電腦網絡安全原理, 2/e

面對嚴峻的網絡安全角勢，瞭解和掌握電腦網絡安全知識具有重要的現實意義。本書著重闡述電腦網絡安全的原理與技術，內容包括緒論、密碼學基礎知識、消息認證與身份認證、PKI與數字證書、無線網絡安全、IP及路由安全、傳輸層安全、DNS安全、Web應用安全、電子郵件安全、拒絕服務攻擊及防禦、網絡防火牆、入侵檢測與網絡欺騙、惡意代碼、網絡安全新技術。各章均附有習題和實驗。本書可作為高等學校網絡空間安全、信息安全、網絡工程、電腦等專業的電腦網絡安全類課程的教材，也可作為相關領域的研究人員和工程技術人員的參考書。。

吳禮發，男，1968年8月生，分別於1991年7月、1995年2月從南京通信工程學院獲計算機與指揮自動化專業學士、計算機應用技術專業工學碩士學位，1998年10 月於南京大學計算機軟件專業獲工學博士學位，現為南京郵電大學計算機學院教授、博士生導師。
先後承擔了20餘項國家和軍隊重點科研項目，獲軍隊科技進步一等獎1項、二等獎1項、三等獎4項，全軍教學成果二等獎1項、三等獎2項。
出版學術專著1部，教材5部，獲國家發明專利6項，發表學術論文100 餘篇。
主要從事軟件安全漏洞挖掘與利用、協議逆向分析、雲計算安全等方向的教學和科研工作。

第1章緒論1
1．1計算機網絡概述1
1．1．1網絡結構和組成1
1．1．2網絡體系結構4
1．2計算機網絡安全概念6
1．2．1計算機網絡安全6
1． 2．2與計算機網絡安全相關的概念7
1．3計算機網絡安全威脅11
1．3．1網絡安全威脅因素11
1．3．2網絡攻擊概述12
1．4網絡安全模型14
1．5網絡安全機制、服務及產品18
1．6網絡安全面臨的挑戰及發展方向25
1．7本書的內容與組織27
1．8習題31
1．9實驗34

第2章密碼學基礎知識35
2．1密碼學基本概念35
2．1．1對稱密碼系統37
2．1．2公開密碼系統40
2．2典型對稱密碼系統41
2．2．1數據加密標準（DES） 41
2．2．2高級數據加密標準（AES） 48
2．2．3 RC4 52
2．3典型公開密碼系統54
2．3．1 RSA 54
2．3．2 Diffie-Hellman密鑰交換協議56
2．3．3 ElGamal公鑰密碼體制58
2．3．4橢圓曲線密碼體制59
2．3．5基於身份標識的密碼體制61
2．4國密算法62
2．5密碼分析64
2．5．1傳統密碼分析方法64
2．5．2密碼旁路分析65
2．5．3密碼算法和協議的工程實現分析66
2．6習題66
2．7實驗69
2．7．1 DES數據加密、解密算法實驗69
2．7．2 RSA數據加密、解密算法實驗69

第3章消息認證與身份認證71
3．1散列函數71
3．1．1散列函數的要求71
3．1．2 MD算法73
3．1．3 SHA算法75
3． 2消息認證76
3．2．1消息內容的認證76
3．2．2消息順序的認證81
3．2．3消息發送方認證82
3．3身份認證86
3．3．1一次性口令認證89
3．3．2基於共享密鑰的認證90
3．3．3可擴展認證協議EAP 97
3．4習題100
3．5實驗105
3．5．1使用GPG4win進行數字簽名105
3．5．2 OpenSSL軟件的安裝與使用105

第4章PKI與數字證書107
4．1密鑰管理107
4．2數字證書108
4．2．1證書格式109
4．2．2 CRL格式116
4．3 PKI 117
4．3．1 PKI組成118
4．3．2證書籤發和撤銷流程123
4．3．3證書的使用125
4．3．4 PKIX 126
4．4證書透明性127
4．5習題129
4．6實驗132

第5章無線網絡安全133
5．1無線局域網安全133
5．1．1概述133
5．1．2 WEP安全協議136
5．1．3 WPA/WPA2/WPA3安全協議139
5．2移動網絡安全146
5．2．1 2G安全146
5．2．2 3G安全148
5．2．3 4G安全150
5．2．4 5G安全152
5．3習題157
5．4實驗159

第6章IP及路由安全160
6．1 IPv4協議及其安全性分析160
6．2 IPsec 161
6．2．1 IPsec安全策略162
6．2．2 IPsec運行模式166
6．2．3 AH協議167
6．2．4 ESP協議170
6．2．5網絡密鑰交換173
6．2．6 SA組合182
6．2．7 IPsec的應用184
6．3 IPv6協議及其安全性分析185
6．3．1 IPv6協議格式185
6．3．2 IPv6安全性分析187
6．4路由安全188
6．4．1 RIP協議及其安全性分析189
6．4．2 OSPF協議及其安全性分析191
6．4．3 BGP協議及其安全性分析194
6．5習題197
6．6實驗200
6．6．1 IPsec VPN配置200
6．6．2用Wireshark觀察IPsec協議的通信過程200

第7章傳輸層安全202
7．1傳輸層安全概述202
7．1．1端口和套接字203
7．1．2 UDP協議及其安全性203
7．1．3 TCP協議及其安全性204
7．2 SSL 207
7．2．1 SSL體系結構207
7．2．2 SSL記錄協議209
7．2．3 SSL密碼變更規格協議211
7．2．4告警協議211
7．2．5握手協議212
7．2．6密鑰生成217
7．3 TLS 218
7．3．1 TLS與SSL的差異218
7．3．2 TLS 1．3 222
7．4 SSL/TLS VPN 225
7．5習題227
7． 6實驗229

第8章DNS安全230
8．1 DNS概述230
8．1．1因特網的域名結構231
8．1．2用域名服務器進行域名轉換232
8．2 DNS面臨的安全威脅236
8．2． 1協議脆弱性236
8．2．2實現脆弱性240
8．2．3操作脆弱性241
8．3 DNSSEC 242
8．3．1 DNSSEC基本原理243
8．3．2 DNSSEC配置258
8．3．3 DNSSEC的安全性分析262
8．3．4 DNSSEC部署262
8．4習題264
8．5實驗266
8．5．1 DNSSEC配置266
8．5．2觀察DNSSEC域名解析過程266

第9章Web應用安全267
9．1概述267
9．2 Web應用體系結構脆弱性分析268
9．3 SQL注入攻擊及防範273
9．3．1概述273
9．3．2 SQL注入漏洞探測方法273
9．3．3 Sqlmap 277
9．3．4 SQL注入漏洞的防護280
9．4跨站腳本攻擊及防範281
9．4． 1跨站腳本攻擊原理281
9．4．2跨站腳本攻擊的防範286
9．5 Cookie欺騙及防範286
9．6 CSRF攻擊及防範288
9．6．1 CSRF攻擊原理289
9．6．2 CSRF攻擊防禦291
9．7目錄遍歷及防範292
9．8操作系統命令注入及防範294
9．9 HTTP消息頭注入攻擊及防範296
9．10 HTTPS 297
9．10．1 HTTPS基本原理297
9．10． 2 HTTPS服務器部署298
9．11 HTTP over QUIC 300
9．12 Web應用防火牆301
9．13習題302
9．14實驗305
9．14．1 WebGoat的安裝與使用305
9．14．2用Wireshark觀察HTTPS通信過程305

第10章電子郵件安全306
10．1電子郵件概述306
10．2電子郵件的安全問題308
10．3安全電子郵件標準PGP 310
10．3．1 PGP基本原理311
10．3．2 PGP密鑰管理314
10．4 WebMail安全威脅及防範317
10．5垃圾郵件防範321
10．5．1基於地址的垃圾郵件檢測323
10．5．2基於內容的垃圾郵件檢測324
10．5．3基於行為的垃圾郵件檢測326
10．6習題327
10．7實驗329

第11章拒絕服務攻擊及防禦330
11 ．1概述330
11．2劇毒包型拒絕服務攻擊331
11．3風暴型拒絕服務攻擊333
11．3．1攻擊原理333
11．3．2直接風暴型拒絕服務攻擊334
11．3．3反射型拒絕服務攻擊336
11．3．4殭屍網絡343
11．3．5典型案例分析347
11．4拒絕服務攻擊的作用348
11．5拒絕服務攻擊的檢測及響應技術349
11．5．1拒絕服務攻擊檢測技術349
11．5．2拒絕服務攻擊響應技術350
11．6習題354
11．7實驗356
11．7．1編程實現SYN Flood DDoS攻擊356
11．7．2編程實現NTP反射型拒絕服務攻擊357

第12章網絡防火牆358
12．1概述358
12．1．1防火牆的定義358
12．1．2網絡防火牆的功能359
12．2網絡防火牆的工作原理360
12．2．1包過濾防火牆360
12．2．2有狀態的包過濾防火牆364
12．2．3應用網關防火牆367
12．2．4下一代防火牆368
12．3防火牆的體系結構370
12．3．1屏蔽路由器結構370
12．3．2雙宿主機結構370
12．3．3屏蔽主機結構371
12．3．4屏蔽子網結構372
12．4防火牆的部署方式373
12．5防火牆的評價標準373
12．6防火牆技術的不足與發展趨勢378
12．7習題381
12．8實驗383

第13章入侵檢測與網絡欺騙384
13．1入侵檢測概述384
13．1．1入侵檢測的定義384
13．1．2通用入侵檢測模型385
13．1．3入侵檢測系統的分類387
13．2入侵檢測方法390
13．2．1特徵檢測390
13．2．2異常檢測392
13．3典型的入侵檢測系統Snort 400
13．3．1 Snort的體系結構400
13．3．2 Snort的規則401
13．4網絡欺騙技術406
13．4．1蜜罐407
13．4．2蜜網410
13．4．3網絡欺騙防禦411
13．5習題415
13．6實驗417
13．6．1 Snort的安裝與使用417
13．6．2蜜罐的安裝與使用418

第14章惡意代碼419
14．1概述419
14．1．1計算機病毒420
14．1．2計算機蠕蟲422
14．1．3計算機木馬424
14．2木馬的工作原理424
14．2．1配置木馬425
14．2．2傳播木馬426
14．2．3運行木馬428
14．2．4信息反饋430
14．2．5建立連接432
14．2．6遠程控制432
14．3木馬的隱藏技術433
14．3．1木馬在植入時的隱藏433
14．3．2木馬在存儲時的隱藏433
14．3．3木馬在運行時的隱藏435
14．4惡意代碼檢測及防範439
14．5習題444
14．6實驗446

第15章網絡安全新技術448
15．1軟件定義網絡安全448
15．1．1概述448
15．1．2 SDN體系結構448
15．1．3 OpenFlow 451
15．1．4 SDN安全453
15．2零信任安全459
15．2．1概述459
15．2．2 NIST零信任架構462
15．3移動目標防禦與網絡空間擬態防禦468
15．3．1移動目標防禦469
15．3．2網絡空間擬態防禦475
15．3．3移動目標防禦與網絡空間擬態防禦的關係477
15．4習題479

附錄A計算機網絡安全原理習題參考答案480
附錄B參考文獻497