防火墻和VPN技術與實踐

第 1 章　安全策略 001
1.1　安全策略基礎知識 002
1.1.1　安全策略的組成 002
1.1.2　安全策略的配置方式 005
1.1.3　狀態(tài)檢測與會話機制 006
1.1.4　匹配規(guī)則與默認策略 009
1.1.5　本地安全策略和接口訪問控制 012
1.1.6　安全策略的配置原則 013
1.2　配置安全策略 015
1.2.1　為管理協(xié)議開放安全策略 015
1.2.2　為路由協(xié)議開放安全策略 021
1.2.3　為DHCP開放安全策略 023
1.3　在安全策略中應用對象 027
1.3.1　地址對象和地址組 027
1.3.2　地區(qū)和地區(qū)組 030
1.3.3　域名組 032
1.3.4　用戶和用戶組 036
1.3.5　服務和服務組 038
1.3.6　應用和應用組 040
1.3.7 URL分類 045
1.4　安全策略的最佳實踐 047
1.4.1　建立完善的安全策略管理流程 047
1.4.2　使用安全區(qū)域劃分網(wǎng)絡 048
1.4.3　遵循最小授權原則 050
1.4.4　注意安全策略的順序 051
1.4.5　識別和控制出入方向的流量 053
1.4.6　記錄日志 054
1.4.7　謹慎選擇變更時機 055
1.4.8　定期審計和優(yōu)化安全策略 056
1.5　安全策略的常用維護手段 057
1.6　習題 060
第 2 章　NAT 061
2.1　NAT基本原理 062
2.2　源NAT 064
2.2.1　源NAT簡介 064
2.2.2 NAT No-PAT 065
2.2.3 NAPT 069
2.2.4　出接口地址方式（Easy-IP） 070
2.2.5 Smart NAT 072
2.2.6　三元組NAT 074
2.2.7　源NAT場景下的黑洞路由 078
2.3　目的NAT 081
2.3.1　目的NAT簡介 081
2.3.2　基于策略的目的NAT 082
2.3.3 NAT Server 085
2.3.4 NAT Server場景下的黑洞路由 087
2.4　雙向NAT 089
2.5　多出口場景下的NAT 094
2.5.1　多出口場景下的源NAT 094
2.5.2　多出口場景下的NAT Server 098
2.6　習題 104
第 3 章　雙機熱備 105
3.1　雙機熱備概述 106
3.1.1　路由器的雙機部署 107
3.1.2　防火墻的雙機部署 110
3.2　VRRP與VGMP 113
3.2.1 VRRP概述 114
3.2.2 VRRP的工作原理 117
3.2.3 VGMP的產(chǎn)生 122
3.2.4 VGMP控制VRRP狀態(tài) 125
3.3　VGMP協(xié)議詳解 136
3.3.1 VGMP的工作原理 137
3.3.2 VGMP組監(jiān)控接口的招式 141
3.3.3 VGMP組監(jiān)控鏈路的招式 157
3.3.4 VGMP的報文結構 162
3.3.5 VGMP的狀態(tài)機 164
3.4　HRP協(xié)議詳解 166
3.4.1 HRP概述 167
3.4.2 HRP備份的原理 170
3.4.3　心跳線 170
3.4.4　配置備份 174
3.4.5　狀態(tài)信息備份 178
3.4.6　配置一致性檢查 182
3.5　雙機熱備配置指導 184
3.5.1　配置流程 185
3.5.2　配置檢查和結果驗證 190
3.6　雙機熱備旁掛組網(wǎng)分析 192
3.6.1　通過VRRP與靜態(tài)路由的方式實現(xiàn)雙機熱備旁掛 192
3.6.2　通過OSPF與策略路由的方式實現(xiàn)雙機熱備旁掛 196
3.7　雙機熱備與其他特性結合使用 199
3.7.1　雙機熱備與NAT Server結合使用 199
3.7.2　雙機熱備與源NAT結合使用 204
3.7.3　雙機熱備與IPsec結合使用 208
3.7.4　雙機熱備與虛擬系統(tǒng)結合使用 214
3.7.5　雙機熱備與IPv6結合使用 215
3.7.6　雙機熱備組網(wǎng)下輸出日志 216
3.8　雙機熱備故障排除 218
3.8.1　雙機熱備工作與雙主異常狀態(tài) 219
3.8.2　雙機熱備主備切換 222
3.8.3　雙機切換后業(yè)務異常 224
3.8.4　雙機配置不一致 226
3.8.5　雙機配置不同步 227
3.8.6　雙機會話表項不一致 228
3.9　習題 230
第 4 章　虛擬系統(tǒng) 231
4.1　虛擬系統(tǒng)概述 232
4.2　虛擬系統(tǒng)的實現(xiàn)原理 234
4.2.1　虛擬系統(tǒng)分類及其管理員 235
4.2.2　虛擬系統(tǒng)的部署與分流 237
4.2.3　虛擬系統(tǒng)的資源分配 240
4.2.4　虛擬系統(tǒng)與VPN實例 246
4.3　虛擬系統(tǒng)的關鍵配置 249
4.4　虛擬系統(tǒng)互訪 250
4.4.1　基本概念 251
4.4.2　虛擬系統(tǒng)通過路由表與根系統(tǒng)互訪 255
4.4.3　虛擬系統(tǒng)通過引流表與根系統(tǒng)互訪 259
4.4.4　兩個虛擬系統(tǒng)直接互訪 261
4.4.5　兩個虛擬系統(tǒng)跨根系統(tǒng)互訪 263
4.4.6　兩個虛擬系統(tǒng)跨虛擬系統(tǒng)互訪 266
4.5　NAT模式的虛擬系統(tǒng) 267
4.6　虛擬系統(tǒng)故障排除 268
4.7　習題 271
第 5 章　鏈路負載均衡 273
5.1　ISP選路 274
5.1.1　默認路由與鏈路備份 274
5.1.2　等價路由與鏈路負載分擔 275
5.1.3　明細路由與就近選路 277
5.1.4 ISP路由與ISP選路 279
5.1.5　健康檢查 283
5.2　全局選路策略 287
5.2.1　全局選路策略的概念 287
5.2.2　根據(jù)鏈路帶寬選路 289
5.2.3　根據(jù)鏈路權重選路 292
5.2.4　根據(jù)鏈路優(yōu)先級選路 294
5.2.5　根據(jù)鏈路質量選路 298
5.2.6　會話保持 302
5.2.7　全局選路策略小結 304
5.3　DNS透明代理 306
5.3.1 DNS透明代理的概念 306
5.3.2　配置DNS透明代理 308
5.4　策略路由 311
5.4.1　策略路由的概念 311
5.4.2　策略路由的配置 315
5.4.3　策略路由智能選路 317
5.5　智能DNS 320
5.5.1　智能DNS的概念 320
5.5.2　單服務器智能DNS 321
5.5.3　多服務器智能DNS 323
5.6　習題 324
第 6 章 服務器負載均衡 325
6.1　初識服務器負載均衡 326
6.1.1　基本概念 326
6.1.2　基本工作流程 328
6.2　服務器負載均衡的核心功能 329
6.2.1　負載均衡算法 330
6.2.2　服務健康檢查 334
6.2.3　會話保持 336
6.2.4　配置服務器負載均衡 344
6.3　七層負載均衡 351
6.3.1　七層負載均衡的背景 351
6.3.2　七層負載均衡的典型場景 354
6.3.3 HTTP調度策略 357
6.4　SSL卸載 360
6.4.1 SSL卸載的背景 360
6.4.2　配置SSL卸載 362
6.5　過載控制 364
6.6　習題 366
第 7 章 L2TP VPN 367
7.1　L2TP概述 368
7.1.1 L2TP VPN的誕生及演進 368
7.1.2 L2TP VPN組網(wǎng)場景 370
7.1.3　基本概念 372
7.2　NAS-Initiated L2TP VPN 374
7.2.1 NAS-Initiated L2TP VPN基本原理 374
7.2.2　階段1：建立PPPoE連接 375
7.2.3　階段2：建立L2TP隧道 378
7.2.4　階段3：建立L2TP會話 380
7.2.5　階段4：建立PPP連接 381
7.2.6　階段5：數(shù)據(jù)封裝傳輸 384
7.2.7　安全策略配置思路 386
7.2.8　配置舉例 389
7.3　Client-Initiated L2TP VPN 392
7.3.1 Client-Initiated L2TP VPN基本原理 392
7.3.2　階段1：建立L2TP隧道 393
7.3.3　階段2：建立L2TP會話 394
7.3.4　階段3：建立PPP連接 395
7.3.5　階段4：數(shù)據(jù)封裝傳輸 398
7.3.6　安全策略配置思路 401
7.3.7　配置舉例 403
7.4　LAC-Auto-Initiated L2TP VPN 405
7.4.1 LAC-Auto-Initiated L2TP VPN基本原理 405
7.4.2　安全策略配置思路 410
7.4.3　配置舉例 413
7.5　3種組網(wǎng)方式對比 415
7.6　L2TP VPN多實例 416
7.7　L2TP VPN常見問題 420
7.8　習題 424
第 8 章 IPsec VPN 425
8.1　IPsec的協(xié)議框架 426
8.1.1　安全協(xié)議 426
8.1.2　封裝模式 427
8.1.3　加密和驗證算法 429
8.1.4　密鑰交換 431
8.1.5　小結 433
8.2　安全聯(lián)盟 434
8.2.1　什么是安全聯(lián)盟 434
8.2.2 IKEv1協(xié)商安全聯(lián)盟 435
8.2.3 IKEv2協(xié)商安全聯(lián)盟 439
8.2.4　小結 441
8.3　手工方式建立IPsec VPN 442
8.4　IKE自動協(xié)商方式建立IPsec VPN 445
8.4.1 ISAKMP方式的IPsec策略 446
8.4.2　模板方式的IPsec策略 449
8.5　IPsec NAT穿越 452
8.5.1 NAT穿越場景 452
8.5.2 IKEv1的NAT穿越協(xié)商（主模式） 458
8.5.3 IKEv2的NAT穿越協(xié)商 460
8.5.4　防火墻同時作為IPsec網(wǎng)關和NAT網(wǎng)關 461
8.6　GRE/L2TP over IPsec 462
8.6.1　分支通過GRE over IPsec接入總部 463
8.6.2　分支通過L2TP over IPsec接入總部 466
8.6.3　移動辦公用戶通過L2TP over IPsec接入總部 470
8.7　對等體檢測 472
8.7.1 Heartbeat檢測機制 474
8.7.2 DPD機制 474
8.8　IPsec鏈路可靠性 475
8.8.1 IPsec智能選路 475
8.8.2 IPsec主備鏈路備份 481
8.8.3 IPsec隧道化鏈路備份 486 8.9　
IPsec場景下的安全策略配置思路 491
8.9.1　點到點IPsec VPN 491
8.9.2　點到多點IPsec VPN 493
8.9.3 IPsec NAT穿越 494
8.10　IPsec故障排除 495
8.10.1　沒有數(shù)據(jù)流觸發(fā)IKE協(xié)商的故障分析 496
8.10.2 IKE協(xié)商失敗的故障分析 498
8.10.3 IPsec VPN業(yè)務不通的故障分析 502
8.10.4 IPsec VPN業(yè)務質量差的故障分析 504
8.10.5 IPsec隧道建立后頻繁中斷的故障分析 507
8.11　習題 513
第 9 章 SSL VPN 515
9.1　SSL VPN簡介 516
9.1.1 SSL VPN的優(yōu)勢 516
9.1.2 SSL VPN應用場景 517
9.1.3 SSL協(xié)議 519
9.1.4　配置SSL VPN 521
9.2　虛擬網(wǎng)關 522
9.2.1　建立SSL VPN連接 522
9.2.2　配置虛擬網(wǎng)關 525
9.3　身份認證 527
9.3.1　身份認證方式 527
9.3.2　配置身份認證 529
9.4　文件共享 531
9.4.1　文件共享應用場景 531
9.4.2　配置文件共享 532
9.4.3　遠程用戶與防火墻之間的交互 532
9.4.4　防火墻與文件服務器的交互 538
9.5　Web代理 539
9.5.1 Web代理應用場景 539
9.5.2　配置Web代理資源 541
9.5.3　對URL地址的改寫 542
9.5.4　對URL中資源路徑的改寫 545
9.5.5　對URL包含的文件改寫 545
9.6　端口轉發(fā) 546
9.6.1　端口轉發(fā)應用場景 546
9.6.2　配置端口轉發(fā) 547
9.6.3　準備階段 548
9.6.4 Telnet連接建立階段 550
9.6.5　數(shù)據(jù)通信階段 552
9.7　網(wǎng)絡擴展 553
9.7.1　網(wǎng)絡擴展應用場景 553
9.7.2　網(wǎng)絡擴展處理流程 554
9.7.3　傳輸模式 556
9.7.4　配置網(wǎng)絡擴展 557
9.8　角色授權 560
9.9　安全策略 562
9.10　SSL VPN的綜合應用 565
9.11　習題 568
縮略語表 569