VPN虛擬專用網安全實踐教程

本書主要介紹使用VPN技術組建安全網路實踐教程，全書分為兩個知識模組，分別為組建虛擬專用網安全基礎知識，和使用虛擬專用網安全產品組建虛擬專用網實踐教程。知識點包括： 構建站點到站點IPSec，站點到站點IPSec VPN（數字簽名）, IPSec VPN，遠程訪問IPSec VPN（用戶口令），遠程訪問IPSec VPN (USB-Key數字證書），遠程訪問IPSec VPN的授權控制，使用橋接模式構建IPSec VPN，使用路由器構建GRE VPN，使用路由器構建GRE over IPSec VPN，在地址重疊環境中部署IPSec VPN，遠程訪問IPSec VPN準入控制，構建SSL VPN，構建SSL VPN單臂通信實驗等。全書在每個章節中，對所使用到相關安全產品的基本配置、基本界面、功能配置，都進行詳細的講解，以幫助讀者熟悉產品的使用，並進一步詮釋了其在工程項目中的實施方法。

本書可作為高等院校計算機科學與技術、通信工程、計算機網路等相關專業本科生或研究生，學習和研究網路安全產品及技術的實驗教材。此外本書還可作為網路安全專業認證的培訓教材以及網路設計師、網路工程師、系統集成工程師以及其他專業技術人員技術參考書。

金漢均，博士，華中師範大學計算機科學系教授，長期在教學一線從事網路工程技術的教學和科研工作，主要研究方向是“網上虛擬現實中的關鍵技術和最最佳化算法套用”等。近年來，他在網路安全領域的研究也有突出成就，有十五篇論文被世界SCI、EI、ISTP三大檢索企業收錄。

第1章 基於路由器VPN安全1

1.1 使用路由器構建站點到站點IPSec VPN1

1.2 使用路由器構建GRE VPN12

1.3 使用路由器構建GRE over IPSec VPN22第2章 VPN專用設備遠程訪問安全35

2.1 構建遠程訪問IPSec VPN（用戶口令）35

2.2 構建遠程訪問IPSec VPN (USB-Key數字證書）49

2.3 實現遠程訪問IPSec VPN的授權控制67第3章 VPN專用設備Site-to-Site的安全86

3.1 構建站點到站點IPSec VPN（預共享密鑰）86

3.2 構建站點到站點IPSec VPN（數字簽名）98

3.3 構建橋接模式IPSec VPN111第4章 基於VPN專用設備高級安全122

4.1 在地址重疊環境中部署IPSec VPN122

4.2 遠程訪問IPSec VPN準入控制135

4.3 構建SSL VPN156

4.4 構建SSL VPN單臂通信實驗171附錄A VPN 技術基礎185

A.1 VPN概述186

A.2 VPN功能和作用188

A.3 VPN產品體系189

A.4 VPN虛擬專網設計191

A.5 VPN虛擬專網安全技術194

A.6 VPN隧道技術196

A.7 VPN隧道協定198

A.8 IPSec VPN技術203

A.9 SSL VPN技術208參考文獻214

第1章 訪問控制安全1

1.1 使用標準IP ACL進行訪問控制1

1.2 使用擴展IP ACL進行高級訪問控制6

1.3 使用MAC ACL進行訪問控制12

1.4 使用專家ACL進行高級訪問控制16

1.5 配置基於時間的訪問控制21

第2章 連線埠保護安全27

2.1 使用IP-MAC綁定增強接入安全27

2.2 使用連線埠安全提高接入安全32

2.3 ARP攻擊與防禦（ARP檢查）37

2.4 使用保護連線埠實現安全隔離44

2.5 使用連線埠阻塞進行流量控制49

2.6 配置系統保護功能52

第3章 生成樹安全59

3.1 利用風暴控制抑制廣播風暴59

3.2 使用BPDU Guard提高STP安全性65

3.3 使用BPDU Filter提高STP安全性79

第4章 網路接入安全94

4.1 DHCP攻擊與防禦94

4.2 ARP攻擊與防禦（動態ARP檢測）103

4.3 利用接入層802.1x安全網路接入115

4.4 利用分布層802.1x安全網路接入124

第5章 無線區域網路安全136

5.1 實現無線用戶的二層隔離136

5.2 使用MAC認證實現接入控制151

5.3 配置無線區域網路中的WEP加密171

5.4 配置MAC地址過濾（自治型AP) 187

5.5 配置SSID隱藏（自治型AP) 199

5.6 配置WEP加密（自治型AP) 206

5.7 使用Web認證實現接入控制214

5.8 使用802.1x增強接入安全性230

5.9 配置無線區域網路中的WPA加密250

5.10 非法AP和Client的發現與定位269

參考文獻297

目錄目錄