网络安全运维技术

中国水利水电出版社

【作者】主编唐继勇任月辉

【I S B N 】978-7-5170-9799-0

【责任编辑】张玉玲

【适用读者群】本专通用

【出版时间】2021-11-22

【开本】16开

【装帧信息】平装（光膜）

【版次】第1版第1次印刷

【页数】204

【千字数】318

【印张】12.75

【定价】￥43

【丛书】高等职业教育网络工程课程群教材

【备注信息】

图书详情

简介

本书特色

前言

章节列表

精彩阅读

下载资源

相关图书

本书由高校与企业联合编写，主要介绍了网络安全体系框架的基本知识、网络安全技术及应用等，重点讨论了网络系统的安全保障和运行，包括网络设备的安全管理、局域网安全技术、网络访问控制技术、网络地址转换技术、防火墙技术、入侵检测与防御技术、虚拟专用网络技术和网络安全管理技术。本书围绕网络安全的原理和技术难点进行讲解，理论知识和实际应用紧密结合，典型实例的实用性和可操作性强。本书还配有各种类型和不同难度的习题及微课视频，方便教师教学和学生学习。

本书可作为高等职业院校计算机网络技术、信息安全与管理等专业的教材，也可作为网络管理人员、网络工程技术人员、信息安全管理人员和对网络安全感兴趣的读者的参考书。

课程结构灵活

教学内容实用

教学资源丰富

教学可操作性强

随着移动互联网、云计算、大数据、物联网等的兴起及其网络服务的广泛应用，网络技术的发展日新月异，随之而来的网络安全问题也越来越突出，恶意攻击者和间谍的犯罪比以往任何时候都来得频繁，作案工具越来越强大，作案手法更是层出不穷。云网络中的大数据对于恶意攻击者来说是极具吸引力的，往往成为被攻击的目标。一旦云网络系统被恶意攻击者攻破，大量有价值的数据信息将会泄露，对整个企业甚至整个行业而言都是毁灭性的打击。因此，现代网络的安全防护是至关重要的。如何提高网络系统的安全运行能力已成为人们亟须解决的问题。每个网络管理人员、工程技术人员和用户都应该掌握一定的网络安全知识与技能，以使得信息系统能够安全、稳定地运行，同时能够提供安全可靠的服务。

为了帮助读者掌握网络安全知识和技术，并能够在工作中采用正确的措施保护网络环境的安全，编者编写了《网络安全系统集成》（被教育部评为“十二五”职业教育国家规划教材）。然而，网络安全威胁不断出现新的变化，技术发展十分迅速，教材建设也需与时俱进，才能适应形势发展。我们在前书的基础上，组织行业、企业人员对教材内容进行了梳理论证，总结了编者多年来网络安全实践及教学的经验，依据教育部2019年颁布的《高等职业学校计算机网络技术专业教学标准》中的相关教学要求，按照网络安全纵深防御体系的构建思路，精心设计了10个教学项目，使得教材内容更加丰富，重点知识更加突出，更贴近教学实际。具体体现在以下几个方面：

（1）坚持“在做中学”的教育理念。通过任务项目化强化学生的技能训练，使学生能够在训练过程中巩固所学知识，将所学的知识与网络安全实践项目有机地结合起来。

（2）教学资源丰富。教材配套的教学资源是与业界知名设备商合作开发的，包括工作原理动画、操作实践微课视频、基于主题内容的PPT和题型多样的习题集等。

（3）教学可操作性强。本书使用思科的Packet Tracer 7.3网络模拟器作为学习平台，所有内容都可在Packet Tracer 7.3上实践，学生也可以在自己的计算机上完成课后实践作业。

本书主要内容涵盖网络设备的安全管理、局域网安全技术、网络访问控制技术、网络地址转换技术、防火墙技术、入侵检测与防御技术、虚拟专用网络技术和网络安全管理技术等，建议教学学时为64学时，理论学时与实践学时之比为1∶3，各校可根据学生的学习基础和实际学情进行适当调整。

本书由重庆电子工程职业学院唐继勇、任月辉任主编，叶坤、邹起、何雨虹、钟文辉（锐捷网络股份有限公司）任副主编，其中，项目1和项目2由任月辉编写，项目3～6由唐继勇编写，项目7由叶坤编写，项目8由邹起编写，项目9由何雨虹编写，项目10由钟文辉编写。全书由唐继勇统稿。

本书在编写过程中参阅了同行的相关资料，得到编者所在学院、相关企业的大力支持和帮助，在此向有关同行和单位表示衷心感谢。

限于编者水平，书中难免有不妥和错误之处，恳请广大读者批评指正。

编者

2021年5月

项目1 网络安全概述 1
1.1 数据面临的挑战 1
1.1.1 保护存储中的数据所面临的挑战 1
1.1.2 保护传输中的数据所面临的挑战 1
1.1.3 保护处理中的数据所面临的挑战 1
1.2 网络安全的基本问题 2
1.2.1 机密性 2
1.2.2 完整性 2
1.2.3 可用性 3
1.3 网络安全体系框架 3
1.3.1 IATF模型框架介绍 3
1.3.2 网络安全分层保护 4
1.4 网络安全保护机制 5
1.4.1 基于软件的保护措施 5
1.4.2 基于硬件的保护措施 6
1.4.3 基于网络技术的保护措施 6
1.4.4 网络安全教育和培训 6
1.4.5 建设注重网络安全意识的文化 6
1.5 过关训练 6
1.5.1 知识储备检验 6
1.5.2 实践操作检验 7
1.5.3 挑战性问题 7
项目2 网络安全技术 8
2.1 密码技术简介 8
2.1.1 数据加密技术的基本概念 8
2.1.2 传统的数据加密与解密模型 8
2.1.3 常见加密算法举例 9
2.2 对称加密算法 10
2.2.1 对称加密算法通信模型 10
2.2.2 对称加密算法的优缺点 10
2.2.3 对称加密算法的应用 11
2.3 非对称加密算法 11
2.3.1 非对称加密算法通信模型 11
2.3.2 非对称加密算法的优缺点 11
2.3.3 非对称加密算法的应用 12
2.4 密钥交换技术 12
2.4.1 DH算法思路 12
2.4.2 DH算法举例 12
2.4.3 DH算法在VPN中的应用 13
2.4.4 验证数据的加密与解密 13
2.5 散列算法 15
2.5.1 报文摘要算法 16
2.5.2 散列消息认证码算法 16
2.5.3 安全散列算法 17
2.5.4 数据完整性验证 17
2.6 数字签名技术 19
2.6.1 数字签名的概念 20
2.6.2 数字签名的实现条件 20
2.6.3 数字签名的应用 20
2.7 身份认证技术 22
2.7.1 身份认证的特点 22
2.7.2 预共享密钥认证方式 23
2.7.3 公钥私钥对认证方式 23
2.7.4 基于远程认证拨号用户服务 24
2.8 过关训练 25
2.8.1 知识储备检验 25
2.8.2 实践操作检验 27
2.8.3 挑战性问题 27
项目3 网络设备的安全管理 28
3.1 设置健壮的密码 28
3.1.1 密码配置注意事项 28
3.1.2 配置安全访问端口密码 29
3.1.3 设置使能密码 29
3.1.4 加密配置文件中的密码 29
3.1.5 设置最短密码长度 30
3.1.6 修改连接属性控制Console口的访问 30
3.2 保护系统文件 31
3.2.1 非授权人员不能随意接触网络设备 31
3.2.2 执行密码修复流程 31
3.2.3 备份及恢复系统文件 32
3.2.4 保护IOS映像和配置文件 34
3.3 远程安全管理 35
3.3.1 使用ACL限制Telnet的远程访问 35
3.3.2 使用SSH远程管理网络设备 36
3.4 用户身份认证 37
3.5 过关训练 39
3.5.1 知识储备检验 39
3.5.2 实践操作检验 40
3.5.3 挑战性问题 40
项目4 局域网安全技术 41
4.1 局域网安全威胁概述 41
4.1.1 交换机安全 41
4.1.2 路由器安全 42
4.2 链路发现的攻击与缓解 42
4.3 VLAN的跳跃攻击与缓解 43
4.4 端口安全技术与实践 46
4.5 DHCP欺骗攻击与防范 48
4.6 ARP欺骗攻击与缓解 51
4.7 STP操纵攻击与缓解 53
4.8 使用802.1x保护设备访问 55
4.9 路由协议运行安全配置 57
4.9.1 RIPv2协议认证安全配置 57
4.9.2 OSPF协议认证安全配置 58
4.9.3 OSPF协议认证安全配置 58
4.10 路由协议消声 60
4.11 过关训练 61
4.11.1 知识储备检验 61
4.11.2 实践操作检验 64
4.11.3 挑战性问题 65
项目5 网络访问控制技术 67
5.1 访问控制列表概述 67
5.1.1 访问控制列表的定义 67
5.1.2 ACL的功能 67
5.1.3 ACL的作用 68
5.1.4 ACL的工作过程 68
5.2 访问控制列表的分类 70
5.2.1 根据判断条件不同 70
5.2.2 根据标识方法不同 70
5.2.3 基于时间的ACL 70
5.3 通配符掩码 70
5.3.1 通配符掩码的作用 70
5.3.2 通配符掩码的运算 70
5.3.3 常用通配符掩码 71
5.4 配置标准ACL 71
5.4.1 在全局配置模式下设置条件 71
5.4.2 在接口上关联ACL 72
5.4.3 配置标准ACL举例 72
5.5 配置扩展的ACL 73
5.5.1 扩展ACL命令介绍 73
5.5.2 扩展ACL命令实例分析 74
5.5.3 配置扩展ACL举例 74
5.6 配置命名ACL 75
5.6.1 命名IP ACL的特性 75
5.6.2 命名ACL的配置 75
5.7 配置基于时间的ACL 76
5.7.1 时间的类型 76
5.7.2 基于时间的ACL简介 76
5.7.3 基于时间的ACL的配置 76
5.8 访问控制列表配置实践 77
5.8.1 应用标准IP ACL控制内部网络互访 77
5.8.2 应用扩展IP ACL控制内部网络
资源访问 78
5.9 过关训练 80
5.9.1 知识储备检验 80
5.9.2 实践操作检验 80
5.9.3 挑战性问题 81
项目6 网络地址转换技术 82
6.1 NAT概述 82
6.1.1 NAT技术产生的原因 82
6.1.2 NAT基本术语 83
6.1.3 NAT设备 84
6.1.4 NAT的功能 84
6.2 NAT的分类 85
6.2.1 按转换IP地址类型分类 85
6.2.2 按实现方式分类 86
6.3 NAT的优缺点 87
6.3.1 NAT的优点 87
6.3.2 NAT的缺点 88
6.4 NAT的配置 88
6.4.1 配置NAT前的准备工作 88
6.4.2 NAT配置的一般步骤 88
6.4.3 静态NAT的配置 89
6.4.4 动态NAT的配置 90
6.4.5 Port NAT的配置 90
6.4.6 NAT的查看 91
6.5 NAT的弱安全性 91
6.6 NAT配置实践 91
6.6.1 配置静态NAT提供网络服务 91
6.6.2 配置动态NAT访问Internet 93
6.7 过关训练 94
6.7.1 知识储备检验 94
6.7.2 实践操作检验 95
6.7.3 挑战性问题 95
项目7 防火墙技术 96
7.1 防火墙的概念 96
7.1.1 防火墙的定义 96
7.1.2 防火墙的主要功能 97
7.1.3 防火墙的局限性 97
7.2 防火墙的分类 98
7.2.1 包过滤防火墙 98
7.2.2 应用级代理防火墙 98
7.2.3 状态检测防火墙 99
7.3 防火墙的区域划分 99
7.3.1 外部网络 100
7.3.2 DMZ 100
7.3.3 内部网络 100
7.4 防火墙的工作模式 101
7.4.1 路由模式 101
7.4.2 透明模式 101
7.4.3 混合模式 101
7.5 防火墙的体系结构 102
7.5.1 屏蔽路由器体系结构 102
7.5.2 屏蔽主机体系结构 103
7.5.3 屏蔽子网体系结构 104
7.6 硬件防火墙的基本配置 105
7.7 过关训练 107
7.7.1 知识储备检验 107
7.7.2 实践操作检验 108
7.7.3 挑战性问题 108
项目8 入侵检测与防御技术 110
8.1 入侵检测系统与防御系统概述 110
8.2 入侵检测系统 111
8.2.1 入侵检测系统的分类 111
8.2.2 入侵检测系统的工作过程 113
8.2.3 入侵检测系统的基本构成 113
8.2.4 常见的入侵检测技术 114
8.3 入侵防御系统 115
8.3.1 入侵防御系统的概念 115
8.3.2 入侵防御系统的分类 117
8.3.3 入侵防御系统使用的关键技术 118
8.4 入侵检测与防御系统的部署 119
8.5 混合技术解决方案 120
8.6 入侵防御系统的实践 121
8.7 过关训练 123
8.7.1 知识储备检验 123
8.7.2 实践操作检验 125
8.7.3 挑战性问题 125
项目9 虚拟专用网络技术 127
9.1 VPN技术概述 127
9.1.1 VPN的概念 127
9.1.2 常见VPN封装协议 128
9.1.3 VPN连接模式 129
9.1.4 VPN的类型 130
9.2 GRE隧道技术 131
9.2.1 GRE封装的标准格式 131
9.2.2 GRE的IP in IP 封装 132
9.2.3 GRE隧道的工作原理 134
9.2.4 GRE VPN的应用场景 136
9.3 IPsec VPN技术 141
9.3.1 IPsec的基本框架结构 141
9.3.2 IPsec VPN的运行模式 141
9.3.3 IPsec VPN的工作原理 145
9.3.4 IPsec VPN的应用场景 150
9.4 SSL VPN技术 154
9.4.1 SSL协议的框架 154
9.4.2 SSL VPN的工作原理 159
9.4.3 SSL VPN的接入方式 162
9.4.4 SSL VPN的应用场景 164
9.5 过关训练 170
9.5.1 知识储备检验 170
9.5.2 实践操作检验 171
9.5.3 挑战性问题 171
项目10 网络安全管理技术 173
10.1 网络运行与维护概述 173
10.2 网络故障排除方法 173
10.2.1 网络故障排除方法概述 173
10.2.2 网络设备配置文档 174
10.2.3 常见网络故障排除方法 177
10.2.4 网络故障排除流程 177
10.2.5 网络故障排除实践 179
10.3 网络硬件诊断工具 182
10.3.1 电缆测试仪 182
10.3.2 万用表 183
10.3.3 网络万用表 184
10.3.4 时域反射计 184
10.3.5 数字式电缆分析仪 185
10.4 网络安全监控 185
10.4.1 系统日志 185
10.4.2 网络时间协议 186
10.4.3 简单网络管理协议 186
10.4.4 NetFlow 186
10.4.5 使用SNMP管理网络设备 186
10.4.6 使用端口镜像来监控网络流量 188
10.5 过关训练 192
10.5.1 知识储备检验 192
10.5.2 实践操作检验 193
10.5.3 挑战性问题 194
参考文献 195

PPT

关闭

打印