．4ICMP11
1．3传输层机制13
1．3．1UDP13
1．3．2TCP14
1．4地址解析协议（ARP）16
1．5主机名和IP地址16
1．6路由：将数据包从这里传输到那里17
1．7服务端口：通向您系统中程序的大门17
1．8小结22
第2章数据包过滤防火墙概念23
2．1一个数据包过滤防火墙24
2．2选择一个默认的数据包过滤策略26
2．3对一个数据包的驳回（Rejecting）VS拒绝（Denying）28
2．4过滤传入的数据包28
2．4．1远程源地址过滤28
2．4．2本地目的地址过滤31
2．4．3远程源端口过滤31
2．4．4本地目的端口过滤32
2．4．5传入TCP的连接状态过滤32
2．4．6探测和扫描32
2．4．7拒绝服务攻击36
2．4．8源路由数据包42
2．5过滤传出数据包42
2．5．1本地源地址过滤42
2．5．2远程目的地址过滤43
2．5．3本地源端口过滤43
2．5．4远程目的端口过滤44
2．5．5传出TCP连接状态过滤44
2．6私有网络服务VS公有网络服务44
2．6．1保护不安全的本地服务45
2．6．2选择运行的服务45
2．7小结46
第3章iptables：传统的Linux防火墙管理程序47
3．1IP防火墙（IPFW）和Netfilter防火墙机制的不同47
3．1．1IPFW数据包传输48
3．1．2Netfilter数据包传输49
3．2iptables基本语法50
3．3iptables特性51
3．3．1NAT表特性53
3．3．2mangle表特性55
3．4iptables语法55
3．4．1filter表命令57
3．4．2filter表目标扩展60
3．4．3filter表匹配扩展62
3．4．4nat表目标扩展71
3．4．5mangle表命令73
3．5小结74
第4章nftables：（新）Linux防火墙管理程序75
4．1iptables和nftables的差别75
4．2nftables基本语法75
4．3nftables特性75
4．4nftables语法76
4．4．1表语法77
4．4．2规则链语法78
4．4．3规则语法78
4．4．4nftables的基础操作82
4．4．5nftables文件语法83
4．5小结83
第5章构建和安装独立的防火墙85
5．1Linux防火墙管理程序86
5．1．1定制与购买：Linux内核87
5．1．2源地址和目的地址的选项88
5．2初始化防火墙89
5．2．1符号常量在防火墙示例中的使用90
5．2．2启用内核对监控的支持90
5．2．3移除所有预先存在的规则92
5．2．4重置默认策略及停止防火墙93
5．2．5启用回环接口94
5．2．6定义默认策略95
5．2．7利用连接状态绕过规则检测96
5．2．8源地址欺骗及其他不合法地址97
5．3保护被分配在非特权端口上的服务101
5．3．1分配在非特权端口上的常用本地TCP服务102
5．3．2分配在非特权端口上的常用本地UDP服务104
5．4启用基本的、必需的互联网服务106
5．5启用常用TCP服务111
5．5．1Email(TCPSMTP端口25，POP端口110，IMAP端口143)111
5．5．2SSH（TCP端口22）117
5．5．3FTP(TCP端口20、21)118
5．5．4通用的TCP服务121
5．6启用常用UDP服务122
5．6．1访问您ISP的DHCP服务器（UDP端口67、68）122
5．6．2访问远程网络时间服务器（UDP端口123）124
5．7记录被丢弃的传入数据包125
5．8记录被丢弃的传出数据包126
5．9安装防火墙126
5．9．1调试防火墙脚本的小窍门127
5．9．2在启动RedHat和SUSE时启动防火墙128
5．9．3在启动Debian时启动防火墙128
5．9．4安装使用动态IP地址的防火墙128
5．10小结129
第2部分高级议题、多个防火墙和网络防护带131
第6章防火墙的优化133
6．1规则组织133
6．1．1从阻止高位端口流量的规则开始133
6．1．2使用状态模块进行ESTABLISHED和RELATED匹配134
6．1．3考虑传输层协议134
6．1．4尽早为常用的服务设置防火墙规则135
6．1．5使用网络数据流来决定在哪里为多个网络接口设置规则135
6．2用户自定义规则链136
6．3优化的示例139
6．3．1优化的iptables脚本139
6．3．2防火墙初始化140
6．3．3安装规则链142
6．3．4构建用户自定义的EXT-input和EXT-output规则链144
6．3．5tcp-state-flags152
6．3．6connection-tracking153
6．3．7local-dhcp-client-query和remote-dhcp-server-response153
6．3．8source-address-check155
6．3．9destination-address-check155
6．3．10在iptables中记录丢弃的数据包156
6．3．11优化的nftables脚本157
6．3．12防火墙初始化158
6．3．13构建规则文件159
6．3．14在nftables中记录丢弃的数据包163
6．4优化带来了什么163
6．4．1iptables的优化163
6．4．2nftables的优化164
6．5小结164
第7章数据包转发165
7．1独立防火墙的局限性165
7．2基本的网关防火墙的设置166
7．3局域网安全问题168
7．4可信家庭局域网的配置选项169
7．4．1对网关防火墙的局域网访问170
7．4．2对其他局域网的访问：在多个局域网间转发本地流量171
7．5较大型或不可信局域网的配置选项173
7．5．1划分地址空间来创建多个网络173
7．5．2通过主机、地址或端口范围内部访问175
7．6小结180
第8章网络地址转换181
8．1NAT的概念背景181
8．2iptables和nftables中的NAT语义184
8．2．1源地址NAT186
8．2．2目的地址NAT187
8．3SNAT和私有局域网的例子189
8．3．1伪装发往互联网的局域网流量189
8．3．2对发往互联网的局域网流量应用标准的NAT190
8．4DNAT、局域网和代理的例子191
8．5小结192
第9章调试防火墙规则193
9．1常用防火墙开发技巧193
9．2列出防火墙规则194
9．2．1iptables中列出表的例子195
9．2．2nftables中列出表的例子198
9．3解释系统日志199
9．3．1syslog配置199
9．3．2防火墙日志消息：它们意味着什么202
9．4检查开放端口205
9．4．1netstat-a[-n-p-Ainet]205
9．4．2使用fuser检查一个绑定在特定端口的进程207
9．4．3Nmap208
9．5小结208
第10章虚拟专用网络209
10．1虚拟专用网络概述209
10．2VPN协议209
10．2．1PPTP和L2TP209
10．2．2IPSec210
10．3Linux和VPN产品212
10．3．1Openswan/Libreswan213
10．3．2OpenVPN213
10．3．3PPTP213
10．4VPN和防火墙213
10．5小结214
第3部分iptables和nftables之外的事215
第11章入侵检测和响应217
11．1检测入侵217
11．2系统可能遭受入侵时的症状218
11．2．1体现在系统日志中的迹象218
11．2．2体现在系统配置中的迹象219
11．2．3体现在文件系统中的迹象219
11．2．4体现在用户账户中的迹象220
11．2．5体现在安全审计工具中的迹象220
11．2．6体现在系统性能方面的迹象220
11．3系统被入侵后应采取的措施221
11．4事故报告222
11．4．1为什么要报告事故222
11．4．2报告哪些类型的事故223
11．4．3向谁报告事故224
11．4．4报告事故时应提供哪些信息225
11．5小结226
第12章入侵检测工具227
12．1入侵检测工具包：网络工具227
12．1．1交换机和集线器以及您为什么应该关心它228
12．1．2ARPWatch228
12．2Rootkit检测器229
12．2．1运行Chkrootkit229
12．2．2当Chkrootkit报告计算机已被感染时应如何处理230
12．2．3Chkrootkit和同类工具的局限性231
12．2．4安全地使用Chkrootkit231
12．2．5什么时候需要运行Chkrootkit232
12．3文件系统完整性232
12．4日志监控233
12．5如何防止入侵234
12．5．1勤安防234
12．5．2勤更新235
12．5．3勤测试236
12．6小结237
第13章网络监控和攻击检测239
13．1监听以太网239
13．2TCPDump：简单介绍241
13．2．1获得并安装TCPDump242
13．2．2TCPDump的选项242
13．2．3TCPDump表达式244
13．2．4TCPDump高级功能247
13．3使用TCPDump捕获特定的协议247
13．3．1在现实中使用TCPDump247
13．3．2通过TCPDump检测攻击254
13．3．3使用TCPDump记录流量258
13．4使用Snort进行自动入侵检测260
13．4．1获取和安装Snort261
13．4．2配置Snort262
13．4．3测试Snort263
13．4．4接收警报264
13．4．5关于Snort的最后思考265
13．5使用ARPWatch进行监控265
13．6小结267
第14章文件系统完整性269
14．1文件系统完整性的定义269
14．2安装AIDE270
14．3配置AIDE270
14．3．1创建AIDE配置文件271
14．3．2AIDE配置文件的示例273
14．3．3初始化AIDE数据库273
14．3．4调度AIDE自动地运行274
14．4用AIDE监控一些坏事274
14．5清除AIDE数据库276
14．6更改AIDE报告的输出277
14．7在AIDE中定义宏279
14．8AIDE的检测类型280
14．9小结283
第4部分附录285
附录A安全资源287
附录B防火墙示例与支持脚本289
附录C词汇表325
附录DGNU自由文档许可证335