前 言     在當(dāng)今的計(jì)算機(jī)世界，因特網(wǎng)無孔不入。為應(yīng)付“不健全”的因特網(wǎng)，人們創(chuàng)建了幾種安全機(jī)制，例如：訪問控制、認(rèn)證表，以及最重要的方法之一：防火墻。     然而，防火墻（firewall）對(duì)于不同的人來說，有不同的含義。讓我們考慮一下那個(gè)盲人摸象的印度寓言。因?yàn)槊總€(gè)人所摸到的部位不同，因此得出迥然不同的結(jié)論。摸到象腿的人說大象就像一棵樹；摸到象尾的人說大象就像一根樹枝；而另一個(gè)人捉住了象鼻子，并由此推斷大象就像一條蛇。對(duì)一些計(jì)算機(jī)專業(yè)人員來說，甚至對(duì)那些負(fù)責(zé)因特網(wǎng)安全的人來說，防火墻只不過是阻止黑客進(jìn)入的一堵“火墻”；對(duì)有的人來說，防火墻是一種認(rèn)證機(jī)制；還有人認(rèn)為防火墻是路由器的同義詞。顯然，以上這些觀點(diǎn)遠(yuǎn)遠(yuǎn)不足以描述防火墻。     問題之所以復(fù)雜化是因?yàn)檫@樣一個(gè)事實(shí)：在相當(dāng)一部分從事計(jì)算機(jī)及安全的專業(yè)人員的工作過程中，接觸防火墻的時(shí)間十分短暫，且僅在機(jī)房里偶然碰到。而且，防火墻的很多重要的組成部分及其特點(diǎn)最近有了新的改進(jìn)，因此，在一個(gè)人的工作過程中，或者大多數(shù)1995～1998年出版的關(guān)于防火墻書中，根本不能涉及這些內(nèi)容，這又使問題進(jìn)一步惡化，因?yàn)槠駷橹惯@些從業(yè)人員還沒有一本可用的比較有權(quán)威性的書。他們只有在教科書、網(wǎng)頁、計(jì)算機(jī)雜志及白皮書等文字中汲取有用的信息。     此書名為《防火墻技術(shù)指南》，旨在成為你隨身攜帶的必備書，因?yàn)樗拇_做到了完全指導(dǎo)。我敢向你保證：市場(chǎng)上可能有一些與此相似的書，但沒有一本像本書這樣提供全面的指導(dǎo)。據(jù)我所知，其他的書籍或者是介紹某種具體的技術(shù)和策略，或者是介紹產(chǎn)品。     本書涵蓋了防火墻的技術(shù)、策略和市場(chǎng)上流行的所有主要的防火墻產(chǎn)品。與其他書相比，此書范圍更廣，適用性更強(qiáng)。此外，它提供了各種協(xié)議包括即將來臨的IPv6及如何構(gòu)造防火墻等的全面指導(dǎo)。     事實(shí)上，本書通過探討組成因特網(wǎng)所有組成部分以及使得因特網(wǎng)不安全的各種因素，使你的專業(yè)水平更上一層樓；它詳細(xì)描述和討論了應(yīng)用在因特網(wǎng)上的所有協(xié)議、標(biāo)準(zhǔn)和應(yīng)用程序編程接口（API）以及從加密到防火墻的安全機(jī)制。本書后一部分包括市場(chǎng)上主要防火墻產(chǎn)品、工具包及應(yīng)用軟件的綜合評(píng)述和一些防火墻的演示版和評(píng)價(jià)書，并附有光盤隨書發(fā)行。     本書主要針對(duì)網(wǎng)絡(luò)、Web、系統(tǒng)、LAN（局域網(wǎng)）和WAN（廣域網(wǎng)）的管理員，但它也面對(duì)新的專業(yè)人員即因特網(wǎng)管理者，以及任何一個(gè)需要一本比較全面的關(guān)于防火墻方面書籍的人。閱讀此書時(shí)，你會(huì)注意到本書的與眾不同之處：本書非常全面，并給出了關(guān)于理解、選擇、安裝、維護(hù)防火墻及防火墻發(fā)展趨勢(shì)的相關(guān)技術(shù)信息。本書采用與實(shí)際信息、技巧和警告的對(duì)話方式，有助于因特網(wǎng)、網(wǎng)絡(luò)和安全管理員應(yīng)付并完成自身的任務(wù)和責(zé)任。     與你所在站點(diǎn)實(shí)現(xiàn)防火墻一樣重要的是,你首先需要一種安全策略,它全面考慮阻塞哪些服務(wù)和使用哪些服務(wù),它還要考慮對(duì)認(rèn)證和加密設(shè)備的實(shí)現(xiàn)及與因特網(wǎng)連接時(shí)你所能承擔(dān)的危險(xiǎn)級(jí)別。本書將討論所有在處理站點(diǎn)安全和管理時(shí)所涉及的專題和論點(diǎn)。它綜述所有服務(wù),諸如:Telnet、FTP、Web、e-mail、news等等。     本書組織結(jié)構(gòu)     本書由三部分組成：     第一部分“TCP/IP及其安全需求：防火墻”，全面闡述了網(wǎng)站的安全維護(hù)、因特網(wǎng)的威脅、防火墻基本原理及安全概念。     第1章“網(wǎng)絡(luò)互聯(lián)協(xié)議及標(biāo)準(zhǔn)概述”，概述了因特網(wǎng)使用的所有主要標(biāo)準(zhǔn)。它討論了TCP/IP、ICMP、IGMP、路由器(包括超級(jí)路由器和萬億位路由器)、網(wǎng)橋、網(wǎng)關(guān)、IPv6、BGP-4、BOOTP、NTP/SNTP、DHCP、WINS、DNS及其他協(xié)議。     第2章“基礎(chǔ)連接”，具體討論因特網(wǎng)連接使用的協(xié)議和標(biāo)準(zhǔn)，如TTYs、UUCP、SLIP、PPP、Rlogin、Telnet、RAS等。     第3章“加密：足夠嗎?”，介紹了在因特網(wǎng)上增強(qiáng)安全性最有效的一種技術(shù)手段：加密。具體討論了對(duì)稱加密技術(shù)，如DES、IDEA、CAST、Skipjack和RC2/RC4，還討論了非對(duì)稱密鑰加密及公共密鑰加密方案，例如RSA、PKCS、DSS及其他算法。     第4章“防火墻面臨的挑戰(zhàn)：基礎(chǔ)Web”。本章首次公開討論了IP技術(shù)的弱點(diǎn)和不安全性及增強(qiáng)因特網(wǎng)提供的服務(wù)安全性的嘗試。集中論述與基本W(wǎng)eb技術(shù)有關(guān)的問題，如HTML、URL/URI、HTTP、CGI等。     第5章“防火墻面臨的挑戰(zhàn)：高級(jí)Web”，對(duì)第4章的敘述作出了更深入的闡述，因?yàn)檫@些都直接影響著Web及其安全級(jí)別。本章討論了近期出現(xiàn)的一些先進(jìn)技術(shù)如ISAPI、NSAPI、Servlets、插件、ActiveX、JavaScript、Shockwave等的原理及安全性。     第6章“API的安全漏洞及防火墻交互”，討論了API對(duì)連接因特網(wǎng)的網(wǎng)絡(luò)環(huán)境的影響，及因缺乏安全措施所造成的后果。敘述了套接字、Java API、Perl模塊、W3C www-lib等等。     第二部分“防火墻的實(shí)現(xiàn)和局限性”，是與實(shí)際結(jié)合更緊密的部分，在第一部分討論多種協(xié)議及標(biāo)準(zhǔn)的基礎(chǔ)上，闡述了防火墻實(shí)現(xiàn)、安全限制及采取安全措施的好處等的各個(gè)方面。它討論了在不同環(huán)境下如何使用種類繁多的防火墻，使用哪種，在哪里使用及如何使用等。     第7章“究竟什么是因特網(wǎng)/內(nèi)部網(wǎng)防火墻？”，討論了防火墻和Cyberwall的基本組成部分和技術(shù)，并進(jìn)一步講述了防火墻的優(yōu)缺點(diǎn)、安全策略及防火墻種類。     第8章“因特網(wǎng)服務(wù)的脆弱性”，列舉了所有因特網(wǎng)服務(wù)的弱點(diǎn)及如何將連接到因特網(wǎng)上的用戶和公司的危險(xiǎn)減至最低。這章討論了如何保護(hù)和配置電子信箱、SMTP、POP、MIME、FTP、TFTP、FSP、UUCP、News等。第9章“建立防火墻安全策略”，通過討論如何建立防火墻策略，需要什么，怎樣才有足夠的安全性，使大家對(duì)因特網(wǎng)的安全有了進(jìn)一步的認(rèn)識(shí)。     第10章“防火墻設(shè)計(jì)和實(shí)現(xiàn)”，將本章以前所討論的內(nèi)容付諸實(shí)施。它介紹如何規(guī)劃，根據(jù)你的環(huán)境和需要選擇正確的防火墻，并予以實(shí)現(xiàn)。     第11章“代理服務(wù)器”，代理服務(wù)器是第10章中所討論的防火墻成功運(yùn)行的關(guān)鍵。本章通過說明代理服務(wù)器如何顯著地增強(qiáng)防火墻所提供的安全性，使安全性進(jìn)一步提高。此章定義了一個(gè)代理服務(wù)器，說明了如何實(shí)現(xiàn)它,并介紹了SOCKS概念以及如何在代理服務(wù)器上實(shí)現(xiàn)。     第12章“防火墻維護(hù)”，是對(duì)前兩章的自然銜接，一旦你建立了防火墻并添加了代理服務(wù)器，就應(yīng)知道需要做好維護(hù)它的準(zhǔn)備。此章將幫助防火墻正常運(yùn)行，監(jiān)視系統(tǒng)，實(shí)現(xiàn)預(yù)防性維護(hù)和修復(fù)性維護(hù)。     第13章“防火墻工具包與個(gè)案分析”，提供一些相關(guān)信息和實(shí)例分析，補(bǔ)充了實(shí)際應(yīng)用方面的內(nèi)容。     第三部分“防火墻資源向?qū)А保瑪U(kuò)展了第13章所包含的內(nèi)容，提供了防火墻詳盡的資源指南。它討論了主要的防火墻技術(shù)和品牌，它們的優(yōu)點(diǎn)和缺點(diǎn)，應(yīng)注意什么，避免什么，期望什么？     第14章“防火墻類型及市場(chǎng)產(chǎn)品介紹”，介紹了1999年夏季市場(chǎng)上流行的主要防火墻產(chǎn)品及其技術(shù)。它為你提供了所有主要銷售商及其防火墻技術(shù)的概述，以便你在挑選最適合的防火墻之前，有機(jī)會(huì)將它們進(jìn)行一一評(píng)估。     附錄A“防火墻銷售商和產(chǎn)品目錄”，提供了防火墻銷售商及產(chǎn)品清單，隨書光盤中包括了大多數(shù)的演示版和評(píng)價(jià)書。     術(shù)語部分為你提供了在防火墻/因特網(wǎng)環(huán)境中使用的全面廣泛的常用術(shù)語。     參考書目提供了與網(wǎng)絡(luò)相連的URL目錄，這些站點(diǎn)提供內(nèi)容包括白皮書、防火墻的性能和相關(guān)技術(shù)信息、及代理服務(wù)器。     本書適宜的對(duì)象     最有可能從此書中受益的是以下職業(yè)人員：     ■ 一年或幾年前畢業(yè)并關(guān)注網(wǎng)絡(luò)安全的計(jì)算機(jī)專業(yè)人員。     ■ 程序員/分析員/軟件開發(fā)者，工程師/檢測(cè)工程程序員和項(xiàng)目管理人員。     ■ MIS和IS&T（信息系統(tǒng)和技術(shù)）專業(yè)人員。     ■ 涉及建立、實(shí)現(xiàn)和管理因特網(wǎng)和企業(yè)內(nèi)部網(wǎng)的專業(yè)人員。     ■ Web主管。     ■ 想要了解因特網(wǎng)的工作原理（而不是因特網(wǎng)的使用）的入門級(jí)專業(yè)人員。     ■ 將此書用做快速參考手冊(cè)的高級(jí)計(jì)算機(jī)人員。