华为防火墙技术漫谈
¥129.00定价
作者: 徐慧洋,白杰,卢宏旺
出版时间:2015-05
出版社:人民邮电出版社
- 人民邮电出版社
- 9787115390769
- 232884
- 69195421-8
- 2015-05
- 548
- 网络技术
- 本科
内容简介
本书介绍华为传统防火墙关键技术原理、应用场景和配置方法,主要包括安全策略、攻击防范、NAT、VPN、双机热备、选路,并结合网上案例给出以上技术的综合应用配置举例,以防火墙网上实际需求为导向,采用发现问题——解决问题——再发现问题——再解决问题的思路组织内容,内容连贯性强、逻辑性强
目录
理论篇
第1章 基础知识
1.1 什么是防火墙
1.2 防火墙的发展历史
1.2.1 1989年至1994年
1.2.2 1995年至2004年
1.2.3 2005年至今
1.2.4 总结
1.3 华为防火墙产品一览
1.3.1 USG2110产品介绍
1.3.2 USG6600产品介绍
1.3.3 USG9500产品介绍
1.4 安全区域
1.4.1 接口、网络和安全区域的关系
1.4.2 报文在安全区域之间流动的方向
1.4.3 安全区域的配置
1.5 状态检测和会话机制
1.5.1 状态检测
1.5.2 会话
1.5.3 组网验证
1.6 状态检测和会话机制补遗
1.6.1 再谈会话
1.6.2 状态检测与会话创建
1.7 配置注意事项和故障排除指导
1.7.1 安全区域
1.7.2 状态检测和会话机制
第2章 安全策略
2.1 安全策略初体验
2.1.1 基本概念
2.1.2 匹配顺序
2.1.3 缺省包过滤
2.2 安全策略发展历程
2.2.1 第一阶段:基于ACL的包过滤
2.2.2 第二阶段:融合UTM的安全策略
2.2.3 第三阶段:一体化安全策略
2.3 Local区域的安全策略
2.3.1 针对OSPF协议配置Local区域的安全策略
2.3.2 哪些协议需要在防火墙上配置Local区域的安全策略
2.4 ASPF
2.4.1 帮助FTP数据报文穿越防火墙
2.4.2 帮助QQ/MSN报文穿越防火墙
2.4.3 帮助用户自定义协议报文穿越防火墙
2.5 配置注意事项和故障排除指导
2.5.1 安全策略
2.5.2 ASPF
第3章 攻击防范
3.1 DoS攻击简介
3.2 单包攻击及防御
3.2.1 Ping of Death攻击及防御
3.2.2 Land攻击及防御
3.2.3 IP地址扫描攻击
3.2.4 防御单包攻击的配置建议
3.3 流量型攻击之SYN Flood攻击及防御
3.3.1 攻击原理
3.3.2 防御方法之TCP代理
3.3.3 防御方法之TCP源探测
3.3.4 配置命令
3.3.5 阈值配置指导
3.4 流量型攻击之UDP Flood攻击及防御
3.4.1 防御方法之限流
3.4.2 防御方法之指纹学习
3.4.3 配置命令
3.5 应用层攻击之DNS Flood攻击及防御
3.5.1 攻击原理
3.5.2 防御方法
3.5.3 配置命令
3.6 应用层攻击之HTTP Flood攻击及防御
3.6.1 攻击原理
3.6.2 防御方法
3.6.3 配置命令
第4章 NAT
4.1 源NAT
4.1.1 源NAT基本原理
4.1.2 NAT No-PAT
4.1.3 NAPT
4.1.4 出接口地址方式
4.1.5 Smart NAT
4.1.6 三元组NAT
4.1.7 多出口场景下的源NAT
4.1.8 总结
4.1.9 延伸阅读
4.2 NAT Server
4.2.1 NAT Server基本原理
4.2.2 多出口场景下的NAT Server
4.3 双向NAT
4.3.1 NAT Inbound+NAT Server
4.3.2 域内NAT+NAT Server
4.4 NAT ALG
4.4.1 FTP协议穿越NAT设备
4.4.2 QQ/MSN/User-defined协议穿越NAT设备
4.4.3 一条命令同时控制两种功能
4.4.4 User-defined类型的ASPF和三元组NAT辨义
4.5 NAT场景下黑洞路由的作用
4.5.1 源NAT场景下的黑洞路由
4.5.2 NAT Server场景下的黑洞路由
4.5.3 总结
4.6 NAT地址复用专利技术
第5章 GRE&L2TP VPN
5.1 VPN技术简介
5.1.1 VPN分类
5.1.2 VPN的关键技术
5.1.3 总结
5.2 GRE
5.2.1 GRE的封装/解封装
5.2.2 配置GRE基本参数
5.2.3 配置GRE安全机制
5.2.4 安全策略配置思路
5.3 L2TP VPN的诞生及演进
5.4 L2TP Client-Initiated VPN
5.4.1 阶段1 建立L2TP隧道:3条消息协商进入虫洞时机
5.4.2 阶段2 建立L2TP会话:3条消息唤醒虫洞门神
5.4.3 阶段3 创建PPP连接:身份认证,发放特别通行证
5.4.4 阶段4 数据封装传输:穿越虫洞,访问地球
5.4.5 安全策略配置思路
5.5 L2TP NAS-Initiated VPN
5.5.1 阶段1 建立PPPoE连接:拨号口呼唤VT口
5.5.2 阶段2 建立L2TP隧道:3条消息协商进入虫洞时机
5.5.3 阶段3 建立L2TP会话:3条消息唤醒虫洞门神
5.5.4 阶段4~5 LNS认证,分配IP地址:LNS冷静接受LAC
5.5.5 阶段6 数据封装传输:一路畅通
5.5.6 安全策略配置思路
5.6 L2TP LAC-Auto-Initiated VPN
5.6.1 LAC-Auto-Initiated VPN原理及配置
5.6.2 安全策略配置思路
5.7 总结
第6章 IPSec VPN
6.1 IPSec简介
6.1.1 加密和验证
6.1.2 安全封装
6.1.3 安全联盟
6.2 手工方式IPSec VPN
6.3 IKE和ISAKMP
6.4 IKEv1
6.4.1 配置IKE/IPSec VPN
6.4.2建立IKE SA(主模式)
6.4.3 建立IPSec SA
6.4.4 建立IKE SA(野蛮模式)
6.5 IKEv2
6.5.1 IKEv2简介
6.5.2 IKEv2协商过程
6.6 IKE/IPSec对比
6.6.1 IKEV1 PK IKEv2
6.6.2 IPSec协议框架
6.7 IPSec模板方式
6.7.1 在点到多点组网中的应用
6.7.2 个性化的预共享密钥
6.7.3 巧用指定对端域名
6.7.4 总结
6.8 NAT穿越
6.8.1 NAT穿越场景简介
6.8.2 IKEv1的NAT穿越协商
6.8.3 IKEv2的NAT穿越协商
6.8.4 IPSec与NAT并存于一个防火墙
6.9 数字证书认证
6.9.1 公钥密码学和PKI框架
6.9.2 证书申请
6.9.3 数字证书方式的身份认证
6.10 GRE/L2TP over IPSec
6.10.1 分舵通过GRE over IPSec接入总舵
6.10.2 分舵通过L2TP over IPSec接入总舵
6.10.3 移动用户使用L2TP over IPSec远程接入总舵
6.11 对等体检测
6.11.1 Keepalive机制
6.11.2 DPD机制
6.12 IPSec双链路备份
6.12.1 IPSec主备链路备份
6.12.2 IPSec隧道化链路备份
6.13 安全策略配置思路
6.13.1 IKE/IPSec VPN场景
6.13.2 IKE/IPSec VPN+NAT穿越场景
6.14 IPSec故障排除
6.14.1 没有数据流触发IKE协商故障分析
6.14.2 IKE协商不成功故障分析
6.14.3 IPSec VPN业务不通故障分析
6.14.4 IPSec VPN业务质量差故障分析
第1章 基础知识
1.1 什么是防火墙
1.2 防火墙的发展历史
1.2.1 1989年至1994年
1.2.2 1995年至2004年
1.2.3 2005年至今
1.2.4 总结
1.3 华为防火墙产品一览
1.3.1 USG2110产品介绍
1.3.2 USG6600产品介绍
1.3.3 USG9500产品介绍
1.4 安全区域
1.4.1 接口、网络和安全区域的关系
1.4.2 报文在安全区域之间流动的方向
1.4.3 安全区域的配置
1.5 状态检测和会话机制
1.5.1 状态检测
1.5.2 会话
1.5.3 组网验证
1.6 状态检测和会话机制补遗
1.6.1 再谈会话
1.6.2 状态检测与会话创建
1.7 配置注意事项和故障排除指导
1.7.1 安全区域
1.7.2 状态检测和会话机制
第2章 安全策略
2.1 安全策略初体验
2.1.1 基本概念
2.1.2 匹配顺序
2.1.3 缺省包过滤
2.2 安全策略发展历程
2.2.1 第一阶段:基于ACL的包过滤
2.2.2 第二阶段:融合UTM的安全策略
2.2.3 第三阶段:一体化安全策略
2.3 Local区域的安全策略
2.3.1 针对OSPF协议配置Local区域的安全策略
2.3.2 哪些协议需要在防火墙上配置Local区域的安全策略
2.4 ASPF
2.4.1 帮助FTP数据报文穿越防火墙
2.4.2 帮助QQ/MSN报文穿越防火墙
2.4.3 帮助用户自定义协议报文穿越防火墙
2.5 配置注意事项和故障排除指导
2.5.1 安全策略
2.5.2 ASPF
第3章 攻击防范
3.1 DoS攻击简介
3.2 单包攻击及防御
3.2.1 Ping of Death攻击及防御
3.2.2 Land攻击及防御
3.2.3 IP地址扫描攻击
3.2.4 防御单包攻击的配置建议
3.3 流量型攻击之SYN Flood攻击及防御
3.3.1 攻击原理
3.3.2 防御方法之TCP代理
3.3.3 防御方法之TCP源探测
3.3.4 配置命令
3.3.5 阈值配置指导
3.4 流量型攻击之UDP Flood攻击及防御
3.4.1 防御方法之限流
3.4.2 防御方法之指纹学习
3.4.3 配置命令
3.5 应用层攻击之DNS Flood攻击及防御
3.5.1 攻击原理
3.5.2 防御方法
3.5.3 配置命令
3.6 应用层攻击之HTTP Flood攻击及防御
3.6.1 攻击原理
3.6.2 防御方法
3.6.3 配置命令
第4章 NAT
4.1 源NAT
4.1.1 源NAT基本原理
4.1.2 NAT No-PAT
4.1.3 NAPT
4.1.4 出接口地址方式
4.1.5 Smart NAT
4.1.6 三元组NAT
4.1.7 多出口场景下的源NAT
4.1.8 总结
4.1.9 延伸阅读
4.2 NAT Server
4.2.1 NAT Server基本原理
4.2.2 多出口场景下的NAT Server
4.3 双向NAT
4.3.1 NAT Inbound+NAT Server
4.3.2 域内NAT+NAT Server
4.4 NAT ALG
4.4.1 FTP协议穿越NAT设备
4.4.2 QQ/MSN/User-defined协议穿越NAT设备
4.4.3 一条命令同时控制两种功能
4.4.4 User-defined类型的ASPF和三元组NAT辨义
4.5 NAT场景下黑洞路由的作用
4.5.1 源NAT场景下的黑洞路由
4.5.2 NAT Server场景下的黑洞路由
4.5.3 总结
4.6 NAT地址复用专利技术
第5章 GRE&L2TP VPN
5.1 VPN技术简介
5.1.1 VPN分类
5.1.2 VPN的关键技术
5.1.3 总结
5.2 GRE
5.2.1 GRE的封装/解封装
5.2.2 配置GRE基本参数
5.2.3 配置GRE安全机制
5.2.4 安全策略配置思路
5.3 L2TP VPN的诞生及演进
5.4 L2TP Client-Initiated VPN
5.4.1 阶段1 建立L2TP隧道:3条消息协商进入虫洞时机
5.4.2 阶段2 建立L2TP会话:3条消息唤醒虫洞门神
5.4.3 阶段3 创建PPP连接:身份认证,发放特别通行证
5.4.4 阶段4 数据封装传输:穿越虫洞,访问地球
5.4.5 安全策略配置思路
5.5 L2TP NAS-Initiated VPN
5.5.1 阶段1 建立PPPoE连接:拨号口呼唤VT口
5.5.2 阶段2 建立L2TP隧道:3条消息协商进入虫洞时机
5.5.3 阶段3 建立L2TP会话:3条消息唤醒虫洞门神
5.5.4 阶段4~5 LNS认证,分配IP地址:LNS冷静接受LAC
5.5.5 阶段6 数据封装传输:一路畅通
5.5.6 安全策略配置思路
5.6 L2TP LAC-Auto-Initiated VPN
5.6.1 LAC-Auto-Initiated VPN原理及配置
5.6.2 安全策略配置思路
5.7 总结
第6章 IPSec VPN
6.1 IPSec简介
6.1.1 加密和验证
6.1.2 安全封装
6.1.3 安全联盟
6.2 手工方式IPSec VPN
6.3 IKE和ISAKMP
6.4 IKEv1
6.4.1 配置IKE/IPSec VPN
6.4.2建立IKE SA(主模式)
6.4.3 建立IPSec SA
6.4.4 建立IKE SA(野蛮模式)
6.5 IKEv2
6.5.1 IKEv2简介
6.5.2 IKEv2协商过程
6.6 IKE/IPSec对比
6.6.1 IKEV1 PK IKEv2
6.6.2 IPSec协议框架
6.7 IPSec模板方式
6.7.1 在点到多点组网中的应用
6.7.2 个性化的预共享密钥
6.7.3 巧用指定对端域名
6.7.4 总结
6.8 NAT穿越
6.8.1 NAT穿越场景简介
6.8.2 IKEv1的NAT穿越协商
6.8.3 IKEv2的NAT穿越协商
6.8.4 IPSec与NAT并存于一个防火墙
6.9 数字证书认证
6.9.1 公钥密码学和PKI框架
6.9.2 证书申请
6.9.3 数字证书方式的身份认证
6.10 GRE/L2TP over IPSec
6.10.1 分舵通过GRE over IPSec接入总舵
6.10.2 分舵通过L2TP over IPSec接入总舵
6.10.3 移动用户使用L2TP over IPSec远程接入总舵
6.11 对等体检测
6.11.1 Keepalive机制
6.11.2 DPD机制
6.12 IPSec双链路备份
6.12.1 IPSec主备链路备份
6.12.2 IPSec隧道化链路备份
6.13 安全策略配置思路
6.13.1 IKE/IPSec VPN场景
6.13.2 IKE/IPSec VPN+NAT穿越场景
6.14 IPSec故障排除
6.14.1 没有数据流触发IKE协商故障分析
6.14.2 IKE协商不成功故障分析
6.14.3 IPSec VPN业务不通故障分析
6.14.4 IPSec VPN业务质量差故障分析
