網絡安全（簡體書）

本書將網絡安全理論、網絡安全協議和主流網絡安全技術有機集成在一起，既能讓讀者掌握完整、系統的網絡安全理論，又能讓讀者俱備運用網絡安全協議和主流網絡安全技術解決實際網絡安全問題的能力。
全書內容分為三部分，一是網絡安全理論，包括加密算法、報文摘要算法等；二是網絡安全協議，包括IPSec、TLS、HTTPS、DNS Sec、SET、S/MIME等；三是主流網絡安全技術，包括以太網安全技術、無線局域網安全技術、互聯網安全技術、虛擬專用網絡、防火牆、入侵檢測系統、病毒防禦技術和計算機安全技術等。主流網絡安全技術是本書的重點。
本書以通俗易懂、循序漸進的方式敘述網絡安全知識，並通過大量的例子來加深讀者對網絡安全知識的理解。本書內容組織嚴謹，敘述方法新穎，是一本理想的計算機專業本科生的網絡安全教材，也可作為計算機專業研究生的網絡安全教材，對從事網絡安全工作的工程技術人員，也是一本非常好的參考書。

網絡安全教材應該涉及四方面內容，一是安全基礎理論，二是安全協議，三是網絡安全技術，四是計算機安全技術，且需要將四方面內容構成一個有機整體。網絡安全又是一門實踐性很強的課程，需要通過實驗培養學生構建安全網絡、解決網絡安全問題的能力。已有的網絡安全教材一是缺少對網絡安全技術的系統介紹，二是缺少實驗內容，因此，很難實現培養學生構建安全網絡、解決網絡安全問題的能力的教學目標。本教材的特色有以下幾點。一是將這四方面內容作為整體進行介紹，突出四方面內容之間的相互關系。二是在實際網絡環境下討論網絡安全機制，及這些網絡安全機制的相互作用過程。三是系統介紹網絡安全技術與計算機安全技術，并給出運用這些技術防御網絡攻擊的方法。四是給出配套的網絡安全實驗教程，實驗教程給出在Cisco packet tracer軟件平臺上構建安全網絡、配置網絡安全設備的步驟和過程，通過實驗加深對安全機制的理解、培養構建安全網絡、解決網絡安全問題的能力。五是內容組織上著重培養學生的計算思維。

章概述/11.1信息和信息安全11.1.1信息、數據和信號11.1.2信息安全定義21.1.3信息安全發展過程21.1.4信息安全目標51.2網絡安全61.2.1引發網絡安全問題的原因61.2.2網絡安全內涵71.3安全模型101.3.1安全模型含義和作用101.3.2P2DR安全模型111.3.3信息保障技術框架13小結17習題18第2章網絡攻擊/192.1網絡攻擊定義和分類192.1.1網絡攻擊定義192.1.2網絡攻擊分類192.2嗅探攻擊202.2.1嗅探攻擊原理和后果202.2.2集線器和嗅探攻擊212.2.3交換機和MAC表溢出攻擊212.2.4嗅探攻擊的防御機制222.3截獲攻擊222.3.1截獲攻擊原理和后果222.3.2MAC地址欺攻擊232.3.3DHCP欺攻擊242.3.6路由項欺攻擊292.4拒絕服務攻擊312.4.1SYN泛洪攻擊312.4.2Smurf攻擊322.4.3DDoS352.5欺攻擊372.5.1源IP地址欺攻擊372.5.2釣魚網站372.6非法接入和登錄392.6.1非法接入無線局域網392.6.2非法登錄412.7黑客入侵422.7.1信息收集422.7.2掃描432.7.3滲透452.7.4攻擊472.7.5黑客入侵防御機制482.8病毒482.8.1惡意代碼定義482.8.2惡意代碼分類482.8.3病毒一般結構502.8.4病毒分類512.8.5病毒實現技術532.8.6病毒防御機制55小結55習題56第3章加密算法/583.1基本概念和分類583.1.1基本概念583.1.2加密傳輸過程603.1.3密碼體制分類603.2對稱密鑰體制603.2.1分組密碼體制和流密碼體制613.2.2分組密碼體制613.2.3流密碼體制733.2.4對稱密鑰體制的密鑰分配過程753.3非對稱密鑰體制783.3.1公開密鑰加密算法原理783.3.2RSA公開密鑰加密算法793.3.3公開密鑰加密算法密鑰分發原則803.4兩種密鑰體制的特點和適用范圍803.4.1兩種密鑰體制的特點803.4.2兩種密鑰體制的有機結合80小結81習題81

4.1基本概念和特點834.1.1完整性檢測834.2MD5854.2.1添加填充位854.2.2分組操作854.2.3MD5運算過程864.3SHA884.3.1SHA1與MD5之間的異同884.3.2SHA1運算過程894.3.3SHA1與MD5安全性和計算復雜性比較894.4HMAC904.4.1完整性檢測要求904.4.2HMAC運算思路和運算過程904.5.1完整性檢測914.5.2消息鑒別924.5.3口令安全存儲934.5.4數字93小結99習題100第5章接入控制和訪問控制/1015.1身份鑒別1015.1.1身份鑒別定義和分類1015.1.2主體身份標識信息1025.1.3單向鑒別過程1025.1.4雙向鑒別過程1045.1.5第三方鑒別過程1055.2Inter接入控制過程1075.2.1終端接入Inter需要解決的問題1075.2.2PPP與接入控制過程1095.3EAP和802.1X1135.3.1引出EAP的原因1135.3.2EAP操作過程1155.3.3EAP over PPP1165.3.4802.1X操作過程1175.4RADIUS1215.4.1RADIUS功能1215.4.2RADIUS消息格式、類型和封裝過程1225.4.3RADIUS應用1245.5Kerberos和訪問控制過程1255.5.1訪問控制過程1255.5.2鑒別服務器實施統一身份鑒別機制1275.5.3Kerberos身份鑒別和訪問控制過程128小結131習題131第6章安全協議/1336.1安全協議概述1336.1.1產生安全協議的原因1336.1.2安全協議功能1346.1.3安全協議體系結構1356.2IPSec1356.2.1IPSec概述1366.2.2AH1396.2.3ESP1416.2.4IKE1426.3TLS1456.3.1TLS引出原因和發展過程1456.3.2TLS協議結構1466.3.3TLS記錄協議1466.3.4握手協議實現身份鑒別和安全參數協商過程1476.3.5S1516.4應用層安全協議1526.4.1DNS Sec1536.4.2SET1586.4.3PGP1696.4.4S/MIME1716.5IPSec、TLS和應用層安全協議比較1756.5.1功能差別1756.5.2適用環境175小結176習題176第7章以太網安全技術/1797.1以太網解決安全威脅的思路1797.1.1以太網相關威脅和引發原因1797.1.2以太網解決安全威脅的思路1807.2以太網接入控制技術1807.2.1以太網接入控制機制1817.2.2靜態配置訪問控制列表1827.2.3安全端口1837.2.4802.1X接入控制過程1847.2.5以太網接入控制過程防御的網絡攻擊1867.3防欺攻擊機制1877.3.1防DHCP欺攻擊機制和DHCP偵聽信息庫1877.3.2防ARP欺攻擊機制1897.3.3防源IP地址欺攻擊機制1907.4生成樹欺攻擊與防御機制1907.4.1實施生成樹欺攻擊的條件1907.4.2防生成樹欺攻擊機制1917.5虛擬局域網1917.5.1虛擬局域網降低攻擊危害1917.5.2虛擬局域網安全應用實例192小結194習題194第8章無線局域網安全技術/1968.1無線局域網的開放性和安全問題1968.1.1頻段的開放性1968.1.2空間的開放性1978.1.3開放帶來的安全問題和解決思路1978.2WEP1998.2.1WEP加密和完整性檢測過程1998.2.2WEP幀結構2008.2.3WEP鑒別機制2018.2.4基于MAC地址鑒別機制2018.2.5關聯的接入控制功能2028.2.6WEP的安全缺陷2038.3802.11i2078.3.1802.11i增強的安全功能2078.3.2802.11i加密和完整性檢測機制2088.3.3802.1X鑒別機制2158.3.4動態密鑰分配機制2218.4WPA22228.4.1WPA2企業模式2238.4.2WPA2個人模式223小結225習題225第9章互聯網安全技術/2289.1互聯網安全技術概述2289.1.1路由器和互聯網結構2289.1.2互聯網安全技術范疇和功能2309.2安全路由2309.2.1防路由項欺攻擊機制2319.2.2路由項過濾2329.2.3單播反向路徑驗證2329.2.4策略路由2339.3流量管制2349.3.1拒絕服務攻擊和流量管制2349.3.2信息流分類2359.3.3管制算法2369.3.4流量管制抑止拒絕服務攻擊機制2379.4NAT2399.4.1NAT概述2399.4.2動態PAT和靜態PAT2429.4.3動態NAT和靜態NAT2449.4.4NAT的弱安全性2469.5VRRP2479.5.1容錯網絡結構2479.5.2VRRP工作原理2489.5.3VRRP應用實例253小結254習題2550章虛擬專用網絡/25810.1VPN概述25810.1.1企業網和遠程接入25810.1.2VPN定義和需要解決的問題26010.1.3VPN分類26210.2第三層隧道和IPSec26410.2.1VPN結構26510.2.2內部網絡之間IP分組傳輸過程26710.2.3IPSec和安全傳輸過程26910.3第二層隧道和IPSec27210.3.1遠程接入過程27210.3.2PPP幀封裝過程27410.3.3L2TP27510.3.4VPN接入控制過程28110.3.5IPSec和安全傳輸過程28410.3.6Cisco Easy VPN28510.4SSL VPN29010.4.1第二層隧道和IPSec的缺陷29010.4.2SSL VPN實現原理291小結294習題2951章防火墻/29711.1防火墻概述29711.1.1引出防火墻的原因29711.1.2防火墻定義和工作機制29811.1.3防火墻分類29911.1.4防火墻功能30111.1.5防火墻的局限性30211.2分組過濾器30211.2.1無狀態分組過濾器30211.2.2有狀態分組過濾器30611.3電路層代理31811.3.1Socks和電路層代理實現原理31811.3.2電路層代理應用環境32011.3.3電路層代理安全功能32411.4應用層網關32411.4.1應用層網關概述32511.4.2Web應用防火墻工作原理32511.4.3Web應用防火墻應用環境32811.5三種防火墻的特點32911.5.1三種防火墻的安全功能32911.5.2三種防火墻的應用環境33011.5.3三種防火墻綜合應用實例330小結332習題3332章入侵檢測系統/33612.1IDS概述33612.1.1入侵定義和手段33612.1.2引出IDS的原因33712.1.3入侵檢測系統通用框架結構33812.1.4入侵檢測系統的兩種應用方式33912.1.5IDS分類34012.1.6入侵檢測系統工作過程34212.1.7入侵檢測系統的不足34512.1.8入侵檢測系統發展趨勢34612.1.9入侵檢測系統的評價指標34612.2網絡入侵檢測系統34712.2.1網絡入侵檢測系統結構34712.2.2信息流捕獲機制34812.2.3網絡入侵檢測機制35012.2.4安全策略配置實例35612.3主機入侵檢測系統35912.3.1黑客攻擊主機系統過程36012.3.2主機入侵檢測系統功能36012.3.3主機入侵檢測系統工作流程36012.3.4攔截機制36112.3.5主機資源36312.3.6用戶和系統狀態36312.3.7訪問控制策略配置實例364小結365習題3663章病毒防御技術/36813.1病毒作用過程36813.1.1病毒存在形式36813.1.2病毒植入方式36913.1.3病毒隱藏和運行36913.1.4病毒感染和傳播37113.1.5病毒破壞過程37113.1.6病毒作用過程實例37213.2基于主機防御技術37413.2.1基于特征的掃描技術37513.2.2基于線索的掃描技術37613.2.3基于完整性檢測的掃描技術37613.2.4基于行為的檢測技術37713.2.5基于模擬運行環境的檢測技術37713.3基于網絡防御技術37813.3.1防火墻37813.3.2網絡入侵檢測系統37913.3.3防毒墻38013.3.4數字免疫系統381小結381習題3824章計算機安全技術/38314.1計算機安全威脅和安全技術38314.1.1安全威脅38314.1.2安全技術38414.2訪問控制38414.2.1基本術語38414.2.2訪問控制模型38514.2.3審計39014.2.4Windows 7訪問控制機制39114.3Windows 7防火墻39514.3.1入站規則和出站規則39614.3.2Windows 7防火墻配置實例39714.4Windows 7網絡管理和監測命令40614.4.1ping40714.4.2tracert40814.4.3ipconfig41014.4.4arp41114.4.5nslookup41314.4.6route41414.4.7stat416小結419習題419英文縮寫詞/420參考文獻/425