第一部分 VPN基础
第一章 VPN技术介绍 3
1.1 什么是VPN 4
1.1.1 VPN应用的四个领域 7
1.2 VPN的组成部分 11
1.3 谁支持VPN 15
1.4 VPN的增长 15
1.5 确定对VPN的需求 16
1.6 商务需要VPN 17
1.7 如何选择VPN设备 18
1.7.1 法律对VPN的影响 19
1.8 小结 20
第二章 VPN的网络安全 23
2.1 什么是网络安全 24
2.2 如何防范威胁 26
2.2.1 你的对手是谁 26
2.2.2 薄弱环节 27
2.2.3 用户访问控制 28
2.2.4 不要轻信于人 28
2.2.5 该怎么办 29
2.2.6 变幻无常的安全性 30
2.2.7 员工的破坏 31
2.2.8 密钥恢复 31
2.2.9 后台检查 32
2.2.10 安全性方面的隐藏的开销 32
2.3 如何识别攻击 33
2.3.1 审计追踪和日志 33
2.3.2 监控 33
2.3.3 硬盘加密 34
2.4 VPN有哪些安全需求 34
2.4.1 加密 35
2.4.2 VPN设备 35
2.4.3 鉴定 35
2.4.4 不可否认 36
2.4.5 点到点加密 36
2.4.6 集中式安全管理 36
2.4.7 备份或恢复的程序 37
2.5 实现VPN时安全问题的重要性 37
2.6 实现一个不错的安全策略 38
2.7 公司防守严密吗 40
2.7.1 风险分析 40
2.7.2 信息风险管理 41
2.7.3 安全的适应性 41
2.8 攻击有哪些类型 41
2.9 小结 42
第三章 VPN技术的优缺点 43
3.1 VPN的优点 44
3.2 VPN带来的成本节约 45
3.3 网络设计 46
3.4 终端用户使用VPN带来的好处 48
3.4.1 合理利用资金 48
3.4.2 数据访问 49
3.4.3 通信量的优先级 49
3.5 全球访问的好处 49
3.5.1 远程电信会议 50
3.5.2 IP电话 50
3.6 给ISP带来的好处 50
3.6.1 新业务 50
3.6.2 受控服务 51
3.7 VPN的竞争优势 51
3.8 VPN技术的开销 51
3.8.1 ISP的网络基础结构 52
3.8.2 VPN设备 54
3.8.3 维护开销 55
3.8.4 使用许可 55
3.8.5 2000年问题的解决 55
3.8.6 加密的开销 56
3.8.7 管理 58
3.8.8 安全维护人员 58
3.8.9 帮助台 59
3.9 额外的通信开销 59
3.9.1 长途 60
3.9.2 800号 60
3.10 服务质量保证 61
3.11 服务级别协议 62
3.11.1 网络正常运行时间 62
3.11.2 带宽 63
3.11.3 等待时间 63
3.12 小结 64
第四章 VPN的体系结构 67
4.1 体系结构介绍 68
4.2 哪种VPN适合你? 69
4.2.1 我了解什么是VPN吗? 69
4.2.2 我觉得建立一个VPN合适吗? 69
4.2.3 节约资金是唯一的目的吗? 70
4.2.4 要使用VPN进行全球的商务活动吗? 70
4.2.5 你将建立一个企业外部网吗? 71
4.2.6 公司有足够的技术实力来建立并维护VPN吗? 71
4.2.7 你想使用帧中继或ATM的VPN吗? 71
4.2.8 采用何种安全技术? 72
4.2.9 公司打算支持哪种类型的硬件结构? 72
4.2.10 估计这个VPN的用户将有多少? 72
4.2.11 你还可以向自己或公司提出更多别的问题 73
4.3 网络服务供应商提供的VPN 73
4.3.1 安全性 75
4.3.2 更改控制 75
4.3.3 故障排除 75
4.3.4 功能 76
4.3.5 授权 76
4.3.6 网络利用率 76
4.3.7 设备的利用 76
4.3.8 客户应用 77
4.3.9 密钥管理 77
4.4 基于防火墙的VPN 77
4.5 基于黑匣的VPN 79
4.6 基于路由器的VPN 80
4.7 基于远程访问的VPN 81
4.8 对应用程序敏感的/代理工具包VPN 82
4.9 VPN的多服务应用程序 83
4.10 基于软件的VPN 84
4.11 VPN的隧道交换 85
4.12 性能统计/比较 85
4.13 认证/一致性 88
4.14 小结 88
第五章 VPN的拓扑结构 91
5.1 VPN拓扑结构介绍 92
5.2 防火墙/VPN到客户机的拓扑结构 93
5.3 VPN/LAN-to-LAN拓扑结构 95
5.4 VPN/防火墙到企业内部网/企业外部网拓扑结构 97
5.5 VPN/帧或ATM拓扑结构 100
5.6 硬件(黑匣)VPN拓扑结构 101
5.7 VPN/NAT拓扑结构 103
5.8 VPN交换拓扑结构 105
5.9 VPN嵌套隧道 105
5.10 负载平衡和同步 107
5.10.1 负载平衡 107
5.10.2 同步 109
5.11 小结 110
第六章 联邦政府对VPN技术的管制 111
6.1 加密政策简介 112
6.2 政府在VPN技术中扮演的角色 113
6.2.1 安全产品中的密钥恢复 115
6.3 政府政策对VPN安全的影响 115
6.4 获得使用强安全的许可权 116
6.5 政府入侵的经济成本 117
6.6 合法加密状态 119
6.7 国际对美国政府加密政策的影响 119
6.8 目前的状况 120
6.9 小结 123
第二部分 虚拟专用网的实现
第七章 网络基础 127
7.1 确定策略 128
7.2 VPN体系结构的布局 130
7.3 路由选择问题 131
7.3.1 流出VPN的通信量 132
7.3.2 流入VPN的通信量 133
7.3.3 重要的第三步 134
7.4 拓扑结构布局 136
7.5 IP/NAT地址分配问题 138
7.5.1 为什么以及什么时候使用静态NAT 141
7.5.2 防火墙/VPN地址分配 144
7.6 远程访问问题 145
7.7 DNS/SMTP问题 147
7.8 小结 148
第八章 构建VPN(第一部分) 149
8.1 基于防火墙的VPN安装入门 150
8.1.1 VPN的结构 151
8.1.2 要求 151
8.2 基于防火墙的VPN模型 153
8.3 获得并分配IP地址空间 156
8.3.1 将230网络划分子网的目的 158
8.3.2 外部链路 158
8.3.3 DMZ1区的链路 158
8.3.4 DMZ2或者说是电子商务链路 159
8.3.5 内部接口 159
8.4 实现良好的安全措施 163
8.5 管理通信量 165
8.6 SMTP和DNS的实现问题 166
8.7 实现认证 167
8.7.1 内部用户的通信量 168
8.7.2 对内部用户进行认证的通信量 169
8.8 “丢弃所有”规则 170
8.9 实现VPN的有关规则 170
8.10 分支机构的VPN 171
8.11 远程用户的VPN 173
8.12 小结 175
第九章 构建VPN(第二部分) 177
9.1 服务供应商型VPN的服务 178
9.2 独立型VPN服务 179
9.3 Aventail外部网中心 179
9.3.1 Aventail外部网服务器 179
9.3.2 Aventail策略控制台 180
9.3.3 Aventail管理服务器 180
9.3.4 Aventail管理服务器配置工具 180
9.3.5 Aventail连接 180
9.3.6 Aventail公司产品介绍 181
9.3.7 在Windows NT上安装Aventail服务器组件 181
9.3.8 在UNIX上安装Aventail服务器组件 182
9.3.9 在Windows 9x和Windows NT上安装Aventail客户机组件 183
9.3.10 访问控制规则 184
9.3.11 认证规则 185
9.4 Compatible Systems公司——访问服务器 186
9.4.1 VPN访问服务器的内部端口系列 187
9.4.2 学习例子——Adobe Systems有限公司 188
9.4.3 学习例子——New Hope通信公司 190
9.5 Nortel网络公司——Extranet Switch 4000 191
9.5.1 配置该交换机 192
9.5.2 快速启动 192
9.5.3 向导配置 193
9.5.4 管理外部网交换机 194
9.6 Radguard公司——cIPro系统 195
9.6.1 cIPro系统安全解决方案 196
9.6.2 cIPro系统的构成 196
9.6.3 监控该系统 199
9.7 RedCreek公司——Ravlin 200
9.7.1 Ravlin的体系结构 201
9.8 TimeStep有限公司——PERMIT Enterprise 204
9.8.1 PERMIT Enterprise产品解决方案 204
9.8.2 PERMIT/Gate系列 205
9.8.3 PERMIT/Gate的主要好处 206
9.8.4 PERMIT/Client 206
9.8.5 PERMIT/Client的主要好处 206
9.8.6 PERMIT/Director 207
9.8.7 PERMIT/Director的主要好处 207
9.8.8 安装 207
9.9 VPNet公司——VPLink体系结构* 208
9.9.1 VPNware产品 209
9.9.2 VPNet公司不使用防火墙的配置 211
9.9.3 VPNet公司使用防火墙的配置 211
9.9.4 嵌入式VPN配置 212
9.10 小结 213
第十章 VPN疑难解答 215
10.1 VPN疑难解答概述 216
10.2 远程拨号用户 218
10.2.1 疑难解答 219
10.3 LAN-to-LAN的VPN 224
10.4 使用PPTP协议的VPN 226
10.4.1 被动模式 226
10.4.2 主动模式 226
10.4.3 PPP数据通信 227
10.4.4 PPTP对连接的控制 227
10.4.5 PPTP数据隧道 228
10.5 使用L2TP的VPN 230
10.6 IPSec VPN 232
10.7 多端防火墙/VPN 235
10.8 小结 239
第十一章 虚拟专用网的维护 241
11.1 简介 242
11.2 冗余链路 243
11.3 机构的不断膨胀 244
11.4 软件升级 245
11.4.1 VPN操作系统 245
11.4.2 黑匣VPN 246
11.5 现场技术支持 247
11.6 电话支持 247
11.7 远程用户的帮助台支持 248
11.8 自己建立VPN还是购买产品 248
11.9 兼容性问题 249
11.10 监测 249
11.11 报警 250
11.12 日志记录 250
11.13 事件相关性 251
11.14 加密和封装 252
11.15 密钥管理 253
11.16 随机数产生器 254
11.17 证书授权 254
11.18 安全性升级 255
11.19 主要升级的支持 255
11.20 隧道协议 256
11.21 管理设备 257
11.22 性能 258
11.23 服务质量 258
11.24 认证 258
11.25 熟练工人 259
11.26 小结 259
第三部分 虚拟专用网的安全基础
第十二章 密码学 263
12.1 何谓密码 264
12.2 私钥和公钥密码体制 265
12.3 分组密码 266
12.3.1 数据加密标准(DES) 266
12.3.2 DES的弱点 267
12.3.3 弱密钥 268
12.3.4 三重DES算法 268
12.3.5 Blowfish算法 268
12.3.6 国际数据加密算法(IDEA) 269
12.3.7 RC2 269
12.3.8 RC5分组密码 270
12.3.9 Skipjack 270
12.3.10 其他的分组密码 270
12.4 流密码 270
12.4.1 RC4 271
12.4.2 线性反馈移位寄存器(LFSR) 271
12.4.3 混合同余伪随机数生成器 271
12.4.4 级联移位寄存器 271
12.4.5 Vernam 密码 272
12.5 杂凑函数 272
12.5.1 信息摘要算法2. 4. 5(MD2. MD4. MD5) 272
12.5.2 安全杂凑算法(SHA和SHA-1) 273
12.6 消息认证码(MAC) 273
12.7 数字时戳 273
12.8 证书管理机构和数字签名 274
12.8.1 证书的作用 274
12.9 密码杂凑函数的强度 275
12.10 随机数生成器 275
12.11 Clipper 芯片 276
12.12 选择合适的密码系统 277
12.13 密码学发展史 277
12.14 小结 284
第十三章 加密 287
13.1 私钥加密 288
13.2 公钥加密 290
13.3 共享秘密密钥 291
13.4 数字签名 292
13.5 证书管理机构(CA) 293
13.6 Diffie-Hellman公钥算法 294
13.7 RSA公钥算法 295
13.8 PGP软件系统 296
13.9 Internet安全协议(IPSec) 297
13.9.1 认证首部(AH)RFC-2402 298
13.10 封装的安全有效负载RFC-2402 299
13.10.1 IPSec中存在的问题 300
13.10.2 Internet密钥交换(IKE) 301
13.10.3 ISAKMP 301
13.10.4 Oakley协议 302
13.11 公钥基础设施(PKI) 302
13.12 第2层转发协议(L2F) 303
13.13 点到点隧道协议(PPTP) 304
13.14 第2层隧道协议(L2TP) 306
13.15 简单密钥Internet协议(SKIP) 307
13.16 安全广域网(S/WAN) 307
13.17 小结 308
第十四章 安全通信和认证 309
14.1 认证协议 310
14.2 操作系统口令 311
14.3 S/KEY算法 312
14.4 远程认证拨号业务(RADIUS) 314
14.5 终端访问控制器访问控制系统(TACACS/XTACACS) 316
14.6 终端访问控制器访问控制系统增强版(TACACS+) 317
14.7 Kerberos认证协议 318
14.8 证书 320
14.8.1 证书标准 320
14.8.2 获取证书 321
14.9 智能卡 323
14.10 硬件令牌/PKCS #1 324
14.11 轻量级目录检索协议(LDAP) 325
14.12 ACE/具有安全ID的服务器(Server with SecurID) 326
14.13 生物测定 327
14.14 安全调制解调器 328
14.15 小结 329
第十五章 VPN操作系统的弱点 331
15.1 VPN操作系统的弱点 332
15.2 UNIX指南 333
15.3 UNIX系统中共同的配置问题 333
15.4 UNIX操作系统的弱点 335
15.4.1 专用系统的弱点 336
15.5 Windows 95指南 340
15.6 Windows 95的弱点 341
15.7 Windows NT指南 342
15.8 Windows NT安全对象 344
15.9 Windows NT的弱点 345
15.10 Novell指南 345
15.11 小结 346
第十六章 VPN安全性攻击 349
16.1 VPN攻击简介 350
16.2 密码算法攻击 350
16.2.1 攻击协议 351
16.2.2 攻击算法 351
16.2.3 攻击实现方式 351
16.2.4 常见的密码算法攻击 351
16.3 对随机数发生器(RNG)的攻击 354
16.4 通过恢复密钥的政府攻击 355
16.5 Internet安全(IPSec)攻击 356
16.5.1 实现方式攻击 357
16.5.2 密钥管理攻击 357
16.5.3 密钥恢复/出口法律攻击 357
16.5.4 管理员和通配符攻击 358
16.5.5 IPSec的弱点 358
16.5.6 客户机认证 358
16.5.7 证书管理机构 359
16.5.8 网络地址翻译 359
16.5.9 必要的特征 359
16.6 点到点隧道协议(PPTP)攻击 360
16.6.1 攻击GRE 360
16.6.2 攻击口令 361
16.7 SKIP攻击 362
16.8 证书管理机构攻击 363
16.8.1 密码分析攻击 363
16.8.2 时戳攻击 363
16.8.3 硬件攻击 364
16.8.4 弱攻击 364
16.8.5 RADIUS攻击 365
16.9 Kerberos攻击 365
16.10 PGP(Pretty Good Privacy)攻击 366
16.10.1 IDEA 367
16.10.2 RSA 367
16.10.3 MD5 367
16.10.4 PRNG 367
16.11 业务否认(DoS)攻击 368
16.11.1 TCP SYN攻击 368
16.11.2 smurf攻击 369
16.11.3 UDP诊断攻击 370
16.11.4 ICMP重定向攻击 370
16.11.5 Teardrop. ping死锁. boink和Land攻击 370
16.11.6 欺骗攻击 371
16.12 其他攻击方式 371
16.12.1 特洛伊木马(Trojan) 371
16.12.2 远程攻击 372
16.12.3 基于telnet的攻击 372
16.12.4 生日攻击 372
16.13 小结 373
第十七章 安全工具集 375
17.1 什么是安全工具集 376
17.1.1 培训 376
17.1.2 管理培训 377
17.1.3 安全咨询 377
17.1.4 新闻组/邮寄名单 377
17.1.5 电话支持 378
17.1.6 厂商安全主页/邮寄名单 378
17.1.7 政府部门 378
17.1.8 扩大过程 379
17.2 安全工具集的需求 379
17.2.1 安装不合适的补丁程序 379
17.2.2 存在弱点的缺省安全配置 380
17.2.3 缺乏足够的安全资源 380
17.2.4 非强制的动态策略和标准 380
17.2.5 用过多的秘密代替安全 381
17.3 RFC 2196站点安全手册 381
17.3.1 基本方法 381
17.3.2 声明 382
17.3.3 安全目标 382
17.3.4 多方参与 383
17.3.5 灵活的安全策略 383
17.4 扩大安全过程 384
17.4.1 FBI外地办事处 384
17.5 构建安全站点 385
17.6 安全工具 387
17.6.1 邮件中继 390
17.7 事故响应中心 391
17.8 邮寄名单/新闻组 393
17.8.1 邮寄名单 393
17.8.2 新闻组 394
17.9 Web安全 394
17.9.1 Web服务器 395
17.9.2 Web服务器的弱点 395
17.9.3 ActiveX/Java 397
17.9.4 ActiveX 397
17.9.5 Java 397
17.9.6 攻击性代码 398
17.10 小结 398
第十八章 入侵检测和安全扫描 401
18.1 入侵检测简介 402
18.1.1 入侵检测系统的需求 404
18.2 入侵检测系统的分类 404
18.2.1 误用(模式)引擎(Misuse. Pattern Engines) 405
18.2.2 异常引擎(Anomaly Engines) 405
18.2.3 网络入侵检测系统 406
18.2.4 系统入侵检测系统 406
18.2.5 日志入侵检测系统 406
18.2.6 伪入侵检测系统 406
18.3 优秀的入侵检测系统 406
18.4 入侵检测/踪迹 407
18.5 攻击识别 409
18.5.1 入侵踪迹 410
18.6 欺骗入侵检测系统 411
18.6.1 入侵检测系统的局限性 412
18.7 入侵检测工具 413
18.8 防止入侵 417
18.9 扫描器 419
18.9.1 本地扫描器 419
18.9.2 远程扫描器 420
18.9.3 专用扫描器 420
18.10 小结 421
第十九章 展望VPN新技术 423
19.1 新技术简介 424
19.2 新的计算技术 425
19.2.1 量子计算 425
19.2.2 光子计算 426
19.3 对密码系统的影响 427
19.4 椭圆曲线密码 430
19.5 专用门铃 431
19.6 隐写术 432
19.6.1 隐写术工具 433
19.7 新的威胁 434
19.8 政府管制 435
19.8.1 Wassenaar协议 436
19.8.2 世界知识产权局条约 437
19.9 无线虚拟专用网 438
19.10 小结 438
附录 链接和参考 441
缩略语 443