前言
本书第1版出版迄今已逾7年,期间多次重印,受到了广大读者的欢迎,被数十所高校选为教材。面对网络空间安全的持续对抗,新的安全防护理论和安全技术不断发展,本书内容也必须与时俱进。在大家的期待和鼓励下,我们用了近两年的时间完成了修订工作。
防火墙是在不同网络(如可信任的企业内部网络和不可信的公共网络)或不同网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据网络安全策略控制出入网络的信息流,且自身具有较强的抗攻击能力。防火墙是防范网络攻击的一道重要防线,它可以识别并阻挡许多网络攻击行为,是提供信息安全服务,实现网络与信息安全的重要基础设施。
一、第2版内容介绍
面对网络空间安全的新问题和新发展,本书在修订中,跟踪新技术,融入新标准,实践新应用。全书包括防火墙基础、防火墙标准、防火墙实现和防火墙应用4篇,共10章,如图1所示。读者通过本书可以了解防火墙的基本原理、实现技术、开发与测评标准以及部署应用示例,构建系统化的知识和技术体系,能够正确应对面临的安全问题。
第1篇“防火墙基础”,包括第1、2章。第1章介绍防火墙在网络安全防护体系中的地位和作用;第2章从防火墙的定义出发,阐述防火墙的类别、各项核心技术的工作原理、防火墙的体系结构以及防火墙技术的新发展。防火墙与纵深防护、防火墙与零信任安全、防火墙新产品和新技术等系新增内容。本篇对防火墙在网络安全防护体系中的地位和作用以及核心技术的分析,为读者开发个人防火墙和应用防火墙打下理论基础。本篇给出了3个应用示例。
第2篇“防火墙标准”,包括第3、4章。主要依据《信息安全技术 防火墙安全技术要求和测试评价方法》(GB/T 20281—2020)等国家标准介绍防火墙的技术要求和测评方法,对防火墙产品或系统的设计、研发和应用给予指导。
第3篇“防火墙实现”,包括第5~7章,主要介绍个人防火墙开发技术。第5章介绍用户层下Winsock SPI数据包截获技术,第6章和第7章分别介绍内核层下网络驱动接口规范(Network Driver Interface Specification,NDIS)以及Windows过滤平台(Windows Filtering Platform,WFP)数据包截获技术。基于Filter Driver和WFP的数据包截获技术为新增内容。这三章每章均给出了1个应用示例(源代码包含在电子教案中,可下载)。
第4篇“防火墙应用”,包括第8~10章。第8章介绍Windows系统中的个人防火墙使用,包括Windows系统自带的“Windows Defender防火墙”和“高级安全Windows Defender防火墙”,以及第三方防火墙软件ZoneAlarm Pro Firewall。本次修订已全部按照软件的最新版本重新编写。第9章介绍开源操作系统Linux中的防火墙和开源Web应用防火墙。Linux中的防火墙介绍防火墙功能框架,涉及iptables、firewalld等防火墙功能的应用,并给出了2个应用示例。开源Web应用防火墙介绍了开源Web应用防火墙功能框架,以及主流开源Web应用防火墙ModSecurity、HIHTTPS和NASXI,并给出了3个应用示例。firewalld防火墙与开源Web应用防火墙系新增内容。第10章对国内外一些著名防火墙厂商的防火墙产品做了介绍,帮助读者对主流防火墙产品有基本的了解,还给出了网络安全等级保护新标准要求下的商业防火墙产品的选择原则和方法。为了使得本书的实践指导更具普遍性,本章还介绍了基于Cisco公司发布的网络模拟环境Packet Tracer最新版和Cisco系统(IOS)模拟器GNS3最新版的5个仿真应用示例。
图1 本书知识体系
二、第2版特色
本书被国家新闻出版署列入“‘十三五’国家重点出版物出版规划项目”,为“高等教育网络空间安全规划教材”丛书之一。该丛书编委会由我国网络空间安全领域的沈昌祥院士担任名誉主任,上海交通大学网络空间安全学院院长、国家教育部网络空间安全专业教学指导委员会副主任李建华教授担任主任,本书作者之一陈波教授担任委员。
本次修订是作者多年来教学改革成果的总结。本书是江苏省高等教育教学改革重点课题(2015JSJG034)和一般课题(2019JSJG280)、江苏省教育科学十二五规划重点资助课题(泛在知识环境下的大学生信息安全素养教育——培养体系及课程化实践)、南京师范大学精品课程“计算机系统安全”,以及南京师范大学“信息安全素养与软件工程实践创新教学团队”建设项目的成果。
本书在修订过程中力求体现如下特点。
1)追踪技术新动态。本书内容紧跟当前防火墙的技术动态,并且与实际产品相结合,确保较高的实用性。能够为网络安全管理员、工程师和相关技术人员以及防火墙技术的初学者应用防火墙实现网络安全防护提供切实的指导。
2)遵循国家新标准。主要依据《信息安全技术 防火墙安全技术要求和测试评价方法》(GB/T 20281—2020)等国家标准介绍防火墙的技术要求和测评方法,而不是以各个厂商的产品功能来介绍,避免了内容凌乱、缺乏规范、让人无所适从的问题。
3)强化实践新应用。从个人防火墙的开发到应用,商业防火墙的选购到部署,层层推进,既让读者了解常见防火墙的产品特点,为实际应用的选购提供参考,又通过典型个人防火墙、开源Linux系统防火墙和开源Web应用防火墙,以及商业防火墙的仿真配置示例,引领读者掌握防火墙实际操作技能,避免了以具体防火墙产品为例介绍应用所致的缺乏普遍性的弊端,有利于读者掌握通用技能。
4)适配教学新需求。本书在每章的内容组织上进行了创新设计以适配翻转课堂教学新模式,如图2所示。每章首先提出问题,引导读者思考;正文内容阐述循序渐进,深入浅出,条理清晰,图文并茂;每章后面配有思考与实践题,题型包括填空题、选择题、简答题、知识拓展题、方案设计题、操作实验题等,内容覆盖了每章中的重要知识点,对于读者掌握这些知识点以及使用技巧都有很大的帮助;最后的学习目标检测帮助读者在学习过程中或结束后,对照知识和能力两大类目标的具体内容进行自测,以实现对读者学习过程的督促和引导。全书设计了16个应用示例、22个例子、10张思维导图、100多道思考与实践题、10张学习目标自测表格以及大量的拓展阅读书目以供读者巩固知识与拓展应用。
本书中的几处“拓展资料”可以从www.cmpedu.com下载后浏览。
本书可以作为网络空间安全专业、信息安全专业、计算机科学与技术专业或相关专业基础课程的教材,也可作为信息安全工程师考试、国家注册信息安全专业人员(Certified Information Security Professional,CISP)认证以及相关领域管理人员的参考书。
本书由陈波和于泠执笔完成。朱润青、陆天易、刘惠林、沈晓晨参与了本书实验内容初稿的整理工作。本书在写作过程中查阅和参考了大量的文献和资料,在此一并致谢。
图2 本书每章教学结构
由于编者水平有限,书中难免有疏漏之处,恳请广大读者批评指正。编者为了让读者能够直接访问相关资源进行学习,在书中加入了大量链接,虽然已对链接地址经过认真确认,但是可能会由于网站的变化而不能访问,请予谅解。读者在阅读本书的过程中若有疑问,欢迎与编者联系(电子邮箱:SecLab@163.com)。
编者