网络安全技术配置与应用

　　本书以TCP/IP模型四层结构为主线，与计算机网络相关课程内容一脉相承，保持内容的连贯统一。全书共4个项目(17个任务)，分别是网络安全与接入控制配置、网络安全防护技术、TCP通信及安全编程、Web站点安全监测与防范。前两个项目对应网络接口层和网络层安全，内容主要涉及思科交换机端口安全技术、PPPoE技术以及QoS、VPN技术，所设任务主要集中于思科交换机和路由器的相关配置；后两个项目对应传输层和应用层安全，内容主要涉及TCP通信加密、SQL注入以及HTML注入，所设任务主要集中于使用C#、SQL、HTML、JavaScript、CSS语言开发相应的网络应用并进行网络安全测试和

　　防范。

　　本书适用于32～96学时的教学，教师可根据自身情况灵活安排。

　　本书可作为高职高专院校计算机及相关专业的网络安全技术教程，亦可作为非计算机专业人士学习网络安全技术的参考用书。

项目一 网络安全与接入控制配置
任务一 网络安全的概念及演示
1.1.1 网络安全的概念
1.1.2 网络安全演示相关知识
1.1.3 任务实施
思考题
任务二 交换机端口接入安全配置
1.2.1 本地局域网安全
1.2.2 端口安全配置
1.2.3 任务实施
思考题
任务三 PPPoE接入配置
1.3.1 本地用户接入控制技术
1.3.2 PPPoE工作流程
1.3.3 思科路由器上PPPoE的配置（PPPoE服务端配置）
1.3.4 PPPoE客户端使用
1.3.5 任务实施
思考题

项目二 网络安全防护技术
任务一 访问控制列表（ACL）
2.1.1 ACL概述
2.1.2 ACL的工作原理
2.1.3 思科ACL配置说明
2.1.4 任务实施
思考题
任务二 NAT
2.2.1 NAT概述
2.2.2 思科路由器的NAT配置说明
2.2.3 任务实施
思考题
任务三服务质量（QoS）
2.3.1 QoS概述
2.3.2 QoS配置模型
2.3.3 QoS配置说明
2.3.4 任务实施
思考题
任务四 GRE VPN
2.4.1 VPN概述
2.4.2 GRE基础
2.4.3 GRE VPN配置说明
2.4.4 任务实施
思考题
任务五 Site-to-Site IPSec VPN配置
2.5.1 IPSec体系概述
2.5.2 传输模式和隧道模式
2.5.3 IPSec SA
2.5.4 Internet密钥交换协议（IKE）
2.5.5 IPSec VPN的封装与解封
2.5.6 任务实施
思考题
任务六 Remote Access IPSec VPN配置
2.6.1 Access VPN简介
2.6.2 Access VPN的实现过程
2.6.3 Remote Access IPSec VPN封装与解封
2.6.4 思科EzVPN
2.6.5 任务实施
思考题
任务七 GRE Over IPSec VPN配置
2.7.1 IPSec与NAT的业务冲突
2.7.2 GRE Over IPSec工作原理
2.7.3 GRE Over IPSec与IPSec Over GRE
2.7.4 任务实施
思考题

项目三 TCP通信及安全编程
任务一 TCP网络通信界面构建
3.1.1 网络通信概述
3.1.2 Windows网络编程
3.1.3 任务实施
思考题
任务二 TCP网络通信服务器端实现
3.2.1 TCP网络服务概述
3.2.2 System.Net.Sockets命名空间
3.2.3 进程与线程
3.2.4 任务实施
思考题
任务三 TCP网络通信客户端实现
3.3.1 TCP客户端流程
3.3.2 相关类介绍
3.3.3 任务实施
思考题
任务四 TCP网络通信数据加密与解密
3.4.1 TCP通信数据加密简介
3.4.2 System.Security.Cryptography命名空间
3.4.3 System.IO命名空间
3.4.4 任务实施
思考题
任务五 基于SSL/TLs的异步TOP通信安全实现
3.5.1 TCP通信AES加密缺陷分析与解决方法
3.5.2 SSL/TLs协议
3.5.3 数字证书
3.5.4 C#下异步TCP通信相关类
3.5.5 C#下异步SSL/TLs相关类
3.5.6 C#下证书相关类
3.5.7 任务实施
思考题

项目四W eb站点安全监测与防范
任务一 SQL注入检测与防范
4.1.1 数据库与SQL语言
4.1.2 SQL注入
4.1.3 任务实施
思考题
任务二 xss攻击检测与防范
4.2.1 HTML注入与HTTP通信
4.2.2 XSS与浏览器安全
4.2.3 C#与XSS
4.2.4 任务实施
思考题
参考文献

　　《网络安全技术配置与应用（高职）》：
　　在传统的IP网络中，所有的报文都被无差别的对待，即每个转发设备对所有的报文均采用先入先出（FIFO）的策略进行处理，设备尽很大的努力（Best-Effort）将报文送到目的地，但对报文传送的可靠性、传送延迟等不提供任何保证。
　　网络发展日新月异，随着IP网络上新应用的不断出现，对网络服务质量也提出了新的要求，例如VoIP等实时业务对报文的传输延迟提出了较高要求，如果报文传送延时太长，用户将不能接受（相对而言，E-Mail和FIP业务对时间延迟并不敏感）。为了支持具有不同服务需求的语音、视频以及数据等业务，要求网络能够区分出不同的通信，进而为之提供相应的服务。传统IP网络的尽力服务不可能识别和区分出网络中的各种通信类别，而具备通信类别的区分能力正是为不同的通信提供不同服务的前提，尽力而为的服务模型已远不能满足用户对网络传输质量的要求。因此，QoS技术被广泛使用，用于在不能提供绝对充足的带宽环境中对重要的应用做出通信质量上的保证和承诺。
　　影响通信质量的因素主要有以下四个方面：
　　1）吞吐量
　　吞吐量用于描述系统传输数据的能力。目前，各种网络设备及传输介质的吞吐量都是一定的。除非更换新的能够提供更高传输带宽的接口及传输介质，否则任何技术都不能够增加吞吐量，这样就会涉及一个问题：如何在现有吞吐量一定的链路上尽可能地满足应用的要求，并对重要应用做出通信质量保证。
　　……

　　网络安全技术集成度较高，有网络硬件设备的物理安全，有接入访问的控制安全，有数据传输的保密安全，也有网络应用的信息安全，各种层次、各种类型的网络安全技术不胜枚举。本书将网络安全技术进行归纳、汇总，并划分为四个项目，依次是网络安全与接入控制配置、网络安全防护技术、TCP通信及安全编程、Web站点安全监测与防范，分别对应于计算机网络TCP/IP模式的四层—网络接口层、网络层、传输层、应用层，与经典的计算机网络书籍内容形成呼应，符合大部分计算机专业学生对于网络知识的认知习惯。书中4个项目共包含17个任务，每个任务都有明确的要求、具体的网络环境、开发工具以及图文并茂的操作步骤。对于涉及编程的任务，本书还配有源代码和详细的注解。同时，本书对每个任务涉及的技术原理提供了详细的阅读材料，可供读者参考和阅读。对于非计算机专业的读者而言，可以跳过原理部分直接按照任务步骤搭建网络环境、测试网络安全，通过实践认知网络安全概念及相关检测和防范技术。

　　本书通过项目和任务的划分把网络安全技术细化成了一个个可操作、可实践的任务，从而避免了传统网络安全教材中重理论轻实践的弊端。为了使每个任务都有可操作性和通用性，不受网络环境和硬件环境的限制，在任务中引入了VMwareWorkstation、PacketTracer、Sniffer(或Wireshark)等工具来产生虚拟主机、网络，并对网络数据进行捕获分析。这些工具的引入可使读者在宿舍、在家中、在工作单位的PC上轻而易举地搭建网络环境，测试各种网络安全技术。

　　全书涉及技术较多、较杂，建议读者在使用本书时结合自身特点有选择性地阅读相关内容。对于无编程基础的读者，可运行本书提供的源代码观察网络安全现象，建立对网络安全的直观认识，引发自身学习兴趣和对现象的思考，从而进入网络安全技术的殿堂。

　　本书在编写初期恰逢“全国高等职业院校计算机网络应用技术”赛项的举行，为了培养参赛学生，本书项目二引入了赛项的重点和难点—接入访问控制技术、QoS、GREVPN、IPSecVPN及IPSecOverGREVPN等技术，采用任务的形式逐一实现各种技术的应用并图解分析各种技术可能出现的错误和故障，帮助读者深入理解接入访问控制和各种VPN技术。

　　本书在编写过程中积累了大量的教辅材料并开发了配套的在线课程(http://jxzy.wxit.edu.cn/skills/solver/classView.do?classKey=6352650&menuNavKey=6352650)，读者可通过在线平台下载书籍任务相关软件工具、PacketTracer练习文件和程序源代码，也可通过该平台对书籍内容、质量进行反馈。

　　编者

　　2017年4月