第7章 网络安全与道德规范
- 格式:ppt
- 大小:411.00 KB
- 文档页数:47


1 / 12 第七章 防火墙技术
防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。与防火墙一起起作用的就是“门”。如果没有门,各房间的人将无法沟通。当火灾发生时,这些人还须从门逃离现场。这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小门的墙。这些小门就是用来留给那些允许进行的通信,在这些小门中安装了过滤机制。
网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防止发生不可预测的、潜在破坏性的侵入。
典型的防火墙具有以下三个方面的基本特性:
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络的连接处,比如用户网络和Internet之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
(2)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络流量通过相应的网络接口接收上来,按照协议栈的层次结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
《网络安全与管理》试题一
一.单项选择题
1. 在以下人为的恶意攻击行为中,属于主动攻击的是( A )
A. 数据篡改及破坏
B. 数据窃听
C. 数据流分析
D. 非法访问
2. 数据完整性指的是( C )
A. 保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密
B. 提供连接实体身份的鉴别
C. 防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息 完全一致
D. 确保数据数据是由合法实体发出的
3. 以下算法中属于非对称算法的是( B )
A. DES
B. RSA算法
C. IDEA
D. 三重DES
4. 在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是( B )
A. 非对称算法的公钥
B. 对称算法的密钥
C. 非对称算法的私钥
D. CA中心的公钥
5. 以下不属于代理服务技术优点的是( D )
A. 可以实现身份认证
B. 内部地址的屏蔽和转换功能
C. 可以实现访问控制
D. 可以防范数据驱动侵袭
6. 包过滤技术与代理服务技术相比较( B )
A. 包过滤技术安全性较弱、但会对网络性能产生明显影响
B. 包过滤技术对应用和用户是绝对透明的
C. 代理服务技术安全性较高、但不会对网络性能产生明显影响
D. 代理服务技术安全性高,对应用和用户透明度也很高
7. "DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度?" ( B )
A. 56位
B. 64位
C. 112位
D. 128位
8. 黑客利用IP地址进行攻击的方法有:( A )
A. IP欺骗
B. 解密
C. 窃取口令
D. 发送病毒
9. 防止用户被冒名所欺骗的方法是: ( A )
A. 对信息源发方进行身份验证 B. 进行数据加密
C. 对访问网络的流量进行过滤和保护
1 Chap7-习 题
一、选择题
1.下列情况中,( C )破坏了信息的完整性。
A.假冒他人地址发送数据 B.不承认做过信息的递交行为
C.数据在传输中被篡改 D.数据在传输中被窃听
2.下列描述不正确的是( C )。
A.所有软、硬件都存在不同程度的漏洞
B.利用自动分析软件可以帮助系统管理员查找系统漏洞,加强系统安全性
C.网络环境下只需要保证服务器没有病毒,整个系统就可以免遭病毒的破坏
D.Windows NTFS文件系统比FAT32文件系统具有更高的安全性
3.向有限的空间输入超长的字符串是( A )攻击手段。
A.缓冲区溢出 B.网络监听 C.端口扫描 D.IP欺骗
4.对称式加密法采用的是( B )。
A.RSA算法 B.DES算法 C.背包密码 D.ElGamal算法
5.通常使用( A )保证只允许用户在输入正确的保密信息时才能进入系统。
A.口令 B.命令 C.序列号 D.公文
6.为了防御网络监听,最常用的方法是( B )。
A.采用专人传送 B.信息加密 C.使用无线网传输 D.使用专线传输
7.下列关于防火墙的说法,不正确的是( C )。
A.防止外界计算机病毒侵害的技术 B.阻止病毒向网络扩散的技术
C.隔离有硬件故障的设备 D.一个安全系统
8.下列描述的不属于防火墙的重要行为的是( D )。
A.准许 B.限制 C.日志记录 D.问候访问者
9.进行入侵检测的软硬件结构称为( C )。
A.防火墙 B.防入侵交换机 C.入侵检测系统 D.操作系统
10.以下哪项不是入侵检测系统利用的信息( C )。
A.系统和网络日志文件 B.目录和文件中的不期望的改变
C.数据包头信息 D.程序执行中的不期望行为
11.下列关于网络病毒描述错误的是( A )。
试题第 1 页 共 4页 网络安全理论与技术练习题二 一、单项选择题,在每小题列出的四个选项中只有一个选项是符合题目要求的,请将正确选项前的字母填在括号内。 1. 网络安全是分布网络环境中对( )提供安全保护。 A.信息载体 B.信息的处理、传输 C.信息的存储、访问 D.上述3项皆是 2. 完整性服务提供信息的正确性。该服务必须和( )服务配合工作,才能对抗篡改攻击。 A.机密性 B.可用性 C.可审性 D.以上3项都是 3. 基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是( )。 A.公钥认证 B.零知识认证 C.共享密钥认证 D.口令认证 4. 为了简化管理,通常对访问者( ),避免访问控制表过于庞大。 A.分类组织成组 B.严格限制数量 C.按访问时间排序,并删除一些长期没有访问的用户 D.不作任何限制AS 5. ISO7498-2从体系结构的观点描述了5种普通性的安全机制,这5种安全机制下不包括( ) A.可信功能 B.安全标号 C.事件检测 D.数据完整性机制 6. CA属于ISO安全体系结构中定义的( )。 A.认证交换机制 B.通信业务填充机制 C.路由控制机制 D.公证机制 7. IPSec协议中负责对IP数据报加密的部分是( )。 A.封装安全负载(ESP) B.鉴别包头(AH) C.Internet密钥交换(IKE) D.安全套接层协议(SSL) 8. SSL产生会话密钥的方式是( )。 A.从密钥管理数据库中请求获得 B.每一台客户机分配一个密钥的方式 C.随机由客户机产生并加密后通知服务器 D.由服务器产生并分配给客户机 9. GRE协议( )。 A.既封装,又加密 B.只封装,不加密 C.不封装,只加密 D.不封装,不加密 10. IKE协商的第一阶段可以采用( )。 A.主模式、快速模式 B.新组快速模式、积极模式 C.主模式、积极模式 D.新组模式 试题第 2 页 共 4页 二、填空题 1. 对称密钥密码技术从加密模式上可分为 和___________两类。 2. Netscape通信公司制定了建立在可靠的传输服务基础上的安全套接层协议(SSL)。该协议产生密钥的方式是________________________。 3. 防火墙的主要性能指标有________________、________________、时延、________________、并发连接数。 4. ISO安全体系结构中包含____________种安全服务。 5. 在隧道技术中,属于第二层的VPN隧道协议有__________、__________和__________。 三、判断题,只要求判断对错,不要求更正。 1. 对攻击可能性的分析在很大程度上带有盲目性( )。 2. Kerberos在请求访问应用服务器之前,必须向Ticket Granting 服务器请求应用服务器ticket( )。 3. 审计机制不属于ISO/OSI安全体系结构的安全机制( )。 4. 一个报文的端到端传递由OSI模型的应用层负责处理( )。 5. 防火墙是建立在内外网络边界上的一类安全保护机制,它的安全架构基于加密技术。 6. GRE协议必须提供验证服务( )。 7. SSL产生会话密钥的方式是随机由客户机产生并加密后通知服务器( )。8. IPSec协议中负责对IP数据报加密的部分是Internet密钥交换(IKE)( )。 9. “会话侦听与劫持技术”是属于协议漏洞渗透的技术( )。 10. 动态网络地址转换(NAT)就是外部网络地址和内部地址一对一的映射关系( )。 四、综合应用题 1、简述网络安全所具有的基本属性。 试题第 3 页 共 4页 2、画出在实施网络攻击中,黑客攻击的流程图并给予说明。 3、入侵检测系统的设置分为哪几个基本步骤?并画出其相应的流程图。 4、X.509建议将所有CA以层次结构组织起来,如下图所示。用户A可从目录中得到相应的证书以建立到B的证书链,请写出用户A到B的证书链。 CXWAVUZBY试题第 4 页 共 4页 5、请根据以下防火墙体系结构的示意图,回答下述问题。 ⑴:图中所表示的防火墙体系结构属于哪种常见防火墙体系结构类型? ⑵:图中的堡垒主机主要完成的工作是什么?