注冊(cè) | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當(dāng)前位置: 首頁出版圖書科學(xué)技術(shù)計(jì)算機(jī)/網(wǎng)絡(luò)人工智能防火墻和VPN技術(shù)與實(shí)踐

防火墻和VPN技術(shù)與實(shí)踐

防火墻和VPN技術(shù)與實(shí)踐

定 價(jià):¥169.00

作 者: 李學(xué)昭
出版社: 人民郵電出版社
叢編項(xiàng):
標(biāo) 簽: 暫缺
ISBN: 9787115594723 出版時(shí)間: 2022-11-01 包裝: 平裝-膠訂
開本: 16開 頁數(shù): 字?jǐn)?shù):  

內(nèi)容簡介

  本書以HCIP-Security和HCIE-Security認(rèn)證考試大綱為依托,介紹了防火墻和VPN的關(guān)鍵技術(shù),包括安全策略、NAT、雙機(jī)熱備、虛擬系統(tǒng)、鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡、L2TP VPN、IPSec VPN和SSL VPN。本書詳細(xì)介紹了每一種技術(shù)的產(chǎn)生背景、技術(shù)實(shí)現(xiàn)原理、配置方法,旨在幫助讀者掌握組建安全通信基礎(chǔ)設(shè)施的技術(shù)和能力,順利通過認(rèn)證考試。本書是學(xué)習(xí)和了解網(wǎng)絡(luò)安全技術(shù)的實(shí)用指南,內(nèi)容全面,通俗易懂,實(shí)用性強(qiáng),適合網(wǎng)絡(luò)規(guī)劃工程師、網(wǎng)絡(luò)技術(shù)支持工程師、網(wǎng)絡(luò)管理員以及想了解網(wǎng)絡(luò)安全技術(shù)的讀者閱讀。

作者簡介

  華為網(wǎng)絡(luò)安全產(chǎn)品與解決方案資料工程師,在網(wǎng)絡(luò)安全領(lǐng)域具有10余年的文檔編寫經(jīng)驗(yàn),曾主導(dǎo)華為防火墻、Anti-DDoS、HiSec解決方案的信息架構(gòu)設(shè)計(jì)和文檔編寫。

圖書目錄

第 1 章 安全策略 001
1.1 安全策略基礎(chǔ)知識(shí) 002
1.1.1 安全策略的組成 002
1.1.2 安全策略的配置方式 005
1.1.3 狀態(tài)檢測與會(huì)話機(jī)制 006
1.1.4 匹配規(guī)則與默認(rèn)策略 009
1.1.5 本地安全策略和接口訪問控制 012
1.1.6 安全策略的配置原則 013
1.2 配置安全策略 015
1.2.1 為管理協(xié)議開放安全策略 015
1.2.2 為路由協(xié)議開放安全策略 021
1.2.3 為DHCP開放安全策略 023
1.3 在安全策略中應(yīng)用對(duì)象 027
1.3.1 地址對(duì)象和地址組 027
1.3.2 地區(qū)和地區(qū)組 030
1.3.3 域名組 032
1.3.4 用戶和用戶組 036
1.3.5 服務(wù)和服務(wù)組 038
1.3.6 應(yīng)用和應(yīng)用組 040
1.3.7 URL分類 045
1.4 安全策略的最佳實(shí)踐 047
1.4.1 建立完善的安全策略管理流程 047
1.4.2 使用安全區(qū)域劃分網(wǎng)絡(luò) 048
1.4.3 遵循最小授權(quán)原則 050
1.4.4 注意安全策略的順序 051
1.4.5 識(shí)別和控制出入方向的流量 053
1.4.6 記錄日志 054
1.4.7 謹(jǐn)慎選擇變更時(shí)機(jī) 055
1.4.8 定期審計(jì)和優(yōu)化安全策略 056
1.5 安全策略的常用維護(hù)手段 057
1.6 習(xí)題 060
第 2 章 NAT 061
2.1 NAT基本原理 062
2.2 源NAT 064
2.2.1 源NAT簡介 064
2.2.2 NAT No-PAT 065
2.2.3 NAPT 069
2.2.4 出接口地址方式(Easy-IP) 070
2.2.5 Smart NAT 072
2.2.6 三元組NAT 074
2.2.7 源NAT場景下的黑洞路由 078
2.3 目的NAT 081
2.3.1 目的NAT簡介 081
2.3.2 基于策略的目的NAT 082
2.3.3 NAT Server 085
2.3.4 NAT Server場景下的黑洞路由 087
2.4 雙向NAT 089
2.5 多出口場景下的NAT 094
2.5.1 多出口場景下的源NAT 094
2.5.2 多出口場景下的NAT Server 098
2.6 習(xí)題 104
第 3 章 雙機(jī)熱備 105
3.1 雙機(jī)熱備概述 106
3.1.1 路由器的雙機(jī)部署 107
3.1.2 防火墻的雙機(jī)部署 110
3.2 VRRP與VGMP 113
3.2.1 VRRP概述 114
3.2.2 VRRP的工作原理 117
3.2.3 VGMP的產(chǎn)生 122
3.2.4 VGMP控制VRRP狀態(tài) 125
3.3 VGMP協(xié)議詳解 136
3.3.1 VGMP的工作原理 137
3.3.2 VGMP組監(jiān)控接口的招式 141
3.3.3 VGMP組監(jiān)控鏈路的招式 157
3.3.4 VGMP的報(bào)文結(jié)構(gòu) 162
3.3.5 VGMP的狀態(tài)機(jī) 164
3.4 HRP協(xié)議詳解 166
3.4.1 HRP概述 167
3.4.2 HRP備份的原理 170
3.4.3 心跳線 170
3.4.4 配置備份 174
3.4.5 狀態(tài)信息備份 178
3.4.6 配置一致性檢查 182
3.5 雙機(jī)熱備配置指導(dǎo) 184
3.5.1 配置流程 185
3.5.2 配置檢查和結(jié)果驗(yàn)證 190
3.6 雙機(jī)熱備旁掛組網(wǎng)分析 192
3.6.1 通過VRRP與靜態(tài)路由的方式實(shí)現(xiàn)雙機(jī)熱備旁掛 192
3.6.2 通過OSPF與策略路由的方式實(shí)現(xiàn)雙機(jī)熱備旁掛 196
3.7 雙機(jī)熱備與其他特性結(jié)合使用 199
3.7.1 雙機(jī)熱備與NAT Server結(jié)合使用 199
3.7.2 雙機(jī)熱備與源NAT結(jié)合使用 204
3.7.3 雙機(jī)熱備與IPsec結(jié)合使用 208
3.7.4 雙機(jī)熱備與虛擬系統(tǒng)結(jié)合使用 214
3.7.5 雙機(jī)熱備與IPv6結(jié)合使用 215
3.7.6 雙機(jī)熱備組網(wǎng)下輸出日志 216
3.8 雙機(jī)熱備故障排除 218
3.8.1 雙機(jī)熱備工作與雙主異常狀態(tài) 219
3.8.2 雙機(jī)熱備主備切換 222
3.8.3 雙機(jī)切換后業(yè)務(wù)異常 224
3.8.4 雙機(jī)配置不一致 226
3.8.5 雙機(jī)配置不同步 227
3.8.6 雙機(jī)會(huì)話表項(xiàng)不一致 228
3.9 習(xí)題 230
第 4 章 虛擬系統(tǒng) 231
4.1 虛擬系統(tǒng)概述 232
4.2 虛擬系統(tǒng)的實(shí)現(xiàn)原理 234
4.2.1 虛擬系統(tǒng)分類及其管理員 235
4.2.2 虛擬系統(tǒng)的部署與分流 237
4.2.3 虛擬系統(tǒng)的資源分配 240
4.2.4 虛擬系統(tǒng)與VPN實(shí)例 246
4.3 虛擬系統(tǒng)的關(guān)鍵配置 249
4.4 虛擬系統(tǒng)互訪 250
4.4.1 基本概念 251
4.4.2 虛擬系統(tǒng)通過路由表與根系統(tǒng)互訪 255
4.4.3 虛擬系統(tǒng)通過引流表與根系統(tǒng)互訪 259
4.4.4 兩個(gè)虛擬系統(tǒng)直接互訪 261
4.4.5 兩個(gè)虛擬系統(tǒng)跨根系統(tǒng)互訪 263
4.4.6 兩個(gè)虛擬系統(tǒng)跨虛擬系統(tǒng)互訪 266
4.5 NAT模式的虛擬系統(tǒng) 267
4.6 虛擬系統(tǒng)故障排除 268
4.7 習(xí)題 271
第 5 章 鏈路負(fù)載均衡 273
5.1 ISP選路 274
5.1.1 默認(rèn)路由與鏈路備份 274
5.1.2 等價(jià)路由與鏈路負(fù)載分擔(dān) 275
5.1.3 明細(xì)路由與就近選路 277
5.1.4 ISP路由與ISP選路 279
5.1.5 健康檢查 283
5.2 全局選路策略 287
5.2.1 全局選路策略的概念 287
5.2.2 根據(jù)鏈路帶寬選路 289
5.2.3 根據(jù)鏈路權(quán)重選路 292
5.2.4 根據(jù)鏈路優(yōu)先級(jí)選路 294
5.2.5 根據(jù)鏈路質(zhì)量選路 298
5.2.6 會(huì)話保持 302
5.2.7 全局選路策略小結(jié) 304
5.3 DNS透明代理 306
5.3.1 DNS透明代理的概念 306
5.3.2 配置DNS透明代理 308
5.4 策略路由 311
5.4.1 策略路由的概念 311
5.4.2 策略路由的配置 315
5.4.3 策略路由智能選路 317
5.5 智能DNS 320
5.5.1 智能DNS的概念 320
5.5.2 單服務(wù)器智能DNS 321
5.5.3 多服務(wù)器智能DNS 323
5.6 習(xí)題 324
第 6 章 服務(wù)器負(fù)載均衡 325
6.1 初識(shí)服務(wù)器負(fù)載均衡 326
6.1.1 基本概念 326
6.1.2 基本工作流程 328
6.2 服務(wù)器負(fù)載均衡的核心功能 329
6.2.1 負(fù)載均衡算法 330
6.2.2 服務(wù)健康檢查 334
6.2.3 會(huì)話保持 336
6.2.4 配置服務(wù)器負(fù)載均衡 344
6.3 七層負(fù)載均衡 351
6.3.1 七層負(fù)載均衡的背景 351
6.3.2 七層負(fù)載均衡的典型場景 354
6.3.3 HTTP調(diào)度策略 357
6.4 SSL卸載 360
6.4.1 SSL卸載的背景 360
6.4.2 配置SSL卸載 362
6.5 過載控制 364
6.6 習(xí)題 366
第 7 章 L2TP VPN 367
7.1 L2TP概述 368
7.1.1 L2TP VPN的誕生及演進(jìn) 368
7.1.2 L2TP VPN組網(wǎng)場景 370
7.1.3 基本概念 372
7.2 NAS-Initiated L2TP VPN 374
7.2.1 NAS-Initiated L2TP VPN基本原理 374
7.2.2 階段1:建立PPPoE連接 375
7.2.3 階段2:建立L2TP隧道 378
7.2.4 階段3:建立L2TP會(huì)話 380
7.2.5 階段4:建立PPP連接 381
7.2.6 階段5:數(shù)據(jù)封裝傳輸 384
7.2.7 安全策略配置思路 386
7.2.8 配置舉例 389
7.3 Client-Initiated L2TP VPN 392
7.3.1 Client-Initiated L2TP VPN基本原理 392
7.3.2 階段1:建立L2TP隧道 393
7.3.3 階段2:建立L2TP會(huì)話 394
7.3.4 階段3:建立PPP連接 395
7.3.5 階段4:數(shù)據(jù)封裝傳輸 398
7.3.6 安全策略配置思路 401
7.3.7 配置舉例 403
7.4 LAC-Auto-Initiated L2TP VPN 405
7.4.1 LAC-Auto-Initiated L2TP VPN基本原理 405
7.4.2 安全策略配置思路 410
7.4.3 配置舉例 413
7.5 3種組網(wǎng)方式對(duì)比 415
7.6 L2TP VPN多實(shí)例 416
7.7 L2TP VPN常見問題 420
7.8 習(xí)題 424
第 8 章 IPsec VPN 425
8.1 IPsec的協(xié)議框架 426
8.1.1 安全協(xié)議 426
8.1.2 封裝模式 427
8.1.3 加密和驗(yàn)證算法 429
8.1.4 密鑰交換 431
8.1.5 小結(jié) 433
8.2 安全聯(lián)盟 434
8.2.1 什么是安全聯(lián)盟 434
8.2.2 IKEv1協(xié)商安全聯(lián)盟 435
8.2.3 IKEv2協(xié)商安全聯(lián)盟 439
8.2.4 小結(jié) 441
8.3 手工方式建立IPsec VPN 442
8.4 IKE自動(dòng)協(xié)商方式建立IPsec VPN 445
8.4.1 ISAKMP方式的IPsec策略 446
8.4.2 模板方式的IPsec策略 449
8.5 IPsec NAT穿越 452
8.5.1 NAT穿越場景 452
8.5.2 IKEv1的NAT穿越協(xié)商(主模式) 458
8.5.3 IKEv2的NAT穿越協(xié)商 460
8.5.4 防火墻同時(shí)作為IPsec網(wǎng)關(guān)和NAT網(wǎng)關(guān) 461
8.6 GRE/L2TP over IPsec 462
8.6.1 分支通過GRE over IPsec接入總部 463
8.6.2 分支通過L2TP over IPsec接入總部 466
8.6.3 移動(dòng)辦公用戶通過L2TP over IPsec接入總部 470
8.7 對(duì)等體檢測 472
8.7.1 Heartbeat檢測機(jī)制 474
8.7.2 DPD機(jī)制 474
8.8 IPsec鏈路可靠性 475
8.8.1 IPsec智能選路 475
8.8.2 IPsec主備鏈路備份 481
8.8.3 IPsec隧道化鏈路備份 486 8.9 
IPsec場景下的安全策略配置思路 491
8.9.1 點(diǎn)到點(diǎn)IPsec VPN 491
8.9.2 點(diǎn)到多點(diǎn)IPsec VPN 493
8.9.3 IPsec NAT穿越 494
8.10 IPsec故障排除 495
8.10.1 沒有數(shù)據(jù)流觸發(fā)IKE協(xié)商的故障分析 496
8.10.2 IKE協(xié)商失敗的故障分析 498
8.10.3 IPsec VPN業(yè)務(wù)不通的故障分析 502
8.10.4 IPsec VPN業(yè)務(wù)質(zhì)量差的故障分析 504
8.10.5 IPsec隧道建立后頻繁中斷的故障分析 507
8.11 習(xí)題 513
第 9 章 SSL VPN 515
9.1 SSL VPN簡介 516
9.1.1 SSL VPN的優(yōu)勢 516
9.1.2 SSL VPN應(yīng)用場景 517
9.1.3 SSL協(xié)議 519
9.1.4 配置SSL VPN 521
9.2 虛擬網(wǎng)關(guān) 522
9.2.1 建立SSL VPN連接 522
9.2.2 配置虛擬網(wǎng)關(guān) 525
9.3 身份認(rèn)證 527
9.3.1 身份認(rèn)證方式 527
9.3.2 配置身份認(rèn)證 529
9.4 文件共享 531
9.4.1 文件共享應(yīng)用場景 531
9.4.2 配置文件共享 532
9.4.3 遠(yuǎn)程用戶與防火墻之間的交互 532
9.4.4 防火墻與文件服務(wù)器的交互 538
9.5 Web代理 539
9.5.1 Web代理應(yīng)用場景 539
9.5.2 配置Web代理資源 541
9.5.3 對(duì)URL地址的改寫 542
9.5.4 對(duì)URL中資源路徑的改寫 545
9.5.5 對(duì)URL包含的文件改寫 545
9.6 端口轉(zhuǎn)發(fā) 546
9.6.1 端口轉(zhuǎn)發(fā)應(yīng)用場景 546
9.6.2 配置端口轉(zhuǎn)發(fā) 547
9.6.3 準(zhǔn)備階段 548
9.6.4 Telnet連接建立階段 550
9.6.5 數(shù)據(jù)通信階段 552
9.7 網(wǎng)絡(luò)擴(kuò)展 553
9.7.1 網(wǎng)絡(luò)擴(kuò)展應(yīng)用場景 553
9.7.2 網(wǎng)絡(luò)擴(kuò)展處理流程 554
9.7.3 傳輸模式 556
9.7.4 配置網(wǎng)絡(luò)擴(kuò)展 557
9.8 角色授權(quán) 560
9.9 安全策略 562
9.10 SSL VPN的綜合應(yīng)用 565
9.11 習(xí)題 568
縮略語表 569

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) ranfinancial.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號(hào) 鄂公網(wǎng)安備 42010302001612號(hào)