中文名: 虛擬專網.技術與解決方案
作者: Ruixi Yuan 袁睿翕
W. Timothy Strayer
譯者: 鄧少鵾
唐宏偉
孫彩霞
資源格式: PDF
版本: 掃描版
出版社: 中國電力出版社
書號: 7508314042
發行時間: 2003年
地區: 大陸
語言: 簡體中文,英文
簡介:

內容簡介
微軟亞洲研究院院長兼首席科學家張亞勤博士為本書作序
虛擬專網已經成為當今網絡的必要部分，它為確保內聯網(Intranet)和外聯網(Extranet)在共享的Internet結構上的通信專用性提供了有效的手段。這是一本實用的綜合性VPN指南，介紹了各種技術組件、具體的解決方案以及配置和管理一個成功的VPN所需要的實踐知識
序言
在信息科技對社會和經濟發展發揮著關鍵作用的今天，普通及專業用戶對網絡服務及其應用的要求也愈來愈高，一種成本更低、使用更靈活的虛擬專網(VPN)在這一市場環境中應運而生。VPN技術是建立在互聯網的公共網絡架構之上、替代連接合作伙伴之間的標准廣域網，並通過一定的技術手段達到類似私有專網的數據安全傳輸。作為網絡安全的一個有機組成部分，虛擬專網扮演著重要的角色。
我們相信，隨著網絡的發展、計算的普及以及計算環境的多元化，計算技術的安全性、可靠性、隱私性及易用性將會得到產業界及學術界空前的關注。2001年1月，微軟公司董事長兼首席軟件架構師比爾·蓋茨先生首次正式提出“高信度計算-TrustworthyComputing”這一概念，並隨之調整了微軟公司產品及技術的相關戰略以適應新形勢的發展。
為了讓網絡用戶對VPN這一新技術有更多了解，袁睿翕博士及S"ayer博士撰寫了《虛擬專網：技術與解決方案》一書，作者對VPN重要技術的精確描述、對應用的明確理解和未來發展方向的指導性建議使得該書具有較強的參考性。
張亞勤
微軟亞洲研究院
譯者序
過去，大型企業一般租用專線連接遠程局域網，使用這種專線的目的是為了能夠保證數據安全地從一端傳送到另一端。為了能夠與外地分公司以及出差的員工聯系，總部不得不花費大量的資金來租用網絡服務提供商的線路。而如今，公司可以建立自己的VPN，利用Internet將公司遍布全國各地甚至是世界各地的分支機構連接起來，通過一定的安全手段，將在公共網絡中流動的各公司的商業信息與網絡中的其他信息分離開來。
對於VPN的定義有很多，但都是基於這樣一種思想，那就是VPN利用公共網絡基礎設施，通過一定的技術手段達到類似私有專網的數據安全傳輸。VPN首先是虛擬的，也就是說VPN並不是某個公司專用的封閉線路或者是租用某個網絡服務商提供的封閉線路。但同時VPN又具有專線的數據傳輸功能，因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。
本書在深入研究和廣泛參考大量同類作品的基礎上，提供了關於網絡中現有的問題、解決這些問題的技術以及實現這些技術的廠商和產品的大量信息。全面覆蓋虛擬專網的技術現狀，包括隧道(通過PPTP、L2F、L2TP、IPsec和MPLS)、IPsec協議、身份驗證、PKI、網關、客戶、網絡和服務管理等內容，並且展望了VPN的發展趨勢。
本書並非一本放在路由器、交換機或者防火牆旁邊以備查用的快速參考手冊。它最為適合於學習通用的VPN設計和實施。如果讀者希望獲取技術實現細節，可以參考其他著作。由於沒有在特定產品的配置上花費太多筆墨，本書才得以在有限的篇幅中討論和VPN相關的大量網絡專題。
本書兩位作者都是在網絡方面具有豐富工程實踐和資深理論研究的專家。作者以一種嚴謹的學術態度寫作本書：逐步深入每個主題，詳細解釋最新術語，並且對VPN系統中的每個功能都進行了詳細討論。本書引用了大量與主題相關的書籍、論文和標准文檔，並且使用偽代碼和數學表達式來解釋加密和身份驗證。如果和相關的書籍一起學習，讀者將會更為深刻地理解VPN的原理和機制。
在翻譯過程中，我們和原著作者取得了聯系，就技術細節和具體實現進行了交流。袁先生於百忙之中不辭勞苦親自校對了部分重要章節的內容，並且對我們的工作提出了許多改進的地方，讓我們受益匪淺。
袁先生自從出國十幾年以來一直致力於通信領域研究，本書已經翻譯成日文版《實踐VPN》。得知本書即將以母語出版，先生欣然為本書的中文版專門寫了前言，期冀本書的引進能夠給國內帶來一些最新的信息。
本書的翻譯工作由鄧少昆組織，主要章節由唐宏偉、孫彩霞等同志翻譯，張曉明博士和鄭葉褶老師統校全文。盡管我們為此付出了許多努力，但由於翻譯時間倉促，筆頭疏忽和理解錯誤在所難免，懇請大家批評指正，以求共同進步，我們的通信地址是huben@263．net。
虎贲科技
前言
我在寫《虛擬專網》一書的時候，就希望它能對國內的讀者們有所裨益。為了讓它有中文色彩，我在合作者Tim Straye，及出版社的熱忱支持下，在每一章的前面都加了一句中國古文作為引語，並在封面的設計中嵌入了“虛擬專網”四個漢字(此處指英文原版。——鳊者)。現在本書得以譯成中文在國內發行，讓我由衷地感到高興。
本書的主要目的是對現在網絡通信的一個重要發展方向——虛擬專網的技術和應用進行詳細的分析。雖然網絡的發展日新月異，但在更深的層次上，其概念、結構和算法的變化並不太大，且其演化是有章可循的。本書也嘗試從這些基本概念出發，對眾多的現有技術做一個系統的概括。
虛擬專網是信息安全的一個重要方面。在社會發展、經濟運作日益依賴信息的時候，信息安全變得格外重要。信息的傳輸是通過網絡來實現的，因此網絡的安全是保障信息安全的關鍵一環。而虛擬專網正是保證信息傳輸安全的主要手段。
我多年來從事通信領域的科研工作，早期集中在無線、移動和衛星通信方面，近年來著重於網絡安全和高速路由的研發。之所以能對這些領域有所掌握和體會，我認為是得益於我在中國科技大學學習時打下的堅實基礎。值此書中文譯本發行之際，我衷心地感謝我學生時代的老師們。
袁睿翕
人們以這樣或那樣的形式訪問Internet已經有30多年了，但是直到20世紀90年代中葉，Internet才成為人們日常生活的一部分。如今，對每一個公司來說，無論它們做什麼樣的生意，與Internet連接幾乎都是必不可少的。人們可以發現Internet遍布於學校、工廠和家庭，甚至是咖啡館和電話亭，以及蜂窩電話和PDA。時刻保持連接是人們夢寐以求的一件事情。
現在的焦點已經從保持連接轉移到如何保持安全的連接。人們希望訪問Intemet，但是如果不能保證安全性，那麼連接的有益性就會受到限制。人們想擁有訪問Intemet的能力，但是他們不希望自己的秘密或者所擁有的資源受到威脅。
幸運的是，在公共網絡的基礎上建立起來的專網可以解決這些問題。現在所面臨的問題是如何把現有的技術結合起來，以創建出可用的、安全的VPN(VirtualPrivateNetwork，虛擬專網)。
本書詳盡地介紹了實現VPN的各種技術、使用這些技術創建的VPN產品以及提供實際VPN解決方案的各種技術的組合方法。
VPN技術和解決方案仍然在飛速發展。本書描述了該領域內的技術現狀。但是事物的發展很快，因此我們也在適當的章節展望一下業界正在開發的新技術和解決方案。
適合對象
本書適合於對虛擬專網感興趣的廣大讀者。
對於網絡工程師和管理人員，本書可以作為相關技術和解決方案的實用指南。它討論了在設計和實現VPN中應該考慮的問題。
對於VPN軟件和硬件開發人員，它為理解功能部件的開發以及其後的理論提供了必要的背景資料。
對於叮管理人員和執行官，本書全面展示了VPN概貌，並提供了從設備廠商以及服務提供商提供的服務中讦估各種實現的手段。
對於學生和教育工作者，本書可以作為網絡安全或者電子商務方面課程的參考書。
全書結構
本書由三部分組成。第1部分"VPN基礎”由三章組成：“引言”、“基本概念”以及“VPN體系結構”。第1章介紹VPN的概念以及它如何允許靈活性以便在公共網絡上實現私有通信。我們把相關的技術分成4種截然不同的種類。第2章簡要回顧了Internet的發展以及安、全問題如何被推向最前沿，從而把VPN放在一個前後相互聯系的環境中。本章也回顧了基本的IP互聯以及適合於VPN的加密概念。第3章用兩種方法描述VPN體系結構。第一種方法以依據實際的網絡耳聯解決方案(站點到站點的內聯網、外聯網以及遠程訪問)來設計VPN作為基礎。第二種方法集中於提供安全服務的不同的通信集中點。
第2部分“VPN技術”由五章組成：“隧道”、“IPsec”、“身份驗證”、“公鑰基礎設施”以及“訪問控制”。第4章重點介紹一種非常重要的技術——隧道技術。我們研究了許多不同的、在VPN解決方案中非常重要的隧道技術。第5章針對IPsec進行講解，它是由1ETF進行標准化的適用於IP的安全協議。在我們看來，VPN隧道技術將一直是熱門技術。第6章描述了身份驗證，然後描述了各種不同的在網絡互聯中使用的雙方和第三方方案。第7章介紹了非常重要的第三方方案PKI。第8章介紹了訪問控制技術。訪問控制通常會被人們忽視，可是它卻是VPN中至關重要的一個方面。我們闡述了如何在網絡環境中表示、管理和實施訪問策略。
第3部分“VPN解決方案”由四章組成：“VPN網關”、"VPN客戶”、“VPN網絡和服務管理”以及“VPN的發展方向：超越連接”。這一部分描述了如何結合使用各種不同的技術來創建實際可用的VPN。第9章的開始部分介紹了VPN網關在VPN中所扮演的角色，然後引出對網關的要求，最後描述了應該實現的各種功能，同時還給出了一個具體的設計實例。第10章詳細地介紹了存在於VPN客戶中的一些問題，有些和VPN網關中的相同，有些不同。第11章從網絡和服務的角度給出了對VPN實施不間斷管理的必要性和方法。最後，我們在第12章討論了VPN未來的發展方向，同時闡明了網絡是一種手段而不是某種目標，在網絡這個大舞台上，我們不能只看到簡單的連接，還有許多重要的方面。
. 如何閱讀這本書
我們給大家介紹兩種閱讀方法。對於初學者，我們建議在閱讀第2部分或第3部分之前先把第1部分看完。對於在網絡和安全方面已經有一定知識的讀者來說，每一章都是獨立成篇的，可以分開閱讀。
我們鼓勵讀者把第4章和第5章放在一起閱讀，以便全面地了解隧道和作為第三層隧道技術的IPsec。同樣地，第6章和第?章介紹身份驗證，並且在第7章中詳細地描述了公鑰基礎設施。在閱讀第3部分的如何在VPN中應用某種技術之前，最後先閱讀第2部分對該種技術的相關介紹。

目錄:
代序
譯者序
中文版前言
原著前言
致謝
第1部分 VPN基礎
第1章 引言
1．1 商業通信
1．2 VPN發展的因素
1．3 VPN的市場
1．4 VPN技術
1．5 VPN解決方案
第2章 基本概念
2．1 Internet簡史
2．2 網絡體系結構
2．3 網絡拓撲結構
2．4 安全需求
2．5 密碼術
第3章 VPN體系結構
3．1 站點到站點的內聯網VPN
. 3．2 遠程訪問VPN
3．3 外聯網VPN
3．4 安全服務分類
第2部分VPN技術
第4章 隧道
4．1 隧道技術
4．2 數據完整性和機密性
4．3 VPN隧道技術協議
第5章 IPsec
5．1 基本的IPsec概念
5．2 驗證報文頭
5．3 封裝安全有效負載
5．4 Internet密鑰交換
5．5 IPsec實現
第6章 身份驗證
6．1 雙方身份驗證
6．2 可信任的第三方身份驗證
6．3 VPN中的身份驗證
第7章 公鑰基礎設施
7．1 PKI體系結構
7．2 數字證書格式
7．3 證書管理系統
7．4 證書協議
7．5 VPN中的證書使用
第8章 訪問控制
8．1 訪問控制策略
8．2 訪問控制機制
8．3 訪問控制策略管理
8．4 VPN中的訪問控制
第3部分VPN解決方案
第9章 VPN網關
9．1 VPN網關的功能
9．2 網關配置和裝配
9. 3 網關管理
9．4 網關認證
9．5 與防火牆的交互
9．6 VPN的設計
9．7 一個VPN解決方案
第10章 VPN客戶
10．1 VPN客戶的功能
10．2 操作系統問題
10．3 操作問題
10．4 Windows的VPN客戶
10．5 其他平台的VPN客戶
10．6 其他VPN客戶
10．7 一個遠程訪問VPN的解決方案
第11章 VPN網絡和服務管理
11. 1 網絡管理標准
11．2 網絡管理體系結構
11．3 SNMP
11．4 VPN管理
11．5 服務管理
11．6 國際問題
第12章 VPN的發展方向：超越連接
12．1 網絡基礎設施的發展
12．2 VPN的發展
12．3 連接以外的互聯網運作
參考文獻
詞匯表