华为防火墙技术漫谈在线阅读完整版|百度网盘下载

编辑点评：谈华为防火墙技术

本书简要介绍了一些防火墙的工作原理，然后主要讨论了实际操作，如双系统热备份、如何配置导出策略等。这很好。有兴趣的请下载学习。

编辑推荐

1、本书是目前市面上唯一一本由华为正式出版的防火墙学习书籍。

2、所有以协议书和教材形式呈现的书籍都有一个致命的问题：理论太多，实战内容太少。本书写作初期，对400个华为问题和防火墙上线案例进行了全面分析，内容可以直接切中实际用户场景、技术难点和常见问题，理论联系实际做得很好战斗。

3、以防火墙网络实际需求为指导，以发现问题-解决问题-重新发现问题-再次解决问题的思路组织内容，具有很强的内容连贯性和逻辑性。

4、使用华为eNSP模拟器和实际设备进行实验，可以帮助读者快速深入地学习华为网络技术。

5、文字幽默活泼，内容深入。读者可以在不知不觉中跟随作者进阶到专家级。

6、由HCIE课件开发团队编写，可覆盖HCIE考试主要考点。

简介

本书介绍了华为传统防火墙的关键技术原理、应用场景和配置方法，包括安全策略、攻击防御、NAT、VPN、双机热备、路由等。结合网上案例，给出了上述技术的综合应用。配置示例，

以防火墙网络实际需求为导向，以发现问题-解决问题-重新发现问题-解决问题的思路组织内容，具有很强的内容连贯性和逻辑性

关于作者

许惠阳拥有十多年的数据通信产品经验和六年的防火墙产品经验。创作了《USG防火墙IPSec专题》、《华为防火墙热备HCIE培训片》、《易玩BGP》等脍炙人口的作品，主编《强看墙大叔》。

白杰拥有八年的防火墙产品经验，算是对华为防火墙最为熟悉的数据开发专家。参与创作《华为网络技术学习指南》，主编《强书看墙》技术岗。

卢宏旺在华为防火墙产品方面有七年的经验。着有《华为防火墙双机热备HCIE实验手册》，《强拍安大叔》主编，《小强与小爱台历》主编。

目录

理论

第一章基础

1.1 什么是防火墙

1.2 防火墙的发展历程

1.2.1 1989-1994

1.2.2 1995-2004

1.2.3 2005 年至今

1.2.4 总结

1.3 华为防火墙产品列表

1.3.1 USG2110产品介绍

1.3.2 USG6600产品介绍

1.3.3 USG9500产品介绍

1.4 安全区域

1.4.1 接口、网络和安全区域的关系

1.4.2 安全区域之间的数据包流向

1.4.3 安全区域配置

1.5 状态检测和会话机制

1.5.1 状态检测

1.5.2 会话

1.5.3 联网验证

1.6 状态检测和会话机制附录

1.6.1 再次对话

1.6.2 状态检测和会话创建

1.7 配置说明和故障排除指南

1.7.1 安全区域

1.7.2 状态检测和会话机制

第 2 章安全策略

2.1 安全策略初体验

2.1.1 基本概念

2.1.2 匹配顺序

2.1.3 默认包过滤

2.2 安全策略发展历程

2.2.1 阶段 1：基于 ACL 的包过滤

2.2.2 第 2 阶段：集成 UTM 的安全策略

2.2.3 第三阶段：集成安全策略

2.3 本地安全策略

2.3.1 配置OSPF协议的本地安全策略

2.3.2 哪些协议需要在防火墙上配置本地区域安全策略

2.4 ASPF

2.4.1 帮助FTP数据包通过防火墙

2.4.2 帮助QQ/MSN包通过防火墙

2.4.3 帮助自定义协议报文通过防火墙

2.5 配置说明和故障排除指南

2.5.1 安全策略

2.5.2 ASPF

第三章攻击防范

3.1 DoS攻击简介

3.2 单包攻防

3.2.1 Ping of Death 攻防

3.2.2 陆上攻防

3.2.3 IP地址扫描攻击

3.2.4 防御单包攻击的配置建议

3.3 SYN Flood攻击与基于流量攻击的防御

3.3.1 攻击原理

3.3.2 TCP代理防御方法

3.3.3 TCP源检测的防御方法

3.3.4 配置命令

3.3.5 阈值配置指南

3.4 UDP Flood攻击与基于流量的攻击防御

3.4.1 防御方法的当前限制

3.4.2 防御方法的指纹学习

3.4.3 配置命令

3.5 DNS Flood攻击与应用层攻击防御

3.5.1 攻击原理

3.5.2 防御方法

3.5.3 配置命令

3.6 HTTP Flood攻击与应用层攻击防御

3.6.1 攻击原理

3.6.2 防御方法

3.6.3 配置命令

第 4 章 NAT

4.1 源 NAT

4.1.1 源NAT的基本原理

4.1.2 NAT No-PAT

4.1.3 NAPT

4.1.4 出接口地址方式

4.1.5 智能 NAT

4.1.6 三重 NAT

4.1.7 多出口场景中的源 NAT

4.1.8 总结

4.1.9 进一步阅读

4.2 NAT 服务器

4.2.1 NAT Server的基本原理

4.2.2 多出口场景下的NAT Server

4.3 双向 NAT

4.3.1 NAT入站+NAT服务器

4.3.2 域内NAT+NAT服务器

4.4 NAT ALG

4.4.1 FTP协议穿越NAT设备

4.4.2 QQ/MSN/自定义协议穿越NAT设备

4.4.3 一个命令同时控制两个功能

4.4.4 自定义类型的ASPF和Triple NAT定义

4.5 NAT场景中黑洞路由的作用

4.5.1 源NAT场景中的黑洞路由

4.5.2 NAT Server场景中的黑洞路由

4.5.3 总结

4.6 NAT地址复用专利技术

第五章 GRE&L2TP VPN

5.1 VPN技术介绍

5.1.1 VPN分类

5.1.2 VPN关键技术

5.1.3 总结

5.2 GRE

5.2.1 GRE 封装/解封装

5.2.2 配置GRE基本参数

5.2.3 配置GRE安全机制

5.2.4 安全策略配置思路

5.3 L2TP VPN的诞生与演进

5.4 L2TP 客户端发起的 VPN

5.4.1 阶段 1 建立 L2TP 隧道：3 条消息协商进入虫洞的时间

5.4.2 阶段 2 L2TP 会话建立：3 条消息唤醒虫洞门卫

5.4.3 阶段 3 创建 PPP 连接：身份验证，颁发特殊通行证

5.4.4 第四阶段数据封装传输：通过虫洞，访问地球

5.4.5 安全策略配置路线图

5.5 L2TP NAS 发起的 VPN

5.5.1 Phase 1 建立PPPoE连接：拨号端口调用VT端口

5.5.2 阶段 2 建立 L2TP 隧道：3 条消息协商进入虫洞的时间

5.5.3 阶段 3 L2TP 会话建立：3 条消息唤醒虫洞门卫

5.5.4 Phase 4~5 LNS认证，IP地址分配：LNS冷静接受LAC

5.5.5 第六阶段数据封装与传输：一路畅通

5.5.6 安全策略配置路线图

5.6 L2TP LAC-自动启动的 VPN

5.6.1 LAC-Auto-Initiated VPN原理及配置

5.6.2 安全策略配置路线图

5.7 总结

第 6 章 IPSec VPN

6.1 IPSec简介

6.1.1 加密与认证

6.1.2 安全封装

6.1.3 安全关联

6.2 手动 IPSec VPN

6.3 IKE 和 ISAKMP

6.4 IKEv1

6.4.1 配置 IKE/IPSec VPN

6.4.2 建立 IKE SA（主模式）

6.4.3 建立 IPSec SA

6.4.4 建立 IKE SA（积极模式）

6.5 IKEv2

6.5.1 IKEv2 简介

6.5.2 IKEv2协商过程

6.6 IKE/IPSec比较

6.6.1 IKEV1 PK IKEv2

6.6.2 IPSec 协议框架

6.7 IPSec模板模式

6.7.1 在点对多点网络中的应用

6.7.2 个性化预共享密钥

6.7.3 熟练使用指定对等域名

6.7.4 总结

6.8 NAT 穿越

6.8.1 NAT穿越场景介绍

6.8.2 IKEv1 NAT 遍历协商

6.8.3 IKEv2的NAT穿越协商

6.8.4 IPSec 和 NAT 在防火墙中共存

6.9 数字证书认证

6.9.1 公钥密码学和 PKI 框架

6.9.2 证书申请

6.9.3 数字证书身份认证

6.10 GRE/L2TP over IPSec

6.10.1 子主机通过GRE over IPSec访问主机

6.10.2 从子主机通过 L2TP over IPSec 访问主掌舵

6.10.3 移动用户使用 L2TP over IPSec 远程访问 helm

6.11 对等检测

6.11.1 保活机制

6.11.2 DPD 机制

6.12 IPSec双链路备份

6.12.1 IPSec主备链路备份

6.12.2 IPSec 隧道链路备份

6.13 安全策略配置思路

6.13.1 IKE/IPSec VPN 场景

6.13.2 IKE/IPSec VPN+NAT穿越场景

6.14 IPSec 故障排除

6.14.1 无数据流触发IKE协商失败分析

6.14.2 IKE协商失败的失败分析

6.14.3 IPSec VPN服务故障故障分析

6.14.4 IPSec VPN服务质量差的故障分析