1、 职业教育教学用书 计算机网络安全技术 主 编 汪双顶 杨剑涛 余 波 副主编 龚正江 康世瑜 郑 娟 本书全面地介绍计算机网络安全领域的安全实施和安全防范技术。全书共分为 11 个项目,项目一介绍计算机网络安全的基本概念、内容和方法,随后的十个项目分别从网络安全技术在日常生活中实施的过程角度,针对日常使用网络过程的不同层面,对计算机网络安全的相关理论与方法进行了详细介绍;主要内容包括:排除常见网络故障,使用 360 软件保护客户端安全,保护 Windows 主机安全访问,保护 Windows 文件系统安全,保护网络设备控制台安全,保护交换机端口安全,实施虚拟局域网安全,实施网络广播风暴控制安
2、全,实施访问控制列表安全,实施防火墙安全。本书适用于职业类学校的学生、教师,可在实验室实施网络安全和防范技术;强化职业学校的学生锻炼安全技能,增强安全防范技术。未经许可,不得以任何方式复制或抄袭本书之部分或全部内容。版权所有,侵权必究。图书在版编目(CIP)数据 计算机网络安全技术/汪双顶,杨剑涛,余波主编.北京:电子工业出版社,2014.9 职业教育教学用书 ISBN 978-7-121-20867-6.计.汪 杨 余.计算机网络安全技术高等学校教材.TP393.08 中国版本图书馆 CIP 数据核字(2013)第 145184 号 策划编辑:施玉新 责任编辑:郝黎明 印 刷:装 订:出版发
3、行:电子工业出版社 北京市海淀区万寿路 173 信箱 邮编 100036 开 本:7871092 1/16 印张:9 字数:230.4 千字 版 次:2014 年 9 月第 1 版 印 次:2014 年 9 月第 1 次印刷 定 价:20.00 元 凡所购买电子工业出版社图书有缺损问题,请向购买书店调换。若书店售缺,请与本社发行部联系,联系及邮购电话:(010)88254888。质量投诉请发邮件至 ,盗版侵权举报请发邮件至 。服务热线:(010)88258888。前 言 随着网络新技术的不断发展,社会经济建设与发展越来越依赖于计算机网络,与此同时,网络安全对国民经济的威胁、甚至对地区和国家的威
4、胁也日益严重。计算机网络给人们带来便利的同时,也带来了保证信息安全的巨大挑战。如何使人们在日常生活和工作过程中,信息不受病毒的感染,保持数据的完整、安全;计算机不被黑客侵入,保障网络的安全;如何保证计算机网络不间断地工作,并提供正常的服务这些都是各个组织信息化建设必须考虑的重要问题。因此,加快培养网络安全方面的应用型人才,广泛普及网络安全知识和掌握网络安全技术突显重要和迫在眉睫。1.关于本教材开发思想 本书是在广泛调研和充分论证的基础上,结合当前应用最为广泛的操作平台和网络安全规范,并通过研究实践而形成的适合职业教育改革和发展特点的教程。与国内已出版的同类书籍相比,本书更注重以能力为中心,以培
5、养应用型和技能型人才为根本。通过认识、实践、总结和提高这样一个认知过程,精心组织学习内容,图文并茂,深入浅出,全面适应社会发展需要,符合职业教育教学改革规律及发展趋势,具有独创性、层次性、先进性和实用性。2.关于本教材内容 全书以生活中各种网络安全需求和实际网络安全事件为主线,以生活和工作中遇到的网络安全问题的解决能力为目标,加强网络安全技术,强化网络安全工作技能锻炼,满足职业学校学生网络安全实践技能的教学需要。区别于传统的网络安全技术的教材,本课程针对职业学校的学生学习习惯和学习要求,本着“理论知识以够用为度,重在实践应用”的原则,以“理论+工具+分析+实施”为主要形式编写,依托终端设备安全
6、、用户账户安全、攻击和防御等网络安全的技术,分别从网络安全技术在日常生活中实施的角度,针对日常使用网络过程不同层面,对计算机网络安全的相关理论与方法进行了详细介绍。主要内容包括:使用 360 软件保护客户端安全、保护 Windows 主机安全访问,保护Windows 文件系统安全,保护网络设备控制台安全,保护交换机端口安全,实施虚拟局域网安全,实施网络广播风暴控制安全,实施访问控制列表安全,实施防火墙安全以及网络故障排除技术。全书旨在加深学生对未来工作中遇到网络安全事件和面对网络安全故障时,增强经验的积累,培养学生对网络安全的兴趣,帮助学生在学校期间就建立全面的网络安全观,培养使用网络的安全习
7、惯,加深对所涉及的网络安全技术、理论的理解,提高学生网络安全事件处理的动手能力、分析网络安全问题和解决网络安全问题的能力。3.关于课程资源、课程环境 本书作为计算机网络及其相关专业的核心课程,纳入课程的教学体系中。全书在使用的过程中,根据各所学校教学计划安排要求,以 96 学时左右(6 节16 周)作为建议教学比重和学时。所有网络安全实训操作,都以日常生活中网络安全应用需求为主线,串接网络安全技术和网络安全知识;以解决网络安全过程作为核心,帮助学生加强对抽象计算机网络安全理论的理解。为顺利实施本教程,每个课程学习者除需要对网络技术有学习的热情之外,还需要具备基本的计算机、网络基础知识。这些基础
8、知识为学习者提供一个良好的脚手架,帮助理解本书中网络安全技术的原理,为网络安全技术的进阶提供良好帮助。为有效保证本课程有效实施,课程教学资源长期提供,研发队伍为本课程专门建设一个百度云空间,集中存放本书涉及课件、网络安全工具、小程序等资源,访问百度云地址为:http:/ 本书第一作者汪双顶先生,为北京师范大学信息科学学院硕士。汪双顶先生先后有在院校、网络公司,以及产品生产厂商等不同环境的工作经历,这为本书把网络安全项目和课堂中网络安全知识,以及工作中岗位技能有机融合在一起,提供了良好的根基,有效地保证了本书所倡导的“基于工作过程”的计算机网络专业课程教学思想的实施。此外,在本书的编写过程中,还
9、得到一线专业教师杨剑涛、余波、龚正江、康世瑜、郑娟、冯理明、黄剑文、王志平、沈海亮、姚正刚、熊玉金等,以及来自企业的技术工程师、产品经理等的大力支持。他们积累了多年来自教学和工程一线的工作经验,都为本书的真实性、专业性以及方便在学校教学、实施给予了有力的支持。本书规划、编辑过程历经近两年多的时间,前后经过多轮的修订,其改革力度较大,远远超过前期策划者原先的估计,加之课程组文字水平有限,错漏之处敬请广大读者指正。编 者 目 录 项目一 计算机网络安全概述.1 1.1 网络安全的概念.2 1.2 网络安全现状.3 1.3 网络安全威胁.4 1.4 网络安全隐患的范围.6 1.5 网络安全隐患的原因
10、.6 1.6 网络安全需求.7 1.7 常见解决安全隐患的方案.8 1.8 常见网络包分析工具软件介绍.8 1.9 安全项目实施方案.10 项目二 排除常见网络故障.14 2.1 ping 基础知识.15 2.2 ipconfig 基础知识.17 2.3 arp 基础知识.18 2.4 tracert 基础知识.19 2.5 route print 基础知识.20 2.6 netstat 基础知识.22 2.7 nslookup 基础知识.23 项目三 使用 360 保护客户端安全.25 3.1 杀毒软件基础知识.26 3.2 杀毒软件常识介绍.26 3.3 杀毒软件类型介绍.26 3.4 云
11、安全基础知识.29 3.5 安全项目实施方案.29 项目四 保护 Windows 主机安全访问.32 4.1 用户账户安全基础.33 4.2 用户账户安全.34 4.3 文件系统安全.35 4.4 文件共享安全.37 4.5 安全项目实施方案.37 项目五 保护 Windows 文件系统安全.45 5.1 什么是 Windows 系统的文件系统.46 计算机网络安全技术 5.2 文件系统类型.46 5.3 加密文件系统 EFS.47 5.4 安全项目实施方案.49 项目六 保护网络设备控制台安全.54 6.1 管理网络设备控制台安全.55 6.1.1 管理交换机控制台登录安全.55 6.1.2
12、 管理路由器控制台安全.56 6.2 网络管理设备远程登录安全.56 6.2.1 什么是远程登录技术.56 6.2.2 管理交换机设备远程登录安全.57 6.2.3 管理路由器设备远程登录安全.58 6.3 配置远程登录设备安全.58 6.4 安全项目实施方案.59 项目七 保护交换机端口安全.61 7.1 交换机端口安全技术.62 7.1.1 交换机端口安全技术.62 7.1.2 配置端口最大连接数.63 7.1.3 绑定端口安全地址.65 7.2 交换机保护端口安全技术.66 7.2.1 保护端口工作原理.67 7.2.2 配置保护端口.67 7.3 交换机端口阻塞安全技术.68 7.3.
13、1 端口阻塞工作原理.68 7.3.2 配置端口阻塞安全.69 7.4 交换机端口镜像安全技术.70 7.4.1 什么是镜像技术.70 7.4.2 镜像技术别名.71 7.4.3 配置端口镜像技术.71 7.5 安全项目实施方案(1).71 7.6 安全项目实施方案(2).74 7.7 安全项目实施方案(3).76 项目八 实施虚拟局域网安全.79 8.1 实施 VLAN 安全.80 8.1.1 VLAN 概述.80 8.1.2 使用 VLAN 隔离广播干扰.81 8.1.3 使用 IEEE802.1q 保护同 VLAN 通信.83 8.2 配置 VLAN 许可列表安全.85 8.3 保护私有
14、 PVLAN 安全.86 8.3.1 什么是 PVLAN.87 8.3.2 PVLAN 关键技术.87 8.3.3 PVLAN 端口类型.88 目 录 8.3.4 配置 PVLAN.89 8.4 安全项目实施方案.90 项目九 实施网络广播风暴控制安全.93 9.1 生成树协议技术.94 9.2 STP 安全机制.94 9.2.1 管理 PortFast 安全.94 9.2.2 管理 BPDU Guard 安全.96 9.2.3 管理 BPDU Filter 安全.97 9.3 网络风暴控制安全.99 9.3.1 风暴控制工作原理.99 9.3.2 配置风暴控制(三层交换机).99 9.4 安
15、全项目实施方案.100 项目十 实施访问控制列表安全.105 10.1 访问控制列表技术.106 10.1.1 访问控制列表概述.106 10.1.2 访问控制列表分类.108 10.2 基于编号标准访问控制列表.108 10.2.1 标准的 IP ACL 需求分析.108 10.2.2 编写标准的 IP ACL 规则.108 10.2.3 应用标准的 IP ACL 规则.109 10.3 基于编号扩展访问控制列表.110 10.4 基于时间访问控制列表技术.111 10.5 安全项目实施方案(1).113 10.6 安全项目实施方案(2).115 项目十一 实施防火墙设备安全.120 11.
16、1 防火墙概述.121 11.1.1 防火墙的概念.121 11.1.2 防火墙的功能.122 11.1.3 防火墙的弱点.122 11.2 防火墙的分类.124 11.3 防火墙关键技术.125 11.3.1 包过滤防火墙.125 11.3.2 状态检测防火墙.126 11.3.3 代理防火墙.127 11.4 在网络中部署防火墙.128 11.5 安全项目实施方案.132 项目一 计算机网络安全概述 核心技术 解决安全隐患的方案 任务目标 了解网络安全威胁 熟悉网络安全隐患 掌握网络安全需求 计算机网络安全技术 2 随着科技的不断发展,网络已走进千家万户,到目前为止,互联网已经覆盖了 175 个国家和地区的数千万台计算机,用户数量超过一亿。网络给人们带来前所未有的便捷,人们利用网络可以开展工作,基于互联网的娱乐,购物,互联网的应用也变得越来越广泛。今天人们对网络的需求,已经不再是单一的联网需求,而更希望在实现互联互通的网络的基础上实现多业务的融合,如语音、视频等。互联网以其开放性和包容性,融合了传统行业的所有服务。但网络的开放性和自由性,也产生了私有信息和保密数据被破坏或侵犯的可能