計算機網路安全原理

面對嚴峻的網路安全形勢，了解和掌握計算機網路安全知識具有重要的現實意義。本書著重闡述計算機網路安全的原理與技術，內容包括計算機網路安全概論、密碼學基礎知識、認證與數據簽名、PKI與數字證書、無線網路安全、IP與路由安全、傳輸層安全、DNS安全、Web套用安全、電子郵件安全、拒絕服務攻擊及防禦、網路防火牆、入侵檢測與網路欺騙、惡意代碼、網路安全新技術。各章均附有習題和實驗要求。 本書可作為網路空間安全、信息安全、網路工程、計算機等專業的教材，也可作為相關領域的研究人員和工程技術人員的參考書。

目 錄

第1章 緒　論1

1.1 計算機網路概述1

1.1.1 網路結構和組成1

1.1.2 網路體系結構4

1.2 計算機網路脆弱性分析6

1.3 計算機網路安全概念8

1.3.1 計算機網路安全8

1.3.2 與計算機網路安全相關的概念9

1.4 計算機網路安全威脅13

1.4.1 網路安全威脅因素13

1.4.2 網路攻擊概述14

1.5 網路安全模型15

1.6 網路安全機制與服務19

1.7 網路安全技術的發展簡史26

1.8 本書的內容與組織28

1.9 習題32

1.10　實驗34

第2章密碼學基礎知識36

2.1 密碼學基本概念36

2.2 古典密碼系統38

2.2.1 單表代換密碼38

2.2.2 多表代替密碼41

2.2.3 置換密碼算法43

2.3 現代密碼系統概述44

2.3.1 對稱密鑰密碼系統44

2.3.2 公開密鑰密碼系統46

2.4 典型對稱密鑰密碼系統48

2.4.1 數據加密標準（DES）48

2.4.2 高級數據加密標準（AES）56

2.4.3 RC460

2.5 典型公開密鑰密碼系統62

2.5.1 RSA公開密鑰密碼系統62

2.5.2 Diffie-Hellman密鑰交換協定65

2.5.3 ElGamal公鑰密碼體制67

2.5.4 橢圓曲線密碼體制68

2.5.5 基於身份標識的密碼體制70

2.6 密碼分析71

2.6.1 傳統密碼分析方法71

2.6.2 密碼旁路分析72

2.6.3 密碼算法和協定的工程實現分析73

2.7 習題74

2.8 實驗76

2.8.1 DES數據加密、解密算法實驗76

2.8.2 RSA數據加密、解密算法實驗76

第3章認證與數字簽名78

3.1 散列函式78

3.1.1 散列函式的要求78

3.1.2 MD算法80

3.1.3 SHA算法81

3.2 訊息認證83

3.2.1 報文源的認證83

3.2.2 報文宿的認證85

3.2.3 報文內容的認證86

3.2.4 報文順序的認證90

3.3 數字簽名91

3.3.1 數字簽名的基本概念92

3.3.2 利用RSA密碼系統實現數字簽名93

3.3.3 利用ElGamal密碼系統實現數字簽名94

3.3.4 利用橢圓曲線密碼實現數字簽名95

3.3.5 散列函式在數字簽名中的作用95

3.4 身份認證96

3.4.1 一次性口令認證98

3.4.2 基於共享密鑰的認證100

3.4.3 可擴展認證協定EAP107

3.5 習題109

3.6 實驗114

3.6.1 使用GPG4win進行數字簽名114

3.6.2 OpenSSL軟體的安裝與使用115

第4章 PKI與數字證書116

4.1 密鑰管理116

4.2 數字證書117

4.2.1 證書格式118

4.2.2 CRL格式125

4.3 PKI126

4.3.1 PKI組成127

4.3.2 證書籤發和撤銷流程132

4.3.3 證書的使用134

4.3.4 PKIX135

4.4 證書透明性136

4.5 習題138

4.6 實驗141

第5章無線網路安全142

5.1 無線區域網路安全142

5.1.1 概述142

5.1.2 WEP安全協定145

5.1.3 WPA/WPA2安全協定148

5.2 行動網路安全155

5.2.1 2G安全155

5.2.2 3G安全157

5.2.3 4G安全159

5.2.4 5G安全161

5.3 習題166

5.4 實驗168

第6章 IP及路由安全169

6.1 IPv4協定及其安全性分析169

6.2 IPsec170

6.2.1 IPsec安全策略171

6.2.2 IPsec運行模式175

6.2.3 AH協定176

6.2.4 ESP協定179

6.2.5 網路密鑰交換182

6.2.6 SA組合191

6.2.7 IPsec的套用192

6.3 IPv6協定及其安全性分析194

6.3.1 IPv6協定格式194

6.3.2 IPv6安全性分析196

6.4 路由安全197

6.4.1 RIP協定及其安全性分析198

6.4.2 OSPF協定及其安全性分析200

6.4.3 BGP協定及其安全性分析203

6.5 習題206

6.6　實驗209

6.6.1 IPsec VPN配置209

6.6.2 用Wireshark觀察IPsec協定的通信過程209

第7章傳輸層安全211

7.1 傳輸層安全概述211

7.1.1 連線埠和套接字212

7.1.2 UDP協定及其安全性212

7.1.3 TCP協定及其安全性213

7.2 SSL216

7.2.1 SSL體系結構216

7.2.2 SSL記錄協定218

7.2.3 SSL密碼變更規格協定220

7.2.4 告警協定220

7.2.5 握手協定221

7.2.6 密鑰生成226

7.3 TLS227

7.3.1 TLS與SSL的差異227

7.3.2 TLS 1.3231

7.4 SSL/TLS VPN234

7.5　習題236

7.6 實驗237

第8章 DNS安全239

8.1 DNS概述239

8.1.1 網際網路的域名結構240

8.1.2 用域名伺服器進行域名轉換241

8.2 DNS 面臨的安全威脅245

8.2.1 協定脆弱性245

8.2.2 實現脆弱性249

8.2.3 操作脆弱性250

8.3 DNSSEC251

8.3.1 DNSSEC基本原理251

8.3.2 DNSSEC配置267

8.3.3 DNSSEC的安全性分析271

8.3.4 DNSSEC部署271

8.4 習題273

8.5 實驗274

8.5.1 DNSSEC配置274

8.5.2 觀察DNSSEC域名解析過程275

第9章　Web套用安全276

9.1 概述276

9.2 Web套用體系結構脆弱性分析277

9.3 SQL注入攻擊及防範282

9.3.1 概述282

9.3.2 SQL注入漏洞探測方法284

9.3.3 Sqlmap289

9.3.4 SQL注入漏洞的防護292

9.4 跨站腳本攻擊293

9.4.1 跨站腳本攻擊原理293

9.4.2 跨站腳本攻擊的防範297

9.5 Cookie欺騙及防範298

9.6 CSRF攻擊及防範300

9.6.1 CSRF攻擊原理300

9.6.2 CSRF攻擊防禦302

9.7 目錄遍歷及其防範304

9.8 作業系統命令注入及防範306

9.9 HTTP訊息頭注入攻擊及防範308

9.10 HTTPS309

9.10.1 HTTPS基本原理309

9.10.2 HTTPS伺服器部署310

9.11 HTTP over QUIC311

9.12 Web套用防火牆313

9.13 習題314

9.14 實驗316

9.14.1 WebGoat的安裝與使用316

9.14.2 用Wireshark觀察HTTPS通信過程316

第10章電子郵件安全317

10.1 電子郵件概述317

10.2 電子郵件的安全問題319

10.3 安全電子郵件標準PGP321

10.3.1 PGP基本原理322

10.3.2 PGP密鑰管理324

10.4 WebMail安全威脅及防範327

10.5 垃圾郵件防範332

10.5.1 基於地址的垃圾郵件檢測334

10.5.2 基於內容的垃圾郵件檢測335

10.5.3 基於行為的垃圾郵件檢測337

10.6 習題337

10.7 實驗339

第11章　拒絕服務攻擊及防禦341

11.1 概述341

11.2 劇毒包型拒絕服務攻擊343

11.2.1 碎片攻擊343

11.2.2 其他劇毒包型拒絕服務攻擊344

11.3 風暴型拒絕服務攻擊346

11.3.1 攻擊原理346

11.3.2 直接風暴型拒絕服務攻擊347

11.3.3 反射型拒絕服務攻擊349

11.3.4 殭屍網路356

11.3.5 典型案例分析359

11.4 拒絕服務攻擊的套用361

11.5 拒絕服務攻擊的檢測及回響技術362

11.5.1 拒絕服務攻擊檢測技術362

11.5.2 拒絕服務攻擊回響技術363

11.6 習題366

11.7 實驗369

11.7.1 編程實現SYN Flood DDoS攻擊369

11.7.2 編程實現NTP反射型拒絕服務攻擊370

第12章網路防火牆371

12.1 概述371

12.1.1 防火牆的定義371

12.1.2 防火牆的作用371

12.1.3 防火牆的分類373

12.2 防火牆的工作原理375

12.2.1 包過濾防火牆375

12.2.2 有狀態的包過濾防火牆379

12.2.3 套用網關防火牆381

12.3 防火牆的體系結構384

12.3.1 禁止路由器結構385

12.3.2 雙宿主機結構385

12.3.3 禁止主機結構386

12.3.4 禁止子網結構387

12.4 防火牆的部署方式388

12.5 防火牆的評價標準389

12.6 防火牆技術的不足與發展趨勢392

12.7 習題395

12.8 實驗398

第13章入侵檢測與網路欺騙399

13.1 入侵檢測概述399

13.1.1 入侵檢測的定義399

13.1.2 通用的入侵檢測模型400

13.1.3 入侵檢測系統的作用400

13.1.4 入侵檢測系統的組成401

13.2 入侵檢測系統的信息源402

13.2.1 以主機數據作為信息源402

13.2.2 以套用數據作為信息源403

13.2.3 以網路數據作為信息源403

13.3 入侵檢測系統的分類404

13.4 入侵檢測的分析方法405

13.4.1 特徵檢測406

13.4.2 異常檢測407

13.5 典型的入侵檢測系統Snort411

13.5.1 Snort的體系結構412

13.5.2 Snort的規則結構413

13.5.3 編寫Snort規則416

13.6 入侵檢測技術的發展趨勢418

13.7 網路欺騙技術420

13.7.1 蜜罐421

13.7.2 蜜網424

13.7.3 網路欺騙防禦425

13.8 習題429

13.9 實驗431

13.9.1 Snort的安裝與使用431

13.9.2 蜜罐的安裝與使用431

第14章惡意代碼433

14.1 概述433

14.1.1 計算機病毒433

14.1.2 計算機蠕蟲436

14.1.3 計算機木馬438

14.2 木馬的工作原理440

14.2.1 配置木馬441

14.2.2 傳播木馬444

14.2.3 運行木馬447

14.2.4 信息反饋449

14.2.5 建立連線451

14.2.6 遠程控制452

14.3 木馬的隱藏技術455

14.3.1 木馬在植入時的隱藏455

14.3.2 木馬在存儲時的隱藏456

14.3.3 木馬在運行時的隱藏458

14.4 發現主機感染木馬的最基本方法462

14.5 針對木馬的防護手段465

14.6 習題467

14.7 實驗468

第15章網路安全新技術470

15.1 軟體定義網路安全470

15.1.1 概述470

15.1.2 SDN體系結構470

15.1.3 OpenFlow473

15.1.4 SDN安全475

15.2 零信任安全481

15.2.1 概述481

15.2.2 NIST零信任架構484

15.3 移動目標防禦與網路空間擬態防禦490

15.3.1 移動目標防禦491

15.3.2 網路空間擬態防禦497

15.3.3 移動目標防禦與網路空間擬態防禦的關係499

15.4 習題501

參考文獻502