华为防火墙技术漫谈【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

华为防火墙技术漫谈PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

理论篇2

第1章 基础知识2

1.1 什么是防火墙4

1.2 防火墙的发展历史5

1.2.1 1989年至1994年6

1.2.2 1995年至2004年6

1.2.3 2005年至今7

1.2.4 总结7

1.3 华为防火墙产品一览8

1.3.1 USG2110产品介绍9

1.3.2 USG6600产品介绍9

1.3.3 USG9500产品介绍9

1.4 安全区域10

1.4.1 接口、网络和安全区域的关系10

1.4.2 报文在安全区域之间流动的方向12

1.4.3 安全区域的配置13

1.5 状态检测和会话机制16

1.5.1 状态检测16

1.5.2 会话18

1.5.3 组网验证18

1.6 状态检测和会话机制补遗19

1.6.1 再谈会话19

1.6.2 状态检测与会话创建21

1.7 配置注意事项和故障排除指导25

1.7.1 安全区域25

1.7.2 状态检测和会话机制26

第2章 安全策略30

2.1 安全策略初体验32

2.1.1 基本概念32

2.1.2 匹配顺序33

2.1.3 缺省包过滤34

2.2 安全策略发展历程35

2.2.1 第一阶段：基于ACL的包过滤35

2.2.2 第二阶段：融合UTM的安全策略36

2.2.3 第三阶段：一体化安全策略38

2.3 Local区域的安全策略41

2.3.1 针对OSPF协议配置Local区域的安全策略41

2.3.2 哪些协议需要在防火墙上配置Local区域的安全策略46

2.4 ASPF48

2.4.1 帮助FTP数据报文穿越防火墙48

2.4.2 帮助QQ/MSN报文穿越防火墙52

2.4.3 帮助用户自定义协议报文穿越防火墙54

2.5 配置注意事项和故障排除指导55

2.5.1 安全策略55

2.5.2 ASPF58

第3章 攻击防范60

3.1 DoS攻击简介62

3.2 单包攻击及防御62

3.2.1 Ping ofDeath攻击及防御63

3.2.2 Land攻击及防御63

3.2.3 IP地址扫描攻击64

3.2.4 防御单包攻击的配置建议64

3.3 流量型攻击之SYN Flood攻击及防御65

3.3.1 攻击原理66

3.3.2 防御方法之TCP代理67

3.3.3 防御方法之TCP源探测68

3.3.4 配置命令69

3.3.5 阈值配置指导70

3.4 流量型攻击之UDP Flood攻击及防御70

3.4.1 防御方法之限流71

3.4.2 防御方法之指纹学习71

3.4.3 配置命令73

3.5 应用层攻击之DNS Flood攻击及防御74

3.5.1 攻击原理74

3.5.2 防御方法75

3.5.3 配置命令78

3.6 应用层攻击之HTTP Flood攻击及防御78

3.6.1 攻击原理78

3.6.2 防御方法79

3.6.3 配置命令82

第4章 NAT84

4.1 源NAT86

4.1.1 源NAT基本原理86

4.1.2 NAT No-PAT88

4.1.3 NAPT90

4.1.4 出接口地址方式91

4.1.5 Smart NAT92

4.1.6 三元组NAT94

4.1.7 多出口场景下的源NAT98

4.1.8 总结100

4.1.9 延伸阅读100

4.2 NAT Server101

4.2.1 NAT Server基本原理102

4.2.2 多出口场景下的NAT Server104

4.3 双向NAT109

4.3.1 NAT Inbound+NAT Server110

4.3.2 域内NAT+NAT Server112

4.4 NAT ALG115

4.4.1 FTP协议穿越NAT设备115

4.4.2 QQ/MSN/User-defined协议穿越NAT设备118

4.4.3 一条命令同时控制两种功能119

4.4.4 User-defined类型的ASPF和三元组NAT辨义120

4.5 NAT场景下黑洞路由的作用121

4.5.1 源NAT场景下的黑洞路由121

4.5.2 NAT Server场景下的黑洞路由126

4.5.3 总结128

4.6 NAT地址复用专利技术129

第5章 GRE＆L2TP VPN132

5.1 VPN技术简介134

5.1.1 VPN分类134

5.1.2 VPN的关键技术136

5.1.3 总结138

5.2 GRE139

5.2.1 GRE的封装／解封装139

5.2.2 配置GRE基本参数141

5.2.3 配置GRE安全机制143

5.2.4 安全策略配置思路145

5.3 L2TP VPN的诞生及演进148

5.4 L2TP Client-Initiated VPN150

5.4.1 阶段1 建立L2TP隧道：3条消息协商进入虫洞时机151

5.4.2 阶段2 建立L2TP会话：3条消息唤醒虫洞门神152

5.4.3 阶段3 创建PPP连接：身份认证，发放特别通行证152

5.4.4 阶段4 数据封装传输：穿越虫洞，访问地球154

5.4.5 安全策略配置思路156

5.5 L2TP NAS-Initiated VPN158

5.5.1 阶段1 建立PPPoE连接：拨号口呼唤VT口160

5.5.2 阶段2 建立L2TP隧道：3条消息协商进入虫洞时机161

5.5.3 阶段3 建立L2TP会话：3条消息唤醒虫洞门神162

5.5.4 阶段4～5 LNS认证，分配IP地址：LNS冷静接受LAC162

5.5.5 阶段6 数据封装传输：一路畅通164

5.5.6 安全策略配置思路165

5.6 L2TP LAC-Auto-Initiated VPN167

5.6.1 LAC-Auto-Initiated VPN原理及配置168

5.6.2 安全策略配置思路171

5.7 总结174

第6章 IPSec VPN176

6.1 IPSec简介178

6.1.1 加密和验证178

6.1.2 安全封装180

6.1.3 安全联盟181

6.2 手工方式IPSec VPN182

6.3 IKE和ISAKMP185

6.4 IKEv1186

6.4.1 配置IKE/IPSecVPN186

6.4.2 建立IKE SA（主模式）188

6.4.3 建立IPSec SA191

6.4.4 建立IKE SA（野蛮模式）193

6.5 IKEv2194

6.5.1 IKEv2简介195

6.5.2 IKEv2协商过程196

6.6 IKE/IPSec对比198

6.6.1 IKEV1 PK IKEv2198

6.6.2 IPSec协议框架198

6.7 IPSec模板方式200

6.7.1 在点到多点组网中的应用200

6.7.2 个性化的预共享密钥203

6.7.3 巧用指定对端域名204

6.7.4 总结205

6.8 NAT穿越206

6.8.1 NAT穿越场景简介206

6.8.2 IKEv1的NAT穿越协商210

6.8.3 IKEv2的NAT穿越协商211

6.8.4 IPSec与NAT并存于一个防火墙212

6.9 数字证书认证213

6.9.1 公钥密码学和PKI框架214

6.9.2 证书申请214

6.9.3 数字证书方式的身份认证218

6.10 GRE/L2TP over IPSec220

6.10.1 分舵通过GRE over IPSec接入总舵220

6.10.2 分舵通过L2TP over IPSec接入总舵223

6.10.3 移动用户使用L2TPoverIPSec远程接入总舵226

6.11 对等体检测227

6.11.1 Keepalive机制228

6.11.2 DPD机制228

6.12 IPSec双链路备份229

6.12.1 IPSec主备链路备份229

6.12.2 IPSec隧道化链路备份232

6.13 安全策略配置思路236

6.13.1 IKE/IPSecVPN场景236

6.13.2 IKE/IPSec VPN+NAT穿越场景239

6.14 IPSec故障排除242

6.14.1 没有数据流触发IKE协商故障分析243

6.14.2 IKE协商不成功故障分析244

6.14.3 IPSecVPN业务不通故障分析248

6.14.4 IPSec VPN业务质量差故障分析249

第7章 DSVPN254

7.1 DSVPN简介256

7.2 Normal方式的DSVPN257

7.2.1 配置Normal方式DSVPN257

7.2.2 Normal方式的DSVPN原理259

7.3 Shortcut方式的DSVPN263

7.3.1 配置Shortcut方式的DSVPN264

7.3.2 Shortcut方式的DSVPN原理265

7.4 Normal方式和Shortcut方式对比269

7.5 私网采用静态路由时DSVPN的配置269

7.6 DSVPN的安全性270

7.6.1 身份认证270

7.6.2 加密保护271

7.7 安全策略配置思路272

第8章 SSL VPN274

8.1 SSL VPN原理276

8.1.1 SSL VPN的优势276

8.1.2 SSL VPN的应用场景276

8.1.3 SSL协议的运行机制278

8.1.4 用户身份认证283

8.2 文件共享286

8.2.1 文件共享应用场景286

8.2.2 配置文件共享287

8.2.3 远程用户与防火墙之间的交互288

8.2.4 防火墙与文件服务器的交互292

8.3 Web代理293

8.3.1 配置Web代理资源293

8.3.2 对URL地址的改写295

8.3.3 对URL中资源路径的改写296

8.3.4 对URL包含的文件改写297

8.4 端口转发298

8.4.1 配置端口转发298

8.4.2 准备阶段300

8.4.3 Telnet连接建立阶段300

8.4.4 数据通信阶段303

8.5 网络扩展303

8.5.1 网络扩展应用场景304

8.5.2 网络扩展处理流程305

8.5.3 可靠传输模式和快速传输模式307

8.5.4 配置网络扩展308

8.5.5 登录过程310

8.6 配置角色授权312

8.7 配置安全策略313

8.7.1 Web代理／文件共享／端口转发场景下配置安全策略313

8.7.2 网络扩展场景下配置安全策略315

8.8 SSL VPN四大功能综合应用318

第9章 双机热备322

9.1 双机热备概述324

9.1.1 双机部署提升网络可靠性324

9.1.2 路由器的双机部署只需考虑路由备份324

9.1.3 防火墙的双机部署还需考虑会话备份326

9.1.4 双机热备解决防火墙会话备份问题327

9.1.5 总结329

9.2 VRRP与VGMP的故事330

9.2.1 VRRP概述330

9.2.2 VRRP工作原理332

9.2.3 多个VRRP状态相互独立产生问题336

9.2.4 VGMP的产生解决了VRRP的问题337

9.2.5 VGMP报文结构339

9.2.6 防火墙VGMP组的缺省状态341

9.2.7 主备备份双机热备状态形成过程342

9.2.8 主用设备接口故障后的状态切换过程346

9.2.9 主用设备整机故障后的状态切换过程348

9.2.10 原主用设备故障恢复后的状态切换过程（抢占）349

9.2.11 负载分担双机热备状态形成过程351

9.2.12 负载分担双机热备状态切换过程353

9.2.13 总结354

9.2.14 VGMP状态机355

9.3 VGMP招式详解356

9.3.1 防火墙连接路由器时的VGMP招式356

9.3.2 防火墙透明接入，连接交换机时的VGMP招式359

9.3.3 防火墙透明接入，连接路由器时的VGMP招式361

9.3.4 VGMP组监控远端接口的招式363

9.3.5 总结364

9.4 HRP协议详解365

9.4.1 HRP概述365

9.4.2 HRP报文结构和实现原理367

9.4.3 HRP的备份方式369

9.4.4 HRP能够备份的配置与状态信息371

9.4.5 心跳口与心跳链路探测报文372

9.4.6 HRP一致性检查报文的作用与原理373

9.5 双机热备配置指导374

9.5.1 配置流程375

9.5.2 配置检查和结果验证378

9.6 双机热备旁挂组网分析380

9.6.1 通过VRRP与静态路由的方式实现双机热备旁挂380

9.6.2 通过OSPF与策略路由的方式实现双机热备旁挂383

9.7 双机热备与其他特性结合使用385

9.7.1 双机热备与NAT Server结合使用385

9.7.2 双机热备与源NAT特性结合使用388

9.7.3 主备备份方式双机热备与IPSec结合使用391

9.7.4 负载分担方式双机热备与IPSec结合使用393

9.8 第三代双机热备登上历史舞台395

9.8.1 第三代VGMP概述396

9.8.2 第三代VGMP缺省状态及配置397

9.8.3 第三代双机热备状态形成及切换过程398

9.8.4 第三代VGMP报文结构400

9.8.5 第三代VGMP状态机401

9.8.6 总结402

第10章 出口选路404

10.1 出口选路总述406

10.1.1 就近选路406

10.1.2 策略路由选路406

10.1.3 智能选路407

10.1.4 透明DNS选路409

10.1.5 旁挂出口选路410

10.2 就近选路411

10.2.1 缺省路由VS明细路由411

10.2.2 ISP路由413

10.3 策略路由选路416

10.3.1 策略路由的概念416

10.3.2 基于目的IP地址的策略路由418

10.3.3 基于源IP地址的策略路由419

10.3.4 基于应用的策略路由421

10.3.5 旁路组网下的策略路由选路423

10.4 智能选路425

10.4.1 链路带宽模式426

10.4.2 路由权重模式429

10.4.3 链路质量探测模式431

10.5 透明DNS选路435

10.5.1 基本原理435

10.5.2 简单轮询算法437

10.5.3 加权轮询算法439

实战篇444

第11章 防火墙在校园网中的应用444

11.1 组网需求446

11.2 强叔规划447

11.2.1 多出口选路规划447

11.2.2 安全规划447

11.2.3 NAT规划448

11.2.4 带宽管理规划449

11.2.5 网络管理规划449

11.3 配置步骤449

11.4 拍案惊奇458

第12章 防火墙在广电网络中的应用460

12.1 组网需求462

12.2 强叔规划463

12.2.1 双机热备规划463

12.2.2 多出口选路规划463

12.2.3 带宽管理规划464

12.2.4 安全规划464

12.2.5 NAT规划465

12.2.6 内网服务器规划466

12.2.7 应对审查的规划466

12.3 配置步骤466

12.4 拍案惊奇478

第13章 防火墙在体育场馆网络中的应用480

13.1 组网需求482

13.2 强叔规划——出口防火墙483

13.2.1 BGP规划483

13.2.2 OSPF规划483

13.2.3 双机热备规划484

13.2.4 安全功能规划484

13.2.5 NAT规划484

13.2.6 来回路径不一致规划485

13.3 强叔规划——数据中心防火墙486

13.3.1 双机热备规划486

13.3.2 安全功能规划486

13.4 配置步骤——出口防火墙487

13.5 配置步骤——数据中心防火墙492

13.6 拍案惊奇495

第14章 防火墙在企业分支与总部VPN互通中的应用496

14.1 组网需求498

14.2 强叔规划499

14.2.1 接口规划499

14.2.2 安全策略规划499

14.2.3 IPSec规划499

14.2.4 NAT规划500

14.2.5 路由规划500

14.3 配置步骤500

14.4 拍案惊奇507

附录510

A 报文处理流程510

A.1 华为大同：全系列状态检测防火墙报文处理流程512

A.1.1 查询会话前的处理过程：基础处理513

A.1.2 查询会话中的处理过程：转发处理，关键是会话建立513

A.1.3 查询会话后的处理过程：安全业务处理及报文发送515

A.2 求同存异：集中式与分布式防火墙差异对报文处理流程的影响516

A.2.1 当安全策略遇上NAT Server517

A.2.2 当源NAT遇上NAT Server519

B 证书浅析522

B.1 公钥密码学524

B.1.1 基本概念524

B.1.2 数据加解密525

B.1.3 真实性验证526

B.1.4 完整性验证527

B.2 证书528

B.2.1 证书属性528

B.2.2 证书颁发529

B.2.3 证书验证530

B.3 应用532

B.3.1 证书在IPSec中的应用532

B.3.2 证书在SSL VPN中的应用532

C 强叔提问及答案540

C.1 第1章 542

C.2 第2章 542

C.3 第3章 543

C.4 第4章 544

C.5 第5章 544

C.6 第6章 545

C.7 第7章 546

C.8 第8章 546

C.9 第9章 546

C.10 第10章 547

C.11 附录A548

C.12 附录B548