防火牆技術及套用(2022年機械工業出版社出版的圖書)

“防火牆技術及套用”是網路空間安全專業的核心課程之一，全面介紹了防火牆的技術原理與部署套用。本書按照實用為主的課程設計原則，分為基礎篇、實踐篇、拓展篇三大部分，共17章，主要內容包括防火牆基本知識，防火牆透明模式、路由模式、雙機熱備模式等常用部署模式，VPN、入侵防禦、病毒防護等安全防護功能，防火牆配置方法和相關實驗，以及企業部署套用綜合案例等。書中通過典型組網圖、流程圖、示意圖等形式，由淺入深地介紹了防火牆技術原理、配置方法和企業項目案例。 本書理論與實踐相結合，實訓實操內容占 50%，適合作為高等院校計算機、通信、網路空間安全、信息安全專業的教材，也可作為安全運維工程師、網路安全服務工程師的參考書。

前言

基 礎 篇

第1章 防火牆概述2

1.1 防火牆基本概念2

1.1.1 防火牆定義2

1.1.2 防火牆的作用3

1.2 防火牆分類4

1.2.1 包過濾防火牆5

1.2.2 代理防火牆7

1.2.3 狀態檢測防火牆8

1.2.4 下一代防火牆10

本章小結11

1.3 思考與練習11

第2章 防火牆透明模式12

2.1 防火牆接口類型12

2.1.1 物理接口13

2.1.2 VLAN接口14

2.1.3 透明橋15

2.1.4 聚合接口16

2.1.5 接口聯動16

2.2 安全域17

2.3 防火牆策略18

2.3.1 策略的匹配條件18

2.3.2 策略的匹配原則19

2.3.3 策略的配置規範20

2.3.4 流與會話20

2.4 透明模式的工作原理和部署21

2.4.1 Access接口22

2.4.2 Trunk接口23

2.4.3 網路環路23

2.4.4 防火牆透明模式部署24

本章小結24

2.5 思考與練習24

第3章 防火牆路由模式26

3.1 IPv426

3.1.1 IPv4地址26

3.1.2 IP子網27

3.2 IPv629

3.2.1 IPv6簡介29

3.2.2 IPv6地址29

3.3 靜態路由和動態路由33

3.3.1 路由轉發工作原理33

3.3.2 路由和路由表35

3.3.3 靜態路由36

3.3.4 OSPF40

3.4 網路地址轉換43

3.4.1 源地址轉換43

3.4.2 目標地址轉換44

3.4.3 靜態地址轉換47

3.4.4 雙向地址轉換47

3.4.5 跨協定轉換49

3.5 策略路由50

3.5.1 策略路由原理50

3.5.2 策略路由套用51

3.6 路由模式工作原理和部署52

3.6.1 防火牆路由模式部署53

3.6.2 路由模式的優缺點55

本章小結55

3.7 思考與練習55

第4章 防火牆雙機熱備模式57

4.1 雙機熱備概述57

4.1.1 雙機熱備的背景57

4.1.2 雙機熱備的基本原理和實現

框架57

4.2 雙機熱備的工作模式59

4.2.1 主備模式60

4.2.2 主主模式60

4.3 雙機熱備的實現機制62

4.3.1 數據同步62

4.3.2 流量切換63

4.4 雙機熱備的典型組網套用67

4.4.1 主備路由模式67

4.4.2 主備透明模式67

4.4.3 主主路由模式68

4.4.4 主主透明模式69

本章小結70

4.5 思考與練習70

第5章 其他模式72

5.1 混合模式72

5.1.1 混合模式概述72

5.1.2 混合模式原理72

5.2 單臂模式73

5.2.1 Trunk73

5.2.2 子接口74

5.3 旁路檢測模式75

5.3.1 旁路檢測模式作用75

5.3.2 旁路檢測模式原理75

5.4 物理旁路邏輯串列模式75

5.4.1 透明模式物理旁路邏輯串列

模式原理75

5.4.2 路由模式物理旁路邏輯串列

模式原理77

本章小結78

5.5 思考與練習78

第6章 VPN80

6.1 IPSec VPN80

6.1.1 IPSec簡介80

6.1.2 IPSec VPN的原理82

6.1.3 IPSec VPN的套用場景83

6.2 SSL VPN84

6.2.1 SSL VPN簡介85

6.2.2 SSL VPN協定結構體系85

6.2.3 SSL VPN支持的模式86

6.3 L2TP VPN87

6.3.1 L2TP VPN簡介87

6.3.2 L2TP VPN工作原理87

6.3.3 L2TP VPN套用88

6.4 GRE VPN89

6.4.1 GRE VPN簡介89

6.4.2 GRE VPN部署場景89

本章小結90

6.5 思考與練習90

第7章 安全防護功能92

7.1 入侵防禦92

7.1.1 入侵技術簡介92

7.1.2 入侵檢測流程93

7.1.3 入侵防禦特徵庫94

7.1.4 事件集和自定義事件94

7.2 病毒防護95

7.2.1 病毒防護簡介95

7.2.2 病毒庫96

7.3 Web防護96

7.4 攻擊防護98

7.5 ARP防護101

7.5.1 ARP原理101

7.5.2 ARP攻擊和防護102

7.6 黑名單103

本章小結104

7.7 思考與練習104

第8章 套用控制與流量控制106

8.1 套用控制策略106

8.1.1 套用行為控制簡介106

8.1.2 套用分類特徵庫108

8.2 Web控制策略108

8.2.1 Web控制策略簡介108

8.2.2 URL分類110

8.3 流量控制策略110

8.3.1 流量控制簡介111

8.3.2 線路策略簡介111

8.3.3 流量控制策略簡介111

8.3.4 流量控制套用場景112

本章小結113

8.4 思考與練習113

第9章 防火牆日誌管理115

9.1 日誌管理115

9.1.1 日誌簡介115

9.1.2 日誌級別116

9.1.3 日誌分類119

9.2 本地日誌120

9.2.1 本地日誌簡介120

9.2.2 本地日誌存儲和格式121

9.3 Syslog日誌122

9.4 E-mail日誌報警123

9.5 SNMP125

9.6 審計日誌128

本章小結128

9.7 思考與練習129

實 踐 篇

第10章 管理防火牆實驗131

10.1 瀏覽器管理防火牆131

10.1.1 防火牆默認的管理接口和賬戶131

10.1.2 瀏覽器管理防火牆基本操作131

10.2 Console管理防火牆134

10.2.1 通過Console管理防火牆134

10.2.2 防火牆命令行簡介134

10.3 SSH管理防火牆136

10.3.1 開啟SSH管理防火牆136

10.3.2 通過SSH管理防火牆136

10.4 管理防火牆相關實驗137

10.4.1 通過Console管理防火牆實驗137

10.4.2 通過瀏覽器管理防火牆實驗137

10.4.3 通過SSH管理防火牆實驗138

本章小結138

第11章 防火牆透明模式實驗139

11.1 配置接口139

11.1.1 配置物理接口139

11.1.2 配置聚合接口140

11.2 配置透明橋141

11.2.1 配置VLAN接口141

11.2.2 配置透明橋接口142

11.3 配置安全策略143

11.3.1 配置全通策略143

11.3.2 配置地址對象145

11.3.3 配置服務對象147

11.3.4 配置細化策略148

11.3.5 配置默認策略150

11.4 配置安全防護策略151

11.4.1 配置防護策略151

11.4.2 配置入侵防護152

11.4.3 配置病毒防護157

11.4.4 配置Web防護158

11.4.5 配置攻擊防護158

11.4.6 配置DoS防護160

11.4.7 配置ARP防護160

11.4.8 配置黑名單161

11.5 配置日誌162

11.5.1 配置日誌過濾162

11.5.2 配置防火牆策略日誌163

11.5.3 配置安全防護策略日誌163

11.6 配置帶外管理防火牆163

11.6.1 配置帶外管理口IP位址164

11.6.2 配置帶外管理口管理方式164

11.7 配置帶內管理防火牆165

11.7.1 配置帶內管理口IP位址和管理

方式165

11.7.2 配置默認路由166

11.8 防火牆透明模式相關實驗166

11.8.1 基本透明模式防火牆案例實驗166

11.8.2 擴展透明模式防火牆案例實驗167

本章小結168

第12章 防火牆路由模式實驗169

12.1 配置接口169

12.1.1 配置接口IP位址169

12.1.2 配置聚合接口170

12.2 配置靜態路由和默認路由171

12.2.1 配置靜態路由171

12.2.2 配置默認路由172

12.3 配置動態路由172

12.4 配置NAT174

12.4.1 配置地址對象175

12.4.2 配置服務對象175

12.4.3 配置地址池175

12.4.4 配置源NAT176

12.4.5 配置目標NAT176

12.4.6 配置靜態NAT177

12.4.7 配置跨協定轉換178

12.5 IPSec VPN配置179

12.5.1 配置IKE協商策略179

12.5.2 配置IPSec協商策略181

12.5.3 配置IPSec策略181

12.6 SSL VPN配置182

12.6.1 配置用戶和SSL VPN用戶組183

12.6.2 配置SSL VPN184

12.6.3 配置資源185

12.6.4 接口下啟用SSL VPN186

12.6.5 SSL VPN登錄187

12.7 L2TP VPN配置189

12.7.1 配置L2TP用戶和用戶組190

12.7.2 配置L2TP VPN191

12.7.3 接口下啟用L2TP VPN191

12.7.4 L2TP VPN登錄192

12.8 GRE VPN配置193

12.8.1 查看GRE194

12.8.2 配置GRE194

12.9 配置日誌、Syslog、SNMP195

12.9.1 配置日誌過濾195

12.9.2 配置Syslog197

12.9.3 日誌審計197

12.9.4 配置SNMP198

12.10 防火牆路由模式相關實驗199

12.10.1 靜態路由實驗199

12.10.2 OSPF實驗200

12.10.3 邊界防火牆實驗1201

12.10.4 邊界防火牆實驗2202

12.10.5 多出口防火牆實驗203

12.10.6 雙向NAT實驗204

12.10.7 IPSec VPN實驗205

12.10.8 SSL VPN實驗206

本章小結207

第13章 防火牆雙機熱備實驗208

13.1 配置雙機熱備模式208

13.1.1 配置HA接口209

13.1.2 配置HA模式212

13.1.3 配置搶占模式213

13.2 雙機配置同步213

13.2.1 配置自動同步213

13.2.2 測試自動同步效果214

13.3 連線同步215

13.3.1 配置連線同步215

13.3.2 測試連線同步效果215

13.4 故障檢測216

13.4.1 配置物理接口監控216

13.4.2 配置聚合口監控217

13.4.3 配置網關監控218

13.5 雙機狀態監控220

13.5.1 檢測配置220

13.5.2 同步配置到對端221

13.5.3 主備切換222

13.6 雙機熱備相關實驗223

13.6.1 主備透明模式案例實驗223

13.6.2 主備路由模式案例實驗224

13.6.3 主主路由模式案例實驗227

13.6.4 主主透明模式案例實驗229

本章小結230

第14章 防火牆其他模式實驗231

14.1 混合模式配置231

14.1.1 配置透明橋231

14.1.2 配置路由接口232

14.1.3 PC配置網關232

14.2 單臂模式233

14.2.1 交換機配置Trunk234

14.2.2 防火牆配置子接口234

14.3 旁路檢測模式235

14.3.1 交換機連線埠鏡像235

14.3.2 接口啟用旁路235

14.3.3 配置安全防護檢測236

14.4 旁路邏輯串列模式236

14.4.1 透明模式物理旁路邏輯串列

模式236

14.4.2 路由模式物理旁路邏輯串列

模式238

14.5 其他模式相關實驗240

14.5.1 混合模式案例實驗240

14.5.2 旁路檢測模式案例實驗241

14.5.3 透明模式物理旁路邏輯串列

模式實驗242

本章小結243

第15章 密碼恢復與防火牆升級實驗244

15.1 防火牆密碼恢復244

15.1.1 重啟的同時進入Bootloader244

15.1.2 重啟防火牆245

15.2 Web界面升級246

15.2.1 瀏覽器導入軟體版本246

15.2.2 重啟防火牆246

15.3 TFTP升級247

15.3.1 部署TFTP伺服器247

15.3.2 通過TFTP下載軟體版本247

15.3.3 重啟防火牆248

15.4 Bootloader升級249

15.4.1 重啟的同時進入Bootloader249

15.4.2 隨身碟導入軟體版本249

15.4.3 重啟防火牆249

15.5 密碼恢復與防火牆升級相關

實驗250

15.5.1 密碼恢復實驗250

15.5.2 Web升級實驗251

本章小結251

拓 展 篇

第16章 大型企業邊界防火牆案例253

16.1 項目背景253

16.2 項目範圍254

16.3 項目需求分析254

16.4 項目原則255

16.5 項目總體方案設計256

16.6 項目實施過程256

16.6.1 配置路由256

16.6.2 配置源地址轉換257

16.6.3 配置目標地址轉換257

16.6.4 配置站點到站點VPN258

16.6.5 配置策略路由258

16.7 項目管理方案259

16.7.1 項目組織架構與職責分工259

16.7.2 項目進度管理260

16.7.3 項目溝通管理261

16.7.4 項目變更管理261

16.7.5 項目質量控制263

本章小結265

第17章 大型企業伺服器區防火牆

案例266

17.1 項目背景266

17.2 項目範圍267

17.3 項目需求分析267

17.4 項目原則268

17.5 項目總體方案設計268

17.6 項目實施過程269

17.6.1 配置透明橋269

17.6.2 配置雙機熱備270

17.6.3 配置防火牆策略271

17.6.4 配置安全防護策略271

17.6.5 配置Syslog272

17.6.6 配置SNMP273

本章小結273

附錄 習題參考答案274