構建虛擬專用網

本書為用戶提供了切實可行的虛擬專用解決方案。全書共分三部分，包括：VPN 實現和VPN 基礎，VPN 實現和VPN 安全問題。本書將幫助讀者逐步地理解、構建、集成和管理VPN 中的諸多成分。

第一部分 VPN基礎

第一章 VPN技術介紹31．1 什麼是VPN41．1．1 VPN套用的四個領域71．2 VPN的組成部分111．3 誰支持VPN151．4 VPN的增長151．5 確定對VPN的需求161．6 商務需要VPN171．7 如何選擇VPN設備181．7．1 法律對VPN的影響191．8 小結20

第二章 VPN的網路安全232．1 什麼是網路安全242．2 如何防範威脅262．2．1 你的對手是誰262．2．2 薄弱環節272．2．3 用戶訪問控制282．2．4 不要輕信於人282．2．5 該怎么辦292．2．6 變幻無常的安全性302．2．7 員工的破壞312．2．8 密鑰恢復312．2．9 後台檢查322．2．10 安全性方面的隱藏的開銷322．3 如何識別攻擊332．3．1 審計追蹤和日誌332．3．2 監控332．3．3 硬碟加密342．4 VPN有哪些安全需求342．4．1 加密352．4．2 VPN設備352．4．3 鑑定352．4．4 不可否認362．4．5 點到點加密362．4．6 集中式安全管理362．4．7 備份或恢復的程式372．5 實現VPN時安全問題的重要性372．6 實現一個不錯的安全策略382．7 公司防守嚴密嗎402．7．1 風險分析402．7．2 信息風險管理412．7．3 安全的適應性412．8 攻擊有哪些類型412．9 小結42

第三章 VPN技術的優缺點433．1 VPN的優點443．2 VPN帶來的成本節約453．3 網路設計463．4 終端用戶使用VPN帶來的好處483．4．1 合理利用資金483．4．2 數據訪問493．4．3 通信量的優先權493．5 全球訪問的好處493．5．1 遠程電信會議503．5．2 IP電話503．6 給ISP帶來的好處503．6．1 新業務503．6．2 受控服務513．7 VPN的競爭優勢513．8 VPN技術的開銷513．8．1 ISP的網路基礎結構523．8．2 VPN設備543．8．3 維護開銷553．8．4 使用許可553．8．5 2000年問題的解決553．8．6 加密的開銷563．8．7 管理583．8．8 安全維護人員583．8．9 幫助台593．9 額外的通信開銷593．9．1 長途603．9．2 800號603．10 服務質量保證613．11 服務級別協定623．11．1 網路正常運行時間623．11．2 頻寬633．11．3 等待時間633．12 小結64

第四章 VPN的體系結構674．1 體系結構介紹684．2 哪種VPN適合你？694．2．1 我了解什麼是VPN嗎？694．2．2 我覺得建立一個VPN合適嗎？694．2．3 節約資金是唯一的目的嗎？704．2．4 要使用VPN進行全球的商務活動嗎？704．2．5 你將建立一個企業外部網嗎？714．2．6 公司有足夠的技術實力來建立並維護VPN嗎？714．2．7 你想使用幀中繼或ATM的VPN嗎？714．2．8 採用何種安全技術？724．2．9 公司打算支持哪種類型的硬體結構？724．2．10 估計這個VPN的用戶將有多少？724．2．11 你還可以向自己或公司提出更多別的問題734．3 網路服務供應商提供的VPN734．3．1 安全性754．3．2 更改控制754．3．3 故障排除754．3．4 功能764．3．5 授權764．3．6 網路利用率764．3．7 設備的利用764．3．8 客戶套用774．3．9 密鑰管理774．4 基於防火牆的VPN774．5 基於黑匣的VPN794．6 基於路由器的VPN804．7 基於遠程訪問的VPN814．8 對應用程式敏感的/代理工具包VPN824．9 VPN的多服務應用程式834．10 基於軟體的VPN844．11 VPN的隧道交換854．12 性能統計/比較854．13 認證/一致性884．14 小結88

第五章 VPN的拓撲結構915．1 VPN拓撲結構介紹925．2 防火牆/VPN到客戶機的拓撲結構935．3 VPN/LAN-to-LAN拓撲結構955．4 VPN/防火牆到企業內部網/企業外部網拓撲結構975．5 VPN/幀或ATM拓撲結構1005．6 硬體（黑匣）VPN拓撲結構1015．7VPN/NAT拓撲結構1035．8 VPN交換拓撲結構1055．9 VPN嵌套隧道1055．10 負載平衡和同步1075．10．1 負載平衡1075．10．2 同步1095．11 小結110

第六章 聯邦政府對VPN技術的管制1116．1 加密政策簡介1126．2 政府在VPN技術中扮演的角色1136．2．1 安全產品中的密鑰恢復1156．3 政府政策對VPN安全的影響1156．4 獲得使用強安全的許可權1166．5 政府入侵的經濟成本1176．6 合法加密狀態1196．7 國際對美國政府加密政策的影響1196．8 目前的狀況1206．9 小結123

第二部分 虛擬專用網的實現

第七章 網路基礎1277．1 確定策略1287．2 VPN體系結構的布局1307．3 路由選擇問題1317．3．1 流出VPN的通信量1327．3．2 流入VPN的通信量1337．3．3 重要的

第三步1347．4 拓撲結構布局1367．5IP/NAT地址分配問題1387．5．1 為什麼以及什麼時候使用靜態NAT1417．5．2 防火牆/VPN地址分配1447．6 遠程訪問問題1457．7DNS/SMTP問題1477．8 小結148

第八章 構建VPN（第一部分）1498．1 基於防火牆的VPN安裝入門1508．1．1 VPN的結構1518．1．2 要求1518．2 基於防火牆的VPN模型1538．3 獲得並分配IP位址空間1568．3．1 將230網路劃分子網的目的1588．3．2 外部鏈路1588．3．3 DMZ1區的鏈路1588．3．4 DMZ2或者說是電子商務鏈路1598．3．5 內部接口1598．4 實現良好的安全措施1638．5 管理通信量1658．6 SMTP和DNS的實現問題1668．7 實現認證1678．7．1 內部用戶的通信量1688．7．2 對內部用戶進行認證的通信量1698．8"丟棄所有"規則1708．9 實現VPN的有關規則1708．10 分支機構的VPN1718．11 遠程用戶的VPN1738．12 小結175

第九章 構建VPN（第二部分）1779．1 服務供應商型VPN的服務1789．2 獨立型VPN服務1799．3 Aventail外部網中心1799．3．1 Aventail外部網伺服器1799．3．2 Aventail策略控制台1809．3．3 Aventail管理伺服器1809．3．4 Aventail管理伺服器配置工具1809．3．5 Aventail連線1809．3．6 Aventail公司產品介紹1819．3．7 在WindowsNT上安裝Aventail伺服器組件1819．3．8 在UNIX上安裝Aventail伺服器組件1829．3．9 在Windows9x和Windows NT上安裝Aventail客戶機組件1839．3．10 訪問控制規則1849．3．11 認證規則1859．4 Compatible Systems公司-訪問伺服器1869．4．1 VPN訪問伺服器的內部連線埠系列1879．4．2 學習例子-AdobeSystems有限公司1889．4．3 學習例子-NewHope通信公司1909．5 Nortel網路公司-Extranet Switch 40001919．5．1 配置該交換機1929．5．2 快速啟動1929．5．3 嚮導配置1939．5．4 管理外部網交換機1949．6Radguard公司-cIPro系統1959．6．1 cIPro系統安全解決方案1969．6．2 cIPro系統的構成1969．6．3 監控該系統1999．7 RedCreek公司-Ravlin2009．7．1 Ravlin的體系結構2019．8TimeStep有限公司-PERMITEnterprise2049．8．1 PERMIT Enterprise產品解決方案2049．8．2 PERMIT/Gate系列2059．8．3 PERMIT/Gate的主要好處2069．8．4 PERMIT/Client2069．8．5 PERMIT/Client的主要好處2069．8．6 PERMIT/Director2079．8．7 PERMIT/Director的主要好處2079．8．8 安裝2079．9VPNet公司-VPLink體系結構*2089．9．1 VPNware產品2099．9．2 VPNet公司不使用防火牆的配置2119．9．3 VPNet公司使用防火牆的配置2119．9．4 嵌入式VPN配置2129．10 小結213

第十章 VPN疑難解答21510．1 VPN疑難解答概述21610．2 遠程撥號用戶21810．2．1 疑難解答21910．3 LAN-to-LAN的VPN22410．4 使用PPTP協定的VPN22610．4．1 被動模式22610．4．2 主動模式22610．4．3 PPP數據通信22710．4．4 PPTP對連線的控制22710．4．5 PPTP數據隧道22810．5 使用L2TP的VPN23010．6 IPSec VPN23210．7 多端防火牆/VPN23510．8 小結239

第十一章 虛擬專用網的維護24111．1 簡介24211．2 冗餘鏈路24311．3 機構的不斷膨脹24411．4 軟體升級24511．4．1 VPN作業系統24511．4．2 黑匣VPN24611．5 現場技術支持24711．6 電話支持24711．7 遠程用戶的幫助台支持24811．8 自己建立VPN還是購買產品24811．9 兼容性問題24911．10 監測24911．11 報警25011．12 日誌記錄25011．13 事件相關性25111．14 加密和封裝25211．15 密鑰管理25311．16 隨機數產生器25411．17 證書授權25411．18 安全性升級25511．19 主要升級的支持25511．20 隧道協定25611．21 管理設備25711．22 性能25811．23 服務質量25811．24 認證25811．25 熟練工人25911．26 小結259

第三部分 虛擬專用網的安全基礎

第十二章 密碼學26312．1 何謂密碼26412．2 私鑰和公鑰密碼體制26512．3 分組密碼26612．3．1 數據加密標準（DES）26612．3．2 DES的弱點26712．3．3 弱密鑰26812．3．4 三重DES算法26812．3．5 Blowfish算法26812．3．6 國際數據加密算法（IDEA）26912．3．7 RC226912．3．8 RC5分組密碼27012．3．9 Skipjack27012．3．10 其他的分組密碼27012．4 流密碼27012．4．1RC427112．4．2 線性反饋移位暫存器（LFSR）27112．4．3 混契約余偽隨機數生成器27112．4．4 級聯移位暫存器27112．4．5 Vernam 密碼27212．5 雜湊函式27212．5．1 信息摘要算法2、4、5（MD2、MD4、MD5）27212．5．2 安全雜湊算法（SHA和SHA-1）27312．6 訊息認證碼（MAC）27312．7 數字時戳27312．8 證書管理機構和數字簽名27412．8．1 證書的作用27412．9 密碼雜湊函式的強度27512．10 隨機數生成器27512．11 Clipper 晶片27612．12 選擇合適的密碼系統27712．13 密碼學發展史27712．14 小結284

第十三章 加密28713．1 私鑰加密28813．2 公鑰加密29013．3 共享秘密密鑰29113．4 數字簽名29213．5 證書管理機構（CA）29313．6 Diffie-Hellman公鑰算法29413．7 RSA公鑰算法29513．8 PGP軟體系統29613．9 Internet安全協定（IPSec）29713．9．1 認證首部（AH）RFC-240229813．10 封裝的安全有效負載RFC-240229913．10．1IPSec中存在的問題30013．10．2 Internet密鑰交換（IKE）30113．10．3 ISAKMP30113．10．4Oakley協定30213．11 公鑰基礎設施（PKI）30213．12

第2層轉發協定（L2F）30313．13 點到點隧道協定（PPTP）30413．14

第2層隧道協定（L2TP）30613．15 簡單密鑰Internet協定（SKIP）30713．16 安全廣域網（S/WAN）30713．17 小結308

第十四章 安全通信和認證30914．1 認證協定31014．2 作業系統口令31114．3 S/KEY算法31214．4 遠程認證撥號業務（RADIUS）31414．5 終端訪問控制器訪問控制系統（TACACS/XTACACS）31614．6 終端訪問控制器訪問控制系統增強版（TACACS+）31714．7 Kerberos認證協定31814．8 證書32014．8．1 證書標準32014．8．2 獲取證書32114．9 智慧卡32314．10 硬體令牌/PKCS#132414．11 輕量級目錄檢索協定（LDAP）32514．12 ACE/具有安全ID的伺服器（Server with SecurID）32614．13 生物測定32714．14 安全數據機32814．15 小結329

第十五章 VPN作業系統的弱點33115．1 VPN作業系統的弱點33215．2 UNIX指南33315．3 UNIX系統中共同的配置問題33315．4 UNIX作業系統的弱點33515．4．1 專用系統的弱點33615．5 Windows 95指南34015．6 Windows 95的弱點34115．7 Windows NT指南34215．8 Windows NT安全對象34415．9 Windows NT的弱點34515．10 Novell指南34515．11 小結346

第十六章 VPN安全性攻擊34916．1 VPN攻擊簡介35016．2 密碼算法攻擊35016．2．1 攻擊協定35116．2．2 攻擊算法35116．2．3 攻擊實現方式35116．2．4 常見的密碼算法攻擊35116．3 對隨機數發生器（RNG）的攻擊35416．4 通過恢復密鑰的政府攻擊35516．5 Internet安全（IPSec）攻擊35616．5．1 實現方式攻擊35716．5．2 密鑰管理攻擊35716．5．3 密鑰恢復/出口法律攻擊35716．5．4 管理員和通配符攻擊35816．5．5IPSec的弱點35816．5．6 客戶機認證35816．5．7 證書管理機構35916．5．8 網路地址翻譯35916．5．9 必要的特徵35916．6 點到點隧道協定（PPTP）攻擊36016．6．1 攻擊GRE36016．6．2 攻擊口令36116．7 SKIP攻擊36216．8 證書管理機構攻擊36316．8．1 密碼分析攻擊36316．8．2 時戳攻擊36316．8．3 硬體攻擊36416．8．4 弱攻擊36416．8．5 RADIUS攻擊36516．9 Kerberos攻擊36516．10 PGP（Pretty Good Privacy）攻擊36616．10．1 IDEA36716．10．2RSA36716．10．3 MD536716．10．4 PRNG36716．11 業務否認（DoS）攻擊36816．11．1 TCP SYN攻擊36816．11．2smurf攻擊36916．11．3 UDP診斷攻擊37016．11．4 ICMP重定向攻擊37016．11．5 Teardrop、ping死鎖、boink和Land攻擊37016．11．6 欺騙攻擊37116．12 其他攻擊方式37116．12．1 特洛伊木馬（Trojan）37116．12．2 遠程攻擊37216．12．3 基於telnet的攻擊37216．12．4 生日攻擊37216．13 小結373

第十七章 安全工具集37517．1 什麼是安全工具集37617．1．1 培訓37617．1．2 管理培訓37717．1．3 安全諮詢37717．1．4 新聞組/郵寄名單37717．1．5 電話支持37817．1．6 廠商安全主頁/郵寄名單37817．1．7 政府部門37817．1．8 擴大過程37917．2 安全工具集的需求37917．2．1 安裝不合適的補丁程式37917．2．2 存在弱點的預設安全配置38017．2．3 缺乏足夠的安全資源38017．2．4 非強制的動態策略和標準38017．2．5 用過多的秘密代替安全38117．3 RFC 2196站點安全手冊38117．3．1 基本方法38117．3．2 聲明38217．3．3 安全目標38217．3．4 多方參與38317．3．5 靈活的安全策略38317．4 擴大安全過程38417．4．1 FBI外地辦事處38417．5 構建安全站點38517．6 安全工具38717．6．1 郵件中繼39017．7 事故回響中心39117．8 郵寄名單/新聞組39317．8．1 郵寄名單39317．8．2 新聞組39417．9 Web安全39417．9．1 Web伺服器39517．9．2 Web伺服器的弱點39517．9．3 ActiveX/Java39717．9．4 ActiveX39717．9．5Java39717．9．6 攻擊性代碼39817．10 小結398

第十八章 入侵檢測和安全掃描40118．1 入侵檢測簡介40218．1．1 入侵檢測系統的需求40418．2 入侵檢測系統的分類40418．2．1 誤用（模式）引擎（Misuse、Pattern Engines）40518．2．2 異常引擎（AnomalyEngines）40518．2．3 網路入侵檢測系統40618．2．4 系統入侵檢測系統40618．2．5 日誌入侵檢測系統40618．2．6 偽入侵檢測系統40618．3 優秀的入侵檢測系統40618．4 入侵檢測/蹤跡40718．5 攻擊識別40918．5．1 入侵蹤跡41018．6 欺騙入侵檢測系統41118．6．1 入侵檢測系統的局限性41218．7 入侵檢測工具41318．8 防止入侵41718．9 掃描器41918．9．1 本地掃描器41918．9．2 遠程掃描器42018．9．3 專用掃描器42018．10 小結421

第十九章 展望VPN新技術42319．1 新技術簡介42419．2 新的計算技術42519．2．1 量子計算42519．2．2 光子計算42619．3 對密碼系統的影響42719．4 橢圓曲線密碼43019．5 專用門鈴43119．6 隱寫術43219．6．1 隱寫術工具43319．7 新的威脅43419．8 政府管制43519．8．1 Wassenaar協定43619．8．2 世界知識產權局條約43719．9 無線虛擬專用網43819．10 小結438附錄 連結和參考441縮略語 443