計算機網路信息安全與套用

本書介紹了計算機網路遠程連線的規劃設計、運行管理、網路信息安全的保障與監測、網路用戶上網行為監管等實際套用中的基礎知識。書中按照網際網路參考模型的分層結構，從下層至上層，即按照網路數據包封裝的逐層解剖順序，深入淺出地討論每一層的主流協定原理與實用技術，以及各層出現的現實安全威脅問題，圖文並茂地列舉了網路信息安全監管中的大量案例分析。採用開源的網路數據捕獲與分析軟體作為教學實驗工具，每章附有習題與實踐課題，讓讀者在自己的網路計算機上理論聯繫實際、由淺入深地邊學習邊實踐，掌握與提高分析解決網路信息安全系統規劃、運維監管中的實際問題的能力。

第1章網際網路及其套用概述

1.1網路套用與分層結構

1.1.1協定、服務和分層結構的例子

1.超文本傳輸協定HTTP、域名服務DNS和簡單郵件協定SMTP

2．TCP和UDP在傳輸層的服務，3.P2P對等網路協定

1.1.2.開放系統互聯OSI模型及規範化描述

1.開放系統互連OSI的七層模型，2.關於層、協定和服務的規範化分析

1.2TCP/IP網路模型與協定構架

1.2.1TCP/IP網路協定的結構

1.2.2TCP/IP網路模型與OSI模型之間的關係

1.2.3異類網路之間如何互連通信

1.IP位址和物理地址的作用範圍，2.IP包在不同網路之間的傳輸，

3.網路各層之間如何協同工作

1.3利用Wireshark捕獲分析網路數據及其安全

1.4計算機網路知識中的若干基本概念

1.關於計算機的各種不同稱謂，2.“區域網路”、“私有網路”和“虛擬私有網路”，

3.區域網路與網際網路作業系統，4.網際網路不同協定層數據單元的稱謂和性質不同，

5.各種不同進制數的表示與相互換算，6.概念容易混淆的表示方式

1.5本章小結

習題與實踐

第2章廣域網接入與身份認證技術

2.1電信系統的網際網路接入服務

2.1.1電路交換的概念

2.1.2電話系統的信令和數據傳輸系統

2.1.3電信系統提供的網際網路接入服務

2.1.4撥號數據機Modem

1．電話用戶線路雙絞線的特性，2．正交幅度調製QAM技術，

3．數據機的技術標準

2.1.5數字用戶線路xDSL

1．ADSL；2．HDSL；3．SDSL；4．VDSL

2.1.6點對點的數字通信協定PPP

2.2身份認證協定PAP和CHAP

2.3AAA與RADIUS協定原理與套用

2.3.1對用戶的AAA認證、授權與計費管理

2.3.2RADIUS協定原理與套用

2.4基於SDH的多業務傳輸平台MSTP在以太廣域網中的套用

2.4.1SDH同步數據通信網簡介

1．SDH同步數據通信網的特點，2．SDH同步數據通信網的不足

2.4.2基於SDH的多業務傳輸平台MSTP的接口技術

1．用SDH直接傳輸計算機網路數據需解決的問題

2．用SDH實現寬頻IP城域網的技術

3．基於SDH的多業務傳輸平台MSTP提供的網路接口

2.4.3千兆城域乙太網在多業務傳輸平台MSTP上的實現

2.5本章要點

習題與實踐

第3章乙太網家族及其安全套用

3.1乙太網與IEEE802.3

3.1.1IEEE802區域網路標準

3.1.2IEEE802.3與標準乙太網

1．乙太網的幀結構，2．乙太網幀的長度選擇，3.乙太網的MAC物理地址，

4.從乙太網捕獲的以太幀案例分析。

3.1.3乙太網的物理層

1.雙絞線，2.多模和單模光纖

3.1.4IEEE802.3u快速乙太網

3.1.5IEEE802.3z千兆乙太網

3.1.6IEEE802.3ae十千兆乙太網

3.2動態主機配置協定DHCP及其安全

3.2.1DHCP協定的工作過程

3.2.2DHCP協定的安全問題

3.3地址解析協定ARP及其安全問題

3.3.1靜態ARP地址映射

3.3.2動態ARP地址映射

1.ARP數據包在以太幀中的封裝位置，2.ARP查詢包與應答包的結構。

3.3.3ARP誘騙的原理與防禦

1.誘騙篡改網關內的ARP表，2.誘騙篡改網內主機的ARP表，

3.操控ARP產生廣播風暴阻塞網路，4.ARP欺騙的防禦方法。

3.4基於無源光纖網路的千兆乙太網EPON

3.4.1EPON的網路結構

1．OLT光線路終端，2．PON無源光纖分配網路，3．ONU光網路單元

3.4.2EPON的工作原理

1.OLT向ONU廣播傳輸的EPON下行幀的結構

2.EPON上行幀由各ONU在指定時隙傳送的以太幀組成，3.EPON的關鍵技術

3.4.3EPON在城域網的三網融合中的套用

3.4.4EPON的信息安全問題

3.5IEEE802.11無線區域網路

3.5.1IEEE802.11無線區域網路的結構

1．基本服務集BSS，2．擴展服務集ESS，3．無線工作站的類型

3.5.2IEEE802.11無線區域網路的MAC子層

1．分散式協調功能DCF，2．點協調功能PCF，3．數據分段，4．IEEE802.11幀結構

5．無線區域網路中通信雙方不同位置時的地址欄位，6．無線區域網路中的隱蔽站和暴露站問題

3.5.3IEEE802.11無線區域網路的物理層

1．IEEE802.11FHSS跳頻擴展頻譜通信系統，

2．IEEE802.11DSSS直接序列擴展頻譜通信系統，3．IEEE802.11紅外光通信，

4．IEEE802.11aOFDM正交頻分多路復用系統，

5．IEEE802.11bDSSS高速率直接序列擴頻，6．IEEE802.11g

3.5.4IEEE802.11無線區域網路的安全性

1.IEEE802.11物理層的安全，2.IEEE802.11b鏈路層的安全

3.IEEE802.11b網路層的安全

3.6本章小結

習題與實踐

第4章IPv4和IPv6協定及其安全

4.1網際網路IPv4地址

4.1.1IPv4地址及其分類

1.IPv4地址空間，2.IPv4地址的表示方式，3.IPv4地址的分類定址，

4.IPv4分類地址和地址塊，5.IPv4網路的ID標識和主機ID標識，6.子網掩碼mask，

7.子網劃分Subnetting，8.超網劃分Supernetting，9.IPv4地址短缺的解決方案，

10.幾個特殊的IPv4地址

4.1.2無類IP位址分配

1.無類IP位址的地址塊，2.無類地址塊的分配條件，3.無類IP位址的子網掩碼，

4.IP位址的分層次結構，5.IP位址的分配與獲取

4.1.3網路地址轉換NAT

1.NAT路由器將外出包的源地址替換為自己的外網地址，

2.NAT路由器將返回包的目的地址替換為內部主機地址，

3.NAT網路地址轉換與ISP網際網路服務提供商，

4.1.4IPv6地址

1.IPv6的地址結構，2.IPv6的地址空間

4.2網際網路層協定

4.2.1網路互聯需解決的問題

4.2.2IPv4網際網路協定

1.IPv4數據包格式，2.IPv4包的分段傳輸，3.IPv4包在網路傳輸中的安全性

4.2.3IPv6網際網路協定

1.IPv6協定的優點，2.IPv6包的結構，3.IPv6數據包的擴展頭部，

4.網路捕獲的IPv6數據包樣本

4.2.4從IPv4網路到IPv6網路的過渡技術方案

1.雙協定堆疊模式，2．隧道模式，3.IP頭部轉換模式

4.3本章要點

習題與實踐

第5章傳輸層協定及其攻擊案例

5.1進程對進程的傳輸

1.客戶/伺服器模式，2．定址方式，3．連線埠地址的分類，4．套接地址，

5．多路復用與多路分離，6．無連線與面向連線的傳輸服務，

7．可靠的與不可靠的傳輸服務

5.2用戶數據報協定UDP

5.2.1UDP協定使用的公認連線埠號

5.2.2UDP的數據報結構

5.2.3UDP數據報的傳輸

5.2.4UDP協定的套用領域

5.3傳輸控制協定TCP

5.3.1TCP提供的服務

1.進程對進程的通信，2.位元組流的傳輸服務，3.傳送端與接收端的快取器，

4.數據流分段傳輸，5.全雙工通信，6.可靠的和面向連線的服務

5.3.2TCP的特性

1.對位元組進行編號，2.位元組的號碼，3.數據段的序列號，4.確認號ACK，

5.流量控制，6.差錯控制，7.擁塞控制

5.3.3TCP數據段Segment

5.3.4建立TCP連線的過程

1.通過三次握手建立TCP連線，2.同時開放連線埠，

3．正常的TCP連線請求[SYN]的案例，4.利用SYN進行泛洪攻擊，

5.利用TCP協定對目標主機進行連線埠掃描

5.3.5TCP數據段的傳輸過程

1.“推”數據欄位PSH，2.緊急數據的處理

5.3.6終止TCP的連線

1.通過三次握手終止連線，2.半關閉狀態

5.3.7TCP的流量控制

5.3.8TCP的差錯控制

1.用校驗和（Checksum）檢錯，2.接收端返回確認（Acknowledgment），

3.出現差錯則重傳，4.亂序的數據段的處理，5.正常的TCP數據段傳輸舉例，

6.傳輸的TCP數據段丟失重傳舉例，7．快速重傳

5.4數據流控制傳輸協定SCTP簡介

1.進程對進程的通信，2.多數據流傳輸服務，3.多宿主數據傳輸，

4.面向連線的全雙工的通信服務，5.可靠安全的服務，

6.對Cookie的安全防範功能

5.5傳輸層的網路攻擊案例

5.5.1利用TCP對目標主機的開放連線埠掃描

5.5.2利用TCP對目標主機的半開放連線埠掃描

5.5.3利用TCP對目標主機的Xmas掃描

5.5.4無效包掃描NullScan

5.6本章小結

習題與實踐

第6章套用層協定及其安全

6.1全球資訊網的基本構架

1．瀏覽器的結構，2．Web伺服器，3．統一資源定位符URL，4．Web文檔的類型

6.2域名系統DNS及其安全

6.2.1域名系統DNS概述

1．域名空間，2．域，3．中國網際網路域名體系及中文域名註冊，

4．動態域名系統DDNS

6.2.2DNS報文格式

1．DNS報文頭部格式，2．DNS報文的其餘部分，

3．查詢報文中的詢問記錄和回響報文中的資源記錄

6.2.3DNS域名/IP位址解析的工作流程

1．DNS的遞歸解析，2．DNS的疊代解析

6.2.4DNS報文的封裝實例

1.DNS客戶的查詢報文實例，2.DNS伺服器的回響報文實例

6.2.5域名系統DNS的安全隱患

1．對DNS系統的域名劫持攻擊，

2．對DNS伺服器的數據流放大攻擊

6.3超文本傳輸協定HTTP

1．HTTP協定版本1.0和版本1.1的區別，2．HTTP客戶的請求報文格式，

3.HTTP伺服器的回響報文格式，4．HTTPProxy代理伺服器和高速快取器，

5．利用HTTP協定的漏洞對Web伺服器的遠程攻擊

6.4Cookie及其安全套用

1．Cookies的結構，2．Cookies的產生和存儲，

3．Cookie的套用，4．Cookies的安全問題及其防護

6.5檔案傳輸協定FTP及其安全

6.5.1FTP工作過程舉例

1．跳轉攻擊，2．基於IP位址的訪問控制，3．保護用戶口令，

4．私密性，5．保護用戶名

6.6電子郵件及其信息安全

6.6.1電子郵件的傳輸過程

6.6.2郵件傳輸代理和郵件訪問代理

1．簡單郵件傳輸協定SMTP，2．郵件訪問代理POP3協定，

3．網際網路郵件訪問協定IMAP4，4．基於HTTP和HTTPS協定的電子郵件

6.6.3多功能網際網路郵件擴展MIME與安全郵件S/MIME

1．多功能網際網路電子郵件擴展MIME，2．安全/多功能網際網路電子郵件擴展S/MIME

6.6.4垃圾電子郵件及其防範

1．常見的反垃圾郵件技術，2．貝葉斯垃圾郵件過濾技術，

3．發件人SenderID技術，4．行為識別技術，5．郵件伺服器之間的互免技術

6.7本章要點

習題與實踐

第7章網路故障診斷與信息安全分析工具

7.1網路測試常用指令

7.1.1PING線上連通性測試命令

1．Ping的命令格式，2．Ping命令的幾種返回結果

7.1.2TRACEROUTE路由跟蹤探測命令

7.1.3NETSTAT本機網路狀態檢測命令

7.1.4ARP地址解析協定命令

7.1.5IPconfig本機網路配置狀態命令

7.1.6net命令

7.2網路數據捕獲與信息安全診斷

7.2.1網路數據捕獲工具的分類

7.2.2網路數據流的監測點選擇

1．交換機對網路數據流的隔離條件，2．親臨現場與利用代理進行數據捕獲，

3．交換機連線埠的數據共享，4．交換機連線埠的數據映射

7.2.3捕獲網路數據流的方法

7.2.4網路協定分析軟體Wireshark

1.Wireshark的主界面

2.Wireshark的功能選單及其使用

（1）File檔案選單，（2）Edit編輯選單，（3）View視圖選單，（4）Go跳轉選單，

（5）Capture包捕獲選單，（6）Analyze分析選單，（7）Statistics統計選單，

（8）幫助選單Help

3.Wireshark網路數據捕獲分析案例

7.3本章小結

習題與實踐

第9章防火牆、入侵保護與安全訪問控制

9.1防火牆的設計目標

9.1.1防火牆的控制功能

9.1.2防火牆功能的局限性

9.1.3防火牆的日誌記錄

9.2防火牆的類型與參數配置

9.2.1網路層的包過濾防火牆

1.包過濾防火牆的參數配置舉例，2.網路層包過濾防火牆的弱點，

3.對包過濾防火牆的攻擊和對抗方法

9.2.2網路層的全狀態檢測防火牆

9.2.3套用層防火牆

9.2.4堡壘主機

9.2.5代理伺服器

1.轉髮式代理伺服器，2.開放式代理伺服器，3.反向式代理伺服器

9.3網路防火牆的配置案例

9.3.1防火牆與NAT功能的組合配置

9.3.2防火牆的路由模式配置案例

1.IPS系統可分為4類，2.IPS的檢測方法和主要功能

9.4.3分散式NIPS入侵保護系統配置案例

9.5主機安全訪問控制系統

9.5.1安全訪問控制的基本概念

1．安全訪問控制的模型，2．訪問控制矩陣按列分解實施，3．訪問控制矩陣按行分解實施

9.5.2可信任系統的概念

9.5.4WidowsXP作業系統的安全訪問控制

1．WindowsXP中用戶和用戶組的許可權管理

2．WindowsXP中檔案的安全訪問控制策略

9.6本章小結

習題與實踐

第10章信息加密與驗證的基本技術

1．加密通信中常用的名詞和表達式，

2．加密通信系統分為兩類

10.1對稱密鑰通信系統

10.1.1傳統的對字元加密的方法

1．替換加密法，2．換位加密法

10.1.2數據加密的基本技術

1．XOR異或加密法，2．循環移位加密法，3．替換加密法：S-盒

4．換位加密法：P-盒

10.1.3數據加密標準DES和AES

1．數據加密標準DES，2．三重DES數據加密系統

3．先進加密標準AES，4．其它幾種對稱密鑰加密系統

10.2非對稱密鑰通信系統

10.2.1RSA加密算法

1．如何選擇非對稱密鑰，2．傳送方加密的過程，3．接收方解密的過程，

4．RSA加密系統的限制條件，5．數據加密技術DES與RSA的比較

10.2.2Differ-Hellman對稱密鑰交換算法

1．通信雙方產生對稱密鑰的過程，2．DHE對稱密鑰交換協定的基本原理，

3．DHE協定對抗中間人攻擊的措施

10.3信息安全技術提供的服務

10.3.1網路信息的保密通信

1．利用對稱密鑰的保密通信，2．利用非對稱密鑰的保密通信

10.3.2報文的完整性驗證

1．紙質檔案與指紋印記，2．電子報文與報文摘要，3．Hash算法須滿足的條件，

4．安全哈希算法SHA-1和報文摘要MD5，5．報文簽發者的身份認證

10.3.3對報文的數字簽名

10.3.4網路實體的身份認證

1．口令身份認證，2．挑戰－應答式身份認證，

3．使用加密的Hash值進行身份認證，4．使用非對稱密鑰加密挑戰值的身份認證

10.3.5對稱密鑰系統的密鑰分配

1.對稱密鑰分配中心KDC，2.會話密鑰與票據的概念，

3.Kerberos認證服務系統與對稱密鑰管理

10.3.6非對稱密鑰系統的公鑰發布方式

1.用戶發布自己的公鑰，2.可信任的公鑰發布中心，3.簽名的公鑰發布中心，

4.權威證書頒發機構CA，5.公鑰基礎設施PKI，6．X.509公鑰證書

10.3.7CA數字證書套用實例

1．IE瀏覽器中存儲的CA證書，2.Windows作業系統檔案的簽名驗證，

3.根證書頒發機構的CA證書與CRL列表發布

4．數字證書在網路電子銀行中的套用

5.設定WindowsIE瀏覽器中的安全選項

10.4本章要點

習題與實踐

第11章網際網路安全協定與電子商務套用

1.網路攻擊分為被動攻擊和主動攻擊兩類

2.常用的Web安全協定簡介

11.1網路層安全協定IPSec與VPN

11.1.1IPSec的傳輸模式

11.1.2IPSec的隧道模式

11.1.3IPSec的兩個安全協定AH和ESP

1．IPSec的認證頭部協定AH，2．IPSec的封裝安全載荷協定ESP，

3．IPSec協定支持IPv4和IPv6，4.IPSec的安全關聯組的概念

11.1.4實現虛擬私有網路VPN的各類技術

1.虛擬私有網路VPN的IP位址，2.私有網路遠程互連的方案，

3.在OSI網路模型各層實現VPN的技術

11.2傳輸層安全協定SSL/TLS

11.2.1SSL/TLS中4個子協定的功能

1．SSL/TLS的關鍵技術，2．SSL/TLS加密通信分為會話與連線兩種狀態，

3．SSL/TLS的4個子協定

11.2.2傳輸層安全協定TLS與SSL和HTTPS的關係

1.SSL/TLS協定的各種版本，2.TLS技術的套用與發展，

3.TLS協定軟體包的套用平台，4.套用層的HTTPS與TLS的關係

11.2.3基於單方認證的TLS安全電子郵件案例分析

11.3PGP安全協定及其套用

11.3.1PGP安全電子郵件

1．PGP安全電子郵件套用舉例，2．PGP安全電子郵件傳送方的處理過程，

3．PGP安全電子郵件的接收方處理過程

11.3.2PGP採用的加密與驗證算法

1．PGP用戶群的密鑰環，2．PGP用戶的數字證書

11.4安全電子交易SET系統

11.4.1安全電子交易SET系統概況

1.電子商務對安全電子交易SET的要求，2．安全電子交易SET的主要特性

11.4.2安全電子交易SET系統的組成部分

11.4.3安全電子交易SET系統的工作流程

11.4.4對訂貨單與支付信息進行雙重簽名

11.4.5安全電子交易SET的業務類型

11.4.6安全電子交易SET的購貨請求

1．購貨請求報文中包含的信息，2．貿易商收到消費者的購貨請求報文後執行的操作

11.4.7安全電子交易SET貨款的授權與支付

1．交易貨款的支付授權，2．交易貨款的撥付

11.4.8網際網路電子商務中使用SSL/TLS與SET的比較

11.4.9Visa公司的“3D安全交易”（3-DSecure）協定簡介

11.5本章要點

習題與實踐

第12章P2P對等網路套用與上網行為管理

12.1P2P對等網路套用系統的結構

12.1.1非結構化的P2P網路

1.非結構化的中心式P2P系統，2.非結構化的純P2P系統，

3.非結構化的混合式P2P系統，4.類P2P套用系統

12.1.2結構化的P2P網路系統

1.DHT分散式散列表的基本概念，2.DHT分散式散列表的結構，

3.DHT分散式散列表的主要特性，4.各種P2P網路結構的性能對比

12.2P2P對等網路套用系統

12.2.1P2P套用系統的優缺點

12.2.2常見的P2P套用系統

12.2.3某校園網數據流分類統計案例

12.3網路用戶的上網行為管理

12.3.1上網行為管理設備及其功能

12.3.2P2P上網行為的監測與控制

12.4P2P網路數據流的識別方法

12.4.1P2P網路數據流識別方法的分類

1．基於傳輸層連線埠的P2P流量識別，2．基於特徵碼的P2P流量識別，

3．基於流量特徵的P2P流識別方法

12.4.2基於特徵碼的P2P網路數據識別技術

1.包過濾系統的工作原理，2.包過濾系統的關鍵技術

12.5P2P套用系統及其特徵碼分析案例

12.5.1案例分析BitTorrent原理及其特徵碼

1.BitTorrent的工作原理，2.BitTorrent特徵碼的分析

12.5.2PPlive原理及其特徵碼分析

1.PPlive的工作原理，2.PPlive特徵碼的分析

12.5.3P2P套用的特徵碼提取方法總結

習題與實踐

參考文獻

附錄A傳輸層常用的連線埠號

附錄B校驗和Checksum的計算

附錄C各種進制的網路數值換算與IPv4地址

附錄DCRC循環冗餘校驗碼的計算

附錄E素數與模運算的基本概念

附錄FASCII編碼表