網路安全防禦技術與實踐

在傳統的網路安全架構中，網路邊界是網路攻防的前線。防火牆、IPS、Anti-DDoS、安全沙箱等網路安全產品在網路安全防禦活動中扮演著重要的角色。本書以 HCIP-Security和 HCIE-Security 認證考試大綱為依託，介紹常見的網路安全防禦技術，包括用戶管理、加密流量檢測、內容過濾、入侵防禦、反病毒、DDoS 攻擊防範和安全沙箱。通過介紹技術的產生背景、實現原理和配置方法，幫助讀者掌握網路安全防禦技術與實踐。

本書是學習和了解網路安全防禦技術的實用指南，內容全面、通俗易懂、實用性強，適合網路規劃工程師、網路技術支持工程師、網路管理員以及網路安全相關專業的師生閱讀。

李學昭，華為網路安全產品與解決方案資料工程師，在網路安全領域具有10餘年的文檔編寫經驗，曾主導華為防火牆、Anti-DDoS、HiSec解決方案的信息架構設計和文檔編寫。

第 1 章　用戶管理技術 001

1．1　用戶管理概貌 002

1．1．1　用戶管理基礎知識 002

1．1．2　用戶組織結構 003

1．1．3　用戶認證體系 008

1．1．4　認證策略 011

1．2　內置Portal認證 013

1．2．1　內置Portal認證基礎知識 014

1．2．2　本地認證與伺服器認證 017

1．2．3　免認證 028

1．3　單點登錄 029

1．3．1 AD單點登錄 029

1．3．2 RADIUS單點登錄 038

1．3．3　控制器單點登錄 044

1．3．4 HTTP代理用戶源IP位址解析 049

1．4　外部Portal認證 050

1．5　基於用戶的訪問控制 052

1．6　VPN接入後的訪問控制 055

1．7　用戶管理技術綜合套用 056

1．8　習題 062

第 2 章　加密流量檢測技術 063

2．1　加密技術基礎 064

2．1．1　加密技術 064

2．1．2　數字證書與PKI 071

2．1．3 SSL握手流程 077

2．2　加密流量檢測技術的原理 081

2．2．1　加密流量檢測策略 083

2．2．2　加密流量檢測配置檔案 086

2．2．3　加密流量檢測的流程 092

2．3　加密流量檢測的典型場景 094

2．3．1　出站檢測：保護客戶端 094

2．3．2　入站檢測：保護伺服器 104

2．3．3　解密報文鏡像 109

2．4　加密流量檢測的異常處理 110

2．4．1　常見問題處理思路 110

2．4．2　查看瀏覽器收到的伺服器證書 114

2．4．3　導入伺服器CA證書 115

2．4．4　禁用QUIC協定 117

2．4．5　配置域名白名單 118

2．5　ECA技術 120

2．5．1 ECA技術原理 121

2．5．2 ECA部署方法 124

2．6　習題 126

第 3 章　內容過濾技術 127

3．1　URL過濾 128

3．1．1　基於URL分類的URL過濾 128

3．1．2　基於黑白名單的URL過濾 138

3．1．3　基於URL信譽的URL過濾 142

3．1．4 HTTPS加密流量過濾 146

3．1．5　安全搜尋 153

3．1．6 URL過濾小結 155

3．2　郵件過濾 160

3．2．1　郵件協定的基礎知識 160

3．2．2 RBL技術 166

3．2．3　本地黑白名單 174

3．2．4　郵件地址檢查 177

3．2．5 MIME標題檢查 180

3．2．6　郵件附屬檔案控制 184

3．2．7　郵件過濾小結 185

3．3　套用識別與控制 186

3．3．1　套用識別技術 187

3．3．2　預定義套用與連線埠映射 191

3．3．3　自定義套用 195

3．4　檔案過濾 201

3．4．1　檔案過濾的套用場景 201

3．4．2　檔案類型的識別 202

3．4．3　檔案過濾的流程 204

3．4．4　配置檔案過濾 208

3．4．5　檔案過濾的配置建議 210

3．5　內容過濾 211

3．5．1　內容過濾的套用場景 211

3．5．2　內容過濾的原理 213

3．5．3　配置關鍵字組 216

3．5．4　配置內容過濾 219

3．6　套用行為控制 221

3．7　內容過濾技術的綜合套用 227

3．8　習題 230

第 4 章　入侵防禦技術 231

4．1　簡介 232

4．1．1　什麼是入侵 232

4．1．2 IDS與IPS 233

4．2　入侵防禦基本原理 235

4．2．1　入侵防禦處理流程 235

4．2．2　簽名 237

4．2．3　入侵防禦配置檔案 241

4．3　防火牆的入侵防禦功能 247

4．3．1　防火牆的入侵防禦功能概述 247

4．3．2　配置防火牆入侵防禦功能 248

4．4　專業IPS設備 252

4．4．1 IPS設備概述 252

4．4．2　部署模式：IPS模式 253

4．4．3　部署模式：IDS模式 257

4．5　查看威脅日誌及報表 261

4．6　高級功能 263

4．6．1　惡意域名檢查 263

4．6．2　關聯檢測 264

4．6．3　協定異常檢測 266

4．6．4　攻擊取證 267

4．7　持續監控及調整 268

4．8　習題 271

第 5 章　反病毒技術 273

5．1　計算機病毒簡介 274

5．1．1　計算機病毒的概念 274

5．1．2　計算機病毒的分類 275

5．1．3　計算機病毒的特徵 278

5．1．4　計算機病毒的傳播方式 279

5．1．5　計算機病毒的危害 280

5．2　反病毒基本原理 280

5．3　反病毒配置邏輯 283

5．4　反病毒配置實踐 287

5．4．1　阻斷FTP傳輸的病毒檔案 287

5．4．2　阻斷SMTP傳輸的病毒檔案 290

5．4．3　阻斷SMB協定傳輸的病毒檔案 293

5．5　習題 296

第 6 章　DDoS 攻擊防範技術 297

6．1　DDoS攻擊現狀與趨勢 298

6．1．1 DDoS攻擊發展歷程 298

6．1．2 DDoS攻擊全球現狀及趨勢 298

6．2　DDoS攻擊原理與防禦手段 301

6．2．1　常見DDoS攻擊類型與協定 301

6．2．2　基於HTTP的DDoS攻擊與防禦 302

6．2．3　基於DNS協定的DDoS攻擊與防禦 308

6．2．4　基於TCP的DDoS攻擊與防禦 317

6．2．5　基於UDP的DDoS攻擊與防禦 322

6．3　華為Anti-DDoS解決方案 325

6．3．1　解決方案概述 325

6．3．2　直路部署 328

6．3．3　旁路部署 329

6．4　華為Anti-DDoS解決方案典型場景 333

6．4．1　場景介紹 333

6．4．2　典型組網 334

6．4．3　數據規劃 335

6．4．4　配置過程 337

6．4．5　結果調測 354

6．5　習題 358

第 7 章　安全沙箱 359

7．1　APT簡介 360

7．1．1 APT的基本概念 360

7．1．2 APT攻擊經典案例 362

7．1．3 APT攻擊過程 364

7．2　安全沙箱簡介 366

7．2．1　安全沙箱的作用及優勢 366

7．2．2　華為安全沙箱FireHunter 367

7．2．3　利用FireHunter防禦APT攻擊 369

7．2．4 FireHunter檢測原理 370

7．3　FireHunter獨立部署場景 372

7．3．1　場景簡介 373

7．3．2　檢測流程 374

7．3．3　配置流程 374

7．3．4　配置方法 375

7．4　FireHunter與華為防火牆聯動部署場景 380

7．4．1　場景簡介 380

7．4．2　檢測流程 381

7．4．3　配置流程 383

7．4．4　配置方法 383

7．5　查看FireHunter的檢測結果 389

7．6　習題 394

縮略語表 395