華為防火牆技術漫談（簡體書）

目錄

理 論 篇
第 1章 基礎知識 2
1．1 什麼是防火牆 4
1．2 防火牆的發展歷史 5
1．2．1 1989年到1994年 6
1．2．2 1995年到2004年 6
1．2．3 2005年到今 7
1．2．4 總結 7
1．3 華為防火牆產品一覽 8
1．3．1 USG2110產品介紹 9
1．3．2 USG6600產品介紹 9
1．3．3 USG9500產品介紹 9
1．4 安全區域 10
1．4．1 接口、網絡和安全區域的關係 10
1．4．2 報文在安全區域之間流動的方向 12
1．4．3 安全區域的配置 13
1．5 狀態檢測和會話機制 16
1．5．1 狀態檢測 16
1．5．2 會話 18
1．5．3 組網驗證 18
1．6 狀態檢測和會話機制補遺 19
1．6．1 再談會話 19
1．6．2 狀態檢測與會話創建 21
1．7 配置注意事項和故障排除指導 25
1．7．1 安全區域 25
1．7．2 狀態檢測和會話機制 26
第 2章 安全策略 30
2．1 安全策略初體驗 32
2．1．1 基本概念 32
2．1．2 匹配順序 33
2．1．3 缺省包過濾 34
2．2 安全策略發展歷程 35
2．2．1 第 一階段：基於ACL的包過濾 35
2．2．2 第 二階段：融合UTM的安全策略 36
2．2．3 第三階段：一體化安全策略 38
2．3 Local區域的安全策略 41
2．3．1 針對OSPF協議配置Local區域的安全策略 41
2．3．2 哪些協議需要在防火牆上配置Local區域的安全策略 46
2．4 ASPF 48
2．4．1 幫助FTP數據報文穿越防火牆 48
2．4．2 幫助QQ/MSN報文穿越防火牆 52
2．4．3 幫助用戶自定義協議報文穿越防火牆 54
2．5 配置注意事項和故障排除指導 55
2．5．1 安全策略 55
2．5．2 ASPF 58
第3章 攻擊防範 60
3．1 DoS攻擊簡介 62
3．2 單包攻擊及防禦 62
3．2．1 Ping of Death攻擊及防禦 63
3．2．2 Land攻擊及防禦 63
3．2．3 IP地址掃描攻擊 64
3．2．4 防禦單包攻擊的配置建議 64
3．3 流量型攻擊之SYN Flood攻擊及防禦 65
3．3．1 攻擊原理 66
3．3．2 防禦方法之TCP代理 67
3．3．3 防禦方法之TCP源探測 68
3．3．4 配置命令 69
3．3．5 閾值配置指導 70
3．4 流量型攻擊之UDP Flood攻擊及防禦 70
3．4．1 防禦方法之限流 71
3．4．2 防禦方法之指紋學習 71
3．4．3 配置命令 73
3．5 應用層攻擊之DNS Flood攻擊及防禦 74
3．5．1 攻擊原理 74
3．5．2 防禦方法 75
3．5．3 配置命令 78
3．6 應用層攻擊之HTTP Flood攻擊及防禦 78
3．6．1 攻擊原理 78
3．6．2 防禦方法 79
3．6．3 配置命令 82
第4章 NAT 84
4．1 源NAT 86
4．1．1 源NAT基本原理 86
4．1．2 NAT No-PAT 88
4．1．3 NAPT 90
4．1．4 出接口地址方式 91
4．1．5 Smart NAT 92
4．1．6 三元組NAT 94
4．1．7 多出口場景下的源NAT 98
4．1．8 總結 100
4．1．9 延伸閱讀 100
4．2 NAT Server 101
4．2．1 NAT Server基本原理 102
4．2．2 多出口場景下的NAT Server 104
4．3 雙向NAT 109
4．3．1 NAT Inbound+NAT Server 110
4．3．2 域內NAT+NAT Server 112
4．4 NAT ALG 115
4．4．1 FTP協議穿越NAT設備 115
4．4．2 QQ/MSN/User-defined協議穿越NAT設備 118
4．4．3 一條命令同時控制兩種功能 119
4．4．4 User-defined類型的ASPF和三元組NAT辨義 120
4．5 NAT場景下黑洞路由的作用 121
4．5．1 源NAT場景下的黑洞路由 121
4．5．2 NAT Server場景下的黑洞路由 126
4．5．3 總結 128
4．6 NAT地址復用專利技術 129
第5章 GRE&L2TP VPN 132
5．1 VPN技術簡介 134
5．1．1 VPN分類 134
5．1．2 VPN的關鍵技術 136
5．1．3 總結 138
5．2 GRE 139
5．2．1 GRE的封裝/解封裝 139
5．2．2 配置GRE基本參數 141
5．2．3 配置GRE安全機制 143
5．2．4 安全策略配置思路 145
5．3 L2TP VPN的誕生及演進 148
5．4 L2TP Client-Initiated VPN 150
5．4．1 階段1 建立L2TP隧道：3條消息協商進入蟲洞時機 151
5．4．2 階段2 建立L2TP會話：3條消息喚醒蟲洞門神 152
5．4．3 階段3 創建PPP連接：身份認證，發放特別通行證 152
5．4．4 階段4 數據封裝傳輸：穿越蟲洞，訪問地球 154
5．4．5 安全策略配置思路 156
5．5 L2TP NAS-Initiated VPN 158
5．5．1 階段1 建立PPPoE連接：撥號口呼喚VT口 160
5．5．2 階段2 建立L2TP隧道：3條消息協商進入蟲洞時機 161
5．5．3 階段3 建立L2TP會話：3條消息喚醒蟲洞門神 162
5．5．4 階段4～5 LNS認證，分配IP地址：LNS冷靜接受LAC 162
5．5．5 階段6 數據封裝傳輸：一路暢通 164
5．5．6 安全策略配置思路 165
5．6 L2TP LAC-Auto-Initiated VPN 167
5．6．1 LAC-Auto-Initiated VPN原理及配置 168
5．6．2 安全策略配置思路 171
5．7 總結 174
第6章 IPSec VPN 176
6．1 IPSec簡介 178
6．1．1 加密和驗證 178
6．1．2 安全封裝 180
6．1．3 安全聯盟 181
6．2 手工方式IPSec VPN 182
6．3 IKE和ISAKMP 185
6．4 IKEv1 186
6．4．1 配置IKE/IPSec VPN 186
6．4．2建立IKE SA（主模式） 188
6．4．3 建立IPSec SA 191
6．4．4 建立IKE SA（野蠻模式） 193
6．5 IKEv2 194
6．5．1 IKEv2簡介 195
6．5．2 IKEv2協商過程 196
6．6 IKE/IPSec對比 198
6．6．1 IKEV1 PK IKEv2 198
6．6．2 IPSec協議框架 198
6．7 IPSec模板方式 200
6．7．1 在點到多點組網中的應用 200
6．7．2 個性化的預共享密鑰 203
6．7．3 巧用指定對端域名 204
6．7．4 總結 205
6．8 NAT穿越 206
6．8．1 NAT穿越場景簡介 206
6．8．2 IKEv1的NAT穿越協商 210
6．8．3 IKEv2的NAT穿越協商 211
6．8．4 IPSec與NAT並存於一個防火牆 212
6．9 數字證書認證 213
6．9．1 公鑰密碼學和PKI框架 214
6．9．2 證書申請 214
6．9．3 數字證書方式的身份認證 218
6．10 GRE/L2TP over IPSec 220
6．10．1 分舵通過GRE over IPSec接入總舵 220
6．10．2 分舵通過L2TP over IPSec接入總舵 223
6．10．3 移動用戶使用L2TP over IPSec遠程接入總舵 226
6．11 對等體檢測 227
6．11．1 Keepalive機制 228
6．11．2 DPD機制 228
6．12 IPSec雙鏈路備份 229
6．12．1 IPSec主備鏈路備份 229
6．12．2 IPSec隧道化鏈路備份 232
6．13 安全策略配置思路 236
6．13．1 IKE/IPSec VPN場景 236
6．13．2 IKE/IPSec VPN+NAT穿越場景 239
6．14 IPSec故障排除 242
6．14．1 沒有數據流觸發IKE協商故障分析 243
6．14．2 IKE協商不成功故障分析 244
6．14．3 IPSec VPN業務不通故障分析 248
6．14．4 IPSec VPN業務質量差故障分析