收藏 分销(赏)

计算机网络安全教程课后答案3.doc

上传人:天**** 文档编号:2549822 上传时间:2024-05-31 格式:DOC 页数:11 大小:52.54KB
下载 相关 举报
计算机网络安全教程课后答案3.doc_第1页
第1页 / 共11页
计算机网络安全教程课后答案3.doc_第2页
第2页 / 共11页
计算机网络安全教程课后答案3.doc_第3页
第3页 / 共11页
计算机网络安全教程课后答案3.doc_第4页
第4页 / 共11页
计算机网络安全教程课后答案3.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

1、个人收集整理 勿做商业用途计算机网络安全教程复习资料第1章(P27)一、选择题1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。2. 信息安全从总体上可以分成5个层次,密码技术 是信息安全中研究的关键点。3. 信息安全的目标CIA指的是机密性,完整性,可用性。4. 1999年10月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准则将计算机安全保护划分为以下5个级别。二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore).2. TCG目的是在计算和通信系统中广

2、泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。4。 B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。5。 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。三、简答题1. 网络攻击和防御分别包

3、括哪些内容?答:攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全 特点:防火,防盗,防静电,防雷击和防电磁泄露。(2)逻辑安全 特点:计算机的逻辑安全需要用口令、文件许可等方法实现。(3)操作系统 特点:操作系统是计算机中最基本、最重要的软件.操作系统的安全是网络安全的基础。(4)联网安全 特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。第2章(P56)一、选择

4、题1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层.2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。3。 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据.。4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。5. 常用的网络服务中,DNS使用 UDP协议。二、填空题1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。2。 TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层.这4层概括了相对于OSI参考模型中的7层.3。 目

5、前Email服务使用的两个主要协议是 简单邮件传输协议和邮局协议。4。 ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接,应答消息的接收情况将和往返过程的次数一起显示出来。5。 使用“net user”指令查看计算机上的用户列表三、简答题2。 简述TCP/IP协议族的基本结构,并分析每层可能受到的威胁及如何防御。答:讨论TCP/IP的时候,总是按五层来看,即物理层,数据链路层,网络层,传输层和应用层。1。物理层:这里的威胁主要是窃听,那使用防窃听技术就可以了;2。数据链路层:有很多工具可以捕获数据帧,如果有条件的话,可以使用数据加密机;3.网络层:针对IP包的攻击是很

6、多的,主要是因为IPv4的数据包本身是不经过加密处理的,所以里面的信息很容易被截获,现在可以使用IPSec来提供加密机制;4。传输层:针对TCP的攻击也多了,在这里一般使用进程到进程(或者说端到端的)加密,也就是在发送信息之前将信息加密,接收到信息后再去信息进行解密,但一般会使用SSL;5。应用层:在应用层能做的事情太多,所以在这里做一些安全措施也是有效的;5。简述常用的网络服务和提供服务的默认端口。答:端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果.一种典型的扫描,使用IP地

7、址为0.0。0。0,设置ACK位并在以太网层广播。 端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开.Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户.因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X。X.X。0和X.X。X。255的信息. 端口:19 服务

8、:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包.TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载. 端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invi

9、sible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在.6.简述ping指令、ipconfig指令、netstat指令、net指令、at指令、tracert指令的功能和用途。答:ping是用来侦测网络上的远端主机是否存在,并判断网络状况是否正常的网络侦测工具 校验与远程计算机或本地计算机的连接。只有在安装 TCP/IP 协议之后才能使用该命令。ipconfig,查看当前

10、电脑的ip配置,显示所有TCP/IP网络配置信息、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置,使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令行下输入ipconfig指令;tracert,用来追踪路由,用户确定IP数据访问目标所采取的路径。Tracert指令用IP生存时间字段和ICMP错误信息来确定一个主机到网络上其他主机的路由;netstat,用来查看当前电脑的活动会话;net,在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。at,使用at命令建立一个计划任务,并设置在某一

11、刻执行,但是必须首先与对方建立信任连接。第4章(P124)一、选择题1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。2。 对非连续端口进行的,并且源地址不一致、时间间隔长而没有规律的扫描,称之为慢速扫描。二、填空题1。 扫描方式可以分成两大类:慢速扫描和乱序扫描.2。 被动式策略是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。3。 一次成功的攻击,可以归纳成基本的五个步骤,但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”,分别为:隐藏IP、踩点扫描、获得系统或管理员

12、权限、种植后门和在网络中隐身 三、简答题与程序设计题2。 黑客在进攻的过程中需要经过哪些步骤?目的是什么?答:(1)隐藏IP:IP隐藏使网络攻击难以被侦破。(2)踩点扫描:踩点是通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。(3)获得系统或管理员权限:得到管理员权限的目的是连接到远程计算机,对其控制,达到自己攻击的目的.(4)种植后门:为了保持长期对胜利胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。(5)在网络中隐身:清除登陆日志及其他相关的日志,防止管理员发现。5扫描分成哪两类?每

13、类有什么特点?可以使用哪些工具进行扫描、各有什么特点?答:(1)网络扫描一般分为两种策略:一种是主动式策略;另外一种是被动式策略. (2)被动式策略 特点:基于主机之上的,对系统中不合适的设置、脆弱的口令及其他同安全规则相抵触的对象进行检查,被动式扫描不会对系统造成破坏。工具及特点:GetNTUser:系统用户扫描;PortScan:开放端口扫描;Shed:共享目录扫描.(3)主动式策略 特点:基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。主动式扫描对系统进行模拟攻击可能会对系统造成破坏.工具及特点:XScanv2.3 :对指定IP地址段(单机

14、)进行安全漏洞检测。6, 网络监听技术的原理是什么?答:原理:在局域网中与其他计算机进行数据交换时,数据包发往所有连在一起的主机,也就是广播,在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包,其他的机器都会将包丢弃。但是,当主机工作在监听模式下时,无论接收到的数据包中目的地址是什么,主机都将其接收下来。然后对数据包进行分析,就得到了局域网中通信的数据。一台计算机可以监听同一网段内所有的数据包,不能监听不同网段的计算机传输的信息。第5章(P157)一、选择题1. 打电话请求密码属于社会工程学攻击方式.2. 一次字典攻击能否成功,很大因素上决定于字典文件。3。 S

15、YN风暴属于拒绝服务攻击攻击。4。 下面不属于DoS攻击的是TFN攻击。二、填空题1。 字典攻击是最常见的一种暴力攻击。2. 分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器,然后在这些服务器上安装攻击进程,集数十台,数百台甚至上千台机器的力量对单一攻击目标实施攻击。3. SYN flooding攻击即是利用的TCP/IP协议设计弱点。三、简答题1。简述社会工程学攻击的原理。答:社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息.3。

16、简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码?针对暴力攻击应当如何防御?答 :1)破解电子邮箱密码,一个比较著名的工具软件是,黑雨-POP3邮箱密码暴力破解器,该软件分别对计 算机和网络环境进行优化的攻击算法:深度算法,多线程深度算法,广度算法和多线程广度算法。该程序可以以每秒50到100个密码的速度进行匹配。防范这种暴力攻击,可将密码的位数设置在10位以上,一般利用数字,字母和特殊字符的组合就可以有效地抵抗暴力攻击。2)使用工具软件,Advanced Office XP Password Recovery 可以快速破解Word文档密码。

17、点击工具栏按钮“Open file”,打开刚刚建立的Word文档,设置密码长度最短是一位,最长是三位,点击工具栏开始的图标,开始破解密码,大约两秒钟后,密码就被破解了.防范这种暴力攻击,可以加长密码.3)程序首先通过扫描得到系统的用户,然后利用字典镇南关每一个密码来登录系统,看是否成功,如果成功则将密码显示。6。 简述拒绝服务的种类与原理。答:原理:凡是造成目标系统拒绝提供服务的攻击都称为Dos攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的Dos攻击是计算机网络带宽攻击和连通性攻击:带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最终导致合法用户的请求无法通过;

18、连通性攻击是指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。 第6章(P192)一、选择题1. 网络后门的功能是保持对目标主机长久控制。2。 终端服务是Windows操作系统自带的,可以通过图形界面远程操纵服务器。在默认的情况下,终端服务的端口号是3389。3. 木马是一种可以驻留在对方服务器系统中的一种程序.二、填空题1. 后门的好坏取决于被管理员发现的概率.2. 木马程序一般由两部分组成:服务器端程序和客户端程序.3。 本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能, 后门程序功能比较单一三、简答题4. 简述木马由来,并简

19、述木马和后门的区别。答:木马是一种可以驻留在对方服务器系统中的一种程序。“木马”一词来自于“特洛伊木马,英文名为“TrojanHorse”木马程序一般由两部分组成:服务器端程序和客户端程序。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能,后门程序功能比较单一,只是提供客户端能够登陆对方的主机。 5. 简述网络代理跳板的功能。答:功能:当从本地入侵其它主机时,本地IP会暴露给对方。通过将某一台主机设置为代理,通过该主机再入侵其它主机,这样就会留下代理跳板的IP地址而有效地保护自己的安全。第7章

20、(P208)一、选择题1。 黑客们在编写编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码。2。 2003 年,SLammer 蠕虫在10 分钟内导致 90互联网脆弱主机受到感染。3。 造成广泛影响的1988年Morris蠕虫事件,就是利用邮件系统的脆弱性作为其入侵的最初突破点的。4. 下面是恶意代码生存技术是加密技术和模糊变换技术。5。 下面不属于恶意代码攻击技术是自动生产技术。二、填空题1. 恶意代码主要包括计算机病毒(Virus)、 蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等。2。 恶意代码80 年代发展

21、至今体现出来的3个主要特征:恶意代码日趋复杂和完善、恶意代码编制方法及发布速度更快和从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码。3. 早期恶意代码的主要形式是计算机病毒。4. 隐藏通常包括本地隐藏和通信隐藏,其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐藏。5。 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。三、简答题3。 恶意代码是如何定义,可以分成哪几类?答:定义:经过存储介质和网络进行传播,从一台计算机系统到另一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码.恶意代码两个显著的特点

22、是非授权性和破坏性。 分类:计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、病菌、用户级RooKit、核心级Rookit、脚本恶意代码、恶意ActiveX控件。第8章(P245)一、选择题1。 Linux是一套可以免费使用和自由传播的类UNIX操作系统,主要用于基于Intel x86系列CPU的计算机上。2。 操作系统中的每一个实体组件不可能是既不是主体又不是客体。3. 安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。4. 操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基.5。 自主访问控制是最常用的一类访问控

23、制机制,用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。二、填空题1.操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用,没有它的安全性,信息系统的安全性是没有基础的。2. Multics是开发安全操作系统最早期的尝试。3。 1969年B.W。Lampson通过形式化表示方法运用主体(Subject)、客体(Object)和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象.4. 访问控制机制的理论基础是 访问监控器(Reference Monitor),由J。P。Anderson首次提出5。 计算机硬件安全的目标是,保证其自身的可靠性和为系统

24、提供基本安全机制。其中基本安全机制包括存储保护、 运行保护、I/O保护等。6. Biba模型主要应用是保护信息的完整性,而BLP模型是保护信息机密性。三、简答题1,简述操作系统账号密码的重要性。有几种方法可以保护密码不被破解或者被盗取?答:操作系统账号密码的安全是很重要的,在个人计算机上也许不觉得,但如果计算机有很重要的文件,或者一些很有价值的账号密码,一旦被黑客盗取,那么就会造成重要信息的泄露,大则损失是无法计算的。有时还会威胁到国家的安全和利益。一般的黑客攻击都是扫描你的管理员账户的密码是否为空,而我们所做的XP等系统默认的管理员账户administrator为空,安全方面 除了一般必要的

25、不要让别人知道你的密码以外 ,你可以采用密码策略 1。 让一些不必要或不要让人知道你的密码2. 使用相对安全的密码,比如数字和字母、符号相结合的,这样不容易破解。3。 启动管理员密码锁定策略,例如输入错误三次则锁定管理员账户。4。 给管理员账户变身,也就是说,把管理员账号administrator改个名字或者禁用管理员密码,新建一个账户加入管理员组。2。简述审核策略、密码策略和账户策略的含义,以及这些策略如何保护操作系统不被入侵。答:审核策略,是windows中本地安全策略的一部分,它是一个维护系统安全性的工具,允许跟踪用户的活动和windows系统的活动。在计算机中设置了审核策略,就可以监控

26、成功或失败的事件。在设置审核事件时,windows将事件执行的情况纪录到安全日志中,安全日志中的每一个审核条目都包含三个方面的内容:执行动作的用户,事件发生的时间及成功与否.对文件和文件夹访问的审核,首先要求审核的对象必须位于NTFS分区之上,其次必须为对象访问事件设置审核策略.符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。密码策略,即用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用,通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。密码策略也可以在指

27、定的计算机上用“本地安全策略”来设定,同时也可在网络中特定的组织单元通过组策略进行设定的.在Windows 2000域中,账户策略是通过域的组策略设置和强制执行的。在其它GPO中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策略。账户策略中包括密码策略、账户锁定策略和kerberos策略的安全设置。3如何关闭不要的端口和服务4。简述安全操作系统的机制。第9章(P274)一、选择题1。 RSA算法是一种基于大数不可能质因数分解假设的公钥体系。2。 下面哪个属于对称算法序列算法.3. DES算法的入口参数有3个:Key,Da

28、ta和Mode。其中Key为 64位,是DES算法的工作密钥。4. PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件。二、填空题1。 两千多年前,罗马国王就开始使用目前称为“恺撒密码”的密码系统。2。 2004年8月,山东大学信息安全所所长王小云在国际会议上首次宣布了她及她的研究小组对MD5、HAVAL128、MD4和RIPEMD等四个著名密码算法的破译结果。3. 除了提供机密性外,密码学需要提供三方面的功能:鉴别、完整性和抗抵赖性。4。 数字水印应具有3个基本特性: 隐藏性、鲁棒性和安全性5. 用户公私钥对产生有两种方式:用户自己产生的密钥对和CA为用户产生的密钥对。6。 常见的信任

29、模型包括4种:严格层次信任模型、分布式信任模型、以用户为中心的信任模型和交叉认证模型。三、 简答题,1. 密码学包含哪些概念?有什么功能?答:密码学主要包含三个方面,密码算法、密码协议、安全保密协议2简述对称加密算法的基本原理.答:对称算法又叫传统密码算法:加密密钥能够从解密密钥中推算出来,反过来也成立.对称算法要求发送者和接收者在安全通信之前,协商一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加解密.对称算法的加密和解密表示为:EK(M)=CDK(C)=M4.简述公开密钥算法的基本原理。答:加密的传统方法只用一把密钥加密.发出讯息者用这把钥匙对讯息加密。接收讯息者

30、需要有完全相同的钥匙才能将加密了的讯息解密。这把钥匙必须以一种其他人没有机会得到它的方式给予接收讯息者。如果其他人得到了这把钥匙,这种加密方式就没用了。使用一种称为”公开钥匙的方法可以解决这个问题。公开钥匙的概念涉及两把钥匙。一把钥匙称为”公开钥匙(公钥),可以以所有方式传递,任何人都可以得到.另一把钥匙称为隐密钥匙(密钥)。这把钥匙是秘密的,不能传递出去.只有它的拥有者才能接触和使用它。如果正确实施了这种方法,从公钥不能得出密钥。发出讯息者以接收讯息者的公钥将讯息加密,接收者则以自己的密钥解密.第10章(P301)一、选择题1. 仅设立防火墙系统,而没有安全策略,防火墙就形同虚设。2. 下面

31、不是防火墙的局限性的是不能阻止下载带病毒的数据。3.分组过滤防火墙作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。4. 下面的说法错误的是 DMZ网络处于内部网络里,严格禁止通过DMZ网络直接进行信息传输.5。 下面不属于入侵检测分类依据的是 静态配置.二、填空题1.防火墙是一种网络安全保障技术,它用于增强内部网络安全性,决定外界的哪些用户可以访问内部的哪些服务,以及哪些外部站点可以被内部人员访问。2。 常见的防火墙有3种类型:分组过滤防火墙,应用代理防火墙,状态检测防火墙。3。 常见防火墙系统一般按照4种模型构建:筛选路由

32、器模型、单宿主堡垒主机(屏蔽主机防火墙)模型、双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。4。 入侵检测是一种增强系统安全的有效方法,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动.5. 入侵检测的3个基本步骤:信息收集、 数据分析和响应。三、简答题2。 简述防火墙的分类,并说明分组过滤防火墙的基本原理。答: 防火墙有3种类型:分组过滤防火墙、应用代理防火墙和状态检测防火墙.分组过滤防火墙的基本原理:(1)防火墙审查每个数据包以便确定其是否与某一条过滤规则相匹配。(2)过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议、TCP、

33、UDP目的端口和ICMP消息类型等。 (3)如果包的信息匹配规则,那么该数据报就会按照路由表中的信息被转发。如果不匹配规则,用户配置的默认参数会决定是转发还是丢弃数据包。3.常见的防火墙类型有哪些?比较它们的优点。答:1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。2代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端

34、程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。3复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务.4其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙.双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽

35、主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。3。什么是入侵检测系统?简述入侵检测系统目前面临的挑战、 入侵检测系统指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。 面临的挑战:(1) 缺乏共享数据的机制。(2) 缺乏集中协调的机制.(3) 缺乏揣摩数据在一段时间内

36、变化的能力。(4) 缺乏有效的跟踪分析。第11章选择题1. AH协议、ESP协议可以证明数据的起源地、保障数据的完整性及防止相同数据包在internet重播。2. ESP除了AH提供的所有服务之外,还提供机密性服务.3. 快速交换作用是为除IKE之外的协议协商安全服务。4. IPsec协议属于网络层上的安全机制。填空题1. IPsec弥补了IPV4在协议设计时缺乏安全性考虑的不足。2. IPsec协议族包括两个安全协议:AH 协议和ESP协议。3. IPsec的作用方式有两种:传输方式和隧道方式,他们都可用于保护通信.4. 对于第一阶段,IKE交换基于两种模式:主模式和野蛮模式,5. 虚拟专用

37、网(vpn)指通过一个公用网络建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道,是对企业内部网的扩张。6. IKE是一种“混合型”协议,它建立在由ISAKMP定义的一个框架上,同时实现了Oakley和SKEME协议的一部分。7. Microsoft和cisco公司把pptp协议和l2f协议的优点结合在一起,形成了L2TP协议。8. SSL被设计用来提供一个可靠的端到端的安全服务,为两个通信个体之间提供保密性和完整性。简答题1。说明IP安全的必要性。IP包本身并不具备任何安全特性,导致在网络上传输的数据很容易受到各种各样的攻击,比如伪造IP包地址、修改改其内容,重播以前的包,以及

38、在传输涂中拦截并查看包的内容 2、简述IP安全的作用方式 第12章 选择题1. 在设计网络安全方案中,系统是基础、人是核心,管理是保证。2. 常用的安全产品有防火墙、防病毒、身份认证、传输加密。填空题1. 安全原则体现在5个方面:动态性、唯一性、整体性、专业性和严密性.2. 安全服务不是产品化的东西,而是通过技术向用户提供的持久支持。对于不断更新的安全技术、安全风险和安全威胁,其作用变得越来越重要。3. 实际安全风险分析一般从4个方面进行分析:网络的风险和威胁分析,系统的风险和威胁分析、应用的分析和威胁分析,对网络、系统和应用的风险及威胁的具体实际的详细分析。3. 设计网络安全方案需要注意哪些方面?要从以下三个方面:(1) 首先了解用户实际网络系统环境,对当前可能遇到的安全和威胁做一个量化和评估,这样才能写出一份客观的解决方案,(2) 动态安全是一个很重要的概念,也是网络安全方案与其他项目方案的最大区别。(3) 网络安全没有绝对的安全,只有相对的安全,在设计网络安全方案时,以一种客观的态度来写,不夸大也不缩小,写的实实在在,让人信服接受。11

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 教育专区 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服