设为首页 收藏本站

运维网

查看: 218|回复: 0

[资源发布] 华为防火墙技术漫谈

[复制链接]

累计签到:258 天
连续签到:2 天
发表于 2019-10-28 11:35:28 | 显示全部楼层 |阅读模式


华为防火墙技术漫谈 (华为ICT认证系列丛书).epub
正版电子书文字版



目录
封面
扉页
版权

前言
理论篇
第1章 基础知识
1.1 什么是防火墙
1.2 防火墙的发展历史
1.2.1 1989年至1994年
1.2.2 1995年至2004年
1.2.3 2005年至今
1.2.4 总结
1.3 华为防火墙产品一览
1.3.1 USG2110 产品介绍
1.3.2 USG6600 产品介绍
1.3.3 USG9500 产品介绍
1.4 安全区域
1.4.1 接口、网络和安全区域的关系
1.4.2 报文在安全区域之间流动的方向
1.4.3 安全区域的配置
1.5 状态检测和会话机制
1.5.1 状态检测
1.5.2 会话
1.5.3 组网验证
1.6 状态检测和会话机制补遗
1.6.1 再谈会话
1.6.2 状态检测与会话创建
1.7 配置注意事项和故障排除指导
1.7.1 安全区域
1.7.2 状态检测和会话机制
第2章 安全策略
2.1 安全策略初体验
2.1.1 基本概念
2.1.2 匹配顺序
2.1.3 缺省包过滤
2.2 安全策略发展历程
2.2.1 第一阶段:基于ACL 的包过滤
2.2.2 第二阶段:融合UTM 的安全策略
2.2.3 第三阶段:一体化安全策略
2.3 Local 区域的安全策略
2.3.1 针对OSPF 协议配置Local 区域的安全策略
2.3.2 哪些协议需要在防火墙上配置Local 区域的安全策略
2.4 ASPF
2.4.1 帮助FTP 数据报文穿越防火墙
2.4.2 帮助QQ/MSN 报文穿越防火墙
2.4.3 帮助用户自定义协议报文穿越防火墙
2.5 配置注意事项和故障排除指导
2.5.1 安全策略
2.5.2 ASPF
第3章 攻击防范
3.1 DoS 攻击简介
3.2 单包攻击及防御
3.2.1 Ping of Death 攻击及防御
3.2.2 Land 攻击及防御
3.2.3 IP 地址扫描攻击
3.2.4 防御单包攻击的配置建议
3.3 流量型攻击之SYN Flood 攻击及防御
3.3.1 攻击原理
3.3.2 防御方法之TCP 代理
3.3.3 防御方法之TCP 源探测
3.3.4 配置命令
3.3.5 阈值配置指导
3.4 流量型攻击之UDP Flood 攻击及防御
3.4.1 防御方法之限流
3.4.2 防御方法之指纹学习
3.4.3 配置命令
3.5 应用层攻击之DNS Flood 攻击及防御
3.5.1 攻击原理
3.5.2 防御方法
3.5.3 配置命令
3.6 应用层攻击之HTTP Flood 攻击及防御
3.6.1 攻击原理
3.6.2 防御方法
3.6.3 配置命令
第4章 NAT
4.1 源NAT
4.1.1 源NAT 基本原理
4.1.2 NAT No-PAT
4.1.3 NAPT
4.1.4 出接口地址方式
4.1.5 Smart NAT
4.1.6 三元组NAT
4.1.7 多出口场景下的源NAT
4.1.8 总结
4.1.9 延伸阅读
4.2 NAT Server
4.2.1 NAT Server 基本原理
4.2.2 多出口场景下的NAT Server
4.3 双向NAT
4.3.1 NAT Inbound+NAT Server
4.3.2 域内NAT+NAT Server
4.4 NAT ALG
4.4.1 FTP 协议穿越NAT 设备
4.4.2 QQ/MSN/User-defined 协议穿越NAT 设备
4.4.3 一条命令同时控制两种功能
4.4.4 User-defined 类型的ASPF 和三元组NAT 辨义
4.5 NAT 场景下黑洞路由的作用
4.5.1 源NAT 场景下的黑洞路由
4.5.2 NAT Server 场景下的黑洞路由
4.5.3 总结
4.6 NAT 地址复用专利技术
第5章 GRE&L2TP VPN
5.1 VPN 技术简介
5.1.1 VPN 分类
5.1.2 VPN 的关键技术
5.1.3 总结
5.2 GRE
5.2.1 GRE 的封装/解封装
5.2.2 配置GRE 基本参数
5.2.3 配置GRE 安全机制
5.2.4 安全策略配置思路
5.3 L2TP VPN 的诞生及演进
5.4 L2TP Client-Initiated VPN
5.4.1 阶段1 建立L2TP 隧道:3 条消息协商进入虫洞时机
5.4.2 阶段2 建立L2TP 会话:3 条消息唤醒虫洞门神
5.4.3 阶段3 创建PPP 连接:身份认证,发放特别通行证
5.4.4 阶段4 数据封装传输:穿越虫洞,访问地球
5.4.5 安全策略配置思路
5.5 L2TP NAS-Initiated VPN
5.5.1 阶段1 建立PPPoE 连接:拨号口呼唤VT 口
5.5.2 阶段2 建立L2TP 隧道:3 条消息协商进入虫洞时机
5.5.3 阶段3 建立L2TP 会话:3 条消息唤醒虫洞门神
5.5.4 阶段4~5 LNS 认证,分配IP 地址:LNS 冷静接受LAC
5.5.5 阶段6 数据封装传输:一路畅通
5.5.6 安全策略配置思路
5.6 L2TP LAC-Auto-Initiated VPN
5.6.1 LAC-Auto-Initiated VPN 原理及配置
5.6.2 安全策略配置思路
5.7 总结
第6章 IPSec VPN
6.1 IPSec 简介
6.1.1 加密和验证
6.1.2 安全封装
6.1.3 安全联盟
6.2 手工方式IPSec VPN
6.3 IKE 和ISAKMP
6.4 IKEv1
6.4.1 配置IKE/IPSec VPN
6.4.2 建立IKE SA(主模式)
6.4.3 建立IPSec SA
6.4.4 建立IKE SA(野蛮模式)
6.5 IKEv2
6.5.1 IKEv2 简介
6.5.2 IKEv2 协商过程
6.6 IKE/IPSec 对比
6.6.1 IKEV1 PK IKEv2
6.6.2 IPSec 协议框架
6.7 IPSec 模板方式
6.7.1 在点到多点组网中的应用
6.7.2 个性化的预共享密钥
6.7.3 巧用指定对端域名
6.7.4 总结
6.8 NAT 穿越
6.8.1 NAT 穿越场景简介
6.8.2 IKEv1 的NAT 穿越协商
6.8.3 IKEv2 的NAT 穿越协商
6.8.4 IPSec 与NAT 并存于一个防火墙
6.9 数字证书认证
6.9.1 公钥密码学和PKI 框架
6.9.2 证书申请
6.9.3 数字证书方式的身份认证
6.10 GRE/L2TP over IPSec
6.10.1 分舵通过GRE over IPSec 接入总舵
6.10.2 分舵通过L2TP over IPSec 接入总舵
6.10.3 移动用户使用L2TP over IPSec 远程接入总舵
6.11 对等体检测
6.11.1 Keepalive 机制
6.11.2 DPD 机制
6.12 IPSec 双链路备份
6.12.1 IPSec 主备链路备份
6.12.2 IPSec 隧道化链路备份
6.13 安全策略配置思路
6.13.1 IKE/IPSec VPN 场景
6.13.2 IKE/IPSec VPN+NAT 穿越场景
6.14 IPSec 故障排除
6.14.1 没有数据流触发IKE 协商故障分析
6.14.2 IKE 协商不成功故障分析
6.14.3 IPSec VPN 业务不通故障分析
6.14.4 IPSec VPN 业务质量差故障分析
第7章 DSVPN
7.1 DSVPN 简介
7.2 Normal 方式的DSVPN
7.2.1 配置Normal 方式DSVPN
7.2.2 Normal 方式的DSVPN 原理
7.3 Shortcut 方式的DSVPN
7.3.1 配置Shortcut 方式的DSVPN
7.3.2 Shortcut 方式的DSVPN 原理
7.4 Normal 方式和Shortcut 方式对比
7.5 私网采用静态路由时DSVPN 的配置
7.6 DSVPN 的安全性
7.6.1 身份认证
7.6.2 加密保护
7.7 安全策略配置思路
第8章 SSL VPN
8.1 SSL VPN 原理
8.1.1 SSL VPN 的优势
8.1.2 SSL VPN 的应用场景
8.1.3 SSL 协议的运行机制
8.1.4 用户身份认证
8.2 文件共享
8.2.1 文件共享应用场景
8.2.2 配置文件共享
8.2.3 远程用户与防火墙之间的交互
8.2.4 防火墙与文件服务器的交互
8.3 Web 代理
8.3.1 配置Web 代理资源
8.3.2 对URL 地址的改写
8.3.3 对URL 中资源路径的改写
8.3.4 对URL 包含的文件改写
8.4 端口转发
8.4.1 配置端口转发
8.4.2 准备阶段
8.4.3 Telnet 连接建立阶段
8.4.4 数据通信阶段
8.5 网络扩展
8.5.1 网络扩展应用场景
8.5.2 网络扩展处理流程
8.5.3 可靠传输模式和快速传输模式
8.5.4 配置网络扩展
8.5.5 登录过程
8.6 配置角色授权
8.7 配置安全策略
8.7.1 Web 代理/文件共享/端口转发场景下配置安全策略
8.7.2 网络扩展场景下配置安全策略
8.8 SSL VPN 四大功能综合应用
第9章 双机热备
9.1 双机热备概述
9.1.1 双机部署提升网络可靠性
9.1.2 路由器的双机部署只需考虑路由备份
9.1.3 防火墙的双机部署还需考虑会话备份
9.1.4 双机热备解决防火墙会话备份问题
9.1.5 总结
9.2 VRRP 与VGMP 的故事
9.2.1 VRRP 概述
9.2.2 VRRP 工作原理
9.2.3 多个VRRP 状态相互独立产生问题
9.2.4 VGMP 的产生解决了VRRP 的问题
9.2.5 VGMP 报文结构
9.2.6 防火墙VGMP 组的缺省状态
9.2.7 主备备份双机热备状态形成过程
9.2.8 主用设备接口故障后的状态切换过程
9.2.9 主用设备整机故障后的状态切换过程
9.2.10 原主用设备故障恢复后的状态切换过程(抢占)
9.2.11 负载分担双机热备状态形成过程
9.2.12 负载分担双机热备状态切换过程
9.2.13 总结
9.2.14 VGMP 状态机
9.3 VGMP 招式详解
9.3.1 防火墙连接路由器时的VGMP 招式
9.3.2 防火墙透明接入,连接交换机时的VGMP 招式
9.3.3 防火墙透明接入,连接路由器时的VGMP 招式
9.3.4 VGMP 组监控远端接口的招式
9.3.5 总结
9.4 HRP 协议详解
9.4.1 HRP 概述
9.4.2 HRP 报文结构和实现原理
9.4.3 HRP 的备份方式
9.4.4 HRP 能够备份的配置与状态信息
9.4.5 心跳口与心跳链路探测报文
9.4.6 HRP 一致性检查报文的作用与原理
9.5 双机热备配置指导
9.5.1 配置流程
9.5.2 配置检查和结果验证
9.6 双机热备旁挂组网分析
9.6.1 通过VRRP 与静态路由的方式实现双机热备旁挂
9.6.2 通过OSPF 与策略路由的方式实现双机热备旁挂
9.7 双机热备与其他特性结合使用
9.7.1 双机热备与NAT Server 结合使用
9.7.2 双机热备与源NAT 特性结合使用
9.7.3 主备备份方式双机热备与IPSec 结合使用
9.7.4 负载分担方式双机热备与IPSec 结合使用
9.8 第三代双机热备登上历史舞台
9.8.1 第三代VGMP 概述
9.8.2 第三代VGMP 缺省状态及配置
9.8.3 第三代双机热备状态形成及切换过程
9.8.4 第三代VGMP 报文结构
9.8.5 第三代VGMP 状态机
9.8.6 总结
第10章 出口选路
10.1 出口选路总述
10.1.1 就近选路
10.1.2 策略路由选路
10.1.3 智能选路
10.1.4 透明DNS 选路
10.1.5 旁挂出口选路
10.2 就近选路
10.2.1 缺省路由VS 明细路由
10.2.2 ISP 路由
10.3 策略路由选路
10.3.1 策略路由的概念
10.3.2 基于目的IP 地址的策略路由
10.3.3 基于源IP 地址的策略路由
10.3.4 基于应用的策略路由
10.3.5 旁路组网下的策略路由选路
10.4 智能选路
10.4.1 链路带宽模式
10.4.2 路由权重模式
10.4.3 链路质量探测模式
10.5 透明DNS 选路
10.5.1 基本原理
10.5.2 简单轮询算法
10.5.3 加权轮询算法
实战篇
第11章 防火墙在校园网中的应用
11.1 组网需求
11.2 强叔规划
11.2.1 多出口选路规划
11.2.2 安全规划
11.2.3 NAT 规划
11.2.4 带宽管理规划
11.2.5 网络管理规划
11.3 配置步骤
11.4 拍案惊奇
第12章 防火墙在广电网络中的应用
12.1 组网需求
12.2 强叔规划
12.2.1 双机热备规划
12.2.2 多出口选路规划
12.2.3 带宽管理规划
12.2.4 安全规划
12.2.5 NAT 规划
12.2.6 内网服务器规划
12.2.7 应对审查的规划
12.3 配置步骤
12.4 拍案惊奇
第13章 防火墙在体育场馆网络中的应用
13.1 组网需求
13.2 强叔规划——出口防火墙
13.2.1 BGP 规划
13.2.2 OSPF 规划
13.2.3 双机热备规划
13.2.4 安全功能规划
13.2.5 NAT 规划
13.2.6 来回路径不一致规划
13.3 强叔规划——数据中心防火墙
13.3.1 双机热备规划
13.3.2 安全功能规划
13.4 配置步骤——出口防火墙
13.5 配置步骤——数据中心防火墙
13.6 拍案惊奇
第14章 防火墙在企业分支与总部VPN互通中的应用
14.1 组网需求
14.2 强叔规划
14.2.1 接口规划
14.2.2 安全策略规划
14.2.3 IPSec 规划
14.2.4 NAT 规划
14.2.5 路由规划
14.3 配置步骤
14.4 拍案惊奇
附录
A 报文处理流程
A.1 华为大同:全系列状态检测防火墙报文处理流程
A.1.1 查询会话前的处理过程:基础处理
A.1.2 查询会话中的处理过程:转发处理,关键是会话建立
A.1.3 查询会话后的处理过程:安全业务处理及报文发送
A.2 求同存异:集中式与分布式防火墙差异对报文处理流程的影响
A.2.1 当安全策略遇上NAT Server
A.2.2 当源NAT 遇上NAT Server
B 证书浅析
B.1 公钥密码学
B.1.1 基本概念
B.1.2 数据加解密
B.1.3 真实性验证
B.1.4 完整性验证
B.2 证书
B.2.1 证书属性
B.2.2 证书颁发
B.2.3 证书验证
B.3 应用
B.3.1 证书在IPSec 中的应用
B.3.2 证书在SSL VPN 中的应用
C 强叔提问及答案
C.1 第1章
C.2 第2章
C.3 第3章
C.4 第4章
C.5 第5章
C.6 第6章
C.7 第7章
C.8 第8章
C.9 第9章
C.10 第10章
C.11 附录A
C.12 附录B
>华为ICT认证系列丛书
强叔侃墙
华为防火墙技术漫谈
徐慧洋 白杰 卢宏旺 编著
人民邮电出版社
北京
图书在版编目(CIP)数据
华为防火墙技术漫谈/徐慧洋,白杰,卢宏旺编著.--北京:人民邮电出版社,2015.5
(华为ICT认证系列丛书)
ISBN 978-7-115-39076-9
Ⅰ.①华… Ⅱ.①徐…②白…③卢… Ⅲ.①计算机网络—安全技术 Ⅳ.①TP393.08
中国版本图书馆CIP数据核字(2015)第090956号
内容提要
防火墙技术复杂,懂的人少,学的人有畏难心理。更令人困扰的是,目前市场上还没有
一本系统介绍此类的书。
为此,华为策划了本书。本书深入介绍了华为防火墙的核心技术原理、应用场景及配置
方法,并给出常见的实战案例,可以解决如下几个困扰大家已久的问题。
1.本书以防火墙核心技术为线索,内容覆盖了高端和中低端防火墙,以主流版本为例介
绍配置。对于读者容易产生疑问的知识点,本书都有一一解答。所以本书可以帮助读者掌握
华为防火墙产品的核心技术,而不是仅掌握某个型号或版本。
2.本书内容深度高于防火墙高级培训教材,原理讲解深入,有实验演示,有抓包分析,
并能结合现网场景进行点评,可以解决当前高级培训教材内容不够深入的问题。
本书的原型是系列技术贴,部分内容在华为公司企业论坛“强叔侃墙”上发布过,大家可
以先去了解一下,再决定是否购买。相关内容在论坛连载不足一年,累计点击量25万+,好评
1500+。我们在完善细节、扩展内容的基础上出版此书。可以说,“强叔”已然倾囊相授,希望
本书能够不辱防火墙产品的重托,能够答谢广大“强粉”的厚爱。
◆编著 徐慧洋 白杰 卢宏旺
责任编辑 李静
责任印制 彭志环
◆人民邮电出版社出版发行  北京市丰台区成寿寺路11号
邮编 100164  电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
北京昌平百善印刷厂印刷
◆开本:787×1092 1/16
印张:35.5  2015年5月第1版
字数:825千字  2015年5月北京第1次印刷
定价:98.00元
读者服务热线:(010)81055488 印装质量热线:(010)81055316
反盗版热线:(010)81055315

你了解网络安全吗?
你了解防火墙吗?
你了解防火墙的核心功能和技术要点吗?
很多小伙伴都反映安全产品很难学。为什么呢?概其原因就是交换路由理念早已深入人
心,而防火墙设计思想大家接触很少;社会上的安全认证不够普及,厂商提供的产品培训材
料数量不多、内容枯燥、晦涩难懂,难以吸引更多的数据通信工程师主动学习安全产品。在
网络安全形势日益严峻的今天,安全已经是任何一个网络工程师都必须考虑的关键点。网络
工程师急需既通俗又深入的学习教材,帮助自己恶补安全知识,本书的推出恰好抓住了这一
点。华为防火墙产品领域的资深技术专家以“强叔”的名义,在华为企业技术论坛发表了系列
技术贴“强叔侃墙”,以幽默、轻松的笔法系统地介绍了防火墙的相关知识和技术特点,好评
如潮、粉丝云集。正如总编辑徐慧洋所写:“强叔侃墙”系列“恰如王阳明讲学,传递内功心
法;又如诸葛武侯亲临,指点排兵布阵。文字诙谐风趣绝不照本宣科,核心技术深入挖掘绝
不蜻蜓点水,现网场景演绎逻辑严密绝不简单堆砌”。
本人曾很幸运地每期拜读“强叔侃墙”连载贴,它让工作繁忙的我用较少的时间就能系统
地学习安全领域的相关知识,使我有机会快速澄清和深入理解很多安全领域的概念和知识。
在客户、经销商处也能经常听到大家聊“强叔侃墙”,大家都说“强叔侃墙”比手册讲得深入,
却一点不枯燥。强叔以讲故事的方式让大家在不知不觉中就跟随故事情节深入到每个特性专
题的细节,从字里行间就能够感受到强叔的丰富经验和良苦用心。
原以为技术贴演进到《强叔侃墙》电子专刊,强叔们的任务就光荣完成了。但是,2014
年底徐慧洋找到我,让我给准备正式出版的《华为防火墙技术漫淡(即原来的〈强叔侃
墙〉)》写一篇序。这事给了我两个惊喜:一喜是本书为华为防火墙用户、工程师、学员送
了一份新年大礼,弥补了防火墙产品多年的遗憾;二喜是本书的内容比原来的技术帖又丰富
很多,不仅把强粉们提出来的问题和答案融合进去了,还补充了 DSVPN、多出口NAT、各种
特性的安全策略配置思路、防火墙旁路场景下的双机热备,以及第三代双机热备等许多内
容,更加系统完整。
本书是一部传递防火墙技术精髓的武功秘籍,是学习华为防火墙首选的技术书籍。
学好技术需要坚持不懈、持之以恒,本书将会帮大家在技术专家的路上跑得更快、更
远。支持华为防火墙的朋友们,支持强叔吧。强叔不仅是防火墙的技术专家,还是大家的知
心朋友!
最后,再次向本书的创作编著集体予以致敬,是你们的努力,让广大读者看到了这么好
的技术专刊书籍。我衷心祝愿华为安全论坛英杰辈出,华为安全产品名满天下。
华为安全领域总经理
2015年2月
前言
读者对象
本书的目标读者为有数据通信基础,但需要系统学习安全技术的工程师,包括以下几类
读者。
■ 华为防火墙的用户
本书可作为自学用书,帮助华为防火墙用户能够更快地熟悉防火墙,了解防火墙的关键
技术原理,掌握防火墙部署技巧,找到解决防火墙问题的思路。
■ ICT 从业人员
本书可作为自学用书,帮助ICT从业人员能够更快地熟悉防火墙,了解防火墙的关键技术
原理,掌握防火墙部署技巧,找到解决防火墙问题的思路。
本书可作为HCIE安全培训认证参考书,有助于ICT从业人员尽快通过华为认证,提升个
人价值。
■ 高校学生
本书可作为计算机通信等相关专业学生的自学参考书。配合 eNSP 软件,可以帮助学生
快速地熟悉防火墙的操作,使学生能更快地积累企业网络实践经验,在今后的职业生涯中有
一个更好的起步。
■ 对信息和网络技术感兴趣的爱好者
本书可作为学习信息和网络技术的参考书籍,使爱好者了解华为的产品和技术特点,掌
握华为产品和技术的应用,为其进一步的技术研究提供工具和指导。
主要内容
全书共分为两大部分,包括理论篇和实战篇。理论篇共包含10章,介绍了传统防火墙核
心功能的原理、应用场景及配置方法;实战篇共包含4 个实际案例,采用了先给出场景,再给
配置,一边介绍配置一边点评的写作方式,帮助读者充分理解理论应用于实践时的技巧。
理论篇
第1章 基础知识
本章介绍了防火墙的定义、发展史和华为防火墙的系列产品,另外还介绍了安全区域的
概念、原理、配置方法。安全区域是防火墙产品设计理念的代表,是大家必须先掌握的入门
级概念。
第2章 安全策略
本章介绍安全策略相关的概念、安全策略发展历史、安全策略配置方法,另外还对ASPF
的原理(包括Server-map表)及配置进行了详细的分析。掌握这一章是学习后面所有特性的基
础。
第3章 攻击防范
本章介绍了单包攻击、流量型攻击的概念,重点介绍了 SYN Flood、UDP Flood、DNS
Flood、HTTP Flood 攻击、防御原理以及常用的防御方法。
第4章 NAT
本章内容分为三个层次。首先介绍了源NAT(包括NAT、NAPT、Easy-IP、Smart NAT、
三元组NAT)、NAT Server、NATALG 等NAT 基本技术的原理、应用场景及配置方法;然后
介绍了多出口场景下的源NAT、NAT Server,以及双向NAT 的应用场景及配置技巧;最后详
细分析了NAT场景下黑洞路由的作用,并为感兴趣的读者爆料了NAT地址复用技术的内幕。
第5章 GRE&L2TP VPN
基于Internet的VPN技术五花八门、名目繁多,本书只介绍企业用户使用较多的几种技
术。作为专门介绍VPN技术的这一章,先介绍VPN技术的分类、各自的特点以及几种技术的
对比,然后再重点介绍GRE 和L2TP VPN 两种技术的原理、应用场景、配置方法。由于VPN
场景下防火墙安全策略配置有些难度,所以在介绍完VPN技术之后再详细讲解一下安全策略
的配置思路。
第6章 IPSec VPN
IPSec 是融合了加密、验证以及密钥管理算法的隧道技术,非常复杂。本章从最简单的手
工方式IPSec VPN开始介绍,把IPSec 涉及的各种概念、技术原理,应用场景及配置技巧,由
浅入深地推送到读者面前。考虑到配置IPSec容易出现错误,为此本章最后的故障处理一节用
于帮助用户调试IPSec VPN。
第7章 DSVPN
DSVPN是采用GRE协议实现的动态VPN技术,本章重点介绍了DSVPN中静态隧道和动态
隧道的建立过程,让读者充分感受到DSVPN的优越之处和巧妙之处。
第8章 SSL VPN
SSL VPN 是基于HTTPS 的VPN,能为用户提供4 大功能,包括文件共享、Web 代理、端
口转发、网络扩展。本章依次介绍SSL握手以及4种功能的基本原理,最后讲解SSL VPN 的用
户管理(角色授权)方法和4 种功能混用时的设计技巧。
第9章 双机热备
防火墙双机热备功能是由VRRP、VGMP、HRP三个协议共同实现的,这三个协议是如何
配合实现防火墙双机热备功能的呢?为了让广大读者充分领悟其中的奥妙,本章从路由器双
机原理开始介绍,说明防火墙的双机热备的高深之处,并且对每个协议的价值及原理按需展
开,徐徐渐进,保证大家丝毫没有被填鸭之感。为了让大家能够自如应对复杂的现网场景,
本章还特别描述了防火墙旁路场景下的双机热备,NAT和IPSec场景下的双机热备流量分析及
配置技巧。最后,本章概要介绍了第三代双机热备的改进点,文字不多但句句切中要害。
第10章 出口选路
出口网关是防火墙最常用的场景,此场景要求防火墙必须提供多出口选路的能力。本章
介绍了就近选路、策略路由选路、智能选路、DNS选路4种选路方式的配置技巧。有路由知识
基础的读者,掌握本章非常容易;缺少路由知识基础的读者也不用担心,防火墙用到的路由
知识都比较简单,按本章给出的思路学习是最短路径。
实战篇
第11章 防火墙在校园网中的应用
本章介绍了防火墙作为网关部署在校园网出口的方法,为校内用户提供宽带服务,为校
外用户提供内网服务器访问。
第12章 防火墙在广电网络中的应用
本章介绍了防火墙作为网关双机部署在广电网络的 Internet 出口的方法,为广电用户提供
宽带服务,为内外网用户提供服务器托管业务。
第13章 防火墙在体育场馆网络中的应用
本章介绍了防火墙作为网关双机部署在体育场馆网络出口的方法,为内网用户提供上网
服务;还介绍了防火墙双机透明部署在内部数据中心网络出口的方法,保护数据中心服务器
安全。
第14章 防火墙在企业分支与总部VPN 互通中的应用
本章介绍了防火墙作为网关部署在企业分支和总部网络出口的方法,为分支和总部之间
建立IPSec VPN,保证分支访问总部的数据在Internet 上安全传输。
附录
A 报文处理流程
在理论篇中,强叔深入地介绍了安全策略、攻击防范、NAT、VPN、路由等功能的实现
原理。读者学习之后会有豁然开朗的感觉,但开朗之后会有一个新的问题提出来——这些功
能在防火墙内部的处理顺序是什么?处理顺序是否影响这些功能的配置?回答是肯定的。在
多功能综合应用场景下,不了解防火墙报文处理流程的人非常容易遇到一个问题——面对长
长的配置脚本找不出问题所在。所以,本章虽然是附录,但是它可以帮助你把前面的内容融
会贯通,理清思路,在迷茫时刻能够发现蛛丝马迹、找到处理问题的方向。建议大家务必阅
读!
B 证书浅析
IPSec VPN 和SSL VPN 中都用到了数字证书,强叔在这两章中介绍的生成密钥和证书的
方法完全不一样。大家不要太奇怪,看完本章就能找到答案。
C 强叔提问及答案
给出每章的强叔提问的答案。
鸣谢
本书由华为技术有限公司“交换机与企业通信产品线资料开发部防火墙与应用网关资料
组”(俗称强叔团队)编写,由人民邮电出版社出版上市。在此期间,培训认证部的领导、资
料部领导、防火墙与应用网关产品领导给予了很多的指导、支持和鼓励,人民邮电出版社的
编辑给予了严格、细致的审核。在此,诚挚感谢相关领导的扶持,感谢人民邮电出版社各位
编辑,以及各位编委的辛勤工作!
以下是本书主创人员的介绍。
徐慧洋,具有十多年数通产品经验,六年防火墙产品经验。曾创作了《USG防火墙IPSec
专题》、《华为防火墙双机热备 HCIE 培训胶片》、《轻松玩转 BGP》等广受欢迎的作品,
《强叔侃墙》总编。
白杰,具有八年防火墙产品经验,堪称最熟悉华为防火墙的资料开发专家。参与创作
《华为网络技术学习指南》,《强叔侃墙》技术贴的主编。
卢宏旺,具有七年华为防火墙产品经验,曾写作《华为防火墙双机热备HCIE实验手
册》,《强叔拍案》主编,《小强和小艾台历》主创。
以下是参与本书编写和技术审校人员名单。
主编:徐慧洋、白杰、卢宏旺
编委人员:徐慧洋、白杰、卢宏旺、王蕾、刘水、韩姣、闫广辉、金德胜、惠博、余
杨、李苗苗、赵欢
技术审校:徐慧洋、白杰
参与本书编写和审稿的老师虽然有多年ICT从业经验,但因时间仓促,错漏之处在所难
免,望读者不吝赐教,在此表示衷心的感谢。读者对于本书有任何意见和建议可以发送邮件
xuhuiyang.xu@huawei.com,或直接登录华为企业论坛“强叔侃墙”汇总贴反馈。


华为防火墙技术漫谈

华为防火墙技术漫谈

华为防火墙技术漫谈下载链接.txt

89 Bytes, 下载次数: 8, 下载积分: 金币 -1

售价: 50 金币  [记录]  [购买]

正版电子书文字版


运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.iyunv.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.iyunv.com/thread-982120-1-1.html 上篇帖子: H3CTE V3.0培训视频 & 北京CJ-Club版H3CTE V2.2培训视频 下篇帖子: 300多套华为网络工程师教程和学习资料
点击关注更多内容
您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则  允许回帖邮件提醒楼主

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:kefu@iyunv.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

京ICP备14039699号-1 Copyright © 2012-2020

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

Good good study day day up


客服E-mail:kefu@iyunv.com 在线客服QQ:点击这里给我发消息


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud bjyun

快速回复 返回顶部 返回列表