計算機網路安全原理與實現

第一篇主要介紹網路協定以及網路攻防編程的基礎知識；

第二篇主要介紹網路攻擊的概念、目標和分類以及攻擊的原理及防範方法，並介紹惡意軟體技術；

第三篇主要介紹網路安全體系結構以及加密技術、認證技術、訪問控制、防火寺技術、入侵檢測技術等。

《計算機網路安全原理與實現》取材新穎，概念清晰，既可以作為高等院校相關專業本科生、研究生的教學用書，也是網路安全防護人員、網路安全產品開發人員和網路對抗研究人員的參考資料。

隨著信息化進程的加快，計算機網路的套用日益普及，但網路安全問題也不斷凸顯出來。《計算機網路安全原理與實現》以“計算機網路攻擊和防護技術”為主線，系統介紹網路安全的原理和相關技術。

《計算機網路安全原理與實現》特點

《計算機網路安全原理與實現》分為網路安全基礎、網路安全中的攻擊技術及網路安全中的防護技術三部分。先幫助讀者補充網路協定、網路攻防編程方面的基礎知識，再介紹網路攻擊採取的手段，最後論述計算機網路的防護技術。

《計算機網路安全原理與實現》既注重基本原理的講解，又通過大量的例程演了相應的原理和技術；既對經典的、成熟的網路對抗技術做了詳盡的介紹，又緊隨網路對抗技術的研究前沿，涉獵了新理論、新技術和新方法，較為全面地反映了網路對抗技術的現狀和發展趨勢。

1．1計算機網路的體系結構

1．1．1OSI參考模型

1．1．2TCP/IP體系結構

l．2TCP/IP協定族

I．2．1鏈路層協定

1．2．2網路層協定

l．2．3傳輸層協定

l．2．4常用的套用層協定

13本章小結

習題

2．1套接字編程基礎

2．2基於TCP協定的網路編程

2．2．I創建套接字函式socket

2．2．2綁定函式bind

2．2．3監聽函式listen

2．2．4接受函式accept

2．2．5連線函式connect

2．2．6連線中止函式close

2．2．7連線關閉函式shutdown

2．2．8寫函式write

2．2．9讀函式read

2．2．10基於TCP協定的網路程式結構

2．2．lTCP網路程式示例

2．3基於JDP協定的網路編程

2．3．1常用的收發函式

2．3．2基於13DP協定的網路程式結構

2．3．3LJDP網路程式示例

2．4其他常用函式

2．4．1IP位址和域名的轉換函式

2．4．2服務信息函式

2．4．3其他讀寫函式

2．5原始套接字

2．5．1原始套接字的創建

2．5．2原始套接字的傳送

2．5．3原始套接字的接收

2．5．4常用協定首部結構定義

2．5．5原始套接字編程示例

2．6網路數據包捕獲開發包libpcap

2．6．1libpcap的安裝

2．6．2libpcap~筻用程式框架

2．6．3libpcap包捕獲機制分析

2．6．4libpcap數據包過濾機制

2．6．5libpcap編程示例

2．7網路數據包構造函式館libnet

2．7．1libnet簡介

2．7．2libnet的函式

2．7．3libnet編程示例

2．8本章小結

習題

3．1WindowsSocket網路編程

3．1．1WinSock的初始化

3．1．2建立Socket

3．1．3基於'rcP協定的網路編程

3．1．4UDP協定編程

3．2．原始套接字

3．2．1創建一個原始套接字

3．2．2構造數據包

3．2．3傳送原始套接字數據包

3．2．4使用原始套接字接收數據

3．2．5原始套接宇編程示例

3．3註冊表編程

3．3．1註冊表操作函式

3．3．2註冊表操作程式示例

3．4本章小結

習題

4．1網路攻擊與信息安全

4．2網路攻擊的目標和分類

4．2．1網路攻擊目標

4．2．2網路攻擊的分類方法

4．3網路攻擊的基本過程

4．4網路攻擊技術的演變

4．5本章小結

習題

5．1網路欺騙

5．1．1IP欺騙

5．1．2電子郵件欺騙

5．1．3Web欺騙

5．1．4非技術類欺騙

5．1．5網路欺騙的防範

5．2嗅探技術

5．2．1乙太網嗅探原理

5．2．2嗅探器的實現

5．2．3嗅探器的檢測與防範

5．3掃描技術

5．3．1網路掃描診斷命令

5．3．2連線埠掃描

5．3．3作業系統探測

5．3．4脆弱性掃描

5．3．5掃描的防範

5．4口令破解技術

5．4．1Linux離線口令破解實例

5．4．2WindowsN'1"/2000的口令機制

5．4．3口令竊聽

5．4．4口令破解的防範

5．5緩衝區溢出攻擊

5．5．1什麼是緩衝區溢出

5．5．2緩衝區溢出的原理

5．5．3緩衝區溢出漏洞的普遍性

5．5．4緩衝區溢出攻擊示例

5．5．5緩衝區溢出攻擊的類型

5．6拒絕服務攻擊

5．6．1Smur啵擊

5．6．2SYN洪泛攻擊

5．6．3'reardrop攻擊

5．6．4DDoS攻擊

5．7本章小結

習題

6．1惡意軟體的演變

6．2什麼是惡意軟體

6．3惡意軟體的特徵

6．4什麼不是惡意軟體

6．5病毒

6．5．1病毒的定義

6．5．2病毒的結構

6．5．3病毒的分類

6．5．4宏病毒

6．5．5腳本病毒

6．5．6計算機病毒的防治技術

6．6蠕蟲

6．6．1蠕蟲概述

6．6．2典型蠕蟲分析

6．6．3蠕蟲編寫示例

6．7木馬

6．7．I木馬的原理

6．7．2木馬技術的發展．

6．7．3木馬編寫示例

6．7．4木馬的發現與清除方法

6．7．5木馬的高級技術

6．8本章小結

習題

7．1安全體系結構

7．1．I什麼是安全體系結構

7．1．2開放式系統互連安全體系結構

7．1．3'rCP/IP協定的安全體系結構

7．2安全模型

7．2．1多級安全模型

7．2．2多邊安全模型

7．2．3p2DR安全模型

7．3安全評估標準

7．3．1'I'CSEC標準

7．3．2CC標準

7．3．3我國的計算機安全等級劃分與相關標準

7．4本章小結

習題

8．1密碼學概述

8．I．l密碼學的歷史

8．1．2密碼學的基本概念

8．1．3密碼算法的分類

8．1．4網路通信中的加密方式

8．1．5密碼的破譯

8．1．6密碼算法的安全性

8．2簡單密碼算法一

8．2．1替換密碼

8．2．2易位密碼

8．2．3一次一密

8．3對稱密鑰密碼算法

8．3．1pEs對稱密鑰密碼算法

8．3．2三重DES

8．3．3IDEA加密算法簡介

8．3．4加密模式

8．4公開密鑰密碼算法

8．4．1公開密鑰密碼算法原理

8．4．2RSA算法簡介

8．4．3RSA算法的安全性

8．5單向散列函式

8．5．1單向散列函式的原理

8．5．2MD5算法

8．5．3其他散列算法

8．6訊息認證

8．6．1訊息認證碼

8．6．2訊息認證碼的實現

8．6．3訊息認證的安全性分析

8．7數字簽名

8．7．1數字簽名的原理

8．7．2數字簽名的實現方式

8．8PGP軟體

8．8．1PGP軟體簡介

8．8．2PGP軟體的安裝

8．8．3PGP軟體的使用

8．9本章小結

9．1身份認證技術概述

9．1．1身份認證的基本概念

9．1．2身份認證的形式

9．2基於口令的身份認證

9．2．1簡單口令認證

9．2．2質詢/回響認證

9．2．3一次性口令

9．2．4雙因素認證

9．2．5RADILJS協定

9．2．6口令的管理

9．3Kerberos認證技術

9．3．1Kerberos簡介

9．3．2KerberosV4協定

9．3．3KerberosV5簡介

9．4基於PKI的身份認證

9．4．1PKI體系結構及各實體的功能

9．4．2X．509證書

9．5基於生物特徵的身份認證

9．6本章小結

習題

10．1訪問控制的概念

10．2訪問控制策略

10．2．1自主訪問控制模型

10．2．2強制訪問控制模型

lO．2．3基於角色的訪問控制模型

10．3訪問控制策略的制定實施原則

lO．4訪問控制的實現

10．4．1訪問控制的實現機制

lO．4．2網路中的訪問控制

10．4．3訪問控制的實現手段

10．5本章小結

習題

11．1什麼是防火牆

11．2防火牆使用的技術

11．2．1包過濾技術

11．2．2電路級網關

11．2．3套用層代理

11．2．4網路地址轉換

11．2．5防火牆的性能比較

11．3防火牆的主要作用

11．3．1防火牆的基本功能

11．3．2防火牆的擴展安全功能

11．4代理伺服器CCPmxy

Il．4．1CCProxy的安裝

11．4．2ccPmxy的設定與管理

ll．4．3客戶端的配置

Il．4．4CCPmxy的高級功能

11．5代理伺服器squid

11．5．1squid的安裝

11．5．2squid的配置

11．5．3squid的運行

11．6在Linux平台上使用iptables構建防火牆

11．6．1netfjlter的工作原理

11．6．2系統準備

11．6．3iptables命令的語法

11．6．4使用iptables構建狀態包過濾防火牆

11．6．5使用iptables構建狀態NAT防火牆

11．7本章小結

習題

12．1概述

12．1．1入侵檢測的概念

12．1．2入侵檢測的作用

12．2入侵檢測系統

12．2．1入侵檢測系統的模型

12．2．2入侵檢測系統的工作流程

12．2．3入侵檢測系統的分類

12．2．4入侵檢測系統的部署

12．3入侵檢測方法

12．3．1誤用檢測

12．3．2異常檢測

12．4入侵檢測面臨的挑戰與前景

12．4．1入侵檢測面臨的挑戰

12．4入侵檢測的前景

12．5入侵檢測工具Snort

12．5．1Snort簡介

12．5．2Snort的安裝

12．5．3Snort的使用

12．5．4Snort的配置

12．5．5Snort的規則

12．6入侵檢測實現示例

12．6．1開發環境的建立

12．6．2程式分析

12．7本章小結

習題

參考文獻

……

國際標準化組織(ISO)：為數據處理系統建立和採取的技術和管理的安全保護，保護計算機硬體、軟體數據不因偶然和惡意的原因而遭到破壞、更改和顯露。

我國安全保護條例：計算機信息系統的安全保護，應當保障計算機及其相關的和配套的設備、設施（含網路）的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行。

信息可以有多種存在方式，可以寫在紙上、儲存在電子文檔里，也可以用郵遞或電子手段傳送，可以在電影上放映或者說話中提到。無論信息以何種方式表示、共享和存儲，都應當適當地保護起來。

信息是一家機構的資產，與其它資產一樣，應受到保護。信息安全的作用是保護信息不受大範圍威脅所干擾，使機構業務能夠暢順，減少損失及提供最大的投資回報和商機。