1.注重理論與實踐相結合：每章都配有應用實例，一方面可以幫助學生對理論知識的理解和掌握；另一方面，學以致用可以提高學生的學習興趣、增加學習動力，也有助于提高學生的實踐能力。

2.內容豐富、科學合理：本書在選材時充分考慮學生的基礎和能力，在協調內容的深度、廣度、難度的關系以及理論和應用的比例方面，都做了深入的考慮，在保證科學性和實用性的同時，盡量做到深入淺出、通俗易懂。

在信息化社會中，人們對計算機網絡的依賴日益增強。越來越多的信息和重要數據資源存儲和傳輸于網絡中，通過網絡獲取和交換信息的方式已成為當前主要的信息溝通方式之一。與此同時，由于網絡安全事件頻繁發生，使得網絡安全成為倍受關注的問題。尤其是網絡上各種新業務（如電子商務、網絡銀行等）的興起以及各種專用網絡（如金融網）的建設，對網絡的安全性提出了更高的要求。攻擊、入侵行為和病毒的傳播嚴重威脅著網絡中各類資源的安全性，極大地損害了網絡使用者的利益，也為網絡應用的健康發展帶來巨大的障礙。因此，網絡安全問題已成為各國政府普遍關注的問題，網絡安全技術也成為信息技術領域的重要研究課題。

網絡安全涉及硬件平臺、軟件系統、基礎協議等方方面面的問題，復雜而多變。只有經過系統的學習和訓練，才能對網絡安全知識有全面的理解和掌握。本書從網絡安全的基本理論和技術出發，深入淺出、循序漸進地講述了網絡安全的基本原理、技術應用及配置方法，內容全面，通俗易懂，理論與實踐相得益彰。全書分為11章，內容涉及：網絡安全體系結構、密碼學基礎、密碼學應用、防火墻、攻擊技術、病毒與防范、入侵檢測、WWW安全、E-mail安全、操作系統安全。

本書的寫作目的是幫助讀者了解網絡所面臨的各種安全威脅，掌握網絡安全的基本原理，掌握保障網絡安全的主要技術和方法，學會如何在開放的網絡環境中保護信息和數據，防止黑客和病毒的侵害。在學習本教材之前，讀者應具備編程語言、計算機網絡、操作系統等方面的基礎知識。本書適合作為計算機及相關專業的學生教材或參考書，也可作為對網絡安全感興趣的初學者的自學教材。

本書的主要特點是：

 注重理論與實踐相結合：每章都配有應用實例，一方面可以幫助學生對理論知識的理解和掌握；另一方面，學以致用可以提高學生的學習興趣、增加學習動力，也有助于提高學生的實踐能力。

 內容豐富、科學合理：本書在選材時充分考慮學生的基礎和能力，在協調內容的深度、廣度、難度的關系以及理論和應用的比例方面，都做了深入的考慮，在保證科學性和實用性的同時，盡量做到深入淺出、通俗易懂。

本書由戚文靜、劉學主編，并執筆編寫了1、2、3、4、5、6、8、10等章節內容，孫鵬、趙秀梅、秦松、杜向華等老師參加了第7、9、11章部分內容的編寫工作，參加本書編寫工作的還有趙敬、楊云、劉倩、楊艷春、董艷麗、王紅、張磊等。本書在編寫過程中參閱了大量的中外文獻及安全網站，從中獲得了很多啟示和幫助，在此一并感謝。

由于網絡安全是一門內容廣博、不斷發展的學科，加之作者水平有限，書中的疏漏和不足在所難免，敬請讀者批評指正。作者的E-mail：[email protected]。

編 者

2005年7月

序
前言
第1章 網絡安全概述 1
本章學習目標 1
1.1 網絡安全的基本概念 1
1.1.1 網絡安全的定義及相關術語 1
1.1.2 主要的網絡安全威脅 3
1.1.3 網絡安全策略 6
1.1.4 網絡安全模型 9
1.2 網絡安全現狀 11
1.2.1 網絡安全現狀 11
1.2.2 研究網絡安全的意義 14
1.3 網絡安全保障體系及相關立法 16
1.3.1 美國政府信息系統的安全防護體系 16
1.3.2 中國網絡安全保障體系 18
習題 21
第2章 網絡體系結構及協議基礎 22
本章學習目標 22
2.1 網絡的體系結構 22
2.1.1 網絡的層次結構 22
2.1.2 服務、接口和協議 23
2.2 OSI模型及其安全體系 23
2.2.1 OSI-RM 23
2.2.2 OSI模型的安全服務 26
2.2.3 OSI模型的安全機制 27
2.2.4 OSI安全服務與安全機制的關系 28
2.2.5 OSI各層中的安全服務配置 29
2.3 TCP/IP模型及其安全體系 30
2.3.1 TCP/IP參考模型 30
2.3.2 TCP/IP的安全體系 31
2.4 常用網絡協議和服務 34
2.4.1 常用網絡協議 34
2.4.2 常用網絡服務 38
2.5 Windows常用的網絡命令 40
2.5.1 ping命令 40
2.5.2 ipconfig命令 41
2.5.3 netstat命令 42
2.5.4 tracert命令 43
2.5.5 net命令 44
2.5.6 nbtstat命令 46
2.5.7 ftp命令 47
2.5.8 telnet命令 48
2.6 協議分析工具——Sniffer Pro的應用 48
2.6.1 Sniffer Pro的啟動和設置 48
2.6.2 解碼分析 51
習題 53
第3章 密碼學基礎 54
本章學習目標 54
3.1 密碼學概述 54
3.1.1 密碼學的發展史 54
3.1.2 密碼系統的概念 56
3.1.3 密碼的分類 57
3.1.4 近代加密技術 58
3.1.5 密碼的破譯 59
3.2 古典密碼學 61
3.2.1 代換密碼 61
3.2.2 置換密碼 64
3.3 對稱密碼學 65
3.3.1 分組密碼概述 65
3.3.2 分組密碼的基本設計思想—Feistel網絡 66
3.3.3 DES算法 66
3.3.4 高級加密標準——AES 72
3.3.5 對稱密碼的工作模式 79
3.4 非對稱密碼算法 82
3.4.1 RSA算法 82
3.4.2 Diffie-Hellman算法 83
習題 85
第4章 密碼學應用 86
本章學習目標 86
4.1 密鑰管理 86
4.1.1 密鑰產生及管理概述 86
4.1.2 對稱密碼體制的密鑰管理 89
4.1.3 公開密鑰體制的密鑰管理 90
4.2 消息認證 91
4.2.1 數據完整性驗證 91
4.2.2 單向散列函數 92
4.2.3 消息摘要算法MD5 93
4.2.4 數字簽名 96
4.2.5 簽名算法DSA 99
4.3 Kerberos認證交換協議 100
4.3.1 Kerberos模型的工作原理和步驟 100
4.3.2 Kerberos的優勢與缺陷 101
4.4 公鑰基礎設施——PKI 101
4.4.1 PKI的定義、組成及功能 101
4.4.2 CA的功能 103
4.4.3 PKI的體系結構 104
4.4.4 PKI的相關問題 106
4.5 數字證書 108
4.5.1 數字證書的類型和格式 108
4.5.2 數字證書的管理 110
4.5.3 數字證書的驗證 111
4.5.4 Windows 2000 Server的證書服務 112
4.6 PGP 118
4.6.1 PGP簡介 118
4.6.2 PGP的密鑰管理 119
4.6.3 PGP應用 122
習題 126
第5章 防火墻技術 127
本章學習目標 127
5.1 防火墻概述 127
5.1.1 相關概念 127
5.1.2 防火墻的作用 129
5.1.3 防火墻的優、缺點 130
5.2 防火墻技術分類 131
5.2.1 包過濾技術 131
5.2.2 代理技術 133
5.2.3 防火墻技術的發展趨勢 135
5.3 防火墻體系結構 135
5.3.1 雙重宿主主機結構 136
5.3.2 屏蔽主機結構 137
5.3.3 屏蔽子網結構 137
5.3.4 防火墻的組合結構 139
5.4 內部防火墻 139
5.4.1 分布式防火墻（Distributed Firewall） 139
5.4.2 嵌入式防火墻（Embedded Firewall） 141
5.4.3 個人防火墻 142
5.5 防火墻產品介紹 142
5.5.1 FireWall-1 143
5.5.2 天網防火墻 145
習題 146
第6章 網絡攻擊技術 147
本章學習目標 147
6.1 網絡攻擊概述 147
6.1.1 關于黑客 147
6.1.2 黑客攻擊的步驟 148
6.1.3 網絡入侵的對象 149
6.1.4 主要的攻擊方法 149
6.1.5 攻擊的新趨勢 151
6.2 口令攻擊 152
6.2.1 獲取口令的一些方法 152
6.2.2 設置安全的口令 153
6.2.3 一次性口令 153
6.3 掃描器 154
6.3.1 端口與服務 154
6.3.2 端口掃描 154
6.3.3 常用的掃描技術 155
6.3.4 一個簡單的掃描程序分析 156
6.4 網絡監聽 161
6.4.1 網絡監聽的原理 162
6.4.2 網絡監聽工具及其作用 162
6.4.3 如何發現和防范Sniffer 163
6.5 IP欺騙 164
6.5.1 IP欺騙的工作原理 164
6.5.2 IP欺騙的防止 166
6.6 拒絕服務 166
6.6.1 什么是拒絕服務 166
6.6.2 分布式拒絕服務 167
6.6.3 DDoS的主要攻擊方式及防范策略 168
6.7 緩沖區溢出 172
6.7.1 緩沖區溢出原理 172
6.7.2 對緩沖區溢出漏洞攻擊的分析 174
6.7.3 緩沖區溢出的保護 175
6.8 特洛伊木馬 176
6.8.1 特洛伊木馬簡介 176
6.8.2 木馬的工作原理 176
6.8.3 木馬的一般清除方法 181
習題 183
第7章 入侵檢測技術 184
本章學習目標 184
7.1 入侵檢測概述 184
7.1.1 概念 184
7.1.2 IDS的任務和作用 185
7.1.3 入侵檢測過程 185
7.2 入侵檢測系統 187
7.2.1 入侵檢測系統的分類 187
7.2.2 基于主機的入侵檢測系統 188
7.2.3 基于網絡的入侵檢測系統 189
7.2.4 混合的入侵檢測系統 189
7.3 入侵檢測工具介紹 190
7.3.1 ISS BlackICE 191
7.3.2 ISS RealSecure 194
習題 199
第8章 計算機病毒與反病毒技術 200
本章學習目標 200
8.1 計算機病毒 200
8.1.1 計算機病毒的歷史 200
8.1.2 病毒的本質 201
8.1.3 病毒的發展階段及其特征 203
8.1.4 病毒的分類 206
8.1.5 病毒的傳播及危害 207
8.1.6 病毒的命名 208
8.2 幾種典型病毒的分析 210
8.2.1 CIH病毒 210
8.2.2 宏病毒 211
8.2.3 蠕蟲病毒 212
8.2.4 病毒的發展趨勢 215
8.3 反病毒技術 216
8.3.1 反病毒技術的發展階段 216
8.3.2 高級反病毒技術 218
8.4 病毒防范措施 220
8.4.1 防病毒措施 220
8.4.2 常用殺毒軟件 221
8.4.3 在線殺毒 222
8.4.4 殺毒軟件實例 223
習題 225
第9章 WWW安全 230
本章學習目標 230
9.1 WWW安全概述 230
9.1.1 WWW服務 230
9.1.2 Web服務面臨的安全威脅 231
9.2 WWW的安全問題 232
9.2.1 WWW服務器的安全漏洞 232
9.2.2 通用網關接口（CGI）的安全性 232
9.2.3 ASP與Access的安全性 233
9.2.4 Java與JavaScript的安全性 234
9.2.5 Cookies的安全性 235
9.3 Web服務器的安全配置 235
9.3.1 基本原則 236
9.3.2 Web服務器的安全配置方法 237
9.4 WWW客戶的安全 241
9.4.1 防范惡意網頁 241
9.4.2 隱私侵犯 243
9.5 SSL技術 245
9.5.1 SSL概述 245
9.5.2 SSL體系結構 245
9.5.3 基于SSL的Web安全訪問配置 249
習題 256
第10章 電子郵件安全 258
本章學習目標 258
10.1 電子郵件系統原理 258
10.1.1 電子郵件系統簡介 258
10.1.2 郵件網關 259
10.1.3 SMTP與POP3協議 260
10.2 電子郵件系統安全問題 261
10.2.1 匿名轉發 261
10.2.2 電子郵件欺騙 262
10.2.3 E-mail炸彈 263
10.3 電子郵件安全協議 264
10.3.1 PGP 265
10.3.2 S/MIME協議 265
10.3.3 MOSS協議 266
10.3.4 PEM協議 266
10.4 通過Outlook Express 發送安全電子郵件 267
10.4.1 Outlook Express 中的安全措施 267
10.4.2 拒絕垃圾郵件 270
習題 271
第11章 Windows 2000系統的安全機制 272
本章學習目標 272
11.1 Windows 2000的認證機制 272
11.1.1 身份認證 272
11.1.2 消息驗證 273
11.1.3 數字簽名 274
11.2 Windows 2000的審計機制 276
11.2.1 審核策略 276
11.2.2 審核對象的設置 276
11.2.3 選擇審核項的應用位置 277
11.3 Windows 2000的加密機制 278
11.3.1 文件加密系統 278
11.3.2 網絡資料的安全性 280
11.4 Windows 2000的安全配置 281
11.4.1 安全策略配置 281
11.4.2 文件保護 285
11.4.3 其他有利于提高系統安全性的設置 287
習題 291
參考文獻 294

1. 網絡安全原理與應用（第三版） [戚文靜 劉學 李國文 王震]
2. 大學生信息檢索與網絡安全教程 [劉軍 楊昌堯 黃榮森]
3. 網絡安全運維技術 [主編 唐繼勇 任月輝]
4. 遨游數字時代——全球IT高管網絡安全秘籍 [[美] Palo Alto Networks 編]
5. 云計算與網絡安全 [主編　肖睿　徐文義]
6. 網絡安全技術項目化教程 [主編 段新華 宋風忠]
7. 網絡安全技術 [姚奇富]
8. 網絡安全系統集成 [魯先志 唐繼勇]
9. 網絡安全產品調試與部署 [路亞 李賀華]
10. 網絡安全原理與應用（第二版） [戚文靜 劉學]
11. 中小型網絡安全管理與維護 [姚奇富 副主編 馬華林]
12. 網絡安全技術項目引導教程 [魯立]
13. 計算機網絡安全技術 [主 編 劉永華]
14. 網絡安全技術 [主編 吳銳]
15. 虛擬蜜罐：從僵尸網絡追蹤到入侵檢測 [[美] Niels Provos Thorsten Ho]
16. 現代網絡安全技術 [李興無 主 編 ]
17. 計算機網絡安全技術（第二版） [蔡立軍 主編]
18. 計算機網絡安全實用技術 [葛彥強 汪向征 主編]
19. 網絡安全與管理 [戚文靜 主編]
20. 網絡與信息安全教程 [吳煜煌 汪軍 等編著]
21. 計算機網絡安全技術（第二版） [蔡立軍 主編]
22. 網絡與信息安全實驗指導 [賴小卿 主編]
23. 網絡安全與管理（第二版） [戚文靜 主編]