華為防火牆技術漫談

徐慧洋，具有十多年數通產品經驗，六年防火牆產品經驗。
曾創作了《USG防火牆IPSec專題》、《華為防火牆雙機熱備HCIE培訓膠片》、《輕鬆玩轉BGP》等廣受歡迎的作品，《強叔侃牆》總編。

白傑，具有八年防火牆產品經驗，堪稱**熟悉華為防火牆的資料開發專家。
參與創作《華為網絡技術學習指南》，《強叔侃牆》技術貼的主編。

盧宏旺，具有七年華為防火牆產品經驗，曾寫作《華為防火牆雙機熱備HCIE實驗手冊》，《強叔拍案》主編，《小強和小艾臺歷》主創。

目錄
理論篇
第1章基礎知識2
1．1什麼是防火牆4
1．2防火牆的發展歷史5
1．2．1 1989年到1994年6
1．2．2 1995年到2004年6
1．2． 3 2005年到今7
1．2．4總結7
1．3華為防火牆產品一覽8
1．3．1 USG2110產品介紹9
1．3．2 USG6600產品介紹9
1．3．3 USG9500產品介紹9
1． 4安全區域10
1．4．1接口、網絡和安全區域的關係10
1．4．2報文在安全區域之間流動的方向12
1．4．3安全區域的配置13
1．5狀態檢測和會話機制16
1．5．1狀態檢測16
1．5．2會話18
1．5．3組網驗證18
1．6狀態檢測和會話機制補遺19
1．6．1再談會話19
1．6． 2狀態檢測與會話創建21
1．7配置註意事項和故障排除指導25
1．7．1安全區域25
1．7．2狀態檢測和會話機制26

第2章安全策略30
2．1安全策略初體驗32
2．1．1基本概念32
2．1．2匹配順序33
2．1．3默認包過濾34
2．2安全策略發展歷程35
2．2．1第一階段：基於ACL的包過濾35
2 ．2．2第二階段：融合UTM的安全策略36
2．2．3第三階段：一體化安全策略38
2．3 Local區域的安全策略41
2．3．1針對OSPF協議配置Local區域的安全策略41
2．3．2哪些協議需要在防火牆上配置Local區域的安全策略46
2．4 ASPF 48
2．4．1幫助FTP數據報文穿越防火牆48
2．4．2幫助QQ/MSN報文穿越防火牆52
2．4．3幫助用戶自定義協議報文穿越防火牆54
2．5配置註意事項和故障排除指導55
2．5．1安全策略55
2．5．2 ASPF 58

第3章攻擊防範60
3 ．1 DoS攻擊簡介62
3．2單包攻擊及防禦62
3．2．1 Ping of Death攻擊及防禦63
3．2．2 Land攻擊及防禦63
3．2．3 IP地址掃描攻擊64
3．2 ．4防禦單包攻擊的配置建議64
3．3流量型攻擊之SYN Flood攻擊及防禦65
3．3．1攻擊原理66
3．3．2防禦方法之TCP代理67
3．3．3防禦方法之TCP源探測68
3．3．4配置命令69
3．3．5閾值配置指導70
3． 4流量型攻擊之UDP Flood攻擊及防禦70
3．4．1防禦方法之限流71
3．4．2防禦方法之指紋學習71
3．4．3配置命令73
3．5應用層攻擊之DNS Flood攻擊及防禦74
3．5．1攻擊原理74
3．5．2防禦方法75
3．5．3配置命令78
3．6應用層攻擊之HTTP Flood攻擊及防禦78
3．6．1攻擊原理78
3 ．6．2防禦方法79
3．6．3配置命令82

第4章NAT 84
4．1源NAT 86
4．1．1源NAT基本原理86
4．1．2 NAT No-PAT 88
4．1． 3 NAPT 90
4．1．4出接口地址方式91
4．1．5 Smart NAT 92
4．1．6三元組NAT 94
4．1．7多出口場景下的源NAT 98
4．1．8總結100
4．1．9延伸閱讀100
4．2 NAT Server 101
4．2．1 NAT Server基本原理102
4．2．2多出口場景下的NAT Server 104
4．3雙向NAT 109
4．3．1 NAT Inbound+NAT Server 110
4．3． 2域內NAT+NAT Server 112
4．4 NAT ALG 115
4．4．1 FTP協議穿越NAT設備115
4．4．2 QQ/MSN/User-defined協議穿越NAT設備118
4．4．3一條命令同時控制兩種功能119
4．4．4 User-defined類型的ASPF和三元組NAT辨義120
4．5 NAT場景下黑洞路由的作用121
4．5．1源NAT場景下的黑洞路由121
4．5 ．2 NAT Server場景下的黑洞路由126
4．5．3總結128
4．6 NAT地址復用專利技術129

第5章GRE&L2TP VPN 132
5．1 VPN技術簡介134
5．1．1 VPN分類134
5． 1．2 VPN的關鍵技術136
5．1．3總結138
5．2 GRE 139
5．2．1 GRE的封裝/解封裝139
5．2．2配置GRE基本參數141
5．2．3配置GRE安全機制143
5．2．4安全策略配置思路145
5．3 L2TP VPN的誕生及演進148
5．4 L2TP Client-Initiated VPN 150
5．4．1階段1建立L2TP隧道： 3條消息協商進入蟲洞時機151
5．4．2階段2建立L2TP會話：3條消息喚醒蟲洞門神152
5．4．3階段3創建PPP連接：身份認證，發放特別通行證152
5．4． 4階段4數據封裝傳輸：穿越蟲洞，訪問地球154
5．4．5安全策略配置思路156
5．5 L2TP NAS-Initiated VPN 158
5．5．1階段1建立PPPoE連接：撥號口呼喚VT口160
5．5．2階段2建立L2TP隧道：3條消息協商進入蟲洞時機161
5．5．3階段3建立L2TP會話：3條消息喚醒蟲洞門神162
5．5．4階段4～5 LNS認證，分配IP地址：LNS冷靜接受LAC 162
5．5．5階段6數據封裝傳輸：一路暢通164
5．5．6安全策略配置思路165
5．6 L2TP LAC-Auto-Initiated VPN 167
5．6．1 LAC-Auto-Initiated VPN原理及配置168
5．6．2安全策略配置思路171
5．7總結174

第6章IPSec VPN 176
6．1 IPSec簡介178
6．1．1加密和驗證178
6．1．2安全封裝180
6．1．3安全聯盟181
6．2手工方式IPSec VPN 182
6．3 IKE和ISAKMP 185
6．4 IKEv1 186
6．4．1配置IKE/IPSec VPN 186
6．4．2建立IKE SA（主模式） 188
6．4．3建立IPSec SA 191
6．4．4建立IKE SA（野蠻模式） 193
6．5 IKEv2 194
6．5．1 IKEv2簡介195
6．5．2 IKEv2協商過程196
6．6 IKE/IPSec對比198
6．6．1 IKEV1 PK IKEv2 198
6．6．2 IPSec協議框架198
6．7 IPSec模板方式200
6．7．1在點到多點組網中的應用200
6．7．2個性化的預共享密鑰203
6．7．3巧用指定對端域名204
6 ．7．4總結205
6．8 NAT穿越206
6．8．1 NAT穿越場景簡介206
6．8．2 IKEv1的NAT穿越協商210
6．8．3 IKEv2的NAT穿越協商211
6．8．4 IPSec與NAT並存於一個防火牆212
6．9數字證書認證213
6．9．1公鑰密碼學和PKI框架214
6．9．2證書申請214
6．9．3數字證書方式的身份認證218
6．10 GRE/L2TP over IPSec 220
6．10．1分舵通過GRE over IPSec接入總舵220
6．10．2分舵通過L2TP over IPSec接入總舵223
6．10．3移動用戶使用L2TP over IPSec遠程接入總舵226
6．11對等體檢測227
6．11．1 Keepalive機制228
6．11．2 DPD機制228
6．12 IPSec雙鏈路備份229
6．12．1 IPSec主備鏈路備份229
6．12．2 IPSec隧道化鏈路備份232
6．13安全策略配置思路236
6．13．1 IKE/IPSec VPN場景236
6． 13．2 IKE/IPSec VPN+NAT穿越場景239
6．14 IPSec故障排除242
6．14．1沒有數據流觸發IKE協商故障分析243
6．14．2 IKE協商不成功故障分析244
6．14．3 IPSec VPN業務不通故障分析248
6．14．4 IPSec VPN業務質量差故障分析