本書由徐雪鵬主編、岳大安(神州學知教育咨詢有限公司CSO兼CEO)撰寫,是神州數(shù)碼技能教室項目的配套指導教材,也是信息安全實踐基地的指定訓練教材。全書共設4章,分別為網(wǎng)絡安全基本理論、局域網(wǎng)安全、防火墻、虛擬專用網(wǎng)絡安全。以培養(yǎng)學生的職業(yè)能力為核心,以工作實踐為主線,以項目為導向,采用任務驅動、場景教學的方式,面向企業(yè)信息安全工程師人力資源崗位能力模型設置教材內(nèi)容,建立以實際工作過程為框架的職業(yè)教育課程結構。本書可作為職業(yè)技術院校信息安全專業(yè)教材,也可作為信息安全從業(yè)人員的參考用書。本書配有授課用電子課件,可到機械工業(yè)出版社教材服務網(wǎng)www.cmpedu.com免費注冊下載。
當前,信息技術產(chǎn)業(yè)欣欣向榮,處于空前繁榮的階段,但是危害信息安全的事件也在不斷發(fā)生,信息安全的形勢非常嚴峻,黑客入侵、利用計算機實施犯罪、惡意軟件侵擾、隱私泄露等,是我國信息網(wǎng)絡空間面臨的主要威脅和挑戰(zhàn)。我國已經(jīng)成為世界信息產(chǎn)業(yè)大國,但是還不是信息產(chǎn)業(yè)強國,在信息產(chǎn)業(yè)的基礎性產(chǎn)品研制、生產(chǎn)方面還比較薄弱,例如,現(xiàn)在我國計算機操作系統(tǒng)等基礎軟件和CPU等關鍵性集成電路還部分依賴國外的產(chǎn)品,這就使得我國的信息安全基礎不夠牢固。
隨著計算機和網(wǎng)絡在軍事、政治、金融、工業(yè)、商業(yè)等行業(yè)部門的廣泛應用,社會對計算機和網(wǎng)絡的依賴越來越大,如果計算機和網(wǎng)絡系統(tǒng)的安全受到破壞,不僅會帶來巨大的經(jīng)濟損失,還會引起社會的混亂。因此,確保以計算機和網(wǎng)絡為主要基礎設施的信息系統(tǒng)的安全已成為世人關注的社會問題和信息科學技術領域的研究熱點。當前,我國正處在全面建成小康社會的決定性階段,實現(xiàn)我國社會信息化并確保信息安全是我國全面建成小康社會的必要條件之一。而要實現(xiàn)我國社會信息化并確保信息安全的關鍵是人才,這就需要我們培養(yǎng)規(guī)模宏大,素質優(yōu)良的信息化和信息安全人才隊伍。
2014年,習近平主席在中央網(wǎng)絡安全與信息化領導小組會議上指出:沒有網(wǎng)絡安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。網(wǎng)絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題,要從國際國內(nèi)大勢出發(fā),總體布局,統(tǒng)籌各方,創(chuàng)新發(fā)展,努力把我國建成網(wǎng)絡強國。
“十三五”時期,我國要積極推動網(wǎng)絡強國建設。網(wǎng)絡強國涉及技術、應用、文化、安全、立法、監(jiān)管等諸多方面,不僅要突出抓好核心技術突破,還要提供更加安全可靠的軟硬件支撐,加快建設高速、移動、安全、泛在的新一代信息基礎設施,在不斷推進新技術新業(yè)務應用,繁榮發(fā)展互聯(lián)網(wǎng)經(jīng)濟的同時,要強化網(wǎng)絡和信息安全,而培育高素質人才隊伍是實施網(wǎng)絡強國戰(zhàn)略的重要措施。2015年,國務院學位委員會和教育部增設“網(wǎng)絡空間安全”一級學科。
我國信息安全學科建設和人才培養(yǎng),迎來了全面高速發(fā)展的新階段。
本書以培養(yǎng)學生的職業(yè)能力為核心,以工作實踐為主線,以項目為導向,采用任務驅動、場景教學的方式,面向企業(yè)信息安全工程師人力資源崗位設置教材內(nèi)容,建立以實際工作過程為框架的職業(yè)教育課程結構。本書共有4章,分別為網(wǎng)絡安全基本理論、局域網(wǎng)安全、防火墻、虛擬專用網(wǎng)絡安全。
第1章:網(wǎng)絡安全基本理論,主要介紹了網(wǎng)絡安全模型、網(wǎng)絡攻擊的分類、黑客的分類以及黑客入侵思路。
第2章:局域網(wǎng)安全,主要介紹了MAC攻擊及其解決方案、DHCP 攻擊及其解決方案、ARP攻擊及其解決方案、生成樹攻擊及其解決方案、VLAN攻擊及其解決方案、RoutingProtocol攻擊及其解決方案、LAN非授權訪問攻擊及其解決方案。
第3章:防火墻,主要介紹了IP應用非授權訪問攻擊及其解決方案、DoS/DDoS攻擊及其解決方案。
第4章:虛擬專用網(wǎng)絡安全,主要介紹了網(wǎng)絡被動監(jiān)聽攻擊及其解決方案、IPSecVPN、IKE、SSL VPN。
本書由徐雪鵬擔任主編,岳大安和孫雨春任副主編,參加本書編寫的還有趙飛、包楠、張鵬和李曉隆。
由于編者水平有限,書中難免存在不當和疏漏之處,敬請讀者批評指正。
編者
前言
第1章 網(wǎng)絡安全基本理論.1
1.1 網(wǎng)絡安全的重要性 .1
1.2 網(wǎng)絡安全CIA模型 4
1.3 網(wǎng)絡攻擊的分類 .5
1.4 黑客的分類 .6
1.5 黑客入侵思路 .8
第2章 局域網(wǎng)安全.14
2.1 MAC攻擊及其解決方案 15
2.1.1 MAC攻擊介紹 .15
2.1.2 MAC攻擊解決方案1:Port-Security .20
2.1.3 MAC攻擊解決方案2:AM 22
2.2 DHCP攻擊及其解決方案 .23
2.2.1 DHCP攻擊介紹:DHCP Starvation 23
2.2.2 DHCP攻擊介紹:DHCP Spoofing 26
2.2.3 DHCP攻擊解決方案:DHCP Snooping .27
2.3 ARP攻擊及其解決方案29
2.3.1 ARP攻擊介紹:ARP DoS .29
2.3.2 ARP攻擊介紹:The Man in the Middle ARP .30
2.3.3 ARP攻擊解決方案1:AM32
2.3.4 ARP攻擊解決方案2:DAI .33
2.3.5 ARP攻擊解決方案3:Isolated VLAN .34
2.4 生成樹攻擊及其解決方案 36
2.4.1 STP攻擊介紹:STP Spoofing 36
2.4.2 STP攻擊介紹:STP BPDU DoS .39
2.4.3 STP攻擊解決方案1:Root Guard 40
2.4.4 STP攻擊解決方案2:BPDU Guard .42
2.4.5 STP攻擊解決方案3:BPDU Filter.43
2.5 VLAN攻擊及其解決方案 45
2.5.1 VLAN攻擊介紹:Nested VLAN Hopping45
2.5.2 VLAN攻擊解決方案:Native VLAN .48
2.6 Routing Protocol攻擊及解決方案 49
2.6.1 Routing Protocol攻擊介紹:Routing Protocol Spoofing 49
2.6.2 Routing Protocol攻擊解決方案:Routing Protocol Strong Authentication 51
2.7 LAN非授權訪問攻擊及其解決方案 .53
2.7.1 LAN非授權訪問攻擊介紹 .53
2.7.2 LAN非授權訪問攻擊解決方案:IEEE 802.1x 57
第3章 防火墻.69
3.1 IP應用非授權訪問攻擊及其解決方案 69
3.1.1 IP應用非授權訪問攻擊介紹 .69
3.1.2 IP應用非授權訪問攻擊解決方案1:Packet Filter Firewall 72
3.1.3 IP應用非授權訪問攻擊解決方案2:Stateful Packet Filter Firewall 74
3.2 DoS/DDoS攻擊及其解決方案 .77
3.2.1 SYN Flood攻擊介紹 77
3.2.2 SYN Flood攻擊解決方案:SYN Proxy 80
3.2.3 SYN Flood攻擊解決方案:Unicast Reverse Path Forwarding .82
3.2.4 Land攻擊和解決方案 .83
3.2.5 Smurf/Fraggle攻擊和解決方案 .86
第4章 虛擬專用網(wǎng)絡安全88
4.1 網(wǎng)絡被動監(jiān)聽攻擊及其解決方案 88
4.1.1 網(wǎng)絡被動監(jiān)聽攻擊介紹 88
4.1.2 密碼學原理 .89
4.2 IPSec VPN .103
4.2.1 IPSec介紹 103
4.2.2 IPSec Transport Mode 107
4.2.3 IPSec Tunnel Mode:L2L IPSec VPN 108
4.2.4 GRE Over IPSec .114
4.3 IKE .119
4.3.1 IKE介紹 .119
4.3.2 PKI介紹 .129
4.4 SSL VPN 139
4.4.1 SSL 139
4.4.2 SSL VPN的訪問模式 .147
參考文獻.156