第一部分 VPN基礎
第一章 VPN技術介紹 3
1.1 什么是VPN 4
1.1.1 VPN應用的四個領域 7
1.2 VPN的組成部分 11
1.3 誰支持VPN 15
1.4 VPN的增長 15
1.5 確定對VPN的需求 16
1.6 商務需要VPN 17
1.7 如何選擇VPN設備 18
1.7.1 法律對VPN的影響 19
1.8 小結 20
第二章 VPN的網絡安全 23
2.1 什么是網絡安全 24
2.2 如何防范威脅 26
2.2.1 你的對手是誰 26
2.2.2 薄弱環(huán)節(jié) 27
2.2.3 用戶訪問控制 28
2.2.4 不要輕信于人 28
2.2.5 該怎么辦 29
2.2.6 變幻無常的安全性 30
2.2.7 員工的破壞 31
2.2.8 密鑰恢復 31
2.2.9 后臺檢查 32
2.2.10 安全性方面的隱藏的開銷 32
2.3 如何識別攻擊 33
2.3.1 審計追蹤和日志 33
2.3.2 監(jiān)控 33
2.3.3 硬盤加密 34
2.4 VPN有哪些安全需求 34
2.4.1 加密 35
2.4.2 VPN設備 35
2.4.3 鑒定 35
2.4.4 不可否認 36
2.4.5 點到點加密 36
2.4.6 集中式安全管理 36
2.4.7 備份或恢復的程序 37
2.5 實現VPN時安全問題的重要性 37
2.6 實現一個不錯的安全策略 38
2.7 公司防守嚴密嗎 40
2.7.1 風險分析 40
2.7.2 信息風險管理 41
2.7.3 安全的適應性 41
2.8 攻擊有哪些類型 41
2.9 小結 42
第三章 VPN技術的優(yōu)缺點 43
3.1 VPN的優(yōu)點 44
3.2 VPN帶來的成本節(jié)約 45
3.3 網絡設計 46
3.4 終端用戶使用VPN帶來的好處 48
3.4.1 合理利用資金 48
3.4.2 數據訪問 49
3.4.3 通信量的優(yōu)先級 49
3.5 全球訪問的好處 49
3.5.1 遠程電信會議 50
3.5.2 IP電話 50
3.6 給ISP帶來的好處 50
3.6.1 新業(yè)務 50
3.6.2 受控服務 51
3.7 VPN的競爭優(yōu)勢 51
3.8 VPN技術的開銷 51
3.8.1 ISP的網絡基礎結構 52
3.8.2 VPN設備 54
3.8.3 維護開銷 55
3.8.4 使用許可 55
3.8.5 2000年問題的解決 55
3.8.6 加密的開銷 56
3.8.7 管理 58
3.8.8 安全維護人員 58
3.8.9 幫助臺 59
3.9 額外的通信開銷 59
3.9.1 長途 60
3.9.2 800號 60
3.10 服務質量保證 61
3.11 服務級別協議 62
3.11.1 網絡正常運行時間 62
3.11.2 帶寬 63
3.11.3 等待時間 63
3.12 小結 64
第四章 VPN的體系結構 67
4.1 體系結構介紹 68
4.2 哪種VPN適合你? 69
4.2.1 我了解什么是VPN嗎? 69
4.2.2 我覺得建立一個VPN合適嗎? 69
4.2.3 節(jié)約資金是唯一的目的嗎? 70
4.2.4 要使用VPN進行全球的商務活動嗎? 70
4.2.5 你將建立一個企業(yè)外部網嗎? 71
4.2.6 公司有足夠的技術實力來建立并維護VPN嗎? 71
4.2.7 你想使用幀中繼或ATM的VPN嗎? 71
4.2.8 采用何種安全技術? 72
4.2.9 公司打算支持哪種類型的硬件結構? 72
4.2.10 估計這個VPN的用戶將有多少? 72
4.2.11 你還可以向自己或公司提出更多別的問題 73
4.3 網絡服務供應商提供的VPN 73
4.3.1 安全性 75
4.3.2 更改控制 75
4.3.3 故障排除 75
4.3.4 功能 76
4.3.5 授權 76
4.3.6 網絡利用率 76
4.3.7 設備的利用 76
4.3.8 客戶應用 77
4.3.9 密鑰管理 77
4.4 基于防火墻的VPN 77
4.5 基于黑匣的VPN 79
4.6 基于路由器的VPN 80
4.7 基于遠程訪問的VPN 81
4.8 對應用程序敏感的/代理工具包VPN 82
4.9 VPN的多服務應用程序 83
4.10 基于軟件的VPN 84
4.11 VPN的隧道交換 85
4.12 性能統(tǒng)計/比較 85
4.13 認證/一致性 88
4.14 小結 88
第五章 VPN的拓撲結構 91
5.1 VPN拓撲結構介紹 92
5.2 防火墻/VPN到客戶機的拓撲結構 93
5.3 VPN/LAN-to-LAN拓撲結構 95
5.4 VPN/防火墻到企業(yè)內部網/企業(yè)外部網拓撲結構 97
5.5 VPN/幀或ATM拓撲結構 100
5.6 硬件(黑匣)VPN拓撲結構 101
5.7 VPN/NAT拓撲結構 103
5.8 VPN交換拓撲結構 105
5.9 VPN嵌套隧道 105
5.10 負載平衡和同步 107
5.10.1 負載平衡 107
5.10.2 同步 109
5.11 小結 110
第六章 聯邦政府對VPN技術的管制 111
6.1 加密政策簡介 112
6.2 政府在VPN技術中扮演的角色 113
6.2.1 安全產品中的密鑰恢復 115
6.3 政府政策對VPN安全的影響 115
6.4 獲得使用強安全的許可權 116
6.5 政府入侵的經濟成本 117
6.6 合法加密狀態(tài) 119
6.7 國際對美國政府加密政策的影響 119
6.8 目前的狀況 120
6.9 小結 123
第二部分 虛擬專用網的實現
第七章 網絡基礎 127
7.1 確定策略 128
7.2 VPN體系結構的布局 130
7.3 路由選擇問題 131
7.3.1 流出VPN的通信量 132
7.3.2 流入VPN的通信量 133
7.3.3 重要的第三步 134
7.4 拓撲結構布局 136
7.5 IP/NAT地址分配問題 138
7.5.1 為什么以及什么時候使用靜態(tài)NAT 141
7.5.2 防火墻/VPN地址分配 144
7.6 遠程訪問問題 145
7.7 DNS/SMTP問題 147
7.8 小結 148
第八章 構建VPN(第一部分) 149
8.1 基于防火墻的VPN安裝入門 150
8.1.1 VPN的結構 151
8.1.2 要求 151
8.2 基于防火墻的VPN模型 153
8.3 獲得并分配IP地址空間 156
8.3.1 將230網絡劃分子網的目的 158
8.3.2 外部鏈路 158
8.3.3 DMZ1區(qū)的鏈路 158
8.3.4 DMZ2或者說是電子商務鏈路 159
8.3.5 內部接口 159
8.4 實現良好的安全措施 163
8.5 管理通信量 165
8.6 SMTP和DNS的實現問題 166
8.7 實現認證 167
8.7.1 內部用戶的通信量 168
8.7.2 對內部用戶進行認證的通信量 169
8.8 “丟棄所有”規(guī)則 170
8.9 實現VPN的有關規(guī)則 170
8.10 分支機構的VPN 171
8.11 遠程用戶的VPN 173
8.12 小結 175
第九章 構建VPN(第二部分) 177
9.1 服務供應商型VPN的服務 178
9.2 獨立型VPN服務 179
9.3 Aventail外部網中心 179
9.3.1 Aventail外部網服務器 179
9.3.2 Aventail策略控制臺 180
9.3.3 Aventail管理服務器 180
9.3.4 Aventail管理服務器配置工具 180
9.3.5 Aventail連接 180
9.3.6 Aventail公司產品介紹 181
9.3.7 在Windows NT上安裝Aventail服務器組件 181
9.3.8 在UNIX上安裝Aventail服務器組件 182
9.3.9 在Windows 9x和Windows NT上安裝Aventail客戶機組件 183
9.3.10 訪問控制規(guī)則 184
9.3.11 認證規(guī)則 185
9.4 Compatible Systems公司——訪問服務器 186
9.4.1 VPN訪問服務器的內部端口系列 187
9.4.2 學習例子——Adobe Systems有限公司 188
9.4.3 學習例子——New Hope通信公司 190
9.5 Nortel網絡公司——Extranet Switch 4000 191
9.5.1 配置該交換機 192
9.5.2 快速啟動 192
9.5.3 向導配置 193
9.5.4 管理外部網交換機 194
9.6 Radguard公司——cIPro系統(tǒng) 195
9.6.1 cIPro系統(tǒng)安全解決方案 196
9.6.2 cIPro系統(tǒng)的構成 196
9.6.3 監(jiān)控該系統(tǒng) 199
9.7 RedCreek公司——Ravlin 200
9.7.1 Ravlin的體系結構 201
9.8 TimeStep有限公司——PERMIT Enterprise 204
9.8.1 PERMIT Enterprise產品解決方案 204
9.8.2 PERMIT/Gate系列 205
9.8.3 PERMIT/Gate的主要好處 206
9.8.4 PERMIT/Client 206
9.8.5 PERMIT/Client的主要好處 206
9.8.6 PERMIT/Director 207
9.8.7 PERMIT/Director的主要好處 207
9.8.8 安裝 207
9.9 VPNet公司——VPLink體系結構* 208
9.9.1 VPNware產品 209
9.9.2 VPNet公司不使用防火墻的配置 211
9.9.3 VPNet公司使用防火墻的配置 211
9.9.4 嵌入式VPN配置 212
9.10 小結 213
第十章 VPN疑難解答 215
10.1 VPN疑難解答概述 216
10.2 遠程撥號用戶 218
10.2.1 疑難解答 219
10.3 LAN-to-LAN的VPN 224
10.4 使用PPTP協議的VPN 226
10.4.1 被動模式 226
10.4.2 主動模式 226
10.4.3 PPP數據通信 227
10.4.4 PPTP對連接的控制 227
10.4.5 PPTP數據隧道 228
10.5 使用L2TP的VPN 230
10.6 IPSec VPN 232
10.7 多端防火墻/VPN 235
10.8 小結 239
第十一章 虛擬專用網的維護 241
11.1 簡介 242
11.2 冗余鏈路 243
11.3 機構的不斷膨脹 244
11.4 軟件升級 245
11.4.1 VPN操作系統(tǒng) 245
11.4.2 黑匣VPN 246
11.5 現場技術支持 247
11.6 電話支持 247
11.7 遠程用戶的幫助臺支持 248
11.8 自己建立VPN還是購買產品 248
11.9 兼容性問題 249
11.10 監(jiān)測 249
11.11 報警 250
11.12 日志記錄 250
11.13 事件相關性 251
11.14 加密和封裝 252
11.15 密鑰管理 253
11.16 隨機數產生器 254
11.17 證書授權 254
11.18 安全性升級 255
11.19 主要升級的支持 255
11.20 隧道協議 256
11.21 管理設備 257
11.22 性能 258
11.23 服務質量 258
11.24 認證 258
11.25 熟練工人 259
11.26 小結 259
第三部分 虛擬專用網的安全基礎
第十二章 密碼學 263
12.1 何謂密碼 264
12.2 私鑰和公鑰密碼體制 265
12.3 分組密碼 266
12.3.1 數據加密標準(DES) 266
12.3.2 DES的弱點 267
12.3.3 弱密鑰 268
12.3.4 三重DES算法 268
12.3.5 Blowfish算法 268
12.3.6 國際數據加密算法(IDEA) 269
12.3.7 RC2 269
12.3.8 RC5分組密碼 270
12.3.9 Skipjack 270
12.3.10 其他的分組密碼 270
12.4 流密碼 270
12.4.1 RC4 271
12.4.2 線性反饋移位寄存器(LFSR) 271
12.4.3 混合同余偽隨機數生成器 271
12.4.4 級聯移位寄存器 271
12.4.5 Vernam 密碼 272
12.5 雜湊函數 272
12.5.1 信息摘要算法2. 4. 5(MD2. MD4. MD5) 272
12.5.2 安全雜湊算法(SHA和SHA-1) 273
12.6 消息認證碼(MAC) 273
12.7 數字時戳 273
12.8 證書管理機構和數字簽名 274
12.8.1 證書的作用 274
12.9 密碼雜湊函數的強度 275
12.10 隨機數生成器 275
12.11 Clipper 芯片 276
12.12 選擇合適的密碼系統(tǒng) 277
12.13 密碼學發(fā)展史 277
12.14 小結 284
第十三章 加密 287
13.1 私鑰加密 288
13.2 公鑰加密 290
13.3 共享秘密密鑰 291
13.4 數字簽名 292
13.5 證書管理機構(CA) 293
13.6 Diffie-Hellman公鑰算法 294
13.7 RSA公鑰算法 295
13.8 PGP軟件系統(tǒng) 296
13.9 Internet安全協議(IPSec) 297
13.9.1 認證首部(AH)RFC-2402 298
13.10 封裝的安全有效負載RFC-2402 299
13.10.1 IPSec中存在的問題 300
13.10.2 Internet密鑰交換(IKE) 301
13.10.3 ISAKMP 301
13.10.4 Oakley協議 302
13.11 公鑰基礎設施(PKI) 302
13.12 第2層轉發(fā)協議(L2F) 303
13.13 點到點隧道協議(PPTP) 304
13.14 第2層隧道協議(L2TP) 306
13.15 簡單密鑰Internet協議(SKIP) 307
13.16 安全廣域網(S/WAN) 307
13.17 小結 308
第十四章 安全通信和認證 309
14.1 認證協議 310
14.2 操作系統(tǒng)口令 311
14.3 S/KEY算法 312
14.4 遠程認證撥號業(yè)務(RADIUS) 314
14.5 終端訪問控制器訪問控制系統(tǒng)(TACACS/XTACACS) 316
14.6 終端訪問控制器訪問控制系統(tǒng)增強版(TACACS+) 317
14.7 Kerberos認證協議 318
14.8 證書 320
14.8.1 證書標準 320
14.8.2 獲取證書 321
14.9 智能卡 323
14.10 硬件令牌/PKCS #1 324
14.11 輕量級目錄檢索協議(LDAP) 325
14.12 ACE/具有安全ID的服務器(Server with SecurID) 326
14.13 生物測定 327
14.14 安全調制解調器 328
14.15 小結 329
第十五章 VPN操作系統(tǒng)的弱點 331
15.1 VPN操作系統(tǒng)的弱點 332
15.2 UNIX指南 333
15.3 UNIX系統(tǒng)中共同的配置問題 333
15.4 UNIX操作系統(tǒng)的弱點 335
15.4.1 專用系統(tǒng)的弱點 336
15.5 Windows 95指南 340
15.6 Windows 95的弱點 341
15.7 Windows NT指南 342
15.8 Windows NT安全對象 344
15.9 Windows NT的弱點 345
15.10 Novell指南 345
15.11 小結 346
第十六章 VPN安全性攻擊 349
16.1 VPN攻擊簡介 350
16.2 密碼算法攻擊 350
16.2.1 攻擊協議 351
16.2.2 攻擊算法 351
16.2.3 攻擊實現方式 351
16.2.4 常見的密碼算法攻擊 351
16.3 對隨機數發(fā)生器(RNG)的攻擊 354
16.4 通過恢復密鑰的政府攻擊 355
16.5 Internet安全(IPSec)攻擊 356
16.5.1 實現方式攻擊 357
16.5.2 密鑰管理攻擊 357
16.5.3 密鑰恢復/出口法律攻擊 357
16.5.4 管理員和通配符攻擊 358
16.5.5 IPSec的弱點 358
16.5.6 客戶機認證 358
16.5.7 證書管理機構 359
16.5.8 網絡地址翻譯 359
16.5.9 必要的特征 359
16.6 點到點隧道協議(PPTP)攻擊 360
16.6.1 攻擊GRE 360
16.6.2 攻擊口令 361
16.7 SKIP攻擊 362
16.8 證書管理機構攻擊 363
16.8.1 密碼分析攻擊 363
16.8.2 時戳攻擊 363
16.8.3 硬件攻擊 364
16.8.4 弱攻擊 364
16.8.5 RADIUS攻擊 365
16.9 Kerberos攻擊 365
16.10 PGP(Pretty Good Privacy)攻擊 366
16.10.1 IDEA 367
16.10.2 RSA 367
16.10.3 MD5 367
16.10.4 PRNG 367
16.11 業(yè)務否認(DoS)攻擊 368
16.11.1 TCP SYN攻擊 368
16.11.2 smurf攻擊 369
16.11.3 UDP診斷攻擊 370
16.11.4 ICMP重定向攻擊 370
16.11.5 Teardrop. ping死鎖. boink和Land攻擊 370
16.11.6 欺騙攻擊 371
16.12 其他攻擊方式 371
16.12.1 特洛伊木馬(Trojan) 371
16.12.2 遠程攻擊 372
16.12.3 基于telnet的攻擊 372
16.12.4 生日攻擊 372
16.13 小結 373
第十七章 安全工具集 375
17.1 什么是安全工具集 376
17.1.1 培訓 376
17.1.2 管理培訓 377
17.1.3 安全咨詢 377
17.1.4 新聞組/郵寄名單 377
17.1.5 電話支持 378
17.1.6 廠商安全主頁/郵寄名單 378
17.1.7 政府部門 378
17.1.8 擴大過程 379
17.2 安全工具集的需求 379
17.2.1 安裝不合適的補丁程序 379
17.2.2 存在弱點的缺省安全配置 380
17.2.3 缺乏足夠的安全資源 380
17.2.4 非強制的動態(tài)策略和標準 380
17.2.5 用過多的秘密代替安全 381
17.3 RFC 2196站點安全手冊 381
17.3.1 基本方法 381
17.3.2 聲明 382
17.3.3 安全目標 382
17.3.4 多方參與 383
17.3.5 靈活的安全策略 383
17.4 擴大安全過程 384
17.4.1 FBI外地辦事處 384
17.5 構建安全站點 385
17.6 安全工具 387
17.6.1 郵件中繼 390
17.7 事故響應中心 391
17.8 郵寄名單/新聞組 393
17.8.1 郵寄名單 393
17.8.2 新聞組 394
17.9 Web安全 394
17.9.1 Web服務器 395
17.9.2 Web服務器的弱點 395
17.9.3 ActiveX/Java 397
17.9.4 ActiveX 397
17.9.5 Java 397
17.9.6 攻擊性代碼 398
17.10 小結 398
第十八章 入侵檢測和安全掃描 401
18.1 入侵檢測簡介 402
18.1.1 入侵檢測系統(tǒng)的需求 404
18.2 入侵檢測系統(tǒng)的分類 404
18.2.1 誤用(模式)引擎(Misuse. Pattern Engines) 405
18.2.2 異常引擎(Anomaly Engines) 405
18.2.3 網絡入侵檢測系統(tǒng) 406
18.2.4 系統(tǒng)入侵檢測系統(tǒng) 406
18.2.5 日志入侵檢測系統(tǒng) 406
18.2.6 偽入侵檢測系統(tǒng) 406
18.3 優(yōu)秀的入侵檢測系統(tǒng) 406
18.4 入侵檢測/蹤跡 407
18.5 攻擊識別 409
18.5.1 入侵蹤跡 410
18.6 欺騙入侵檢測系統(tǒng) 411
18.6.1 入侵檢測系統(tǒng)的局限性 412
18.7 入侵檢測工具 413
18.8 防止入侵 417
18.9 掃描器 419
18.9.1 本地掃描器 419
18.9.2 遠程掃描器 420
18.9.3 專用掃描器 420
18.10 小結 421
第十九章 展望VPN新技術 423
19.1 新技術簡介 424
19.2 新的計算技術 425
19.2.1 量子計算 425
19.2.2 光子計算 426
19.3 對密碼系統(tǒng)的影響 427
19.4 橢圓曲線密碼 430
19.5 專用門鈴 431
19.6 隱寫術 432
19.6.1 隱寫術工具 433
19.7 新的威脅 434
19.8 政府管制 435
19.8.1 Wassenaar協議 436
19.8.2 世界知識產權局條約 437
19.9 無線虛擬專用網 438
19.10 小結 438
附錄 鏈接和參考 441
縮略語 443