主動防禦網路安全完全指南

我們當中有些人還記得過去保護網路安全比今日簡單得多的日子，那時候只要每一位使用者都有一個密碼並設定了正確的許可權，我們便可以高枕無憂，因為我們的網路環境相當的安全—至少在感覺上是如此。

但隨著Internet的發展，一切都改變了。近年來Internet以驚人的速度快速的發展，使得資訊傳播的速度也因此加快。在1990年代初期，我們大部份都沒有聽過什麼安全上的問題，除非這些問題曾在雜誌或報紙上討論過，而且報章雜誌所討論的問題通常只會發生在我們都不再使用的舊版的軟體上。但今日，在一個小時內就會有數以千計的人在討論不同的安全問題。

公開討論安全問題並不是件壞事，事實上許多有不良企圖的人已經私下交換過許多意見，私用的討論區從1980年代開始就已經存在了，但往往不會有人將這類的訊息傳給我們這些人—一些想要維護網路安全的人。現在Internet已成為負責管理網路安全的人員取得安全問題相關資訊的最佳途徑。

知識的增加就帶來責任的增加，人們不但要求軟體公司能夠修補安全上的問題，也要網管人員和安全專家能夠實行網路安全問題的修正。任何一位使用者只要訂閱郵件清單，他發現網路安全問題的速度就可以和網管人員一樣的快，因此當安全問題的修補檔開發後，部署修補檔的急迫性也增加了。

維持一個安全的網路環境是我們的責任，但要從哪裏開始呢？您是否應該買一本有關防火牆或保護網路安全的書呢？也許您應該學習更多有關網路通訊的知識才能了解這些問題存在的方式。

在本書第一版發行後我們一直有一個想法，那就是維護網路安全不是一個靜態而是動態的過程，並且需要了解所有層面的網路資訊和技術，您無法將重點放在某一層面上就可以期待您的網路能夠一直安全無虞，而維持網路安全的過程也無法獨立於其他的網路活動。

本書的內容

第1章帶領您了解為什麼有人會攻擊組織的網路資源，您會知道不同的攻擊方式及攻擊者藉由攻擊可以得到什麼。本章結尾處還提供一張清單幫助您檢查您的網路潛在的威脅。

第2章討論風險分析和安全原則。風險分析的目的是將網路安全所需要的安全等級量化，而安全原則可定義出組織維護網路安全的方法。風險分析和安全原則可以做為選擇和實行安全防護方式的基礎。

第3章是系統如何透過網路溝通的概論，本章會帶領您了解資訊被封裝的方式並說明通訊協定的用途。您也會學習到路由通訊協定的問題及哪一些通訊協定有助於建立更安全的網路環境。最後，本章會討論一些服務，如FTP、HTTP和SMTP，及如何安全的使用這些服務的技巧。

第4章討論的是通訊協定的安全性，在本章中您學習到不同類型布線方式及不同邏輯拓樸（如乙太網路和Frame Relay）的優缺點，最後則說明不同類型的網路硬體，如交換器、路由器等，以了解如何使用這些裝置來維持更安全的網路環境。

第5章討論在網路邊界上的安全裝置，如封包過濾器和防火牆，您會建立一個存取控制原則（根據第2章所建立的安全原則），並檢測不同防火牆方法的優缺點。此外本章也提供一些有用的表格幫助您開發您的存取安全原則，如對所有TCP標幟及ICMP編碼的說明。

第6章討論在Cisco路由器上建立存取控制清單，本章開始先介紹保護Cisco路由器本身的方法，再說明標準和擴充存取清單。您會了解到使用封包過濾器可以阻擋哪些資訊，而哪些是不會被阻擋的，此外本章也會提供一些存取清單的範例。

第7章說明如何在您的網路環境中部署防火牆，並帶領您逐步執行Check Point的FireWall-1軟體的安裝和設定：保護基礎的作業系統、安全軟體並實行存取控制原則。

第8章討論入侵偵測系統（Intrusion Detection System，IDS），您會發現IDS可以監視的交通模式及一些技術的限制。本章會以一個IDS的範例帶領您了解Internet Security System的RealSecure產品，包括作業系統的準備、軟體的安裝及如何設定RealSecure來檢查特定類型的安全問題。

第9章討論驗證和加密。您會學習到一個強大的驗證方式有多麼的重要，及哪一些攻擊是利用驗證方式的弱點來進行攻擊。您也會學習到不同的加密方法及如何選擇符合您加密所需的演算法和金鑰大小。

第10章介紹虛擬私用網路（Virtual Private Network，VPN），包括部署的時機和選擇。本章會以一個例子來說明您如何使用兩個FireWall-1防火牆來建立VPN，您也會從使用前後的不同了解VPN在資料流上的作用。

第11章討論病毒、特洛伊木馬和毒蟲。本章說明這些程式間的不同及它們對系統的作用。您會看到不同的保護方法及部署保護軟體的設計範例。

第12章則是關於災害預防及復原的討論，以不同的網路層面帶領您了解災害會在何處發生。本章以討論網路布線開始，並討論為WAN建立備援連結的重要性。最後討論Qualix Group的叢集產品OctopuslHA+的安裝和使用。

第13章討論Novell的NetWare作業系統，在本章中您會學習到如何透過使用者帳戶設定、檔案許可權和NDS的設計來保護NetWare網路環境。本章在最後會討論NetWare現有的問題。

第14章討論Microsoft Windows的網路技術，尤其是NT和Windows 2000。您會看到一個可以加強您網路安全的設計，及原則的使用方式。本章也會討論使用者帳戶的登入、檔案許可權及Windows NT/2000的密碼問題。最後則會討論NT上的IP服務及實行服務時要注意到的安全問題。

第15章討論UNIX（包括UNIX、Linux和FreeBSD），您會學習到如何鎖定執行Linux作業系統的系統。本章的內容也包括使用者帳戶、檔案許可權和IP服務等說明，並對如何重新建立作業系統核心以更進一步加強安全性有詳細的說明。

您是否曾經想過攻擊者如何攻擊您的網路資源？在第16章我們會說明攻擊者如何收集資訊，如何去偵測出安全上的弱點，及分析會被攻擊的弱點，並介紹攻擊者所使用的軟體工具。

第17章討論當網路安全出現問題時您要如何得知。本章介紹一些產品廠商所提供的資訊及協力廠商的資源，並討論安全問題資料庫、網站和郵件清單。本章在最後則說明如何使用Kane Security分析器來稽核您的網路環境，這個工具可以幫助您確認您的系統是否全部遵守安全原則。

本書的適用者

本書適用於在網路安全領域中經驗不到10年的使用者，如果您在網路安全領域上是個「大師」，這本書便不適合您。

如果您想找一個實用的手冊來協助您找出網路的弱點是，這本書正是您所需要的。本書以一般的網路或系統管理員的觀點所撰寫的，這些系統管理員能夠將網路和伺服器管理的非常好，但他們需要知道要如何做才能夠避免掉因網路安全問題所造成損失。

如果我們可以負擔每小時350美元的安全精靈程式來稽核和修補電腦環境，則維護網路安全並不是一件困難的工作，但這已超出我們的預算。維護一個安全的網路環境並不需要昂貴的器材和人力，但需要花費許多的時間和精力。您所修復的網路安全漏洞愈多，攻擊者便愈難發動網路端的攻擊來破壞您的網路。

第1章　網路為什麼需要保全？

第2章　您需要多少的保護？

第3章　了解網路系統溝通的方式

第4章　拓樸的安全

第5章　防火牆

第6章　設定Cisco路由器的 安全功能

第7章　Check Point的FireWall-1

第8章　入侵偵測系統

第9章　驗證和加密

第10章　虛擬私用網路

第11章　病毒、毒蟲和特洛伊木馬

第12章　災害的防止和復原

第13章　Netware

第14章　NT和Windows 2000

第15章　UNIX

第16章　攻擊分析

第17章　在攻擊之前