計算機網絡安全技術

《計算機網絡安全技術》涵蓋了常見的計算機網絡安全的實現技術，在內容安排上遵循“實用、夠用”的原則，將理論知識和實踐技能掌握有機結合，並在Windows平台和Linux平台上給出了應用項目實現的步驟。全書內容難度適中，實用性強。

《計算機網絡安全技術》可作為高職高專院校信息安全技術、計算機網絡技術等專業的教材使用，也可作為信息安全管理人員、網絡工程技術人員、網絡管理人員的參考用書。計算機網絡安全主要包括數據的傳輸安全和數據的存儲安全兩大方面，其保障技術涉及計算機科學、計算機網絡、計算機通信、密碼技術等多方面的知識。

虛擬網技術主要基於近年發展的局域網交換技術（ATM和以太網交換）。交換技術將傳統的基於廣播的局域網技術發展為面向連接的技術。因此，網管系統有能力限制局域網通訊的範圍而無需通過開銷很大的路由器。

網絡防火牆技術是一種用來加強網絡之間訪問控制,防止外部網絡用户以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,並監視網絡運行狀態.

防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理服務器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.

病毒歷來是信息系統安全的主要問題之一。由於網絡的廣泛互聯，病毒的傳播途徑和速度大大加快。

將病毒的途徑分為：

(1 ) 通過FTP，電子郵件傳播。

(2) 通過軟盤、光盤、磁帶傳播。

(3) 通過Web遊覽傳播，主要是惡意的Java控件網站。

(4) 通過羣件系統傳播。

病毒防護的主要技術如下：

(1) 阻止病毒的傳播。

在防火牆、代理服務器、SMTP服務器、網絡服務器、羣件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。

(2) 檢查和清除病毒。

使用防病毒軟件檢查和清除病毒。

(3) 病毒數據庫的升級。

病毒數據庫應不斷更新，並下發到桌面系統。

(4) 在防火牆、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝。

利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險。但是，僅僅使用防火牆、網絡安全還遠遠不夠：

(1) 入侵者可尋找防火牆背後可能敞開的後門。

(2) 入侵者可能就在防火牆內。

(3) 由於性能的限制，防火牆通常不能提供實時的入侵檢測能力。

入侵檢測系統是近年出現的新型網絡安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網絡連接等。

實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊，其次它能夠縮短hacker入侵的時間。

入侵檢測系統可分為兩類：基於主機和基於網絡的入侵檢測系統。

網絡安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網絡。

安全掃描工具通常也分為基於服務器和基於網絡的掃描器。

認證技術主要解決網絡通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。

1、企業對VPN 技術的需求

企業總部和各分支機構之間採用internet網絡進行連接，由於internet是公用網絡，因此，必須保證其安全性。我們將利用公共網絡實現的私用網絡稱為虛擬私用網(VPN)。

2、數字簽名

數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基於私有/公共密鑰對，作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。

3、IPSEC

IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數廠商所支持，預計在1998年將確定為IETF標準，是VPN實現的Internet標準。

IPSec主要提供IP網絡層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協商(Security Association)。

本書由淺入深、循序漸進地介紹了計算機網絡安全基礎知識、計算機網絡安全協議基礎知識、計算機網絡安全編程基礎知識、計算機網絡操作系統安全基礎知識、計算機網絡攻擊與入侵技術、計算機網絡病毒及反病毒技術、計算機網絡站點的安全技術、數據加密技術基礎知識、防火牆與入侵檢測技術、網絡安全方案設計等內容。本書概念清晰、層次分明、邏輯性強、面向應用、實驗豐富，在強調掌握基礎知識的同時，還給出了各種網絡安全技術和使用方法。每章都附有典型例題和習題，有利於教師的教學和學生的學習。

計算機網絡安全技術簡稱網絡安全技術，指致力於解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。

本書的內容涵蓋了計算機網絡安全技術的各個領域，因此既可作為應用型本科院校計算機專業、通信專業、信息專業的教材，也可以供從事計算機網絡安全及相關工作的工程技術人員學習參考。

第1章 計算機網絡安全概述

1.1 網絡安全概述

1.2 網絡安全體系結構

1.3 網絡安全法規和網絡安全評價標準

1.4 本章實驗

本章小結

思考與練習

第2章 計算機網絡安全協議基礎

2.1 TCP/IP協議族

2.2 IP協議

2.3 TCP協議

2.4 UDP協議

2.5 ICMP協議

2.6 常見網絡服務

2.7 常用網絡命令

2.8 本章實驗

本章小結

思考與練習

第3章 計算機網絡安全編程基礎

3.1 計算機網絡編程概述

3.2 VC++6.0網絡編程基礎

3.3 計算機網絡安全編程實例

3.4 本章實驗

本章小結

思考與練習

第4章 計算機網絡操作系統安全基礎

4.1 網絡操作系統安全概述

4.2 Windows2000 Server系統的安全

4.3 UNIX/Linux系統的安全

4.4 本章實驗

本章小結

思考與練習

第5章 計算機網絡攻擊與侵入技術

5.1 端口掃描

5.2 網絡監聽

5.3 IP欺騙

5.4 拒絕服務攻擊

5.5 特洛伊木馬

5.6 E-mail炸彈

5.7 緩衝區溢出

5.8 本章實驗

本章小結

思考與練習

第6章 計算機網絡病毒及反病毒技術

6.1 計算機病毒概述

6.2 計算機病毒的檢測和清除

6.3 本章實驗

本章小結

思考與練習

第7章 計算機網絡站點的安全

7.1 因特網面臨的安全問題

7.2 Web站點的安全策略和安全管理

7.3 網絡站點口令安全

7.4 本章實驗

本章小結

思考與練習

第8章 數據加密技術基礎

8.1 數據加密技術概述

8.2 對稱密碼體制

8.3 非對稱密碼體制

8.4 散列函數與數字簽名

8.5 本章實驗

本章小結

思考與練習

第9章 防火牆與入侵檢測技術

9.1 防火牆及體系結構

9.2 防火牆的分類及主要技術

9.3 防火牆的指標與選擇

9.4 防火牆的管理與使用

9.5 入侵檢測系統

9.6 Snort網絡入侵檢測系統

本章小結

思考與練習

第10章 網絡信息安全方案設計

10.1 網絡信息安全方案概述

10.2 網絡信息安全方案設計

10.3 本章實驗

本章小結

思考與練習

參考文獻