網(wǎng)絡(luò)安全平時(shí)作業(yè)與復(fù)習(xí)提綱(含答案).doc

1、 描述五種基本安全技術(shù)的方法和作用。（第一章）P14答：1）.防火墻技術(shù)：內(nèi)部網(wǎng)絡(luò)(可信賴的網(wǎng)絡(luò))和外部網(wǎng)絡(luò)(不可信賴的網(wǎng)絡(luò))之間的屏障，按照安全規(guī)則來控制數(shù)據(jù)包的進(jìn)出。工作方式：過濾器：檢查數(shù)據(jù)包的來源和目的地；數(shù)據(jù)包內(nèi)容掃描：根據(jù)規(guī)定接收或拒絕數(shù)據(jù)包；數(shù)據(jù)包模式檢查：是否符合已知“友好”數(shù)據(jù)包的位模式。2）加密技術(shù)：信息的重新組合，使得只有收發(fā)雙方才能解碼并還原信息的一種手段。目前，加密正逐步被集成到系統(tǒng)和網(wǎng)絡(luò)中，如IETF正在發(fā)展的下一代網(wǎng)際協(xié)議IPv6。硬件方面，Intel公司也在研制用于PC機(jī)和服務(wù)器主板的加密協(xié)處理器。3）.身份認(rèn)證技術(shù)：防火墻是系統(tǒng)的第一道防線，用以防止非法數(shù)據(jù)的侵入，而安全檢查的作用則是阻止非法用戶。認(rèn)證方式：密碼、人體生理特征(如指紋)的識(shí)別、智能IC卡或USB盤4）.數(shù)字簽名技術(shù)：證明消息確實(shí)是由發(fā)送者簽發(fā)的；驗(yàn)證數(shù)據(jù)或程序的完整性5）. 內(nèi)容檢查技術(shù)：反病毒軟件可以清除E-mail病毒；完善防火墻可以對(duì)付新型Java和ActiveX病毒2、 描述替代密碼和置換密碼所使用的加密方法。（第二章）P20替代密碼：明文中的每一個(gè)字符被替換為另外一個(gè)字符得到密文；逆替換恢復(fù)明文置換密碼：重排明文的字母順序得到密文；逆重排恢復(fù)明文3、 描述D-H算法的過程與作用。（第四章）P57用于密鑰分配，其安全性基于計(jì)算離散對(duì)數(shù)的困難性。DH算法過程：1）、相互產(chǎn)生密鑰對(duì)2）、交換公鑰3）、用對(duì)方的公鑰和自己的私鑰運(yùn)行DH算法得到一個(gè)密鑰X4）、A產(chǎn)生一個(gè)對(duì)稱加密密鑰加密數(shù)據(jù)，同時(shí)用密鑰X加密這個(gè)對(duì)稱的加密密鑰并發(fā)送給B5）、B用密鑰X解密對(duì)稱的加密密鑰，得到對(duì)稱的加密密鑰6）、B用這個(gè)對(duì)稱的加密密鑰來解密A的數(shù)據(jù)4、 描述PGP系統(tǒng)的過程與作用。（第四章）PGP(Pretty Good Privacy)：基于RSA與IDEA的開源的加密郵件軟件發(fā)送方生成新的IDEA密鑰k（對(duì)稱） 用對(duì)方RSA公鑰加密k，用k加密郵件信息m，一起發(fā)送接收方用本方RSA私鑰解密得到k用k解密郵件信息5、 描述同步洪水攻擊（SYN FLOOD）的目的、所利用的協(xié)議機(jī)制和攻擊方法。（第五章）P79目的：使目標(biāo)主機(jī)無法對(duì)正常的連接請(qǐng)求進(jìn)行應(yīng)答利用：三次握手協(xié)議的實(shí)現(xiàn)機(jī)制主機(jī)在接收到SYN請(qǐng)求時(shí)，必須在偵聽隊(duì)列中對(duì)此連接請(qǐng)求保持75秒的跟蹤；由于資源有限，主機(jī)能夠打開的連接數(shù)有限。方法：攻擊者向主機(jī)發(fā)送多個(gè)SYN請(qǐng)求，且不應(yīng)答對(duì)其返回的SYN+ACK包，使其偵聽隊(duì)列被阻塞，從而無法接受其它新的（正常的）連接請(qǐng)求，直到部分打開的連接完成或者超時(shí)。6、 描述Smurf攻擊的目的、所利用的協(xié)議機(jī)制和攻擊方法。（第五章）P90目的：使大量通信充斥目標(biāo)系統(tǒng)，發(fā)生DoS(拒絕服務(wù))利用：廣播機(jī)制和ICMP響應(yīng)優(yōu)先機(jī)制手段：攻擊者偽裝成目標(biāo)主機(jī)(IP地址欺騙)，向一個(gè)具有大量主機(jī)的廣播地址（稱為反彈站點(diǎn)）發(fā)送一個(gè)欺騙性ping分組(源地址就是攻擊者希望攻擊的系統(tǒng))，使廣播地址網(wǎng)段中的所有主機(jī)都向目標(biāo)主機(jī)發(fā)送echo響應(yīng)，導(dǎo)致目標(biāo)系統(tǒng)被大量的echo信息吞沒，阻止了該系統(tǒng)為正常請(qǐng)求提供服務(wù)。7、 比較IPSec的兩種操作模式的異同（保護(hù)對(duì)象、安全技術(shù)、實(shí)施要求等）。（第6章）P121答：傳輸模式：只保護(hù)IP包的有效負(fù)載，并不修改原IP協(xié)議報(bào)頭，容易受到流量監(jiān)視和分析；可使用認(rèn)證和加密技術(shù)（AH認(rèn)證， ESP認(rèn)證和加密）；要求收發(fā)端點(diǎn)必須支持對(duì)IPSec協(xié)議的處理。隧道模式：保護(hù)原來的整個(gè)IP包，并生成新的IP協(xié)議報(bào)頭，同時(shí)保護(hù)原IP包內(nèi)數(shù)據(jù)和報(bào)頭信息；隱藏原IP協(xié)議報(bào)頭可避免受到流量監(jiān)視和分析；可使用認(rèn)證和加密技術(shù)（AH認(rèn)證， ESP認(rèn)證和加密）；允許在網(wǎng)關(guān)設(shè)備或在收發(fā)端點(diǎn)完成對(duì)IPSec協(xié)議的處理，如果網(wǎng)關(guān)設(shè)備支持IPSec的實(shí)施，則不需修改子網(wǎng)內(nèi)機(jī)器的系統(tǒng)或應(yīng)用程序。8、 描述狀態(tài)檢測(cè)防火墻的思想與方法。（第10章）P197 10.2.4 + P218 10.5.9答：思想：基于包過濾技術(shù)，增加包和包之間的安全上下文檢查，利用連接的狀態(tài)信息做出決策方法：包在發(fā)送前，先在檢測(cè)模塊中檢測(cè)，其信息保留在為評(píng)價(jià)后續(xù)連接企圖的動(dòng)態(tài)狀態(tài)表(庫)中，為后續(xù)連接的處理策略提供處理依據(jù)9、 描述X.509強(qiáng)認(rèn)證程序的實(shí)現(xiàn)機(jī)制。（第8章）答：實(shí)現(xiàn)機(jī)制：引入認(rèn)證中心(Certificate Authority，CA，可信第三方) ，為每位網(wǎng)絡(luò)用戶簽發(fā)電子證書（將每用戶公鑰與個(gè)人身份結(jié)合的數(shù)據(jù)，使用CA的私鑰簽名；對(duì)用戶公鑰、用戶身份和CA簽名實(shí)現(xiàn)綁定及以目錄形式發(fā)布，合稱電子證書或數(shù)字證書）。用戶間認(rèn)證時(shí)使用電子證書，驗(yàn)證流程如下，其中公鑰環(huán)即CA目錄服務(wù)器；明文為某約定輸入集合，如對(duì)方的名字，時(shí)間等。10、 描述檢測(cè)病毒的主要方法。（第14章）P306答：特征代碼法：選定好的病毒特征代碼（程序文件中的若干連續(xù)字節(jié)串）是病毒掃描程序的精華所在（代表性與效率兼顧），無法檢測(cè)未知病毒、多態(tài)病毒、在掃毒前從宿主剝離代碼的病毒；校驗(yàn)和法：1）保存正常文件的校驗(yàn)和，2）在文件使用前按照文件現(xiàn)有內(nèi)容重新算校驗(yàn)和，3）與原來保存的校驗(yàn)和進(jìn)行比較，確認(rèn)文件是否被感染可發(fā)現(xiàn)未知病毒；但不能識(shí)別病毒類和病毒名稱，而且不能區(qū)分文件的正常變動(dòng)，且產(chǎn)生誤報(bào)行為檢測(cè)法：監(jiān)測(cè)病毒的共同的特殊的行為（復(fù)制、隱蔽、修改系統(tǒng)設(shè)置、占用內(nèi)存、以及爭(zhēng)奪系統(tǒng)控制等）；可發(fā)現(xiàn)未知病毒，但不能識(shí)別病毒類和病毒名稱，并可能產(chǎn)生誤報(bào)軟件模擬法：針對(duì)多態(tài)形病毒，使用軟件模擬系統(tǒng)環(huán)境，引誘和監(jiān)視病毒的運(yùn)行以實(shí)現(xiàn)檢測(cè)和識(shí)別。是改進(jìn)的特征代碼法比較法：用原始備份與被檢測(cè)的數(shù)據(jù)進(jìn)行比較；是笨重的校驗(yàn)和法分析法：針對(duì)新病毒的研究時(shí)使用（代碼分析和動(dòng)態(tài)跟蹤）題型與分值1、 單項(xiàng)選擇題（每題2分，共30分）2、 填空題（每空2分，共22分）3、 簡(jiǎn)答題（每題6分，共18分）4、 綜合題（每題10分，共30分）（包括若干小問題）提綱：（答案是本人總結(jié)的答案，如若有錯(cuò)，概不負(fù)責(zé)）第1章1、 基本安全技術(shù)第2章1、 加密系統(tǒng)模型 Dk2(E k1(M)=M，M為明文，E k1為加密（encrypt）算法，Dk2為解密（decode）算法2、 替代密碼和置換密碼，密鑰的作用密鑰用于對(duì)明文進(jìn)行加密和對(duì)密文進(jìn)行解密。3、 對(duì)稱密碼體系：概念和優(yōu)點(diǎn)對(duì)稱密鑰密碼體系也叫密鑰密碼體系，它是指消息發(fā)送方和消息接收方必須使用相同的密鑰，該密鑰必須保密。發(fā)送方用該密鑰對(duì)待發(fā)消息進(jìn)行加密，然后將消息傳輸至接收方，接收方再用相同的密鑰對(duì)收到的消息進(jìn)行解密。優(yōu)點(diǎn)是計(jì)算開銷小，算法簡(jiǎn)單，加密解密速度快，是目前用于信息加密的主要算法。第3章1、 概念及通用算法MD5、SHA、MAC第4章1、 公鑰密碼體系：概念、安全基礎(chǔ)和優(yōu)點(diǎn)非對(duì)稱密碼體制也叫公鑰加密技術(shù)，該技術(shù)就是針對(duì)私鑰密碼體制的缺陷被提出來的。在公鑰加密系統(tǒng)中，加密和解密是相對(duì)獨(dú)立的，加密和解密會(huì)使用兩把不同的密鑰，加密密鑰(公開密鑰)向公眾公開，誰都可以使用，解密密鑰(秘密密鑰)只有解密人自己知道，非法使用者根據(jù)公開的加密密鑰無法推算出解密密鑰，顧其可稱為公鑰密碼體制。RSA密碼系統(tǒng)的安全性：基于大數(shù)分解的困難性（陷門單向函數(shù)：求一對(duì)大素?cái)?shù)的乘積很容易，但要對(duì)這個(gè)乘積進(jìn)行因式分解則非常困難）陷門單向函數(shù)是當(dāng)不知道陷門信息的情況下求逆困難，而知道陷門的情況下求逆容易的函數(shù)。非對(duì)稱密碼體制的優(yōu)點(diǎn)在于：首先，在多人之間進(jìn)行保密信息傳輸所需的密鑰組和數(shù)量很??；第二，密鑰的發(fā)布不成問題；第三，公開密鑰系統(tǒng)可實(shí)現(xiàn)數(shù)字簽名。缺點(diǎn)：公開密鑰加密比私有密鑰加密在加密解密時(shí)的速度慢。2、 RSA算法：加密和簽名加密：首先將消息m分成大小比n小的數(shù)據(jù)分組，對(duì)分組mi進(jìn)行加密： 公鑰加密算法中使用最廣的是RSA。RSA使用兩個(gè)密鑰，一個(gè)公共密鑰，一個(gè)專用密鑰。如用其中一個(gè)加密，則可用另一個(gè)解密，密鑰長(zhǎng)度從40到2048bit可變，加密時(shí)也把明文分成塊，塊的大小可變，但不能超過密鑰的長(zhǎng)度，RSA算法把每一塊明文轉(zhuǎn)化為與密鑰長(zhǎng)度相同的密文塊。RSA數(shù)字簽名算法，包括簽名算法和驗(yàn)證簽名算法。首先用MD5算法對(duì)信息作散列計(jì)算。簽名的過程需要用戶的私鑰，驗(yàn)證過程需要用戶的公鑰。A用簽名算法將字符串形式的消息處理成簽名；B用驗(yàn)證簽名算法驗(yàn)證簽名是否是A對(duì)消息的簽名，確認(rèn)是A發(fā)送的消息；消息沒有被篡改過；A一定發(fā)送過消息。3、 Diffie-Hellman算法：密鑰交換Diffie-Hellman:一種確保共享KEY安全穿越不安全網(wǎng)絡(luò)的方法，它是OAKLEY的一個(gè)組成部分。Whitefield與Martin Hellman在1976年提出了一個(gè)奇妙的密鑰交換協(xié)議，稱為Diffie-Hellman密鑰交換協(xié)議/算法(Diffie-Hellman Key Exchange/Agreement Algorithm).這個(gè)機(jī)制的巧妙在于需要安全通信的雙方可以用這個(gè)方法確定對(duì)稱密鑰。然后可以用這個(gè)密鑰進(jìn)行加密和解密。但是注意，這個(gè)密鑰交換協(xié)議/算法只能用于密鑰的交換，而不能進(jìn)行消息的加密和解密。雙方確定要用的密鑰后，要使用其他對(duì)稱密鑰操作加密算法實(shí)際加密和解密消息。第5章1、 源路由欺騙：方法和目的偽造具有假的源IP地址的包；偽裝可信主機(jī)攻擊服務(wù)器2、 死亡之ping：方法和目的產(chǎn)生單個(gè)包的長(zhǎng)度超過了IP協(xié)議定的包長(zhǎng)度；這很容易導(dǎo)致系統(tǒng)進(jìn)入非穩(wěn)定狀態(tài)，是一種典型的緩存溢出攻擊。3、 淚滴：方法和目的重疊(Overlap)：一種違規(guī)操作，某IP包被切割后，在各以太網(wǎng)幀分片中存在重復(fù)的部分（既在前一分片，又在后一分片）協(xié)議實(shí)現(xiàn)時(shí)的漏洞：如果存在重疊段的分片包的長(zhǎng)度小于重疊部分長(zhǎng)度(后面的分片整個(gè)落入前面的分片中) ，內(nèi)核將無法進(jìn)行正常處理4、 LAND：方法和目的將TCP包的源地址和目的地址都設(shè)置成目的主機(jī)的IP地址，源端口和目的端口都設(shè)置成相同，但是對(duì)應(yīng)的端口所提供的服務(wù)器必須是激活的。LAND攻擊可以非常有效地使目標(biāo)機(jī)器重新啟動(dòng)或者死機(jī)。5、 IP欺騙：方法和目的入侵者偽造具有假的源IP地址的包，該地址是目標(biāo)主機(jī)的可信任地址，利用基于IP地址認(rèn)證的應(yīng)用程序，其結(jié)果是使未授權(quán)的遠(yuǎn)端用戶進(jìn)入帶有防火墻的主機(jī)系統(tǒng)。6、 同步洪水：方法和目的7、 UDP FRAGGLE / ICMP Smurf：方法和目的8、 ARP緩存中毒/ DNS欺騙：方法和目的ARP攻擊 ARP重定向 目的：惡意主機(jī)假冒路由器，導(dǎo)致主機(jī)發(fā)送數(shù)據(jù)到錯(cuò)誤的目的（惡意主機(jī)竊聽或引發(fā)拒絕服務(wù)）利用：ARP響應(yīng)與ARP請(qǐng)求之間沒有特定關(guān)系手段：緩存中毒(Cache Poisoning)，發(fā)送虛假ARP響應(yīng)，包含惡意主機(jī)的硬件地址對(duì)路由器IP地址的映射。這樣所有發(fā)往路由器的包都將送往惡意主機(jī)DNS欺騙目的：欺騙基于域名認(rèn)證的主機(jī)利用：目標(biāo)主機(jī)信任DNS的域名查詢結(jié)果手段：控制一臺(tái)Internet上的授權(quán)DNS服務(wù)器，或至少能修改這臺(tái)服務(wù)器的DNS記錄修改DNS記錄，映射目標(biāo)主機(jī)的信任者的域名為入侵主機(jī)的IP入侵主機(jī)直接連接目標(biāo)主機(jī)，欺騙其信任服務(wù)第6章1、 VPN：概念和優(yōu)點(diǎn)、可實(shí)現(xiàn)哪些安全基本要素VPN提供一種在公共網(wǎng)絡(luò)上實(shí)現(xiàn)網(wǎng)絡(luò)安全保密通信的方法。通過基于共享的IP網(wǎng)絡(luò)，VPN為用戶遠(yuǎn)程接入，外部網(wǎng)和內(nèi)聯(lián)網(wǎng)連接提供安全而穩(wěn)定的通信隧道，而其費(fèi)用比專用租用線路低得多。VPN通過在共享網(wǎng)絡(luò)當(dāng)中開挖一條保密隧道的技術(shù)來仿真一條點(diǎn)對(duì)點(diǎn)連接，用于發(fā)送和接受加密的數(shù)據(jù)。VPN的高級(jí)安全特性可以有效保護(hù)在隧道中傳輸?shù)臄?shù)據(jù)。VPN網(wǎng)絡(luò)中的通信信息是保密的，實(shí)現(xiàn)安全機(jī)制：數(shù)據(jù)加密數(shù)據(jù)源認(rèn)證密鑰的安全產(chǎn)生和及時(shí)更新分組重放攻擊和欺騙攻擊保護(hù)2、 安全關(guān)聯(lián)：概念和作用安全關(guān)聯(lián)（英語：Security association，縮寫為SA），又譯為安全性關(guān)聯(lián)、安全群組、安全參數(shù)組合，為了提供安全的通訊環(huán)境，在兩個(gè)網(wǎng)絡(luò)實(shí)體之間，所建立起的共享網(wǎng)絡(luò)安全屬性。一個(gè)安全關(guān)聯(lián)中，在網(wǎng)絡(luò)連線前，要先交換網(wǎng)絡(luò)資料參數(shù)，包含了加密模式與加密算法，安全加密金鑰等。網(wǎng)絡(luò)安全關(guān)聯(lián)與金鑰管理協(xié)定（Internet Security Association and Key Management Protocol，縮寫為ISAKM，或ISAKMP）提供了安全關(guān)聯(lián)的基礎(chǔ)框架?；ヂ?lián)網(wǎng)金鑰交換提供了金鑰交換的機(jī)制。3、 IPSec的兩種操作模式4、 AH和ESP的作用認(rèn)證報(bào)頭協(xié)議(AH)提供數(shù)據(jù)完整性、數(shù)據(jù)源身份驗(yàn)證服務(wù)封裝安全有效載荷(ESP)提供機(jī)密性、數(shù)據(jù)源的身份驗(yàn)證、數(shù)據(jù)的完整性和抗重播服務(wù)5、 IKE的作用IKE(Internet Key Exchange，ISAKMP/Oakley)在兩個(gè)實(shí)體之間建立一條經(jīng)過認(rèn)證的安全隧道，并對(duì)用于IPSec的安全關(guān)聯(lián)進(jìn)行協(xié)商。第7章1、 SSL的作用和體系結(jié)構(gòu)位于TCP/IP和應(yīng)用層協(xié)議之間，為應(yīng)用層數(shù)據(jù)提供認(rèn)證和加密，是兩個(gè)進(jìn)程之間的隧道SSL兩層協(xié)議結(jié)構(gòu)：SSL記錄協(xié)議，規(guī)定數(shù)據(jù)傳輸格式SSL握手協(xié)議(包括改變密碼規(guī)范協(xié)議和告警協(xié)議)，實(shí)現(xiàn)服務(wù)器和客戶之間的相互認(rèn)證、協(xié)商加密和MAC算法、協(xié)商加密密鑰2、 SSL握手協(xié)議的工作過程1）客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接；2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；4）服務(wù)器回復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。第8章1、 身份認(rèn)證的基本方法及各自的特點(diǎn)基于用戶知道什么的身份認(rèn)證：口令用戶輸入用戶標(biāo)識(shí)和口令(或PIN碼)系統(tǒng)對(duì)輸入的口令與此前為該用戶標(biāo)識(shí)存儲(chǔ)的口令進(jìn)行比較如果匹配，該用戶就可得到授權(quán)并獲得訪問權(quán)基于用戶擁有什么的身份認(rèn)證：令牌 記憶令牌(磁卡、ATM卡) 只存儲(chǔ)信息，和身份識(shí)別碼 (口令)一起使用 智能卡采用內(nèi)置微處理器，支持多種接口和協(xié)議，支持挑戰(zhàn)應(yīng)答式的認(rèn)證基于用戶是誰的身份認(rèn)證：生物特征識(shí)別 生理屬性(如指紋、視網(wǎng)膜識(shí)別等) 行為屬性(如聲音識(shí)別、手寫簽名識(shí)別等)2、 Kerberos系統(tǒng)模型的技術(shù)基礎(chǔ)Kerberos是基于對(duì)稱密碼學(xué)（采用DES或其他算法），服務(wù)器與每個(gè)實(shí)體分別共享（對(duì)稱）密鑰，該密鑰便是實(shí)體身份的證明。3、 X.509的簡(jiǎn)單認(rèn)證和強(qiáng)認(rèn)證的技術(shù)基礎(chǔ)簡(jiǎn)單認(rèn)證(Simple Authentication)程序：使用最常見的口令(Password)認(rèn)證，安全度較低強(qiáng)認(rèn)證(Strong Authentication)程序：把用戶的公開密鑰封裝成證書，使用證書進(jìn)行認(rèn)證，高安全度4、 數(shù)字證書的使用數(shù)字證書頒發(fā)過程一般為：用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動(dòng)。數(shù)字證書由獨(dú)立的證書發(fā)行機(jī)構(gòu)發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級(jí)別的可信度?？梢詮淖C書發(fā)行機(jī)構(gòu)獲得您自己的數(shù)字證書。第10章5、 堡壘主機(jī)：概念和作用通常是指那些在安全方面能夠達(dá)到普通工作站所不能達(dá)到程度的計(jì)算機(jī)系統(tǒng)。作用：最大程度利用操作系統(tǒng)所提供的資源保護(hù)、審計(jì)和認(rèn)證機(jī)制等功能；刪除對(duì)完成既定任務(wù)不需要的應(yīng)用和服務(wù)來減少成為受害目標(biāo)的機(jī)會(huì)。一般用作高度安全的計(jì)算機(jī)網(wǎng)關(guān)。6、 防火墻的概念和工作方法它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項(xiàng)信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)?？烧J(rèn)為它是一種訪問控制機(jī)制，用于確定哪些內(nèi)部服務(wù)對(duì)外開放，以及允許哪些外部服務(wù)對(duì)內(nèi)部開放。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定IP包是否可以進(jìn)出企業(yè)網(wǎng)、防止非授權(quán)用戶訪問企業(yè)內(nèi)部、允許使用授權(quán)機(jī)器的用戶遠(yuǎn)程控制企業(yè)內(nèi)部、管理企業(yè)內(nèi)部人員對(duì)Internet的訪問。防火墻主要提供以下四種服務(wù)： (1) 服務(wù)控制：確定可以訪問的網(wǎng)絡(luò)服務(wù)類型。 (2) 方向控制：特定服務(wù)的方向流控制。 (3) 用戶控制：內(nèi)部用戶、外部用戶所需的某種形式的認(rèn)證機(jī)制。 (4) 行為控制：控制如何使用某種特定的服務(wù)。7、 技術(shù)：包過濾、應(yīng)用代理、電路級(jí)網(wǎng)關(guān)、狀態(tài)包檢測(cè)包過濾技術(shù)：根據(jù)包的頭部信息來決定是否要將包繼續(xù)傳輸，大部分的包過濾器只過濾最有用的數(shù)據(jù)域。應(yīng)用代理技術(shù)：禁止所有通過防火墻的直接連接在協(xié)議棧的最高層（應(yīng)用層)檢查每一個(gè)包，根據(jù)連接細(xì)節(jié)（識(shí)別應(yīng)用程序的命令等）實(shí)現(xiàn)各種安全策略內(nèi)建代理功能：在防火墻處終止客戶連接，并初始化一條到受保護(hù)內(nèi)部網(wǎng)絡(luò)的新連接，將內(nèi)部和外部系統(tǒng)隔離開來，從外面只看到代理服務(wù)器，而看不到任何內(nèi)部資源電路級(jí)網(wǎng)關(guān)技術(shù)： 監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，判斷該會(huì)話請(qǐng)求是否合法（代理連接發(fā)起階段的信息）；一旦會(huì)話連接有效，該網(wǎng)關(guān)建立兩個(gè)TCP連接（保護(hù)內(nèi)部資源），復(fù)制、傳遞數(shù)據(jù)，對(duì)會(huì)話建立后傳輸?shù)木唧w內(nèi)容不再作進(jìn)一步地分析 包過濾型防火墻允許內(nèi)外計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，而電路級(jí)網(wǎng)關(guān)無法IP直達(dá)（兩個(gè)TCP連接）狀態(tài)包檢測(cè)技術(shù)： 基于包過濾技術(shù)，狀態(tài)包檢測(cè)模式增加了包和包之間的安全上下文檢查，利用連接的狀態(tài)信息做出決策(網(wǎng)絡(luò)層) 包在發(fā)送前，先在檢測(cè)模塊中檢測(cè)，其信息保留在為評(píng)價(jià)后續(xù)連接企圖的動(dòng)態(tài)狀態(tài)表(庫)中，為后續(xù)連接的處理策略提供處理依據(jù) 允許直接連接內(nèi)部、外部主機(jī)系統(tǒng)8、 體系結(jié)構(gòu)的特點(diǎn)和示意圖：雙重宿主、屏蔽主機(jī)、屏蔽子網(wǎng)雙重宿主：圍繞至少有兩個(gè)網(wǎng)絡(luò)接口(NIC)的計(jì)算機(jī)構(gòu)筑，該計(jì)算機(jī)充當(dāng)網(wǎng)絡(luò)之間的代理服務(wù)器（而非路由器），禁止直接轉(zhuǎn)發(fā)功能(防火墻內(nèi)部、外部系統(tǒng)之間的IP通信被完全阻止)。屏蔽主機(jī)：外部網(wǎng)絡(luò)屏蔽路由器內(nèi)部網(wǎng)絡(luò)堡壘主機(jī)內(nèi)部網(wǎng)絡(luò)系統(tǒng)屏蔽路由器配置策略： 外-內(nèi)，所有通信由堡壘主機(jī)代理轉(zhuǎn)發(fā) 內(nèi)-外，允許某些服務(wù)直接經(jīng)由路由器的數(shù)據(jù)包過濾后轉(zhuǎn)發(fā)，某些服務(wù)必須由堡壘主機(jī)代理轉(zhuǎn)發(fā) 或 不允許任何服務(wù)直接經(jīng)由路由器轉(zhuǎn)發(fā)，所有服務(wù)必須由堡壘主機(jī)代理屏蔽子網(wǎng)：外部網(wǎng)絡(luò)外部屏蔽路由器邊界網(wǎng)絡(luò)堡壘主機(jī)內(nèi)部路由器內(nèi)部網(wǎng)絡(luò)系統(tǒng)（圖10-10所示）邊界網(wǎng)絡(luò)：隔離堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)，減輕堡壘主機(jī)被攻破造成的后果；放置不可靠的、較脆弱的服務(wù)內(nèi)部網(wǎng)絡(luò)：提供高安全要求的服務(wù)第11章1、 動(dòng)態(tài)安全模型動(dòng)態(tài)安全模型P2DR模型以安全策略（policy）為核心，運(yùn)用保護(hù)（protection）措施（身份認(rèn)證、防火墻等），利用檢測(cè)（detection）工具（漏洞評(píng)估、入侵檢測(cè)），通過響應(yīng)（response）機(jī)制將系統(tǒng)調(diào)整到“最安全”狀態(tài)。2、 入侵檢測(cè)的過程模型及該過程的各主要步驟入侵檢