防火墻和VPN是當今應用最為廣泛的網絡安全產品和技術，但是目前市場上的防火墻和VPN產品眾多，最新一代防火墻的功能更可以說是令人眼花繚亂，而各類企業和組織的情況千差萬別，如何才能在市場上眾多品牌和型號的產品中選擇最適合自身需求的產品，并且在實施過程中還能夠充分發揮所選擇產品的效用呢？其關鍵在于選擇合適的產品和技術，并且編寫精煉準確的安全策略，以便在安全和可用性之間尋求一個最佳平衡點。

本書從基本概念出發，結合典型案例，深入淺出地介紹了如何根據不同組織的需求來設計和實施防火墻和VPN。本書還對當前業界領先的各類防火墻產品進行了較為全面的分析比較，采用簡單明了的文字介紹了這些產品的特性、弱點和復雜性，同時還對VPN策略進行了深入闡述。此外，本書還針對不同章節的主題提供了豐富的、極富價值的參考鏈接。

全書分為四部分：第一部分介紹網絡安全策略的基本概念，本著編寫與廠商無關策略的出發點，該部分介紹了如何定義通用的安全策略以及根據所編制的安全策略建立防火墻和VPN配置的基本原則。第二部分介紹防火墻，在介紹應用程序代理和網關等不同類型防火墻及其特點的基礎上，重點分析比較了市場上常見的幾種軟硬件防火墻產品的特性，并由此闡述如何選擇合適的防火墻解決方案。第三部分介紹VPN，在介紹什么是VPN并對業界流行的IPSec、SSL、SSH Tunnel和L2TP等VPN技術的特性和優缺點進行分析比較的基礎上，本部分深入介紹了軟、硬件VPN設備的特性，并對業界流行的各類產品進行了較為全面的比較分析，以便于讀者進行選擇。第四部分在介紹企業安全技術之根本的IT基礎架構安全計劃及其實施原則的基礎上，通過兩個典型規模的企業實例，介紹了如何結合各自的實際需求與情況，設計并采用不同的防火墻和VPN實施方案以保證企業安全。

本書由謝琳、趙俐、黃鋁文翻譯，在翻譯過程中，得到了易磊、張猛、張波、歐陽宇、盛海燕、安曉梅、徐紅霞的幫助，其中易磊審校了全文，在此一并致謝。由于時間倉促，加之譯者水平有限，譯文中錯漏之處難免，敬請讀者指正。

譯者

2007年6月

譯者序
關于作者
第一部分 安全策略
第1章 網絡安全策略 2
1.1 引言 2
1.2 定義組織 4
1.2.1 信息危險程度 5
1.2.2 影響分析 6
1.2.3 系統定義 6
1.2.4 信息流 7
1.2.5 范圍 7
1.2.6 人和過程 7
1.2.7 策略和過程 8
1.2.8 組織需要 8
1.2.9 規章/遵從 9
1.2.10 建立基線 10
1.3 處理公司網絡風險 10
1.4 起草網絡安全策略 11
1.4.1 簡介 12
1.4.2 指南 12
1.4.3 標準 12
1.4.4 過程 13
1.4.5 部署 14
1.4.6 執行 14
1.4.7 修改或例外 14
1.5 不同組織的不同訪問 14
1.5.1 可信網絡 15
1.5.2 定義不同類型的網絡訪問 16
1.6 不可信網絡 17
1.6.1 識別潛在威脅 19
1.6.2 在當今企業中使用VPN 19
1.6.3 安全企業的戰爭 20
1.6.4 DMZ概念 21
1.6.5 通信流量的概念 25
1.6.6 有DMZ和無DMZ的網絡 27
1.6.7 DMZ設計基礎 29
1.6.8 為網絡中主機間數據傳輸設計端到端安全 30
1.6.9 通信流量和協議基礎 31
1.6.10 讓安全來臨 31
1.7 小結 31
1.8 解決方案速查 32
1.9 FAQ 33
第2章 使用策略創建防火墻和VPN配置 35
2.1 引言 35
2.2 什么是邏輯安全配置 36
2.3 計劃邏輯安全配置 37
2.3.1 識別網絡資產 38
2.3.2 繪制網絡資產剖面圖 39
2.3.3 用戶和用戶組 44
2.4 編寫邏輯安全配置 45
2.4.1 邏輯安全配置：防火墻 45
2.4.2 邏輯安全配置：VPN 47
2.5 小結 49
2.6 解決方案速查 50
2.7 FAQ 51
第二部分 防火墻概述
第3章 定義防火墻 54
3.1 引言 54
3.2 為什么有不同類型的防火墻 54
3.3 基礎知識：傳輸控制協議/網際協議 62
3.3.1 TCP/IP首部 63
3.3.2 TCP/UDP端口 67
3.3.3 數據型數據包 70
3.4 防火墻類型 73
3.5 應用程序代理 73
3.5.1 優點 75
3.5.2 缺點 75
3.6 網關 78
3.6.1 包過濾器 78
3.6.2 狀態檢測 81
3.7 小結 86
3.8 解決方案速查 86
3.9 FAQ 87
第4章 選擇防火墻 93
4.1 引言 93
4.2 設備/硬件解決方案 93
4.2.1 基本描述 93
4.2.2 Nokia加固設備 128
4.3 軟件解決方案 133
4.3.1 基本描述 133
4.3.2 例子 136
4.4 小結 153
4.5 解決方案速查 156
4.6 FAQ 158
第三部分 VPN概述
第5章 定義VPN 162
5.1 引言 162
5.2 什么是VPN 163
5.2.1 VPN部署模型 164
5.2.2 拓撲模型 166
5.2.3 VPN的優點 170
5.2.4 VPN的缺點 170
5.3 公共密鑰加密 170
5.3.1 PKI 171
5.3.2 證書 171
5.3.3 CRL 172
5.4 IPSec 172
5.4.1 IPSec的優點 181
5.4.2 IPSec的缺點 181
5.5 SSL VPN 182
5.5.1 技術描述 183
5.5.2 Linux中的SSL隧道 185
5.5.3 優點 187
5.5.4 缺點 188
5.6 二層解決方案 189
5.6.1 PPTP與L2TP 190
5.6.2 MPLS的技術描述 191
5.6.3 優點 192
5.6.4 缺點 193
5.7 SSH隧道 194
5.7.1 技術描述 194
5.7.2 優點 199
5.7.3 缺點 200
5.8 其他 200
5.8.1 技術描述 202
5.8.2 優點 203
5.8.3 缺點 204
5.9 小結 204
5.10 解決方案速查 204
5.11 FAQ 205
第6章 選擇VPN 207
6.1 引言 207
6.2 設備/硬件解決方案 210
6.2.1 基本描述 210
6.2.2 專有硬件 210
6.2.3 專用操作系統 211
6.2.4 硬件設備解決方案的例子 211
6.3 軟件解決方案 223
6.3.1 基本描述 224
6.3.2 例子 228
6.4 小結 231
6.5 解決方案速查 232
6.6 FAQ 233
第四部分 實現防火墻和VPN（案例分析）
第7章 IT基礎架構安全規劃 236
7.1 引言 236
7.2 基礎架構安全性評估 236
7.2.1 內部環境 238
7.2.2 人員和流程 240
7.2.3 技術 242
7.2.4 建立基線 242
7.2.5 處理公司網絡風險 243
7.2.6 外部環境 245
7.2.7 威脅 245
7.2.8 網絡安全檢查列表 251
7.3 項目參數 273
7.3.1 需求 274
7.3.2 范圍 276
7.3.3 進度 276
7.3.4 預算 277
7.3.5 質量 277
7.3.6 所需的關鍵技能 278
7.3.7 所需的關鍵人員 279
7.3.8 項目流程和規程 279
7.4 項目團隊 280
7.5 項目組織 280
7.6 項目工作分解結構 281
7.7 項目風險和緩解策略 285
7.8 項目約束和假定 286
7.9 項目進度安排和預算 287
7.10 IT基礎架構安全項目概述 288
7.11 小結 289
7.12 解決方案速查 290
第8章 案例研究：SOHO環境 （5臺計算機、打印機、服務器等） 294
8.1 引言 294
8.1.1 用netstat判斷系統的開放端口 294
8.1.2 用lsof確定更多信息 299
8.1.3 在Windows XP上使用netstat 300
8.2 在SOHO環境中使用防火墻 302
8.3 SOHO防火墻案例研究介紹 303
8.3.1 評估客戶需求 303
8.3.2 定義案例研究的范圍 304
8.4 定義SOHO防火墻 304
8.4.1 確定功能需求 305
8.4.2 創建家庭站點調查 306
8.4.3 識別當前的技術選項和約束 306
8.4.4 實現SOHO防火墻 307
8.5 小結 311
8.6 解決方案速查 312
8.7 FAQ 313
第9章 中等規模企業（少于2000人）的解決方案 315
9.1 引言 315
9.2 規劃系統 316
9.2.1 向別人求教 316
9.2.2 電纜圖 320
9.2.3 IP尋址和VLAN 321
9.2.4 軟件工具 321
9.2.5 規劃的結果 332
9.3 通過身份管理改善責任機制 332
9.4 VPN連通性 354
9.5 小結 357
9.6 解決方案速查 357
9.7 FAQ 358本書是一本介紹防火墻和VPN概念和實施的實戰指南。全書從概念出發，在對當前市場上領先的各類防火墻和VPN產品進行較為全面的比較分析的基礎上，結合典型案例分析，深入闡述了如何制定適合組織需要的安全策略和設計和實施防火墻與VPN解決方案。
全書共分為四個部分：第一部分介紹網絡安全策略；第二部分介紹防火墻的概念和實施；第三部分介紹VPN的概念以及如何選擇VPN；最后一部分結合實例介紹不同規模的組織如何設計和實施防火墻和VPN。
本書通俗易懂，實例豐富，既可作為網絡安全專業人士的實戰指南，也適合各類關注網絡安全的人士參考。

1. 輸水管線工程風險管理 [張勇 黨亥生 著]
2. 民用航空飛機標準線路施工 [主編　王志敏　陳明]
3. 不息的水脈—大運河講談錄 [趙珩　著]
4. 實用運籌學 [主編　邢育紅　于晉臣]
5. 三峽梯級電站水資源決策支持系統研究與開發 [姚華明 潘紅忠 湯正]
6. 海南黎族民俗文化鑒賞 [龐國華　著]
7. 石墨烯在太赫茲及中紅外頻段電磁器件設計中的應用 [李艷秀 莊華偉 著]
8. 電子技術（第二版） [主編 覃愛娜 李飛]
9. 辦公自動化高級應用 [陳萍 朱曉玉]
10. 信息處理技術員考試32小時通關 [薛大龍]
11. 電子產品設計案例教程（微課版）—基于嘉立創EDA（專業版） [王靜 莫志宏 陳學昌 丁紅]
12. C程序設計實踐教程 [劉衛國]
13. C程序設計（慕課版） [劉衛國]
14. Web技術開發教程（基于.NET開源MVC框架） [王合闖 韓紅玲 王青正 陳海蕊]
15. 商務英語翻譯教程（筆譯）（第四版） [主編 王軍平]
16. 智慧零售技術與應用 [洪旭 著]
17. 建設工程法規實務 [主編 余瀅]
18. 商務秘書理論與實務（第三版） [主編 張同欽]
19. 程序設計基礎實踐教程（C/C++語言版） [張桂芬 葛麗娜]
20. C++案例項目精講 [主編 楊國興]
21. 勞動爭議處理實務 [主編 王秀卿 羅靜]
22. 工程數學 [主編 郭立娟 王海]
23. 語音識別理論與實踐 [主編　莫宏偉]
24. 信息系統項目管理師章節習題與考點特訓（第二版） [主編 薛大龍]
25. 武術基礎教程 [主編 李代勇 謝志民]
26. 計算機網絡實訓教程 [主編 張浩軍 趙玉娟]
27. 畫法幾何與機械制圖習題集（多學時） [主編 趙軍]
28. HCIA-Datacom認證題庫分類精講 [主 編 韓立剛]
29. SwiftUI完全開發 [李智威 著]
30. 網絡規劃設計師備考一本通 [夏杰 編著]