計算機網路安全(人民郵電出版社教材)

叢 書 名　21世紀高等學校計算機規劃教材——精品系列

編目分類　TP393.08

作　者　沈鑫剡 編著

責任編輯　武恩玉

開　本　16 開

印　張　21.5

字　數　568 千字

裝　幀　平裝

版　次　第1版第1次

本 印 次　2011年3月

首 印 數　-- 冊

定　價　36.00 元

這是一本既注重於網路安全基礎理論，又著眼培養讀者解決網路安全問題能力的教材。書中詳細討論了加密算法、報文摘要算法、鑑別協定等網路安全基礎理論，病毒實現技術和防禦技術，黑客攻擊方法和過程，目前主流的網路安全技術(如乙太網安全技術、安全路由、信息流管制、VPN、防火牆、入侵防禦系統、安全無線區域網路等)，以及這些安全技術防禦黑客攻擊的原理和案例，安全網路的設計方法和過程，安全套用層協定及套用等。

本書的最大特點是將計算機網路安全理論、目前主流網路安全技術和安全網路的設計過程有機集成在一起，既能讓讀者掌握完整、系統的計算機網路安全理論，又能讓讀者具備運用主流網路安全技術實現安全網路設計的能力。

本書可作為計算機專業本科生、研究生的計算機網路安全教材，也可供從事計算機網路安全工作的工程技術人員參考。

《計算機網路安全》以計算機網路安全特性為主線，講述實現網路安全的六大機制，融入網路安全最新知識和技術。以保障計算機網路的安全特性為主線，講述實現計算機網路安全的數據保密性、數據完整性、用戶不可抵賴性、用戶身份可鑑別性、網路訪問的可控性和網路可用性六大機制，並安排了5個網路安全綜合實驗。章後配有較多的習題供學習者思考與複習。

沈鑫剡，1986年畢業於國防科技大學，碩士學歷。現為解放軍理工大學教授，長期從事計算機硬體、計算機網路和網路安全的教學和科研，出版專著和教材近20本。

第1章　概述　1

1.1　網路面臨的安全問題　1

1.1.1　網路結構　1

1.1.2　非法訪問　1

1.1.3　非法篡改　2

1.1.4　冒名頂替和重放攻擊　2

1.1.5　偽造重要網站　3

1.1.6　抵賴曾經傳送或接收過信息　3

1.1.7　拒絕服務攻擊　3

1.2　網路攻擊手段舉例　3

1.2.1　病毒　3

1.2.2　非法截獲信息　3

1.2.3　拒絕服務攻擊　5

1.3　網路安全的功能和目標　6

1.3.1　網路安全的功能　6

1.3.2　網路安全的目標　7

1.4　網路安全機制　7

1.4.1　加密　7

1.4.2　身份鑑別　8

1.4.3　完整性檢測　8

1.4.4　訪問控制　9

1.4.5　數字簽名　10

1.4.6　安全路由　10

1.4.7　審計與追蹤　10

1.4.8　災難恢復　11

1.5　網路安全體系　11

1.5.1　TCP/IP體系結構　11

1.5.2　網路安全體系結構　11

1.6　網路安全的發展過程　12

1.6.1　病毒檢測軟體　13

1.6.2　分組過濾和防火牆　13

1.6.3　IP Sec和VPN　13

1.6.4　入侵防禦系統　14

1.6.5　現有安全技術的困境　14

1.6.6　網路安全的發展趨勢　14

1.7　網路安全的實施過程　15

1.7.1　資源評估　15

1.7.2　網路威脅評估　15

1.7.3　風險評估　15

1.7.4　構建網路安全策略　16

1.7.5　實施網路安全策略　16

1.7.6　審計和改進　16

習題 　16

第2章　惡意代碼分析與防禦　18

2.1　惡意代碼定義與分類　18

2.1.1　惡意代碼定義　18

2.1.2　惡意代碼分類　18

2.2　病毒概述　20

2.2.1　病毒的一般結構　20

2.2.2　病毒分類　22

2.2.3　病毒實現技術　23

2.3　惡意代碼實現機制分析　24

2.3.1　木馬實現機制分析　24

2.3.2　蠕蟲病毒實現機制分析　25

2.4　病毒防禦機制概述　27

2.4.1　基於主機的病毒防禦機制　27

2.4.2　基於網路的病毒防禦機制　29

2.4.3　數字免疫系統　31

2.4.4　病毒防禦技術的發展趨勢　31

習題 　32

第3章　黑客攻擊機制　33

3.1　黑客概述　33

3.1.1　黑客定義　33

3.1.2　黑客分類　33

3.1.3　黑客攻擊目標　34

3.2　黑客攻擊過程　34

3.2.1　信息收集　35

3.2.2　掃描　35

3.2.3　滲透　37

3.2.4　攻擊　37

3.3　黑客攻擊過程舉例　37

3.3.1　截獲私密信息　37

3.3.2　攻擊Web伺服器　39

3.3.3　DNS欺騙攻擊　40

3.3.4　非法接入無線區域網路　41

3.3.5　DDoS　43

3.4　黑客攻擊的防禦機制　44

3.4.1　加密和報文摘要　44

3.4.2　基於主機的防禦機制　46

3.4.3　基於網路的防禦機制　46

3.4.4　綜合防禦機制　47

習題 　48

第4章　加密和報文摘要算法　49

4.1　加密算法　49

4.1.1　對稱密鑰加密算法　50

4.1.2　公開密鑰加密算法　64

4.1.3　兩種密鑰體制的適用範圍　66

4.2　報文摘要算法　66

4.2.1　報文摘要算法的主要用途　66

4.2.2　報文摘要算法要求　67

4.2.3　MD5　68

4.2.4　SHA-1　70

4.2.5　HMAC　71

習題 　72

第5章　鑑別協定和數字簽名　74

5.1　身份鑑別和接入控制　74

5.1.1　接入控制過程　74

5.1.2　PPP和Internet接入控制　75

5.1.3　EAP和802.1X　77

5.1.4　RADIUS　83

5.2　Kerberos和訪問控制　86

5.2.1　訪問控制過程　86

5.2.2　鑑別伺服器實施統一身份鑑別機制　88

5.2.3　Kerberos身份鑑別和訪問控制過程　89

5.3　數字簽名和PKI　91

5.3.1　數字簽名的實現過程　91

5.3.2　證書和認證中心　92

5.3.3　PKI　93

5.4　TLS　96

5.4.1　TLS協定結構　97

5.4.2　握手協定實現身份鑑別和安全參數協商過程　98

5.5　IP Sec　101

5.5.1　安全關聯　102

5.5.2　AH　105

5.5.3　ESP　106

5.5.4　ISAKMP　107

習題 　109

第6章　網路安全技術　110

6.1　網路安全技術概述　110

6.1.1　網路安全技術定義　110

6.1.2　網路安全技術實現的安全功能　111

6.2　乙太網安全技術　111

6.2.1　乙太網接入控制　112

6.2.2　防DHCP欺騙和DHCP偵聽信息庫　114

6.2.3　防ARP欺騙攻擊　116

6.2.4　防偽造IP位址攻擊　116

6.2.5　防轉發表溢出攻擊　117

6.3　安全路由　118

6.3.1　路由器和路由項鑑別　118

6.3.2　路由項過濾　119

6.3.3　單播反向路徑驗證　120

6.3.4　策略路由　121

6.4　虛擬網路　122

6.4.1　虛擬區域網路　122

6.4.2　虛擬路由器　124

6.4.3　虛擬專用網　127

6.5　信息流管制　128

6.5.1　信息流分類　129

6.5.2　管制算法　129

6.5.3　信息流管制抑止拒絕服務攻擊機制　130

6.6　網路地址轉換　132

6.6.1　連線埠地址轉換　133

6.6.2　動態NAT　134

6.6.3　靜態NAT　135

6.6.4　NAT的弱安全性　135

6.7　容錯網路結構　136

6.7.1　核心層容錯結構　136

6.7.2　網狀容錯結構　136

6.7.3　生成樹協定　137

6.7.4　冗餘鏈路　137

習題 　138

第7章　無線區域網路安全技術　141

7.1　無線區域網路的開放性　141

7.1.1　頻段的開放性　141

7.1.2　空間的開放性　142

7.1.3　開放帶來的安全問題　142

7.2　WEP加密和鑑別機制　143

7.2.1　WEP加密機制　143

7.2.2　WEP幀結構　144

7.2.3　WEP鑑別機制　144

7.2.4　基於MAC地址鑑別機制　145

7.2.5　關聯的接入控制功能　145

7.3　WEP的安全缺陷　146

7.3.1　共享密鑰鑑別機制的安全缺陷　146

7.3.2　一次性密鑰字典　147

7.3.3　完整性檢測缺陷　148

7.3.4　靜態密鑰管理缺陷　150

7.4　802.11i　150

7.4.1　802.11i增強的安全功能　150

7.4.2　802.11i加密機制　151

7.4.3　802.1X鑑別機制　157

7.4.4　動態密鑰分配機制　162

習題 　164

第8章　虛擬專用網路　166

8.1　虛擬專用網路概述　166

8.1.1　專用網路特點　166

8.1.2　引入虛擬專用網路的原因　167

8.1.3　虛擬專用網路需要解決的問題　167

8.1.4　虛擬專用網路套用環境　168

8.1.5　虛擬專用網路技術分類　169

8.2　點對點IP隧道　174

8.2.1　網路結構　174

8.2.2　IP分組傳輸機制　175

8.2.3　安全傳輸機制　177

8.3　基於第2層隧道的遠程接入　181

8.3.1　網路結構　181

8.3.2　第2層隧道和第2層隧道協定　181

8.3.3　遠程接入用戶接入內部網路過程　185

8.3.4　數據傳輸過程　187

8.3.5　安全傳輸機制　188

8.3.6　遠程接入—自願隧道方式　189

8.4　虛擬專用區域網路服務　192

8.4.1　網路結構　192

8.4.2　數據傳輸過程　194

8.4.3　安全傳輸機制　196

8.5　SSL VPN　197

8.5.1　網路結構　197

8.5.2　網關配置　198

8.5.3　實現機制　198

8.5.4　安全傳輸機制　200

習題 　201

第9章　防火牆　204

9.1　防火牆概述　204

9.1.1　防火牆的定義和分類　204

9.1.2　防火牆的功能　207

9.1.3　防火牆的局限性　208

9.2　分組過濾器　208

9.2.1　無狀態分組過濾器　208

9.2.2　反射式分組過濾器　210

9.2.3　有狀態分組過濾器　212

9.3　Socks 5和代理伺服器　222

9.3.1　網路結構　222

9.3.2　Socks 5工作機制　222

9.3.3　代理伺服器安全功能　224

9.4　堡壘主機　224

9.4.1　網路結構　225

9.4.2　堡壘主機工作機制　226

9.4.3　堡壘主機功能特性　228

9.4.4　三種網路防火牆的比較　228

9.5　統一訪問控制　228

9.5.1　系統結構　229

9.5.2　實現原理　230

9.5.3　統一訪問控制的功能特性　233

習題 　236

第10章　入侵防禦系統　239

10.1　入侵防禦系統概述　239

10.1.1　入侵手段　239

10.1.2　防火牆與防毒軟體的局限性　239

10.1.3　入侵防禦系統的功能　240

10.1.4　入侵防禦系統分類　240

10.1.5　入侵防禦系統工作過程　242

10.1.6　入侵防禦系統不足　245

10.1.7　入侵防禦系統的發展趨勢　245

10.1.8　入侵防禦系統的評價指標　246

10.2　網路入侵防禦系統　246

10.2.1　系統結構　246

10.2.2　信息流捕獲機制　247

10.2.3　入侵檢測機制　248

10.2.4　安全策略　254

10.3　主機入侵防禦系統　255

10.3.1　黑客攻擊主機系統過程　255

10.3.2　主機入侵防禦系統功能　256

10.3.3　主機入侵防禦系統工作流程　256

10.3.4　截獲機制　257

10.3.5　主機資源　258

10.3.6　用戶和系統狀態　259

10.3.7　訪問控制策略　260

習題 　261

第11章　網路管理和監測　262

11.1　SNMP和網路管理　262

11.1.1　網路管理功能　262

11.1.2　網路管理系統結構　262

11.1.3　網路管理系統的安全問題　263

11.1.4　基於SNMPv1的網路管理系統　264

11.1.5　基於SNMPv3的網路管理系統　267

11.2　網路綜合監測系統　272

11.2.1　網路綜合監測系統功能　273

11.2.2　網路綜合監測系統實現機制　273

11.2.3　網路綜合監測系統套用實例　275

習題 　277

第12章　安全網路設計實例　279

12.1　安全網路概述　279

12.1.1　安全網路設計目標　279

12.1.2　安全網路主要構件　279

12.1.3　網路資源　280

12.1.4　安全網路設計步驟　280

12.2　安全網路設計和分析　281

12.2.1　功能需求　281

12.2.2　設計思路　282

12.2.3　系統結構　282

12.2.4　網路安全策略　283

12.2.5　網路安全策略實現機制　283

第13章　套用層安全協定　291

13.1　DNS Sec　291

13.1.1　域名結構　291

13.1.2　域名解析過程　292

13.1.3　DNS的安全問題　293

13.1.4　DNS Sec安全機制　294

13.2　Web安全協定　296

13.2.1　Web安全問題　296

13.2.2　Web安全機制　297

13.2.3　HTTP over TLS　297

13.2.4　SET　300

13.3　電子郵件安全協定　310

13.3.1　PGP　310

13.3.2　S/MIME　312

習題 　316

附錄A　部分習題答案　317

附錄B　英文縮寫詞　333

參考文獻　336