華為防火牆技術漫談

徐慧洋、白傑、盧宏旺

  • 出版商: 人民郵電
  • 出版日期: 2021-01-01
  • 定價: $774
  • 售價: 8.5$658
  • 語言: 簡體中文
  • 頁數: 548
  • ISBN: 7115390762
  • ISBN-13: 9787115390769

下單後立即進貨 (約4週~6週)

  • 華為防火牆技術漫談-preview-1
  • 華為防火牆技術漫談-preview-2
華為防火牆技術漫談-preview-1

商品描述

本書介紹華為傳統防火牆關鍵技術原理、應用場景和配置方法,主要包括安全策略、攻擊防範、NAT、VPN、雙機熱備、選路,並結合網上案例給出以上技術的綜合應用配置舉例,以防火牆網上實際需求為導向,採用發現問題——解決問題——再發現問題——再解決問題的思路組織內容,內容連貫性強、邏輯性強

作者簡介

徐慧洋,具有十多年数通产品经验,六年防火墙产品经验。曾创作了《USG防火墙IPSec专题》、《华为防火墙双机热备HCIE培训胶片》、《轻松玩转BGP》等广受欢迎的作品,《强叔侃墙》总编。

白杰,具有八年防火墙产品经验,堪称**熟悉华为防火墙的资料开发专家。参与创作《华为网络技术学习指南》,《强叔侃墙》技术贴的主编。

卢宏旺,具有七年华为防火墙产品经验,曾写作《华为防火墙双机热备HCIE实验手册》,《强叔拍案》主编,《小强和小艾台历》主创。

目錄大綱

目錄

理 論 篇

第 1章 基礎知識 2

1.1 什麽是防火牆 4

1.2 防火牆的發展歷史 5

1.2.1 1989年到1994年 6

1.2.2 1995年到2004年 6

1.2.3 2005年到今 7

1.2.4 總結 7

1.3 華為防火牆產品一覽 8

1.3.1 USG2110產品介紹 9

1.3.2 USG6600產品介紹 9

1.3.3 USG9500產品介紹 9

1.4 安全區域 10

1.4.1 接口、網絡和安全區域的關系 10

1.4.2 報文在安全區域之間流動的方向 12

1.4.3 安全區域的配置 13

1.5 狀態檢測和會話機制 16

1.5.1 狀態檢測 16

1.5.2 會話 18

1.5.3 組網驗證 18

1.6 狀態檢測和會話機制補遺 19

1.6.1 再談會話 19

1.6.2 狀態檢測與會話創建 21

1.7 配置註意事項和故障排除指導 25

1.7.1 安全區域 25

1.7.2 狀態檢測和會話機制 26

第 2章 安全策略 30

2.1 安全策略初體驗 32

2.1.1 基本概念 32

2.1.2 匹配順序 33

2.1.3 默認包過濾 34

2.2 安全策略發展歷程 35

2.2.1 第 一階段:基於ACL的包過濾 35

2.2.2 第 二階段:融合UTM的安全策略 36

2.2.3 第三階段:一體化安全策略 38

2.3 Local區域的安全策略 41

2.3.1 針對OSPF協議配置Local區域的安全策略 41

2.3.2 哪些協議需要在防火牆上配置Local區域的安全策略 46

2.4 ASPF 48

2.4.1 幫助FTP數據報文穿越防火牆 48

2.4.2 幫助QQ/MSN報文穿越防火牆 52

2.4.3 幫助用戶自定義協議報文穿越防火牆 54

2.5 配置註意事項和故障排除指導 55

2.5.1 安全策略 55

2.5.2 ASPF 58

第3章 攻擊防範 60

3.1 DoS攻擊簡介 62

3.2 單包攻擊及防禦 62

3.2.1 Ping of Death攻擊及防禦 63

3.2.2 Land攻擊及防禦 63

3.2.3 IP地址掃描攻擊 64

3.2.4 防禦單包攻擊的配置建議 64

3.3 流量型攻擊之SYN Flood攻擊及防禦 65

3.3.1 攻擊原理 66

3.3.2 防禦方法之TCP代理 67

3.3.3 防禦方法之TCP源探測 68

3.3.4 配置命令 69

3.3.5 閾值配置指導 70

3.4 流量型攻擊之UDP Flood攻擊及防禦 70

3.4.1 防禦方法之限流 71

3.4.2 防禦方法之指紋學習 71

3.4.3 配置命令 73

3.5 應用層攻擊之DNS Flood攻擊及防禦 74

3.5.1 攻擊原理 74

3.5.2 防禦方法 75

3.5.3 配置命令 78

3.6 應用層攻擊之HTTP Flood攻擊及防禦 78

3.6.1 攻擊原理 78

3.6.2 防禦方法 79

3.6.3 配置命令 82

第4章 NAT 84

4.1 源NAT 86

4.1.1 源NAT基本原理 86

4.1.2 NAT No-PAT 88

4.1.3 NAPT 90

4.1.4 出接口地址方式 91

4.1.5 Smart NAT 92

4.1.6 三元組NAT 94

4.1.7 多出口場景下的源NAT 98

4.1.8 總結 100

4.1.9 延伸閱讀 100

4.2 NAT Server 101

4.2.1 NAT Server基本原理 102

4.2.2 多出口場景下的NAT Server 104

4.3 雙向NAT 109

4.3.1 NAT Inbound+NAT Server 110

4.3.2 域內NAT+NAT Server 112

4.4 NAT ALG 115

4.4.1 FTP協議穿越NAT設備 115

4.4.2 QQ/MSN/User-defined協議穿越NAT設備 118

4.4.3 一條命令同時控制兩種功能 119

4.4.4 User-defined類型的ASPF和三元組NAT辨義 120

4.5 NAT場景下黑洞路由的作用 121

4.5.1 源NAT場景下的黑洞路由 121

4.5.2 NAT Server場景下的黑洞路由 126

4.5.3 總結 128

4.6 NAT地址復用專利技術 129

第5章 GRE&L2TP VPN 132

5.1 VPN技術簡介 134

5.1.1 VPN分類 134

5.1.2 VPN的關鍵技術 136

5.1.3 總結 138

5.2 GRE 139

5.2.1 GRE的封裝/解封裝 139

5.2.2 配置GRE基本參數 141

5.2.3 配置GRE安全機制 143

5.2.4 安全策略配置思路 145

5.3 L2TP VPN的誕生及演進 148

5.4 L2TP Client-Initiated VPN 150

5.4.1 階段1 建立L2TP隧道:3條消息協商進入蟲洞時機 151

5.4.2 階段2 建立L2TP會話:3條消息喚醒蟲洞門神 152

5.4.3 階段3 創建PPP連接:身份認證,發放特別通行證 152

5.4.4 階段4 數據封裝傳輸:穿越蟲洞,訪問地球 154

5.4.5 安全策略配置思路 156

5.5 L2TP NAS-Initiated VPN 158

5.5.1 階段1 建立PPPoE連接:撥號口呼喚VT口 160

5.5.2 階段2 建立L2TP隧道:3條消息協商進入蟲洞時機 161

5.5.3 階段3 建立L2TP會話:3條消息喚醒蟲洞門神 162

5.5.4 階段4~5 LNS認證,分配IP地址:LNS冷靜接受LAC 162

5.5.5 階段6 數據封裝傳輸:一路暢通 164

5.5.6 安全策略配置思路 165

5.6 L2TP LAC-Auto-Initiated VPN 167

5.6.1 LAC-Auto-Initiated VPN原理及配置 168

5.6.2 安全策略配置思路 171

5.7 總結 174

第6章 IPSec VPN 176

6.1 IPSec簡介 178

6.1.1 加密和驗證 178

6.1.2 安全封裝 180

6.1.3 安全聯盟 181

6.2 手工方式IPSec VPN 182

6.3 IKE和ISAKMP 185

6.4 IKEv1 186

6.4.1 配置IKE/IPSec VPN 186

6.4.2建立IKE SA(主模式) 188

6.4.3 建立IPSec SA 191

6.4.4 建立IKE SA(野蠻模式) 193

6.5 IKEv2 194

6.5.1 IKEv2簡介 195

6.5.2 IKEv2協商過程 196

6.6 IKE/IPSec對比 198

6.6.1 IKEV1 PK IKEv2 198

6.6.2 IPSec協議框架 198

6.7 IPSec模板方式 200

6.7.1 在點到多點組網中的應用 200

6.7.2 個性化的預共享密鑰 203

6.7.3 巧用指定對端域名 204

6.7.4 總結 205

6.8 NAT穿越 206

6.8.1 NAT穿越場景簡介 206

6.8.2 IKEv1的NAT穿越協商 210

6.8.3 IKEv2的NAT穿越協商 211

6.8.4 IPSec與NAT並存於一個防火牆 212

6.9 數字證書認證 213

6.9.1 公鑰密碼學和PKI框架 214

6.9.2 證書申請 214

6.9.3 數字證書方式的身份認證 218

6.10 GRE/L2TP over IPSec 220

6.10.1 分舵通過GRE over IPSec接入總舵 220

6.10.2 分舵通過L2TP over IPSec接入總舵 223

6.10.3 移動用戶使用L2TP over IPSec遠程接入總舵 226

6.11 對等體檢測 227

6.11.1 Keepalive機制 228

6.11.2 DPD機制 228

6.12 IPSec雙鏈路備份 229

6.12.1 IPSec主備鏈路備份 229

6.12.2 IPSec隧道化鏈路備份 232

6.13 安全策略配置思路 236

6.13.1 IKE/IPSec VPN場景 236

6.13.2 IKE/IPSec VPN+NAT穿越場景 239

6.14 IPSec故障排除 242

6.14.1 沒有數據流觸發IKE協商故障分析 243

6.14.2 IKE協商不成功故障分析 244

6.14.3 IPSec VPN業務不通故障分析 248

6.14.4 IPSec VPN業務質量差故障分析