✍ Scribed by 徐慧洋/白杰/卢宏旺
No coin nor oath required. For personal study only.
目录
扉页
版权
序
前言
理论篇
第1章 基础知识
1.1 什么是防火墙
1.2 防火墙的发展历史
1.2.1 1989年至1994年
1.2.2 1995 年至2004 年
1.2.3 2005 年至今
1.2.4 总结
1.3 华为防火墙产品一览
1.3.1 USG2110 产品介绍
1.3.2 USG6600 产品介绍
1.3.3 USG9500 产品介绍
1.4 安全区域
1.4.1 接口、网络和安全区域的关系
1.4.2 报文在安全区域之间流动的方向
1.4.3 安全区域的配置
1.5 状态检测和会话机制
1.5.1 状态检测
1.5.2 会话
1.5.3 组网验证
1.6 状态检测和会话机制补遗
1.6.1 再谈会话
1.6.2 状态检测与会话创建
1.7 配置注意事项和故障排除指导
1.7.1 安全区域
1.7.2 状态检测和会话机制
第2章 安全策略
2.1 安全策略初体验
2.1.1 基本概念
2.1.2 匹配顺序
2.1.3 缺省包过滤
2.2 安全策略发展历程
2.2.1 第一阶段:基于ACL 的包过滤
2.2.2 第二阶段:融合UTM 的安全策略
2.2.3 第三阶段:一体化安全策略
2.3 Local 区域的安全策略
2.3.1 针对OSPF 协议配置Local 区域的安全策略
2.3.2 哪些协议需要在防火墙上配置Local 区域的安全策略
2.4 ASPF
2.4.1 帮助FTP 数据报文穿越防火墙
2.4.2 帮助QQ/MSN 报文穿越防火墙
2.4.3 帮助用户自定义协议报文穿越防火墙
2.5 配置注意事项和故障排除指导
2.5.1 安全策略
2.5.2 ASPF
第3章 攻击防范
3.1 DoS 攻击简介
3.2 单包攻击及防御
3.2.1 Ping of Death 攻击及防御
3.2.2 Land 攻击及防御
3.2.3 IP 地址扫描攻击
3.2.4 防御单包攻击的配置建议
3.3 流量型攻击之SYN Flood 攻击及防御
3.3.1 攻击原理
3.3.2 防御方法之TCP 代理
3.3.3 防御方法之TCP 源探测
3.3.4 配置命令
3.3.5 阈值配置指导
3.4 流量型攻击之UDP Flood 攻击及防御
3.4.1 防御方法之限流
3.4.2 防御方法之指纹学习
3.4.3 配置命令
3.5 应用层攻击之DNS Flood 攻击及防御
3.5.1 攻击原理
3.5.2 防御方法
3.5.3 配置命令
3.6 应用层攻击之HTTP Flood 攻击及防御
3.6.1 攻击原理
3.6.2 防御方法
3.6.3 配置命令
第4章 NAT
4.1 源NAT
4.1.1 源NAT 基本原理
4.1.2 NAT No-PAT
4.1.3 NAPT
4.1.4 出接口地址方式
4.1.5 Smart NAT
4.1.6 三元组NAT
4.1.7 多出口场景下的源NAT
4.1.8 总结
4.1.9 延伸阅读
4.2 NAT Server
4.2.1 NAT Server 基本原理
4.2.2 多出口场景下的NAT Server
4.3 双向NAT
4.3.1 NAT Inbound+NAT Server
4.3.2 域内NAT+NAT Server
4.4 NAT ALG
4.4.1 FTP 协议穿越NAT 设备
4.4.2 QQ/MSN/User-defined 协议穿越NAT 设备
4.4.3 一条命令同时控制两种功能
4.4.4 User-defined 类型的ASPF 和三元组NAT 辨义
4.5 NAT 场景下黑洞路由的作用
4.5.1 源NAT 场景下的黑洞路由
4.5.2 NAT Server 场景下的黑洞路由
4.5.3 总结
4.6 NAT 地址复用专利技术
第5章 GRE&L2TP VPN
5.1 VPN 技术简介
5.1.1 VPN 分类
5.1.2 VPN 的关键技术
5.1.3 总结
5.2 GRE
5.2.1 GRE 的封装/解封装
5.2.2 配置GRE 基本参数
5.2.3 配置GRE 安全机制
5.2.4 安全策略配置思路
5.3 L2TP VPN 的诞生及演进
5.4 L2TP Client-Initiated VPN
5.4.1 阶段1 建立L2TP 隧道:3 条消息协商进入虫洞时机
5.4.2 阶段2 建立L2TP 会话:3 条消息唤醒虫洞门神
5.4.3 阶段3 创建PPP 连接:身份认证,发放特别通行证
5.4.4 阶段4 数据封装传输:穿越虫洞,访问地球
5.4.5 安全策略配置思路
5.5 L2TP NAS-Initiated VPN
5.5.1 阶段1 建立PPPoE 连接:拨号口呼唤VT 口
5.5.2 阶段2 建立L2TP 隧道:3 条消息协商进入虫洞时机
5.5.3 阶段3 建立L2TP 会话:3 条消息唤醒虫洞门神
5.5.4 阶段4~5 LNS 认证,分配IP 地址:LNS 冷静接受LAC
5.5.5 阶段6 数据封装传输:一路畅通
5.5.6 安全策略配置思路
5.6 L2TP LAC-Auto-Initiated VPN
5.6.1 LAC-Auto-Initiated VPN 原理及配置
5.6.2 安全策略配置思路
5.7 总结
第6章 IPSec VPN
6.1 IPSec 简介
6.1.1 加密和验证
6.1.2 安全封装
6.1.3 安全联盟
6.2 手工方式IPSec VPN
6.3 IKE 和ISAKMP
6.4 IKEv1
6.4.1 配置IKE/IPSec VPN
6.4.2 建立IKE SA(主模式)
6.4.3 建立IPSec SA
6.4.4 建立IKE SA(野蛮模式)
6.5 IKEv2
6.5.1 IKEv2 简介
6.5.2 IKEv2 协商过程
6.6 IKE/IPSec 对比
6.6.1 IKEV1 PK IKEv2
6.6.2 IPSec 协议框架
6.7 IPSec 模板方式
6.7.1 在点到多点组网中的应用
6.7.2 个性化的预共享密钥
6.7.3 巧用指定对端域名
6.7.4 总结
6.8 NAT 穿越
6.8.1 NAT 穿越场景简介
6.8.2 IKEv1 的NAT 穿越协商
6.8.3 IKEv2 的NAT 穿越协商
6.8.4 IPSec 与NAT 并存于一个防火墙
6.9 数字证书认证
6.9.1 公钥密码学和PKI 框架
6.9.2 证书申请
6.9.3 数字证书方式的身份认证
6.10 GRE/L2TP over IPSec
6.10.1 分舵通过GRE over IPSec 接入总舵
6.10.2 分舵通过L2TP over IPSec 接入总舵
6.10.3 移动用户使用L2TP over IPSec 远程接入总舵
6.11 对等体检测
6.11.1 Keepalive 机制
6.11.2 DPD 机制
6.12 IPSec 双链路备份
6.12.1 IPSec 主备链路备份
6.12.2 IPSec 隧道化链路备份
6.13 安全策略配置思路
6.13.1 IKE/IPSec VPN 场景
6.13.2 IKE/IPSec VPN+NAT 穿越场景
6.14 IPSec 故障排除
6.14.1 没有数据流触发IKE 协商故障分析
6.14.2 IKE 协商不成功故障分析
6.14.3 IPSec VPN 业务不通故障分析
6.14.4 IPSec VPN 业务质量差故障分析
第7章 DSVPN
7.1 DSVPN 简介
7.2 Normal 方式的DSVPN
7.2.1 配置Normal 方式DSVPN
7.2.2 Normal 方式的DSVPN 原理
7.3 Shortcut 方式的DSVPN
7.3.1 配置Shortcut 方式的DSVPN
7.3.2 Shortcut 方式的DSVPN 原理
7.4 Normal 方式和Shortcut 方式对比
7.5 私网采用静态路由时DSVPN 的配置
7.6 DSVPN 的安全性
7.6.1 身份认证
7.6.2 加密保护
7.7 安全策略配置思路
第8章 SSL VPN
8.1 SSL VPN 原理
8.1.1 SSL VPN 的优势
8.1.2 SSL VPN 的应用场景
8.1.3 SSL 协议的运行机制
8.1.4 用户身份认证
8.2 文件共享
8.2.1 文件共享应用场景
8.2.2 配置文件共享
8.2.3 远程用户与防火墙之间的交互
8.2.4 防火墙与文件服务器的交互
8.3 Web 代理
8.3.1 配置Web 代理资源
8.3.2 对URL 地址的改写
8.3.3 对URL 中资源路径的改写
8.3.4 对URL 包含的文件改写
8.4 端口转发
8.4.1 配置端口转发
8.4.2 准备阶段
8.4.3 Telnet 连接建立阶段
8.4.4 数据通信阶段
8.5 网络扩展
8.5.1 网络扩展应用场景
8.5.2 网络扩展处理流程
8.5.3 可靠传输模式和快速传输模式
8.5.4 配置网络扩展
8.5.5 登录过程
8.6 配置角色授权
8.7 配置安全策略
8.7.1 Web 代理/文件共享/端口转发场景下配置安全策略
8.7.2 网络扩展场景下配置安全策略
8.8 SSL VPN 四大功能综合应用
第9章 双机热备
9.1 双机热备概述
9.1.1 双机部署提升网络可靠性
9.1.2 路由器的双机部署只需考虑路由备份
9.1.3 防火墙的双机部署还需考虑会话备份
9.1.4 双机热备解决防火墙会话备份问题
9.1.5 总结
9.2 VRRP 与VGMP 的故事
9.2.1 VRRP 概述
9.2.2 VRRP 工作原理
9.2.3 多个VRRP 状态相互独立产生问题
9.2.4 VGMP 的产生解决了VRRP 的问题
9.2.5 VGMP 报文结构
9.2.6 防火墙VGMP 组的缺省状态
9.2.7 主备备份双机热备状态形成过程
9.2.8 主用设备接口故障后的状态切换过程
9.2.9 主用设备整机故障后的状态切换过程
9.2.10 原主用设备故障恢复后的状态切换过程(抢占)
9.2.11 负载分担双机热备状态形成过程
9.2.12 负载分担双机热备状态切换过程
9.2.13 总结
9.2.14 VGMP 状态机
9.3 VGMP 招式详解
9.3.1 防火墙连接路由器时的VGMP 招式
9.3.2 防火墙透明接入,连接交换机时的VGMP 招式
9.3.3 防火墙透明接入,连接路由器时的VGMP 招式
9.3.4 VGMP 组监控远端接口的招式
9.3.5 总结
9.4 HRP 协议详解
9.4.1 HRP 概述
9.4.2 HRP 报文结构和实现原理
9.4.3 HRP 的备份方式
9.4.4 HRP 能够备份的配置与状态信息
9.4.5 心跳口与心跳链路探测报文
9.4.6 HRP 一致性检查报文的作用与原理
9.5 双机热备配置指导
9.5.1 配置流程
9.5.2 配置检查和结果验证
9.6 双机热备旁挂组网分析
9.6.1 通过VRRP 与静态路由的方式实现双机热备旁挂
9.6.2 通过OSPF 与策略路由的方式实现双机热备旁挂
9.7 双机热备与其他特性结合使用
9.7.1 双机热备与NAT Server 结合使用
9.7.2 双机热备与源NAT 特性结合使用
9.7.3 主备备份方式双机热备与IPSec 结合使用
9.7.4 负载分担方式双机热备与IPSec 结合使用
9.8 第三代双机热备登上历史舞台
9.8.1 第三代VGMP 概述
9.8.2 第三代VGMP 缺省状态及配置
9.8.3 第三代双机热备状态形成及切换过程
9.8.4 第三代VGMP 报文结构
9.8.5 第三代VGMP 状态机
9.8.6 总结
第10章 出口选路
10.1 出口选路总述
10.1.1 就近选路
10.1.2 策略路由选路
10.1.3 智能选路
10.1.4 透明DNS 选路
10.1.5 旁挂出口选路
10.2 就近选路
10.2.1 缺省路由VS 明细路由
10.2.2 ISP 路由
10.3 策略路由选路
10.3.1 策略路由的概念
10.3.2 基于目的IP 地址的策略路由
10.3.3 基于源IP 地址的策略路由
10.3.4 基于应用的策略路由
10.3.5 旁路组网下的策略路由选路
10.4 智能选路
10.4.1 链路带宽模式
10.4.2 路由权重模式
10.4.3 链路质量探测模式
10.5 透明DNS 选路
10.5.1 基本原理
10.5.2 简单轮询算法
10.5.3 加权轮询算法
实战篇
第11章 防火墙在校园网中的应用
11.1 组网需求
11.2 强叔规划
11.2.1 多出口选路规划
11.2.2 安全规划
11.2.3 NAT 规划
11.2.4 带宽管理规划
11.2.5 网络管理规划
11.3 配置步骤
11.4 拍案惊奇
第12章 防火墙在广电网络中的应用
12.1 组网需求
12.2 强叔规划
12.2.1 双机热备规划
12.2.2 多出口选路规划
12.2.3 带宽管理规划
12.2.4 安全规划
12.2.5 NAT 规划
12.2.6 内网服务器规划
12.2.7 应对审查的规划
12.3 配置步骤
12.4 拍案惊奇
第13章 防火墙在体育场馆网络中的应用
13.1 组网需求
13.2 强叔规划——出口防火墙
13.2.1 BGP 规划
13.2.2 OSPF 规划
13.2.3 双机热备规划
13.2.4 安全功能规划
13.2.5 NAT 规划
13.2.6 来回路径不一致规划
13.3 强叔规划——数据中心防火墙
13.3.1 双机热备规划
13.3.2 安全功能规划
13.4 配置步骤——出口防火墙
13.5 配置步骤——数据中心防火墙
13.6 拍案惊奇
第14章 防火墙在企业分支与总部VPN互通中的应用
14.1 组网需求
14.2 强叔规划
14.2.1 接口规划
14.2.2 安全策略规划
14.2.3 IPSec 规划
14.2.4 NAT 规划
14.2.5 路由规划
14.3 配置步骤
14.4 拍案惊奇
附录
A 报文处理流程
A.1 华为大同:全系列状态检测防火墙报文处理流程
A.1.1 查询会话前的处理过程:基础处理
A.1.2 查询会话中的处理过程:转发处理,关键是会话建立
A.1.3 查询会话后的处理过程:安全业务处理及报文发送
A.2 求同存异:集中式与分布式防火墙差异对报文处理流程的影响
A.2.1 当安全策略遇上NAT Server
A.2.2 当源NAT 遇上NAT Server
B 证书浅析
B.1 公钥密码学
B.1.1 基本概念
B.1.2 数据加解密
B.1.3 真实性验证
B.1.4 完整性验证
B.2 证书
B.2.1 证书属性
B.2.2 证书颁发
B.2.3 证书验证
B.3 应用
B.3.1 证书在IPSec 中的应用
B.3.2 证书在SSL VPN 中的应用
C 强叔提问及答案
C.1 第1章
C.2 第2章
C.3 第3章
C.4 第4章
C.5 第5章
C.6 第6章
C.7 第7章
C.8 第8章
C.9 第9章
C.10 第10章
C.11 附录A
C.12 附录B
📜 SIMILAR VOLUMES
本书全面介绍防火墙技术及应用知识。全书共5章,主要内容包括防火墙基本知识、防火墙技术、防火墙网络部署、防火墙安全功能应用和典型案例。每章最后提供了相应的思考题。 本书由360企业安全集团针对高校网络空间安全专业的教学规划组织编写,既适合作为网络空间安全、信息安全等专业的本科生相关专业基础课程的教材,也适合作为网络安全研究人员的入门基础读物。
本书全面介绍Web应用防火墙(WAF)技术及应用知识。全书共8章,主要内容包括Web系统安全概述、Web应用防火墙、HTTP校验和访问控制、Web防护、网页防篡改、分布式拒绝服务攻击防护、威胁情报中心和典型案例。每章最后都提供了相应的思考题。 本书由360企业安全集团针对高校网络空间安全专业的教学规划组织编写,既适合作为网络空间安全、信息安全等专业本科生相关专业基础课程教材,也适合作为网络安全研究人员的基础读物。
内容提要: 为便于普通投资者理解和实际运用,《超越技术——高级技术分析漫谈》主要以实例为主,其中不少是亲身参与的,有些则是为了更好地说明问题精心挑选的,总之,是一些经典的案例。经典案例是技术原理的集中和完整体现,但在实际市场走势中,经典形态或技术出现的概率并不高,更……
本书共10章,第1章讲解防火墙的基础理论,内容包括防火墙概念、分类、功能及防火墙的相关知识等。第2章讲解防火墙的工作原理、具备的特性及常用的防火墙技术等。第3章讲解计算机操作系统如何配置系统自带的防火墙及如何应用防火墙等。第4章讲解常用著名防火墙设置和管理的基本操作。第5章讲解Red Hat Linux系统安全及Iptables防火墙配置。第6章讲解Windows Server 2003服务器防火墙和Windows 7防火墙的高级配置。第7章讲解Windows Server 2008 R2服务器的安全配置。第8章讲解ISA网络防火墙的应用操作。第9章介绍企业级防火墙TMG的部署。第10章讲解项
<p>本书为“Web 应用防火墙技术及应用”课程的配套实验指导教材。全书分为 4 章,主要内容包括Web 应用防火墙基本配置、Web 应用防火墙安全防护应用、Web 应用防火墙日志管理与分析、Web 应用防火墙综合实验。</p> <p>本书由奇安信集团联合高校针对高校网络空间安全专业的教学规划组织编写,既适合作为网络空间安全、信息安全等相关专业的本科生实验教材,也适合作为网络空间安全相关领域研究人员的基础读物。</p>
本书为“Web应用防火墙技术及应用”课程的配套实验指导教材。全书分为4章,主要内容包括Web应用防火墙基本配置、Web应用防火墙安全防护应用、Web应用防火墙日志管理与分析、Web应用防火墙综合实验。 本书由奇安信集团联合高校针对高校网络空间安全专业的教学规划组织编写,既适合作为网络空间安全、信息安全等相关专业的本科生实验教材,也适合作为网络空间安全相关领域研究人员的基础读物。