封面

书名
版权
前言
目录
理论篇／２
第１章 基础知识／２
１．１ 什么是防火墙／４
１．２ 防火墙的发展历史／５
１．２．１ １９８９年至１９９４年／６
１．２．２ １９９５年至２００４年／６
１．２．３ ２００５年至今／７
１．２．４ 总结／７
１．３ 华为防火墙产品一览／８
１．３．１ ＵＳＧ２１１０产品介绍／９
１．３．２ ＵＳＧ６６００产品介绍／９
１．３．３ ＵＳＧ９５００产品介绍／９
１．４ 安全区域／１０
１．４．１ 接口、网络和安全区域的关系／１０
１．４．２ 报文在安全区域之间流动的方向／１２
１．４．３ 安全区域的配置／１３
１．５ 状态检测和会话机制／１６
１．５．１ 状态检测／１６
１．５．２ 会话／１８
１．５．３ 组网验证／１８
１．６ 状态检测和会话机制补遗／１９
１．６．１ 再谈会话／１９
１．６．２ 状态检测与会话创建／２１
１．７ 配置注意事项和故障排除指导／２５
１．７．１ 安全区域／２５
１．７．２ 状态检测和会话机制／２６
第２章 安全策略／３０
２．１ 安全策略初体验／３２
２．１．１ 基本概念／３２
２．１．２ 匹配顺序／３３
２．１．３ 缺省包过滤／３４
２．２ 安全策略发展历程／３５
２．２．１ 第一阶段：基于ＡＣＬ的包过滤／３５
２．２．２ 第二阶段：融合ＵＴＭ的安全策略／３６
２．２．３ 第三阶段：一体化安全策略／３８
２．３ Ｌｏｃａｌ区域的安全策略／４１
２．３．１ 针对ＯＳＰＦ协议配置Ｌｏｃａｌ区域的安全策略／４１
２．３．２ 哪些协议需要在防火墙上配置Ｌｏｃａｌ区域的安全策略／４６
２．４ ＡＳＰＦ／４８
２．４．１ 帮助ＦＴＰ数据报文穿越防火墙／４８
２．４．２ 帮助ＱＱ／ＭＳＮ报文穿越防火墙／５２
２．４．３ 帮助用户自定义协议报文穿越防火墙／５４
２．５ 配置注意事项和故障排除指导／５５
２．５．１ 安全策略／５５
２．５．２ ＡＳＰＦ／５８
第３章 攻击防范／６０
３．１ ＤｏＳ攻击简介／６２
３．２ 单包攻击及防御／６２
３．２．１ Ｐｉｎｇ ｏｆＤｅａｔｈ攻击及防御／６３
３．２．２ Ｌａｎｄ攻击及防御／６３
３．２．３ ＩＰ地址扫描攻击／６４
３．２．４ 防御单包攻击的配置建议／６４
３．３ 流量型攻击之ＳＹＮ Ｆｌｏｏｄ攻击及防御／６５
３．３．１ 攻击原理／６６
３．３．２ 防御方法之ＴＣＰ代理／６７
３．３．３ 防御方法之ＴＣＰ源探测／６８
３．３．４ 配置命令／６９
３．３．５ 阈值配置指导／７０
３．４ 流量型攻击之ＵＤＰ Ｆｌｏｏｄ攻击及防御／７０
３．４．１ 防御方法之限流／７１
３．４．２ 防御方法之指纹学习／７１
３．４．３ 配置命令／７３
３．５ 应用层攻击之ＤＮＳ Ｆｌｏｏｄ攻击及防御／７４
３．５．１ 攻击原理／７４
３．５．２ 防御方法／７５
３．５．３ 配置命令／７８
３．６ 应用层攻击之ＨＴＴＰ Ｆｌｏｏｄ攻击及防御／７８
３．６．１ 攻击原理／７８
３．６．２ 防御方法／７９
３．６．３ 配置命令／８２
第４章 ＮＡＴ／８４
４．１ 源ＮＡＴ／８６
４．１．１ 源ＮＡＴ基本原理／８６
４．１．２ ＮＡＴ Ｎｏ－ＰＡＴ／８８
４．１．３ ＮＡＰＴ／９０
４．１．４ 出接口地址方式／９１
４．１．５ Ｓｍａｒｔ ＮＡＴ／９２
４．１．６ 三元组ＮＡＴ／９４
４．１．７ 多出口场景下的源ＮＡＴ／９８
４．１．８ 总结／１００
４．１．９ 延伸阅读／１００
４．２ ＮＡＴ Ｓｅｒｖｅｒ／１０１
４．２．１ ＮＡＴ Ｓｅｒｖｅｒ基本原理／１０２
４．２．２ 多出口场景下的ＮＡＴ Ｓｅｒｖｅｒ／１０４
４．３ 双向ＮＡＴ／１０９
４．３．１ ＮＡＴ Ｉｎｂｏｕｎｄ＋ＮＡＴ Ｓｅｒｖｅｒ／１１０
４．３．２ 域内ＮＡＴ＋ＮＡＴ Ｓｅｒｖｅｒ／１１２
４．４ ＮＡＴ ＡＬＧ／１１５
４．４．１ ＦＴＰ协议穿越ＮＡＴ设备／１１５
４．４．２ ＱＱ／ＭＳＮ／Ｕｓｅｒ－ｄｅｆｉｎｅｄ协议穿越ＮＡＴ设备／１１８
４．４．３ 一条命令同时控制两种功能／１１９
４．４．４ Ｕｓｅｒ－ｄｅｆｉｎｅｄ类型的ＡＳＰＦ和三元组ＮＡＴ辨义／１２０
４．５ ＮＡＴ场景下黑洞路由的作用／１２１
４．５．１ 源ＮＡＴ场景下的黑洞路由／１２１
４．５．２ ＮＡＴ Ｓｅｒｖｅｒ场景下的黑洞路由／１２６
４．５．３ 总结／１２８
４．６ ＮＡＴ地址复用专利技术／１２９
第５章 ＧＲＥ＆Ｌ２ＴＰ ＶＰＮ／１３２
５．１ ＶＰＮ技术简介／１３４
５．１．１ ＶＰＮ分类／１３４
５．１．２ ＶＰＮ的关键技术／１３６
５．１．３ 总结／１３８
５．２ ＧＲＥ／１３９
５．２．１ ＧＲＥ的封装／解封装／１３９
５．２．２ 配置ＧＲＥ基本参数／１４１
５．２．３ 配置ＧＲＥ安全机制／１４３
５．２．４ 安全策略配置思路／１４５
５．３ Ｌ２ＴＰ ＶＰＮ的诞生及演进／１４８
５．４ Ｌ２ＴＰ Ｃｌｉｅｎｔ－Ｉｎｉｔｉａｔｅｄ ＶＰＮ／１５０
５．４．１ 阶段１ 建立Ｌ２ＴＰ隧道：３条消息协商进入虫洞时机／１５１
５．４．２ 阶段２ 建立Ｌ２ＴＰ会话：３条消息唤醒虫洞门神／１５２
５．４．３ 阶段３ 创建ＰＰＰ连接：身份认证，发放特别通行证／１５２
５．４．４ 阶段４ 数据封装传输：穿越虫洞，访问地球／１５４
５．４．５ 安全策略配置思路／１５６
５．５ Ｌ２ＴＰ ＮＡＳ－Ｉｎｉｔｉａｔｅｄ ＶＰＮ／１５８
５．５．１ 阶段１ 建立ＰＰＰｏＥ连接：拨号口呼唤ＶＴ口／１６０
５．５．２ 阶段２ 建立Ｌ２ＴＰ隧道：３条消息协商进入虫洞时机／１６１
５．５．３ 阶段３ 建立Ｌ２ＴＰ会话：３条消息唤醒虫洞门神／１６２
５．５．４ 阶段４～５ ＬＮＳ认证，分配ＩＰ地址：ＬＮＳ冷静接受ＬＡＣ／１６２
５．５．５ 阶段６ 数据封装传输：一路畅通／１６４
５．５．６ 安全策略配置思路／１６５
５．６ Ｌ２ＴＰ ＬＡＣ－Ａｕｔｏ－Ｉｎｉｔｉａｔｅｄ ＶＰＮ／１６７
５．６．１ ＬＡＣ－Ａｕｔｏ－Ｉｎｉｔｉａｔｅｄ ＶＰＮ原理及配置／１６８
５．６．２ 安全策略配置思路／１７１
５．７ 总结／１７４
第６章 ＩＰＳｅｃ ＶＰＮ／１７６
６．１ ＩＰＳｅｃ简介／１７８
６．１．１ 加密和验证／１７８
６．１．２ 安全封装／１８０
６．１．３ 安全联盟／１８１
６．２ 手工方式ＩＰＳｅｃ ＶＰＮ／１８２
６．３ ＩＫＥ和ＩＳＡＫＭＰ／１８５
６．４ ＩＫＥｖ１／１８６
６．４．１ 配置ＩＫＥ／ＩＰＳｅｃＶＰＮ／１８６
６．４．２ 建立ＩＫＥ ＳＡ（主模式）／１８８
６．４．３ 建立ＩＰＳｅｃ ＳＡ／１９１
６．４．４ 建立ＩＫＥ ＳＡ（野蛮模式）／１９３
６．５ ＩＫＥｖ２／１９４
６．５．１ ＩＫＥｖ２简介／１９５
６．５．２ ＩＫＥｖ２协商过程／１９６
６．６ ＩＫＥ／ＩＰＳｅｃ对比／１９８
６．６．１ ＩＫＥＶ１ ＰＫ ＩＫＥｖ２／１９８
６．６．２ ＩＰＳｅｃ协议框架／１９８
６．７ ＩＰＳｅｃ模板方式／２００
６．７．１ 在点到多点组网中的应用／２００
６．７．２ 个性化的预共享密钥／２０３
６．７．３ 巧用指定对端域名／２０４
６．７．４ 总结／２０５
６．８ ＮＡＴ穿越／２０６
６．８．１ ＮＡＴ穿越场景简介／２０６
６．８．２ ＩＫＥｖ１的ＮＡＴ穿越协商／２１０
６．８．３ ＩＫＥｖ２的ＮＡＴ穿越协商／２１１
６．８．４ ＩＰＳｅｃ与ＮＡＴ并存于一个防火墙／２１２
６．９ 数字证书认证／２１３
６．９．１ 公钥密码学和ＰＫＩ框架／２１４
６．９．２ 证书申请／２１４
６．９．３ 数字证书方式的身份认证／２１８
６．１０ ＧＲＥ／Ｌ２ＴＰ ｏｖｅｒ ＩＰＳｅｃ／２２０
６．１０．１ 分舵通过ＧＲＥ ｏｖｅｒ ＩＰＳｅｃ接入总舵／２２０
６．１０．２ 分舵通过Ｌ２ＴＰ ｏｖｅｒ ＩＰＳｅｃ接入总舵／２２３
６．１０．３ 移动用户使用Ｌ２ＴＰｏｖｅｒＩＰＳｅｃ远程接入总舵／２２６
６．１１ 对等体检测／２２７
６．１１．１ Ｋｅｅｐａｌｉｖｅ机制／２２８
６．１１．２ ＤＰＤ机制／２２８
６．１２ ＩＰＳｅｃ双链路备份／２２９
６．１２．１ ＩＰＳｅｃ主备链路备份／２２９
６．１２．２ ＩＰＳｅｃ隧道化链路备份／２３２
６．１３ 安全策略配置思路／２３６
６．１３．１ ＩＫＥ／ＩＰＳｅｃＶＰＮ场景／２３６
６．１３．２ ＩＫＥ／ＩＰＳｅｃ ＶＰＮ＋ＮＡＴ穿越场景／２３９
６．１４ ＩＰＳｅｃ故障排除／２４２
６．１４．１ 没有数据流触发ＩＫＥ协商故障分析／２４３
６．１４．２ ＩＫＥ协商不成功故障分析／２４４
６．１４．３ ＩＰＳｅｃＶＰＮ业务不通故障分析／２４８
６．１４．４ ＩＰＳｅｃ ＶＰＮ业务质量差故障分析／２４９
第７章 ＤＳＶＰＮ／２５４
７．１ ＤＳＶＰＮ简介／２５６
７．２ Ｎｏｒｍａｌ方式的ＤＳＶＰＮ／２５７
７．２．１ 配置Ｎｏｒｍａｌ方式ＤＳＶＰＮ／２５７
７．２．２ Ｎｏｒｍａｌ方式的ＤＳＶＰＮ原理／２５９
７．３ Ｓｈｏｒｔｃｕｔ方式的ＤＳＶＰＮ／２６３
７．３．１ 配置Ｓｈｏｒｔｃｕｔ方式的ＤＳＶＰＮ／２６４
７．３．２ Ｓｈｏｒｔｃｕｔ方式的ＤＳＶＰＮ原理／２６５
７．４ Ｎｏｒｍａｌ方式和Ｓｈｏｒｔｃｕｔ方式对比／２６９
７．５ 私网采用静态路由时ＤＳＶＰＮ的配置／２６９
７．６ ＤＳＶＰＮ的安全性／２７０
７．６．１ 身份认证／２７０
７．６．２ 加密保护／２７１
７．７ 安全策略配置思路／２７２
第８章 ＳＳＬ ＶＰＮ／２７４
８．１ ＳＳＬ ＶＰＮ原理／２７６
８．１．１ ＳＳＬ ＶＰＮ的优势／２７６
８．１．２ ＳＳＬ ＶＰＮ的应用场景／２７６
８．１．３ ＳＳＬ协议的运行机制／２７８
８．１．４ 用户身份认证／２８３
８．２ 文件共享／２８６
８．２．１ 文件共享应用场景／２８６
８．２．２ 配置文件共享／２８７
８．２．３ 远程用户与防火墙之间的交互／２８８
８．２．４ 防火墙与文件服务器的交互／２９２
８．３ Ｗｅｂ代理／２９３
８．３．１ 配置Ｗｅｂ代理资源／２９３
８．３．２ 对ＵＲＬ地址的改写／２９５
８．３．３ 对ＵＲＬ中资源路径的改写／２９６
８．３．４ 对ＵＲＬ包含的文件改写／２９７
８．４ 端口转发／２９８
８．４．１ 配置端口转发／２９８
８．４．２ 准备阶段／３００
８．４．３ Ｔｅｌｎｅｔ连接建立阶段／３００
８．４．４ 数据通信阶段／３０３
８．５ 网络扩展／３０３
８．５．１ 网络扩展应用场景／３０４
８．５．２ 网络扩展处理流程／３０５
８．５．３ 可靠传输模式和快速传输模式／３０７
８．５．４ 配置网络扩展／３０８
８．５．５ 登录过程／３１０
８．６ 配置角色授权／３１２
８．７ 配置安全策略／３１３
８．７．１ Ｗｅｂ代理／文件共享／端口转发场景下配置安全策略／３１３
８．７．２ 网络扩展场景下配置安全策略／３１５
８．８ ＳＳＬ ＶＰＮ四大功能综合应用／３１８
第９章 双机热备／３２２
９．１ 双机热备概述／３２４
９．１．１ 双机部署提升网络可靠性／３２４
９．１．２ 路由器的双机部署只需考虑路由备份／３２４
９．１．３ 防火墙的双机部署还需考虑会话备份／３２６
９．１．４ 双机热备解决防火墙会话备份问题／３２７
９．１．５ 总结／３２９
９．２ ＶＲＲＰ与ＶＧＭＰ的故事／３３０
９．２．１ ＶＲＲＰ概述／３３０
９．２．２ ＶＲＲＰ工作原理／３３２
９．２．３ 多个ＶＲＲＰ状态相互独立产生问题／３３６
９．２．４ ＶＧＭＰ的产生解决了ＶＲＲＰ的问题／３３７
９．２．５ ＶＧＭＰ报文结构／３３９
９．２．６ 防火墙ＶＧＭＰ组的缺省状态／３４１
９．２．７ 主备备份双机热备状态形成过程／３４２
９．２．８ 主用设备接口故障后的状态切换过程／３４６
９．２．９ 主用设备整机故障后的状态切换过程／３４８
９．２．１０ 原主用设备故障恢复后的状态切换过程（抢占）／３４９
９．２．１１ 负载分担双机热备状态形成过程／３５１
９．２．１２ 负载分担双机热备状态切换过程／３５３
９．２．１３ 总结／３５４
９．２．１４ ＶＧＭＰ状态机／３５５
９．３ ＶＧＭＰ招式详解／３５６
９．３．１ 防火墙连接路由器时的ＶＧＭＰ招式／３５６
９．３．２ 防火墙透明接入，连接交换机时的ＶＧＭＰ招式／３５９
９．３．３ 防火墙透明接入，连接路由器时的ＶＧＭＰ招式／３６１
９．３．４ ＶＧＭＰ组监控远端接口的招式／３６３
９．３．５ 总结／３６４
９．４ ＨＲＰ协议详解／３６５
９．４．１ ＨＲＰ概述／３６５
９．４．２ ＨＲＰ报文结构和实现原理／３６７
９．４．３ ＨＲＰ的备份方式／３６９
９．４．４ ＨＲＰ能够备份的配置与状态信息／３７１
９．４．５ 心跳口与心跳链路探测报文／３７２
９．４．６ ＨＲＰ一致性检查报文的作用与原理／３７３
９．５ 双机热备配置指导／３７４
９．５．１ 配置流程／３７５
９．５．２ 配置检查和结果验证／３７８
９．６ 双机热备旁挂组网分析／３８０
９．６．１ 通过ＶＲＲＰ与静态路由的方式实现双机热备旁挂／３８０
９．６．２ 通过ＯＳＰＦ与策略路由的方式实现双机热备旁挂／３８３
９．７ 双机热备与其他特性结合使用／３８５
９．７．１ 双机热备与ＮＡＴ Ｓｅｒｖｅｒ结合使用／３８５
９．７．２ 双机热备与源ＮＡＴ特性结合使用／３８８
９．７．３ 主备备份方式双机热备与ＩＰＳｅｃ结合使用／３９１
９．７．４ 负载分担方式双机热备与ＩＰＳｅｃ结合使用／３９３
９．８ 第三代双机热备登上历史舞台／３９５
９．８．１ 第三代ＶＧＭＰ概述／３９６
９．８．２ 第三代ＶＧＭＰ缺省状态及配置／３９７
９．８．３ 第三代双机热备状态形成及切换过程／３９８
９．８．４ 第三代ＶＧＭＰ报文结构／４００
９．８．５ 第三代ＶＧＭＰ状态机／４０１
９．８．６ 总结／４０２
第１０章 出口选路／４０４
１０．１ 出口选路总述／４０６
１０．１．１ 就近选路／４０６
１０．１．２ 策略路由选路／４０６
１０．１．３ 智能选路／４０７
１０．１．４ 透明ＤＮＳ选路／４０９
１０．１．５ 旁挂出口选路／４１０
１０．２ 就近选路／４１１
１０．２．１ 缺省路由ＶＳ明细路由／４１１
１０．２．２ ＩＳＰ路由／４１３
１０．３ 策略路由选路／４１６
１０．３．１ 策略路由的概念／４１６
１０．３．２ 基于目的ＩＰ地址的策略路由／４１８
１０．３．３ 基于源ＩＰ地址的策略路由／４１９
１０．３．４ 基于应用的策略路由／４２１
１０．３．５ 旁路组网下的策略路由选路／４２３
１０．４ 智能选路／４２５
１０．４．１ 链路带宽模式／４２６
１０．４．２ 路由权重模式／４２９
１０．４．３ 链路质量探测模式／４３１
１０．５ 透明ＤＮＳ选路／４３５
１０．５．１ 基本原理／４３５
１０．５．２ 简单轮询算法／４３７
１０．５．３ 加权轮询算法／４３９
实战篇／４４４
第１１章 防火墙在校园网中的应用／４４４
１１．１ 组网需求／４４６
１１．２ 强叔规划／４４７
１１．２．１ 多出口选路规划／４４７
１１．２．２ 安全规划／４４７
１１．２．３ ＮＡＴ规划／４４８
１１．２．４ 带宽管理规划／４４９
１１．２．５ 网络管理规划／４４９
１１．３ 配置步骤／４４９
１１．４ 拍案惊奇／４５８
第１２章 防火墙在广电网络中的应用／４６０
１２．１ 组网需求／４６２
１２．２ 强叔规划／４６３
１２．２．１ 双机热备规划／４６３
１２．２．２ 多出口选路规划／４６３
１２．２．３ 带宽管理规划／４６４
１２．２．４ 安全规划／４６４
１２．２．５ ＮＡＴ规划／４６５
１２．２．６ 内网服务器规划／４６６
１２．２．７ 应对审查的规划／４６６
１２．３ 配置步骤／４６６
１２．４ 拍案惊奇／４７８
第１３章 防火墙在体育场馆网络中的应用／４８０
１３．１ 组网需求／４８２
１３．２ 强叔规划——出口防火墙／４８３
１３．２．１ ＢＧＰ规划／４８３
１３．２．２ ＯＳＰＦ规划／４８３
１３．２．３ 双机热备规划／４８４
１３．２．４ 安全功能规划／４８４
１３．２．５ ＮＡＴ规划／４８４
１３．２．６ 来回路径不一致规划／４８５
１３．３ 强叔规划——数据中心防火墙／４８６
１３．３．１ 双机热备规划／４８６
１３．３．２ 安全功能规划／４８６
１３．４ 配置步骤——出口防火墙／４８７
１３．５ 配置步骤——数据中心防火墙／４９２
１３．６ 拍案惊奇／４９５
第１４章 防火墙在企业分支与总部ＶＰＮ互通中的应用／４９６
１４．１ 组网需求／４９８
１４．２ 强叔规划／４９９
１４．２．１ 接口规划／４９９
１４．２．２ 安全策略规划／４９９
１４．２．３ ＩＰＳｅｃ规划／４９９
１４．２．４ ＮＡＴ规划／５００
１４．２．５ 路由规划／５００
１４．３ 配置步骤／５００
１４．４ 拍案惊奇／５０７
附录／５１０
Ａ 报文处理流程／５１０
Ａ．１ 华为大同：全系列状态检测防火墙报文处理流程／５１２
Ａ．１．１ 查询会话前的处理过程：基础处理／５１３
Ａ．１．２ 查询会话中的处理过程：转发处理，关键是会话建立／５１３
Ａ．１．３ 查询会话后的处理过程：安全业务处理及报文发送／５１５
Ａ．２ 求同存异：集中式与分布式防火墙差异对报文处理流程的影响／５１６
Ａ．２．１ 当安全策略遇上ＮＡＴ Ｓｅｒｖｅｒ／５１７
Ａ．２．２ 当源ＮＡＴ遇上ＮＡＴ Ｓｅｒｖｅｒ／５１９
Ｂ 证书浅析／５２２
Ｂ．１ 公钥密码学／５２４
Ｂ．１．１ 基本概念／５２４
Ｂ．１．２ 数据加解密／５２５
Ｂ．１．３ 真实性验证／５２６
Ｂ．１．４ 完整性验证／５２７
Ｂ．２ 证书／５２８
Ｂ．２．１ 证书属性／５２８
Ｂ．２．２ 证书颁发／５２９
Ｂ．２．３ 证书验证／５３０
Ｂ．３ 应用／５３２
Ｂ．３．１ 证书在ＩＰＳｅｃ中的应用／５３２
Ｂ．３．２ 证书在ＳＳＬ ＶＰＮ中的应用／５３２
Ｃ 强叔提问及答案／５４０
Ｃ．１ 第１章／５４２
Ｃ．２ 第２章／５４２
Ｃ．３ 第３章／５４３
Ｃ．４ 第４章／５４４
Ｃ．５ 第５章／５４４
Ｃ．６ 第６章／５４５
Ｃ．７ 第７章／５４６
Ｃ．８ 第８章／５４６
Ｃ．９ 第９章／５４６
Ｃ．１０ 第１０章／５４７
Ｃ．１１ 附录Ａ／５４８
Ｃ．１２ 附录Ｂ／５４８