防火牆和VPN技術與實踐

本書以HCIP-Security和HCIE-Security認證考試大綱為依託，介紹了防火牆和VPN的關鍵技術，包括安全策略、NAT、雙機熱備、虛擬系統、鏈路負載均衡、伺服器負載均衡、L2TP VPN、IPSec VPN和SSL VPN。本書詳細介紹了每一種技術的產生背景、技術實現原理、配置方法，旨在幫助讀者掌握組建安全通信基礎設施的技術和能力，順利通過認證考試。

本書是學習和了解網路安全技術的實用指南，內容全面，通俗易懂，實用性強，適合網路規劃工程師、網路技術支持工程師、網路管理員以及想了解網路安全技術的讀者閱讀。

第 1 章　安全策略001

1.1　安全策略基礎知識 002

1.1.1　安全策略的組成 002

1.1.2　安全策略的配置方式 005

1.1.3　狀態檢測與會話機制 006

1.1.4　匹配規則與默認策略 009

1.1.5　本地安全策略和接口訪問控制 012

1.1.6　安全策略的配置原則 013

1.2　配置安全策略 015

1.2.1　為管理協定開放安全策略015

1.2.2　為路由協定開放安全策略021

1.2.3　為DHCP開放安全策略 023

1.3　在安全策略中套用對象027

1.3.1　地址對象和地址組 027

1.3.2　地區和地區組030

1.3.3　域名組 032

1.3.4　用戶和用戶組036

1.3.5　服務和服務組038

1.3.6　套用和套用組040

1.3.7 URL分類 045

1.4　安全策略的實踐 047

1.4.1　建立完善的安全策略管理流程 047

1.4.2　使用安全區域劃分網路 048

1.4.3　遵循小授權原則 050

1.4.4　注意安全策略的順序 051

1.4.5　識別和控制出入方向的流量 053

1.4.6　記錄日誌 054

1.4.7　謹慎選擇變更時機 055

1.4.8　定期審計和最佳化安全策略056

1.5　安全策略的常用維護手段 057

1.6　習題 060

第 2 章　NAT 061

2.1　NAT基本原理 062

2.2　源NAT 064

2.2.1　源NAT簡介 064

2.2.2 NAT No-PAT065

2.2.3 NAPT 069

2.2.4　出接口地址方式（Easy-IP） 070

2.2.5 Smart NAT 072

2.2.6　三元組NAT 074

2.2.7　源NAT場景下的黑洞路由078

2.3　目的NAT081

2.3.1　目的NAT簡介081

2.3.2　基於策略的目的NAT 082

2.3.3 NAT Server 085

2.3.4 NAT Server場景下的黑洞路由 087

2.4　雙向NAT089

2.5　多出口場景下的NAT094

2.5.1　多出口場景下的源NAT 094

2.5.2　多出口場景下的NAT Server 098

2.6　習題 104

第 3 章　雙機熱備105

3.1　雙機熱備概述 106

3.1.1　路由器的雙機部署 107

3.1.2　防火牆的雙機部署 110

3.2　VRRP與VGMP 113

3.2.1 VRRP概述 114

3.2.2 VRRP的工作原理 117

3.2.3 VGMP的產生122

3.2.4 VGMP控制VRRP狀態 125

3.3　VGMP協定詳解 136

3.3.1 VGMP的工作原理 137

3.3.2 VGMP組監控接口的招式141

3.3.3 VGMP組監控鏈路的招式157

3.3.4 VGMP的報文結構 162

3.3.5 VGMP的狀態機 164

3.4　HRP協定詳解 166

3.4.1 HRP概述 167

3.4.2 HRP備份的原理 170

3.4.3　心跳線 170

3.4.4　配置備份 174

3.4.5　狀態信息備份178

3.4.6　配置一致性檢查 182

3.5　雙機熱備配置指導 184

3.5.1　配置流程 185

3.5.2　配置檢查和結果驗證 190

3.6　雙機熱備旁掛組網分析192

3.6.1　通過VRRP與靜態路由的方式實現雙機熱備旁掛192

3.6.2　通過OSPF與策略路由的方式實現雙機熱備旁掛196

3.7　雙機熱備與其他特性結合使用 199

3.7.1　雙機熱備與NAT Server結合使用 199

3.7.2　雙機熱備與源NAT結合使用 204

3.7.3　雙機熱備與IPsec結合使用 208

3.7.4　雙機熱備與虛擬系統結合使用 214

3.7.5　雙機熱備與IPv6結合使用215

3.7.6　雙機熱備組網下輸出日誌216

3.8　雙機熱備故障排除 218

3.8.1　雙機熱備工作與雙主異常狀態 219

3.8.2　雙機熱備主備切換 222

3.8.3　雙機切換後業務異常 224

3.8.4　雙機配置不一致 226

3.8.5　雙機配置不同步 227

3.8.6　雙機會話表項不一致 228

3.9　習題 230

第 4 章　虛擬系統231

4.1　虛擬系統概述 232

4.2　虛擬系統的實現原理 234

4.2.1　虛擬系統分類及其管理員235

4.2.2　虛擬系統的部署與分流 237

4.2.3　虛擬系統的資源分配 240

4.2.4　虛擬系統與VPN實例 246

4.3　虛擬系統的關鍵配置 249

4.4　虛擬系統互訪 250

4.4.1　基本概念 251

4.4.2　虛擬系統通過路由表與根系統互訪 255

4.4.3　虛擬系統通過引流表與根系統互訪 259

4.4.4　兩個虛擬系統直接互訪 261

4.4.5　兩個虛擬系統跨根系統互訪 263

4.4.6　兩個虛擬系統跨虛擬系統互訪 266

4.5　NAT模式的虛擬系統267

4.6　虛擬系統故障排除 268

4.7　習題 271

第 5 章　鏈路負載均衡 273

5.1　ISP選路 274

5.1.1　默認路由與鏈路備份 274

5.1.2　等價路由與鏈路負載分擔275

5.1.3　明細路由與就近選路 277

5.1.4 ISP路由與ISP選路 279

5.1.5　健康檢查 283

5.2　全局選路策略 287

5.2.1　全局選路策略的概念 287

5.2.2　根據鏈路頻寬選路 289

5.2.3　根據鏈路權重選路 292

5.2.4　根據鏈路優先權選路 294

5.2.5　根據鏈路質量選路 298

5.2.6　會話保持 302

5.2.7　全局選路策略小結 304

5.3　DNS透明代理 306

5.3.1 DNS透明代理的概念 306

5.3.2　配置DNS透明代理 308

5.4　策略路由 311

5.4.1　策略路由的概念 311

5.4.2　策略路由的配置 315

5.4.3　策略路由智慧型選路 317

5.5　智慧型DNS320

5.5.1　智慧型DNS的概念 320

5.5.2　單伺服器智慧型DNS 321

5.5.3　多伺服器智慧型DNS 323

5.6　習題 324

第 6 章 伺服器負載均衡 325

6.1　初識伺服器負載均衡 326

6.1.1　基本概念 326

6.1.2　基本工作流程328

6.2　伺服器負載均衡的核心功能 329

6.2.1　負載均衡算法330

6.2.2　服務健康檢查334

6.2.3　會話保持 336

6.2.4　配置伺服器負載均衡 344

6.3　七層負載均衡 351

6.3.1　七層負載均衡的背景 351

6.3.2　七層負載均衡的典型場景354

6.3.3 HTTP調度策略 357

6.4　SSL卸載 360

6.4.1 SSL卸載的背景 360

6.4.2　配置SSL卸載362

6.5　過載控制 364

6.6　習題 366

第 7 章 L2TP VPN 367

7.1　L2TP概述368

7.1.1 L2TP VPN的誕生及演進368

7.1.2 L2TP VPN組網場景 370

7.1.3　基本概念 372

7.2　NAS-Initiated L2TP VPN 374

7.2.1 NAS-Initiated L2TP VPN基本原理 374

7.2.2　階段1：建立PPPoE連線375

7.2.3　階段2：建立L2TP隧道 378

7.2.4　階段3：建立L2TP會話 380

7.2.5　階段4：建立PPP連線 381

7.2.6　階段5：數據封裝傳輸 384

7.2.7　安全策略配置思路 386

7.2.8　配置舉例 389

7.3　Client-Initiated L2TP VPN 392

7.3.1 Client-Initiated L2TP VPN基本原理392

7.3.2　階段1：建立L2TP隧道 393

7.3.3　階段2：建立L2TP會話 394

7.3.4　階段3：建立PPP連線 395

7.3.5　階段4：數據封裝傳輸 398

7.3.6　安全策略配置思路 401

7.3.7　配置舉例 403

7.4　LAC-Auto-Initiated L2TP VPN405

7.4.1 LAC-Auto-Initiated L2TP VPN基本原理 405

7.4.2　安全策略配置思路 410

7.4.3　配置舉例 413

7.5　3種組網方式對比 415

7.6　L2TP VPN多實例 416

7.7　L2TP VPN常見問題 420

7.8　習題 424

第 8 章 IPsec VPN 425

8.1　IPsec的協定框架 426

8.1.1　安全協定 426

8.1.2　封裝模式 427

8.1.3　加密和驗證算法 429

8.1.4　密鑰交換 431

8.1.5　小結 433

8.2　安全聯盟 434

8.2.1　什麼是安全聯盟 434

8.2.2 IKEv1協商安全聯盟 435

8.2.3 IKEv2協商安全聯盟 439

8.2.4　小結 441

8.3　手工方式建立IPsec VPN 442

8.4　IKE自動協商方式建立IPsec VPN445

8.4.1 ISAKMP方式的IPsec策略446

8.4.2　模板方式的IPsec策略 449

8.5　IPsec NAT穿越 452

8.5.1 NAT穿越場景452

8.5.2 IKEv1的NAT穿越協商（主模式） 458

8.5.3 IKEv2的NAT穿越協商 460

8.5.4　防火牆同時作為IPsec網關和NAT網關461

8.6　GRE/L2TP over IPsec 462

8.6.1　分支通過GRE over IPsec接入總部 463

8.6.2　分支通過L2TP over IPsec接入總部 466

8.6.3　移動辦公用戶通過L2TP over IPsec接入總部 470

8.7　對等體檢測472

8.7.1 Heartbeat檢測機制 474

8.7.2 DPD機制 474

8.8　IPsec鏈路可靠性 475

8.8.1 IPsec智慧型選路 475

8.8.2 IPsec主備鏈路備份 481

8.8.3 IPsec隧道化鏈路備份 486 8.9　

IPsec場景下的安全策略配置思路491

8.9.1　點到點IPsec VPN 491

8.9.2　點到多點IPsec VPN 493

8.9.3 IPsec NAT穿越 494

8.10　IPsec故障排除 495

8.10.1　沒有數據流觸發IKE協商的故障分析496

8.10.2 IKE協商失敗的故障分析498

8.10.3 IPsec VPN業務不通的故障分析 502

8.10.4 IPsec VPN業務質量差的故障分析 504

8.10.5 IPsec隧道建立後頻繁中斷的故障分析 507

8.11　習題 513

第 9 章 SSL VPN515

9.1　SSL VPN簡介 516

9.1.1 SSL VPN的優勢 516

9.1.2 SSL VPN套用場景 517

9.1.3 SSL協定 519

9.1.4　配置SSL VPN521

9.2　虛擬網關 522

9.2.1　建立SSL VPN連線 522

9.2.2　配置虛擬網關525

9.3　身份認證 527

9.3.1　身份認證方式527

9.3.2　配置身份認證529

9.4　檔案共享 531

9.4.1　檔案共享套用場景 531

9.4.2　配置檔案共享532

9.4.3　遠程用戶與防火牆之間的互動 532

9.4.4　防火牆與檔案伺服器的互動 538

9.5　Web代理 539

9.5.1 Web代理套用場景 539

9.5.2　配置Web代理資源 541

9.5.3　對URL地址的改寫 542

9.5.4　對URL中資源路徑的改寫545

9.5.5　對URL包含的檔案改寫 545

9.6　連線埠轉發 546

9.6.1　連線埠轉發套用場景 546

9.6.2　配置連線埠轉發547

9.6.3　準備階段 548

9.6.4 Telnet連線建立階段 550

9.6.5　數據通信階段552

9.7　網路擴展 553

9.7.1　網路擴展套用場景 553

9.7.2　網路擴展處理流程 554

9.7.3　傳輸模式 556

9.7.4　配置網路擴展557

9.8　角色授權 560

9.9　安全策略 562

9.10　SSL VPN的綜合套用565

9.11　習題 568

縮略語表 569

華為網路安全產品與解決方案資料工程師，在網路安全領域具有10餘年的文檔編寫經驗，曾主導華為防火牆、Anti-DDoS、HiSec解決方案的信息架構設計和文檔編寫。