本書由徐雪鵬主編、岳大安(神州學(xué)知教育咨詢有限公司CSO兼CEO)撰寫,是神州數(shù)碼技能教室項目的配套指導(dǎo)教材,也是信息安全實踐基地的指定訓(xùn)練教材。全書共設(shè)4章,分別為網(wǎng)絡(luò)安全基本理論、局域網(wǎng)安全、防火墻、虛擬專用網(wǎng)絡(luò)安全。以培養(yǎng)學(xué)生的職業(yè)能力為核心,以工作實踐為主線,以項目為導(dǎo)向,采用任務(wù)驅(qū)動、場景教學(xué)的方式,面向企業(yè)信息安全工程師人力資源崗位能力模型設(shè)置教材內(nèi)容,建立以實際工作過程為框架的職業(yè)教育課程結(jié)構(gòu)。本書可作為職業(yè)技術(shù)院校信息安全專業(yè)教材,也可作為信息安全從業(yè)人員的參考用書。本書配有授課用電子課件,可到機械工業(yè)出版社教材服務(wù)網(wǎng)www.cmpedu.com免費注冊下載。
當(dāng)前,信息技術(shù)產(chǎn)業(yè)欣欣向榮,處于空前繁榮的階段,但是危害信息安全的事件也在不斷發(fā)生,信息安全的形勢非常嚴(yán)峻,黑客入侵、利用計算機實施犯罪、惡意軟件侵?jǐn)_、隱私泄露等,是我國信息網(wǎng)絡(luò)空間面臨的主要威脅和挑戰(zhàn)。我國已經(jīng)成為世界信息產(chǎn)業(yè)大國,但是還不是信息產(chǎn)業(yè)強國,在信息產(chǎn)業(yè)的基礎(chǔ)性產(chǎn)品研制、生產(chǎn)方面還比較薄弱,例如,現(xiàn)在我國計算機操作系統(tǒng)等基礎(chǔ)軟件和CPU等關(guān)鍵性集成電路還部分依賴國外的產(chǎn)品,這就使得我國的信息安全基礎(chǔ)不夠牢固。
隨著計算機和網(wǎng)絡(luò)在軍事、政治、金融、工業(yè)、商業(yè)等行業(yè)部門的廣泛應(yīng)用,社會對計算機和網(wǎng)絡(luò)的依賴越來越大,如果計算機和網(wǎng)絡(luò)系統(tǒng)的安全受到破壞,不僅會帶來巨大的經(jīng)濟損失,還會引起社會的混亂。因此,確保以計算機和網(wǎng)絡(luò)為主要基礎(chǔ)設(shè)施的信息系統(tǒng)的安全已成為世人關(guān)注的社會問題和信息科學(xué)技術(shù)領(lǐng)域的研究熱點。當(dāng)前,我國正處在全面建成小康社會的決定性階段,實現(xiàn)我國社會信息化并確保信息安全是我國全面建成小康社會的必要條件之一。而要實現(xiàn)我國社會信息化并確保信息安全的關(guān)鍵是人才,這就需要我們培養(yǎng)規(guī)模宏大,素質(zhì)優(yōu)良的信息化和信息安全人才隊伍。
2014年,習(xí)近平主席在中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組會議上指出:沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題,要從國際國內(nèi)大勢出發(fā),總體布局,統(tǒng)籌各方,創(chuàng)新發(fā)展,努力把我國建成網(wǎng)絡(luò)強國。
“十三五”時期,我國要積極推動網(wǎng)絡(luò)強國建設(shè)。網(wǎng)絡(luò)強國涉及技術(shù)、應(yīng)用、文化、安全、立法、監(jiān)管等諸多方面,不僅要突出抓好核心技術(shù)突破,還要提供更加安全可靠的軟硬件支撐,加快建設(shè)高速、移動、安全、泛在的新一代信息基礎(chǔ)設(shè)施,在不斷推進新技術(shù)新業(yè)務(wù)應(yīng)用,繁榮發(fā)展互聯(lián)網(wǎng)經(jīng)濟的同時,要強化網(wǎng)絡(luò)和信息安全,而培育高素質(zhì)人才隊伍是實施網(wǎng)絡(luò)強國戰(zhàn)略的重要措施。2015年,國務(wù)院學(xué)位委員會和教育部增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科。
我國信息安全學(xué)科建設(shè)和人才培養(yǎng),迎來了全面高速發(fā)展的新階段。
本書以培養(yǎng)學(xué)生的職業(yè)能力為核心,以工作實踐為主線,以項目為導(dǎo)向,采用任務(wù)驅(qū)動、場景教學(xué)的方式,面向企業(yè)信息安全工程師人力資源崗位設(shè)置教材內(nèi)容,建立以實際工作過程為框架的職業(yè)教育課程結(jié)構(gòu)。本書共有4章,分別為網(wǎng)絡(luò)安全基本理論、局域網(wǎng)安全、防火墻、虛擬專用網(wǎng)絡(luò)安全。
第1章:網(wǎng)絡(luò)安全基本理論,主要介紹了網(wǎng)絡(luò)安全模型、網(wǎng)絡(luò)攻擊的分類、黑客的分類以及黑客入侵思路。
第2章:局域網(wǎng)安全,主要介紹了MAC攻擊及其解決方案、DHCP 攻擊及其解決方案、ARP攻擊及其解決方案、生成樹攻擊及其解決方案、VLAN攻擊及其解決方案、RoutingProtocol攻擊及其解決方案、LAN非授權(quán)訪問攻擊及其解決方案。
第3章:防火墻,主要介紹了IP應(yīng)用非授權(quán)訪問攻擊及其解決方案、DoS/DDoS攻擊及其解決方案。
第4章:虛擬專用網(wǎng)絡(luò)安全,主要介紹了網(wǎng)絡(luò)被動監(jiān)聽攻擊及其解決方案、IPSecVPN、IKE、SSL VPN。
本書由徐雪鵬擔(dān)任主編,岳大安和孫雨春任副主編,參加本書編寫的還有趙飛、包楠、張鵬和李曉隆。
由于編者水平有限,書中難免存在不當(dāng)和疏漏之處,敬請讀者批評指正。
編者
前言
第1章 網(wǎng)絡(luò)安全基本理論.1
1.1 網(wǎng)絡(luò)安全的重要性 .1
1.2 網(wǎng)絡(luò)安全CIA模型 4
1.3 網(wǎng)絡(luò)攻擊的分類 .5
1.4 黑客的分類 .6
1.5 黑客入侵思路 .8
第2章 局域網(wǎng)安全.14
2.1 MAC攻擊及其解決方案 15
2.1.1 MAC攻擊介紹 .15
2.1.2 MAC攻擊解決方案1:Port-Security .20
2.1.3 MAC攻擊解決方案2:AM 22
2.2 DHCP攻擊及其解決方案 .23
2.2.1 DHCP攻擊介紹:DHCP Starvation 23
2.2.2 DHCP攻擊介紹:DHCP Spoofing 26
2.2.3 DHCP攻擊解決方案:DHCP Snooping .27
2.3 ARP攻擊及其解決方案29
2.3.1 ARP攻擊介紹:ARP DoS .29
2.3.2 ARP攻擊介紹:The Man in the Middle ARP .30
2.3.3 ARP攻擊解決方案1:AM32
2.3.4 ARP攻擊解決方案2:DAI .33
2.3.5 ARP攻擊解決方案3:Isolated VLAN .34
2.4 生成樹攻擊及其解決方案 36
2.4.1 STP攻擊介紹:STP Spoofing 36
2.4.2 STP攻擊介紹:STP BPDU DoS .39
2.4.3 STP攻擊解決方案1:Root Guard 40
2.4.4 STP攻擊解決方案2:BPDU Guard .42
2.4.5 STP攻擊解決方案3:BPDU Filter.43
2.5 VLAN攻擊及其解決方案 45
2.5.1 VLAN攻擊介紹:Nested VLAN Hopping45
2.5.2 VLAN攻擊解決方案:Native VLAN .48
2.6 Routing Protocol攻擊及解決方案 49
2.6.1 Routing Protocol攻擊介紹:Routing Protocol Spoofing 49
2.6.2 Routing Protocol攻擊解決方案:Routing Protocol Strong Authentication 51
2.7 LAN非授權(quán)訪問攻擊及其解決方案 .53
2.7.1 LAN非授權(quán)訪問攻擊介紹 .53
2.7.2 LAN非授權(quán)訪問攻擊解決方案:IEEE 802.1x 57
第3章 防火墻.69
3.1 IP應(yīng)用非授權(quán)訪問攻擊及其解決方案 69
3.1.1 IP應(yīng)用非授權(quán)訪問攻擊介紹 .69
3.1.2 IP應(yīng)用非授權(quán)訪問攻擊解決方案1:Packet Filter Firewall 72
3.1.3 IP應(yīng)用非授權(quán)訪問攻擊解決方案2:Stateful Packet Filter Firewall 74
3.2 DoS/DDoS攻擊及其解決方案 .77
3.2.1 SYN Flood攻擊介紹 77
3.2.2 SYN Flood攻擊解決方案:SYN Proxy 80
3.2.3 SYN Flood攻擊解決方案:Unicast Reverse Path Forwarding .82
3.2.4 Land攻擊和解決方案 .83
3.2.5 Smurf/Fraggle攻擊和解決方案 .86
第4章 虛擬專用網(wǎng)絡(luò)安全88
4.1 網(wǎng)絡(luò)被動監(jiān)聽攻擊及其解決方案 88
4.1.1 網(wǎng)絡(luò)被動監(jiān)聽攻擊介紹 88
4.1.2 密碼學(xué)原理 .89
4.2 IPSec VPN .103
4.2.1 IPSec介紹 103
4.2.2 IPSec Transport Mode 107
4.2.3 IPSec Tunnel Mode:L2L IPSec VPN 108
4.2.4 GRE Over IPSec .114
4.3 IKE .119
4.3.1 IKE介紹 .119
4.3.2 PKI介紹 .129
4.4 SSL VPN 139
4.4.1 SSL 139
4.4.2 SSL VPN的訪問模式 .147
參考文獻.156