防火牆和VPN技術與實踐
李學昭
買這商品的人也買了...
-
$420$332 -
$450$356 -
$680$530 -
$594$564 -
$505計算機安全導論(原書第4版)
-
$474$450 -
$254電腦網絡安全技術, 6/e
-
$768$730 -
$709網絡空間安全實戰基礎
-
$509移動 APT 威脅情報分析與數據防護
-
$709硬件安全:從 SoC 設計到系統級防禦
-
$254Web 安全漏洞及代碼審計 (微課版)
-
$880$695 -
$216$205 -
$620$490 -
$600$468 -
$534$507 -
$275機器人感知技術
-
$630$498 -
$3565G+ 自動駕駛:智能網聯時代的汽車產業新格局
-
$230Web 安全與防護
-
$414$393 -
$660$515 -
$650$507 -
$880$695
相關主題
商品描述
本書以HCIP-Security和HCIE-Security認證考試大綱為依托,介紹了防火牆和VPN的關鍵技術,包括安全策略、NAT、雙機熱備、虛擬系統、鏈路負載均衡、服務器負載均衡、L2TP VPN、IPSec VPN和SSL VPN。本書詳細介紹了每一種技術的產生背景、技術實現原理、配置方法,旨在幫助讀者掌握組建安全通信基礎設施的技術和能力,順利通過認證考試。
本書是學習和瞭解網絡安全技術的實用指南,內容全面,通俗易懂,實用性強,適合網絡規劃工程師、網絡技術支持工程師、網絡管理員以及想瞭解網絡安全技術的讀者閱讀。
作者簡介
华为网络安全产品与解决方案资料工程师,在网络安全领域具有10余年的文档编写经验,曾主导华为防火墙、Anti-DDoS、HiSec解决方案的信息架构设计和文档编写。
目錄大綱
第 1 章 安全策略 001
1.1 安全策略基礎知識 002
1.1.1 安全策略的組成 002
1.1.2 安全策略的配置方式 005
1.1.3 狀態檢測與會話機制 006
1.1.4 匹配規則與默認策略 009
1.1.5 本地安全策略和接口訪問控制 012
1.1.6 安全策略的配置原則 013
1.2 配置安全策略 015
1.2.1 為管理協議開放安全策略 015
1.2.2 為路由協議開放安全策略 021
1.2.3 為DHCP開放安全策略 023
1.3 在安全策略中應用對象 027
1.3.1 地址對象和地址組 027
1.3.2 地區和地區組 030
1.3.3 域名組 032
1.3.4 用戶和用戶組 036
1.3.5 服務和服務組 038
1.3.6 應用和應用組 040
1.3.7 URL分類 045
1.4 安全策略的最佳實踐 047
1.4.1 建立完善的安全策略管理流程 047
1.4.2 使用安全區域劃分網絡 048
1.4.3 遵循最小授權原則 050
1.4.4 註意安全策略的順序 051
1.4.5 識別和控制出入方向的流量 053
1.4.6 記錄日誌 054
1.4.7 謹慎選擇變更時機 055
1.4.8 定期審計和優化安全策略 056
1.5 安全策略的常用維護手段 057
1.6 習題 060
第 2 章 NAT 061
2.1 NAT基本原理 062
2.2 源NAT 064
2.2.1 源NAT簡介 064
2.2.2 NAT No-PAT 065
2.2.3 NAPT 069
2.2.4 出接口地址方式(Easy-IP) 070
2.2.5 Smart NAT 072
2.2.6 三元組NAT 074
2.2.7 源NAT場景下的黑洞路由 078
2.3 目的NAT 081
2.3.1 目的NAT簡介 081
2.3.2 基於策略的目的NAT 082
2.3.3 NAT Server 085
2.3.4 NAT Server場景下的黑洞路由 087
2.4 雙向NAT 089
2.5 多出口場景下的NAT 094
2.5.1 多出口場景下的源NAT 094
2.5.2 多出口場景下的NAT Server 098
2.6 習題 104
第 3 章 雙機熱備 105
3.1 雙機熱備概述 106
3.1.1 路由器的雙機部署 107
3.1.2 防火牆的雙機部署 110
3.2 VRRP與VGMP 113
3.2.1 VRRP概述 114
3.2.2 VRRP的工作原理 117
3.2.3 VGMP的產生 122
3.2.4 VGMP控制VRRP狀態 125
3.3 VGMP協議詳解 136
3.3.1 VGMP的工作原理 137
3.3.2 VGMP組監控接口的招式 141
3.3.3 VGMP組監控鏈路的招式 157
3.3.4 VGMP的報文結構 162
3.3.5 VGMP的狀態機 164
3.4 HRP協議詳解 166
3.4.1 HRP概述 167
3.4.2 HRP備份的原理 170
3.4.3 心跳線 170
3.4.4 配置備份 174
3.4.5 狀態信息備份 178
3.4.6 配置一致性檢查 182
3.5 雙機熱備配置指導 184
3.5.1 配置流程 185
3.5.2 配置檢查和結果驗證 190
3.6 雙機熱備旁掛組網分析 192
3.6.1 通過VRRP與靜態路由的方式實現雙機熱備旁掛 192
3.6.2 通過OSPF與策略路由的方式實現雙機熱備旁掛 196
3.7 雙機熱備與其他特性結合使用 199
3.7.1 雙機熱備與NAT Server結合使用 199
3.7.2 雙機熱備與源NAT結合使用 204
3.7.3 雙機熱備與IPsec結合使用 208
3.7.4 雙機熱備與虛擬系統結合使用 214
3.7.5 雙機熱備與IPv6結合使用 215
3.7.6 雙機熱備組網下輸出日誌 216
3.8 雙機熱備故障排除 218
3.8.1 雙機熱備工作與雙主異常狀態 219
3.8.2 雙機熱備主備切換 222
3.8.3 雙機切換後業務異常 224
3.8.4 雙機配置不一致 226
3.8.5 雙機配置不同步 227
3.8.6 雙機會話表項不一致 228
3.9 習題 230
第 4 章 虛擬系統 231
4.1 虛擬系統概述 232
4.2 虛擬系統的實現原理 234
4.2.1 虛擬系統分類及其管理員 235
4.2.2 虛擬系統的部署與分流 237
4.2.3 虛擬系統的資源分配 240
4.2.4 虛擬系統與VPN實例 246
4.3 虛擬系統的關鍵配置 249
4.4 虛擬系統互訪 250
4.4.1 基本概念 251
4.4.2 虛擬系統通過路由表與根系統互訪 255
4.4.3 虛擬系統通過引流表與根系統互訪 259
4.4.4 兩個虛擬系統直接互訪 261
4.4.5 兩個虛擬系統跨根系統互訪 263
4.4.6 兩個虛擬系統跨虛擬系統互訪 266
4.5 NAT模式的虛擬系統 267
4.6 虛擬系統故障排除 268
4.7 習題 271
第 5 章 鏈路負載均衡 273
5.1 ISP選路 274
5.1.1 默認路由與鏈路備份 274
5.1.2 等價路由與鏈路負載分擔 275
5.1.3 明細路由與就近選路 277
5.1.4 ISP路由與ISP選路 279
5.1.5 健康檢查 283
5.2 全局選路策略 287
5.2.1 全局選路策略的概念 287
5.2.2 根據鏈路帶寬選路 289
5.2.3 根據鏈路權重選路 292
5.2.4 根據鏈路優先級選路 294
5.2.5 根據鏈路質量選路 298
5.2.6 會話保持 302
5.2.7 全局選路策略小結 304
5.3 DNS透明代理 306
5.3.1 DNS透明代理的概念 306
5.3.2 配置DNS透明代理 308
5.4 策略路由 311
5.4.1 策略路由的概念 311
5.4.2 策略路由的配置 315
5.4.3 策略路由智能選路 317
5.5 智能DNS 320
5.5.1 智能DNS的概念 320
5.5.2 單服務器智能DNS 321
5.5.3 多服務器智能DNS 323
5.6 習題 324
第 6 章 服務器負載均衡 325
6.1 初識服務器負載均衡 326
6.1.1 基本概念 326
6.1.2 基本工作流程 328
6.2 服務器負載均衡的核心功能 329
6.2.1 負載均衡算法 330
6.2.2 服務健康檢查 334
6.2.3 會話保持 336
6.2.4 配置服務器負載均衡 344
6.3 七層負載均衡 351
6.3.1 七層負載均衡的背景 351
6.3.2 七層負載均衡的典型場景 354
6.3.3 HTTP調度策略 357
6.4 SSL卸載 360
6.4.1 SSL卸載的背景 360
6.4.2 配置SSL卸載 362
6.5 過載控制 364
6.6 習題 366
第 7 章 L2TP VPN 367
7.1 L2TP概述 368
7.1.1 L2TP VPN的誕生及演進 368
7.1.2 L2TP VPN組網場景 370
7.1.3 基本概念 372
7.2 NAS-Initiated L2TP VPN 374
7.2.1 NAS-Initiated L2TP VPN基本原理 374
7.2.2 階段1:建立PPPoE連接 375
7.2.3 階段2:建立L2TP隧道 378
7.2.4 階段3:建立L2TP會話 380
7.2.5 階段4:建立PPP連接 381
7.2.6 階段5:數據封裝傳輸 384
7.2.7 安全策略配置思路 386
7.2.8 配置舉例 389
7.3 Client-Initiated L2TP VPN 392
7.3.1 Client-Initiated L2TP VPN基本原理 392
7.3.2 階段1:建立L2TP隧道 393
7.3.3 階段2:建立L2TP會話 394
7.3.4 階段3:建立PPP連接 395
7.3.5 階段4:數據封裝傳輸 398
7.3.6 安全策略配置思路 401
7.3.7 配置舉例 403
7.4 LAC-Auto-Initiated L2TP VPN 405
7.4.1 LAC-Auto-Initiated L2TP VPN基本原理 405
7.4.2 安全策略配置思路 410
7.4.3 配置舉例 413
7.5 3種組網方式對比 415
7.6 L2TP VPN多實例 416
7.7 L2TP VPN常見問題 420
7.8 習題 424
第 8 章 IPsec VPN 425
8.1 IPsec的協議框架 426
8.1.1 安全協議 426
8.1.2 封裝模式 427
8.1.3 加密和驗證算法 429
8.1.4 密鑰交換 431
8.1.5 小結 433
8.2 安全聯盟 434
8.2.1 什麽是安全聯盟 434
8.2.2 IKEv1協商安全聯盟 435
8.2.3 IKEv2協商安全聯盟 439
8.2.4 小結 441
8.3 手工方式建立IPsec VPN 442
8.4 IKE自動協商方式建立IPsec VPN 445
8.4.1 ISAKMP方式的IPsec策略 446
8.4.2 模板方式的IPsec策略 449
8.5 IPsec NAT穿越 452
8.5.1 NAT穿越場景 452
8.5.2 IKEv1的NAT穿越協商(主模式) 458
8.5.3 IKEv2的NAT穿越協商 460
8.5.4 防火牆同時作為IPsec網關和NAT網關 461
8.6 GRE/L2TP over IPsec 462
8.6.1 分支通過GRE over IPsec接入總部 463
8.6.2 分支通過L2TP over IPsec接入總部 466
8.6.3 移動辦公用戶通過L2TP over IPsec接入總部 470
8.7 對等體檢測 472
8.7.1 Heartbeat檢測機制 474
8.7.2 DPD機制 474
8.8 IPsec鏈路可靠性 475
8.8.1 IPsec智能選路 475
8.8.2 IPsec主備鏈路備份 481
8.8.3 IPsec隧道化鏈路備份 486 8.9
IPsec場景下的安全策略配置思路 491
8.9.1 點到點IPsec VPN 491
8.9.2 點到多點IPsec VPN 493
8.9.3 IPsec NAT穿越 494
8.10 IPsec故障排除 495
8.10.1 沒有數據流觸發IKE協商的故障分析 496
8.10.2 IKE協商失敗的故障分析 498
8.10.3 IPsec VPN業務不通的故障分析 502
8.10.4 IPsec VPN業務質量差的故障分析 504
8.10.5 IPsec隧道建立後頻繁中斷的故障分析 507
8.11 習題 513
第 9 章 SSL VPN 515
9.1 SSL VPN簡介 516
9.1.1 SSL VPN的優勢 516
9.1.2 SSL VPN應用場景 517
9.1.3 SSL協議 519
9.1.4 配置SSL VPN 521
9.2 虛擬網關 522
9.2.1 建立SSL VPN連接 522
9.2.2 配置虛擬網關 525
9.3 身份認證 527
9.3.1 身份認證方式 527
9.3.2 配置身份認證 529
9.4 文件共享 531
9.4.1 文件共享應用場景 531
9.4.2 配置文件共享 532
9.4.3 遠程用戶與防火牆之間的交互 532
9.4.4 防火牆與文件服務器的交互 538
9.5 Web代理 539
9.5.1 Web代理應用場景 539
9.5.2 配置Web代理資源 541
9.5.3 對URL地址的改寫 542
9.5.4 對URL中資源路徑的改寫 545
9.5.5 對URL包含的文件改寫 545
9.6 埠轉發 546
9.6.1 埠轉發應用場景 546
9.6.2 配置埠轉發 547
9.6.3 準備階段 548
9.6.4 Telnet連接建立階段 550
9.6.5 數據通信階段 552
9.7 網絡擴展 553
9.7.1 網絡擴展應用場景 553
9.7.2 網絡擴展處理流程 554
9.7.3 傳輸模式 556
9.7.4 配置網絡擴展 557
9.8 角色授權 560
9.9 安全策略 562
9.10 SSL VPN的綜合應用 565
9.11 習題 568
縮略語表 569