本书介绍了计算机网路远程连线的规划设计、运行管理、网路信息安全的保障与监测、网路用户上网行为监管等实际套用中的基础知识。书中按照网际网路参考模型的分层结构，从下层至上层，即按照网路数据包封装的逐层解剖顺序，深入浅出地讨论每一层的主流协定原理与实用技术，以及各层出现的现实安全威胁问题，图文并茂地列举了网路信息安全监管中的大量案例分析。採用开源的网路数据捕获与分析软体作为教学实验工具，每章附有习题与实践课题，让读者在自己的网路计算机上理论联繫实际、由浅入深地边学习边实践，掌握与提高分析解决网路信息安全系统规划、运维监管中的实际问题的能力。

第1章网际网路及其套用概述

1.1网路套用与分层结构

1.1.1协定、服务和分层结构的例子

1.超文本传输协定HTTP、域名服务DNS和简单邮件协定SMTP

2．TCP和UDP在传输层的服务，3.P2P对等网路协定

1.1.2.开放系统互联OSI模型及规範化描述

1.开放系统互连OSI的七层模型，2.关于层、协定和服务的规範化分析

1.2TCP/IP网路模型与协定构架

1.2.1TCP/IP网路协定的结构

1.2.2TCP/IP网路模型与OSI模型之间的关係

1.2.3异类网路之间如何互连通信

1.IP位址和物理地址的作用範围，2.IP包在不同网路之间的传输，

3.网路各层之间如何协同工作

1.3利用Wireshark捕获分析网路数据及其安全

1.4计算机网路知识中的若干基本概念

1.关于计算机的各种不同称谓，2.“区域网路”、“私有网路”和“虚拟私有网路”，

3.区域网路与网际网路作业系统，4.网际网路不同协定层数据单元的称谓和性质不同，

5.各种不同进制数的表示与相互换算，6.概念容易混淆的表示方式

1.5本章小结

习题与实践

第2章广域网接入与身份认证技术

2.1电信系统的网际网路接入服务

2.1.1电路交换的概念

2.1.2电话系统的信令和数据传输系统

2.1.3电信系统提供的网际网路接入服务

2.1.4拨号数据机Modem

1．电话用户线路双绞线的特性，2．正交幅度调製QAM技术，

3．数据机的技术标準

2.1.5数字用户线路xDSL

1．ADSL；2．HDSL；3．SDSL；4．VDSL

2.1.6点对点的数字通信协定PPP

2.2身份认证协定PAP和CHAP

2.3AAA与RADIUS协定原理与套用

2.3.1对用户的AAA认证、授权与计费管理

2.3.2RADIUS协定原理与套用

2.4基于SDH的多业务传输平台MSTP在以太广域网中的套用

2.4.1SDH同步数据通信网简介

1．SDH同步数据通信网的特点，2．SDH同步数据通信网的不足

2.4.2基于SDH的多业务传输平台MSTP的接口技术

1．用SDH直接传输计算机网路数据需解决的问题

2．用SDH实现宽频IP城域网的技术

3．基于SDH的多业务传输平台MSTP提供的网路接口

2.4.3千兆城域乙太网在多业务传输平台MSTP上的实现

2.5本章要点

习题与实践

第3章乙太网家族及其安全套用

3.1乙太网与IEEE802.3

3.1.1IEEE802区域网路标準

3.1.2IEEE802.3与标準乙太网

1．乙太网的帧结构，2．乙太网帧的长度选择，3.乙太网的MAC物理地址，

4.从乙太网捕获的以太帧案例分析。

3.1.3乙太网的物理层

1.双绞线，2.多模和单模光纤

3.1.4IEEE802.3u快速乙太网

3.1.5IEEE802.3z千兆乙太网

3.1.6IEEE802.3ae十千兆乙太网

3.2动态主机配置协定DHCP及其安全

3.2.1DHCP协定的工作过程

3.2.2DHCP协定的安全问题

3.3地址解析协定ARP及其安全问题

3.3.1静态ARP地址映射

3.3.2动态ARP地址映射

1.ARP数据包在以太帧中的封装位置，2.ARP查询包与应答包的结构。

3.3.3ARP诱骗的原理与防御

1.诱骗篡改网关内的ARP表，2.诱骗篡改网内主机的ARP表，

3.操控ARP产生广播风暴阻塞网路，4.ARP欺骗的防御方法。

3.4基于无源光纤网路的千兆乙太网EPON

3.4.1EPON的网路结构

1．OLT光线路终端，2．PON无源光纤分配网路，3．ONU光网路单元

3.4.2EPON的工作原理

1.OLT向ONU广播传输的EPON下行帧的结构

2.EPON上行帧由各ONU在指定时隙传送的以太帧组成，3.EPON的关键技术

3.4.3EPON在城域网的三网融合中的套用

3.4.4EPON的信息安全问题

3.5IEEE802.11无线区域网路

3.5.1IEEE802.11无线区域网路的结构

1．基本服务集BSS，2．扩展服务集ESS，3．无线工作站的类型

3.5.2IEEE802.11无线区域网路的MAC子层

1．分散式协调功能DCF，2．点协调功能PCF，3．数据分段，4．IEEE802.11帧结构

5．无线区域网路中通信双方不同位置时的地址栏位，6．无线区域网路中的隐蔽站和暴露站问题

3.5.3IEEE802.11无线区域网路的物理层

1．IEEE802.11FHSS跳频扩展频谱通信系统，

2．IEEE802.11DSSS直接序列扩展频谱通信系统，3．IEEE802.11红外光通信，

4．IEEE802.11aOFDM正交频分多路复用系统，

5．IEEE802.11bDSSS高速率直接序列扩频，6．IEEE802.11g

3.5.4IEEE802.11无线区域网路的安全性

1.IEEE802.11物理层的安全，2.IEEE802.11b链路层的安全

3.IEEE802.11b网路层的安全

3.6本章小结

习题与实践

第4章IPv4和IPv6协定及其安全

4.1网际网路IPv4地址

4.1.1IPv4地址及其分类

1.IPv4地址空间，2.IPv4地址的表示方式，3.IPv4地址的分类定址，

4.IPv4分类地址和地址块，5.IPv4网路的ID标识和主机ID标识，6.子网掩码mask，

7.子网划分Subnetting，8.超网划分Supernetting，9.IPv4地址短缺的解决方案，

10.几个特殊的IPv4地址

4.1.2无类IP位址分配

1.无类IP位址的地址块，2.无类地址块的分配条件，3.无类IP位址的子网掩码，

4.IP位址的分层次结构，5.IP位址的分配与获取

4.1.3网路地址转换NAT

1.NAT路由器将外出包的源地址替换为自己的外网地址，

2.NAT路由器将返回包的目的地址替换为内部主机地址，

3.NAT网路地址转换与ISP网际网路服务提供商，

4.1.4IPv6地址

1.IPv6的地址结构，2.IPv6的地址空间

4.2网际网路层协定

4.2.1网路互联需解决的问题

4.2.2IPv4网际网路协定

1.IPv4数据包格式，2.IPv4包的分段传输，3.IPv4包在网路传输中的安全性

4.2.3IPv6网际网路协定

1.IPv6协定的优点，2.IPv6包的结构，3.IPv6数据包的扩展头部，

4.网路捕获的IPv6数据包样本

4.2.4从IPv4网路到IPv6网路的过渡技术方案

1.双协定堆叠模式，2．隧道模式，3.IP头部转换模式

4.3本章要点

习题与实践

第5章传输层协定及其攻击案例

5.1进程对进程的传输

1.客户/伺服器模式，2．定址方式，3．连线埠地址的分类，4．套接地址，

5．多路复用与多路分离，6．无连线与面向连线的传输服务，

7．可靠的与不可靠的传输服务

5.2用户数据报协定UDP

5.2.1UDP协定使用的公认连线埠号

5.2.2UDP的数据报结构

5.2.3UDP数据报的传输

5.2.4UDP协定的套用领域

5.3传输控制协定TCP

5.3.1TCP提供的服务

1.进程对进程的通信，2.位元组流的传输服务，3.传送端与接收端的快取器，

4.数据流分段传输，5.全双工通信，6.可靠的和面向连线的服务

5.3.2TCP的特性

1.对位元组进行编号，2.位元组的号码，3.数据段的序列号，4.确认号ACK，

5.流量控制，6.差错控制，7.拥塞控制

5.3.3TCP数据段Segment

5.3.4建立TCP连线的过程

1.通过三次握手建立TCP连线，2.同时开放连线埠，

3．正常的TCP连线请求[SYN]的案例，4.利用SYN进行泛洪攻击，

5.利用TCP协定对目标主机进行连线埠扫描

5.3.5TCP数据段的传输过程

1.“推”数据栏位PSH，2.紧急数据的处理

5.3.6终止TCP的连线

1.通过三次握手终止连线，2.半关闭状态

5.3.7TCP的流量控制

5.3.8TCP的差错控制

1.用校验和（Checksum）检错，2.接收端返回确认（Acknowledgment），

3.出现差错则重传，4.乱序的数据段的处理，5.正常的TCP数据段传输举例，

6.传输的TCP数据段丢失重传举例，7．快速重传

5.4数据流控制传输协定SCTP简介

1.进程对进程的通信，2.多数据流传输服务，3.多宿主数据传输，

4.面向连线的全双工的通信服务，5.可靠安全的服务，

6.对Cookie的安全防範功能

5.5传输层的网路攻击案例

5.5.1利用TCP对目标主机的开放连线埠扫描

5.5.2利用TCP对目标主机的半开放连线埠扫描

5.5.3利用TCP对目标主机的Xmas扫描

5.5.4无效包扫描NullScan

5.6本章小结

习题与实践

第6章套用层协定及其安全

6.1全球资讯网的基本构架

1．浏览器的结构，2．Web伺服器，3．统一资源定位符URL，4．Web文档的类型

6.2域名系统DNS及其安全

6.2.1域名系统DNS概述

1．域名空间，2．域，3．中国网际网路域名体系及中文域名注册，

4．动态域名系统DDNS

6.2.2DNS报文格式

1．DNS报文头部格式，2．DNS报文的其余部分，

3．查询报文中的询问记录和回响报文中的资源记录

6.2.3DNS域名/IP位址解析的工作流程

1．DNS的递归解析，2．DNS的叠代解析

6.2.4DNS报文的封装实例

1.DNS客户的查询报文实例，2.DNS伺服器的回响报文实例

6.2.5域名系统DNS的安全隐患

1．对DNS系统的域名劫持攻击，

2．对DNS伺服器的数据流放大攻击

6.3超文本传输协定HTTP

1．HTTP协定版本1.0和版本1.1的区别，2．HTTP客户的请求报文格式，

3.HTTP伺服器的回响报文格式，4．HTTPProxy代理伺服器和高速快取器，

5．利用HTTP协定的漏洞对Web伺服器的远程攻击

6.4Cookie及其安全套用

1．Cookies的结构，2．Cookies的产生和存储，

3．Cookie的套用，4．Cookies的安全问题及其防护

6.5档案传输协定FTP及其安全

6.5.1FTP工作过程举例

1．跳转攻击，2．基于IP位址的访问控制，3．保护用户口令，

4．私密性，5．保护用户名

6.6电子邮件及其信息安全

6.6.1电子邮件的传输过程

6.6.2邮件传输代理和邮件访问代理

1．简单邮件传输协定SMTP，2．邮件访问代理POP3协定，

3．网际网路邮件访问协定IMAP4，4．基于HTTP和HTTPS协定的电子邮件

6.6.3多功能网际网路邮件扩展MIME与安全邮件S/MIME

1．多功能网际网路电子邮件扩展MIME，2．安全/多功能网际网路电子邮件扩展S/MIME

6.6.4垃圾电子邮件及其防範

1．常见的反垃圾邮件技术，2．贝叶斯垃圾邮件过滤技术，

3．发件人SenderID技术，4．行为识别技术，5．邮件伺服器之间的互免技术

6.7本章要点

习题与实践

第7章网路故障诊断与信息安全分析工具

7.1网路测试常用指令

7.1.1PING线上连通性测试命令

1．Ping的命令格式，2．Ping命令的几种返回结果

7.1.2TRACEROUTE路由跟蹤探测命令

7.1.3NETSTAT本机网路状态检测命令

7.1.4ARP地址解析协定命令

7.1.5IPconfig本机网路配置状态命令

7.1.6net命令

7.2网路数据捕获与信息安全诊断

7.2.1网路数据捕获工具的分类

7.2.2网路数据流的监测点选择

1．交换机对网路数据流的隔离条件，2．亲临现场与利用代理进行数据捕获，

3．交换机连线埠的数据共享，4．交换机连线埠的数据映射

7.2.3捕获网路数据流的方法

7.2.4网路协定分析软体Wireshark

1.Wireshark的主界面

2.Wireshark的功能选单及其使用

（1）File档案选单，（2）Edit编辑选单，（3）View视图选单，（4）Go跳转选单，

（5）Capture包捕获选单，（6）Analyze分析选单，（7）Statistics统计选单，

（8）帮助选单Help

3.Wireshark网路数据捕获分析案例

7.3本章小结

习题与实践

第9章防火墙、入侵保护与安全访问控制

9.1防火墙的设计目标

9.1.1防火墙的控制功能

9.1.2防火墙功能的局限性

9.1.3防火墙的日誌记录

9.2防火墙的类型与参数配置

9.2.1网路层的包过滤防火墙

1.包过滤防火墙的参数配置举例，2.网路层包过滤防火墙的弱点，

3.对包过滤防火墙的攻击和对抗方法

9.2.2网路层的全状态检测防火墙

9.2.3套用层防火墙

9.2.4堡垒主机

9.2.5代理伺服器

1.转髮式代理伺服器，2.开放式代理伺服器，3.反向式代理伺服器

9.3网路防火墙的配置案例

9.3.1防火墙与NAT功能的组合配置

9.3.2防火墙的路由模式配置案例

1.IPS系统可分为4类，2.IPS的检测方法和主要功能

9.4.3分散式NIPS入侵保护系统配置案例

9.5主机安全访问控制系统

9.5.1安全访问控制的基本概念

1．安全访问控制的模型，2．访问控制矩阵按列分解实施，3．访问控制矩阵按行分解实施

9.5.2可信任系统的概念

9.5.4WidowsXP作业系统的安全访问控制

1．WindowsXP中用户和用户组的许可权管理

2．WindowsXP中档案的安全访问控制策略

9.6本章小结

习题与实践

第10章信息加密与验证的基本技术

1．加密通信中常用的名词和表达式，

2．加密通信系统分为两类

10.1对称密钥通信系统

10.1.1传统的对字元加密的方法

1．替换加密法，2．换位加密法

10.1.2数据加密的基本技术

1．XOR异或加密法，2．循环移位加密法，3．替换加密法：S-盒

4．换位加密法：P-盒

10.1.3数据加密标準DES和AES

1．数据加密标準DES，2．三重DES数据加密系统

3．先进加密标準AES，4．其它几种对称密钥加密系统

10.2非对称密钥通信系统

10.2.1RSA加密算法

1．如何选择非对称密钥，2．传送方加密的过程，3．接收方解密的过程，

4．RSA加密系统的限制条件，5．数据加密技术DES与RSA的比较

10.2.2Differ-Hellman对称密钥交换算法

1．通信双方产生对称密钥的过程，2．DHE对称密钥交换协定的基本原理，

3．DHE协定对抗中间人攻击的措施

10.3信息安全技术提供的服务

10.3.1网路信息的保密通信

1．利用对称密钥的保密通信，2．利用非对称密钥的保密通信

10.3.2报文的完整性验证

1．纸质档案与指纹印记，2．电子报文与报文摘要，3．Hash算法须满足的条件，

4．安全哈希算法SHA-1和报文摘要MD5，5．报文签发者的身份认证

10.3.3对报文的数字签名

10.3.4网路实体的身份认证

1．口令身份认证，2．挑战－应答式身份认证，

3．使用加密的Hash值进行身份认证，4．使用非对称密钥加密挑战值的身份认证

10.3.5对称密钥系统的密钥分配

1.对称密钥分配中心KDC，2.会话密钥与票据的概念，

3.Kerberos认证服务系统与对称密钥管理

10.3.6非对称密钥系统的公钥发布方式

1.用户发布自己的公钥，2.可信任的公钥发布中心，3.签名的公钥发布中心，

4.权威证书颁发机构CA，5.公钥基础设施PKI，6．X.509公钥证书

10.3.7CA数字证书套用实例

1．IE浏览器中存储的CA证书，2.Windows作业系统档案的签名验证，

3.根证书颁发机构的CA证书与CRL列表发布

4．数字证书在网路电子银行中的套用

5.设定WindowsIE浏览器中的安全选项

10.4本章要点

习题与实践

第11章网际网路安全协定与电子商务套用

1.网路攻击分为被动攻击和主动攻击两类

2.常用的Web安全协定简介

11.1网路层安全协定IPSec与VPN

11.1.1IPSec的传输模式

11.1.2IPSec的隧道模式

11.1.3IPSec的两个安全协定AH和ESP

1．IPSec的认证头部协定AH，2．IPSec的封装安全载荷协定ESP，

3．IPSec协定支持IPv4和IPv6，4.IPSec的安全关联组的概念

11.1.4实现虚拟私有网路VPN的各类技术

1.虚拟私有网路VPN的IP位址，2.私有网路远程互连的方案，

3.在OSI网路模型各层实现VPN的技术

11.2传输层安全协定SSL/TLS

11.2.1SSL/TLS中4个子协定的功能

1．SSL/TLS的关键技术，2．SSL/TLS加密通信分为会话与连线两种状态，

3．SSL/TLS的4个子协定

11.2.2传输层安全协定TLS与SSL和HTTPS的关係

1.SSL/TLS协定的各种版本，2.TLS技术的套用与发展，

3.TLS协定软体包的套用平台，4.套用层的HTTPS与TLS的关係

11.2.3基于单方认证的TLS安全电子邮件案例分析

11.3PGP安全协定及其套用

11.3.1PGP安全电子邮件

1．PGP安全电子邮件套用举例，2．PGP安全电子邮件传送方的处理过程，

3．PGP安全电子邮件的接收方处理过程

11.3.2PGP採用的加密与验证算法

1．PGP用户群的密钥环，2．PGP用户的数字证书

11.4安全电子交易SET系统

11.4.1安全电子交易SET系统概况

1.电子商务对安全电子交易SET的要求，2．安全电子交易SET的主要特性

11.4.2安全电子交易SET系统的组成部分

11.4.3安全电子交易SET系统的工作流程

11.4.4对订货单与支付信息进行双重签名

11.4.5安全电子交易SET的业务类型

11.4.6安全电子交易SET的购货请求

1．购货请求报文中包含的信息，2．贸易商收到消费者的购货请求报文后执行的操作

11.4.7安全电子交易SET货款的授权与支付

1．交易货款的支付授权，2．交易货款的拨付

11.4.8网际网路电子商务中使用SSL/TLS与SET的比较

11.4.9Visa公司的“3D安全交易”（3-DSecure）协定简介

11.5本章要点

习题与实践

第12章P2P对等网路套用与上网行为管理

12.1P2P对等网路套用系统的结构

12.1.1非结构化的P2P网路

1.非结构化的中心式P2P系统，2.非结构化的纯P2P系统，

3.非结构化的混合式P2P系统，4.类P2P套用系统

12.1.2结构化的P2P网路系统

1.DHT分散式散列表的基本概念，2.DHT分散式散列表的结构，

3.DHT分散式散列表的主要特性，4.各种P2P网路结构的性能对比

12.2P2P对等网路套用系统

12.2.1P2P套用系统的优缺点

12.2.2常见的P2P套用系统

12.2.3某校园网数据流分类统计案例

12.3网路用户的上网行为管理

12.3.1上网行为管理设备及其功能

12.3.2P2P上网行为的监测与控制

12.4P2P网路数据流的识别方法

12.4.1P2P网路数据流识别方法的分类

1．基于传输层连线埠的P2P流量识别，2．基于特徵码的P2P流量识别，

3．基于流量特徵的P2P流识别方法

12.4.2基于特徵码的P2P网路数据识别技术

1.包过滤系统的工作原理，2.包过滤系统的关键技术

12.5P2P套用系统及其特徵码分析案例

12.5.1案例分析BitTorrent原理及其特徵码

1.BitTorrent的工作原理，2.BitTorrent特徵码的分析

12.5.2PPlive原理及其特徵码分析

1.PPlive的工作原理，2.PPlive特徵码的分析

12.5.3P2P套用的特徵码提取方法总结

习题与实践

参考文献

附录A传输层常用的连线埠号

附录B校验和Checksum的计算

附录C各种进制的网路数值换算与IPv4地址

附录DCRC循环冗余校验码的计算

附录E素数与模运算的基本概念

附录FASCII编码表