網絡安全技術（簡體書）

《普通高等學校網絡工程專業規劃教材：網絡安全技術》面系統地介紹了計算機網絡安全技術。全書共分13章，內容包括網絡安全概述、密碼學與信息安全、網絡安全協議、網絡設備常見安全技術、internet安全技術、網絡操作系統安全分析及防護、防火牆技術、入侵檢測技術、網絡嗅探技術、端口掃描技術與漏洞掃描技術、網絡病毒防範技術、黑客攻擊與防護技術、網絡安全解決方案。
《普通高等學校網絡工程專業規劃教材：網絡安全技術》每章都有思考題，有針對性地幫助讀者理解《普通高等學校網絡工程專業規劃教材：網絡安全技術》的內容。
《普通高等學校網絡工程專業規劃教材：網絡安全技術》可作為高校計算機及其相關專業“網絡安全技術課程”教材，也可供相關的技術人員使用。．

《普通高等學校網絡工程專業規劃教材:網絡安全技術》每章都有思考題，有針對性地幫助讀者理解《普通高等學校網絡工程專業規劃教材:網絡安全技術》的內容。《普通高等學校網絡工程專業規劃教材:網絡安全技術》可作為高校計算機及其相關專業“網絡安全技術課程”教材，也可供相關的技術人員使用。

第1章 網絡安全概述
1.1　網絡安全的概念與特徵
1.1.1　網絡安全的概念
1.1.2　網絡安全的特徵
1.2　網絡面臨的安全威脅
1.2.1　網絡安全現狀
1.2.2　安全威脅分析
1.3　網絡安全體系結構
1.3.1　網絡安全模型
1.3.2　osi安全體系結構
1.3.3　p2dr模型
1.4　網絡安全管理
1.4.1　網絡安全管理的法律法規
1.4.2　網絡安全評價標準
思考題

第2章 密碼學與信息安全
2.1　密碼學基礎
2.1.1　基本概念
2.1.2　對稱密碼與非對稱密碼體制
2.1.3　密碼分析的攻擊類型
2.1.4　經典密碼學
2.2　對稱密碼體制
2.2.1　基本概念
2.2.2　數據加密標準
2.2.3　加密算法
2.2.4　密鑰交換技術
2.3　非對稱（公鑰）密碼
2.3.1　基本思想
2.3.2　rsa公鑰密碼體制
2.3.3　對稱與非對稱密鑰加密
2.4　認證理論與技術
2.4.1　單向hash函數
2.4.2　md5算法
2.5　身份認證技術
2.6　數字取證技術
2.7　密碼學綜合應用實例
2.7.1　數字簽名技術
2.7.2　數字信封技術
2.7.3　密鑰管理技術
2.7.4　消息完整性檢驗技術
思考題

第3章 網絡安全協議
3.1　ssl協議
3.1.1　ssl概述
3.1.2　ssl體系結構與協議
3.1.3　ssl安全性分析
3.1.4　ssl協議的應用
3.2　tls協議
3.2.1　tls概述
3.2.2　tls協議結構
3.2.3　tls記錄協議
3.2.4　tls握手協議
3.2.5　tls安全性分析
3.3　ssh協議
3.3.1　ssh概述
3.3.2　ssh協議體系結構
3.3.3　ssh傳輸協議
3.3.4　ssh身份認證協議
3.3.5　ssh連接協議
3.3.6　ssh協議的應用
3.3.7　ssh安全性分析
3.4　set協議
3.4.1　set協議概述
3.4.2　set協議基本流程
3.4.3　ssl和set協議比較
3.4.4　set協議安全性分析
3.5　ipsec協議
3.5.1　ipsec體系結構
3.5.2　驗證文件頭協議ah
3.5.3　ipsec安全協議esp
3.5.4　internet安全關聯密鑰管理協議
3.6　qos協議
3.6.1　qos的體系結構
3.6.2　qos的實現機制
思考題

第4章 網絡設備常見安全技術
4.1　局域網絡安全技術
4.1.1　網絡分段
4.1.2　以交換式集線器代替共享式集線器
4.1.3　vlan的劃分
4.2　廣域網絡安全技術
4.2.1　加密技術
4.2.2　vpn技術
4.2.3　身份認證技術
4.3　vpn技術
4.3.1　隧道技術934.3.2　加密技術
4.3.3　訪問控制技術
4.4　無線網絡安全技術
4.4.1　隱藏ssid
4.4.2　mac地址過濾
4.4.3　wep加密
4.4.4　wpa
4.4.5　wpa
4.4.6　ieee 802.1 1i
4.4.7　ap隔離
4.4.8　ieee 802.1 x協議
思考題

第5章 internet安全技術
5.1　internet存在的安全漏洞
5.1.1　internet網絡安全概述
5.1.2　網絡操作系統安全漏洞
5.1.3　internet應用安全漏洞
5.2　tcp/ip安全性分析
5.2.1　tcp協議工作過程及安全問題
5.2.2　ip協議安全問題
5.2.3　icmp協議的安全問題
5.3　web安全與http訪問安全技術
5.3.1　web服務器上的漏洞
5.3.2　如何在web上提高系統安全性和穩定性
5.3.3　http訪問安全
5.4　電子郵件安全技術
5.4.1　電子郵件面臨的安全問題
5.4.2　電子郵件的安全措施
5.5　telnet安全技術
5.5.1　telnet安全性分析
5.5.2　保障telnet安全的策略分析
5.5.3　安全的telnet系統介紹
5.6　ftp安全技術
5.6.1　ftp工作原理與工作方式
5.6.2　ftp服務器軟件漏洞
5.6.3　安全策略
5.7　dns欺騙與防範技術
5.7.1　dns欺騙原理
5.7.2　防範dns欺騙攻擊方法
5.8　ip地址欺騙與防範技術
5.8.1　ip地址欺騙原理
5.8.2　ip欺騙的防範措施
5.9　ip地址盜用與防範技術
5.9.1　ip地址盜用的常用方法
5.9.2　ip地址盜用防範技術
5.1 0 緩沖區溢出攻擊與防範技術
5.1 0.1　緩沖區溢出漏洞的產生原因
5.1 0.2　緩沖區溢出漏洞的危害性
5.1 0.3　防範及檢測方法
5.1 1 拒絕服務攻擊與防範技術
5.1 1.1　拒絕服務攻擊基本概念
5.1 1.2　攻擊原理
5.1 1.3　抵禦攻擊的技術手段
思考題

第6章 網絡操作系統安全分析及防護
6.1　網絡操作系統安全概述
6.1.1　網絡操作系統安全問題
6.1.2　網絡操作系統安全控制
6.2　windows 2003/xp操作系統安全分析與防護
6.2.1　windows 2003/xp安全機制
6.2.2　windows 2003/xp漏洞分析
6.2.3　windows 2003/xp安全策略
6.2.4　windows 2003/xp安全防護
6.3　unix安全性及防護
6.3.1　unix系統簡介
6.3.2　unix系統的安全機制
6.3.3　unix安全漏洞
6.3.4　unix安全策略
6.3.5　unix安全防護
6.4　操作系統安全應用實例
6.4.1　windows系統漏洞的檢測與修補
6.4.2　windows中web、ftp服務器的安全配置
6.4.3　unix系統漏洞的檢測與修補
6.4.4　unix中web、ftp服務器的安全配置
思考題

第7章 防火牆技術
7.1　防火牆基礎
7.1.1　防火牆的定義
7.1.2　防火牆的特點
7.2　防火牆的功能與分類
7.2.1　防火牆的功能
7.2.2　防火牆的分類
7.3　防火牆的主要技術
7.3.1　包過濾技術
7.3.2　應用級網關防火牆
7.3.3　深度包過濾技術
7.4　防火牆體系結構
7.5　防火牆配置
7.5.1　網絡防火牆配置
7.5.2　防火牆的組網結構
7.5.3　個人防火牆配置
7.6　防火牆的選型
7.6.1　防火牆的選擇原則
7.6.2　選擇防火牆的兩個要素
7.7　主流防火牆產品簡介
7.7.1　天融信防火牆
7.7.2　聯想防火牆
7.7.3　瑞星防火牆
7.7.4　360 arp防火牆
7.8　防火牆發展動態與趨勢
7.9　防火牆部署實例
7.9.1　某校園網防火牆部署
7.9.2　某公司網絡防火牆部署
7.9.3　某餐飲企業防火牆方案
思考題

第8章 入侵檢測技術
8.1　入侵檢測概述
8.1.1　入侵檢測原理
8.1.2　入侵檢測系統結構
8.1.3　入侵檢測系統分類
8.2　入侵檢測技術
8.2.1　入侵檢測分析模型
8.2.2　誤用檢測
8.2.3　異常檢測
8.2.4　其他檢測技術
8.3　入侵檢測系統的標準
8.3.1　ietf/idwg
8.3.2　cidf
8.4　入侵檢測系統部署
8.4.1　入侵檢測系統部署的原則
8.4.2　入侵檢測系統部署實例
8.4.3　入侵檢測特徵庫的建立與應用
8.5　典型入侵檢測產品簡介
8.5.1　入侵檢測工具snort
8.5.2　cisco公司的netranger
8.5.3　network associates公司的cybercop
8.5.4　internet security system公司的realsecure
8.5.5　中科網威的“天眼”入侵檢測系統
8.6　案例--snort的安裝與使用
思考題

第9章 網絡嗅探技術
9.1　網絡嗅探監聽的原理
9.1.1　網卡工作原理
9.1.2　網絡嗅探監聽的原理
9.1.3　網絡嗅探器接入方案
9.1.4　無線局域網嗅探技術原理
9.2　網絡監聽的防範措施
9.2.1　局域網網絡監聽的防範措施
9.2.2　無線局域網網絡監聽的防範措施
9.3　典型嗅探監聽工具
9.3.1　tcpdump/windump
9.3.2　sniffit
9.3.3　ettercap
9.3.4　snarp
思考題

第10章 端口掃描技術與漏洞掃描技術
10.1　端口掃描技術
10.1.1　tcp connect（）掃描
10.1.2　半連接掃描
10.1.3　tcp fin掃描
10.2　漏洞掃描技術
10.2.1　漏洞掃描概述
10.2.2　漏洞掃描技術的原理
10.2.3　漏洞掃描技術的分類和實現方法
10.3　典型的端口掃描與漏洞掃描產品簡介
10.3.1　nmap端口掃描工具
10.3.2　scanport端口掃描工具
10.3.3　安鐵諾防病毒軟件漏洞掃描工具
10.3.4　newt security scanner v1.0網絡漏洞掃描工具
思考題

第11章 網絡病毒防範技術
11.1　網絡病毒基礎
11.1.1　計算機病毒的概念
11.1.2　計算機病毒的特徵
11.1.3　計算機病毒的結構
11.1.4　網絡病毒的特徵與傳播方式
11.2　病毒檢測與防範技術
11.2.1　病毒檢測技術
11.2.2　病毒防範技術
11.3　典型病毒檢測與防範產品簡介
11.4　網絡病毒防範實例
11.4.1　病毒特征碼的提取及應用技術
11.4.2　宏病毒及防範
11.4.3　網絡病毒及防範
11.4.4　惡意代碼及防範
思考題

第12章 黑客攻擊與防範技術
12.1　黑客基本概念
12.1.1　什麼是黑客
12.1.2　黑客發展歷史
12.2　黑客攻擊及防範技術
12.2.1　網絡欺騙及防範
12.2.2　嗅探技術及防範
12.2.3　掃描技術及防範
12.2.4　口令破解技術及防範
12.2.5　拒絕服務攻擊及防範
12.2.6　緩沖區溢出攻擊及防範
12.2.7　木馬技術及防範
12.3　應用實例
12.3.1　個人計算機防黑技術
12.3.2　配置iis蜜罐抵禦黑客攻擊
思考題

第13章 網絡安全解決方案
13.1　基本概念
13.1.1　網絡安全解決方案的層次劃分
13.1.2　網絡安全解決方案的框架
13.2　網絡安全解決方案設計
13.2.1　網絡系統狀況分析
13.2.2　網絡安全需求分析
13.2.3　網絡安全解決方案
13.3　網絡安全解決方案實例
13.3.1　某銀行系統網絡安全方案
13.3.2　某市政府中心網絡安全方案設計
13.3.3　某電力公司網絡安全解決方案
思考題
附錄a 英文縮略詞匯
參考文獻．

實際上，這種服務并不能消除服務的抵賴性，也就是說，它并不能防止一方否認另一方對某件已發生的事情所做出的聲明。它所能夠做的只是提供無可辯駁的證據，以支持快速解決任何這樣的糾紛。
抗抵賴服務的出發點不僅僅由于在通信各方之間存在著相互欺騙的可能性，另外它也反映了這樣一個現實，即沒有任何一個系統是完備的，而且也可能出現通信雙方最終達不成一致協議這樣的情況。
（1）數據源的抗抵賴
向數據接收者提供數據來源的證據，以防止發送者否認發送該數據或其內容的任何企圖。
（2）傳遞過程的抗抵賴
向數據發送者提供數據已到目的地的證據，以防止收信者否認接收該數據或其內容后的任何事后的企圖。
2.安全機制
為了支持以上的安全服務，ISO安全體系結構定義了8大類安全機制：加密機制、數字簽名機制、訪問控制機制、數據完整性機制、鑒別交換機制、通信業務填充機制、路由控制機制和公證機制。這些安全機制可以設置在適當的層次上，以便提供某些安全服務。
1）加密機制
加密是提供數據保護最常用的方法。加密算法按密鑰的類型可分為對稱密鑰算法和非對稱密鑰（也稱公開密鑰）算法；按密碼體制可分為序列密碼算法和分組密碼算法。這些算法具有不同的優缺點，根據加密的層次和加密對象可采用不同的算法。由于加密機制的存在，就有密鑰管理機制。
2）數字簽名機制
在通信雙方交換數據時，為防止否認、偽造、篡改、冒充等，采用數字簽名技術。數字簽名機制還規定了兩個過程：一是對數據單元簽名，二是驗證已簽名的數據單元。簽名機制的本質特征是只能使用簽名者私有信息簽名。因此，當驗證簽名時，可在事后的任何時候向第三方（如審查員或仲裁員）證實只有私有信息的唯一持有者才能產生這個簽名。
3）訪問控制機制
訪問控制機制是按照事先確定的規劃，決定主題對客體的訪問是否合法。當主體試圖非法使用未經授權使用的資源（客體）時，訪問機制的功能將拒絕這一企圖，并可附帶報告這一事件給審計跟蹤系統，審計跟蹤產生一個報警或形成部分追蹤審計。訪問控制機制的實現常常基于一種或多種機制措施，如訪問控制信息庫、鑒別信息（如口令）、權力、安全標志、試圖訪問的時間、試圖訪問的路由和訪問的持續時間等。
4）數據完整性機制
數據完整性包括兩種形式：數據單元完整性和數據單元序列的完整性。保證數據完整性的一般方法是：發送實體在數據單元上加標記，這個標記是數據本身的函數，是經過加密的；接收實體產生對應的標記，并將所產生的標記與接收到標記相比較，以確定在傳輸過程中疏忽是否被修改過。數據單元序列的完整性是要求數據編號的連續性和時間標記的正確性（不是過時的），以防止假冒、丟失、重發、插入或修改數據。
5）鑒別交換機制
鑒別交換機制是以交換信息的方式來確認實體身份的機制。用于鑒別交換的技術有：
①口令。由發方實體提供，收方實體檢測。
②密碼技術。將交換的數據加密，只有合法用戶才能解密。
③使用該實體的特征或擁有物。這時采用的技術是指紋識別和身份卡等。