计算机网络安全技术第二版习题答案.doc

《计算机网络安全技术第二版习题答案.doc》由会员分享，可在线阅读，更多相关《计算机网络安全技术第二版习题答案.doc（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流计算机网络安全技术第二版习题答案.精品文档.习题一1-1简述计算机网络安全的定义。计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。1-2计算机网络系统的脆弱性主要表现在哪几个方面？试举例说明。计算机网络系统的脆弱性主要表现在以下几个方面：

2、1操作系统的安全脆弱性，操作系统不安全，是计算机不安全的根本原因。2 网络系统的安全脆弱性（1）网络安全的脆弱性，（2）计算机硬件系统的故障，（3）软件本身的“后门”，（4）软件的漏洞。3数据库管理系统的安全脆弱性，DBMS的安全级别是B2级，那么操作系统的安全级别也应该是B2级，但实践中往往不是这样做的。4防火墙的局限性5天灾人祸，如地震、雷击等。天灾轻则造成业务工作混乱，重则造成系统中断或造成无法估量的损失。6其他方面的原因，如环境和灾害的影响，计算机领域中任何重大的技术进步都对安全性构成新的威胁等。1-3 简述P2DR安全模型的涵义。P2DR安全模型是指：策略（Policy）、防护（Pr

3、otection）、检测（Detection）和响应（Response）。策略，安全策略具有一般性和普遍性，一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。防护，防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性，预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵。检测，检测是动态响应和加强防护的依据，是强制落实安全策略的工具，通过不断地检测和监控网络及系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。响应，响应就是在检测到安全漏洞或一个攻击（入侵）事件之后，及时采取有效的处理措施，避免危害进一步扩大，目的是把系统调

4、整到安全状态，或使系统提供正常的服务。1-4 简述PDRR网络安全模型的涵义。PDRR安全模型中安全策略的前三个环节与P2DR安全模型中后三个环节的内涵基本相同，最后一个环节“恢复”，是指在系统被入侵之后，把系统恢复到原来的状态，或者比原来更安全的状态。PDRR安全模型阐述了一个结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间，在系统遭受到破坏后，应尽快恢复，以减少系统暴露时间。也就是说：及时的检测和响应就是安全。1-5 简述Internet网络体系层次结构。现在Internet使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的网络通信协议组，这四层协议分

5、别是：1、物理网络接口层协议，网络接口层定义了Internet与各种物理网络之间的网络接口；2、网际层协议，网际层是网络互联层，负责相邻计算机之间的通信，提供端到端的分组传送、数据分段与组装、路由选择等功能；3、传输层协议，传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理，该层使用的协议有TCP与UDP；4、应用层协议，应用层位于TCP/IP协议的最上层，向用户提供一组应用程序和各种网络服务。1-6 简述网络安全体系结构框架。网络安全是一个覆盖范围很广的领域。为了更深刻地理解网络安全问题，必须对这个领域进行系统、全面的了解。对于整个网络安全体系，从不同得层面来看

6、，包含的内容和安全要求不尽相同。（1）从消息的层次来看，主要包括：完整性、保密性、不可否认性。（2）从网络层次来看，主要包括：可靠性、可控性、可操作性。保证协议和系统能够互相连接、可计算性。（3）从技术层次上讲，主要包括：数据加密技术、防火墙技术、攻击检测技术、数据恢复技术等。（4）从设备层次来看，主要包括：质量保证、设备冗余备份、物理安全等。由此可见，计算机网络安全的研究涉及到多个学科领域.其边界几乎是无法限定的。同时随着网络技术的发展，也还会有新的安全问题不断出现。1-7 ISO对OSI规定了哪5种级别的安全服务？制定了支持安全服务的哪8种安全机制？ISO对OSI规定了五种级别的安全服务：

7、即对象认证、访问控制、数据保密性、数据完整性、防抵赖。为了实现上述5种安全服务，ISO 7408-2中制定了支持安全服务的8种安全机制，它们分别是：加密机制（Enciphrement Mechanisms）、数字签名机制（Digital Signature Mechanisms）、访问控制机制（Access Control Mechanisms）、数据完整性机制（Data Integrity Mechanisms）、鉴别交换机制（Authentication Mechanisms）、通信业务填充机制（Traffic Padding Mechanisms）、路由控制机制（Routing Cont

8、rol Mechanisms）、公证机制（Notarization Mechanisms）。1-8 试述安全服务和安全机制之间的关系以及安全服务与层的关系。1、安全服务与安全机制有着密切的关系，安全服务是由安全机制来实现的，体现了安全系统的功能。一个安全服务可以由一个或几个安全机制来实现；同样，同一个安全机制也可以用于实现不同的安全服务中，安全服务和安全机制并不是一一对应的。实现对等实体鉴别服务可以采用系统设立的一种或多种安全机制实现，如采用数据加密、数据签名、鉴别交换、公证机制等。访问控制的实现则采用访问控制机制的方法，如最有代表性的是采用委托监控器的方法。数据保密可采用对数据加密的方法。数

9、据的完整性可采用加密和数据完整性机制。数据源点鉴别采用加密和鉴别交换机制。禁止否认采用加密和公证机制来实现。2、 ISO的开放系统互连参考模型的七个不同层次各自完成不同的功能，相应地，在各层需要提供不同的安全机制和安全服务，为各系统单元提供不同的安全特性。 1安全服务层次：（1）认证服务、（2）数据保密服务、（3）数据完整服务、（4）访问控制服务、（5）抗抵赖服务。2网络各层提供的安全服务。通过上述对网络安全服务层次关系的分析得知：某种安全服务只能由ISO/OSI网络7层中的某一（些）特定层有选择的提供，并不是在所有各层都能实现。1-9计算机网络安全的三个层次的具体内容是什么？计算机网络安全的

10、实质就是安全立法、安全技术和安全管理的综合实施，这三个层次体现了安全策略的限制、监视和保障职能：1、安全立法计算机网络的使用范围越来越广，其安全问题也面临着严重危机和挑战，单纯依靠技术水平的提高来保护安全不可能真正遏制网络破坏，各国政府都已经出台了相应的法律法规来约束和管理计算机网络的安全问题，让广大的网络使用者遵从一定的“游戏规则”。目前，国外许多政府纷纷制定计算机安全方面的法律、法规，对计算机犯罪定罪、量刑产生的威慑力可使有犯罪企图的人产生畏惧心理，从而减少犯罪的可能，保持社会的安定，这些法规主要涉及到信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售五个方面

11、。2、 安全技术 安全技术措施是计算机网络安全的重要保证，是方法、工具、设备、手段乃至需求、环境的综合，也是整个系统安全的物质技术基础。计算机网络安全技术涉及的内容很多，尤其是在网络技术高速发展的今天，不仅涉及计算机和外部、外围设备，通信和网络系统实体，还涉及到数据安全、软件安全、网络安全、数据库安全、运行安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。安全技术的实施应贯彻落实在系统开发的各个阶段，从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。安全技术主要涉及下面三点：物理安全技术、网络安全技术和信息安全技术。3、 安全管理安全管理作为计算机网络安

12、全的第三个层次，包括从人事资源管理到资产物业管理，从教育培训、资格认证到人事考核鉴定制度，从动态运行机制到日常工作规范、岗位责任制度等多个方面。这些规章制度是一切技术措施得以贯彻实施的重要保证。所谓“三分技术，七分管理”，正体现于此。1-10简述可信计算机系统评估标准的内容。1983年美国国防部提出了一套可信计算机系统评估标准（TCSEC，Trusted Computer System Evaluation Criteria），将计算机系统的可信程度，即安全等级划分为D、C、B、A四类7级，由低到高。D级暂时不分子级；C级分为C1和C2两个子级，C2比C1提供更多的保护；B级分为B1、B2和B

13、3共3个子级，由低到高；A级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密强度的不同标准。1-11简述信息系统评估通用准则、安全评估的国内通用准则的要点。信息系统评估通用准则的要点如下：1、安全的层次框架：自下而上。2、安全环境：使用评估对象时须遵照的法律和组织安全政策以及存在的安全威胁。3、安全目的：对防范威胁、满足所需的组织安全政策和假设声明。4、评估对象安全需求：对安全目的的细化，主要是一组对安全功能和保证的技术需求。5、评估对象安全规范：对评估对象实际实现或计划实现的定义。6、评估对象安

14、全实现：与规范一致的评估对象实际实现。国内通用准则的要点：我国也制定了计算机信息系统安全等级划分准则。国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心，是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将信息系统分成5个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。在此标准中，一个重要的概念是可信计算基（TCB）。可信计算基是一个实现安全策略的机制，包括硬件、固件和软件，它们将根据安全策略来处理主体（例如，系统管理员、安全管理员、用户等）对客体（例如，进程、文件、记录、设备等）的访问。习题二2-1简述物理安全的定义、

15、目的与内容。物理安全，是保护计算机设备、设施（含网络）免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施和过程。实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏；确保系统有一个良好的电磁兼容工作环境；把有害的攻击隔离。实体安全的内容主要包括：环境安全、电磁防护、物理隔离以及安全管理。2-2计算机房场地的安全要求有哪些？为保证物理安全，应对计算机及其网络系统的实体访问进行控制，即对内部或外部人员出入工作场所（主机房、数据处理区和辅助区等）进行限制。计算机房的设计应考虑减少无关人员进入机房的机会。同时，计算

16、机房应避免靠近公共区域，避免窗户直接邻街，应安排机房在内（室内靠中央位置），辅助工作区域在外（室内周边位置）。在一个高大的建筑内，计算机房最好不要建在潮湿的底层，也尽量避免建在顶层，因顶层可能会有漏雨和雷电穿窗而入的危险。机房建筑和结构从安全的角度，还应该考虑：1）电梯和楼梯不能直接进入机房。2）建筑物周围应有足够亮度的照明设施和防止非法进入的设施。3）外部容易接近的进出口，如风道口、排风口、窗户、应急门等应有栅栏或监控措施，而周边应有物理屏障（隔墙、带刺铁丝网等）和监视报警系统，窗口应采取防范措施，必要时安装自动报警设备。4）机房进出口须设置应急电话。5）机房供电系统应将动力照明用电与计算机

17、系统供电线路分开，机房及疏散通道应配备应急照明装置。6）计算机中心周围100m内不能有危险建筑物。危险建筑物指易燃、易爆、有害气体等存放场所，如加油站、煤气站、天燃气煤气管道和散发有强烈腐蚀气体的设施、工厂等。7）进出机房时要更衣、换鞋，机房的门窗在建造时应考虑封闭性能。8）照明应达到规定标准。2-3简述机房的三度要求。机房的三度要求分别是：温度、湿度、洁净度。确保这三个要求是为了保证系统的正常运行。1温度计算机系统内有许多元器件，不仅发热量大而且对高温、低温敏感。环境温度过高或过低都容易引起硬件损坏。2湿度机房内相对湿度过高会使电气部分绝缘性降低，会加速金属器件的腐蚀，引起绝缘性能下降，灰尘

18、的导电性能增强，耐潮性能不良和器件失效的可能性增大；而相对湿度过低、过于干燥会导致计算机中某些器件龟裂，印刷电路板变形，特别是静电感应增加，使计算机内信息丢失、损坏芯片，对计算机带来严重危害。3洁净度灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏，甚至造成击穿；灰尘还会增加机械磨损，尤其对驱动器和盘片，灰尘不仅会使读出、写入信息出现错误，而且会划伤盘片，甚至损坏磁头。因此，计算机房必须有除尘、防尘的设备和措施，保持清洁卫生，以保证设备的正常工作。2-4机房内应采取哪些防静电措施？常用的电源保护装置有哪些？机房内一般应采用乙烯材料装修，避免使用挂毯、地毯等吸尘、容易产生静电的材料。

19、为了防静电机房一般安装防静电地板，并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的专用工作台或重要的操作台应有接地平板。此外，工作人员的服装和鞋最好用低阻值的材料制作，机房内应保持一定湿度，在北方干燥季节应适当加湿，以免因干燥而产生静电。电源保护装置有金属氧化物可变电阻（MOV）、硅雪崩二极管（SAZD）、气体放电管（GDT）、滤波器、电压调整变压器（VRT）和不间断电源（UPS）等。2-5计算机房的地线、接地系统、接地体各有哪些种类？计算机房的地线分为：保护地线、直流地线、屏蔽地线、静电地线、雷击地线。接地系统：计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实

20、施。主要有以下几种：（1）各自独立的接地系统、（2）交、直流分开的接地系统、（3）共地接地系统、（4）直流地、保护地共用地线系统、（5）建筑物内共地系统。接地体：接地体的埋设是接地系统好坏的关键。通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。2-6简述机房的防雷、防火、防水措施。防雷：机房的外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道。机器设备应有专用地线，机房本身有避雷设施，设备(包括通信设备和电源设备)有防雷击的技术设施，机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达

21、到防雷的目的。机房的设备本身也应有避雷装置和设施。一个远程计算机信息网络场地应在电力线路、通信线路、天馈馈线线路、接地引线上作好防雷电的入侵。防火、防水：为避免火灾、水灾，应采取如下具体措施：1隔离建筑内的计算机房四周应设计一个隔离带，以使外部的火灾至少可隔离一个小时。系统中特别重要的设备，应尽量与人员频繁出入的地区和堆积易燃物（如打印纸）的区域隔离。所有机房门应为防火门，外层应有金属蒙皮。计算机房内部应用阻燃材料装修。机房内应有排水装置，机房上部应有防水层，下部应有防漏层，以避免渗水、漏水现象。 2火灾报警系统火灾报警系统的作用是在火灾初期就能检测到并及时发出警报。3灭火设施机房应有适用于计

22、算机机房的灭火器材，机房所在楼层应有防火栓和必要的灭火器材和工具，这些物品应具有明显的标记，且需定期检查。4管理措施机房应有应急计划及相关制度，要严格执行计算机房环境和设备维护的各项规章制度，加强对火灾隐患部位的检查。2-7简述电磁干扰的分类及危害。按干扰的耦合方式不同，可将电磁干扰分为传导干扰和辐射干扰两类。 （1）传导干扰：传导干扰是通过干扰源和被干扰电路之间存在的一个公共阻抗而产生的干扰。 （2）辐射干扰：辐射干扰是通过介质以电磁场的形式传播的干扰。电磁干扰的危害 （1）计算机电磁辐射的危害计算机作为一台电子设备，它自身的电磁辐射可造成两种危害：电磁干扰和信息泄漏。 （2）外部电磁场对计

23、算机正常工作的影响除了计算机对外的电磁辐射造成信息泄漏的危害外，外部强电磁场通过辐射、传导、耦合等方式也对计算机的正常工作产生很多危害。2-8 电磁防护的措施有哪些？目前主要电磁防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，这类防护措施又可分为以下两种：一种是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二种是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率

24、和信息特征。为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。2-9简述物理隔离的安全要求。物理隔离，在安全上的要求主要有下面三点： （1）在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。 （2）在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。 （3）在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘等

25、存储设备，内部网与外部网信息要分开存储。2-10简述物理隔离技术经历了哪三个阶段？每个阶段各有什么技术特点。物理隔离技术经历了：彻底的物理隔离、协议隔离、物理隔离网闸三个阶段：1第一阶段彻底的物理隔离利用物理隔离卡、安全隔离计算机和隔离集线器（交换机）所产生的网络隔离，是彻底的物理隔离，两个网络之间没有信息交流，所以也就可以抵御所有的网络攻击，它们适用于一台终端（或一个用户）需要分时访问两个不同的、物理隔离的网络的应用环境。2第二阶段协议隔离协议隔离通常指两个网络之间存在着直接的物理连接，但通过专用（或私有）协议来连接两个网络。基于协议隔离的安全隔离系统实际上是两台主机的结合体，在网络中充当网

26、关的作用。隔离系统中两台主机之间的连接或利用网络，或利用串口、并口，还可利用USB接口等，并绑定专用协议。这些绑定专用协议的连接在有的资料中被称为安全通道。有了这样的安全通道，入侵者无法通过直接的网络连接进入内网，从而达到对内网的保护。3第三阶段物理隔离网闸技术物理隔离网闸在两个网络之间创建了一个物理隔断，从物理上阻断了具有潜在攻击可能的一切连接。而且它没有网络连接，把通信协议全部剥离，以原始数据方式进行“摆渡”。因此，它能够抵御互联网目前存在的几乎所有攻击，例如基于操作系统漏洞的入侵、基于TCP/IP漏洞的攻击、特洛伊木马和基于隧道的攻击等。2-11 计算机网络管理的主要功能有哪些？计算机网

27、络管理的主要功能是：故障管理功能，配置管理功能，性能管理功能，安全管理功能和计费管理功能。（1）故障管理：故障管理（Fault Management）是网络管理中最基本的功能之一，即对网络非正常的操作引起的故障进行检查、诊断和排除。（2）配置管理：配置管理（Configuration Management）就是定义、收集、监测和管理系统的配置参数，使得网络性能达到最优。（3）性能管理：性能管理（Performance Management）用于收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。（4）安全管理：安全管理（Security Management）是指监视、审查和控制用户

28、对网络的访问，并产生安全日志，以保证合法用户对网络的访问。（5）计费管理：计费管理（Accounting Management）记录网络资源的使用，目的是控制和监测网络操作的费用和代价。2-12 画出计算机网络管理的逻辑结构模型。2-13 什么是简单网络管理协议（SNMP）？简述SNMP的管理结构模型、工作原理及特点。简单网络管理协议（SNMP）：SNMP（Simple Network Management Protocol），即简单网络管理协议，是使用户能够通过轮询、设置关键字和监视网络事件来达到网络管理目的的一种网络协议。它是一个应用级的协议，而且是TCP/IP协议族的一部分，工作于用户数

29、据报文协议（UDP）上。SNMP的管理结构模型：SNMP主要用于OSI七层模型中较低几个层次的管理，它的基本功能包括监视网络性能、检测分析网络差错和配置网络。SNMP网络管理模型由多个管理代理（Management Agents）、至少一个管理工作站（Network Management Station）、一种通用的网络管理协议（Management Protocol）和一个或多个管理信息库（MIB）四部分组成。SNMP的工作原理：SNMP的原理十分简单，它以轮询和应答的方式进行工作，采用集中或者集中分布式的控制方法对整个网络进行控制和管理。整个网络管理系统包括SNMP管理者、SNMP代理、管

30、理信息库（MIB）和管理协议四个部分。SNMP的特点：SNM之所以能成为流传最广，应用最多的一个网络管理协议，是因为它具有简单、易于实现，具有很好的扩展性等优点。2-14 简述公共管理信息协议（CMIP）。CMIP（Common Management Information Protocol）即公共管理信息协议，是在OSI制定的网络管理框架中提出的网络管理协议。它是一个分布式的网络管理解决方案，应用在OSI环境下。CMIP与SNMP一样，也是由被管代理、管理者、管理协议与管理信息库组成。在CMIP中，被管代理和管理者没有明确的区分，任何一个网络设备既可以是被管代理，也可以是管理者。CMIP克服

31、了SNMP的许多缺点，如安全性方面，CMIP支持授权、访问控制、安全日志等机制，构成一个相对安全的系统，定义相当详细复杂。2-15 简述计算机网络安全管理的基本原则与工作规范。计算机网络系统的安全管理主要基于以下三个原则：（1） 多人负责原则：每一项与安全有关的活动，都必须有两人或多人在场。（2） 任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。 （3）职责分离原则：在计算机网络系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。计算机网络系统的安全管理部门应根据管理原则和系统处理数据的保密性，制订相应

32、的管理制度或采用相应的规范。具体工作是：（1）根据工作的重要程度，确定该系统的安全等级。（2）根据确定的安全等级，确定安全管理的范围。（3）制订相应的机房出入管理制度。（4）制订严格的操作规程。（5）制订完备的系统维护制度。（6）制订应急措施。习题三3-1简要回答防火墙的定义和发展简史。防火墙的定义：防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统，防止对重要信息资源的非法存取和访问，以达到

33、保护系统安全的目的。防火墙的发展简史：第一代防火墙：第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet Filter）技术。第二、三代防火墙：1989年，贝尔实验室的Dave.Presotto和Howard.Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。第四代防火墙：1992年，USC信息科学院的Bob.Braden开发出了基于动态包过滤（Dynamic Packet Filter）技术的第四代防火墙，后来演变为目前所说的状态监视（State Fulinspection）技术。1994年，以色列的Check.Poin

34、t公司开发出了第一个基于这种技术的商业化的产品。第五代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive Proxy）技术，并在其产品Gauntlet Fire wall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。3-2设置防火墙目的是什么？防火墙的功能和局限性各有哪些？通常应用防火墙的目的有以下几个方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施；限定人们访问特殊站点；为监视局域网安全提供方便。无论何种类型防火墙，从总体上看，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行

35、为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。防火墙的局限性：1防火墙防外不防内、2网络应用受到结构性限制、3防火墙难于管理和配置，易造成安全漏洞、4效率较低、故障率高、5很难为用户在防火墙内外提供一致的安全策略、6防火墙只实现了粗粒度的访问控制。3-3简述防火墙的发展动态和趋势。防火墙技术发展动态和趋势：（1）优良的性能、（2）可扩展的结构和功能、（3）简化的安装与管理、（4

36、）主动过滤、（5）防病毒与防黑客。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全等五个方面。3-4试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别？数据包过滤（Packet Filtering）技术是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择地控制与操作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤（通常是对从Internet进入到内部网络的包进行过滤）。选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）或规则表。规则表指定允许哪些类型的数据

37、包可以流入或流出内部网络。包过滤的优点：1）不用改动应用程序、2）一个过滤路由器能协助保护整个网络、3）数据包过滤对用户透明、4）过滤路由器速度快、效率高。包过滤的缺点：1）不能彻底防止地址欺骗、2）一些应用协议不适合于数据包过滤、3）正常的数据包过滤路由器无法执行某些安全策略、4）安全性较差、5）数据包工具存在很多局限性。1）静态包过滤。一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙，这种类型的防火墙根据定义好的过滤规则审查每个数据包，即与规则表进行比较，以便确定其是否与某一条包过滤规则

38、匹配。2）动态包过滤。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合进行检查。动态过滤规则技术避免了静态包过滤所具有的问题，使防火墙弥补了许多不安全的隐患，在最大程度上降低了黑客攻击的成功率，从而大大提高了系统的性能和安全性。3-5试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别？当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理

39、后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。代理技术的优点：1）代理易于配置、2）代理能生成各项记录、3）代理能灵活、完全地控制进出流量、内容、4）代理能过滤数据内容、5）代理能为用户提供透明的加密机制、6）代理可以方便地与其他安全手段集成。代理技术的缺点：1）代理速度较路由器慢、2）代理对用户不透明、3）对于每项服务代理可能要求不同的服务器、4）代理服务不能保证免受

40、所有协议弱点的限制、5）代理不能改进底层协议的安全性。应用层网关（Application Level Gateways）防火墙是传统代理型防火墙，它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专用工作站系统上。优点：应用层网关防火墙最突出的优点就是安全，这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。缺点：代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75M100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。电路层网关防火墙，另一种类型的代理技术称为电路层网关（Circuit Level Gateway）或TCP通道

41、（TCP Tunnels）。在电路层网关中，包被提交用户应用层处理。电路层网关是建立应用层网关的一个更加灵活方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，一般采用自适应代理技术，也称为自适应代理防火墙。在电路层网关中，需要安装特殊的客户机软件。它结合了应用层网关型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。3-6防火墙的主要技术及实现方式有哪些？防火墙的安全技术包括包过滤技术、代理、网络地址转换（NAT）等多种技术。应用防火墙的设计实现方式主要有：应用网关代理、回路级代理服务器、代管服务器、IP通道（IP Tu

42、nnels）、隔离域名服务器（Split Domain Name Sever）、邮件转发技术（Mail Forwarding）。3-7防火墙的常见体系结构有哪几种？一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，屏蔽路由器的优点是简单和低（硬件）成本。其缺点在于正确建立包过滤规则比较困难，屏蔽路由器的管理成本高，缺乏用户级身份认证等。代理服务器是防火墙系统中的一个服务器进程，它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关，一个

43、为特定网络应用而连接两个网络的网关。由于对更高安全性的要求，屏蔽路由器和代理服务器通常组合在一起构成混合系统，形成复合型防火墙产品。3-8屏蔽路由器防火墙和屏蔽主机网关防火墙各是如何实现的？屏蔽路由器（Screening Router）又叫包过滤路由器，是最简单、最常见的防火墙，屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。除具有路由功能外，再装上包过滤软件，利用包过滤规则完成基本的防火墙功能。屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽主机网关（Screened Gateway）由屏蔽路由器和应用网关组成，屏蔽路由器的作用是包过滤，应用网关的作用是

44、代理服务，即在内部网络和外部网络之间建立了两道安全屏障，既实现了网络层安全（包过滤），又实现了应用层安全（代理服务）。屏蔽主机网关很容易实现：在内部网络与因特网的交汇点，安装一台屏蔽路由器，同时在内部网络上安装一个堡垒主机（应用层网关）即可，屏蔽主机网关防火墙具有双重保护，比双缩主机网关防火墙更灵活，安全性更高。3-9简述分布式防火墙的体系结构、主要特点。分布式防火墙的体系结构包含如下三个部分：1网络防火墙、2主机防火墙、3中心管理。分布式防火墙具有以下几个主要特点：1主机驻留、2嵌入操作系统内核、3类似于个人防火墙、4适用于服务器托管。3-10 分布式防火墙的优势主要体现在哪几个方面？分布式

45、防火墙的优势主要体现在如下几个方面：（1）增强系统的安全性：增加了针对主机的入侵检测和防护功能，加强了对内部攻击的防范，可以实施全方位的安全策略。（2）提高了系统性能：消除了结构性瓶颈问题，提高了系统性能。（3）系统的扩展性：分布式防火墙随系统扩充提供了安全防护无限扩充的能力。（4）实施主机策略：对网络中的各节点可以起到更安全的防护。（5）应用更为广泛，支持VPN通信。习题四4-1 攻击者常用的攻击工具有哪些？攻击者常用的攻击工具有：（1）DOS攻击工具、（2）木马程序、（3）分布式工具。4-2 简述口令入侵的原理。所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动

46、。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。4-3 简述网络攻击的步骤。画出黑客攻击企业内部局域网的典型流程。攻击者在一次攻击过程中的通常做法是：首先隐藏位置，接着网络探测和资料收集、对系统弱点进行挖掘、获得系统控制权、隐藏行踪，最后实施攻击、开辟后门等七个步骤。黑客攻击企业内部局域网的典型流程如下：4-4 攻击者隐藏自己的行踪时通常采用哪些技术？攻击者隐藏自己的行踪通常要用到如下技术：1）连接隐藏，如冒充其他用户、修改 LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等；2）进程隐藏，如使用重定向技术减少PS给出的信息量、用特

47、洛伊木马代替PS程序等；3）篡改日志文件中的审计信息；4）改变系统时间，造成日志文件数据紊乱，以迷惑系统管理员。4-5 简述网络攻击的防范措施。网络攻击的防范措施主要有：（1）提高安全意识；（2）使用能防病毒、防黑客的防火墙软件；（3）设置代理服务器，隐藏自已的IP地址；（4）安装过滤器路由器，防止IP欺骗；（5）建立完善的访问控制策略；（6）采用加密技术；（7）做好备份工作。4-6 简述网络攻击的处理对策。网络攻击的处理对策：（1）发现攻击者，借助下面一些途径可以发现攻击者。 1）攻击者正在行动时，捉住攻击者；2）根据系统发生的一些改变推断系统以被入侵；3）其他站点的管理员那里收到邮件，称从

48、本站点有人对“他”的站点大肆活动；4）根据网络系统中一些奇怪的现象，发现攻击者；5）经常注意登录文件并对可逆行为进行快速检查，检查访问及错误登录文件，检查系统命令如login等的使用情况；6） 使用一些工具软件可以帮助发现攻击者。（2）处理原则：不要惊慌、记录每一件事情，甚至包括日期和时间、估计形势、采取相应措施。（3）发现攻击者后的处理对策发现攻击者后，网络管理员的主要目的不是抓住他们，而是应把保护用户、保护网络系统的文件和资源放在首位。因此，可采取下面某些对策。1）不理睬；2）使用write或者talk工具询问他们究竟想要做什么；3）跟踪这个连接，找出攻击者的来路和身份；4）这管理员可以使用一些工具