防火墙和VPN技术与实践

本书以HCIP-Security和HCIE-Security认证考试大纲为依托，介绍了防火墙和VPN的关键技术，包括安全策略、NAT、双机热备、虚拟系统、链路负载均衡、服务器负载均衡、L2TP VPN、IPSec VPN和SSL VPN。本书详细介绍了每一种技术的产生背景、技术实现原理、配置方法，旨在帮助读者掌握组建安全通信基础设施的技术和能力，顺利通过认证考试。
本书是学习和了解网络安全技术的实用指南，内容全面，通俗易懂，实用性强，适合网络规划工程师、网络技术支持工程师、网络管理员以及想了解网络安全技术的读者阅读。

第1章 安全策略 001
1.1 安全策略基础知识 002
1.1.1 安全策略的组成 002
1.1.2 安全策略的配置方式 005
1.1.3 状态检测与会话机制 006
1.1.4 匹配规则与默认策略 009
1.1.5 本地安全策略和接口访问控制 012
1.1.6 安全策略的配置原则 013
1.2 配置安全策略 015
1.2.1 为管理协议开放安全策略 015
1.2.2 为路由协议开放安全策略 021
1.2.3 为DHCP开放安全策略 023
1.3 在安全策略中应用对象 027
1.3.1 地址对象和地址组 027
1.3.2 地区和地区组 030
1.3.3 域名组 032
1.3.4 用户和用户组 036
1.3.5 服务和服务组 038
1.3.6 应用和应用组 040
1.3.7 URL分类 045
1.4 安全策略的很好实践 047
1.4.1 建立完善的安全策略管理流程 047
1.4.2 使用安全区域划分网络 048
1.4.3 遵循最小授权原则 050
1.4.4 注意安全策略的顺序 051
1.4.5 识别和控制出入方向的流量 053
1.4.6 记录日志 054
1.4.7 谨慎选择变更时机 055
1.4.8 定期审计和优化安全策略 056
1.5 安全策略的常用维护手段 057
1.6 习题 060
第2章 NAT 061
2.1 NAT基本原理 062
2.2 源NAT 064
2.2.1 源NAT简介 064
2.2.2 NAT No-PAT 065
2.2.3 NAPT 069
2.2.4 出接口地址方式（Easy-IP） 070
2.2.5 Smart NAT 072
2.2.6 三元组NAT 074
2.2.7 源NAT场景下的黑洞路由 078
2.3 目的NAT 081
2.3.1 目的NAT简介 081
2.3.2 基于策略的目的NAT 082
2.3.3 NAT Server 085
2.3.4 NAT Server场景下的黑洞路由 087
2.4 双向NAT 089
2.5 多出口场景下的NAT 094
2.5.1 多出口场景下的源NAT 094
2.5.2 多出口场景下的NAT Server 098
2.6 习题 104
第3章 双机热备105
3.1 双机热备概述 106
3.1.1 路由器的双机部署 107
3.1.2 防火墙的双机部署 110
3.2 VRRP与VGMP 113
3.2.1 VRRP概述 114
3.2.2 VRRP的工作原理 117
3.2.3 VGMP的产生122
3.2.4 VGMP控制VRRP状态 125
3.3 VGMP协议详解 136
3.3.1 VGMP的工作原理 137
3.3.2 VGMP组监控接口的招式 141
3.3.3 VGMP组监控链路的招式 157
3.3.4 VGMP的报文结构 162
3.3.5 VGMP的状态机 164
3.4 HRP协议详解 166
3.4.1 HRP概述 167
3.4.2 HRP备份的原理 170
3.4.3 心跳线 170
3.4.4 配置备份 174
3.4.5 状态信息备份 178
3.4.6 配置一致性检查 182
3.5 双机热备配置指导 184
3.5.1 配置流程 185
3.5.2 配置检查和结果验证 190
3.6 双机热备旁挂组网分析 192
3.6.1 通过VRRP与静态路由的方式实现双机热备旁挂 192
3.6.2 通过OSPF与策略路由的方式实现双机热备旁挂 196
3.7 双机热备与其他特性结合使用 199
3.7.1 双机热备与NAT Server结合使用 199
3.7.2 双机热备与源NAT结合使用 204
3.7.3 双机热备与IPsec结合使用 208
3.7.4 双机热备与虚拟系统结合使用 214
3.7.5 双机热备与IPv6结合使用 215
3.7.6 双机热备组网下输出日志 216
3.8 双机热备故障排除 218
3.8.1 双机热备工作与双主异常状态 219
3.8.2 双机热备主备切换 222
3.8.3 双机切换后业务异常 224
3.8.4 双机配置不一致 226
3.8.5 双机配置不同步 227
3.8.6 双机会话表项不一致 228
3.9 习题 230
第4章 虚拟系统 231
4.1 虚拟系统概述 232
4.2 虚拟系统的实现原理 234
4.2.1 虚拟系统分类及其管理员 235
4.2.2 虚拟系统的部署与分流 237
4.2.3 虚拟系统的资源分配 240
4.2.4 虚拟系统与VPN实例 246
4.3 虚拟系统的关键配置 249
4.4 虚拟系统互访 250
4.4.1 基本概念 251
4.4.2 虚拟系统通过路由表与根系统互访 255
4.4.3 虚拟系统通过引流表与根系统互访 259
4.4.4 两个虚拟系统直接互访 261
4.4.5 两个虚拟系统跨根系统互访 263
4.4.6 两个虚拟系统跨虚拟系统互访 266
4.5 NAT模式的虚拟系统 267
4.6 虚拟系统故障排除 268
4.7 习题 271
第5章 链路负载均衡 273
5.1 ISP选路 274
5.1.1 默认路由与链路备份 274
5.1.2 等价路由与链路负载分担 275
5.1.3 明细路由与就近选路 277
5.1.4 ISP路由与ISP选路 279
5.1.5 健康检查 283
5.2 全局选路策略 287
5.2.1 全局选路策略的概念 287
5.2.2 根据链路带宽选路 289
5.2.3 根据链路权重选路 292
5.2.4 根据链路优先级选路 294
5.2.5 根据链路质量选路 298
5.2.6 会话保持 302
5.2.7 全局选路策略小结 304
5.3 DNS透明代理 306
5.3.1 DNS透明代理的概念 306
5.3.2 配置DNS透明代理 308
5.4 策略路由 311
5.4.1 策略路由的概念 311
5.4.2 策略路由的配置 315
5.4.3 策略路由智能选路 317
5.5 智能DNS 320
5.5.1 智能DNS的概念 320
5.5.2 单服务器智能DNS 321
5.5.3 多服务器智能DNS 323
5.6 习题 324
第6章 服务器负载均衡 325
6.1 初识服务器负载均衡 326
6.2 服务器负载均衡的核心功能 329
6.3 七层负载均衡 351
6.4 SSL卸载 360
6.5 过载控制 364
6.6 习题 366
第7章 L2TP VPN 367
7.1 L2TP概述 368
7.2 NAS-Initiated L2TP VPN 374
7.3 Client-Initiated L2TP VPN 392
7.4 LAC-Auto-Initiated L2TP VPN 405
7.5 3种组网方式对比 415
7.6 L2TP VPN多实例 416
7.7 L2TP VPN常见问题 420
7.8 习题 424
第8章 IPsec VPN 425
8.1 IPsec的协议框架 426
8.2 安全联盟 434
8.3 手工方式建立IPsec VPN 442
8.4 IKE自动协商方式建立IPsec VPN 445
8.5 IPsec NAT穿越 452
8.6 GRE/L2TP over IPsec 462
8.7 对等体检测 472
8.8 IPsec链路可靠性 475
8.9 IPsec场景下的安全策略配置思路 491
8.10 IPsec故障排除 495
8.11 习题 513
第9章 SSL VPN515
9.1 SSL VPN简介 516
9.2 虚拟网关 522
9.3 身份认证 527
9.4 文件共享 531
9.5 Web代理 539
9.6 端口转发 546
9.7 网络扩展 553
9.8 角色授权 560
9.9 安全策略 562
9.10 SSL VPN的综合应用 565
9.11 习题 568
缩略语表 569