全书共分9章，主要可以分为4方面的内容：一是网络与信息安全的基本理论，包括网络安全的基本清情况、密码学的基础知识、认证和Hash函数等；二是在分析TCP/IP网络的安全体系结构的基础上，分别从网际层、运输层和应用层讲解了保障TCP/IP网络安全的协议、内容和方法；三是从系统的角度介绍了保护TCP/IP网络安全的两种常用产品：防火墙和路由器，并重点讲解对他们的部署和配置方法；四是主机系统的安全防护，从操作系统安全、病毒与木马防护的角度分别阐明了对主机系统进行安全保护的方法和措施。

随着电子商务、电子政务、网上银行以及网络证券等网络应用的快速发展，网络安全问题受到空前的重视。因为网络安全不仅仅是一个技术问题，更重要的是它已成为影响社会稳定与发展的政治问题和经济问题。目前，社会上急需大量的网络安全人才。鉴于此，网络安全被大多数高校的计算机及相关专业列为必修课程。
现有的网络安全教材大致可以分为两类：一类偏重于介绍网络安全的基本理论和技术，与实际应用存在脱节现象；另一类偏重于特定的攻防技术，以解决或防范一些安全问题为目标。这两类教材都不适于进行研究型教学和应用型网络安全人才的培养。本书结合这两类网络安全教材的特点，以适于开展研究型教学和培养应用型网络安全人才为目的，对作者多年来讲授“网络与信息安全”课程的经验进行了深入总结，主要可分为四个方面的内容：一是网络与信息安全的基本理论，包括网络安全的基本情况、密码学的基础知识、认证和Hash函数等；二是在分析TCP/IP网络的安全体系结构的基础上，分别从网际层、运输层和应用层讲解了保障TCP/IP网络安全的协议、内容和方法；三是从系统的角度介绍了保护TCP/IP网络安全的两种常用产品：防火墙和路由器，并重点讲解对它们的部署和配置方法；四是主机系统的安全防护，从操作系统安全、病毒与木马防护的角度分别阐明了对主机系统进行安全保护的方法和措施。
本书主要特点可以概括为以下四个方面：
① 注重理论与实际相结合，便于学生掌握并在实际中应用网络安全的技术与知识，非常适合作为研究型教学和应用型人才培养的教材或参考书。
② 注重应用实际案例进行说明，既可加深读者对所学知识的理解和掌握，又能激发读者的学习兴趣。
③ 内容贴近实际应用，使读者尽快将所学知识付诸于实践，增强学生应用和创新的积极性。
④ 可读性强，全书采用简捷、通俗的语言进行描述，并基于从简单到复杂的思路安排内容，同时结合图和案例来帮助读者学习和理解。
建议本书的教学学时为40～45学时，实验学时10～15学时。其中第1章1～2学时，第2章5学时，第3章4～5学时，第4章5～6学时，第5章5学时，第6章5学时，第7章5～6学时，第8章5～6学时，第9章5学时。
本书的编写获北京科技大学211三期创新人才项目资助，由姚宣霞、刘振华、武涛编著。姚宣霞老师承担了第3～9章的编写工作，中华女子学院的武涛老师编写了第1章和第2章，中华女子学院的刘振华老师承担了部分书稿的校对工作。
在此，对所有为本书做出贡献的人员表示衷心感谢，没有他们的督促和帮助就没有本书的出版。同时，希望广大读者对本书提出意见和建议。

编 者
2012年5月

第1章 网络安全概述 1
1.1 网络安全的概念 1
1.2 网络安全的目标 2
1.3 网络安全的现状 3
1.4 网络安全的发展趋势 4
1.5 网络安全的基本技术 5
本章小结 6
思考与练习 6
第2章 密码学基础 7
2.1 密码学概述 7
2.1.1 密码发展史 8
2.1.2 密码编码学的分类 10
2.1.3 密码分析学的分类 10
2.2 古 典 密 码 11
2.3 对称密码体制 13
2.3.1 DES算法 13
2.3.2 分组密码的工作模式 19
2.3.3 DES主要的应用范围 20
2.4 非对称密码技术 21
2.4.1 RSA算法 22
2.4.2 Diffie-Hellman算法 23
2.4.3 非对称密码的应用 24
2.4.4 数字签名的实现方法 25
2.4.5 密钥管理 25
2.4.6 公钥基础设施PKI 27
2.5 Hash函数 30
2.5.1 生日问题 30
2.5.2 Hash函数的安全性 31
2.5.3 HMAC 32
2.5.4 Hash函数的应用 32
2.6 认证技术 33
2.6.1 简介 33
2.6.2 基于口令的身份认证 34
2.6.3 基于你所拥有的身份认证 36
2.6.4 基于自身特征的身份认证 37
2.6.5 基于生物统计学的认证的错误率 40
2.6.6 生物识别的发展趋势 41
本章小结 41
思考与练习 42
参考文献 42
第3章 TCP/IP安全体系结构 43
3.1 TCP/IP体系结构 43
3.1.1 网络接口层 44
3.1.2 网际层 44
3.1.3 运输层 46
3.1.4 应用层 50
3.2 网络接口层的安全问题及对策 51
3.2.1 物理层面的安全问题及对策 51
3.2.2 链路层面的安全问题及对策 52
3.3 网际层的安全问题及对策 54
3.3.1 IP协议的安全问题及对策 55
3.3.2 ICMP协议的安全问题及对策 57
3.4 运输层的安全问题及对策 58
3.4.1 TCP连接建立过程的安全问题及对策 58
3.4.2 TCP通信及连接释放过程的安全问题及对策 62
3.4.3 与UDP相关的安全问题及对策 62
3.5 应用层的安全问题及对策 63
3.5.1 Web欺骗 63
3.5.2 DNS欺骗 63
3.5.3 缓冲区溢出攻击 64
3.6 TCP/IP网络的安全途径 65
3.6.1 增强网络接口层安全性 65
3.6.2 增强网际层安全性 65
3.6.3 增强运输层安全性 66
3.6.4 增强应用层安全性 66
3.6.5 增强TCP/IP网络系统级安全性 66
本章小结 67
思考与练习 67
参考文献 67
第4章 IPSec与VPN 69
4.1 VPN概述 69
4.1.1 VPN的概念 70
4.1.2 VPN的功能特点 70
4.2 VPN的分类 71
4.2.1 远程访问VPN 71
4.2.2 网关到网关VPN 73
4.3 VPN的关键技术 74
4.3.1 加密技术 74
4.3.2 密钥管理技术 75
4.3.3 身份认证技术 75
4.3.4 隧道技术 76
4.3.5 两种常用隧道技术（IPSec和SSL）的适用环境 77
4.4 基于IPSec的VPN 78
4.4.1 IPSec的功能 78
4.4.2 IPSec的协议构成 78
4.4.3 IPSec VPN 的组成 83
4.4.4 基于IPSec VPN 的工作过程 84
4.5 基于SSL的VPN 85
4.5.1 SSL的安全功能 85
4.5.2 SSL VPN的构建 86
4.5.3 SSL VPN的特点 87
4.6 VPN的设计 89
4.6.1 VPN的规划 89
4.6.2 VPN产品的选择 90
4.6.3 配置VPN网络 92
4.6.4 部署VPN网络应用 92
4.7 Windows下远程访问VPN的实现 93
4.7.1 配置VPN服务器 93
4.7.2 配置VPN客户端 97
4.7.3 VPN客户端维护 102
本章小结 103
思考与练习 104
参考文献 104
第5章 运输层安全协议与Web安全 105
5.1 运输层安全协议 105
5.1.1 安全套接层SSL 106
5.1.2 SSL的工作过程 106
5.1.3 运输层安全协议TLS 111
5.1.4 安全外壳协议SSH 111
5.1.5 套接字安全性SOCKS协议 113
5.2 Web安全 114
5.2.1 Web及其安全概述 115
5.2.2 Web服务器面临的安全威胁及安全策略 115
5.2.3 Web浏览器面临的安全威胁及安全策略 118
5.2.4 Web浏览器和Web服务器通信的安全威胁及安全策略 122
5.3 运输层安全协议应用举例 123
5.3.1 基于SSL的安全Web站点的构建 124
5.3.2 基于SSL的安全Web浏览器的配置 134
本章小结 135
思考与练习 136
参考文献 136
第6章 应用层安全 137
6.1 电子邮件安全 137
6.1.1 电子邮件系统简介 138
6.1.2 电子邮件的安全问题 140
6.1.3 电子邮件安全协议 142
6.1.4 Web邮件的安全设置 145
6.1.5 Outlook Express的安全设置 148
6.2 电子支付 152
6.2.1 电子支付工具 152
6.2.2 电子支付方式 153
6.2.3 电子支付的特点 153
6.3 基于SSL的安全支付 153
6.3.1 基于SSL的安全支付概况 153
6.3.2 基于SSL的安全支付过程 154
6.4 安全电子交易协议SET 155
6.4.1 SET的安全服务 156
6.4.2 基于SET的电子支付系统的组成 156
6.4.3 基于SET的电子交易流程 157
6.4.4 SET的技术实现 159
6.5 手 机 支 付 161
6.5.1 手机支付分类 161
6.5.2 银联手机支付 162
6.5.3 现场实时手机支付 162
6.5.4 安全手机支付 164
本章小结 166
思考与练习 167
参考文献 167
第7章 防火墙 168
7.1 防火墙概述 168
7.1.1 防火墙的概念 168
7.1.2 防火墙的功能 169
7.1.3 防火墙的分类 170
7.2 防火墙的体系结构 172
7.2.1 屏蔽路由器 172
7.2.2 双宿主主机体系结构 173
7.2.3 屏蔽主机体系结构 174
7.2.4 屏蔽子网体系结构 174
7.3 防火墙的关键技术 175
7.3.1 包过滤技术 176
7.3.2 状态检测技术 178
7.3.3 代理服务 179
7.3.4 内容过滤 180
7.3.5 网络地址转换（NAT） 181
7.4 防火墙的性能指标 182
7.4.1 吞吐量 182
7.4.2 延迟 183
7.4.3 背靠背 183
7.4.4 丢包率 184
7.4.5 最大并发连接数 184
7.4.6 每秒新建连接数 185
7.5 Windows XP SP2自带防火墙应用举例 185
7.5.1 ICF工作机制分析 185
7.5.2 启用Windows XP的因特网连接防火墙ICF 186
7.5.3 例外设置 186
7.5.4 ICF高级设置 187
7.6 企业防火墙应用举例 189
7.6.1 PIX 525防火墙的主要特性 189
7.6.2 PIX 525防火墙常用命令 191
7.6.3 PIX 525防火墙应用举例 196
本章小结 198
思考与练习 198
参考文献 199
第8章 入侵检测技术 200
8.1 入侵检测系统概述 200
8.1.1 入侵检测的概念 200
8.1.2 入侵检测系统的功能 201
8.1.3 入侵检测系统的分类 202
8.2 入侵检测的关键技术及实现方法 203
8.2.1 基于特征的检测技术 204
8.2.2 基于特征的入侵检测系统的实现方法 204
8.2.3 基于异常的检测技术 206
8.2.4 基于异常的入侵检测系统的实现方法 207
8.2.5 两种检测技术的对比 210
8.2.6 基于协议分析的检测技术 211
8.2.7 入侵检测技术小结 212
8.3 入侵检测系统的构成 214
8.3.1 入侵检测系统的基本构成 214
8.3.2 现有入侵检测系统的构成情况 215
8.4 入侵检测系统的部署 215
8.4.1 基于主机的入侵检测系统的部署 216
8.4.2 基于网络的入侵检测系统的部署 216
8.5 Snort应用举例 220
8.5.1 Snort简介 220
8.5.2 Snort安装 222
8.5.3 Snort的使用 230
本章小结 232
思考与练习 232
参考文献 233
第9章 主机系统安全 234
9.1 影响主机系统安全的因素 234
9.1.1 影响主机系统安全的内部因素 235
9.1.2 影响主机系统安全的外部因素 235
9.2 Windows操作系统安全防护 236
9.2.1 Windows操作系统的特点 236
9.2.2 安装补丁程序 236
9.2.3 服务最小化 237
9.2.4 权限最小化 244
9.2.5 安全审核 251
9.3 计算机病毒的防范 258
9.3.1 计算机病毒的特性 258
9.3.2 木马的特性 260
9.3.3 计算机病毒和木马的检测与处理 261
9.3.4 计算机病毒和木马的防范 262
本章小结 262
思考与练习 263
参考文献 263
附录A 各章习题答案 264

主要著译者顺序姓名学历职称学科专长通讯地址1姚宣霞 博士 副教授计算机网络、无线传感器网络、网络及信息安全等。 工作单位北京科技大学计算机与通信工程学院计算机科学与技术系邮政编码 电话 133814277682 刘振武 工作单位 中华女子学院邮政编码 电话 3 武涛 工作单位 中华女子学院 邮政编码 电话 审校者（主审者） 学历 工作单位 邮政编码 电话 职称 工作单位 邮政编码 电话

1、本书被纳入著名计算机教育专家陈明教授所主编的系列教材——“普通高等学校应用型人才培养系列规划教材”中。该套丛书的编者均是精心挑选的优秀教师，所编教材受到了学校老师和学生的广泛欢迎。同样，本书作者也是拥有多年的“网络与信息安全”教学经验，对该课程的教学有着自己独特的见解。2、本书作者在编写本书时，并未沿用以往的网络安全教材的结构模式，而是以最广泛使用的TCP/IP网络分层体系结构为主线，对网络安全理论进行讲述，不仅能覆盖该课程所需要的主要知识点，还帮助读者更加容易的融入到计算机网络安全领域中，一目了然的学到计算机网络安全问题的存在原因、解决办法等。3、本书配有贴近现实的各种实例，有助于读者理解现如今最广泛使用的网络软件的安全问题，使用户理解和掌握如何运用网络安全理论与协议来保障网络的安全。