防火墙与互联网安全 - 击退狡猾的黑客
Cheswick 和 Bellovin 撰写了第一本书,专门讨论整个网络的安全,而不是单个主机。基于他们在 AT&T 管理互联网防火墙的经验,以及现有的论文和报告,防火墙与互联网安全 告诉你如何将网络连接到互联网,而不会将所有计算机暴露于恶意攻击。本书首先介绍了安全问题,并从安全的角度回顾了 TCP/IP 协议,但假定读者对 TCP/IP 有很好的理解,对基本安全概念有理解,并对 Unix 有一定的了解。
本书的核心是详细介绍如何设置和运行防火墙。首先介绍了设置数据包过滤器、应用和电路网关的机制,隧道技术的用途和滥用以及防火墙的一般局限性。然后,一个长章节详细介绍了 AT&T 的应用层网关设置。还包含对用户身份验证的简要讨论,以及对连接库、网络监控器和日志记录程序等有用工具的描述。(他们建议进行大量日志记录。)还讨论了反情报措施、诱饵和诱惑,以及如何使用标准黑客工具自行测试安全性。贯穿始终的重点是以传统的 Unix 风格保持简单。
Cheswick 和 Bellovin 接着研究了实际情况。在这里,他们介绍了网络攻击的一般类型,描述了他们在 1991 年与臭名昭著的“Berferd”黑客的遭遇,以及来自其日志的渗透尝试的一些统计数据。我对他们从后者得出的一些结论有点不确定(见下文),但很高兴看到一些统计数据被公布。
为了完善内容,还有关于法律问题的章节(如果你监视黑客而不是立即把他赶走,你是否要为他在使用你的系统连接到其他地方时造成的任何损害负责?)和密码学。附录包含免费资源列表 - 软件包和信息来源 - 供那些试图维护安全网络的人使用,对 TCP 和 UDP 协议弱点的逐端口分析,以及对网络硬件和软件的供应商和制造商的一些建议。
这非常棒,我只有一个小小的异议。我觉得 Cheswick 和 Bellovin 在某些地方有点过于偏执,不是在他们对可能的威胁或他们提出的预防措施的评估中,而是在他们对黑客活动强度的评估中。因此,以 root 身份尝试 rlogin 到他们的网关,虽然可能“邪恶”,但几乎可以肯定是由无聊的大学生造成的 - 我认为这绝对不是一个有能力的黑客会尝试的最后一件事。(当然,有能力的黑客可能更有理智,根本不会攻击像 AT&T 这样戒备森严的目标,更不用说正面攻击了。)尝试以 guest、demo 或 visitor 身份登录肯定是缺乏经验的迹象,几乎不应该被贴上“攻击”或“邪恶”的标签。并且一张本应表明黑客在周末不太活跃的图表,在我看来反而表明他们的大部分“渗透”尝试都来自公司员工或大学生,他们甚至在周末都没有网络访问权限。用“黑客”而不是“cracker”来指代那些为非作歹的人是一回事;将这个词贬低到包括每个能够输入“rlogin research.att.com -l root”的人是另一回事。这与能够对 TCP 连接发起序列号攻击相去甚远。
防火墙与互联网安全 没有竞争对手;虽然它提供的许多信息在其他地方也有,但没有类似的摘要存在。任何负责安装或管理互联网防火墙的人,如果不买一本,那就太疯狂了。虽然其中一些内容与较小的站点无关,但对于任何关心 TCP/IP 网络安全的人来说,很多内容都会很有用。话虽如此,应该再次指出,这不是一本关于安全的入门书籍;它不仅假定读者对互联网协议有扎实的了解,而且除了外部网络威胁之外,它不涉及任何其他内容。当然,任何有志成为互联网黑客的人也会想读这本书(只是为了找出他们为什么不应该尝试破解 AT&T :-) 并且它可以仅供娱乐阅读。《防火墙》不仅信息量极大,而且非常有趣,作者在尊重其严肃性的同时,还设法为主题注入了一些轻松的氛围。我在收到它的当天就读完了。
利益声明:我向 Addison-Wesley 索取并收到了 防火墙与互联网安全 的评测副本,但在其成功与否方面没有任何股份、经济或其他方面的利益。
防火墙与互联网安全 - 击退狡猾的黑客,作者:William R. Cheswick 和 Steven M. Bellovin。ISBN 0-201-63357-4
Danny Yee danny@cs.su.oz.au
可以通过匿名 ftp 从 ftp.cs.su.oz.au 的 danny/book-reviews 获取此评论以及 Danny Yee 的其他评论。
欢迎对我的评论提出意见。特别欢迎任何类型的批评 - 从指出拼写错误到不同意评论的基本假设。
