计算机网络安全原理

面对严峻的网络安全形势，了解和掌握计算机网络安全知识具有重要的现实意义。本书着重阐述计算机网络安全的原理与技术，内容包括计算机网络安全概论、密码学基础知识、认证与数据签名、I与数字证书、无线网络安全、IP与路由安全、传输层安全、DNS安全、Web应用安全、电子邮件安全、拒绝服务攻击及防御、网络防火墙、入侵检测与网络欺骗、恶意代码、网络安全新技术。各章均附有习题和实验要求。 本书可作为网络空间安全、信息安全、网络工程、计算机等专业的教材，也可作为相关领域的研究人员和工程技术人员的参考书。

目 录

章 绪  论 1
1.1 计算机网络概述 1
1.1.1 网络结构和组成 1
1.1.2 网络体系结构 4
1.2 计算机网络脆弱性分析 6
1.3 计算机网络安全概念 8
1.3.1 计算机网络安全 8
1.3.2 与计算机网络安全相关的概念 9
1.4 计算机网络安全威胁 13
1.4.1 网络安全威胁因素 13
1.4.2 网络攻击概述 14
1.5 网络安全模型 15
1.6 网络安全机制与服务 19
1.7 网络安全技术的发展简史 26
1.8 本书的内容与组织 28
1.9 习题 32
1.10  实验 34
第2章密码学基础知识 36
2.1 密码学基本概念 36
2.2 古典密码系统 38
2.2.1 单表代换密码 38
2.2.2 多表代替密码 41
2.2.3 置换密码算法 43
2.3 现代密码系统概述 44
2.3.1 对称密钥密码系统 44
2.3.2 公开密钥密码系统 46
2.4 典型对称密钥密码系统 48
2.4.1 数据加密标准（DES） 48
2.4.2 不错数据加密标准（AES） 56
2.4.3 RC4 60
2.5 典型公开密钥密码系统 62
2.5.1 RSA公开密钥密码系统 62
2.5.2 Diffie-Hellman密钥交换协议 65
2.5.3 ElGamal公钥密码体制 67
2.5.4 椭圆曲线密码体制 68
2.5.5 基于身份标识的密码体制 70
2.6 密码分析 71
2.6.1 传统密码分析方法 71
2.6.2 密码旁路分析 72
2.6.3 密码算法和协议的工程实现分析 73
2.7 习题 74
2.8 实验 76
2.8.1 DES数据加密、解密算法实验 76
2.8.2 RSA数据加密、解密算法实验 76
第3章认证与数字签名 78
3.1 散列函数 78
3.1.1 散列函数的要求 78
3.1.2 MD算法 80
3.1.3 SHA算法 81
3.2 消息认证 83
3.2.1 报文源的认证 83
3.2.2 报文宿的认证 85
3.2.3 报文内容的认证 86
3.2.4 报文顺序的认证 90
3.3 数字签名 91
3.3.1 数字签名的基本概念 92
3.3.2 利用RSA密码系统实现数字签名 93
3.3.3 利用ElGamal密码系统实现数字签名 94
3.3.4 利用椭圆曲线密码实现数字签名 95
3.3.5 散列函数在数字签名中的作用 95
3.4 身份认证 96
3.4.1 一次性口令认证 98
3.4.2 基于共享密钥的认证 100
3.4.3 可扩展认证协议EAP 107
3.5 习题 109
3.6 实验 114
3.6.1 使用GPG4win进行数字签名 114
3.6.2 OpenSSL软件的安装与使用 115
第4章 PKI与数字证书 116
4.1 密钥管理 116
4.2 数字证书 117
4.2.1 证书格式 118
4.2.2 CRL格式 125
4.3 PKI 126
4.3.1 PKI组成 127
4.3.2 证书签发和撤销流程 132
4.3.3 证书的使用 134
4.3.4 PKIX 135
4.4 证书透明性 136
4.5 习题 138
4.6 实验 141
第5章无线网络安全 142
5.1 无线局域网安全 142
5.1.1 概述 142
5.1.2 WEP安全协议 145
5.1.3 WPA/WPA2安全协议 148
5.2 移动网络安全 155
5.2.1 2G安全 155
5.2.2 3G安全 157
5.2.3 4G安全 159
5.2.4 5G安全 161
5.3 习题 166
5.4 实验 168
第6章 IP及路由安全 169
6.1 IPv4协议及其安全性分析 169
6.2 IPsec 170
6.2.1 IPsec安全策略 171
6.2.2 IPsec运行模式 175
6.2.3 AH协议 176
6.2.4 ESP协议 179
6.2.5 网络密钥交换 182
6.2.6 SA组合 191
6.2.7 IPsec的应用 192
6.3 IPv6协议及其安全性分析 194
6.3.1 IPv6协议格式 194
6.3.2 IPv6安全性分析 196
6.4 路由安全 197
6.4.1 RIP协议及其安全性分析 198
6.4.2 OSPF协议及其安全性分析 200
6.4.3 BGP协议及其安全性分析 203
6.5 习题 206
6.6  实验 209
6.6.1 IPsec VPN配置 209
6.6.2 用Wireshark观察IPsec协议的通信过程 209
第7章传输层安全 211
7.1 传输层安全概述 211
7.1.1 端口和套接字 212
7.1.2 UDP协议及其安全性 212
7.1.3 TCP协议及其安全性 213
7.2 SSL 216
7.2.1 SSL体系结构 216
7.2.2 SSL记录协议 218
7.2.3 SSL密码变更规格协议 220
7.2.4 告警协议 220
7.2.5 握手协议 221
7.2.6 密钥生成 226
7.3 TLS 227
7.3.1 TLS与SSL的差异 227
7.3.2 TLS 1.3 231
7.4 SSL/TLS VPN 234
7.5  习题 236
7.6 实验 237
第8章 DNS安全 239
8.1 DNS概述 239
8.1.1 因特网的域名结构 240
8.1.2 用域名服务器进行域名转换 241
8.2 DNS 面临的安全威胁 245
8.2.1 协议脆弱性 245
8.2.2 实现脆弱性 249
8.2.3 操作脆弱性 250
8.3 DNSSEC 251
8.3.1 DNSSEC基本原理 251
8.3.2 DNSSEC配置 267
8.3.3 DNSSEC的安全性分析 271
8.3.4 DNSSEC部署 271
8.4 习题 273
8.5 实验 274
8.5.1 DNSSEC配置 274
8.5.2 观察DNSSEC域名解析过程 275
第9章  Web应用安全 276
9.1 概述 276
9.2 Web应用体系结构脆弱性分析 277
9.3 SQL注入攻击及防范 282
9.3.1 概述 282
9.3.2 SQL注入漏洞探测方法 284
9.3.3 Sqlmap 289
9.3.4 SQL注入漏洞的防护 292
9.4 跨站脚本攻击 293
9.4.1 跨站脚本攻击原理 293
9.4.2 跨站脚本攻击的防范 297
9.5 Cookie欺骗及防范 298
9.6 CSRF攻击及防范 300
9.6.1 CSRF攻击原理 300
9.6.2 CSRF攻击防御 302
9.7 目录遍历及其防范 304
9.8 操作系统命令注入及防范 306
9.9 HTTP消息头注入攻击及防范 308
9.10 HTTPS 309
9.10.1 HTTPS基本原理 309
9.10.2 HTTPS服务器部署 310
9.11 HTTP over QUIC 311
9.12 Web应用防火墙 313
9.13 习题 314
9.14 实验 316
9.14.1 WebGoat的安装与使用 316
9.14.2 用Wireshark观察HTTPS通信过程 316
0章电子邮件安全 317
10.1 电子邮件概述 317
10.2 电子邮件的安全问题 319
10.3 安全电子邮件标准PGP 321
10.3.1 PGP基本原理 322
10.3.2 PGP密钥管理 324
10.4 WebMail安全威胁及防范 327
10.5 垃圾邮件防范 332
10.5.1 基于地址的垃圾邮件检测 334
10.5.2 基于内容的垃圾邮件检测 335
10.5.3 基于行为的垃圾邮件检测 337
10.6 习题 337
10.7 实验 339
1章  拒绝服务攻击及防御 341
11.1 概述 341
11.2 剧毒包型拒绝服务攻击 343
11.2.1 碎片攻击 343
11.2.2 其他剧毒包型拒绝服务攻击 344
11.3 风暴型拒绝服务攻击 346
11.3.1 攻击原理 346
11.3.2 直接风暴型拒绝服务攻击 347
11.3.3 反射型拒绝服务攻击 349
11.3.4 僵尸网络 356
11.3.5 典型案例分析 359
11.4 拒绝服务攻击的应用 361
11.5 拒绝服务攻击的检测及响应技术 362
11.5.1 拒绝服务攻击检测技术 362
11.5.2 拒绝服务攻击响应技术 363
11.6 习题 366
11.7 实验 369
11.7.1 编程实现SYN Flood DDoS攻击 369
11.7.2 编程实现NTP反射型拒绝服务攻击 370
2章网络防火墙 371
12.1 概述 371
12.1.1 防火墙的定义 371
12.1.2 防火墙的作用 371
12.1.3 防火墙的分类 373
12.2 防火墙的工作原理 375
12.2.1 包过滤防火墙 375
12.2.2 有状态的包过滤防火墙 379
12.2.3 应用网关防火墙 381
12.3 防火墙的体系结构 384
12.3.1 屏蔽路由器结构 385
12.3.2 双宿主机结构 385
12.3.3 屏蔽主机结构 386
12.3.4 屏蔽子网结构 387
12.4 防火墙的部署方式 388
12.5 防火墙的评价标准 389
12.6 防火墙技术的不足与发展趋势 392
12.7 习题 395
12.8 实验 398
3章入侵检测与网络欺骗 399
13.1 入侵检测概述 399
13.1.1 入侵检测的定义 399
13.1.2 通用的入侵检测模型 400
13.1.3 入侵检测系统的作用 400
13.1.4 入侵检测系统的组成 401
13.2 入侵检测系统的信息源 402
13.2.1 以主机数据作为信息源 402
13.2.2 以应用数据作为信息源 403
13.2.3 以网络数据作为信息源 403
13.3 入侵检测系统的分类 404
13.4 入侵检测的分析方法 405
13.4.1 特征检测 406
13.4.2 异常检测 407
13.5 典型的入侵检测系统Snort 411
13.5.1 Snort的体系结构 412
13.5.2 Snort的规则结构 413
13.5.3 编写Snort规则 416
13.6 入侵检测技术的发展趋势 418
13.7 网络欺骗技术 420
13.7.1 蜜罐 421
13.7.2 蜜网 424
13.7.3 网络欺骗防御 425
13.8 习题 429
13.9 实验 431
13.9.1 Snort的安装与使用 431
13.9.2 蜜罐的安装与使用 431
4章恶意代码 433
14.1 概述 433
14.1.1 计算机病毒 433
14.1.2 计算机蠕虫 436
14.1.3 计算机木马 438
14.2 木马的工作原理 440
14.2.1 配置木马 441
14.2.2 传播木马 444
14.2.3 运行木马 447
14.2.4 信息反馈 449
14.2.5 建立连接 451
14.2.6 远程控制 452
14.3 木马的隐藏技术 455
14.3.1 木马在植入时的隐藏 455
14.3.2 木马在存储时的隐藏 456
14.3.3 木马在运行时的隐藏 458
14.4 发现主机感染木马的最基本方法 462
14.5 针对木马的防护手段 465
14.6 习题 467
14.7 实验 468
5章网络安全新技术 470
15.1 软件定义网络安全 470
15.1.1 概述 470
15.1.2 SDN体系结构 470
15.1.3 OpenFlow 473
15.1.4 SDN安全 475
15.2 零信任安全 481
15.2.1 概述 481
15.2.2 NIST零信任架构 484
15.3 移动目标防御与网络空间拟态防御 490
15.3.1 移动目标防御 491
15.3.2 网络空间拟态防御 497
15.3.3 移动目标防御与网络空间拟态防御的关系 499
15.4 习题 501
参考文献 502