中文名: 虚拟专网.技术与解决方案
作者: Ruixi Yuan 袁睿翕
W. Timothy Strayer
译者: 邓少鵾
唐宏伟
孙彩霞
图书分类: 计算机与网络
资源格式: PDF
版本: 扫描版
出版社: 中国电力出版社
书号: 7508314042
发行时间: 2003年
地区: 大陆
语言: 简体中文,英文
简介:
内容简介
微软亚洲研究院院长兼首席科学家张亚勤博士为本书作序
虚拟专网已经成为当今网络的必要部分,它为确保内联网(Intranet)和外联网(Extranet)在共享的Internet结构上的通信专用性提供了有效的手段。这是一本实用的综合性VPN指南,介绍了各种技术组件、具体的解决方案以及配置和管理一个成功的VPN所需要的实践知识
序言
在信息科技对社会和经济发展发挥着关键作用的今天,普通及专业用户对网络服务及其应用的要求也愈来愈高,一种成本更低、使用更灵活的虚拟专网(VPN)在这一市场环境中应运而生。VPN技术是建立在互联网的公共网络架构之上、替代连接合作伙伴之间的标准广域网,并通过一定的技术手段达到类似私有专网的数据安全传输。作为网络安全的一个有机组成部分,虚拟专网扮演着重要的角色。
我们相信,随着网络的发展、计算的普及以及计算环境的多元化,计算技术的安全性、可靠性、隐私性及易用性将会得到产业界及学术界空前的关注。2001年1月,微软公司董事长兼首席软件架构师比尔·盖茨先生首次正式提出“高信度计算-TrustworthyComputing”这一概念,并随之调整了微软公司产品及技术的相关战略以适应新形势的发展。
为了让网络用户对VPN这一新技术有更多了解,袁睿翕博士及S"ayer博士撰写了《虚拟专网:技术与解决方案》一书,作者对VPN重要技术的精确描述、对应用的明确理解和未来发展方向的指导性建议使得该书具有较强的参考性。
张亚勤
微软亚洲研究院
译者序
过去,大型企业一般租用专线连接远程局域网,使用这种专线的目的是为了能够保证数据安全地从一端传送到另一端。为了能够与外地分公司以及出差的员工联系,总部不得不花费大量的资金来租用网络服务提供商的线路。而如今,公司可以建立自己的VPN,利用Internet将公司遍布全国各地甚至是世界各地的分支机构连接起来,通过一定的安全手段,将在公共网络中流动的各公司的商业信息与网络中的其他信息分离开来。
对于VPN的定义有很多,但都是基于这样一种思想,那就是VPN利用公共网络基础设施,通过一定的技术手段达到类似私有专网的数据安全传输。VPN首先是虚拟的,也就是说VPN并不是某个公司专用的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。
本书在深入研究和广泛参考大量同类作品的基础上,提供了关于网络中现有的问题、解决这些问题的技术以及实现这些技术的厂商和产品的大量信息。全面覆盖虚拟专网的技术现状,包括隧道(通过PPTP、L2F、L2TP、IPsec和MPLS)、IPsec协议、身份验证、PKI、网关、客户、网络和服务管理等内容,并且展望了VPN的发展趋势。
本书并非一本放在路由器、交换机或者防火墙旁边以备查用的快速参考手册。它最为适合于学习通用的VPN设计和实施。如果读者希望获取技术实现细节,可以参考其他著作。由于没有在特定产品的配置上花费太多笔墨,本书才得以在有限的篇幅中讨论和VPN相关的大量网络专题。
本书两位作者都是在网络方面具有丰富工程实践和资深理论研究的专家。作者以一种严谨的学术态度写作本书:逐步深入每个主题,详细解释最新术语,并且对VPN系统中的每个功能都进行了详细讨论。本书引用了大量与主题相关的书籍、论文和标准文档,并且使用伪代码和数学表达式来解释加密和身份验证。如果和相关的书籍一起学习,读者将会更为深刻地理解VPN的原理和机制。
在翻译过程中,我们和原著作者取得了联系,就技术细节和具体实现进行了交流。袁先生于百忙之中不辞劳苦亲自校对了部分重要章节的内容,并且对我们的工作提出了许多改进的地方,让我们受益匪浅。
袁先生自从出国十几年以来一直致力于通信领域研究,本书已经翻译成日文版《实践VPN》。得知本书即将以母语出版,先生欣然为本书的中文版专门写了前言,期冀本书的引进能够给国内带来一些最新的信息。
本书的翻译工作由邓少昆组织,主要章节由唐宏伟、孙彩霞等同志翻译,张晓明博士和郑叶褶老师统校全文。尽管我们为此付出了许多努力,但由于翻译时间仓促,笔头疏忽和理解错误在所难免,恳请大家批评指正,以求共同进步,我们的通信地址是huben@263.net。
虎贲科技
前言
我在写《虚拟专网》一书的时候,就希望它能对国内的读者们有所裨益。为了让它有中文色彩,我在合作者Tim Straye,及出版社的热忱支持下,在每一章的前面都加了一句中国古文作为引语,并在封面的设计中嵌入了“虚拟专网”四个汉字(此处指英文原版。——鳊者)。现在本书得以译成中文在国内发行,让我由衷地感到高兴。
本书的主要目的是对现在网络通信的一个重要发展方向——虚拟专网的技术和应用进行详细的分析。虽然网络的发展日新月异,但在更深的层次上,其概念、结构和算法的变化并不太大,且其演化是有章可循的。本书也尝试从这些基本概念出发,对众多的现有技术做一个系统的概括。
虚拟专网是信息安全的一个重要方面。在社会发展、经济运作日益依赖信息的时候,信息安全变得格外重要。信息的传输是通过网络来实现的,因此网络的安全是保障信息安全的关键一环。而虚拟专网正是保证信息传输安全的主要手段。
我多年来从事通信领域的科研工作,早期集中在无线、移动和卫星通信方面,近年来着重于网络安全和高速路由的研发。之所以能对这些领域有所掌握和体会,我认为是得益于我在中国科技大学学习时打下的坚实基础。值此书中文译本发行之际,我衷心地感谢我学生时代的老师们。
袁睿翕
人们以这样或那样的形式访问Internet已经有30多年了,但是直到20世纪90年代中叶,Internet才成为人们日常生活的一部分。如今,对每一个公司来说,无论它们做什么样的生意,与Internet连接几乎都是必不可少的。人们可以发现Internet遍布于学校、工厂和家庭,甚至是咖啡馆和电话亭,以及蜂窝电话和PDA。时刻保持连接是人们梦寐以求的一件事情。
现在的焦点已经从保持连接转移到如何保持安全的连接。人们希望访问Intemet,但是如果不能保证安全性,那么连接的有益性就会受到限制。人们想拥有访问Intemet的能力,但是他们不希望自己的秘密或者所拥有的资源受到威胁。
幸运的是,在公共网络的基础上建立起来的专网可以解决这些问题。现在所面临的问题是如何把现有的技术结合起来,以创建出可用的、安全的VPN(VirtualPrivateNetwork,虚拟专网)。
本书详尽地介绍了实现VPN的各种技术、使用这些技术创建的VPN产品以及提供实际VPN解决方案的各种技术的组合方法。
VPN技术和解决方案仍然在飞速发展。本书描述了该领域内的技术现状。但是事物的发展很快,因此我们也在适当的章节展望一下业界正在开发的新技术和解决方案。
适合对象
本书适合于对虚拟专网感兴趣的广大读者。
对于网络工程师和管理人员,本书可以作为相关技术和解决方案的实用指南。它讨论了在设计和实现VPN中应该考虑的问题。
对于VPN软件和硬件开发人员,它为理解功能部件的开发以及其后的理论提供了必要的背景资料。
对于叮管理人员和执行官,本书全面展示了VPN概貌,并提供了从设备厂商以及服务提供商提供的服务中讦估各种实现的手段。
对于学生和教育工作者,本书可以作为网络安全或者电子商务方面课程的参考书。
全书结构
本书由三部分组成。第1部分"VPN基础”由三章组成:“引言”、“基本概念”以及“VPN体系结构”。第1章介绍VPN的概念以及它如何允许灵活性以便在公共网络上实现私有通信。我们把相关的技术分成4种截然不同的种类。第2章简要回顾了Internet的发展以及安、全问题如何被推向最前沿,从而把VPN放在一个前后相互联系的环境中。本章也回顾了基本的IP互联以及适合于VPN的加密概念。第3章用两种方法描述VPN体系结构。第一种方法以依据实际的网络耳联解决方案(站点到站点的内联网、外联网以及远程访问)来设计VPN作为基础。第二种方法集中于提供安全服务的不同的通信集中点。
第2部分“VPN技术”由五章组成:“隧道”、“IPsec”、“身份验证”、“公钥基础设施”以及“访问控制”。第4章重点介绍一种非常重要的技术——隧道技术。我们研究了许多不同的、在VPN解决方案中非常重要的隧道技术。第5章针对IPsec进行讲解,它是由1ETF进行标准化的适用于IP的安全协议。在我们看来,VPN隧道技术将一直是热门技术。第6章描述了身份验证,然后描述了各种不同的在网络互联中使用的双方和第三方方案。第7章介绍了非常重要的第三方方案PKI。第8章介绍了访问控制技术。访问控制通常会被人们忽视,可是它却是VPN中至关重要的一个方面。我们阐述了如何在网络环境中表示、管理和实施访问策略。
第3部分“VPN解决方案”由四章组成:“VPN网关”、"VPN客户”、“VPN网络和服务管理”以及“VPN的发展方向:超越连接”。这一部分描述了如何结合使用各种不同的技术来创建实际可用的VPN。第9章的开始部分介绍了VPN网关在VPN中所扮演的角色,然后引出对网关的要求,最后描述了应该实现的各种功能,同时还给出了一个具体的设计实例。第10章详细地介绍了存在于VPN客户中的一些问题,有些和VPN网关中的相同,有些不同。第11章从网络和服务的角度给出了对VPN实施不间断管理的必要性和方法。最后,我们在第12章讨论了VPN未来的发展方向,同时阐明了网络是一种手段而不是某种目标,在网络这个大舞台上,我们不能只看到简单的连接,还有许多重要的方面。
. 如何阅读这本书
我们给大家介绍两种阅读方法。对于初学者,我们建议在阅读第2部分或第3部分之前先把第1部分看完。对于在网络和安全方面已经有一定知识的读者来说,每一章都是独立成篇的,可以分开阅读。
我们鼓励读者把第4章和第5章放在一起阅读,以便全面地了解隧道和作为第三层隧道技术的IPsec。同样地,第6章和第?章介绍身份验证,并且在第7章中详细地描述了公钥基础设施。在阅读第3部分的如何在VPN中应用某种技术之前,最后先阅读第2部分对该种技术的相关介绍。
