构建虚拟专用网

第一部分 VPN基础

第一章 VPN技术介绍 3

1.1 什么是VPN 4

1.1.1 VPN应用的四个领域 7

1.2 VPN的组成部分 11

1.3 谁支持VPN 15

1.4 VPN的增长 15

1.5 确定对VPN的需求 16

1.6 商务需要VPN 17

1.7 如何选择VPN设备 18

1.7.1 法律对VPN的影响 19

1.8 小结 20

第二章 VPN的网络安全 23

2.1 什么是网络安全 24

2.2 如何防范威胁 26

2.2.1 你的对手是谁 26

2.2.2 薄弱环节 27

2.2.3 用户访问控制 28

2.2.4 不要轻信于人 28

2.2.5 该怎么办 29

2.2.6 变幻无常的安全性 30

2.2.7 员工的破坏 31

2.2.8 密钥恢复 31

2.2.9 后台检查 32

2.2.10 安全性方面的隐藏的开销 32

2.3 如何识别攻击 33

2.3.1 审计追踪和日志 33

2.3.2 监控 33

2.3.3 硬盘加密 34

2.4 VPN有哪些安全需求 34

2.4.1 加密 35

2.4.2 VPN设备 35

2.4.3 鉴定 35

2.4.4 不可否认 36

2.4.5 点到点加密 36

2.4.6 集中式安全管理 36

2.4.7 备份或恢复的程序 37

2.5 实现VPN时安全问题的重要性 37

2.6 实现一个不错的安全策略 38

2.7 公司防守严密吗 40

2.7.1 风险分析 40

2.7.2 信息风险管理 41

2.7.3 安全的适应性 41

2.8 攻击有哪些类型 41

2.9 小结 42

第三章 VPN技术的优缺点 43

3.1 VPN的优点 44

3.2 VPN带来的成本节约 45

3.3 网络设计 46

3.4 终端用户使用VPN带来的好处 48

3.4.1 合理利用资金 48

3.4.2 数据访问 49

3.4.3 通信量的优先级 49

3.5 全球访问的好处 49

3.5.1 远程电信会议 50

3.5.2 IP电话 50

3.6 给ISP带来的好处 50

3.6.1 新业务 50

3.6.2 受控服务 51

3.7 VPN的竞争优势 51

3.8 VPN技术的开销 51

3.8.1 ISP的网络基础结构 52

3.8.2 VPN设备 54

3.8.3 维护开销 55

3.8.4 使用许可 55

3.8.5 2000年问题的解决 55

3.8.6 加密的开销 56

3.8.7 管理 58

3.8.8 安全维护人员 58

3.8.9 帮助台 59

3.9 额外的通信开销 59

3.9.1 长途 60

3.9.2 800号 60

3.10 服务质量保证 61

3.11 服务级别协议 62

3.11.1 网络正常运行时间 62

3.11.2 带宽 63

3.11.3 等待时间 63

3.12 小结 64

第四章 VPN的体系结构 67

4.1 体系结构介绍 68

4.2 哪种VPN适合你？ 69

4.2.1 我了解什么是VPN吗？ 69

4.2.2 我觉得建立一个VPN合适吗？ 69

4.2.3 节约资金是唯一的目的吗？ 70

4.2.4 要使用VPN进行全球的商务活动吗？ 70

4.2.5 你将建立一个企业外部网吗？ 71

4.2.6 公司有足够的技术实力来建立并维护VPN吗？ 71

4.2.7 你想使用帧中继或ATM的VPN吗？ 71

4.2.8 采用何种安全技术？ 72

4.2.9 公司打算支持哪种类型的硬件结构？ 72

4.2.10 估计这个VPN的用户将有多少？ 72

4.2.11 你还可以向自己或公司提出更多别的问题 73

4.3 网络服务供应商提供的VPN 73

4.3.1 安全性 75

4.3.2 更改控制 75

4.3.3 故障排除 75

4.3.4 功能 76

4.3.5 授权 76

4.3.6 网络利用率 76

4.3.7 设备的利用 76

4.3.8 客户应用 77

4.3.9 密钥管理 77

4.4 基于防火墙的VPN 77

4.5 基于黑匣的VPN 79

4.6 基于路由器的VPN 80

4.7 基于远程访问的VPN 81

4.8 对应用程序敏感的/代理工具包VPN 82

4.9 VPN的多服务应用程序 83

4.10 基于软件的VPN 84

4.11 VPN的隧道交换 85

4.12 性能统计/比较 85

4.13 认证/一致性 88

4.14 小结 88

第五章 VPN的拓扑结构 91

5.1 VPN拓扑结构介绍 92

5.2 防火墙/VPN到客户机的拓扑结构 93

5.3 VPN/LAN-to-LAN拓扑结构 95

5.4 VPN/防火墙到企业内部网/企业外部网拓扑结构 97

5.5 VPN/帧或ATM拓扑结构 100

5.6 硬件(黑匣)VPN拓扑结构 101

5.7 VPN/NAT拓扑结构 103

5.8 VPN交换拓扑结构 105

5.9 VPN嵌套隧道 105

5.10 负载平衡和同步 107

5.10.1 负载平衡 107

5.10.2 同步 109

5.11 小结 110

第六章 联邦政府对VPN技术的管制 111

6.1 加密政策简介 112

6.2 政府在VPN技术中扮演的角色 113

6.2.1 安全产品中的密钥恢复 115

6.3 政府政策对VPN安全的影响 115

6.4 获得使用强安全的许可权 116

6.5 政府入侵的经济成本 117

6.6 合法加密状态 119

6.7 国际对美国政府加密政策的影响 119

6.8 目前的状况 120

6.9 小结 123

第二部分 虚拟专用网的实现

第七章 网络基础 127

7.1 确定策略 128

7.2 VPN体系结构的布局 130

7.3 路由选择问题 131

7.3.1 流出VPN的通信量 132

7.3.2 流入VPN的通信量 133

7.3.3 重要的第三步 134

7.4 拓扑结构布局 136

7.5 IP/NAT地址分配问题 138

7.5.1 为什么以及什么时候使用静态NAT 141

7.5.2 防火墙/VPN地址分配 144

7.6 远程访问问题 145

7.7 DNS/SMTP问题 147

7.8 小结 148

第八章 构建VPN(第一部分) 149

8.1 基于防火墙的VPN安装入门 150

8.1.1 VPN的结构 151

8.1.2 要求 151

8.2 基于防火墙的VPN模型 153

8.3 获得并分配IP地址空间 156

8.3.1 将230网络划分子网的目的 158

8.3.2 外部链路 158

8.3.3 DMZ1区的链路 158

8.3.4 DMZ2或者说是电子商务链路 159

8.3.5 内部接口 159

8.4 实现良好的安全措施 163

8.5 管理通信量 165

8.6 SMTP和DNS的实现问题 166

8.7 实现认证 167

8.7.1 内部用户的通信量 168

8.7.2 对内部用户进行认证的通信量 169

8.8 “丢弃所有”规则 170

8.9 实现VPN的有关规则 170

8.10 分支机构的VPN 171

8.11 远程用户的VPN 173

8.12 小结 175

第九章 构建VPN(第二部分) 177

9.1 服务供应商型VPN的服务 178

9.2 独立型VPN服务 179

9.3 Aventail外部网中心 179

9.3.1 Aventail外部网服务器 179

9.3.2 Aventail策略控制台 180

9.3.3 Aventail管理服务器 180

9.3.4 Aventail管理服务器配置工具 180

9.3.5 Aventail连接 180

9.3.6 Aventail公司产品介绍 181

9.3.7 在Windows NT上安装Aventail服务器组件 181

9.3.8 在UNIX上安装Aventail服务器组件 182

9.3.9 在Windows 9x和Windows NT上安装Aventail客户机组件 183

9.3.10 访问控制规则 184

9.3.11 认证规则 185

9.4 Compatible Systems公司——访问服务器 186

9.4.1 VPN访问服务器的内部端口系列 187

9.4.2 学习例子——Adobe Systems有限公司 188

9.4.3 学习例子——New Hope通信公司 190

9.5 Nortel网络公司——Extranet Switch 4000 191

9.5.1 配置该交换机 192

9.5.2 快速启动 192

9.5.3 向导配置 193

9.5.4 管理外部网交换机 194

9.6 Radguard公司——cIPro系统 195

9.6.1 cIPro系统安全解决方案 196

9.6.2 cIPro系统的构成 196

9.6.3 监控该系统 199

9.7 RedCreek公司——Ravlin 200

9.7.1 Ravlin的体系结构 201

9.8 TimeStep有限公司——PERMIT Enterprise 204

9.8.1 PERMIT Enterprise产品解决方案 204

9.8.2 PERMIT/Gate系列 205

9.8.3 PERMIT/Gate的主要好处 206

9.8.4 PERMIT/Client 206

9.8.5 PERMIT/Client的主要好处 206

9.8.6 PERMIT/Director 207

9.8.7 PERMIT/Director的主要好处 207

9.8.8 安装 207

9.9 VPNet公司——VPLink体系结构* 208

9.9.1 VPNware产品 209

9.9.2 VPNet公司不使用防火墙的配置 211

9.9.3 VPNet公司使用防火墙的配置 211

9.9.4 嵌入式VPN配置 212

9.10 小结 213

第十章 VPN疑难解答 215

10.1 VPN疑难解答概述 216

10.2 远程拨号用户 218

10.2.1 疑难解答 219

10.3 LAN-to-LAN的VPN 224

10.4 使用PPTP协议的VPN 226

10.4.1 被动模式 226

10.4.2 主动模式 226

10.4.3 PPP数据通信 227

10.4.4 PPTP对连接的控制 227

10.4.5 PPTP数据隧道 228

10.5 使用L2TP的VPN 230

10.6 IPSec VPN 232

10.7 多端防火墙/VPN 235

10.8 小结 239

第十一章 虚拟专用网的维护 241

11.1 简介 242

11.2 冗余链路 243

11.3 机构的不断膨胀 244

11.4 软件升级 245

11.4.1 VPN操作系统 245

11.4.2 黑匣VPN 246

11.5 现场技术支持 247

11.6 电话支持 247

11.7 远程用户的帮助台支持 248

11.8 自己建立VPN还是购买产品 248

11.9 兼容性问题 249

11.10 监测 249

11.11 报警 250

11.12 日志记录 250

11.13 事件相关性 251

11.14 加密和封装 252

11.15 密钥管理 253

11.16 随机数产生器 254

11.17 证书授权 254

11.18 安全性升级 255

11.19 主要升级的支持 255

11.20 隧道协议 256

11.21 管理设备 257

11.22 性能 258

11.23 服务质量 258

11.24 认证 258

11.25 熟练工人 259

11.26 小结 259

第三部分 虚拟专用网的安全基础

第十二章 密码学 263

12.1 何谓密码 264

12.2 私钥和公钥密码体制 265

12.3 分组密码 266

12.3.1 数据加密标准(DES) 266

12.3.2 DES的弱点 267

12.3.3 弱密钥 268

12.3.4 三重DES算法 268

12.3.5 Blowfish算法 268

12.3.6 国际数据加密算法(IDEA) 269

12.3.7 RC2 269

12.3.8 RC5分组密码 270

12.3.9 Skipjack 270

12.3.10 其他的分组密码 270

12.4 流密码 270

12.4.1 RC4 271

12.4.2 线性反馈移位寄存器(LFSR) 271

12.4.3 混合同余伪随机数生成器 271

12.4.4 级联移位寄存器 271

12.4.5 Vernam 密码 272

12.5 杂凑函数 272

12.5.1 信息摘要算法2. 4. 5(MD2. MD4. MD5) 272

12.5.2 安全杂凑算法(SHA和SHA-1) 273

12.6 消息认证码(MAC) 273

12.7 数字时戳 273

12.8 证书管理机构和数字签名 274

12.8.1 证书的作用 274

12.9 密码杂凑函数的强度 275

12.10 随机数生成器 275

12.11 Clipper 芯片 276

12.12 选择合适的密码系统 277

12.13 密码学发展史 277

12.14 小结 284

第十三章 加密 287

13.1 私钥加密 288

13.2 公钥加密 290

13.3 共享秘密密钥 291

13.4 数字签名 292

13.5 证书管理机构(CA) 293

13.6 Diffie-Hellman公钥算法 294

13.7 RSA公钥算法 295

13.8 PGP软件系统 296

13.9 Internet安全协议(IPSec) 297

13.9.1 认证首部(AH)RFC-2402 298

13.10 封装的安全有效负载RFC-2402 299

13.10.1 IPSec中存在的问题 300

13.10.2 Internet密钥交换(IKE) 301

13.10.3 ISAKMP 301

13.10.4 Oakley协议 302

13.11 公钥基础设施(PKI) 302

13.12 第2层转发协议(L2F) 303

13.13 点到点隧道协议(PPTP) 304

13.14 第2层隧道协议(L2TP) 306

13.15 简单密钥Internet协议(SKIP) 307

13.16 安全广域网(S/WAN) 307

13.17 小结 308

第十四章 安全通信和认证 309

14.1 认证协议 310

14.2 操作系统口令 311

14.3 S/KEY算法 312

14.4 远程认证拨号业务(RADIUS) 314

14.5 终端访问控制器访问控制系统(TACACS/XTACACS) 316

14.6 终端访问控制器访问控制系统增强版(TACACS+) 317

14.7 Kerberos认证协议 318

14.8 证书 320

14.8.1 证书标准 320

14.8.2 获取证书 321

14.9 智能卡 323

14.10 硬件令牌/PKCS #1 324

14.11 轻量级目录检索协议(LDAP) 325

14.12 ACE/具有安全ID的服务器(Server with SecurID) 326

14.13 生物测定 327

14.14 安全调制解调器 328

14.15 小结 329

第十五章 VPN操作系统的弱点 331

15.1 VPN操作系统的弱点 332

15.2 UNIX指南 333

15.3 UNIX系统中共同的配置问题 333

15.4 UNIX操作系统的弱点 335

15.4.1 专用系统的弱点 336

15.5 Windows 95指南 340

15.6 Windows 95的弱点 341

15.7 Windows NT指南 342

15.8 Windows NT安全对象 344

15.9 Windows NT的弱点 345

15.10 Novell指南 345

15.11 小结 346

第十六章 VPN安全性攻击 349

16.1 VPN攻击简介 350

16.2 密码算法攻击 350

16.2.1 攻击协议 351

16.2.2 攻击算法 351

16.2.3 攻击实现方式 351

16.2.4 常见的密码算法攻击 351

16.3 对随机数发生器(RNG)的攻击 354

16.4 通过恢复密钥的政府攻击 355

16.5 Internet安全(IPSec)攻击 356

16.5.1 实现方式攻击 357

16.5.2 密钥管理攻击 357

16.5.3 密钥恢复/出口法律攻击 357

16.5.4 管理员和通配符攻击 358

16.5.5 IPSec的弱点 358

16.5.6 客户机认证 358

16.5.7 证书管理机构 359

16.5.8 网络地址翻译 359

16.5.9 必要的特征 359

16.6 点到点隧道协议(PPTP)攻击 360

16.6.1 攻击GRE 360

16.6.2 攻击口令 361

16.7 SKIP攻击 362

16.8 证书管理机构攻击 363

16.8.1 密码分析攻击 363

16.8.2 时戳攻击 363

16.8.3 硬件攻击 364

16.8.4 弱攻击 364

16.8.5 RADIUS攻击 365

16.9 Kerberos攻击 365

16.10 PGP(Pretty Good Privacy)攻击 366

16.10.1 IDEA 367

16.10.2 RSA 367

16.10.3 MD5 367

16.10.4 PRNG 367

16.11 业务否认(DoS)攻击 368

16.11.1 TCP SYN攻击 368

16.11.2 smurf攻击 369

16.11.3 UDP诊断攻击 370

16.11.4 ICMP重定向攻击 370

16.11.5 Teardrop. ping死锁. boink和Land攻击 370

16.11.6 欺骗攻击 371

16.12 其他攻击方式 371

16.12.1 特洛伊木马(Trojan) 371

16.12.2 远程攻击 372

16.12.3 基于telnet的攻击 372

16.12.4 生日攻击 372

16.13 小结 373

第十七章 安全工具集 375

17.1 什么是安全工具集 376

17.1.1 培训 376

17.1.2 管理培训 377

17.1.3 安全咨询 377

17.1.4 新闻组/邮寄名单 377

17.1.5 电话支持 378

17.1.6 厂商安全主页/邮寄名单 378

17.1.7 政府部门 378

17.1.8 扩大过程 379

17.2 安全工具集的需求 379

17.2.1 安装不合适的补丁程序 379

17.2.2 存在弱点的缺省安全配置 380

17.2.3 缺乏足够的安全资源 380

17.2.4 非强制的动态策略和标准 380

17.2.5 用过多的秘密代替安全 381

17.3 RFC 2196站点安全手册 381

17.3.1 基本方法 381

17.3.2 声明 382

17.3.3 安全目标 382

17.3.4 多方参与 383

17.3.5 灵活的安全策略 383

17.4 扩大安全过程 384

17.4.1 FBI外地办事处 384

17.5 构建安全站点 385

17.6 安全工具 387

17.6.1 邮件中继 390

17.7 事故响应中心 391

17.8 邮寄名单/新闻组 393

17.8.1 邮寄名单 393

17.8.2 新闻组 394

17.9 Web安全 394

17.9.1 Web服务器 395

17.9.2 Web服务器的弱点 395

17.9.3 ActiveX/Java 397

17.9.4 ActiveX 397

17.9.5 Java 397

17.9.6 攻击性代码 398

17.10 小结 398

第十八章 入侵检测和安全扫描 401

18.1 入侵检测简介 402

18.1.1 入侵检测系统的需求 404

18.2 入侵检测系统的分类 404

18.2.1 误用(模式)引擎(Misuse. Pattern Engines) 405

18.2.2 异常引擎(Anomaly Engines) 405

18.2.3 网络入侵检测系统 406

18.2.4 系统入侵检测系统 406

18.2.5 日志入侵检测系统 406

18.2.6 伪入侵检测系统 406

18.3 优秀的入侵检测系统 406

18.4 入侵检测/踪迹 407

18.5 攻击识别 409

18.5.1 入侵踪迹 410

18.6 欺骗入侵检测系统 411

18.6.1 入侵检测系统的局限性 412

18.7 入侵检测工具 413

18.8 防止入侵 417

18.9 扫描器 419

18.9.1 本地扫描器 419

18.9.2 远程扫描器 420

18.9.3 专用扫描器 420

18.10 小结 421

第十九章 展望VPN新技术 423

19.1 新技术简介 424

19.2 新的计算技术 425

19.2.1 量子计算 425

19.2.2 光子计算 426

19.3 对密码系统的影响 427

19.4 椭圆曲线密码 430

19.5 专用门铃 431

19.6 隐写术 432

19.6.1 隐写术工具 433

19.7 新的威胁 434

19.8 政府管制 435

19.8.1 Wassenaar协议 436

19.8.2 世界知识产权局条约 437

19.9 无线虚拟专用网 438

19.10 小结 438

附录 链接和参考 441

缩略语 443