第1部分 虚拟化进程:从Intranet到Extranet再到VPN
第1章 专用网和虚拟专用网:探索网络安全 3
1.1 传统体系和LAN范例 4
1.2 传统的商业模式:一个时代的完结 7
1.2.1 商业社会的重新定义:一个狂躁的时代 8
1.2.2 数据处理管理者:从企业沙皇到替罪羊 9
1.3 局域网:全新信息系统的范例 10
1.4 揭去面纱的行为模式 11
1.4.1 行为分析 14
1.4.2 原因分析 15
1.4.3 解决方案分析 15
1.5 正在实施的新范例 18
1.5.1 自我学习型企业 20
1.6 专用网:孤独的堡垒 21
1.6.1 已定型的专用网 22
1.6.2 使用ISP的专用网 24
1.6.3 防火墙和其他防范措施 25
1.6.4 全球化安全的代价 28
1.7 专用网:Internet革命的倒退 28
1.7.1 专用网的技术应用周期 29
1.7.2 黑客和其他网络干扰者的威胁 31
1.7.3 私有化战争的代价 31
1.8 Extranet:Intranet的进化 32
1.8.1 带领你的商业伙伴. 供应商和顾客开始网上旅程 34
1.8.2 一个经典的例子 34
1.8.3 Intranet的未来 35
1.9 虚拟专用网:Extranet的结束和VPN的开端 35
1.9.1 VPN:Extranet的另一种形式 36
1.10 虚拟专用网VPN:神奇的WAN 36
1.10.1 VPN和防火墙:数字空间上的联姻 37
1.10.2 VPN的可靠性 38
第2章 为什么VPN能够得到不断发展 41
2.1 政治:处于争论中的话题 42
2.2 无所不在的代表:Microsoft 45
2.2.1 NT:防火墙操作系统的新选择 47
2.2.2 NT Bugtraq网站 48
2.2.3 PPTP的崩溃 50
2.3 Cisco的L2F协议 52
2.4 VPN的经济因素 53
第3章 VPN的标准 55
3.1 隧道协议 57
3.1.1 IP安全性或IPSec标准 57
3.1.2 IPSec安全协议和加密 58
3.1.3 第二层隧道协议(L2PT) 62
3.1.4 通过SOCKS分开的防火墙 63
3.2 用户认证 64
3.2.1 拨号用户远端认证服务(RADIUS) 64
3.2.2 强用户认证 67
3.2.3 X.509数字证书标准 70
3.3 数据认证和完整性 71
3.3.1 数字签名过程 71
3.3.2 加密散列/汇集功能 72
3.3.3 证书授权和公钥底层结构 73
3.4 加密方案 75
3.5 加密密钥(对称)密码系统 75
3.6 公钥(非对称)加密系统 76
3.7 密钥管理协议 78
3.8 ISAKMP/IKE-丰富的源泉 79
3.8.1 用ISAKMP对用户认证 79
3.8.2 通过ISAKMP应用数字签名 80
3.8.3 安全联合和ISAKMP 80
3.9 IKE 和SKIP 81
第2部分 黑客攻击和安全危机
第4章 历史上的黑客攻击 85
4.1 新的冷战 86
4.1.1 经济的和政治的现实 86
4.2 俄国人袭击Citibank 87
4.3 嗅探者软件把戏 88
4.4 柏林防火墙 89
4.5 得克萨斯防火墙灾难 89
4.6 伦敦银行被挟 90
4.7 RSA资助的闯入 90
第5章 黑客的攻击手段 93
5.1 防火墙如何被攻破 94
5.1.1 强攻击和特洛伊木马 94
5.1.2 Java Applets和ActiveX控件的安全漏洞 95
5.2 你已被攻破的指示信号 96
5.3 常见的攻击 97
5.3.1 IP地址欺骗 98
5.3.2 通过工作主机的IP地址欺骗 99
5.3.3 IP源自选路由 100
5.3.4 Java和ActiveX攻击 101
5.3.5 使用探视软件 102
5.3.6 TCP攻击 103
5.3.7 死亡之Ping 105
5.3.8 其他的攻击 105
5.3.9 推荐的Web站点 106
第6章 防火墙失效时的后果及措施 111
6.1 纠正你的错误配置 113
6.2 冷漠:系统瘫痪的最快方式 114
6.3 防火墙拨号访问 114
6.4 流入业务:防火墙的告警信号 115
6.5 软件升级:防火墙的燃料 115
6.6 主要的防火墙Web站点 116
第3部分 在阴影中前进
第7章 VPN技术 119
7.1 专用信息高速公路 120
7.2 它们如何工作? 121
7.2.1 基于公钥算法的动态交换 123
7.2.2 用户弱认证和强认证 123
7.2.3 认证技术的进展 124
7.2.4 数据认证(完整性检查) 126
7.3 加密长度的重要性 127
7.3.1 IPSec(IP安全)加密技术的实施 129
7.3.2 节点间ISAKMP/IKE密钥管理和交换 131
7.4 第二层隧道协议(L2TP) 134
7.5 SOCKS重获其地位 135
第8章 防火墙的结构. 技术和服务 137
8.1 开放系统互连模型(OSI)的映射 138
8.2 包过滤的方法 142
8.2.1 简单包过滤系统 142
8.2.2 状态式包过滤结构 144
8.2.3 电路级结构 145
8.2.4 应用代理方法 146
8.3 状态监察技术 148
8.4 应用代理技术 150
8.5 基本特性 152
8.5.1 网络地址翻译 152
8.5.2 地址隐藏 154
8.5.3 地址透明 155
8.6 访问控制 156
8.6.1 网关中的系统负载均衡 156
8.6.2 事件/连接记录 158
8.6.3 反欺骗特性 159
8.6.4 路由管理 159
8.6.5 第三方的支持及互操作性 160
8.7 基本服务和协议支持 161
8.7.1 安全代理概念 161
8.7.2 关键服务的提供 162
第9章 防火墙发展的新趋势 167
9.1 防火墙演进的驱动者 168
9.2 朗讯“防火砖” 170
9.3 光数据系统的超凡的防火墙 171
9.4 WatchGuard的新颖防火墙解决方案 173
9.5 来自外界的防火墙/VPN的管理 174
9.6 结束语:防火墙还将继续发展 175
第10章 其他VPN关键概念和技术 177
10.1 内容引导协议 178
10.2 把RSA数字签名用于Diffie-Hellman算法 179
10.2.1 ISAKMP的密钥交换特性 182
10.3 智能卡(Smart Card) 183
10.4 另一个用户认证系统TACACS+ 184
10.5 轻量目录访问协议LDAP 185
第11章 VPN和防火墙的安全策略 187
11.1 企业范围的安全管理 188
11.1.1 规则库编辑器 190
11.1.2 对象类和管理 193
11.2 集中式安全(规则库)管理的特性 195
11.2.1 集中式管理与控制 196
11.2.2 安全性网关的最优配置 199
11.2.3 网络流量的登录与监视 200
11.2.4 实时的事件报警和通告 201
11.2.5 特殊性能 202
11.3 规则库编辑器逻辑的研究 203
11.3.1 从外部用户向本地用户发送电子邮件 204
11.3.2 本地用户访问整个网络 206
11.3.3 登录时隐含的通信丢弃 206
11.3.4 “隐藏”网关 207
11.4 将更复杂的策略转换为规则 210
11.4.1 选择用户访问以便在特定时间选择服务 211
12.1 实际情况下的性能 216
12.2 VPN性能问题 220
12.3 VPN本身的性能因素 221
12.4 性能方面其他考虑的事项 223
第4部分 VPN的实现和商业评估
第13章 VPN的实施:企业需求的评估 227
13.1 配置企业的VPN清单 228
13.1.1 总体实施方面要考虑的因素 229
13.1.2 用户访问的考虑 232
13.1.3 安全需要 234
13.1.4 用户身份认证 234
13.1.5 操作平台的考虑 235
13.2 VPN配置实例 235
第14章 VPN的商业评估:跨国公司和大公司 239
14.1 跨国公司 240
14.1.1 商业目标 241
14.1.2 企业VPN方案的考虑 242
14.1.3 确定跨国通信的需求 243
14.1.4 专用网和VPN的对比 244
14.2 突破56kbit/s速率 245
14.3 大公司 246
14.3.1 商业目标 246
14.3.2 知识企业 248
14.3.3 针对企业级的通信需求 249
14.3.4 专用网和VPN 250
14.3.5 最后的决定性因素 251
第15章 VPN的商业评估:中小企业 253
15.1 商业目标 255
15.2 组织 256
15.3 中小公司的通信要求 258
15.4 专用网与VPN的比较 259
15.5 一些额外的考虑 259
第5部分 VPN供应商的解决方案
第16章 典型产品综述 263
16.1 VPN结构实现 265
16.1.1 客户到LAN 实现的比较 269
16.1.2 LAN到LAN的实现 271
16.2 安全服务 272
16.2.1 所支持的隧道协议 272
16.2.2 IPSec认证 275
16.2.3 加密和数据认证 276
16.2.4 密钥管理方面的考虑 277
16.3 用户认证的实现 280
16.3.1 双因素用户认证 280
16.3.2 三层强用户认证 281
16.4 VPN管理 282
16.5 入侵告警 284
16.6 VPN性能 285
第17章 配置防火墙 287
17.1 确定配置步骤 288
17.1.1 定义网络对象 289
17.1.2 定义用户和用户组对象 292
17.1.3 定义防火墙对象(Firewall Object) 295
17.2 建立规则库 298
第18章 配置虚拟专用网 309
18.1 确定步骤 310
18.2 定义网络对象 311
18.2.1 指定加密域 313
18.2.2 定义更多的网络对象 316
18.2.3 指定加密域(西海岸) 319
18.2.4 建立VPN规则库 321
18.3 客户到局域网实现 323
18.3.1 建立客户到LAN的规则库 327
第6部分 附 录
RSA示例 331
术语 335
索引 341
鄂公网安备 42010302001612号 