构建虚拟专用网
分類: 图书,计算机/网络,网络与数据通信,
作者: (美)布朗 著 董晓宇 魏鸿 马洁 译
出 版 社: 人民邮电出版社
出版时间: 2000-11-1字数:版次: 1版1次页数: 476印刷时间:开本:印次:纸张:I S B N : 9787115087676包装: 平装编辑推荐
本书为用户提供了切实可行的虚拟专用网解决方案。全书分为三部分,包括:VPN基础,VPN实现和VPN安全问题。本书将帮助读者逐步地理解、构建、庥成和管理VPN中的诸多成分,如加密、认证业务,密钥长度和保密性。更为重要的是,本书把网络的防护和安全提升到了一个新的高度。
不管读者是正在考虑为公司建立VPN的经理或是设计和安装系统的工程师,或是监测系统性能、安全性和可靠性的管理员,本书都可以向您提供详尽,丰富的信息和有价值的参考资料。
内容简介
本书为用户提供了切实可行的虚拟专用解决方案。全书共分三部分,包括:VPN 实现和VPN 基础,VPN 实现和VPN 安全问题。本书将帮助读者逐步地理解、构建、集成和管理VPN 中的诸多成分。
目录
第一部分 VPN基础
第一章 VPN技术介绍3
1.1 什么是VPN4
1.1.1 VPN应用的四个领域7
1.2 VPN的组成部分11
1.3 谁支持VPN15
1.4 VPN的增长15
1.5 确定对VPN的需求16
1.6 商务需要VPN17
1.7 如何选择VPN设备18
1.7.1 法律对VPN的影响19
1.8 小结20
第二章 VPN的网络安全23
2.1 什么是网络安全24
2.2 如何防范威胁26
2.2.1 你的对手是谁26
2.2.2 薄弱环节27
2.2.3 用户访问控制28
2.2.4 不要轻信于人28
2.2.5 该怎么办29
2.2.6 变幻无常的安全性30
2.2.7 员工的破坏31
2.2.8 密钥恢复31
2.2.9 后台检查32
2.2.10 安全性方面的隐藏的开销32
2.3 如何识别攻击33
2.3.1 审计追踪和日志33
2.3.2 监控33
2.3.3 硬盘加密34
2.4 VPN有哪些安全需求34
2.4.1 加密35
2.4.2 VPN设备35
2.4.3 鉴定35
2.4.4 不可否认36
2.4.5 点到点加密36
2.4.6 集中式安全管理36
2.4.7 备份或恢复的程序37
2.5 实现VPN时安全问题的重要性37
2.6 实现一个不错的安全策略38
2.7 公司防守严密吗40
2.7.1 风险分析40
2.7.2 信息风险管理41
2.7.3 安全的适应性41
2.8 攻击有哪些类型41
2.9 小结42
第三章 VPN技术的优缺点43
3.1 VPN的优点44
3.2 VPN带来的成本节约45
3.3 网络设计46
3.4 终端用户使用VPN带来的好处48
3.4.1 合理利用资金48
3.4.2 数据访问49
3.4.3 通信量的优先级49
3.5 全球访问的好处49
3.5.1 远程电信会议50
3.5.2 IP电话50
3.6 给ISP带来的好处50
3.6.1 新业务50
3.6.2 受控服务51
3.7 VPN的竞争优势51
3.8 VPN技术的开销51
3.8.1 ISP的网络基础结构52
3.8.2 VPN设备54
3.8.3 维护开销55
3.8.4 使用许可55
3.8.5 2000年问题的解决55
3.8.6 加密的开销56
3.8.7 管理58
3.8.8 安全维护人员58
3.8.9 帮助台59
3.9 额外的通信开销59
3.9.1 长途60
3.9.2 800号60
3.10 服务质量保证61
3.11 服务级别协议62
3.11.1 网络正常运行时间62
3.11.2 带宽63
3.11.3 等待时间63
3.12 小结64
第四章 VPN的体系结构67
4.1 体系结构介绍68
4.2 哪种VPN适合你?69
4.2.1 我了解什么是VPN吗?69
4.2.2 我觉得建立一个VPN合适吗?69
4.2.3 节约资金是唯一的目的吗?70
4.2.4 要使用VPN进行全球的商务活动吗?70
4.2.5 你将建立一个企业外部网吗?71
4.2.6 公司有足够的技术实力来建立并维护
VPN吗?71
4.2.7 你想使用帧中继或ATM的VPN吗?71
4.2.8 采用何种安全技术?72
4.2.9 公司打算支持哪种类型的硬件结构?72
4.2.10 估计这个VPN的用户将有多少?72
4.2.11 你还可以向自己或公司提出更多别的问题73
4.3 网络服务供应商提供的VPN73
4.3.1 安全性75
4.3.2 更改控制75
4.3.3 故障排除75
4.3.4 功能76
4.3.5 授权76
4.3.6 网络利用率76
4.3.7 设备的利用76
4.3.8 客户应用77
4.3.9 密钥管理77
4.4 基于防火墙的VPN77
4.5 基于黑匣的VPN79
4.6 基于路由器的VPN80
4.7 基于远程访问的VPN81
4.8 对应用程序敏感的/代理工具包VPN82
4.9 VPN的多服务应用程序83
4.10 基于软件的VPN84
4.11 VPN的隧道交换85
4.12 性能统计/比较85
4.13 认证/一致性88
4.14 小结88
第五章 VPN的拓扑结构91
5.1 VPN拓扑结构介绍92
5.2 防火墙/VPN到客户机的拓扑结构93
5.3 VPN/LAN-to-LAN拓扑结构95
5.4 VPN/防火墙到企业内部网/企业外部网拓扑结构97
5.5 VPN/帧或ATM拓扑结构100
5.6 硬件(黑匣)VPN拓扑结构101
5.7 VPN/NAT拓扑结构103
5.8 VPN交换拓扑结构105
5.9 VPN嵌套隧道105
5.10 负载平衡和同步107
5.10.1 负载平衡107
5.10.2 同步109
5.11 小结110
第六章 联邦政府对VPN技术的管制111
6.1 加密政策简介112
6.2 政府在VPN技术中扮演的角色113
6.2.1 安全产品中的密钥恢复115
6.3 政府政策对VPN安全的影响115
6.4 获得使用强安全的许可权116
6.5 政府入侵的经济成本117
6.6 合法加密状态119
6.7 国际对美国政府加密政策的影响119
6.8 目前的状况120
6.9 小结123
第二部分 虚拟专用网的实现
第七章 网络基础127
7.1 确定策略128
7.2 VPN体系结构的布局130
7.3 路由选择问题131
7.3.1 流出VPN的通信量132
7.3.2 流入VPN的通信量133
7.3.3 重要的第三步134
7.4 拓扑结构布局136
7.5 IP/NAT地址分配问题138
7.5.1 为什么以及什么时候使用静态NAT141
7.5.2 防火墙/VPN地址分配144
7.6 远程访问问题145
7.7 DNS/SMTP问题147
7.8 小结148
第八章 构建VPN(第一部分)149
8.1 基于防火墙的VPN安装入门150
8.1.1 VPN的结构151
8.1.2 要求151
8.2 基于防火墙的VPN模型153
8.3 获得并分配IP地址空间156
8.3.1 将230网络划分子网的目的158
8.3.2 外部链路158
8.3.3 DMZ1区的链路158
8.3.4 DMZ2或者说是电子商务链路159
8.3.5 内部接口159
8.4 实现良好的安全措施163
8.5 管理通信量165
8.6 SMTP和DNS的实现问题166
8.7 实现认证167
8.7.1 内部用户的通信量168
8.7.2 对内部用户进行认证的通信量169
8.8 "丢弃所有"规则170
8.9 实现VPN的有关规则170
8.10 分支机构的VPN171
8.11 远程用户的VPN173
8.12 小结175
第九章 构建VPN(第二部分)177
9.1 服务供应商型VPN的服务178
9.2 独立型VPN服务179
9.3 Aventail外部网中心179
9.3.1 Aventail外部网服务器179
9.3.2 Aventail策略控制台180
9.3.3 Aventail管理服务器180
9.3.4 Aventail管理服务器配置工具180
9.3.5 Aventail连接180
9.3.6 Aventail公司产品介绍181
9.3.7 在Windows NT上安装Aventail服务器组件181
9.3.8 在UNIX上安装Aventail服务器组件182
9.3.9 在Windows 9x和Windows NT上安装Aventail
客户机组件183
9.3.10 访问控制规则184
9.3.11 认证规则185
9.4 Compatible Systems公司-访问服务器186
9.4.1 VPN访问服务器的内部端口系列187
9.4.2 学习例子-Adobe Systems有限公司188
9.4.3 学习例子-New Hope通信公司190
9.5 Nortel网络公司-Extranet Switch 4000191
9.5.1 配置该交换机192
9.5.2 快速启动192
9.5.3 向导配置193
9.5.4 管理外部网交换机194
9.6 Radguard公司-cIPro系统195
9.6.1 cIPro系统安全解决方案196
9.6.2 cIPro系统的构成196
9.6.3 监控该系统199
9.7 RedCreek公司-Ravlin200
9.7.1 Ravlin的体系结构201
9.8 TimeStep有限公司-PERMIT Enterprise204
9.8.1 PERMIT Enterprise产品解决方案204
9.8.2 PERMIT/Gate系列205
9.8.3 PERMIT/Gate的主要好处206
9.8.4 PERMIT/Client206
9.8.5 PERMIT/Client的主要好处206
9.8.6 PERMIT/Director207
9.8.7 PERMIT/Director的主要好处207
9.8.8 安装207
9.9 VPNet公司-VPLink体系结构*208
9.9.1 VPNware产品209
9.9.2 VPNet公司不使用防火墙的配置211
9.9.3 VPNet公司使用防火墙的配置211
9.9.4 嵌入式VPN配置212
9.10 小结213
第十章 VPN疑难解答215
10.1 VPN疑难解答概述216
10.2 远程拨号用户218
10.2.1 疑难解答219
10.3 LAN-to-LAN的VPN224
10.4 使用PPTP协议的VPN226
10.4.1 被动模式226
10.4.2 主动模式226
10.4.3 PPP数据通信227
10.4.4 PPTP对连接的控制227
10.4.5 PPTP数据隧道228
10.5 使用L2TP的VPN230
10.6 IPSec VPN232
10.7 多端防火墙/VPN235
10.8 小结239
第十一章 虚拟专用网的维护241
11.1 简介242
11.2 冗余链路243
11.3 机构的不断膨胀244
11.4 软件升级245
11.4.1 VPN操作系统245
11.4.2 黑匣VPN246
11.5 现场技术支持247
11.6 电话支持247
11.7 远程用户的帮助台支持248
11.8 自己建立VPN还是购买产品248
11.9 兼容性问题249
11.10 监测249
11.11 报警250
11.12 日志记录250
11.13 事件相关性251
11.14 加密和封装252
11.15 密钥管理253
11.16 随机数产生器254
11.17 证书授权254
11.18 安全性升级255
11.19 主要升级的支持255
11.20 隧道协议256
11.21 管理设备257
11.22 性能258
11.23 服务质量258
11.24 认证258
11.25 熟练工人259
11.26 小结259
第三部分 虚拟专用网的安全基础
第十二章 密码学263
12.1 何谓密码264
12.2 私钥和公钥密码体制265
12.3 分组密码266
12.3.1 数据加密标准(DES)266
12.3.2 DES的弱点267
12.3.3 弱密钥268
12.3.4 三重DES算法268
12.3.5 Blowfish算法268
12.3.6 国际数据加密算法(IDEA)269
12.3.7 RC2269
12.3.8 RC5分组密码270
12.3.9 Skipjack270
12.3.10 其他的分组密码270
12.4 流密码270
12.4.1 RC4271
12.4.2 线性反馈移位寄存器(LFSR)271
12.4.3 混合同余伪随机数生成器271
12.4.4 级联移位寄存器271
12.4.5 Vernam 密码272
12.5 杂凑函数272
12.5.1 信息摘要算法2、4、5(MD2、MD4、MD5)
272
12.5.2 安全杂凑算法(SHA和SHA-1)273
12.6 消息认证码(MAC)273
12.7 数字时戳273
12.8 证书管理机构和数字签名274
12.8.1 证书的作用274
12.9 密码杂凑函数的强度275
12.10 随机数生成器275
12.11 Clipper 芯片276
12.12 选择合适的密码系统277
12.13 密码学发展史277
12.14 小结284
第十三章 加密287
13.1 私钥加密288
13.2 公钥加密290
13.3 共享秘密密钥291
13.4 数字签名292
13.5 证书管理机构(CA)293
13.6 Diffie-Hellman公钥算法294
13.7 RSA公钥算法295
13.8 PGP软件系统296
13.9 Internet安全协议(IPSec)297
13.9.1 认证首部(AH)RFC-2402298
13.10 封装的安全有效负载RFC-2402299
13.10.1 IPSec中存在的问题300
13.10.2 Internet密钥交换(IKE)301
13.10.3 ISAKMP301
13.10.4 Oakley协议302
13.11 公钥基础设施(PKI)302
13.12 第2层转发协议(L2F)303
13.13 点到点隧道协议(PPTP)304
13.14 第2层隧道协议(L2TP)306
13.15 简单密钥Internet协议(SKIP)307
13.16 安全广域网(S/WAN)307
13.17 小结308
第十四章 安全通信和认证309
14.1 认证协议310
14.2 操作系统口令311
14.3 S/KEY算法312
14.4 远程认证拨号业务(RADIUS)314
14.5 终端访问控制器访问控制系统(TACACS/XTACACS)
316
14.6 终端访问控制器访问控制系统增强版(TACACS+)
317
14.7 Kerberos认证协议318
14.8 证书320
14.8.1 证书标准320
14.8.2 获取证书321
14.9 智能卡323
14.10 硬件令牌/PKCS #1324
14.11 轻量级目录检索协议(LDAP)325
14.12 ACE/具有安全ID的服务器(Server with SecurID)
326
14.13 生物测定327
14.14 安全调制解调器328
14.15 小结329
第十五章 VPN操作系统的弱点331
15.1 VPN操作系统的弱点332
15.2 UNIX指南333
15.3 UNIX系统中共同的配置问题333
15.4 UNIX操作系统的弱点335
15.4.1 专用系统的弱点336
15.5 Windows 95指南340
15.6 Windows 95的弱点341
15.7 Windows NT指南342
15.8 Windows NT安全对象344
15.9 Windows NT的弱点345
15.10 Novell指南345
15.11 小结346
第十六章 VPN安全性攻击349
16.1 VPN攻击简介350
16.2 密码算法攻击350
16.2.1 攻击协议351
16.2.2 攻击算法351
16.2.3 攻击实现方式351
16.2.4 常见的密码算法攻击351
16.3 对随机数发生器(RNG)的攻击354
16.4 通过恢复密钥的政府攻击355
16.5 Internet安全(IPSec)攻击356
16.5.1 实现方式攻击357
16.5.2 密钥管理攻击357
16.5.3 密钥恢复/出口法律攻击357
16.5.4 管理员和通配符攻击358
16.5.5 IPSec的弱点358
16.5.6 客户机认证358
16.5.7 证书管理机构359
16.5.8 网络地址翻译359
16.5.9 必要的特征359
16.6 点到点隧道协议(PPTP)攻击360
16.6.1 攻击GRE360
16.6.2 攻击口令361
16.7 SKIP攻击362
16.8 证书管理机构攻击363
16.8.1 密码分析攻击363
16.8.2 时戳攻击363
16.8.3 硬件攻击364
16.8.4 弱攻击364
16.8.5 RADIUS攻击365
16.9 Kerberos攻击365
16.10 PGP(Pretty Good Privacy)攻击366
16.10.1 IDEA367
16.10.2 RSA367
16.10.3 MD5367
16.10.4 PRNG367
16.11 业务否认(DoS)攻击368
16.11.1 TCP SYN攻击368
16.11.2 smurf攻击369
16.11.3 UDP诊断攻击370
16.11.4 ICMP重定向攻击370
16.11.5 Teardrop、ping死锁、boink和Land攻击370
16.11.6 欺骗攻击371
16.12 其他攻击方式371
16.12.1 特洛伊木马(Trojan)371
16.12.2 远程攻击372
16.12.3 基于telnet的攻击372
16.12.4 生日攻击372
16.13 小结373
第十七章 安全工具集375
17.1 什么是安全工具集376
17.1.1 培训376
17.1.2 管理培训377
17.1.3 安全咨询377
17.1.4 新闻组/邮寄名单377
17.1.5 电话支持378
17.1.6 厂商安全主页/邮寄名单378
17.1.7 政府部门378
17.1.8 扩大过程379
17.2 安全工具集的需求379
17.2.1 安装不合适的补丁程序379
17.2.2 存在弱点的缺省安全配置380
17.2.3 缺乏足够的安全资源380
17.2.4 非强制的动态策略和标准380
17.2.5 用过多的秘密代替安全381
17.3 RFC 2196站点安全手册381
17.3.1 基本方法381
17.3.2 声明382
17.3.3 安全目标382
17.3.4 多方参与383
17.3.5 灵活的安全策略383
17.4 扩大安全过程384
17.4.1 FBI外地办事处384
17.5 构建安全站点385
17.6 安全工具387
17.6.1 邮件中继390
17.7 事故响应中心391
17.8 邮寄名单/新闻组393
17.8.1 邮寄名单393
17.8.2 新闻组394
17.9 Web安全394
17.9.1 Web服务器395
17.9.2 Web服务器的弱点395
17.9.3 ActiveX/Java397
17.9.4 ActiveX397
17.9.5 Java397
17.9.6 攻击性代码398
17.10 小结398
第十八章 入侵检测和安全扫描401
18.1 入侵检测简介402
18.1.1 入侵检测系统的需求404
18.2 入侵检测系统的分类404
18.2.1 误用(模式)引擎(Misuse、Pattern Engines)
405
18.2.2 异常引擎(Anomaly Engines)405
18.2.3 网络入侵检测系统406
18.2.4 系统入侵检测系统406
18.2.5 日志入侵检测系统406
18.2.6 伪入侵检测系统406
18.3 优秀的入侵检测系统406
18.4 入侵检测/踪迹407
18.5 攻击识别409
18.5.1 入侵踪迹410
18.6 欺骗入侵检测系统411
18.6.1 入侵检测系统的局限性412
18.7 入侵检测工具413
18.8 防止入侵417
18.9 扫描器419
18.9.1 本地扫描器419
18.9.2 远程扫描器420
18.9.3 专用扫描器420
18.10 小结421
第十九章 展望VPN新技术423
19.1 新技术简介424
19.2 新的计算技术425
19.2.1 量子计算425
19.2.2 光子计算426
19.3 对密码系统的影响427
19.4 椭圆曲线密码430
19.5 专用门铃431
19.6 隐写术432
19.6.1 隐写术工具433
19.7 新的威胁434
19.8 政府管制435
19.8.1 Wassenaar协议436
19.8.2 世界知识产权局条约437
19.9 无线虚拟专用网438
19.10 小结438
附录 链接和参考441
缩略语 443
