网志栈编辑推荐
“网络安全技术”已成为高职院校计算机及相关专业的重要必修课程。本书根据高等职业教育的特点,基于“项目引导、任务驱动”的项目化教学方式编写而成,体现“基于工作过程”、“教、学、做”一体化的教学理念,将全书内容划分为11个工程项目,具体内容包括:认识计算机网络安全技术、Windows系统安全加固、网络协议与分析、计算机病毒及防治、密码技术、网络攻击与防范、防火墙技术、入侵检测技术、VPN技术、Web安全、无线网络安全等。 ;
内容简介
本书基于“项目引导、任务驱动”的项目化专题教学方式编写而成,体现“基于工作过程”“教、学、做”一体化的教学理念。本书内容划分为11个工程项目,具体内容包括:认识计算机网络安全技术、Windows Server 2008系统安全加固、网络协议与分析、计算机病毒及防治、密码技术、网络攻击与防范、防火墙技术、入侵检测技术、VPN技术、Web安全、无线网络安全。每个项目案例按照“提出问题”→“分析问题”→“解决问题”→“拓展提升”四部曲展开。读者能够通过项目案例完成相关知识的学习和技能的训练,所有项目案例均来自企业工程实践,具有典型性、实用性、趣味性和可操作性。 本书可作为高等职业院校和高等专科院校“网络安全技术”课程的教学用书,也可作为成人高等院校、各类培训、计算机从业人员和爱好者的参考用书。
作者简介
暂无
目录
目录
;
项目1认识计算机网络安全技术1
1.1项目提出1
1.2项目分析2
1.3相关知识点2
1.3.1网络安全概述2
1.3.2网络安全所涉及的内容7
1.3.3网络安全防护9
1.3.4网络安全标准13
1.3.5虚拟机技术15
1.4项目实施15
1.4.1任务1: 系统安全“傻事清单”15
1.4.2任务2: VMware虚拟机的安装与使用19
1.5拓展提升:基本物理安全32
习题33
项目2Windows Server 2008系统安全加固36
2.1项目提出36
2.2项目分析36
2.3相关知识点37
2.3.1操作系统安全的概念37
2.3.2服务与端口37
2.3.3组策略39
2.3.4账户与密码安全40
2.3.5漏洞与后门40
2.4项目实施42
2.4.1任务1: 账户安全配置42
2.4.2任务2: 密码安全配置49
2.4.3任务3: 系统安全配置52
2.4.4任务4: 服务安全配置58
2.4.5任务5: 禁用注册表编辑器672.5拓展提升:Windows系统的安全模板68
习题70
项目3网络协议与分析72
3.1项目提出72
3.2项目分析72
3.3相关知识点73
3.3.1计算机网络体系结构73
3.3.2以太网的帧格式76
3.3.3网络层协议格式77
3.3.4传输层协议格式80
3.3.5三次握手机制82
3.3.6ARP欺骗攻击83
3.3.7网络监听85
3.4项目实施86
3.4.1任务1: Sniffer Pro软件的安装与使用86
3.4.2任务2: ARP欺骗攻击与防范92
3.5拓展提升:端口镜像99
习题100
项目4计算机病毒及防治102
4.1项目提出102
4.2项目分析103
4.3相关知识点104
4.3.1计算机病毒的概念104
4.3.2计算机病毒的特征106
4.3.3计算机病毒的分类107
4.3.4宏病毒和蠕虫病毒108
4.3.5木马111
4.3.6反病毒技术113
4.4项目实施116
4.4.1任务1: 360杀毒软件的使用116
4.4.2任务2: 360安全卫士软件的使用119
4.4.3任务3: 宏病毒和网页病毒的防范125
4.4.4任务4: 利用自解压文件携带木马程序128
4.4.5任务5: 反弹端口木马(灰鸽子)的演示130
4.5拓展提升:手机病毒135
习题136
项目5密码技术139
5.1项目提出139
5.2项目分析139
5.3相关知识点140
5.3.1密码学的基础知识140
5.3.2古典密码技术142
5.3.3对称密码技术144
5.3.4非对称密码技术147
5.3.5单向散列算法150
5.3.6数字签名技术151
5.3.7数字证书152
5.3.8EFS加密文件系统153
5.4项目实施154
5.4.1任务1: DES、RSA和Hash算法的实现154
5.4.2任务2: PGP软件的使用160
5.4.3任务3: Windows 7加密文件系统的应用174
5.5拓展提升:密码分析技术178
习题180
项目6网络攻击与防范183
6.1项目提出183
6.2项目分析183
6.3相关知识点184
6.3.1网络攻防概述184
6.3.2目标系统的探测187
6.3.3网络监听191
6.3.4口令破解192
6.3.5IPC$入侵193
6.3.6缓冲区溢出攻击194
6.3.7拒绝服务攻击195
6.3.8分布式拒绝服务攻击198
6.3.9分布式反射型拒绝服务攻击199
6.4项目实施202
6.4.1任务1: 黑客入侵的模拟演示202
6.4.2任务2: 缓冲区溢出漏洞攻击的演示213
6.4.3任务3: 拒绝服务攻击的演示214
6.5拓展提升:网络诱骗技术——蜜罐217
习题219
项目7防火墙技术221
7.1项目提出221
7.2项目分析221
7.3相关知识点222
7.3.1防火墙结构概述222
7.3.2防火墙技术原理223
7.3.3防火墙体系结构227
7.3.4Windows防火墙229
7.4项目实施231
任务: Windows防火墙的应用231
7.5拓展提升:Cisco PIX防火墙配置246
习题251
项目8入侵检测技术253
8.1项目提出253
8.2项目分析253
8.3相关知识点254
8.3.1入侵检测系统概述254
8.3.2入侵检测系统的基本结构254
8.3.3入侵检测系统的分类256
8.3.4基于网络和基于主机的入侵检测系统256
8.4项目实施260
任务: SessionWall入侵检测软件的使用260
8.5拓展提升:入侵防护系统263
习题265
项目9VPN技术267
9.1项目提出267
9.2项目分析267
9.3相关知识点268
9.3.1VPN概述268
9.3.2VPN的特点269
9.3.3VPN的处理过程269
9.3.4VPN的分类270
9.3.5VPN的关键技术271
9.3.6VPN隧道协议272
9.4项目实施274
9.4.1任务1: 在Windows Server 2008上部署VPN服务器274
9.4.2任务2: 在Windows 7客户端建立并测试VPN连接282
9.5拓展提升:IPSec VPN与SSL VPN的比较290
习题290
项目10Web安全292
10.1项目提出292
10.2项目分析292
10.3相关知识点293
10.3.1Web安全概述293
10.3.2Internet的脆弱性293
10.3.3Web的安全问题294
10.3.4Web安全的实现方法294
10.3.5IIS的安全295
10.3.6脚本语言的安全298
10.3.7Web浏览器的安全300
10.4项目实施304
10.4.1任务1: Web服务器的安全配置304
10.4.2任务2: 通过SSL访问Web服务器314
10.4.3任务3: 利用Unicode漏洞实现网页“涂鸦”的演示332
10.4.4任务4: 利用SQL注入漏洞实现网站入侵的演示334
10.5拓展提升:防范网络钓鱼337
习题338
项目11无线网络安全339
11.1项目提出339
11.2项目分析339
11.3相关知识点340
11.3.1无线局域网基础340
11.3.2无线局域网标准341
11.3.3无线局域网接入设备343
11.3.4无线局域网的组网模式345
11.3.5服务集标识SSID346
11.3.6无线加密标准347
11.3.7无线局域网常见的攻击348
11.4项目实施349
任务: 无线局域网安全配置349
11.5拓展提升:无线局域网的安全性357
习题360
参考文献362
媒体评论
评论
前沿
前言
从1999年开始,高等学校连续进行了十几年的大规模扩招,大学教育也开始由精英教育转为大众化教育。随着教学对象、教学目标和教学环境的转变,传统的教学内容、教学方法和教学手段已不再适合高等教育的需要。计算机网络的出现改变了人们使用计算机的方式,也改变了人们的学习、工作和生活方式。计算机网络给人们带来便利的同时,也面对着保证网络安全的巨大挑战。据统计,截至2016年6月底,我国网民规模已达到7.1亿人,其中手机网民规模达6.56亿,互联网普及率为51.7%。81.64%的网民不注意定期更换密码,其中遇到问题才更换密码的占64.59%,从不更换密码的占17.05%;75.93%的网民存在多账户使用同一密码的问题;80.21%的网民随意连接公共免费WiFi;83.48%的网民网上支付行为存在安全隐患;36.96%的网民对二维码“经常扫,不考虑是否安全”;55.18%的网民曾遭遇网络诈骗。这些数据进一步说明,普及全民的网络安全意识仍然任重而道远。“网络安全技术”已成为高职院校计算机及相关专业的重要必修课程。本书根据高等职业教育的特点,基于“项目引导、任务驱动”的项目化教学方式编写而成,体现了“基于工作过程”“教、学、做”一体化的教学理念。全书内容划分为11个工程项目,具体内容包括: 认识计算机网络安全技术、Windows Server 2008系统安全加固、网络协议与分析、计算机病毒及防治、密码技术、网络攻击与防范、防火墙技术、入侵检测技术、VPN技术、Web安全、无线网络安全等。本书具有以下特点。(1) 体现“项目引导、任务驱动”教学特点。从实际应用出发,从工作过程出发,从项目出发,采用“项目引导、任务驱动”的方式,通过“提出问题”→“分析问题”→“解决问题”→“拓展提高”四部曲展开。在宏观教学设计上突破以知识点的层次递进为理论体系的传统模式,将职业工作过程系统化,以工作过程为参照,按照工作过程来组织和讲解知识,培养学生的职业技能和职业素养。(2) 体现“教、学、做”一体化的教学理念。以学到实用技能、提高职业能力为出发点,以“做”为中心,“教”和“学”都围绕着“做”,在学中做,在做中学,从而完成知识学习、技能训练和提高职业素养的教学目标。网络安全技术项目化教程(第2版)(3) 本书体例采用项目、任务形式。全书设有11个工程项目,每一个项目再明确若干任务。教学内容安排由易到难、由简单到复杂,层次推进,循序渐进。学生能够通过项目学习,完成相关知识的学习和技能的训练。每个项目来自企业工程实践,具有典型性和实用性。(4) 项目/任务的内容体现趣味性、实用性和可操作性。趣味性使学生始终保持较高的学习兴趣和动力;实用性使学生能学以致用;可操作性保证每个项目/任务能顺利完成。本书的讲解力求贴近口语,让学生感到易学、乐学,在宽松环境中理解知识、掌握技能。(5) 紧跟行业技术的发展。网络安全技术发展很快,本书着力于当前主流技术和新技术的讲解,与行业联系密切,使所有内容紧跟行业技术的发展。(6) 符合高职学生的认知规律,有助于实现有效教学,提高教学的效率、效益、效果。本书打破了传统的学科体系结构,将各个知识点与操作技能恰当地融入各个项目/任务中,突出现代职业教育的职业性和实践性,注重培养学生实践中的动手能力,以便适应高职学生的学习特点。同时,在教学过程中注意情感交流,因材施教,调动学生的学习积极性,提高教学效果。(7) 本书中相关任务操作对实验环境的要求比较低,采用常见的设备和软件即可完成,便于实施。为了方便操作和保护系统安全,本书中的大部分任务操作均可在Windows Server 2008/Windows 7虚拟机中完成,部分任务操作要在Windows 2000 Server虚拟机中完成,所用的工具软件均可在互联网上下载。本书由黄林国主编并统稿,参加编写的还有解卫华、娄淑敏、黄倩、王振邦、凌代红、张丽君、陈邦荣、林龙、滕圣敏、夏文明、沈爱莲、张康、牟伟文等。在本书的编写过程中,参考了大量的书籍和互联网上的资料,在此,作者谨向这些书籍和资料的作者表示感谢。为了便于教学,本书提供的PPT课件等教学资源,可以从清华大学出版社网站(http://www.tup.com.cn)免费下载使用。由于编者水平有限,书中难免存在疏漏,敬请读者批评指正。联系方式huanglgvip@21cn.com。
编者2017年2月
免费在线读
项目3网络协议与分析【项目目标】(1) 了解OSI参考模型和TCP/IP参考模型。(2) 了解以太网的帧格式。(3) 了解网络层协议和传输层协议。(4) 了解三次握手机制。(5) 掌握ARP欺骗攻击的原理和防范方法。(6) 会使用Sniffer抓包软件。(7) 了解端口镜像。3.1项 目 提 出张先生在企业的网络中心工作,负责整个企业网络的管理和维护,作为网络管理员需要时刻了解企业网络流量情况,并对网络流量进行监控,以便及时发现并解决可能出现的网络问题。最近有多位企业员工反映,近期访问外网的速度时快时慢,甚至不能访问外网,请求网络中心给予解决。3.2项 目 分 析从各位员工反映的上网情况来看,网速变慢是最近发生的事情,近期企业内部没有进行网络设备的调整,网络环境没有发生变化,网络应用也没有大的变化,这应该是网络中有异常流量造成的。张先生经过调查发现,网络中存在以下网络故障现象。(1) 某部门的所有计算机配置相同,且处于同一个网段,唯独某一台计算机无法上网,而且网络、网络接口等都正常,该计算机重新启动后网络恢复正常,过一段时间后,网络又瘫痪了。(2) 网络中的计算机逐台掉线,最后导致全部计算机无法上网。(3) 某计算机上网时突然掉线,一会儿又恢复了,但恢复后上网一直很慢,而且在与局域网内的其他计算机共享文件时速度也变慢。(4) 网络中用户上不了网或者网速很慢。张先生用网络监听工具Sniffer Pro来嗅探网络中的数据包,发现网络中存在大量的ARP数据包,而且计算机ARP缓存表中的网关MAC地址已被修改,导致网络变慢甚至无法上网,这就是典型的ARP欺骗攻击。在计算机中利用“ARP s网关IP 网关MAC”命令静态设置正确的网关MAC地址,在网关(一般是路由器)中对局域网内的主机IP地址与其相应的MAC地址也进行静态绑定,上网恢复正常。3.3相关知识点〖1〗3.3.1计算机网络体系结构1. OSI参考模型在计算机网络诞生之初,每个计算机厂商都有一套自己的网络体系结构,之间互不相容。为此,国际标准化组织(ISO)在1979年建立了一个分委员会来专门研究一种用于开放系统互联的体系结构,即OSI。“开放”这个词表示: 只要遵循OSI标准,一个系统可以和位于世界上任何地方的,也遵循OSI标准的其他任何系统进行连接。这个分委员会提出了开放系统互联参考模型,即OSI参考模型(OSI/RM),它定义了异类系统互联的标准框架。OSI/RM模型分为7层,从下往上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,如图31所示。图31OSI/RM模型计算机网络体系结构是计算机网络层次模型和各层协议的集合。计算机网络体系结构是抽象的,而实现是具体的,是能够运行的一些硬件和软件,多采用层次结构。划分层次的原则如下。(1) 网中各节点都有相同的层次。(2) 不同节点的同等层具有相同的功能。(3) 同一节点内相邻层之间通过接口通信。(4) 每一层使用下层提供的服务,并向其上层提供服务。(5) 不同节点的同等层按照协议实现对等层之间的通信。下面介绍各层的主要功能。(1) 物理层。这是整个OSI参考模型的最底层,它的任务就是提供网络的物理连接。所以,物理层是建立在物理介质上的(而不是逻辑上的协议和会话),它提供的是机械和电气接口,其作用是使原始的数据比特(bit)流能在物理媒体上传输。(2) 数据链路层。数据链路层分为介质访问控制(MAC)子层和逻辑链路控制(LLC)子层,在物理层提供比特流传输服务的基础上,传送以帧为单位的数据。数据链路层的主要作用是通过校验、确认和反馈重发等手段,将不可靠的物理链路改造成对网络层来说无差错的数据链路。数据链路层还要协调收发双方的数据传输速率,即进行流量控制,以防止接收方因来不及处理发送方来的高速数据而导致缓冲区溢出及线路阻塞等问题。(3) 网络层。网络层负责由一个站到另一个站间的路径选择,它解决的是网络与网络之间,即网际的通信问题,而不是同一网段内部的事。网络层的主要功能是提供路由,即选择到达目的主机的最佳路径,并沿该路径传送数据包(分组)。此外,网络层还具有流量控制和拥塞控制的能力。(4) 传输层。传输层负责提供两站之间数据的传送。当两个站已确定建立了联系后,传输层即负责监督,以确保数据能正确无误的传送,提供可靠的端到端数据传输。(5) 会话层。会话层主要负责控制每一站究竟什么时间可以传送与接收数据。例如,如果有许多使用者同时进行传送与接收消息,此时会话层的任务就要去决定是要接收消息或是传送消息,才不会有“碰撞”的情况发生。(6) 表示层。表示层负责将数据转换成使用者可以看得懂的有意义的内容,包括格式转换、数据加密与解密、数据压缩与恢复等功能。(7) 应用层。应用层负责网络中应用程序与网络操作系统间的联系,包括建立与结束使用者之间的联系,监督并管理相互连接起来的应用系统以及系统所用的各种资源。数据在网络中传送时,在发送方和接收方有一个数据封装和解封装的过程,如图32所示。图32数据的封装和解封装(1) 当计算机A的应用进程M的数据传送到应用层时,应用层为数据加上本层控制报头后,组成应用层的服务数据单元,然后再传输给表示层。(2) 表示层接收到这个数据单元后,加上本层的控制报头,组成表示层的服务数据单元,再传送给会话层,以此类推,数据被传送到传输层。(3) 传输层接收到这个数据单元后,加上本层的控制报头,就构成了传输层的服务数据单元,它被称为报文(message)。(4) 传输层的报文传送到网络层时,由于网络层数据单元的长度限制,传输层长报文将被分成多个较短的数据段(分片),加上网络层的控制报头,就构成了网络层的服务数据单元,它被称为分组(packet)。(5) 网络层的分组传送到数据链路层时,加上数据链路层的控制信息(帧头和帧尾),就构成了数据链路层的服务数据单元,它被称为帧(frame)。(6) 数据链路层的帧传送到物理层后,物理层将以比特(bit)流的方式通过传输媒介传输出去。当比特流到达目的节点计算机B时,再从物理层依层上传,每层对各层的控制报头进行处理后,将用户数据上交给上一层,最终将计算机A的进程M的数据传送给计算机B的进程N。尽管应用进程M的数据在OSI环境中经过复杂的处理过程才能送到另一台计算机的应用进程N,但对于每台计算机的应用进程而言,OSI环境中数据流的复杂处理过程是透明的。应用进程M的数据好像是“直接”传送给应用进程N,这就是开放系统在网络通信过程中最本质的作用。2. TCP/IP参考模型建立OSI体系结构的初衷是希望为网络通信提供一种统一的国际标准,然而其固有的复杂性等缺点制约了它的实际应用。一般而言,由于OSI体系结构具有概念清晰的优点,主要适用于教学研究。ARPAnet最初开发的网络协议使用在通信可靠性较差的通信子网中,且出现了不少问题,这就导致了新的网络协议TCP/IP的产生。虽然TCP/IP协议不是OSI标准,但它是目前最流行的商业化的网络协议,并被公认为是当前的工业标准或“事实上的标准”。TCP/IP协议具有以下特点。(1) 开放的协议标准,独立于特定的计算机硬件和操作系统。(2) 独立于特定的网络硬件,可以运行在局域网、广域网中,更适用于互联网。(3) 统一的地址分配方案,使得整个TCP/IP 设备在网中都具有唯一的地址。(4) 标准化的高层协议,可提供多种可靠的服务。TCP/IP参考模型分为4层: 网络接口层、网络层(互联层)、传输层和应用层。TCP/IP参考模型与OSI参考模型的对应关系如表31所示。TCP/IP的网络接口层实现了OSI模型中物理层和数据链路层的功能。TCP/IP的网络层功能主要体现在以下三个方面: (1) 处理来自传输层的分组发送请求;(2) 处理接收的分组;表31TCP/IP参考模型与OSI参考模型的对应关系OSI参考模型TCP/IP参考模型TCP/IP常用协议应用层表示层会话层应用层DNS、HTTP、SMTP、POP、Telnet、FTP、NFS传输层传输层TCP、UDP网络层网络层IP、ICMP、IGMP、ARP、RARP数据链路层物理层网络接口层Ethernet、ATM、FDDI、ISDN、TDMA(3) 处理路径选择、流量控制与拥塞问题。传输层实现应用进程间的端到端通信,主要包括两个协议: TCP协议和UDP协议。TCP协议是一种可靠的面向连接的协议,允许将一台主机的字节流无差错地传送到目的主机。UDP协议是不可靠的无连接协议,不要求分组顺序到达目的地。应用层的主要协议有: 域名系统(DNS)、超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、邮局协议(POP)、远程登录协议(TELNET)、文件传输协议(FTP)、网络文件系统(NFS)等。3.3.2以太网的帧格式1. MAC地址为了标识以太网上的每台主机,需要给每台主机上的网络适配器(网卡)分配一个全球唯一的通信地址,即MAC地址,或称为网卡的物理地址、Ethernet地址。IEEE负责为网络适配器制造厂商分配MAC地址块,各厂商为自己生产的每块网络适配器分配一个全球唯一的MAC地址。MAC地址长度为48比特,共6字节,如000D8847582C(十六进制),其中,前3字节为IEEE分配给厂商的厂商代码(000D88),后3字节为厂商自己设置的网络适配器编号(47582C)。MAC广播地址为FFFFFFFFFFFF。如果MAC地址(二进制)的第8位是1,则表示该MAC地址是组播地址,如01005E37554D。2. 以太网的帧格式以太网的帧是数据链路层的封装形式,网络层的数据包被加上帧头和帧尾成为可以被数据链路层识别的数据帧(成帧)。虽然帧头和帧尾所用的字节数是固定不变的,但依被封装的数据包大小的不同,以太网的帧长度也在变化,其范围是64~1518字节(不算8字节的前导字)。以太网的帧格式有多种,在每种格式的帧开始处都有64比特(8字节)的前导字符,其中前7字节为前同步码(7个10101010),第8字节为帧起始标志(10101011)。图33所示为Ethernet Ⅱ的帧格式(未包括前导字符)。图33Ethernet Ⅱ的帧格式Ethernet Ⅱ类型以太网帧的最小长度为64字节(6+6+2+46+4),最大长度为1518字节(6+6+2+1500+4)。其中前12字节分别标识出发送数据帧的源节点MAC地址和接收
网络安全技术项目化教程(第2版) pdf下载声明
本pdf资料下载仅供个人学习和研究使用,不能用于商业用途,请在下载后24小时内删除。如果喜欢,请购买正版
