防火墙策略与VPN配置

防火墙和VPN是当今应用最为广泛的网络安全产品和技术，但是目前市场上的防火墙和VPN产品众多，最新一代防火墙的功能更可以说是令人眼花缭乱，而各类企业和组织的情况千差万别，如何才能在市场上众多品牌和型号的产品中选择最适合自身需求的产品，并且在实施过程中还能够充分发挥所选择产品的效用呢？其关键在于选择合适的产品和技术，并且编写精炼准确的安全策略，以便在安全和可用性之间寻求一个最佳平衡点。

本书从基本概念出发，结合典型案例，深入浅出地介绍了如何根据不同组织的需求来设计和实施防火墙和VPN。本书还对当前业界领先的各类防火墙产品进行了较为全面的分析比较，采用简单明了的文字介绍了这些产品的特性、弱点和复杂性，同时还对VPN策略进行了深入阐述。此外，本书还针对不同章节的主题提供了丰富的、极富价值的参考链接。

全书分为四部分：第一部分介绍网络安全策略的基本概念，本着编写与厂商无关策略的出发点，该部分介绍了如何定义通用的安全策略以及根据所编制的安全策略建立防火墙和VPN配置的基本原则。第二部分介绍防火墙，在介绍应用程序代理和网关等不同类型防火墙及其特点的基础上，重点分析比较了市场上常见的几种软硬件防火墙产品的特性，并由此阐述如何选择合适的防火墙解决方案。第三部分介绍VPN，在介绍什么是VPN并对业界流行的IPSec、SSL、SSH Tunnel和L2TP等VPN技术的特性和优缺点进行分析比较的基础上，本部分深入介绍了软、硬件VPN设备的特性，并对业界流行的各类产品进行了较为全面的比较分析，以便于读者进行选择。第四部分在介绍企业安全技术之根本的IT基础架构安全计划及其实施原则的基础上，通过两个典型规模的企业实例，介绍了如何结合各自的实际需求与情况，设计并采用不同的防火墙和VPN实施方案以保证企业安全。

本书由谢琳、赵俐、黄铝文翻译，在翻译过程中，得到了易磊、张猛、张波、欧阳宇、盛海燕、安晓梅、徐红霞的帮助，其中易磊审校了全文，在此一并致谢。由于时间仓促，加之译者水平有限，译文中错漏之处难免，敬请读者指正。

译者

2007年6月

译者序
关于作者
第一部分 安全策略
第1章 网络安全策略 2
1.1 引言 2
1.2 定义组织 4
1.2.1 信息危险程度 5
1.2.2 影响分析 6
1.2.3 系统定义 6
1.2.4 信息流 7
1.2.5 范围 7
1.2.6 人和过程 7
1.2.7 策略和过程 8
1.2.8 组织需要 8
1.2.9 规章/遵从 9
1.2.10 建立基线 10
1.3 处理公司网络风险 10
1.4 起草网络安全策略 11
1.4.1 简介 12
1.4.2 指南 12
1.4.3 标准 12
1.4.4 过程 13
1.4.5 部署 14
1.4.6 执行 14
1.4.7 修改或例外 14
1.5 不同组织的不同访问 14
1.5.1 可信网络 15
1.5.2 定义不同类型的网络访问 16
1.6 不可信网络 17
1.6.1 识别潜在威胁 19
1.6.2 在当今企业中使用VPN 19
1.6.3 安全企业的战争 20
1.6.4 DMZ概念 21
1.6.5 通信流量的概念 25
1.6.6 有DMZ和无DMZ的网络 27
1.6.7 DMZ设计基础 29
1.6.8 为网络中主机间数据传输设计端到端安全 30
1.6.9 通信流量和协议基础 31
1.6.10 让安全来临 31
1.7 小结 31
1.8 解决方案速查 32
1.9 FAQ 33
第2章 使用策略创建防火墙和VPN配置 35
2.1 引言 35
2.2 什么是逻辑安全配置 36
2.3 计划逻辑安全配置 37
2.3.1 识别网络资产 38
2.3.2 绘制网络资产剖面图 39
2.3.3 用户和用户组 44
2.4 编写逻辑安全配置 45
2.4.1 逻辑安全配置：防火墙 45
2.4.2 逻辑安全配置：VPN 47
2.5 小结 49
2.6 解决方案速查 50
2.7 FAQ 51
第二部分 防火墙概述
第3章 定义防火墙 54
3.1 引言 54
3.2 为什么有不同类型的防火墙 54
3.3 基础知识：传输控制协议/网际协议 62
3.3.1 TCP/IP首部 63
3.3.2 TCP/UDP端口 67
3.3.3 数据型数据包 70
3.4 防火墙类型 73
3.5 应用程序代理 73
3.5.1 优点 75
3.5.2 缺点 75
3.6 网关 78
3.6.1 包过滤器 78
3.6.2 状态检测 81
3.7 小结 86
3.8 解决方案速查 86
3.9 FAQ 87
第4章 选择防火墙 93
4.1 引言 93
4.2 设备/硬件解决方案 93
4.2.1 基本描述 93
4.2.2 Nokia加固设备 128
4.3 软件解决方案 133
4.3.1 基本描述 133
4.3.2 例子 136
4.4 小结 153
4.5 解决方案速查 156
4.6 FAQ 158
第三部分 VPN概述
第5章 定义VPN 162
5.1 引言 162
5.2 什么是VPN 163
5.2.1 VPN部署模型 164
5.2.2 拓扑模型 166
5.2.3 VPN的优点 170
5.2.4 VPN的缺点 170
5.3 公共密钥加密 170
5.3.1 PKI 171
5.3.2 证书 171
5.3.3 CRL 172
5.4 IPSec 172
5.4.1 IPSec的优点 181
5.4.2 IPSec的缺点 181
5.5 SSL VPN 182
5.5.1 技术描述 183
5.5.2 Linux中的SSL隧道 185
5.5.3 优点 187
5.5.4 缺点 188
5.6 二层解决方案 189
5.6.1 PPTP与L2TP 190
5.6.2 MPLS的技术描述 191
5.6.3 优点 192
5.6.4 缺点 193
5.7 SSH隧道 194
5.7.1 技术描述 194
5.7.2 优点 199
5.7.3 缺点 200
5.8 其他 200
5.8.1 技术描述 202
5.8.2 优点 203
5.8.3 缺点 204
5.9 小结 204
5.10 解决方案速查 204
5.11 FAQ 205
第6章 选择VPN 207
6.1 引言 207
6.2 设备/硬件解决方案 210
6.2.1 基本描述 210
6.2.2 专有硬件 210
6.2.3 专用操作系统 211
6.2.4 硬件设备解决方案的例子 211
6.3 软件解决方案 223
6.3.1 基本描述 224
6.3.2 例子 228
6.4 小结 231
6.5 解决方案速查 232
6.6 FAQ 233
第四部分 实现防火墙和VPN（案例分析）
第7章 IT基础架构安全规划 236
7.1 引言 236
7.2 基础架构安全性评估 236
7.2.1 内部环境 238
7.2.2 人员和流程 240
7.2.3 技术 242
7.2.4 建立基线 242
7.2.5 处理公司网络风险 243
7.2.6 外部环境 245
7.2.7 威胁 245
7.2.8 网络安全检查列表 251
7.3 项目参数 273
7.3.1 需求 274
7.3.2 范围 276
7.3.3 进度 276
7.3.4 预算 277
7.3.5 质量 277
7.3.6 所需的关键技能 278
7.3.7 所需的关键人员 279
7.3.8 项目流程和规程 279
7.4 项目团队 280
7.5 项目组织 280
7.6 项目工作分解结构 281
7.7 项目风险和缓解策略 285
7.8 项目约束和假定 286
7.9 项目进度安排和预算 287
7.10 IT基础架构安全项目概述 288
7.11 小结 289
7.12 解决方案速查 290
第8章 案例研究：SOHO环境 （5台计算机、打印机、服务器等） 294
8.1 引言 294
8.1.1 用netstat判断系统的开放端口 294
8.1.2 用lsof确定更多信息 299
8.1.3 在Windows XP上使用netstat 300
8.2 在SOHO环境中使用防火墙 302
8.3 SOHO防火墙案例研究介绍 303
8.3.1 评估客户需求 303
8.3.2 定义案例研究的范围 304
8.4 定义SOHO防火墙 304
8.4.1 确定功能需求 305
8.4.2 创建家庭站点调查 306
8.4.3 识别当前的技术选项和约束 306
8.4.4 实现SOHO防火墙 307
8.5 小结 311
8.6 解决方案速查 312
8.7 FAQ 313
第9章 中等规模企业（少于2000人）的解决方案 315
9.1 引言 315
9.2 规划系统 316
9.2.1 向别人求教 316
9.2.2 电缆图 320
9.2.3 IP寻址和VLAN 321
9.2.4 软件工具 321
9.2.5 规划的结果 332
9.3 通过身份管理改善责任机制 332
9.4 VPN连通性 354
9.5 小结 357
9.6 解决方案速查 357
9.7 FAQ 358本书是一本介绍防火墙和VPN概念和实施的实战指南。全书从概念出发，在对当前市场上领先的各类防火墙和VPN产品进行较为全面的比较分析的基础上，结合典型案例分析，深入阐述了如何制定适合组织需要的安全策略和设计和实施防火墙与VPN解决方案。
全书共分为四个部分：第一部分介绍网络安全策略；第二部分介绍防火墙的概念和实施；第三部分介绍VPN的概念以及如何选择VPN；最后一部分结合实例介绍不同规模的组织如何设计和实施防火墙和VPN。
本书通俗易懂，实例丰富，既可作为网络安全专业人士的实战指南，也适合各类关注网络安全的人士参考。

1. 信息技术基础（麒麟操作系统+WPS Office） [主编　芮雪　蒋莉　王亮亮]
2. Office高级应用项目式教程（第2版） [主编 李观金 张倩文 黎夏克 ]
3. 巧用翻译学英语：英汉互译500例 [王学文 著]
4. 高等教育多维评价体系构建与高质量发展研究 [张妍 著]
5. 系统规划与管理师章节习题与考点特训（第二版） [主编 薛大龙]
6. 计算机操作系统实践指导（openEuler版） [主编 秦光 曾陈萍 岳付强]
7. 信息系统管理工程师真题及模考卷精析（适用机考） [主 编 薛大龙 程 刚 上官绪]
8. 航海类院校体育教育教学研究 [张利超 李宁 著]
9. 新时代背景下我国职业教育产教融合长效机制建设研究 [王玉贤 著]
10. 电路分析 [主编 李飞 毛先柏]
11. 信息系统管理工程师（适用第2版大纲）一站通关 [指尖疯　编著]
12. 传统山水画论解读与实践 [陈钠 著]
13. 网络工程师备考一本通（适配第6版考纲） [夏杰 编著]
14. 陈孝云的职教理想与情怀 [祝吉太 江传瑞 张义廷 著]
15. 地方本科院校电子信息学科课程思政案例集 [王甫]
16. Excel数据处理与分析（第二版） [主编 张志明 邹 蕾]
17. 网络工程师5天修炼（适配第6版考纲） [主编　朱小平 施游]
18. 仓储管理实务（第二版） [周宁武 编著]
19. 基于AE与C#的地理信息系统二次开发 [李小根 贾艳昌 乔翠平 姜彤 ]
20. 2023年长沙市文化和旅游业发展报告 [主编 陈莉]
21. 舞台化妆造型设计 [主编 刘思彤 张 涛 张忆雨]
22. 产教融合视角高校体育专业实践教学体系构建研究 [杨柳青 叶华兵 著]
23. 知识图谱及应用案例 [张善文 黄文准 于长青 陈明淑]
24. Python程序设计案例教程（微课版） [主编　石利平　田辉平　余以胜]
25. 皓月繁星：青少年儿童心理成长手册 [主　编　林赞歌 副主编　杜志南]
26. 材料力学 [章宝华 赵新胜 徐斌]
27. 系统集成项目管理工程师考试32小时通关（第3版） [主编　薛大龙 副主编　上官绪阳]
28. 软考论文高分特训与范文10篇——系统分析师（第二版） [薛大龙 邹月平 施游]
29. 黄河海勃湾水利枢纽防凌安全运行 [王战领 王丛发 范瑜彬 著]
30. 大学生心理健康教育 [方雄 著]