虚拟私用网络技术PDF电子书下载

第1章 虚拟私用网络概述 1

1．1 虚拟私用网络简介及其优点 1

1．2 虚拟私用网络的安全性 2

1．2．1 一个典型的端到端数据通路 3

1．2．2 拨入段数据泄露的危险 5

1．2．3 因特网上数据泄露的危险 5

1．2．4 安全网关中数据泄露的危险 6

1．2．5 内部网数据泄露的危险 7

1．2．6 结论 7

1．3 市场上的虚拟私用网络解决方案 8

1．3．1 基于IP安全体系结构的虚拟私用网络方案 9

1．3．2 基于第二层的VPN解决方案 11

1．3．3 非IPSec的网络层VPN解决方案 14

1．3．4 非IPSec的应用层VPN解决方案 17

1．3．5 结论 18

1．4 VPN的各种应用场合 19

1．4．1 分支机构连接网络 19

1．4．2 业务合作伙件/供应商网络 20

1．4．3 远程访问网络 22

第2章 密码学简介 24

2．1 术语 24

2．2 对称密钥算法（保密密钥算法） 26

2．2．1 IPSec中的对称密钥算法 27

2．3 非对称密码算法（公钥密码算法） 28

2．3．1 身份认证和不可否认性 28

2．3．2 公钥算法示例 29

2．3．3 IPSec中使用的非对称密码算法 30

2．4 哈希函数 32

2．4．1 哈希函数举例 35

2．4．2 IPSec中使用的哈希函数 35

2．5 数字证书和证书权威机构 38

2．5．1 IPSec中的数字证书 39

2．6 随机数发生器 40

2．7 密码学产品的进出口限制 41

第3章IPSec 43

3．1 概念 43

3．1．1 安全关联 44

3．1．2 通道 45

3．1．3 IPSec手册中用到的术语 46

3．2 认证头部 47

3．2．1 AH头部格式 48

3．2．2 AH的使用模式 49

3．2．3 IPv6中的AH 51

3．3 负载安全封装 51

3．3．1 ESP报文格式 52

3．3．2 ESP的使用方式 54

3．3．3 IPv6中的ESP 56

3．3．4 为什么有两个认证协议 56

3．4 IPSec协议的组合使用 57

3．4．1 例1：端到端安全 58

3．4．2 例2：基本的VPN支持 59

3．4．3 例3：VPN支持的端到端安全 60

3．4．4 例4：远程访问 60

3．4．5 结论和一个例子 61

3．5 当前的IPSec标准和因特网草案 62

第4章 因特网密钥交换协议 64

4．1 协议概要 65

4．1．1 ISAKMP/Oakley的两个阶段 65

4．2 使用ISAKMP/Oakley初始化安全关联 66

4．2．1 阶段1：建立ISAKMP安全关联 67

4．2．2 阶段2：建立协议安全关联 73

4．3 协商多个安全关联 77

4．4 在远程访问中使用ISAKMP/Oakley 78

第5章 VPN用于分支机构连接 80

5．1 总体考虑 80

5．1．1 对骨干网数据流进行认证 80

5．1．2 数据保密 81

5．1．3 寻址问题 81

5．1．4 路由问题 82

5．1．5 总结：分支机构与内部网连接 84

5．2 工作流程 85

5．2．1 通道数据流的过滤规则 85

5．2．2 一个数据包的流动过程 86

5．3 用于连接分支机构的VPN的变种 89

5．3．1 只允许防火墙到防火墙的数据流 90

5．3．2 只允许某些类型的数据流 90

5．3．3 只允许某些主机之间的数据流 91

第6章 连接业务伙伴/供应商网络的VPN 93

6．1 总体考虑 93

6．1．1 对供应商数据进行认证和加密 95

6．1．2 寻址问题 96

6．1．3 包过滤和代理 97

6．1．4 小结：内部网之间的互联 97

6．2 手工密钥分配 98

6．2．1 使用邮件 98

6．2．2 使用安全套接字层 98

6．2．3 使用Pretty Good Privacy 99

6．3 连接业务伙伴/供应商的VPN的变种 99

第7章 用于远程访问的VPN 100

7．1 总体考虑 100

7．1．1 数据保密和认证 101

7．1．2 寻址和路由问题 101

7．1．3 多协议支持 102

7．1．4 小结：远程访问 102

7．2 洞察动态通道的细节 103

附录A IBM eNetwork VPN解决方案 106

A．1 关键术语和特征 106

A．1．1 IPSec功能 106

A．1．2 通道类型 108

A．1．3 其他重要特征 112

A．2 服务器/网关平台 112

A．2．1 IBM针对AIX的eNetwork防火墙 114

A．2．2 AIX V4.3 116

A．2．3 IBM Nways路由器 118

A．2．4 IBM 3746多接入封装器 119

A．2．5 OS/390服务器 119

A．3 客户端平台 120

A．3．1 AIX IPSec客户端(和针对AIX的eNetwork防火墙一起提供) 121

A．3．2 Windows 95 IPSec客户端（和针对AIX的eNetwork防火墙一起提供） 122

A．3．3 OS/2 TCP/IP V4.1 IPSec客户端 123

A．3．4 Windows 95 eNetwork通信套件1.1版本 125

A．4 IBM VPN解决方案与其他供应商的互操作性 126

附录B 解决VPN中出现的问题 127

B．1 通用说明 127

B．1．1 双方都需注意的字段 127

B．1．2 包过滤 127

B．1．3 日志 127

B．1．4 嵌套通道 128

B．2 跟踪IPSec连接 128

B．2．1 跟踪举例 129

B．3 IPSec不具有的特征 136

B．3．1 计算路径的MTU和IP分段 136

B．3．2 路由跟踪 136

B．3．3 网址转换 137

附录C 特别声明 138

附录D 相关的出版物 140

D．1 国际技术支持组织（ITSO）的出版物 140

D．2 其他出版物 140