虚拟专用网PDF电子书下载

第1部分 虚拟化进程：从Intranet到Extranet再到VPN 3

第1章 专用网和虚拟专用网：探索网络安全 3

1．1 传统体系和LAN范例 4

1．2 传统的商业模式：一个时代的完结 7

1．2．1 商业社会的重新定义：一个狂躁的时代 8

1．2．2 数据处理管理者：从企业沙皇到替罪羊 9

1．3 局域网：全新信息系统的范例 10

1．4 揭去面纱的行为模式 11

1．4．1 行为分析 14

1．4．2 原因分析 15

1．4．3 解决方案分析 15

1．5 正在实施的新范例 18

1．5．1 自我学习型企业 20

1．6 专用网：孤独的堡垒 21

1．6．1 已定型的专用网 22

1．6．2 使用ISP的专用网 24

1．6．3 防火墙和其他防范措施 25

1．6．4 全球化安全的代价 28

1．7 专用网：Internet革命的倒退 28

1．7．1 专用网的技术应用周期 29

1．7．2 黑客和其他网络干扰者的威胁 31

1．7．3 私有化战争的代价 31

1．8 Extranet: Intranet的进化 32

1．8．1 带领你的商业伙伴、供应商和顾客开始网上旅程 34

1．8．2 一个经典的例子 34

1．8．3 Intranet的未来 35

1．9 虚拟专用网：Extranet的结束和VPN的开端 35

1．10 虚拟专用网VPN：神奇的WAN 36

1．9．1 VPN：Extranet的另一种形式 36

1．10．1 VPN和防火墙：数字空间上的联姻 37

1．10．2 VPN的可靠性 38

第2章 为什么VPN能够得到不断发展 41

2．1 政治：处于争论中的话题 42

2．2 无所不在的代表：Microsoft 45

2．2．1 NT：防火墙操作系统的新选择 47

2．2．2 NT Bugtraq网站 48

2．2．3 PPTP的崩溃 50

2．3 Cisco的L2F协议 52

2．4 VPN的经济因素 53

第3章 VPN的标准 55

3．1 隧道协议 57

3．1．1 IP安全性或IPSec标准 57

3．1．2 IPSec安全协议和加密 58

3．1．3 第二层隧道协议（L2PT） 62

3．1．4 通过SOCKS分开的防火墙 63

3．2 用户认证 64

3．2．1 拨号用户远端认证服务（RADIUS） 64

3．2．2 强用户认证 67

3．2．3 X.509数字证书标准 70

3．3 数据认证和完整性 71

3．3．1 数字签名过程 71

3．3．2 加密散列/汇集功能 72

3．3．3 证书授权和公钥底层结构 73

3．4 加密方案 75

3．5 加密密钥（对称）密码系统 75

3．6 公钥（非对称）加密系统 76

3．7 密钥管理协议 78

3．8．1 用ISAKMP对用户认证 79

3．8 ISAKMP/IKE——丰富的源泉 79

3．8．2 通过ISAKMP应用数字签名 80

3．8．3 安全联合和ISAKMP 80

3．9 IKE和SKIP 81

第2部分 黑客攻击和安全危机 85

第4章 历史上的黑客攻击 85

4．1 新的冷战 86

4．1．1 经济的和政治的现实 86

4．2 俄国人袭击Citibank 87

4．3 嗅探者软件把戏 88

4．4 柏林防火墙 89

4．5 得克萨斯防火墙灾难 89

4．7 RSA资助的闯入 90

4．6 伦敦银行被挟 90

第5章 黑客的攻击手段 93

5．1 防火墙如何被攻破 94

5．1．1 强攻击和特洛伊木马 94

5．1．2 Java Applets和ActiveX控件的安全漏洞 95

5．2 你已被攻破的指示信号 96

5．3 常见的攻击 97

5．3．1 IP地址欺骗 98

5．3．2 通过工作主机的IP地址欺骗 99

5．3．3 IP源自选路由 100

5．3．4 Java和ActiveX攻击 101

5．3．5 使用探视软件 102

5．3．6 TCP攻击 103

5．3．8 其他的攻击 105

5．3．7 死亡之Ping 105

5．3．9 推荐的Web站点 106

第6章 防火墙失效时的后果及措施 111

6．1 纠正你的错误配置 113

6．2 冷漠：系统瘫痪的最快方式 114

6．3 防火墙拨号访问 114

6．4 流入业务：防火墙的告警信号 115

6．5 软件升级：防火墙的燃料 115

6．6 主要的防火墙Web站点 116

第3部分 在阴影中前进 119

第7章 VPN技术 119

7．1 专用信息高速公路 120

7．2 它们如何工作？ 121

7．2．2 用户弱认证和强认证 123

7．2．1 基于公钥算法的动态交换 123

7．2．3 认证技术的进展 124

7．2．4 数据认证（完整性检查） 126

7．3 加密长度的重要性 127

7．3．1 IPSec（IP安全）加密技术的实施 129

7．3．2 节点间ISAKMP/IKE密钥管理和交换 131

7．4 第二层隧道协议（L2TP） 134

7．5 SOCKS重获其地位 135

第8章 防火墙的结构、技术和服务 137

8．1 开放系统互连模型（OSI）的映射 138

8．2 包过滤的方法 142

8．2．1 简单包过滤系统 142

8．2．2 状态式包过滤结构 144

8．2．3 电路级结构 145

8．2．4 应用代理方法 146

8．3 状态监察技术 148

8．4 应用代理技术 150

8．5 基于特性 152

8．5．1 网络地址翻译 152

8．5．2 地址隐藏 154

8．5．3 地址透明 155

8．6 访问控制 156

8．6．1 网关中的系统负载均衡 156

8．6．2 事件/连接记录 158

8．6．3 反欺骗特性 159

8．6．4 路由管理 159

8．6．5 第三方的支持及互操作性 160

8．7．1 安全代理概念 161

8．7 基本服务和协议支持 161

8．7．2 关键服务的提供 162

第9章 防火墙发展的新趋势 167

9．1 防火墙演进的驱动者 168

9．2 朗讯“防火砖” 170

9．3 光数据系统的超凡的防火墙 171

9．4 WatchGuard的新颖防火墙解决方案 173

9．5 来自外界的防火墙/VPN的管理 174

9．6 结束语：防火墙还将继续发展 175

第10章 其他VPN关键概念和技术 177

10．1 内容引导协议 178

10．2 把RSA数字签名用于Diffie-Hellman算法 179

10．2．1 ISAKMP的密钥交换特性 182

10．3 智能卡（Smart Card） 183

10．4 另一个用户认证系统TACACS＋ 184

10．5 轻量目录访问协议LDAP 185

第11章 VPN和防火墙的安全策略 187

11．1 企业范围的安全管理 188

11．1．1 规则库编辑器 190

11．1．2 对象类和管理 193

11．2 集中式安全（规则库）管理的特性 195

11．2．1 集中式管理与控制 196

11．2．2 安全性网关的最优配置 199

11．2．3 网络流量的登录与监视 200

11．2．4 实时的事件报警和通告 201

11．2．5 特殊性能 202

11．3 规则库编辑器逻辑的研究 203

11．3．1 从外部用户向本地用户发送电子邮件 204

11．3．3 登录时隐含的通信丢弃 206

11．3．2 本地用户访问整个网络 206

11．3．4 “隐藏”网关 207

11．4 将更复杂的策略转换为规则 210

11．4．1 选择用户访问以便在特定时间选择服务 211

第12章 VPN性能评价和回顾 215

12．1 实际情况下的性能 216

12．2 VPN性能问题 220

12．3 VPN本身的性能因素 221

12．4 性能方面其他考虑的事项 223

第4部分 VPN的实现和商业评估 227

第13章 VPN的实施：企业需求的评估 227

13．1 配置企业的VPN清单 228

13．1．1 总体实施方面要考虑的因素 229

13．1．2 用户访问的考虑 232

13．1．4 用户身份认证 234

13．1．3 安全需要 234

13．1．5 操作平台的考虑 235

13．2 VPN配置实例 235

第14章 VPN的商业评估：跨国公司和大公司 239

14．1 跨国公司 240

14．1．1 商业目标 241

14．1．2 企业VPN方案的考虑 242

14．1．3 确定跨国通信的需求 243

14．1．4 专用网和VPN的对比 244

14．2 突破56kbit/s速率 245

14．3 大公司 246

14．3．1 商业目标 246

14．3．2 知识企业 248

14．3．3 针对企业级的通信需求 249

14．3．4 专用网和VPN 250

14．3．5 最后的决定性因素 251

第15章 VPN的商业评估：中小企业 253

15．1 商业目标 255

15．2 组织 256

15．3 中小公司的通信要求 258

15．4 专用网与VPN的比较 259

15．5 一些额外的考虑 259

第5部分 VPN供应商的解决方案 263

第16章 典型产品综述 263

16．1 VPN结构实现 265

16．1．1 客户到LAN实现的比较 269

16．1．2 LAN到LAN的实现 271

16．2．1 所支持的隧道协议 272

16．2 安全服务 272

16．2．2 IPSec认证 275

16．2．3 加密和数据认证 276

16．2．4 密钥管理方面的考虑 277

16．3 用户认证的实现 280

16．3．1 双因素用户认证 280

16．3．2 三层强用户认证 281

16．4 VPN管理 282

16．5 入侵告警 284

16．6 VPN性能 285

第17章 配置防火墙 287

17．1 确定配置步骤 288

17．1．1 定义网络对象 289

17．1．2 定义用户和用户组对象 292

17．1．3 定义防火墙对象（Firewall Object） 295

17．2 建立规则库 298

第18章 配置虚拟专用网 309

18．1 确定步骤 310

18．2 定义网络对象 311

18．2．1 指定加密域 313

18．2．2 定义更多的网络对象 316

18．2．3 指定加密域（西海岸） 319

18．2．4 建立VPN规则库 321

18．3 客户到局域网实现 323

18．3．1 建立客户到LAN的规则库 327

第6部分 附录 331

RSA示例 331

术语 335

索引 341