防火牆技術及應用（簡體書）

本書全面介紹防火墻技術及應用知識。全書共5章，主要內容包括防火墻基本知識、防火墻技術、防火墻網絡部署、防火墻安全功能應用和典型案例。每章*後提供了相應的思考題。 本書由奇安信集團針對高校網絡空間安全專業的教學規劃組織編寫，既適合作為網絡空間安全、信息安全等專業的本科生相關專業基礎課程的教材，也適合作為網絡安全研究人員的入門基礎讀物。

本書全面介紹防火墻技術及應用知識。全書共5章，主要內容包括防火墻基本知識、防火墻技術、防火墻網絡部署、防火墻安全功能應用和典型案例。每章*後提供了相應的思考題。
本書既適合作為網絡空間安全、信息安全等專業的本科生相關專業基礎課程的教材，也適合作為網絡安全研究人員的入門基礎讀物。

網絡空間安全重點規劃叢書編審委員會顧問委員會主任： 沈昌祥（中國工程院院士）
特別顧問： 姚期智（美國國家科學院院士、美國人文及科學院院士、中國科學院院士、“圖靈獎”獲得者）
何德全（中國工程院院士）蔡吉人（中國工程院院士）
方濱興（中國工程院院士）吳建平（中國工程院院士）
王小云（中國科學院院士）
主任： 封化民
副主任： 韓臻李建華張煥國馮登國
委員： （按姓氏拼音為序）
蔡晶晶曹珍富陳克非陳興蜀杜瑞穎杜躍進
段海新範紅高嶺宮力谷大武何大可
侯整風胡愛群胡道元黃繼武黃劉生荊繼武
寇衛東來學嘉李暉劉建偉劉建亞馬建峰
毛文波潘柱廷裴定一錢德沛秦玉海秦志光
卿斯漢仇保利任奎石文昌汪烈軍王懷民
王勁松王軍王麗娜王美琴王清賢王新梅
王育民吳曉平吳云坤徐明許進徐文淵
嚴明楊波楊庚楊義先俞能海張功萱
張紅旗張宏莉張敏情張玉清鄭東周福才
左英男
叢書策劃： 張民21世紀是信息時代，信息已成為社會發展的重要戰略資源，社會的信息化已成為當今世界發展的潮流和核心，而信息安全在信息社會中將扮演極為重要的角色，它會直接關係到國家安全、企業經營和人們的日常生活。 隨著信息安全產業的快速發展，全球對信息安全人才的需求量不斷增加，但我國目前信息安全人才極度匱乏，遠遠不能滿足金融、商業、公安、軍事和政府等部門的需求。要解決供需矛盾，必須加快信息安全人才的培養，以滿足社會對信息安全人才的需求。為此，繼2001年批準在武漢大學開設信息安全本科專業之後，又批準了多所高等院校設立信息安全本科專業，而且許多高校和科研院所已設立了信息安全方向的具有碩士和博士學位授予權的學科點。
信息安全是計算機、通信、物理、數學等領域的交叉學科，對於這一新興學科的培養模式和課程設置，各高校普遍缺乏經驗，因此中國計算機學會教育專業委員會和清華大學出版社聯合主辦了“信息安全專業教育教學研討會”等一系列研討活動，並成立了“高等院校信息安全專業系列教材”編審委員會，由我國信息安全領域著名專家肖國鎮教授擔任編委會主任，指導“高等院校信息安全專業系列教材”的編寫工作。編委會本著研究先行的指導原則，認真研討國內外高等院校信息安全專業的教學體系和課程設置，進行了大量前瞻性的研究工作，而且這種研究工作將隨著我國信息安全專業的發展不斷深入。系列教材的作者都是既在本專業領域有深厚的學術造詣、又在教學線有豐富的教學經驗的學者、專家。
該系列教材是我國套專門針對信息安全專業的教材，其特點是：
① 體系完整、結構合理、內容先進。
② 適應面廣： 能夠滿足信息安全、計算機、通信工程等相關專業對信息安全領域課程的教材要求。
③ 立體配套： 除主教材外，還配有多媒體電子教案、習題與實驗指導等。
④ 版本更新及時，緊跟科學技術的新發展。
在全力做好本版教材，滿足學生用書的基礎上，還經由專家的和審定，遴選了一批國外信息安全領域優秀的教材加入到系列教材中，以進一步滿足大家對外版書的需求。“高等院校信息安全專業系列教材”已於2006年年初正式列入普通高等教育“十一五”教材規劃。
2007年6月，高等學校信息安全類專業教學指導委員會成立大會暨次會議在北京勝利召開。本次會議由高等學校信息安全類專業教學指導委員會主任單位北京工業大學和北京電子科技學院主辦，清華大學出版社協辦。高等學校信息安全類專業教學指導委員會的成立對我國信息安全專業的發展起到重要的指導和推動作用。2006年給武漢大學下達了“信息安全專業指導性專業規範研制”的教學科研項目。2007年起該項目由高等學校信息安全類專業教學指導委員會組織實施。在高教司和教指委的指導下，項目組團結一致，努力工作，克服困難，歷時5年，制定出我國個信息安全專業指導性專業規範，於2012年年底通過經高等教育司理工科教育處授權組織的專家組評審，並且已經得到武漢大學等許多高校的實際使用。2013年，新一屆“高等學校信息安全專業教學指導委員會”成立。經組織審查和研究決定，2014年以“高等學校信息安全專業教學指導委員會”的名義正式發布《高等學校信息安全專業指導性專業規範》（由清華大學出版社正式出版）。
防火墻技術及應用出版說明2015年6月，國務院學位委員會、出臺增設“網絡空間安全”為一級學科的決定，將高校培養網絡空間安全人才提到新的高度。2016年6月，中央網絡安全和信息化領導小組辦公室（下文簡稱中央網信辦）、國家發展和改革委員會、、科學技術部、工業和信息化部及人力資源和社會保障部六大部門聯合發布《關於加強網絡安全學科建設和人才培養的意見》（中網辦發文〔2016〕4號）。為貫徹落實《關於加強網絡安全學科建設和人才培養的意見》，進一步深化高等教育教學改革，促進網絡安全學科專業建設和人才培養，促進網絡空間安全相關核心課程和教材建設，在高等學校信息安全專業教學指導委員會和中央網信辦資助的網絡空間安全教材建設課題組的指導下，啟動了“網絡空間安全重點規劃叢書”的工作，由高等學校信息安全專業教學指導委員會秘書長封化民校長擔任編委會主任。本規劃叢書基於“高等院校信息安全專業系列教材”堅實的工作基礎和成果、陣容強大的編審委員會和優秀的作者隊伍，目前已經有多本圖書獲得和中央網信辦等機構評選的“普通高等教育本科規劃教材”“普通高等教育精品教材”“中國大學出版社圖書獎”和“國家網絡安全優秀教材獎”等多個獎項。
“網絡空間安全重點規劃叢書”將根據《高等學校信息安全專業指導性專業規範》（及後續版本）和相關教材建設課題組的研究成果不斷更新和擴展，進一步體現科學性、系統性和新穎性，及時反映教學改革和課程建設的新成果，並隨著我國網絡空間安全學科的發展不斷完善，力爭為我國網絡空間安全相關學科專業的本科和研究生教材建設、學術出版與人才培養做出更大的貢獻。
我們的Email地址是： zhangm@tup.tsinghua.edu.cn，聯繫人： 張民。

“網絡空間安全重點規劃叢書”編審委員會沒有網絡安全，就沒有國家安全；沒有網絡安全人才，就沒有網絡安全。
為了更多、更快、更好地培養網絡安全人才，如今許多學校都在努力培養網絡安全人才，都在下大功夫、花大本錢，聘請優秀老師，招收優秀學生，建設一流的網絡空間安全專業。
網絡空間安全專業建設需要體系化的培養方案、系統化的專業教材和專業化的師資隊伍。優秀教材是網絡空間安全專業人才培養的關鍵。但是，這是一項十分艱巨的任務。原因有二： 其一，網絡空間安全的涉及面非常廣，至少包括密碼學、數學、計算機、通信工程、信息工程等多門學科，因此，其知識體系龐雜，難以梳理；其二，網絡空間安全的實踐性很強，技術發展更新非常快，對環境和師資要求也很高。
“防火墻技術及應用”是網絡空間安全和信息安全專業的基礎課程，全面介紹防火墻技術及應用知識。全書共5章。第1章介紹防火墻基本知識，第2章介紹防火墻技術，第3章介紹防火墻網絡部署，第4章介紹防火墻安全功能應用，第5章介紹典型案例。
本書既適合作為網絡空間安全、信息安全等專業的本科生相關專業基礎課程的教材，也適合作為網絡安全研究人員的入門基礎讀物。本書將隨著新技術的發展而更新。
由於作者水平有限，書中難免存在疏漏和不妥之處，歡迎讀者批評指正。

作者2018年11月

目錄
第1章防火墻基本知識1
1.1防火墻概述1
1.1.1防火墻產生的原因1
1.1.2防火墻定義1
1.1.3防火墻的作用2
1.2防火墻的前世今生3
1.2.1防火墻發展歷史及分類3
1.2.2防火墻的新技術趨勢5
1.3安全域和邊界防御思想6
1.3.1安全域6
1.3.2邊界防御思想7
1.3.3防火墻部署方式8
1.4防火墻產品標準10
1.4.1防火墻產品性能指標10
1.4.2防火墻產品標準演進歷史11
1.4.3GB/T 20281—2015簡介13
1.5下一代防火墻產品架構14
思考題15

第2章防火墻技術16
2.1包過濾技術16
2.1.1包過濾技術原理16
2.1.2包過濾技術的優缺點16
2.2應用代理技術17
2.2.1應用代理技術原理18
2.2.2應用代理技術的優缺點19
2.3會話機制和狀態檢測19
2.3.1防火墻會話機制19
2.3.2狀態檢測技術原理19
2.3.3狀態檢測技術的優缺點20防火墻技術及應用目錄2.4應用識別技術21
2.4.1DPI技術23
2.4.2DFI技術24
2.5內容檢查技術25
2.5.1內容檢查技術原理25
2.5.2內容檢查技術的優缺點27
思考題27

第3章防火墻網絡部署28
3.1安全域和接口28
3.2IP協議29
3.2.1IP地址的基本概念29
3.2.2IP協議31
3.2.3IPv4向IPv6的過渡32
3.3VLAN技術38
3.3.1VLAN技術原理38
3.3.2VLAN技術的優缺點41
3.4路由41
3.4.1靜態路由42
3.4.2默認路由43
3.4.3動態路由44
3.4.4策略路由46
3.4.5ISP路由及對稱路由49
3.5二層透明網橋模式49
3.6三層路由模式51
3.7地址轉換53
3.7.1靜態NAT技術55
3.7.2動態NAT技術56
3.7.3端口地址轉換技術57
3.8混合模式58
3.9旁路模式58
3.10DHCP服務59
3.11DNS透明代理61
3.12代理ARP63
3.13VPN65
3.13.1IPSec VPN65
3.13.2SSL VPN66
3.14QoS67
思考題69

第4章防火墻安全功能應用70
4.1安全策略概述70
4.1.1基本概念70
4.1.2一體化安全策略70
4.1.3安全策略智能管理72
4.2訪問控制策略73
4.2.1行為管控74
4.2.2關鍵字過濾75
4.2.3內容過濾76
4.2.4文件過濾76
4.2.5郵件過濾78
4.2.6URL過濾81
4.3安全認證83
4.3.1本地用戶認證83
4.3.2AD用戶認證83
4.3.3LDAP用戶認證84
4.3.4RADIUS用戶認證85
4.3.5IEEE 802.1x認證85
4.4攻擊防御86
4.4.1惡意掃描防御87
4.4.2欺騙防御87
4.4.3單包攻擊防御88
4.4.4流量型攻擊防御90
4.4.5應用層Flood攻擊防御93
4.5入侵防御97
4.5.1網絡入侵技術簡介98
4.5.2入侵防御原理99
4.5.3入侵防御功能核心技術102
4.6病毒防御104
4.6.1病毒基本概念104
4.6.2病毒檢測105
4.7SSL解密107
4.8云管端協同聯動108
4.8.1云管端概述108
4.8.2云管端動態協同防御109
4.9基於網絡的檢測與響應110
4.9.1NDR的基礎——數據驅動110
4.9.2安全問題發現111
4.9.3分析與響應中心113
4.10安全運維管理113
4.10.1運維管理113
4.10.2安全審計114
4.10.3高可用性115
4.11虛擬防火墻120
4.11.1虛擬系統的基本組成120
4.11.2虛擬系統管理及配置120
4.12集中管理121
思考題122

第5章典型案例124
5.1企業互聯網邊界安全解決方案124
5.1.1背景及需求124
5.1.2解決方案及分析125
5.2行業專網網絡安全解決方案128
5.2.1背景及需求128
5.2.2解決方案及分析129
5.3企業級數據中心出口防護解決方案131
5.3.1背景及需求131
5.3.2解決方案及分析133
5.4多分支企業組網及網絡安全解決方案136
5.4.1背景及需求136
5.4.2解決方案及分析137
思考題140

附錄A防火墻技術英文縮略語141

參考文獻144