网络安全原理与应用

1.注重理论与实践相结合：每章都配有应用实例，一方面可以帮助学生对理论知识的理解和掌握；另一方面，学以致用可以提高学生的学习兴趣、增加学习动力，也有助于提高学生的实践能力。

2.内容丰富、科学合理：本书在选材时充分考虑学生的基础和能力，在协调内容的深度、广度、难度的关系以及理论和应用的比例方面，都做了深入的考虑，在保证科学性和实用性的同时，尽量做到深入浅出、通俗易懂。

在信息化社会中，人们对计算机网络的依赖日益增强。越来越多的信息和重要数据资源存储和传输于网络中，通过网络获取和交换信息的方式已成为当前主要的信息沟通方式之一。与此同时，由于网络安全事件频繁发生，使得网络安全成为倍受关注的问题。尤其是网络上各种新业务（如电子商务、网络银行等）的兴起以及各种专用网络（如金融网）的建设，对网络的安全性提出了更高的要求。攻击、入侵行为和病毒的传播严重威胁着网络中各类资源的安全性，极大地损害了网络使用者的利益，也为网络应用的健康发展带来巨大的障碍。因此，网络安全问题已成为各国政府普遍关注的问题，网络安全技术也成为信息技术领域的重要研究课题。

网络安全涉及硬件平台、软件系统、基础协议等方方面面的问题，复杂而多变。只有经过系统的学习和训练，才能对网络安全知识有全面的理解和掌握。本书从网络安全的基本理论和技术出发，深入浅出、循序渐进地讲述了网络安全的基本原理、技术应用及配置方法，内容全面，通俗易懂，理论与实践相得益彰。全书分为11章，内容涉及：网络安全体系结构、密码学基础、密码学应用、防火墙、攻击技术、病毒与防范、入侵检测、WWW安全、E-mail安全、操作系统安全。

本书的写作目的是帮助读者了解网络所面临的各种安全威胁，掌握网络安全的基本原理，掌握保障网络安全的主要技术和方法，学会如何在开放的网络环境中保护信息和数据，防止黑客和病毒的侵害。在学习本教材之前，读者应具备编程语言、计算机网络、操作系统等方面的基础知识。本书适合作为计算机及相关专业的学生教材或参考书，也可作为对网络安全感兴趣的初学者的自学教材。

本书的主要特点是：

 注重理论与实践相结合：每章都配有应用实例，一方面可以帮助学生对理论知识的理解和掌握；另一方面，学以致用可以提高学生的学习兴趣、增加学习动力，也有助于提高学生的实践能力。

 内容丰富、科学合理：本书在选材时充分考虑学生的基础和能力，在协调内容的深度、广度、难度的关系以及理论和应用的比例方面，都做了深入的考虑，在保证科学性和实用性的同时，尽量做到深入浅出、通俗易懂。

本书由戚文静、刘学主编，并执笔编写了1、2、3、4、5、6、8、10等章节内容，孙鹏、赵秀梅、秦松、杜向华等老师参加了第7、9、11章部分内容的编写工作，参加本书编写工作的还有赵敬、杨云、刘倩、杨艳春、董艳丽、王红、张磊等。本书在编写过程中参阅了大量的中外文献及安全网站，从中获得了很多启示和帮助，在此一并感谢。

由于网络安全是一门内容广博、不断发展的学科，加之作者水平有限，书中的疏漏和不足在所难免，敬请读者批评指正。作者的E-mail：wenjing_qi@21cn.com。

编 者

2005年7月

序
前言
第1章 网络安全概述 1
本章学习目标 1
1.1 网络安全的基本概念 1
1.1.1 网络安全的定义及相关术语 1
1.1.2 主要的网络安全威胁 3
1.1.3 网络安全策略 6
1.1.4 网络安全模型 9
1.2 网络安全现状 11
1.2.1 网络安全现状 11
1.2.2 研究网络安全的意义 14
1.3 网络安全保障体系及相关立法 16
1.3.1 美国政府信息系统的安全防护体系 16
1.3.2 中国网络安全保障体系 18
习题 21
第2章 网络体系结构及协议基础 22
本章学习目标 22
2.1 网络的体系结构 22
2.1.1 网络的层次结构 22
2.1.2 服务、接口和协议 23
2.2 OSI模型及其安全体系 23
2.2.1 OSI-RM 23
2.2.2 OSI模型的安全服务 26
2.2.3 OSI模型的安全机制 27
2.2.4 OSI安全服务与安全机制的关系 28
2.2.5 OSI各层中的安全服务配置 29
2.3 TCP/IP模型及其安全体系 30
2.3.1 TCP/IP参考模型 30
2.3.2 TCP/IP的安全体系 31
2.4 常用网络协议和服务 34
2.4.1 常用网络协议 34
2.4.2 常用网络服务 38
2.5 Windows常用的网络命令 40
2.5.1 ping命令 40
2.5.2 ipconfig命令 41
2.5.3 netstat命令 42
2.5.4 tracert命令 43
2.5.5 net命令 44
2.5.6 nbtstat命令 46
2.5.7 ftp命令 47
2.5.8 telnet命令 48
2.6 协议分析工具——Sniffer Pro的应用 48
2.6.1 Sniffer Pro的启动和设置 48
2.6.2 解码分析 51
习题 53
第3章 密码学基础 54
本章学习目标 54
3.1 密码学概述 54
3.1.1 密码学的发展史 54
3.1.2 密码系统的概念 56
3.1.3 密码的分类 57
3.1.4 近代加密技术 58
3.1.5 密码的破译 59
3.2 古典密码学 61
3.2.1 代换密码 61
3.2.2 置换密码 64
3.3 对称密码学 65
3.3.1 分组密码概述 65
3.3.2 分组密码的基本设计思想—Feistel网络 66
3.3.3 DES算法 66
3.3.4 高级加密标准——AES 72
3.3.5 对称密码的工作模式 79
3.4 非对称密码算法 82
3.4.1 RSA算法 82
3.4.2 Diffie-Hellman算法 83
习题 85
第4章 密码学应用 86
本章学习目标 86
4.1 密钥管理 86
4.1.1 密钥产生及管理概述 86
4.1.2 对称密码体制的密钥管理 89
4.1.3 公开密钥体制的密钥管理 90
4.2 消息认证 91
4.2.1 数据完整性验证 91
4.2.2 单向散列函数 92
4.2.3 消息摘要算法MD5 93
4.2.4 数字签名 96
4.2.5 签名算法DSA 99
4.3 Kerberos认证交换协议 100
4.3.1 Kerberos模型的工作原理和步骤 100
4.3.2 Kerberos的优势与缺陷 101
4.4 公钥基础设施——PKI 101
4.4.1 PKI的定义、组成及功能 101
4.4.2 CA的功能 103
4.4.3 PKI的体系结构 104
4.4.4 PKI的相关问题 106
4.5 数字证书 108
4.5.1 数字证书的类型和格式 108
4.5.2 数字证书的管理 110
4.5.3 数字证书的验证 111
4.5.4 Windows 2000 Server的证书服务 112
4.6 PGP 118
4.6.1 PGP简介 118
4.6.2 PGP的密钥管理 119
4.6.3 PGP应用 122
习题 126
第5章 防火墙技术 127
本章学习目标 127
5.1 防火墙概述 127
5.1.1 相关概念 127
5.1.2 防火墙的作用 129
5.1.3 防火墙的优、缺点 130
5.2 防火墙技术分类 131
5.2.1 包过滤技术 131
5.2.2 代理技术 133
5.2.3 防火墙技术的发展趋势 135
5.3 防火墙体系结构 135
5.3.1 双重宿主主机结构 136
5.3.2 屏蔽主机结构 137
5.3.3 屏蔽子网结构 137
5.3.4 防火墙的组合结构 139
5.4 内部防火墙 139
5.4.1 分布式防火墙（Distributed Firewall） 139
5.4.2 嵌入式防火墙（Embedded Firewall） 141
5.4.3 个人防火墙 142
5.5 防火墙产品介绍 142
5.5.1 FireWall-1 143
5.5.2 天网防火墙 145
习题 146
第6章 网络攻击技术 147
本章学习目标 147
6.1 网络攻击概述 147
6.1.1 关于黑客 147
6.1.2 黑客攻击的步骤 148
6.1.3 网络入侵的对象 149
6.1.4 主要的攻击方法 149
6.1.5 攻击的新趋势 151
6.2 口令攻击 152
6.2.1 获取口令的一些方法 152
6.2.2 设置安全的口令 153
6.2.3 一次性口令 153
6.3 扫描器 154
6.3.1 端口与服务 154
6.3.2 端口扫描 154
6.3.3 常用的扫描技术 155
6.3.4 一个简单的扫描程序分析 156
6.4 网络监听 161
6.4.1 网络监听的原理 162
6.4.2 网络监听工具及其作用 162
6.4.3 如何发现和防范Sniffer 163
6.5 IP欺骗 164
6.5.1 IP欺骗的工作原理 164
6.5.2 IP欺骗的防止 166
6.6 拒绝服务 166
6.6.1 什么是拒绝服务 166
6.6.2 分布式拒绝服务 167
6.6.3 DDoS的主要攻击方式及防范策略 168
6.7 缓冲区溢出 172
6.7.1 缓冲区溢出原理 172
6.7.2 对缓冲区溢出漏洞攻击的分析 174
6.7.3 缓冲区溢出的保护 175
6.8 特洛伊木马 176
6.8.1 特洛伊木马简介 176
6.8.2 木马的工作原理 176
6.8.3 木马的一般清除方法 181
习题 183
第7章 入侵检测技术 184
本章学习目标 184
7.1 入侵检测概述 184
7.1.1 概念 184
7.1.2 IDS的任务和作用 185
7.1.3 入侵检测过程 185
7.2 入侵检测系统 187
7.2.1 入侵检测系统的分类 187
7.2.2 基于主机的入侵检测系统 188
7.2.3 基于网络的入侵检测系统 189
7.2.4 混合的入侵检测系统 189
7.3 入侵检测工具介绍 190
7.3.1 ISS BlackICE 191
7.3.2 ISS RealSecure 194
习题 199
第8章 计算机病毒与反病毒技术 200
本章学习目标 200
8.1 计算机病毒 200
8.1.1 计算机病毒的历史 200
8.1.2 病毒的本质 201
8.1.3 病毒的发展阶段及其特征 203
8.1.4 病毒的分类 206
8.1.5 病毒的传播及危害 207
8.1.6 病毒的命名 208
8.2 几种典型病毒的分析 210
8.2.1 CIH病毒 210
8.2.2 宏病毒 211
8.2.3 蠕虫病毒 212
8.2.4 病毒的发展趋势 215
8.3 反病毒技术 216
8.3.1 反病毒技术的发展阶段 216
8.3.2 高级反病毒技术 218
8.4 病毒防范措施 220
8.4.1 防病毒措施 220
8.4.2 常用杀毒软件 221
8.4.3 在线杀毒 222
8.4.4 杀毒软件实例 223
习题 225
第9章 WWW安全 230
本章学习目标 230
9.1 WWW安全概述 230
9.1.1 WWW服务 230
9.1.2 Web服务面临的安全威胁 231
9.2 WWW的安全问题 232
9.2.1 WWW服务器的安全漏洞 232
9.2.2 通用网关接口（CGI）的安全性 232
9.2.3 ASP与Access的安全性 233
9.2.4 Java与JavaScript的安全性 234
9.2.5 Cookies的安全性 235
9.3 Web服务器的安全配置 235
9.3.1 基本原则 236
9.3.2 Web服务器的安全配置方法 237
9.4 WWW客户的安全 241
9.4.1 防范恶意网页 241
9.4.2 隐私侵犯 243
9.5 SSL技术 245
9.5.1 SSL概述 245
9.5.2 SSL体系结构 245
9.5.3 基于SSL的Web安全访问配置 249
习题 256
第10章 电子邮件安全 258
本章学习目标 258
10.1 电子邮件系统原理 258
10.1.1 电子邮件系统简介 258
10.1.2 邮件网关 259
10.1.3 SMTP与POP3协议 260
10.2 电子邮件系统安全问题 261
10.2.1 匿名转发 261
10.2.2 电子邮件欺骗 262
10.2.3 E-mail炸弹 263
10.3 电子邮件安全协议 264
10.3.1 PGP 265
10.3.2 S/MIME协议 265
10.3.3 MOSS协议 266
10.3.4 PEM协议 266
10.4 通过Outlook Express 发送安全电子邮件 267
10.4.1 Outlook Express 中的安全措施 267
10.4.2 拒绝垃圾邮件 270
习题 271
第11章 Windows 2000系统的安全机制 272
本章学习目标 272
11.1 Windows 2000的认证机制 272
11.1.1 身份认证 272
11.1.2 消息验证 273
11.1.3 数字签名 274
11.2 Windows 2000的审计机制 276
11.2.1 审核策略 276
11.2.2 审核对象的设置 276
11.2.3 选择审核项的应用位置 277
11.3 Windows 2000的加密机制 278
11.3.1 文件加密系统 278
11.3.2 网络资料的安全性 280
11.4 Windows 2000的安全配置 281
11.4.1 安全策略配置 281
11.4.2 文件保护 285
11.4.3 其他有利于提高系统安全性的设置 287
习题 291
参考文献 294

1. 大学生信息检索与网络安全教程 [刘军 杨昌尧 黄荣森]
2. 网络安全运维技术 [主编 唐继勇 任月辉]
3. 遨游数字时代——全球IT高管网络安全秘籍 [[美] Palo Alto Networks 编]
4. 云计算与网络安全 [主编　肖睿　徐文义]
5. 网络安全技术项目化教程 [主编 段新华 宋风忠]
6. 网络安全技术 [姚奇富]
7. 网络安全系统集成 [鲁先志 唐继勇]
8. 网络安全产品调试与部署 [路亚 李贺华]
9. 网络安全原理与应用（第二版） [戚文静 刘学]
10. 中小型网络安全管理与维护 [姚奇富 副主编 马华林]
11. 网络安全技术项目引导教程 [鲁立]
12. 计算机网络安全技术 [主 编 刘永华]
13. 网络安全技术 [主编 吴锐]
14. 虚拟蜜罐：从僵尸网络追踪到入侵检测 [[美] Niels Provos Thorsten Ho]
15. 现代网络安全技术 [李兴无 主 编 ]
16. 计算机网络安全技术（第二版） [蔡立军 主编]
17. 计算机网络安全实用技术 [葛彦强 汪向征 主编]
18. 网络安全与管理 [戚文静 主编]
19. 网络与信息安全教程 [吴煜煌 汪军 等编著]
20. 计算机网络安全技术（第二版） [蔡立军 主编]
21. 网络与信息安全实验指导 [赖小卿 主编]
22. 网络安全与管理（第二版） [戚文静 主编]