信息安全和防火墻

111.2.1信息安全的概念和模型1．網(wǎng)絡(luò)安全的基本因素保密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并能判別出數(shù)據(jù)是否已被篡改?？捎眯裕旱玫绞跈?quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作(修一條馬路，不能堵車(chē))。合法性：每個(gè)想獲得訪問(wèn)的實(shí)體都必須經(jīng)過(guò)鑒別或身份驗(yàn)證（相互確認(rèn)身份）。2．網(wǎng)絡(luò)安全的組成物理安全、人員安全、符合瞬時(shí)電磁脈沖輻射標(biāo)準(zhǔn)、數(shù)據(jù)安全操作安全、通信安全、計(jì)算機(jī)安全、工業(yè)安全23．網(wǎng)絡(luò)安全模型34．網(wǎng)絡(luò)安全的基本任務(wù)（1）設(shè)計(jì)加密算法，進(jìn)行安全性相關(guān)的轉(zhuǎn)換；（2）生成算法使用的保密信息；（3）開(kāi)發(fā)分發(fā)和共享保密信息的方法；（4）指定兩個(gè)主體要使用的協(xié)議，并利用安全算法和保密信息來(lái)實(shí)現(xiàn)特定的安全服務(wù)。黑客和黑客手段黑客（英語(yǔ)：Hacker，或稱(chēng)駭客），是指對(duì)

計(jì)算機(jī)科學(xué)、編程和設(shè)計(jì)方面具高度理解的

人。依照RFC1392，“黑客”是“一位熱衷于研究

系統(tǒng)和計(jì)算機(jī)（特別是計(jì)算機(jī)網(wǎng)絡(luò)）內(nèi)部運(yùn)作秘密的人”。根據(jù)此定義黑客也可以包括很多計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)創(chuàng)造者。比如說(shuō)linus。黑客的特征誤區(qū)：

為了避免誤解，必須明確的區(qū)分開(kāi)Hacker與cracker的概念：Hacker1.一個(gè)對(duì)（某領(lǐng)域內(nèi)的）編程語(yǔ)言有足夠了解，對(duì)軟件開(kāi)發(fā)樂(lè)此不疲的人。2.喜愛(ài)編程（Coding）并享受在其中，變得更擅長(zhǎng)于編程的人。3.一個(gè)試圖破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的電腦安全漏洞。這群人往往被稱(chēng)做“白帽黑客”或“思匿客(sneaker)”。Hacker是一個(gè)通過(guò)知識(shí)或猜測(cè)而對(duì)某段程序做出（往往是好的）修改，并改變（或增強(qiáng)）該程序用途的人。cracker“駭客”（cracker）一詞一般有以下意義：一個(gè)惡意（一般是非法地）試圖破解或破壞某個(gè)程序、系統(tǒng)及網(wǎng)絡(luò)安全的人?！癱racker”不同于“Hacker”?！癱racker”沒(méi)有“Hacker”精神，也沒(méi)有道德標(biāo)準(zhǔn)?！癏acker”們建設(shè)，而“cracker”們破壞。腳本小子（scriptkiddie）

“腳本小子”則指那些完全沒(méi)有或僅有一點(diǎn)點(diǎn)黑客技巧，而只是按照指示或運(yùn)行某種駭客程序來(lái)達(dá)到破解目的的人。腳本小子是利用他人所編輯的程序來(lái)發(fā)起網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)鬧事者，他們通常不懂得攻擊對(duì)象的設(shè)計(jì)和攻擊程序的原理，不能自己調(diào)試系統(tǒng)發(fā)現(xiàn)漏洞，實(shí)際職業(yè)知識(shí)遠(yuǎn)遠(yuǎn)不如他們通常冒充的黑帽黑客。811.2.2安全威脅（對(duì)應(yīng)網(wǎng)絡(luò)安全基本因素）安全威脅是指某個(gè)人、物、事件或概念對(duì)某一資源的機(jī)密性、完整性、可用性（DoS）或合法性（非授權(quán)訪問(wèn)）所造成的危害。某種攻擊就是某種威脅的具體實(shí)現(xiàn)。91．基本的威脅信息泄漏或丟失針對(duì)信息機(jī)密性的威脅，它指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失包括：信息在傳輸中丟失或泄漏(如“黑客”們利用電磁泄漏或塔線竊聽(tīng)等方式可截獲機(jī)密信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶(hù)口令、賬號(hào)等重要信息)；信息在存儲(chǔ)介質(zhì)中丟失或泄漏；通過(guò)建立隱蔽通道等竊取敏感信息等。破壞數(shù)據(jù)完整性以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶(hù)的正常使用。拒絕服務(wù)不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶(hù)的使用，甚至使合法用戶(hù)被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。非授權(quán)訪問(wèn)沒(méi)有預(yù)先經(jīng)過(guò)同意就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。主要形式：假冒、身份攻擊、非法用戶(hù)進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶(hù)以未授權(quán)方式進(jìn)行操作等。安全威脅的分類(lèi)：安全威脅可分為植入和滲入。安全威脅可分為故意的（如黑客滲透）和偶然的（如信息被發(fā)往錯(cuò)誤的地址）兩類(lèi)。故意威脅又可進(jìn)一步分為被動(dòng)和主動(dòng)兩類(lèi)。11滲入威脅和植入威脅滲入威脅假冒某個(gè)未授權(quán)實(shí)體使守衛(wèi)者相信它是一個(gè)合法的實(shí)體，從而攫取該合法用戶(hù)的特權(quán)。旁路控制攻擊者通過(guò)各種手段發(fā)現(xiàn)本應(yīng)保密卻又暴露出來(lái)的一些系統(tǒng)“特征”。利用這些“特征”，攻擊者繞過(guò)防線守衛(wèi)者滲入系統(tǒng)內(nèi)部。授權(quán)侵犯也稱(chēng)為“內(nèi)部威脅”，授權(quán)用戶(hù)將其權(quán)限用于其他未授權(quán)的目的。植入威脅特洛伊木馬在正常的軟件中隱藏一段用于其他目的的程序，這段隱藏的程序段常常以安全攻擊作為其最終目標(biāo)。陷門(mén)在某個(gè)系統(tǒng)或某個(gè)文件中設(shè)置的“機(jī)關(guān)”，使得在提供特定的輸人數(shù)據(jù)時(shí)，允許違反安全策略。1211.2.3安全攻擊1．安全攻擊的手段132．被動(dòng)攻擊和主動(dòng)攻擊被動(dòng)攻擊對(duì)信息的保密性進(jìn)行攻擊，即通過(guò)竊聽(tīng)網(wǎng)絡(luò)上傳輸?shù)男畔⒉⒓右苑治鰪亩@得有價(jià)值的情報(bào)，但它并不修改信息的內(nèi)容目標(biāo)是獲得正在傳送的信息，其特點(diǎn)是偷聽(tīng)或監(jiān)視信息的傳遞被動(dòng)攻擊主要手段：信息內(nèi)容泄露（不小心）：信息在通信過(guò)程中因被監(jiān)視竊聽(tīng)而泄露，或者信息從電子或機(jī)電設(shè)備所發(fā)出的無(wú)線電磁波中被提取出來(lái)而泄露。通信量分析：通過(guò)確定通信位置和通信主機(jī)的身份，觀察交換消息的頻度和長(zhǎng)度，并利用這些信息來(lái)猜測(cè)正在進(jìn)行的通信特性。142．被動(dòng)攻擊和主動(dòng)攻擊主動(dòng)攻擊攻擊信息來(lái)源的真實(shí)性、信息傳輸?shù)耐暾院拖到y(tǒng)服務(wù)的可用性有意對(duì)信息進(jìn)行修改、插入和刪除主動(dòng)攻擊主要手段：假冒：一個(gè)實(shí)體假裝成另一個(gè)實(shí)體。假冒攻擊通常包括一種其他形式的主動(dòng)攻擊。重放：涉及被動(dòng)捕獲數(shù)據(jù)單元及其后來(lái)的重新傳送，以產(chǎn)生未經(jīng)授權(quán)的效果。修改消息：改變了真實(shí)消息的部分內(nèi)容，或?qū)⑾⒀舆t或重新排序，導(dǎo)致未授權(quán)的操作。拒絕服務(wù)：禁止通信實(shí)體的正常使用或管理。153．服務(wù)攻擊和非服務(wù)攻擊（高層協(xié)議）服務(wù)攻擊針對(duì)某種特定網(wǎng)絡(luò)服務(wù)的攻擊例如：針對(duì)E-mail服務(wù)、Telnet、FTP、HTTP等服務(wù)的專(zhuān)門(mén)攻擊原因：TCP/IP協(xié)議缺乏認(rèn)證、保密措施。非服務(wù)攻擊(針對(duì)于操作系統(tǒng)和協(xié)議)不針對(duì)某項(xiàng)具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而進(jìn)行原因：TCP/IP協(xié)議（尤其是IPv4）自身的安全機(jī)制不足164安全策略與安全管理1．安全策略的組成威嚴(yán)的法律先進(jìn)的技術(shù)嚴(yán)格的管理2．安全管理原則多人負(fù)責(zé)原則任期有限原則職責(zé)分離原則（會(huì)計(jì)和出納）3．安全管理實(shí)現(xiàn)根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)根據(jù)確定的安全等級(jí)，確定安全管理的范圍制訂相應(yīng)的機(jī)房出入管理制度制訂嚴(yán)格的操作規(guī)程制訂完備的系統(tǒng)維護(hù)制度制訂應(yīng)急措施11.3防火墻技術(shù)1811.3.1防火墻的基本概念1．防火墻的定義防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)企業(yè)的安全政策，控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。2.防火墻的主要功能集中的網(wǎng)絡(luò)安全安全警報(bào)防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心（阻塞點(diǎn)）來(lái)防止非法用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在不安全因素的訪問(wèn)進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種線路的攻擊。通過(guò)防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警信號(hào)。重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）接入Internet的機(jī)構(gòu)，可以通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）來(lái)完成內(nèi)部私有地址到外部注冊(cè)地址的映射，而防火墻正是部署NAT的理想位置。監(jiān)視Internet的使用情況防火墻也是審查和記錄內(nèi)部人員對(duì)Internet使用的一個(gè)最佳位置，可以在此對(duì)內(nèi)部訪問(wèn)Internet的情況進(jìn)行記錄(根據(jù)cs模式的訪問(wèn)特點(diǎn))。向外發(fā)布信息防火墻同樣還是部署WWW服務(wù)器和FTP服務(wù)器的理想位置。它允許Internet上的其它用戶(hù)訪問(wèn)上述服務(wù)器，而禁止訪問(wèn)內(nèi)部受保護(hù)的其它系統(tǒng)（因?yàn)榭赡苡衅渌?wù)）。2111.3.2防火墻的設(shè)計(jì)策略1．防火墻的設(shè)計(jì)策略?xún)煞N基本的設(shè)計(jì)策略：允許任何服務(wù)除非被明確禁止（黑名單）禁止任何服務(wù)除非被明確允許（白名單）按照其特征，防火墻的設(shè)計(jì)策略網(wǎng)絡(luò)策略服務(wù)訪問(wèn)策略222．防火墻的技術(shù)服務(wù)控制確定在圍墻外面和里面可以訪問(wèn)的因特網(wǎng)服務(wù)類(lèi)型方向控制。確定數(shù)據(jù)包的流向用戶(hù)控制根據(jù)請(qǐng)求訪問(wèn)的用戶(hù)來(lái)確定是否提供該服務(wù)行為控制控制如何使用某種特定的服務(wù)233．防火墻的部署在局域網(wǎng)內(nèi)的VLAN之間控制信息流向時(shí)加入防火墻。Intranet與Internet之間連接時(shí)加入防火墻。在廣域網(wǎng)系統(tǒng)中，總部局域網(wǎng)與分支機(jī)構(gòu)一般通過(guò)公共網(wǎng)（如DDN、FrameRelay）連接，需要采用防火墻隔離，并利用某些軟件提供的功能構(gòu)成虛擬專(zhuān)網(wǎng)VPN。如果總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過(guò)Internet連接的，需要各自安裝防火墻，并組成虛擬專(zhuān)網(wǎng)。在遠(yuǎn)程用戶(hù)撥號(hào)訪問(wèn)時(shí)，需要加入防火墻。利用一些防火墻軟件提供的負(fù)載平衡功能，ISP可在公共訪問(wèn)服務(wù)器和客戶(hù)端間加入防火墻進(jìn)行負(fù)載分擔(dān)、存取控制、用戶(hù)認(rèn)證、流量控制、日志記錄等功能。兩網(wǎng)對(duì)接時(shí)可利用硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換（NAT）、地址映射（MAP）、網(wǎng)絡(luò)隔離（DMZ，De-MilitarizedZone，非軍事區(qū)）、存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問(wèn)題。11.2.2防火墻的主要類(lèi)型

典型的防火墻系統(tǒng)通常由一個(gè)或多個(gè)構(gòu)件組成，相應(yīng)地，實(shí)現(xiàn)防火墻的技術(shù)包括以下四大類(lèi)：1.包過(guò)濾防火墻（PacketFilteringFirewall）包過(guò)濾防火墻，又稱(chēng)網(wǎng)絡(luò)級(jí)防火墻，工作在網(wǎng)絡(luò)層，通常由一臺(tái)路由器或一臺(tái)充當(dāng)路由器的計(jì)算機(jī)組成，如圖11-2所示。圖11-2包過(guò)濾防火墻功能模型

Internet/Intranet上的所有信息都是以IP數(shù)據(jù)包的形式傳輸?shù)?，包過(guò)濾路由器負(fù)責(zé)對(duì)所接收的每個(gè)數(shù)據(jù)包的IP地址，TCP或UDP分組頭信息進(jìn)行審查，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。包過(guò)濾防火墻檢查每一條過(guò)濾規(guī)則，如果找到一個(gè)匹配，且規(guī)則允許該數(shù)據(jù)包通過(guò)，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)；如果找到一個(gè)匹配，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄。包過(guò)濾防火墻對(duì)用戶(hù)來(lái)說(shuō)是全透明的，其優(yōu)點(diǎn)是只需在一個(gè)關(guān)鍵位置設(shè)置一個(gè)包過(guò)濾路由器就可以保護(hù)整個(gè)網(wǎng)絡(luò)，使用起來(lái)非常簡(jiǎn)潔、方便，且速度快、費(fèi)用低。包過(guò)濾防火墻也有其自身的缺點(diǎn)和局限性，例如它只檢查地址和端口，對(duì)應(yīng)用層上的黑客行為無(wú)能為力；包過(guò)濾規(guī)則配置比較復(fù)雜；包過(guò)濾沒(méi)法檢測(cè)具有數(shù)據(jù)驅(qū)動(dòng)攻擊這一類(lèi)潛在危險(xiǎn)的數(shù)據(jù)包等。2.應(yīng)用級(jí)網(wǎng)關(guān)（ApplicationLevelGateway）應(yīng)用級(jí)網(wǎng)關(guān)主要控制對(duì)應(yīng)用程序的訪問(wèn)，它能夠?qū)M(jìn)出的數(shù)據(jù)包進(jìn)行分析、統(tǒng)計(jì)，防止在受信任的服務(wù)器與不受信任的主機(jī)間直接建立聯(lián)系。而且它還提供一種監(jiān)督控制機(jī)制，使得網(wǎng)絡(luò)內(nèi)、外部的訪問(wèn)請(qǐng)求在監(jiān)督機(jī)制下得到保護(hù)，其功能模型如圖11-3所示。圖11-3應(yīng)用級(jí)網(wǎng)關(guān)的功能模型和包過(guò)濾防火墻一樣，應(yīng)用級(jí)網(wǎng)關(guān)也是僅僅依靠特定的邏輯判斷來(lái)決定是否允許數(shù)據(jù)包通過(guò)。一旦防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立起直接聯(lián)系，它外部的用戶(hù)便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。應(yīng)用級(jí)網(wǎng)關(guān)具有較強(qiáng)的訪問(wèn)控制功能，是目前最安全的防火墻技術(shù)之一。但其每一種協(xié)議都需要相應(yīng)的代理軟件，實(shí)現(xiàn)起來(lái)比較困難，效率不如網(wǎng)絡(luò)級(jí)防火墻高，而且對(duì)用戶(hù)缺乏“透明度”。3.電路級(jí)網(wǎng)關(guān)（CircuitLevelGateway）電路級(jí)網(wǎng)關(guān)通常工作在在OSI參考模型中的會(huì)話(huà)層上，它只依賴(lài)于TCP連接，而并不關(guān)心任何應(yīng)用協(xié)議，也不進(jìn)行任何的包處理或過(guò)濾。它就像電線一樣，只是在內(nèi)部連接和外部連接之間來(lái)回拷貝字節(jié)。由于連接要穿過(guò)防火墻，因而其隱藏了受保護(hù)網(wǎng)絡(luò)的有關(guān)信息。電路級(jí)網(wǎng)關(guān)往往不是一個(gè)獨(dú)立的產(chǎn)品，它要和其它一些應(yīng)用級(jí)網(wǎng)關(guān)結(jié)合在一起使用。其最大的優(yōu)點(diǎn)是主機(jī)可以被設(shè)置成混合網(wǎng)關(guān)，內(nèi)部用戶(hù)使用起來(lái)很方便，另外，電路級(jí)網(wǎng)關(guān)還可將所有內(nèi)部的IP地址映射到一個(gè)防火墻專(zhuān)用的、安全的IP地址。4.代理服務(wù)防火墻（ProxySeverFirewall）代理服務(wù)防火墻又稱(chēng)鏈路級(jí)網(wǎng)關(guān)，通常指運(yùn)行代理服務(wù)器軟件的一臺(tái)計(jì)算機(jī)。代理服務(wù)器（ProxySever）運(yùn)行在Intranet和Internet之間，是內(nèi)、外網(wǎng)絡(luò)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，其功能模型如圖11-4所示。圖11-4代理服務(wù)防火墻功能模型代理服務(wù)器：定義：代理服務(wù)器（英文：Proxy），是一種重要的電腦安全功能，也是特殊的網(wǎng)絡(luò)服務(wù)，允許客戶(hù)端通過(guò)它與另一個(gè)網(wǎng)絡(luò)服務(wù)進(jìn)行非直接的連接，也稱(chēng)“網(wǎng)絡(luò)代理”。代理服務(wù)器有利于保障網(wǎng)絡(luò)安全，防止攻擊。圖解：左邊和右邊的電腦在通訊時(shí)候，需要經(jīng)過(guò)中間的電腦中轉(zhuǎn)，而中間的那部電腦就是代理服務(wù)器。代理服務(wù)器的功能1.提高訪問(wèn)速度：通常代理服務(wù)器都設(shè)置一個(gè)較大的緩沖區(qū)，當(dāng)有外界的信息通過(guò)時(shí)，同時(shí)也將其保存到緩沖區(qū)中，當(dāng)其他用戶(hù)再訪問(wèn)相同的信息時(shí)，則直接由緩沖區(qū)中取出信息，傳給用戶(hù)，以提高訪問(wèn)速度。2.控制對(duì)內(nèi)部資源的訪問(wèn)，如某大學(xué)FTP（前提是該代理地址在該資源的允許訪問(wèn)范圍之內(nèi)），使用教育網(wǎng)內(nèi)地址段免費(fèi)代理服務(wù)器，就可以用于對(duì)教育網(wǎng)開(kāi)放的各類(lèi)FTP下載上傳，以及各類(lèi)資料查詢(xún)共享等服務(wù)。3.過(guò)濾內(nèi)容，例如限制對(duì)特定計(jì)算機(jī)的訪問(wèn)，將一種語(yǔ)言的數(shù)據(jù)翻譯成另一種語(yǔ)言，或是防御代理服務(wù)器兩邊的攻擊性訪問(wèn)。4.突破自身IP訪問(wèn)限制，訪問(wèn)國(guó)外站點(diǎn)。中國(guó)教育網(wǎng)和169網(wǎng)等網(wǎng)絡(luò)用戶(hù)可以通過(guò)代理訪問(wèn)國(guó)外網(wǎng)站。5.隱藏真實(shí)IP：上網(wǎng)者也可以通過(guò)代理服務(wù)器隱藏自己的IP，免受攻擊。

代理服務(wù)器收到用戶(hù)對(duì)某站點(diǎn)的訪問(wèn)請(qǐng)求后，便立即檢查該請(qǐng)求是否符合規(guī)則。若規(guī)則允許用戶(hù)訪問(wèn)該站點(diǎn)，代理服務(wù)器便會(huì)以客戶(hù)身份登錄目的站點(diǎn)，取回所需的信息再發(fā)回給客戶(hù)。代理服務(wù)器將所有跨越防火墻的通信鏈路分為兩段，外部用戶(hù)只能看到該代理服務(wù)器而無(wú)法獲知任何內(nèi)部資料，如IP地址，從而起到了隔離防火墻內(nèi)、外計(jì)算機(jī)系統(tǒng)的作用。防火墻代理的原理代理服務(wù)軟件要分析網(wǎng)絡(luò)數(shù)據(jù)包并作出訪問(wèn)控制決定，從而在一定程度上影響了網(wǎng)絡(luò)的性能，且代理服務(wù)器需要為每個(gè)網(wǎng)絡(luò)用戶(hù)專(zhuān)門(mén)設(shè)計(jì)，安裝使用較復(fù)雜，成本也相對(duì)較高。5.復(fù)合型防火墻（CompoundFirewall）由于對(duì)更高安全性的要求，常常把基于包過(guò)濾的防火墻與基于代理服務(wù)的防火墻結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案：

屏蔽主機(jī)防火墻體系結(jié)構(gòu)

包過(guò)濾路由器與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在包過(guò)濾路由器上設(shè)置過(guò)濾規(guī)則，使堡壘機(jī)成為Internet上其它結(jié)點(diǎn)所能到達(dá)的唯一結(jié)點(diǎn)，從而確保了內(nèi)部網(wǎng)絡(luò)的安全。如圖11-5所示：圖11-5屏蔽主機(jī)結(jié)構(gòu)示意圖屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)堡壘主機(jī)放在一個(gè)子網(wǎng)內(nèi)，兩個(gè)包過(guò)濾路由器放置在這一子網(wǎng)的兩端，使這一子網(wǎng)與外部Internet及內(nèi)部網(wǎng)絡(luò)分離，如圖11–6所示。圖11-6屏蔽子網(wǎng)結(jié)構(gòu)示意圖

3.防火墻的局限性不能防范繞過(guò)防火墻產(chǎn)生的攻擊防火墻并非萬(wàn)能，影響網(wǎng)絡(luò)安全的因素很多，對(duì)于以下情況它無(wú)能為力:不能防范受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸很難防止數(shù)據(jù)驅(qū)動(dòng)式攻擊不能防范由于內(nèi)部用戶(hù)不注意所造成的威脅11.2.3主要的防火墻產(chǎn)品3ComOfficeConnect防火墻

NetScreen防火墻

CiscoPIX防火墻我國(guó)的信息安全建設(shè)“金盾工程”，就是全國(guó)公安工作信息化工程，主要包括：公安基礎(chǔ)通信設(shè)施和網(wǎng)絡(luò)平臺(tái)建設(shè)、公安計(jì)算機(jī)應(yīng)用系統(tǒng)建設(shè)、公安工作信息化標(biāo)準(zhǔn)和規(guī)范體系建設(shè)、公安網(wǎng)絡(luò)和信息安全保障系統(tǒng)建設(shè)、公安工作信息化運(yùn)行管理體系建設(shè)、全國(guó)公共信息網(wǎng)絡(luò)安全監(jiān)控中心建設(shè)等。“金盾工程”是中華人民共和國(guó)電子政務(wù)建設(shè)的12個(gè)重要系統(tǒng)建設(shè)項(xiàng)目之一。其他金字工程還有金橋（公用經(jīng)濟(jì)信息）、金關(guān)（對(duì)外貿(mào)易）、金卡（電子貨幣）、金財(cái)（財(cái)政管理）、金農(nóng)（農(nóng)業(yè)信息）、金稅（稅收）、金水（水利信息）、金質(zhì)（質(zhì)量監(jiān)督）等。天網(wǎng)防火墻的詳細(xì)設(shè)置與優(yōu)化系統(tǒng)設(shè)置在防火墻的控制面板中點(diǎn)擊“系統(tǒng)設(shè)置”按鈕即可展開(kāi)防火墻系統(tǒng)設(shè)置面板。天網(wǎng)個(gè)人版防火墻系統(tǒng)設(shè)置界面如下：

防火墻自定義規(guī)則重置：點(diǎn)擊該按鈕，防火墻將彈出窗口，如下：防火墻設(shè)置向?qū)榱吮阌谟脩?hù)合理地設(shè)置防火墻，天網(wǎng)防火墻個(gè)人版專(zhuān)門(mén)為用戶(hù)設(shè)計(jì)了防火墻設(shè)置向?qū)?。用?hù)可以跟隨它一步一步完成天網(wǎng)防火墻的設(shè)置。應(yīng)用程序權(quán)限設(shè)置：勾選了該選項(xiàng)之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問(wèn)都默認(rèn)為通行不攔截。這適合在某些特殊情況下，不需要對(duì)所有訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序都做審核的時(shí)候。（譬如在運(yùn)行某些游戲程序的時(shí)候）局域網(wǎng)地址設(shè)置：設(shè)置您在局域網(wǎng)內(nèi)的IP地址。

（注意：如果您的機(jī)器是在局域網(wǎng)里面使用，一定要設(shè)置好這個(gè)地址。因?yàn)榉阑饓?huì)以這個(gè)地址來(lái)區(qū)分局域網(wǎng)或者是INTERNET的IP來(lái)源）管理權(quán)限設(shè)置：允許用戶(hù)設(shè)置管理員密碼保護(hù)防火墻的安全設(shè)置。用戶(hù)可以設(shè)置管理員密碼，防止未授權(quán)用戶(hù)隨意改動(dòng)設(shè)置、退出防火墻等。初次安裝防火墻時(shí)沒(méi)有設(shè)置密碼。點(diǎn)擊“設(shè)置密碼”，用戶(hù)設(shè)置好管理員密碼，確定后密碼生效。用戶(hù)可選擇在允許某應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)時(shí)，需要或者不需要輸入密碼。點(diǎn)擊“清除密碼”，再輸入正確的密碼后，確定即可清除密碼。注意：如果用戶(hù)連續(xù)三次輸入錯(cuò)誤密碼，防火墻系統(tǒng)將暫停用戶(hù)請(qǐng)求3分鐘，以保障密碼安全。注意：設(shè)置管理員密碼后對(duì)修改安全級(jí)別等操作也需要輸入密碼。在線升級(jí)提示設(shè)置：用戶(hù)可根據(jù)需要選擇在線升級(jí)提示的頻度。為了更好地保障您的系統(tǒng)安全，防火墻需要及時(shí)升級(jí)程序文件，因此，建議您把在線升級(jí)設(shè)置為“有新的升級(jí)包就提示”。日志管理：用戶(hù)可根據(jù)需要設(shè)置是否自動(dòng)保存日志、日志保存路徑、日志大小和提示。選中“自動(dòng)保存日志”，天網(wǎng)防火墻將會(huì)把日志記錄自動(dòng)保存，默認(rèn)保存目錄為C:\ProgramFiles\SkyNet\FireWall\log，您可以點(diǎn)擊瀏覽設(shè)定日志的保存路徑。您還可以通過(guò)拉動(dòng)日志大小里的滑塊在1M~100M之間選擇保存日志的大小。入侵檢測(cè)設(shè)置：用戶(hù)可以在這里進(jìn)行入侵檢測(cè)的相關(guān)設(shè)置。

選中“啟動(dòng)入侵檢測(cè)功能”，在防火墻啟動(dòng)時(shí)入侵檢測(cè)開(kāi)始工作，不選則關(guān)閉入侵檢測(cè)功能。當(dāng)開(kāi)啟入侵檢測(cè)時(shí)，檢測(cè)到可疑的數(shù)據(jù)包時(shí)防火墻會(huì)彈出入侵檢測(cè)提示窗口。選中“報(bào)警：攔截該IP的同時(shí)，請(qǐng)一直保持提醒我”，點(diǎn)擊“確定”后，會(huì)在入侵檢測(cè)的IP列表里面保存。攔截這個(gè)IP的日志則繼續(xù)記錄。

選中“靜默：攔截該IP的同時(shí)，不必再進(jìn)行日志記錄或報(bào)警提示”，用戶(hù)可設(shè)定靜默時(shí)間：3分鐘、10分鐘、始終。點(diǎn)擊“確定”后，會(huì)在入侵檢測(cè)的IP列表里面保存。在設(shè)定時(shí)間內(nèi)攔截這個(gè)IP的日志則不會(huì)記錄。當(dāng)達(dá)到設(shè)定的靜默時(shí)間后入侵檢測(cè)將自動(dòng)從入侵檢測(cè)的IP列表里面刪除此條IP信息。選中“檢測(cè)到入侵后，無(wú)需提示自動(dòng)靜默入侵主機(jī)的網(wǎng)絡(luò)包”，當(dāng)防火墻檢測(cè)到入侵時(shí)則不會(huì)在彈出入侵檢測(cè)提示窗口，它將按照用戶(hù)設(shè)置的默認(rèn)靜默時(shí)間，禁止此IP，并記錄在入侵檢測(cè)的IP列表里。其他設(shè)置：在這里可以設(shè)置報(bào)警聲音、自動(dòng)打開(kāi)資訊通窗口和自動(dòng)彈出新資訊提示。報(bào)警聲音：設(shè)置報(bào)警聲音，點(diǎn)擊“瀏覽”，您可以自己選擇一個(gè)聲音文件做為天網(wǎng)防火墻預(yù)警的聲音。單擊“重置”將采用天網(wǎng)防火墻默認(rèn)的報(bào)警聲音。如不選中報(bào)警聲音前面的選項(xiàng)則關(guān)閉報(bào)警聲音。自動(dòng)打開(kāi)資訊通窗口：選中“自動(dòng)打開(kāi)資訊通窗口”后在打開(kāi)天網(wǎng)防火墻主界面時(shí)會(huì)自動(dòng)打開(kāi)資訊通窗口。不選則在打開(kāi)天網(wǎng)防火墻主界面時(shí)不會(huì)自動(dòng)打開(kāi)資訊通窗口。

自動(dòng)彈出新資訊提示：選中“自動(dòng)彈出新資訊提示”后當(dāng)接收到新資訊的時(shí)候會(huì)在屏幕右下角系統(tǒng)托盤(pán)處彈出新資訊提示窗口如沒(méi)有操作即自動(dòng)消失。不選則不會(huì)彈出提示。安全級(jí)別設(shè)置天網(wǎng)個(gè)人版防火墻的預(yù)設(shè)安全級(jí)別分為低、中、高、擴(kuò)四個(gè)等級(jí)，默認(rèn)的安全等級(jí)為中級(jí)，其中各等級(jí)的安全設(shè)置說(shuō)明如下：

低：所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將詢(xún)問(wèn)，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。計(jì)算機(jī)將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機(jī)器訪問(wèn)自己提供的各種服務(wù)（文件、打印機(jī)共享服務(wù)）但禁止互聯(lián)網(wǎng)上的機(jī)器訪問(wèn)這些服務(wù)。適用于在局域網(wǎng)中提供服務(wù)的用戶(hù)。

中：所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將詢(xún)問(wèn)，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止訪問(wèn)系統(tǒng)級(jí)別的服務(wù)（如HTTP、FTP等）。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問(wèn)文件、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開(kāi)放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話(huà)軟件提供的服務(wù)。適用于普通個(gè)人上網(wǎng)用戶(hù)。高：所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將詢(xún)問(wèn)，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問(wèn)自己提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機(jī)共享服務(wù)），局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無(wú)法看到本機(jī)器。除了已經(jīng)被認(rèn)可的程序打開(kāi)的端口，系統(tǒng)會(huì)屏蔽掉向外部開(kāi)放的所有端口。也是最嚴(yán)密的安全級(jí)別。

擴(kuò)：基于“中”安全級(jí)別再配合一系列專(zhuān)門(mén)針對(duì)木馬和間諜程序的擴(kuò)展規(guī)則，可以防止木馬和間諜程序打開(kāi)TCP或UDP端口監(jiān)聽(tīng)甚至開(kāi)放未許可的服務(wù)。我們將根據(jù)最新的安全動(dòng)態(tài)對(duì)規(guī)則庫(kù)進(jìn)行升級(jí)。適用于需要頻繁試用各種新的網(wǎng)絡(luò)軟件和服務(wù)、又需要對(duì)木馬程序進(jìn)行足夠限制的用戶(hù)。自定義：如果您了解各種網(wǎng)絡(luò)協(xié)議，可以自己設(shè)置規(guī)則。注意，設(shè)置規(guī)則不正確會(huì)導(dǎo)致您無(wú)法訪問(wèn)網(wǎng)絡(luò)。用戶(hù)可以根據(jù)自己的需要調(diào)整自己的安全級(jí)別，方便實(shí)用。對(duì)于普通的個(gè)人上網(wǎng)用戶(hù)，我們建議您使用中級(jí)安全規(guī)則，它可以在不影響您使用網(wǎng)絡(luò)的情況下，最大限度的保護(hù)您的機(jī)器不受到網(wǎng)絡(luò)攻擊；對(duì)于需要頻繁試用各種新的網(wǎng)絡(luò)軟件和服務(wù)、又需要對(duì)木馬程序進(jìn)行足夠限制的用戶(hù)，我們建議您使用擴(kuò)展級(jí)安全規(guī)則，您可以對(duì)各種木馬及間諜程序有相當(dāng)?shù)南拗撇⒈Ａ粢欢ǖ木W(wǎng)絡(luò)訪問(wèn)便利。

缺省IP規(guī)則介紹IP規(guī)則是針對(duì)整個(gè)系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)包監(jiān)控而設(shè)置的。利用自定義IP規(guī)則，用戶(hù)可針對(duì)個(gè)人不同的網(wǎng)絡(luò)狀態(tài)，設(shè)置自己的IP安全規(guī)則，使防御手段更周到、更實(shí)用。用戶(hù)可以點(diǎn)擊“IP規(guī)則管理”鍵

或者在“安全級(jí)別”中點(diǎn)擊“自定義”安全級(jí)別進(jìn)入IP規(guī)則設(shè)置界面。IP規(guī)則設(shè)置的操作界面如下：防御ICMP攻擊：選擇時(shí)，即別人無(wú)法用PING的方法來(lái)確定您的存在。但不影響您去PING別人。因?yàn)镮CMP協(xié)議現(xiàn)在也被用來(lái)作為藍(lán)屏攻擊的一種方法，而且該協(xié)議對(duì)于普通用戶(hù)來(lái)說(shuō)，是很少使用到的。

防御IGMP攻擊：IGMP是用于組播的一種協(xié)議，對(duì)于MSWindows的用戶(hù)是沒(méi)有什么用途的，但現(xiàn)在也被用來(lái)作為藍(lán)屏攻擊的一種方法，建議選擇此設(shè)置，不會(huì)對(duì)用戶(hù)造成影響。

TCP數(shù)據(jù)包監(jiān)視：通過(guò)這條規(guī)則，您可以監(jiān)視機(jī)器與外部之間的所有TCP連接請(qǐng)求。注意，這只是一個(gè)監(jiān)視規(guī)則，開(kāi)啟后會(huì)產(chǎn)生大量的日志，該規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用的，如果您不熟悉網(wǎng)絡(luò)，請(qǐng)不要開(kāi)啟。這條規(guī)則一定要是TCP協(xié)議規(guī)則的第一條。

禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源：開(kāi)啟該規(guī)則后，別人就不能訪問(wèn)您的共享資源，包括獲取您的機(jī)器名稱(chēng)。禁止所有人連接低端端口：防止所有的機(jī)器和自己的低端端口連接。由于低端端口是TCP/IP協(xié)議的各種標(biāo)準(zhǔn)端口，幾乎所有的Internet服務(wù)都是在這些端口上工作的，所以這是一條非常嚴(yán)厲的規(guī)則，有可能會(huì)影響您使用某些軟件。如果您需要向外面公開(kāi)您的特定端口，請(qǐng)?jiān)诒疽?guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。

允許已經(jīng)授權(quán)程序打開(kāi)的端口：某些程序，如ICQ，視頻電話(huà)等軟件，都會(huì)開(kāi)放一些端口，這樣，您的同伴才可以連接到您的機(jī)器上。本規(guī)則可以保證您這些軟件可以正常工作。

禁止所有人連接：防止所有的機(jī)器和自己連接。這是一條非常嚴(yán)厲的規(guī)則，有可能會(huì)影響您使用某些軟件。如果您需要向外面公開(kāi)您的特定端口，請(qǐng)?jiān)诒疽?guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。該規(guī)則通常放在最后。

UDP數(shù)據(jù)包監(jiān)視：通過(guò)這條規(guī)則，您可以監(jiān)視機(jī)器與外部之間的所有UDP包的發(fā)送和接受過(guò)程，注意，這只是一個(gè)監(jiān)視規(guī)則，開(kāi)啟后可能會(huì)產(chǎn)生大量的日志，平常請(qǐng)不要打開(kāi)。這條規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用，如果您不熟悉網(wǎng)絡(luò)，請(qǐng)不要開(kāi)啟。這條規(guī)則一定要是UDP協(xié)議規(guī)則的第一條。允許DNS（域名解析）：允許域名解析。注意，如果您要拒絕接收UDP包，就一定要開(kāi)啟該規(guī)則，否則會(huì)無(wú)法訪問(wèn)互聯(lián)網(wǎng)上的資源。自定義IP規(guī)則簡(jiǎn)單地說(shuō)，規(guī)則是一系列的比較條件和一個(gè)對(duì)數(shù)據(jù)包的動(dòng)作，即根據(jù)數(shù)據(jù)包的每一個(gè)部分來(lái)與設(shè)置的條件比較，當(dāng)符合條件時(shí)，就可以確定對(duì)該包放行或者阻擋。通過(guò)合理設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在您的機(jī)器之外。

IP規(guī)則的頁(yè)面主要由3個(gè)部分組成：工具條：您可以點(diǎn)擊上面的按鈕來(lái)“增加規(guī)則”，“修改規(guī)則”，“刪除規(guī)則”。由于規(guī)則判斷是由上而下執(zhí)行的，您還可以通過(guò)點(diǎn)擊“上移”或“下移”按鈕調(diào)整規(guī)則的順序（注意：只有同一協(xié)議的規(guī)則才可以調(diào)整相互順序），還可以“導(dǎo)出”和“導(dǎo)入”已預(yù)設(shè)和已保存的規(guī)則。當(dāng)調(diào)整好順序后，可按“保存”按鈕

保存您的修改。如需要?jiǎng)h除全部IP規(guī)則，可按“清空所有規(guī)則”按鈕刪除全部IP規(guī)則。

規(guī)則列表這里列出了所有規(guī)則的名稱(chēng)、規(guī)則所對(duì)應(yīng)的數(shù)據(jù)包的方向、規(guī)則所控制的協(xié)議、本機(jī)端口、對(duì)方地址和對(duì)方端口，以及當(dāng)數(shù)據(jù)包滿(mǎn)足本規(guī)則時(shí)所采取的策略。

在列表的左邊為規(guī)則是否有效的標(biāo)志，勾選表示該規(guī)則有效，否則表示無(wú)效。當(dāng)您對(duì)此有所改變后，請(qǐng)注意按“保存”鍵。

建立規(guī)則時(shí)，請(qǐng)注意下面幾點(diǎn)：（1）防火墻的規(guī)則檢查順序與列表順序是一致的。（2）當(dāng)您在局域網(wǎng)中時(shí)，又只想對(duì)局域網(wǎng)開(kāi)放某些端口或協(xié)議（但對(duì)互聯(lián)網(wǎng)關(guān)閉）時(shí)，可對(duì)局域網(wǎng)的規(guī)則采用允許“局域網(wǎng)網(wǎng)絡(luò)地址”的某端口、協(xié)議的數(shù)據(jù)包“通行”的規(guī)則，然后用“任何地址”的某端口、協(xié)議的規(guī)則“攔截”，就可達(dá)到目的。

（3）不要濫用“記錄”功能，一個(gè)定義不好的規(guī)則加上記錄功能，會(huì)產(chǎn)生大量沒(méi)有任何意義的日志，并耗費(fèi)大量的內(nèi)存。（4）零售版用戶(hù)最多可以使用1000條IP規(guī)則。

典型考題分析假設(shè)CD盤(pán)片的存儲(chǔ)容量為600MB，上面存放的數(shù)字圖像能以每秒25幅畫(huà)面、每幅畫(huà)面為360×240×65536色的分辨率播放l小時(shí)，則CD盤(pán)片上的數(shù)字圖像的壓縮比大約是________。A)25倍.B)10倍

C)50倍

D)100倍在IP協(xié)議中用來(lái)進(jìn)行組播的IP地址是________地址。A)A類(lèi)

B)C類(lèi)

C)D類(lèi).D)E類(lèi))UNIX系統(tǒng)中，輸入／輸出設(shè)備被看成是下列四種文件的_______。A)普通文件

B)目錄文件

C)索引文件

D)特殊文件.操作系統(tǒng)的一個(gè)重要功能是進(jìn)程管理。為此，操作系統(tǒng)必須提供一種啟動(dòng)進(jìn)程的機(jī)制。在下面的敘述中，不正確的是_______。A)在DOS中，該機(jī)制是EXEC函數(shù)B)在Windows中啟動(dòng)進(jìn)程的函數(shù)是CreateProcessC)在OS／2中啟動(dòng)進(jìn)程的函數(shù)是CreateProcessD)在DOS中啟動(dòng)進(jìn)程的函數(shù)也是CreateProcess.在電子商務(wù)的概念模型中，不屬于電子商務(wù)的構(gòu)成要素是________。A)互聯(lián)網(wǎng).B)交易主體

C)交易事務(wù)

D)電子市場(chǎng)連接到計(jì)算機(jī)網(wǎng)絡(luò)上的計(jì)算機(jī)都是________。A)高性能計(jì)算機(jī)

B)具有通信能力的計(jì)算機(jī)C)自治計(jì)算機(jī).D)主從計(jì)算機(jī)(32)特洛伊木馬攻擊的威脅類(lèi)型屬于_______。A)授權(quán)侵犯威脅

B)植入威脅.C)滲入威脅

D)旁路控制威脅TCP／IP參考模型中，應(yīng)用層協(xié)議常用的有_______。A)TELNET，F(xiàn)TP，SMTP和HTTP.B)TELNET，F(xiàn)TP，SMTP和TCPC)IP，F(xiàn)TP，SMTP和HTTPD)IP，F(xiàn)TP，DNS和HTTP在以下四個(gè)WWW網(wǎng)址中，________網(wǎng)址不符合WWW網(wǎng)址書(shū)寫(xiě)規(guī)則。A)www．163．comB)www．nk．cn．edu.C)www．863．org．cnD)www．tj．net.jpIPv4版本的因特網(wǎng)總共有________個(gè)A類(lèi)地址網(wǎng)絡(luò)。A)65000B)200萬(wàn)

C)126.D)128計(jì)算機(jī)病毒是指能夠侵入計(jì)算機(jī)系統(tǒng)并在計(jì)算機(jī)系統(tǒng)中潛伏、傳播、破壞系統(tǒng)正常工作的一種具有繁殖能力的________。A)指令

B)程序.C)設(shè)備

D)文件防火墻一般由分組過(guò)濾路由器和________兩部分組成。A)應(yīng)用網(wǎng)關(guān).B)網(wǎng)橋

C)殺毒軟件

D)防病毒卡網(wǎng)絡(luò)的不安全性因素有_______。A)非授權(quán)用戶(hù)的非法存取和電子竊聽(tīng)

B)計(jì)算機(jī)病毒的入侵C)網(wǎng)絡(luò)黑客

D)以上都是.如果計(jì)算機(jī)程序語(yǔ)言的寫(xiě)法和語(yǔ)句都非常接近人類(lèi)的語(yǔ)言，例如BASIC，這種語(yǔ)言就屬于________。A)低級(jí)語(yǔ)言

B)機(jī)器語(yǔ)言

C)高級(jí)語(yǔ)言.D)操作系統(tǒng)下列說(shuō)法中，正確的是________。A)服務(wù)器只能用大型主機(jī)、小型機(jī)構(gòu)成B)服務(wù)器只能用安騰處理器組成C)服務(wù)器不能用個(gè)人計(jì)算機(jī)構(gòu)成D)服務(wù)器可以用奔騰、安騰處理器組成.具有多媒體功能的微機(jī)系統(tǒng)常用CD-ROM作外存儲(chǔ)器，它是________。A)只讀存儲(chǔ)器

B)只讀光盤(pán).C)只讀硬盤(pán)

D)只讀大容量軟盤(pán)83【例6-16】保證數(shù)據(jù)的完整性就是______。（2003年4月）A）保證因特網(wǎng)上傳送的數(shù)據(jù)信息不被第三方監(jiān)視和竊取B）保證因特網(wǎng)上傳送的數(shù)據(jù)信息不被篡改.C）保證電子商務(wù)交易各方的真實(shí)身份D）保證發(fā)送方不能抵賴(lài)曾經(jīng)發(fā)送過(guò)某數(shù)據(jù)信息84【例6-17】在以下網(wǎng)絡(luò)威脅中，哪個(gè)不屬于信息泄露？______（2004年9月）A）數(shù)據(jù)竊聽(tīng) B）流量分析 C）拒絕服務(wù)攻擊.

D）偷竊用戶(hù)帳號(hào)85【例6-18】某種網(wǎng)絡(luò)安全威脅是通過(guò)非法手段取得對(duì)數(shù)據(jù)的使用權(quán)，并對(duì)數(shù)據(jù)進(jìn)行惡意地添加和修改。這種安全威脅屬于______。（2005年9月）A）竊聽(tīng)數(shù)據(jù) B）破壞數(shù)據(jù)完整性.

C）拒絕服務(wù) D）物理安全威脅86【例6-19】對(duì)網(wǎng)絡(luò)的威脅包括：

Ⅰ．假冒 Ⅱ．特洛伊木馬 Ⅲ．旁路控制Ⅳ．陷門(mén) Ⅴ．授權(quán)侵犯在這些威脅中，屬于滲入威脅的為_(kāi)_____。（2003年4月）A）Ⅰ、Ⅲ和Ⅴ. B）Ⅲ和ⅣC）Ⅱ和Ⅳ D）Ⅰ、Ⅱ、Ⅲ和Ⅳ87【例6-22】當(dāng)信息從信源向信宿流動(dòng)時(shí)可能會(huì)受到攻擊。其中中斷攻擊是破壞系統(tǒng)資源，這是對(duì)網(wǎng)絡(luò)______性的攻擊。（2006年4月）答案：可用88【例6-20】網(wǎng)絡(luò)反病毒技術(shù)主要有3種，它們是預(yù)防病毒技術(shù)、______病毒技術(shù)和消除病毒技術(shù)。（2004年4月）答案：檢測(cè)89【例6-23】截取是指未授權(quán)的實(shí)體得到了資源的訪問(wèn)權(quán)，這是對(duì)下面哪種安全性的攻擊？______（2005年4月）A）可用性 B）機(jī)密性.C）合法性 D）完整性90【例6-24】下面哪種攻擊方法屬于被動(dòng)攻擊？______（2006年9月）A）拒絕服務(wù)攻擊 B）重放攻擊C）通信量分析攻擊.

D）假冒攻擊91【例6-25】下面哪個(gè)（些）攻擊屬于非服務(wù)攻擊？______（2006年9月）Ⅰ.郵件炸彈攻擊 Ⅱ.源路由攻擊 Ⅲ.地址欺騙攻擊A）僅Ⅰ B）Ⅰ和ⅡC）Ⅱ和Ⅲ. D）Ⅰ和Ⅲ92【例6-57】以下關(guān)于防火墻技術(shù)的描述，哪個(gè)是錯(cuò)誤的？______（2006年9月）A）防火墻分為數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)兩類(lèi)B）防火墻可以控制外部用戶(hù)對(duì)內(nèi)部系統(tǒng)的訪問(wèn)C）防火墻可以阻止內(nèi)部人員對(duì)外部的攻擊.D）防火墻可以分析和統(tǒng)管網(wǎng)絡(luò)使用情況93【例6-58】防火墻自身有一些限制，它不能阻止一下哪個(gè)（些）威脅？______（2005年4月）Ⅰ、外部攻擊Ⅱ、內(nèi)部威脅 Ⅲ、病毒威脅A）Ⅰ B）Ⅰ和ⅡC）Ⅱ和Ⅲ. D）全部94【例6-59】以下關(guān)于防火墻技術(shù)的描述，哪個(gè)是錯(cuò)誤的？______（2006年4月）A）防火墻可以對(duì)網(wǎng)絡(luò)服務(wù)類(lèi)型進(jìn)行控制B）防火墻可以對(duì)請(qǐng)求服務(wù)的用戶(hù)進(jìn)行控制C）防火墻可以對(duì)網(wǎng)絡(luò)攻擊進(jìn)行反向追蹤.D）防火墻可以對(duì)用戶(hù)如何使用特定服務(wù)進(jìn)行控制在下面的聲音文件格式中，不能用來(lái)記錄語(yǔ)音信息的是________。A)SNDB)WAVC)MIDI.D)MP3幀中繼系統(tǒng)設(shè)計(jì)的主要目標(biāo)是用于互連多個(gè)_______。A)廣域網(wǎng)

B)電話(huà)網(wǎng)

C)局域網(wǎng).D)ATM網(wǎng)網(wǎng)絡(luò)服務(wù)器分為文件服務(wù)器、通信服務(wù)器和_______。A)管理服務(wù)器、打印服務(wù)器

B)管理服務(wù)器、權(quán)限服務(wù)器C)數(shù)據(jù)庫(kù)服務(wù)器、管理服務(wù)器

D)打印服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器.寬帶系統(tǒng)與基帶系統(tǒng)相比有以下哪個(gè)優(yōu)點(diǎn)_______。A)容量大，結(jié)構(gòu)靈活，覆蓋范圍廣.B)需要ModemC)價(jià)格高

D)安裝和維護(hù)復(fù)雜為了防止局域網(wǎng)外部用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)，可采用的技術(shù)是________。A)防火墻.B)網(wǎng)卡

C)網(wǎng)關(guān)

D)網(wǎng)橋在下面的命令中，用來(lái)檢查通信對(duì)方當(dāng)前狀態(tài)的命令是________。A)telnetB)tracerouteC)tcpdumpD)ping.在Telnet中，程序的_______。A)執(zhí)行和顯示均在遠(yuǎn)程計(jì)算機(jī)上B)執(zhí)行和顯示均在本地計(jì)算機(jī)上C)執(zhí)行在本地計(jì)算機(jī)上，顯示在遠(yuǎn)程計(jì)算機(jī)上D)執(zhí)行在遠(yuǎn)程計(jì)算機(jī)上，顯示在本地計(jì)算機(jī)上.連接南京郵電學(xué)院的主頁(yè)WWW．njupt．edu．cn，下面的_______操作不對(duì)。A)在地址欄中輸入WWW．njupt．edu．cnB)在地址欄中輸入http：//www．njupt．edu．cnC)在“開(kāi)始”→“運(yùn)行”中輸入http：／／www．njupt．edu．cnD)在地址欄中輸入gopher：／／www．njupt．edu．cn.下面關(guān)于網(wǎng)絡(luò)信息安全的一些敘述中，不正確的是_______。A)網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)比單機(jī)系統(tǒng)復(fù)雜，信息安全問(wèn)題比單機(jī)更加難以得到保障B)電子郵件是個(gè)人之間的通信手段，有私密性，不使用軟盤(pán)，一般不會(huì)傳染計(jì)算機(jī)病毒.C)防火墻是保障單位內(nèi)部網(wǎng)絡(luò)不受外部攻擊的有效措施之一D)網(wǎng)絡(luò)安全的核心是操作系統(tǒng)的安全性，它涉及信息在存儲(chǔ)和處理狀態(tài)下的保護(hù)問(wèn)題加強(qiáng)網(wǎng)絡(luò)安全性的最重要的基礎(chǔ)措施是_______。A)設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略.B)選擇更安全