当前位置:首页 > 工业技术
华为防火墙技术漫谈
华为防火墙技术漫谈

华为防火墙技术漫谈PDF电子书下载

工业技术

  • 电子书积分:16 积分如何计算积分?
  • 作 者:徐慧洋,白杰,卢宏旺编著
  • 出 版 社:北京:人民邮电出版社
  • 出版年份:2015
  • ISBN:9787115390769
  • 页数:548 页
图书介绍:本书介绍华为传统防火墙关键技术原理、应用场景和配置方法,主要包括安全策略、攻击防范、NAT、VPN、双机热备、选路,并结合网上案例给出以上技术的综合应用配置举例,以防火墙网上实际需求为导向,采用发现问题——解决问题——再发现问题——再解决问题的思路组织内容,内容连贯性强、逻辑性强。
《华为防火墙技术漫谈》目录

理论篇 2

第1章 基础知识 2

1.1 什么是防火墙 4

1.2 防火墙的发展历史 5

1.2.1 1989年至1994年 6

1.2.2 1995年至2004年 6

1.2.3 2005年至今 7

1.2.4 总结 7

1.3 华为防火墙产品一览 8

1.3.1 USG2110产品介绍 9

1.3.2 USG6600产品介绍 9

1.3.3 USG9500产品介绍 9

1.4 安全区域 10

1.4.1 接口、网络和安全区域的关系 10

1.4.2 报文在安全区域之间流动的方向 12

1.4.3 安全区域的配置 13

1.5 状态检测和会话机制 16

1.5.1 状态检测 16

1.5.2 会话 18

1.5.3 组网验证 18

1.6 状态检测和会话机制补遗 19

1.6.1 再谈会话 19

1.6.2 状态检测与会话创建 21

1.7 配置注意事项和故障排除指导 25

1.7.1 安全区域 25

1.7.2 状态检测和会话机制 26

第2章 安全策略 30

2.1 安全策略初体验 32

2.1.1 基本概念 32

2.1.2 匹配顺序 33

2.1.3 缺省包过滤 34

2.2 安全策略发展历程 35

2.2.1 第一阶段:基于ACL的包过滤 35

2.2.2 第二阶段:融合UTM的安全策略 36

2.2.3 第三阶段:一体化安全策略 38

2.3 Local区域的安全策略 41

2.3.1 针对OSPF协议配置Local区域的安全策略 41

2.3.2 哪些协议需要在防火墙上配置Local区域的安全策略 46

2.4 ASPF 48

2.4.1 帮助FTP数据报文穿越防火墙 48

2.4.2 帮助QQ/MSN报文穿越防火墙 52

2.4.3 帮助用户自定义协议报文穿越防火墙 54

2.5 配置注意事项和故障排除指导 55

2.5.1 安全策略 55

2.5.2 ASPF 58

第3章 攻击防范 60

3.1 DoS攻击简介 62

3.2 单包攻击及防御 62

3.2.1 Ping ofDeath攻击及防御 63

3.2.2 Land攻击及防御 63

3.2.3 IP地址扫描攻击 64

3.2.4 防御单包攻击的配置建议 64

3.3 流量型攻击之SYN Flood攻击及防御 65

3.3.1 攻击原理 66

3.3.2 防御方法之TCP代理 67

3.3.3 防御方法之TCP源探测 68

3.3.4 配置命令 69

3.3.5 阈值配置指导 70

3.4 流量型攻击之UDP Flood攻击及防御 70

3.4.1 防御方法之限流 71

3.4.2 防御方法之指纹学习 71

3.4.3 配置命令 73

3.5 应用层攻击之DNS Flood攻击及防御 74

3.5.1 攻击原理 74

3.5.2 防御方法 75

3.5.3 配置命令 78

3.6 应用层攻击之HTTP Flood攻击及防御 78

3.6.1 攻击原理 78

3.6.2 防御方法 79

3.6.3 配置命令 82

第4章 NAT 84

4.1 源NAT 86

4.1.1 源NAT基本原理 86

4.1.2 NAT No-PAT 88

4.1.3 NAPT 90

4.1.4 出接口地址方式 91

4.1.5 Smart NAT 92

4.1.6 三元组NAT 94

4.1.7 多出口场景下的源NAT 98

4.1.8 总结 100

4.1.9 延伸阅读 100

4.2 NAT Server 101

4.2.1 NAT Server基本原理 102

4.2.2 多出口场景下的NAT Server 104

4.3 双向NAT 109

4.3.1 NAT Inbound+NAT Server 110

4.3.2 域内NAT+NAT Server 112

4.4 NAT ALG 115

4.4.1 FTP协议穿越NAT设备 115

4.4.2 QQ/MSN/User-defined协议穿越NAT设备 118

4.4.3 一条命令同时控制两种功能 119

4.4.4 User-defined类型的ASPF和三元组NAT辨义 120

4.5 NAT场景下黑洞路由的作用 121

4.5.1 源NAT场景下的黑洞路由 121

4.5.2 NAT Server场景下的黑洞路由 126

4.5.3 总结 128

4.6 NAT地址复用专利技术 129

第5章 GRE&L2TP VPN 132

5.1 VPN技术简介 134

5.1.1 VPN分类 134

5.1.2 VPN的关键技术 136

5.1.3 总结 138

5.2 GRE 139

5.2.1 GRE的封装/解封装 139

5.2.2 配置GRE基本参数 141

5.2.3 配置GRE安全机制 143

5.2.4 安全策略配置思路 145

5.3 L2TP VPN的诞生及演进 148

5.4 L2TP Client-Initiated VPN 150

5.4.1 阶段1 建立L2TP隧道:3条消息协商进入虫洞时机 151

5.4.2 阶段2 建立L2TP会话:3条消息唤醒虫洞门神 152

5.4.3 阶段3 创建PPP连接:身份认证,发放特别通行证 152

5.4.4 阶段4 数据封装传输:穿越虫洞,访问地球 154

5.4.5 安全策略配置思路 156

5.5 L2TP NAS-Initiated VPN 158

5.5.1 阶段1 建立PPPoE连接:拨号口呼唤VT口 160

5.5.2 阶段2 建立L2TP隧道:3条消息协商进入虫洞时机 161

5.5.3 阶段3 建立L2TP会话:3条消息唤醒虫洞门神 162

5.5.4 阶段4~5 LNS认证,分配IP地址:LNS冷静接受LAC 162

5.5.5 阶段6 数据封装传输:一路畅通 164

5.5.6 安全策略配置思路 165

5.6 L2TP LAC-Auto-Initiated VPN 167

5.6.1 LAC-Auto-Initiated VPN原理及配置 168

5.6.2 安全策略配置思路 171

5.7 总结 174

第6章 IPSec VPN 176

6.1 IPSec简介 178

6.1.1 加密和验证 178

6.1.2 安全封装 180

6.1.3 安全联盟 181

6.2 手工方式IPSec VPN 182

6.3 IKE和ISAKMP 185

6.4 IKEv1 186

6.4.1 配置IKE/IPSecVPN 186

6.4.2 建立IKE SA(主模式) 188

6.4.3 建立IPSec SA 191

6.4.4 建立IKE SA(野蛮模式) 193

6.5 IKEv2 194

6.5.1 IKEv2简介 195

6.5.2 IKEv2协商过程 196

6.6 IKE/IPSec对比 198

6.6.1 IKEV1 PK IKEv2 198

6.6.2 IPSec协议框架 198

6.7 IPSec模板方式 200

6.7.1 在点到多点组网中的应用 200

6.7.2 个性化的预共享密钥 203

6.7.3 巧用指定对端域名 204

6.7.4 总结 205

6.8 NAT穿越 206

6.8.1 NAT穿越场景简介 206

6.8.2 IKEv1的NAT穿越协商 210

6.8.3 IKEv2的NAT穿越协商 211

6.8.4 IPSec与NAT并存于一个防火墙 212

6.9 数字证书认证 213

6.9.1 公钥密码学和PKI框架 214

6.9.2 证书申请 214

6.9.3 数字证书方式的身份认证 218

6.10 GRE/L2TP over IPSec 220

6.10.1 分舵通过GRE over IPSec接入总舵 220

6.10.2 分舵通过L2TP over IPSec接入总舵 223

6.10.3 移动用户使用L2TPoverIPSec远程接入总舵 226

6.11 对等体检测 227

6.11.1 Keepalive机制 228

6.11.2 DPD机制 228

6.12 IPSec双链路备份 229

6.12.1 IPSec主备链路备份 229

6.12.2 IPSec隧道化链路备份 232

6.13 安全策略配置思路 236

6.13.1 IKE/IPSecVPN场景 236

6.13.2 IKE/IPSec VPN+NAT穿越场景 239

6.14 IPSec故障排除 242

6.14.1 没有数据流触发IKE协商故障分析 243

6.14.2 IKE协商不成功故障分析 244

6.14.3 IPSecVPN业务不通故障分析 248

6.14.4 IPSec VPN业务质量差故障分析 249

第7章 DSVPN 254

7.1 DSVPN简介 256

7.2 Normal方式的DSVPN 257

7.2.1 配置Normal方式DSVPN 257

7.2.2 Normal方式的DSVPN原理 259

7.3 Shortcut方式的DSVPN 263

7.3.1 配置Shortcut方式的DSVPN 264

7.3.2 Shortcut方式的DSVPN原理 265

7.4 Normal方式和Shortcut方式对比 269

7.5 私网采用静态路由时DSVPN的配置 269

7.6 DSVPN的安全性 270

7.6.1 身份认证 270

7.6.2 加密保护 271

7.7 安全策略配置思路 272

第8章 SSL VPN 274

8.1 SSL VPN原理 276

8.1.1 SSL VPN的优势 276

8.1.2 SSL VPN的应用场景 276

8.1.3 SSL协议的运行机制 278

8.1.4 用户身份认证 283

8.2 文件共享 286

8.2.1 文件共享应用场景 286

8.2.2 配置文件共享 287

8.2.3 远程用户与防火墙之间的交互 288

8.2.4 防火墙与文件服务器的交互 292

8.3 Web代理 293

8.3.1 配置Web代理资源 293

8.3.2 对URL地址的改写 295

8.3.3 对URL中资源路径的改写 296

8.3.4 对URL包含的文件改写 297

8.4 端口转发 298

8.4.1 配置端口转发 298

8.4.2 准备阶段 300

8.4.3 Telnet连接建立阶段 300

8.4.4 数据通信阶段 303

8.5 网络扩展 303

8.5.1 网络扩展应用场景 304

8.5.2 网络扩展处理流程 305

8.5.3 可靠传输模式和快速传输模式 307

8.5.4 配置网络扩展 308

8.5.5 登录过程 310

8.6 配置角色授权 312

8.7 配置安全策略 313

8.7.1 Web代理/文件共享/端口转发场景下配置安全策略 313

8.7.2 网络扩展场景下配置安全策略 315

8.8 SSL VPN四大功能综合应用 318

第9章 双机热备 322

9.1 双机热备概述 324

9.1.1 双机部署提升网络可靠性 324

9.1.2 路由器的双机部署只需考虑路由备份 324

9.1.3 防火墙的双机部署还需考虑会话备份 326

9.1.4 双机热备解决防火墙会话备份问题 327

9.1.5 总结 329

9.2 VRRP与VGMP的故事 330

9.2.1 VRRP概述 330

9.2.2 VRRP工作原理 332

9.2.3 多个VRRP状态相互独立产生问题 336

9.2.4 VGMP的产生解决了VRRP的问题 337

9.2.5 VGMP报文结构 339

9.2.6 防火墙VGMP组的缺省状态 341

9.2.7 主备备份双机热备状态形成过程 342

9.2.8 主用设备接口故障后的状态切换过程 346

9.2.9 主用设备整机故障后的状态切换过程 348

9.2.10 原主用设备故障恢复后的状态切换过程(抢占) 349

9.2.11 负载分担双机热备状态形成过程 351

9.2.12 负载分担双机热备状态切换过程 353

9.2.13 总结 354

9.2.14 VGMP状态机 355

9.3 VGMP招式详解 356

9.3.1 防火墙连接路由器时的VGMP招式 356

9.3.2 防火墙透明接入,连接交换机时的VGMP招式 359

9.3.3 防火墙透明接入,连接路由器时的VGMP招式 361

9.3.4 VGMP组监控远端接口的招式 363

9.3.5 总结 364

9.4 HRP协议详解 365

9.4.1 HRP概述 365

9.4.2 HRP报文结构和实现原理 367

9.4.3 HRP的备份方式 369

9.4.4 HRP能够备份的配置与状态信息 371

9.4.5 心跳口与心跳链路探测报文 372

9.4.6 HRP一致性检查报文的作用与原理 373

9.5 双机热备配置指导 374

9.5.1 配置流程 375

9.5.2 配置检查和结果验证 378

9.6 双机热备旁挂组网分析 380

9.6.1 通过VRRP与静态路由的方式实现双机热备旁挂 380

9.6.2 通过OSPF与策略路由的方式实现双机热备旁挂 383

9.7 双机热备与其他特性结合使用 385

9.7.1 双机热备与NAT Server结合使用 385

9.7.2 双机热备与源NAT特性结合使用 388

9.7.3 主备备份方式双机热备与IPSec结合使用 391

9.7.4 负载分担方式双机热备与IPSec结合使用 393

9.8 第三代双机热备登上历史舞台 395

9.8.1 第三代VGMP概述 396

9.8.2 第三代VGMP缺省状态及配置 397

9.8.3 第三代双机热备状态形成及切换过程 398

9.8.4 第三代VGMP报文结构 400

9.8.5 第三代VGMP状态机 401

9.8.6 总结 402

第10章 出口选路 404

10.1 出口选路总述 406

10.1.1 就近选路 406

10.1.2 策略路由选路 406

10.1.3 智能选路 407

10.1.4 透明DNS选路 409

10.1.5 旁挂出口选路 410

10.2 就近选路 411

10.2.1 缺省路由VS明细路由 411

10.2.2 ISP路由 413

10.3 策略路由选路 416

10.3.1 策略路由的概念 416

10.3.2 基于目的IP地址的策略路由 418

10.3.3 基于源IP地址的策略路由 419

10.3.4 基于应用的策略路由 421

10.3.5 旁路组网下的策略路由选路 423

10.4 智能选路 425

10.4.1 链路带宽模式 426

10.4.2 路由权重模式 429

10.4.3 链路质量探测模式 431

10.5 透明DNS选路 435

10.5.1 基本原理 435

10.5.2 简单轮询算法 437

10.5.3 加权轮询算法 439

实战篇 444

第11章 防火墙在校园网中的应用 444

11.1 组网需求 446

11.2 强叔规划 447

11.2.1 多出口选路规划 447

11.2.2 安全规划 447

11.2.3 NAT规划 448

11.2.4 带宽管理规划 449

11.2.5 网络管理规划 449

11.3 配置步骤 449

11.4 拍案惊奇 458

第12章 防火墙在广电网络中的应用 460

12.1 组网需求 462

12.2 强叔规划 463

12.2.1 双机热备规划 463

12.2.2 多出口选路规划 463

12.2.3 带宽管理规划 464

12.2.4 安全规划 464

12.2.5 NAT规划 465

12.2.6 内网服务器规划 466

12.2.7 应对审查的规划 466

12.3 配置步骤 466

12.4 拍案惊奇 478

第13章 防火墙在体育场馆网络中的应用 480

13.1 组网需求 482

13.2 强叔规划——出口防火墙 483

13.2.1 BGP规划 483

13.2.2 OSPF规划 483

13.2.3 双机热备规划 484

13.2.4 安全功能规划 484

13.2.5 NAT规划 484

13.2.6 来回路径不一致规划 485

13.3 强叔规划——数据中心防火墙 486

13.3.1 双机热备规划 486

13.3.2 安全功能规划 486

13.4 配置步骤——出口防火墙 487

13.5 配置步骤——数据中心防火墙 492

13.6 拍案惊奇 495

第14章 防火墙在企业分支与总部VPN互通中的应用 496

14.1 组网需求 498

14.2 强叔规划 499

14.2.1 接口规划 499

14.2.2 安全策略规划 499

14.2.3 IPSec规划 499

14.2.4 NAT规划 500

14.2.5 路由规划 500

14.3 配置步骤 500

14.4 拍案惊奇 507

附录 510

A 报文处理流程 510

A.1 华为大同:全系列状态检测防火墙报文处理流程 512

A.1.1 查询会话前的处理过程:基础处理 513

A.1.2 查询会话中的处理过程:转发处理,关键是会话建立 513

A.1.3 查询会话后的处理过程:安全业务处理及报文发送 515

A.2 求同存异:集中式与分布式防火墙差异对报文处理流程的影响 516

A.2.1 当安全策略遇上NAT Server 517

A.2.2 当源NAT遇上NAT Server 519

B 证书浅析 522

B.1 公钥密码学 524

B.1.1 基本概念 524

B.1.2 数据加解密 525

B.1.3 真实性验证 526

B.1.4 完整性验证 527

B.2 证书 528

B.2.1 证书属性 528

B.2.2 证书颁发 529

B.2.3 证书验证 530

B.3 应用 532

B.3.1 证书在IPSec中的应用 532

B.3.2 证书在SSL VPN中的应用 532

C 强叔提问及答案 540

C.1 第1章 542

C.2 第2章 542

C.3 第3章 543

C.4 第4章 544

C.5 第5章 544

C.6 第6章 545

C.7 第7章 546

C.8 第8章 546

C.9 第9章 546

C.10 第10章 547

C.11 附录A 548

C.12 附录B 548

相关图书
作者其它书籍
返回顶部