防火墻策略與VPN配置

防火墻和VPN是當(dāng)今應(yīng)用最為廣泛的網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)，但是目前市場(chǎng)上的防火墻和VPN產(chǎn)品眾多，最新一代防火墻的功能更可以說是令人眼花繚亂，而各類企業(yè)和組織的情況千差萬別，如何才能在市場(chǎng)上眾多品牌和型號(hào)的產(chǎn)品中選擇最適合自身需求的產(chǎn)品，并且在實(shí)施過程中還能夠充分發(fā)揮所選擇產(chǎn)品的效用呢？其關(guān)鍵在于選擇合適的產(chǎn)品和技術(shù)，并且編寫精煉準(zhǔn)確的安全策略，以便在安全和可用性之間尋求一個(gè)最佳平衡點(diǎn)。

本書從基本概念出發(fā)，結(jié)合典型案例，深入淺出地介紹了如何根據(jù)不同組織的需求來設(shè)計(jì)和實(shí)施防火墻和VPN。本書還對(duì)當(dāng)前業(yè)界領(lǐng)先的各類防火墻產(chǎn)品進(jìn)行了較為全面的分析比較，采用簡單明了的文字介紹了這些產(chǎn)品的特性、弱點(diǎn)和復(fù)雜性，同時(shí)還對(duì)VPN策略進(jìn)行了深入闡述。此外，本書還針對(duì)不同章節(jié)的主題提供了豐富的、極富價(jià)值的參考鏈接。

全書分為四部分：第一部分介紹網(wǎng)絡(luò)安全策略的基本概念，本著編寫與廠商無關(guān)策略的出發(fā)點(diǎn)，該部分介紹了如何定義通用的安全策略以及根據(jù)所編制的安全策略建立防火墻和VPN配置的基本原則。第二部分介紹防火墻，在介紹應(yīng)用程序代理和網(wǎng)關(guān)等不同類型防火墻及其特點(diǎn)的基礎(chǔ)上，重點(diǎn)分析比較了市場(chǎng)上常見的幾種軟硬件防火墻產(chǎn)品的特性，并由此闡述如何選擇合適的防火墻解決方案。第三部分介紹VPN，在介紹什么是VPN并對(duì)業(yè)界流行的IPSec、SSL、SSH Tunnel和L2TP等VPN技術(shù)的特性和優(yōu)缺點(diǎn)進(jìn)行分析比較的基礎(chǔ)上，本部分深入介紹了軟、硬件VPN設(shè)備的特性，并對(duì)業(yè)界流行的各類產(chǎn)品進(jìn)行了較為全面的比較分析，以便于讀者進(jìn)行選擇。第四部分在介紹企業(yè)安全技術(shù)之根本的IT基礎(chǔ)架構(gòu)安全計(jì)劃及其實(shí)施原則的基礎(chǔ)上，通過兩個(gè)典型規(guī)模的企業(yè)實(shí)例，介紹了如何結(jié)合各自的實(shí)際需求與情況，設(shè)計(jì)并采用不同的防火墻和VPN實(shí)施方案以保證企業(yè)安全。

本書由謝琳、趙俐、黃鋁文翻譯，在翻譯過程中，得到了易磊、張猛、張波、歐陽宇、盛海燕、安曉梅、徐紅霞的幫助，其中易磊審校了全文，在此一并致謝。由于時(shí)間倉促，加之譯者水平有限，譯文中錯(cuò)漏之處難免，敬請(qǐng)讀者指正。

譯者

2007年6月

譯者序
關(guān)于作者
第一部分 安全策略
第1章 網(wǎng)絡(luò)安全策略 2
1.1 引言 2
1.2 定義組織 4
1.2.1 信息危險(xiǎn)程度 5
1.2.2 影響分析 6
1.2.3 系統(tǒng)定義 6
1.2.4 信息流 7
1.2.5 范圍 7
1.2.6 人和過程 7
1.2.7 策略和過程 8
1.2.8 組織需要 8
1.2.9 規(guī)章/遵從 9
1.2.10 建立基線 10
1.3 處理公司網(wǎng)絡(luò)風(fēng)險(xiǎn) 10
1.4 起草網(wǎng)絡(luò)安全策略 11
1.4.1 簡介 12
1.4.2 指南 12
1.4.3 標(biāo)準(zhǔn) 12
1.4.4 過程 13
1.4.5 部署 14
1.4.6 執(zhí)行 14
1.4.7 修改或例外 14
1.5 不同組織的不同訪問 14
1.5.1 可信網(wǎng)絡(luò) 15
1.5.2 定義不同類型的網(wǎng)絡(luò)訪問 16
1.6 不可信網(wǎng)絡(luò) 17
1.6.1 識(shí)別潛在威脅 19
1.6.2 在當(dāng)今企業(yè)中使用VPN 19
1.6.3 安全企業(yè)的戰(zhàn)爭 20
1.6.4 DMZ概念 21
1.6.5 通信流量的概念 25
1.6.6 有DMZ和無DMZ的網(wǎng)絡(luò) 27
1.6.7 DMZ設(shè)計(jì)基礎(chǔ) 29
1.6.8 為網(wǎng)絡(luò)中主機(jī)間數(shù)據(jù)傳輸設(shè)計(jì)端到端安全 30
1.6.9 通信流量和協(xié)議基礎(chǔ) 31
1.6.10 讓安全來臨 31
1.7 小結(jié) 31
1.8 解決方案速查 32
1.9 FAQ 33
第2章 使用策略創(chuàng)建防火墻和VPN配置 35
2.1 引言 35
2.2 什么是邏輯安全配置 36
2.3 計(jì)劃邏輯安全配置 37
2.3.1 識(shí)別網(wǎng)絡(luò)資產(chǎn) 38
2.3.2 繪制網(wǎng)絡(luò)資產(chǎn)剖面圖 39
2.3.3 用戶和用戶組 44
2.4 編寫邏輯安全配置 45
2.4.1 邏輯安全配置：防火墻 45
2.4.2 邏輯安全配置：VPN 47
2.5 小結(jié) 49
2.6 解決方案速查 50
2.7 FAQ 51
第二部分 防火墻概述
第3章 定義防火墻 54
3.1 引言 54
3.2 為什么有不同類型的防火墻 54
3.3 基礎(chǔ)知識(shí)：傳輸控制協(xié)議/網(wǎng)際協(xié)議 62
3.3.1 TCP/IP首部 63
3.3.2 TCP/UDP端口 67
3.3.3 數(shù)據(jù)型數(shù)據(jù)包 70
3.4 防火墻類型 73
3.5 應(yīng)用程序代理 73
3.5.1 優(yōu)點(diǎn) 75
3.5.2 缺點(diǎn) 75
3.6 網(wǎng)關(guān) 78
3.6.1 包過濾器 78
3.6.2 狀態(tài)檢測(cè) 81
3.7 小結(jié) 86
3.8 解決方案速查 86
3.9 FAQ 87
第4章 選擇防火墻 93
4.1 引言 93
4.2 設(shè)備/硬件解決方案 93
4.2.1 基本描述 93
4.2.2 Nokia加固設(shè)備 128
4.3 軟件解決方案 133
4.3.1 基本描述 133
4.3.2 例子 136
4.4 小結(jié) 153
4.5 解決方案速查 156
4.6 FAQ 158
第三部分 VPN概述
第5章 定義VPN 162
5.1 引言 162
5.2 什么是VPN 163
5.2.1 VPN部署模型 164
5.2.2 拓?fù)淠Ｐ?166
5.2.3 VPN的優(yōu)點(diǎn) 170
5.2.4 VPN的缺點(diǎn) 170
5.3 公共密鑰加密 170
5.3.1 PKI 171
5.3.2 證書 171
5.3.3 CRL 172
5.4 IPSec 172
5.4.1 IPSec的優(yōu)點(diǎn) 181
5.4.2 IPSec的缺點(diǎn) 181
5.5 SSL VPN 182
5.5.1 技術(shù)描述 183
5.5.2 Linux中的SSL隧道 185
5.5.3 優(yōu)點(diǎn) 187
5.5.4 缺點(diǎn) 188
5.6 二層解決方案 189
5.6.1 PPTP與L2TP 190
5.6.2 MPLS的技術(shù)描述 191
5.6.3 優(yōu)點(diǎn) 192
5.6.4 缺點(diǎn) 193
5.7 SSH隧道 194
5.7.1 技術(shù)描述 194
5.7.2 優(yōu)點(diǎn) 199
5.7.3 缺點(diǎn) 200
5.8 其他 200
5.8.1 技術(shù)描述 202
5.8.2 優(yōu)點(diǎn) 203
5.8.3 缺點(diǎn) 204
5.9 小結(jié) 204
5.10 解決方案速查 204
5.11 FAQ 205
第6章 選擇VPN 207
6.1 引言 207
6.2 設(shè)備/硬件解決方案 210
6.2.1 基本描述 210
6.2.2 專有硬件 210
6.2.3 專用操作系統(tǒng) 211
6.2.4 硬件設(shè)備解決方案的例子 211
6.3 軟件解決方案 223
6.3.1 基本描述 224
6.3.2 例子 228
6.4 小結(jié) 231
6.5 解決方案速查 232
6.6 FAQ 233
第四部分 實(shí)現(xiàn)防火墻和VPN（案例分析）
第7章 IT基礎(chǔ)架構(gòu)安全規(guī)劃 236
7.1 引言 236
7.2 基礎(chǔ)架構(gòu)安全性評(píng)估 236
7.2.1 內(nèi)部環(huán)境 238
7.2.2 人員和流程 240
7.2.3 技術(shù) 242
7.2.4 建立基線 242
7.2.5 處理公司網(wǎng)絡(luò)風(fēng)險(xiǎn) 243
7.2.6 外部環(huán)境 245
7.2.7 威脅 245
7.2.8 網(wǎng)絡(luò)安全檢查列表 251
7.3 項(xiàng)目參數(shù) 273
7.3.1 需求 274
7.3.2 范圍 276
7.3.3 進(jìn)度 276
7.3.4 預(yù)算 277
7.3.5 質(zhì)量 277
7.3.6 所需的關(guān)鍵技能 278
7.3.7 所需的關(guān)鍵人員 279
7.3.8 項(xiàng)目流程和規(guī)程 279
7.4 項(xiàng)目團(tuán)隊(duì) 280
7.5 項(xiàng)目組織 280
7.6 項(xiàng)目工作分解結(jié)構(gòu) 281
7.7 項(xiàng)目風(fēng)險(xiǎn)和緩解策略 285
7.8 項(xiàng)目約束和假定 286
7.9 項(xiàng)目進(jìn)度安排和預(yù)算 287
7.10 IT基礎(chǔ)架構(gòu)安全項(xiàng)目概述 288
7.11 小結(jié) 289
7.12 解決方案速查 290
第8章 案例研究：SOHO環(huán)境 （5臺(tái)計(jì)算機(jī)、打印機(jī)、服務(wù)器等） 294
8.1 引言 294
8.1.1 用netstat判斷系統(tǒng)的開放端口 294
8.1.2 用lsof確定更多信息 299
8.1.3 在Windows XP上使用netstat 300
8.2 在SOHO環(huán)境中使用防火墻 302
8.3 SOHO防火墻案例研究介紹 303
8.3.1 評(píng)估客戶需求 303
8.3.2 定義案例研究的范圍 304
8.4 定義SOHO防火墻 304
8.4.1 確定功能需求 305
8.4.2 創(chuàng)建家庭站點(diǎn)調(diào)查 306
8.4.3 識(shí)別當(dāng)前的技術(shù)選項(xiàng)和約束 306
8.4.4 實(shí)現(xiàn)SOHO防火墻 307
8.5 小結(jié) 311
8.6 解決方案速查 312
8.7 FAQ 313
第9章 中等規(guī)模企業(yè)（少于2000人）的解決方案 315
9.1 引言 315
9.2 規(guī)劃系統(tǒng) 316
9.2.1 向別人求教 316
9.2.2 電纜圖 320
9.2.3 IP尋址和VLAN 321
9.2.4 軟件工具 321
9.2.5 規(guī)劃的結(jié)果 332
9.3 通過身份管理改善責(zé)任機(jī)制 332
9.4 VPN連通性 354
9.5 小結(jié) 357
9.6 解決方案速查 357
9.7 FAQ 358本書是一本介紹防火墻和VPN概念和實(shí)施的實(shí)戰(zhàn)指南。全書從概念出發(fā)，在對(duì)當(dāng)前市場(chǎng)上領(lǐng)先的各類防火墻和VPN產(chǎn)品進(jìn)行較為全面的比較分析的基礎(chǔ)上，結(jié)合典型案例分析，深入闡述了如何制定適合組織需要的安全策略和設(shè)計(jì)和實(shí)施防火墻與VPN解決方案。
全書共分為四個(gè)部分：第一部分介紹網(wǎng)絡(luò)安全策略；第二部分介紹防火墻的概念和實(shí)施；第三部分介紹VPN的概念以及如何選擇VPN；最后一部分結(jié)合實(shí)例介紹不同規(guī)模的組織如何設(shè)計(jì)和實(shí)施防火墻和VPN。
本書通俗易懂，實(shí)例豐富，既可作為網(wǎng)絡(luò)安全專業(yè)人士的實(shí)戰(zhàn)指南，也適合各類關(guān)注網(wǎng)絡(luò)安全的人士參考。

1. 信息技術(shù)基礎(chǔ)（麒麟操作系統(tǒng)+WPS Office） [主編　芮雪　蔣莉　王亮亮]
2. Office高級(jí)應(yīng)用項(xiàng)目式教程（第2版） [主編 李觀金 張倩文 黎夏克 ]
3. 巧用翻譯學(xué)英語：英漢互譯500例 [王學(xué)文 著]
4. 高等教育多維評(píng)價(jià)體系構(gòu)建與高質(zhì)量發(fā)展研究 [張妍 著]
5. 系統(tǒng)規(guī)劃與管理師章節(jié)習(xí)題與考點(diǎn)特訓(xùn)（第二版） [主編 薛大龍]
6. 計(jì)算機(jī)操作系統(tǒng)實(shí)踐指導(dǎo)（openEuler版） [主編 秦光 曾陳萍 岳付強(qiáng)]
7. 信息系統(tǒng)管理工程師真題及模考卷精析（適用機(jī)考） [主 編 薛大龍 程 剛 上官緒]
8. 航海類院校體育教育教學(xué)研究 [張利超 李寧 著]
9. 新時(shí)代背景下我國職業(yè)教育產(chǎn)教融合長效機(jī)制建設(shè)研究 [王玉賢 著]
10. 電路分析 [主編 李飛 毛先柏]
11. 信息系統(tǒng)管理工程師（適用第2版大綱）一站通關(guān) [指尖瘋　編著]
12. 傳統(tǒng)山水畫論解讀與實(shí)踐 [陳鈉 著]
13. 網(wǎng)絡(luò)工程師備考一本通（適配第6版考綱） [夏杰 編著]
14. 陳孝云的職教理想與情懷 [祝吉太 江傳瑞 張義廷 著]
15. 地方本科院校電子信息學(xué)科課程思政案例集 [王甫]
16. Excel數(shù)據(jù)處理與分析（第二版） [主編 張志明 鄒 蕾]
17. 網(wǎng)絡(luò)工程師5天修煉（適配第6版考綱） [主編　朱小平 施游]
18. 倉儲(chǔ)管理實(shí)務(wù)（第二版） [周寧武 編著]
19. 基于AE與C#的地理信息系統(tǒng)二次開發(fā) [李小根 賈艷昌 喬翠平 姜彤 ]
20. 2023年長沙市文化和旅游業(yè)發(fā)展報(bào)告 [主編 陳莉]
21. 舞臺(tái)化妝造型設(shè)計(jì) [主編 劉思彤 張 濤 張憶雨]
22. 產(chǎn)教融合視角高校體育專業(yè)實(shí)踐教學(xué)體系構(gòu)建研究 [楊柳青 葉華兵 著]
23. 知識(shí)圖譜及應(yīng)用案例 [張善文 黃文準(zhǔn) 于長青 陳明淑]
24. Python程序設(shè)計(jì)案例教程（微課版） [主編　石利平　田輝平　余以勝]
25. 皓月繁星：青少年兒童心理成長手冊(cè) [主　編　林贊歌 副主編　杜志南]
26. 材料力學(xué) [章寶華 趙新勝 徐斌]
27. 系統(tǒng)集成項(xiàng)目管理工程師考試32小時(shí)通關(guān)（第3版） [主編　薛大龍 副主編　上官緒陽]
28. 軟考論文高分特訓(xùn)與范文10篇——系統(tǒng)分析師（第二版） [薛大龍 鄒月平 施游]
29. 黃河海勃灣水利樞紐防凌安全運(yùn)行 [王戰(zhàn)領(lǐng) 王叢發(fā) 范瑜彬 著]
30. 大學(xué)生心理健康教育 [方雄 著]