《自考计算机网络安全大纲要求及习题.docx》由会员分享,可在线阅读,更多相关《自考计算机网络安全大纲要求及习题.docx(23页珍藏版)》请在三一办公上搜索。
1、更多优质自考资料尽在百度贴吧自考乐园俱乐部(自考计算机网络安全大纲要求及习题第一章绪论1. 识记计算机网络系统面临的典型安全威胁(10,见习题)计算机网络安全的定义指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性和可使用性受到保护。涉及计算机科学、网络/通信/密码/信息安全技术、应用数学、数论和信息论等多个学科。计算机网络安全的目标(5)保密性、完整性、可用性、不可否认性、可控性P2DR模型的结构(见习题)网络安全的主要技术(10)物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术2.
2、 领会OSI安全体系结构(见习题)计算机网络安全管理的主要内容网络安全管理的法律法规计算机网络安全评价标准网络安全威胁的发展趋势(11)Internet结合紧密,利用各种方式传播;病毒混合型特征;扩散快、欺骗性;利用系统漏洞;无线发展利于远程网络攻击;情报;智能化、整合;隐秘性;分布式;跳板;网络管理安全问题网络安全技术的发展趋势(8)物理隔离;逻辑隔离;抗Dos/DDos网络攻击;防病毒;身份认证;加密、VPN;入侵检测、主动防御;网管、审计、取证3. 应用分析给定网络可能存在的网络威胁4. 习题计算机网络面临的典型安全威胁有哪些?(10)窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行
3、为否认、旁路控制、电磁/射频截获、人员疏忽分析计算机网络的脆弱性和安全缺陷脆弱性:计算机网络是颇具诱惑力的受攻击目标,无论是个人、企业,还是政府机构,只要使用计算机网络,都会感受到网络安全问题所带来的威胁。无论是局域网还是广域网,都存在着偶发、自然和人为(被动、主动、邻近、内部、分发)等诸多脆弱性。一方面,计算机网络的硬件和通信设施极易受自然环境和人为的物理破坏;另一方面,计算机网络的软件资源和数据信息易受到非法窃取、复制、篡改等。安全缺陷:互联网不安全性,开放/国际/自由/协议;OS和数据库的安全缺陷;数据;传输线路;网络安全管理不当分析计算机网络的安全需求保密性、完整性、可用性、不可否认性
4、、可控性计算机网络安全的内涵和外延是什么?内涵:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。外延:从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义随着“角度”的变化而变化。论述OSI安全体系结构1982-1988,ISO7498-2,国内对应标准为GB/T 9387.2-1995(1) 给出了标准中部分术语的正式定义(2) 定义了五大类安全服务(安全防护措施)鉴别服务(针对假冒、拒绝服务)访问控制服务(针对非授权侵犯、拒绝服务)数据机密性服务(针对
5、窃听)数据完整性(针对安全性破坏、拒绝服务)抗抵赖性服务(针对否认)(3) 给出八种用以实现安全服务的安全机制加密、数签、访控、数据完整性、鉴别交换通信业务流填充、路由控制、公证不是能实现的标准,而是关于如何设计标准的标准,定义了许多术语和概念,建立了一些重要的结构性准则。简述P2DR安全模型的结构是一种常用网络安全模型,包括安全策略、防护、检测、响应四个部分。该模型认为,安全技术措施是围绕安全策略的具体需求,防护、检测、响应有序地组织在一起,构成一个完整的、动态的安全防护体系。该模型以基于时间的安全理论的数学模型作为其论述基础,信息安全有关活动都要消耗时间,可以用时间来衡量体系的安全性和安全
6、能力。Pt Dt + Rt ; Et = Dt + Rt , if Pt = 0以上公式指出,及时的检测和响应(恢复)就是安全,对待网络安全,不能依靠静态防护和单技术手段,而应持动态发展的观点。简述计算机网络安全技术及其应用物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术简述网络安全管理意义和主要内容面对网络安全的的脆弱性,除了采用各种技术和完善系统的安全保密措施外,必须加强网络的安全管理,诸多的不安全因素恰恰存在于组织管理方面。据权威机构统计表明:信息安全大约60%以上的问题是由于管理造成的。也就是说,解
7、决信息安全问题不应仅从技术方面着手,同时更应加强信息安全的管理工作。主要内容:网络安全管理的法律法规计算机网络安全评价标准网络安全的层次和内容层次:物理安全;逻辑安全;OS安全;联网安全内容:先进的技术严格的管理配套的法律第二章 物理安全1. 识记物理安全包含的主要内容机房环境安全通信线路安全设备安全电源安全机房安全要求和措施人员进出:减少无关人员进出机房机会,注意机房选址,布局,办理人员、物品进出登记手续并有效监控。防盗:对重要的设备和存储媒体应采取严格的防盗措施。措施:增加质量,胶粘,光纤电缆保护重要设备,视频监视。三度:温度(18-22度)、湿度(40%-60%为宜)、洁净度(要求机房尘
8、埃颗粒直径小于0.5m)配备空调系统、去湿机和除尘器。防静电:装修材料避免使用挂毯、地毯等易吸尘,易产生静电的材料,应采用乙烯材料,安装防静电地板并将设备接地。接地防雷:1.地线种类:A保护地B直流地C屏蔽地D静电地E雷击地2.接地系统:A各自独立的接地系统B交、直流分开的接地系统C共线接地系统D直流地、保护地共用地线系统E建筑物内共地系统3、接地体:A地桩B水平栅网C金属接地板D建筑物基础钢筋4.防雷措施,使用接闪器、引下线和接地装置吸引雷电流。机器设备应有专用地线,机房本身有避雷设备和装置。防火防水:为避免火灾、水灾,应采取的措施为:隔离、火灾报警系统、灭火设施(灭火器,灭火工具及辅助设备
9、)、管理措施。硬件设备的使用管理 要根据硬件设备的具体配置情况,制定切实可靠的硬件设备的操作使用规程,并严格按操作规程进行操作; 建立设备使用情况日志,并严格登记使用过程的情况; 建立硬件设备故障情况登记表,详细记录故障性质和修复情况;坚持对设备进行例行维护和保养,并指定专人负责。电源对用电设备安全的潜在威胁脉动与噪声电磁干扰2. 领会机房安全等级划分标准(3,见习题)通信线路安全技术(3,见习题)电磁辐射的防护措施A. 对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;B. 对辐射的防护:采用各种电磁屏蔽措施:设备、接插件,下水管暖气管金属门窗屏
10、蔽隔离;对干扰的防护措施,利用干扰装置产生伪噪声来掩盖目标系统工作频率和信息特征;抗干扰方面,除芯片部件上提高抗干扰能力还有屏蔽滤波隔离接地机房供电的要求(14)和方式(3)供电要求: 专用可靠供电线路; 供电设备容量有余量; 符合电源技术指标; 宜采用干式变压器; 电源室到电源系统分电盘电缆符合规定,载流量应减少50%; 防触电; 耐燃铜芯屏蔽电缆; 设备走线不与空调、电源走线平行,应垂直交叉,防延燃措施; 铜芯电缆,混用必须采用过渡头; 接点镀锡铅,冷压连接; 应急电话应急断电; 封闭式蓄电池,半封闭或开启式设专用房间,防腐防爆排风 专用地线 应急照明,安全口指示灯供电方式: 一类供电:需
11、建立不间断供电系统 二类供电:需建立带备用的供电系统 三类供电:按一般用户供电考虑。3. 应用根据所需建设的网络系统要求,分析机房安全、通信线路安全和供电的需求。4. 习题简述物理安全在计算机网络信息系统安全中的意义物理安全是整个计算机网络系统安全的前提。物理安全是保护计算机网络设备、设施及其他媒体免遭地震、水灾和火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏过程。物理安全在整个计算机网络信息系统安全中占有重要地位,也是其它安全措施得以实施并发挥正常作用的基础和前提条件。物理安全主要包含哪些方面的内容?机房环境安全通信线路安全设备安全电源安全计算机机房安全等级的划分标准是什么?机房
12、的安全等级分为三个基本类别:A类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。计算机机房安全技术主要包含哪些方面的内容? 安全保卫技术,包括防盗报警、实时监控、安全门禁等 环境条件保持技术,加装通风设备、排烟设备、专业空调设备 用电安全技术,包括电源分离,有效接地,过载保护、防雷等 安全管理技术,制订严格管理制度,要求进出人员严格遵守保障通信线路安全的主要技术措施有哪些? 电缆加压技术(压力减小自动报警,加压电缆同事有屏蔽功能) 对光纤等通信线
13、路的防窃听技术(距离大于最大长度限制的系统之间,不采用光纤线通信;加强复制器的安全,如用加压电缆、警报系统和加强警卫等措施) 禁止Modem接入,号码保密,增加扩展号码。电磁辐射对网络通信安全的影响主要体现在哪些方面,防护措施有哪些?影响主要体现在:计算机系统可能会通过电磁辐射使信息被截获而失密,计算机系统中数据信息在空间中扩散。A. 对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;B. 对辐射的防护:采用各种电磁屏蔽措施,设备、接插件,下水管暖气管金属门窗屏蔽隔离;对干扰的防护措施,利用干扰装置产生伪噪声来掩盖目标系统工作频率和信息特征;抗干扰
14、方面,除芯片部件上提高抗干扰能力还有屏蔽滤波隔离接地通过上述种种措施,提高计算机的电磁兼容性,提高设备的抗干扰能力,使计算机能抵抗强电磁干扰,同时将计算机的电磁泄漏发射降到最低,使之不致将有用的信息泄漏出去。保障信息存储安全的主要措施有哪些? 数据盘防磁、防潮、防火、防盗 级别、权限、加密 管理到人、建立登记 备份分开存放 打印输出的文件管理 数据清除 专人销毁 长期数据转存简述各类计算机机房对电源系统的要求电源系统安全应该注意电源电流或电压的波动可能会对计算机网络系统造成的危害。GB9361-88对A、B类安全机房要求: 专用可靠供电线路; 供电设备容量有余量; 符合电源技术指标; 宜采用干
15、式变压器; 电源室到电源系统分电盘电缆符合规定,载流量应减少50%; 防触电; 耐燃铜芯屏蔽电缆; 设备走线不与空调、电源走线平行,应垂直交叉,防延燃措施; 铜芯电缆,混用必须采用过渡头; 接点镀锡铅,冷压连接; 应急电话应急断电; 封闭式蓄电池,半封闭或开启式设专用房间,防腐防爆排风 专用地线 应急照明,安全口指示灯C类安全机房满足GB2887-2000中规定的三类供电要求。第三章 信息加密和PKI1. 识记信息加密技术信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。密码学五元组:明文、密文、密钥、加密算法、解密算法的
16、基本概念明文:消息的原始形式,作为加密输入的原始信息,记作m或p。所有可能明文的有限集称为明文空间,记作M或P密文:明文经加密变换后的结果,即消息被加密处理后的形式,记作e。密文空间C密钥:参与密码变换的参数,记作k。密钥空间K加密算法:将明文变换为密文的变换函数。相应的变换过程即编码过程称为加密,记作E,c=Ek(p)解密算法:将密文恢复为明文的变换函数。相应的变换过程即解码过程称为解密,记作D,p=Dk(c)对于有实用意义的密码体制而言,总是要求它满足:p=Dk(Ek(p),即用加密算法得到的密文总是能用一定的解密算法恢复出原始的明文。加密体制的分类单钥(对称)密码体制;双钥(公开)密码体
17、制认证技术的分层模型从上到下分三个层次:安全管理协议、认证体制、密码体制。安全管理协议主要任务是在安全体制支持下,建立、强化、实施整个网络系统的安全策略;认证体制在安全管理协议的控制和密码体制支持下,完成各种认证功能;密码体制是认证技术的基础,它为认证体制提供数学方法支持常用的数据加密方式链路加密;节点加密;端到端加密认证体制应满足的条件 意定的接收者能够检验和证实消息的合法性、真实性和完整性; 消息的发送者对所发的消息不能抵赖,有时也要求消息的接收者不能否认收到的消息;除了合法的消息发送者外,其他人不能伪造发送消息。PKI的基本概念和特点公开密钥基础设施PKI,用公钥密码算法原理和技术,提供
18、安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。产生:针对电子政务和电子商务在下列安全需求而产生认证需求访问控制需求保密需求数据完整性需求不可否认需求特点:节省费用;互操作性;开放性;提供一致的解决方案;可验证性;可选择性2. 领会单钥密码体制和双钥密码体制的区别单钥密码体制加解密密钥相同或等同;双钥密码体制加解密密钥不同。DES、IDEA、RSA加密算法的基本原理数据加密标准DES,1997年美国国家标准局公布(IBM公司研制),是对二元数据加密的分组密码。m=n64bit,c=n64bit,k=64bit-8bit(去掉8n(n=1-8)bit)。其加密算法包含四
19、个部分:初始置换IP16轮迭代的乘积变换逆初始置换IP-116个子密钥产生器,记作DES(m)= IP-1T16T15T2T1IP(m)国际数据加密算法IDEA,1990年朱学嘉与JamesMassey提出的PES改进而来,密钥长度为128bit。软硬件实现容易,加解密速度快(比DES慢,但适于ASIC),对线性和差分安全。加解密过程与DES雷同,只是密钥存在差异。RSA是Rivest,Shamir,Adleman设计的用数论(大数分解和素数检测)构造双钥算法,基于分解两个大质数之积的困难性,用于加密和数签。步骤如下生成公钥(n,e)和私钥(n,d),pq互质,n=pq, d与(p-1)(q-
20、1)互质,de1mod(p-1)(q-1),(理解:de-1能被(p-1)(q-1)整除)公开公钥用私钥加密,密文传给对方对方用公钥解密。有分解模、迭代、选择明文、公用模、低加密指数、定时等攻击手段,但成功概率微乎其微。认证的三个目的消息完整性认证,即验证信息在传送或存储过程中是否被篡改;身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;消息序号和操作时间等的认证,防止消息重放或延迟等攻击。手写签名与数字签名的区别手写签名是不变的,而数字签名对不同的消息是不同的,即手写签名因人而异,数字签名因消息而异;手写签名是易被模拟的,无论哪种文字的手写签名,伪造者都容易模仿,而数字签
21、名是在密钥控制下产生的,在没有密钥的情况下,模仿者几乎无法模仿出数字签名。数字签名与消息认证的区别消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时,这种方式对防止第三者破坏是有效的,但当存在利害冲突时,单纯采用消息认证技术就无法解决纠纷,这时就需要借助于数字签名技术来辅助进行更有效的消息认证。PKI认证技术的组成主要有认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。认证机构CA证书库证书撤销密钥备份和恢复自动更新密钥密钥历史档案交叉认证不可否认性时间戳客户端软件3. 应用将给定的明文按照给定的古典或单?双钥密码算法变换成密文明文M=
22、”C”,用凯撒密码加密,k=3解:ek(c)=(k+m) mod q,代入m=3,k=3,q=26,c=6 mod 26=6,故密文C=”F”明文M=”C”,用RSA加密,公钥k1为n=33,e=3,私钥k2为p=3,q=11,d=7解:将A-Z编码为00-25,字母C对应02,使用公钥加密过程,E(m)=me mod n=c,c=Ek1(“C”)=me mod n=23mod33=8,故密文C=”H”使用私钥解密过程,D( c)=cd mod n=m,m=Ek2(“H”)=cd mod n=87mod33=2,故明文M=”C”4. 习题简述信息加密技术对于保障信息安全的重要作用 保障信息安全
23、的基石,代价小,保护强 广泛应用于政治、经济、军事、外交、情报等重要部门 用于加解密,还是身份认证、访问控制、数字签名的基础简述加密技术的基本原理,并指出有哪些常用的加密体制及其代表算法信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。加密体制从原理上分为两大类:即单钥(对称)密码体制(代表算法:DES,IDEA)和双钥(公开,非对称)密码体制(代表算法:RSA,ElGamal)。试分析古典密码对于构造现代密码有哪些启示?古典密码大都比较简单,可用手工或机械操作实现加解密,虽然现在很少采用,但研究这些密码算法的原理,对于理
24、解、构造和分析现代密码是十分有益的。古典密码算法主要有代码加密、代替加密、变位加密和一次性密码簿加密等几种算法。选择凯撒Caesar密码系统的密钥k=6。若明文为Caesar,密文是什么M=”Caesar”,k=6,q=26,由ek(c)=(k+m) mod q,依次代入m=3,1,5,19,1,18,得c=9,7,11,25,7,24,则密文C=”Igkygx”DES加密过程有几个基本步骤?试分析其安全性能初始置换IP16轮迭代的乘积变换逆初始置换IP-116个子密钥产生器记作DES(m)= IP-1T16T15T2T1IP(m)安全性分析:体制细节公开,安全性依赖于密钥;56bit密钥偏短
25、;穷举、微分分析法、线性逼进法;广泛应用在本章RSA例子的基础上,试给出m=student的加解密过程解:根据题意,明文M=”student”,用RSA加密,公钥k1为n=33,e=3,私钥k2为p=3,q=11,d=7将a-z编码为00-25,A-Z编码为26-51,明文M对应编码序列为18,19,20,03,04,13,18使用公钥加密过程,E(m)=me mod n=c,c=Ek1(“s”)=me mod n=183mod33=24,故密文C1=”y”使用私钥解密过程,D( c)=cd mod n=m,m=Ek2(“y”)=cd mod n=247mod33=18,故明文M1=”s”其余
26、略,C对应编码序列为24,28,14,27,31,19,24,C=”yCoBFty”RSA签名方法与RSA加密方法对密钥的使用有什么不同RSA加密方法是在多个密钥中选用一部分密钥作为加密密钥,另一些作为解密密钥。RSA签名方法:如有k1/k2/k3三个密钥,可将k1作为A的签名私密钥,k2作为B的签名私密钥,k3作为公开的验证签名用密钥,实现这种多签名体制,需要一个可信赖中心对A和B分配秘密签名密钥。试简述解决网络数据加密的三种方式 链路加密:对网络中两个相邻节点之间传输的数据进行加密保护。 节点加密:指在信息传输路过的节点处进行解密和加密。 端到端加密:指对一对用户之间的数据连续的提供保护。
27、认证的目的是什么?试简述其相互间的区别消息完整性认证,即验证信息在传送或存储过程中是否被篡改;身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;消息序号和操作时间等的认证,防止消息重放或延迟等攻击。什么是PKI?其用途有哪些?PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。简述PKI的功能模块组成主要有认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。认证机构CA证书库证书撤销密钥
28、备份和恢复自动更新密钥密钥历史档案交叉认证不可否认性时间戳客户端软件通过学习,你认为密码技术在网络安全实践中还有哪些重要的应用领域?举例说明电子商务和VPN第四章 防火墙技术1. 识记防火墙的基本概念是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。是分离器,限制器,分析器,具有较强抗攻击能力。防火墙的体系结构类型双重宿主主机体系结构;屏蔽主机体系结构;屏蔽子网体系结构。个人防火墙的特点优点:增加了保护级别,不需要额外的硬件资源抵挡内外攻击保护单个系统,隐蔽用户信息。缺点:单接口,本身易受威胁占
29、用个人计算机的内存、CPU时间等资源只能对单机提供保护,不能保护网络系统。防火墙的发展趋势更加优良的性能可扩展的结构和功能简化的安装与管理主动过滤防病毒与防黑客发展联动技术2. 领会防火墙的主要功能过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息和内容对网络攻击检测和告警防火墙的局限性A.以网络服务的开放性、灵活性为代价,功能被削弱隔离使内外信息交流受到阻碍附加代理软件增大网管开销,减慢信息传输速率,不适合大量分布式环境B. 只是整个网络安全防护体系的一部分,并非万无一失。 对绕过防火墙的访问和攻击无效 不能解决内网攻击和安全问题 不能防止受病毒感染的文件的传
30、输 不能防止策略配置不当或错误配置引起的安全威胁 不能防止自然或人为故意破坏 不能防止本身安全漏洞的威胁各类防火墙的特点防火墙可以分为网络层防火墙和应用层防火墙,这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。数据包过滤技术的工作原理工作在网络层,通常基于IP数据包的源目地址、源目端口进行过滤。包过滤技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表ACL。通过检查数据流中每个数据包的源目地址、端口号、协议状态等因素或它们的组合,来确定是否允许该数据包通过。代理服务技术的工作原理代理服务器指运行代表客户处理连接请求的程序,
31、客户连接意图,核实后传递到真实服务器,接受服务器应答,处理后传给最终客户。起中间转接和隔离作用,又叫代理防火墙,其工作于应用层,针对特定的应用程序,可以记录和控制所有进出流量。代理工作方式图包括真实客户端,内部网络,代理服务器(请求,转发响应),应用协议分析,代理客户机(转发请求,响应),外部网络,真实服务器。其中代理服务器作为内部网络客户的服务器,拦截住所有请求,也向客户端转发响应;代理客户机负责代表内部客户端向外部服务器发出请求,当然也向代理服务器转发响应。状态检测技术的工作原理通过在网关处执行网络安全策略的检测引擎,获得高安全性。采用基于连接的状态检测机制,将属于同一连接的所有包作为整体
32、数据流,构成连接状态表,通过规则表和状态表配合,识别表中的各个连接状态因素。检测引擎采用抽取有关数据,通过状态监视器收集状态信息,同时动态保存起来,维护动态状态信息表,把后续数据包和前一时刻相应的状态信息进行对比,参数变化则根据策略进行终止和记录报告。检测引擎使用上述方法对网络通信的各层实施检测,不影响网络正常运行。支持多种协议和应用程序,还可方便实现应用和服务的扩充。NAT技术的工作原理把内部私有IP地址翻译成合法网络IP地址的技术,局域网内部网络使用内部地址,当内部节点与外部网络通信时,在网关处将内部地址替换成公用地址,完成通信。可以共享IP地址,解决公共IP地址紧缺问题,并能对外屏蔽内部
33、网络。有SNAT,PNAT,NAPT三种类型。个人防火墙的主要功能IP数据包过滤安全规则修订攻击数据包拦截应用程序网络访问控制网络快速切断、恢复日志记录攻击报警自身安全3. 应用防火墙的典型应用4. 习题简述防火墙的定义是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,它构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。防火墙的主要功能有哪些?过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息和内容对网络攻击检测和告警防火墙的体系结构有哪几种?简述各自的特点双重宿主主机,基于双重宿主的主机计算机,双网卡,充当路由器
34、,可控。屏蔽主机,堡垒主机仅连内网,单独过滤路由器。屏蔽子网,堡垒主机在周边网中,连接内外路由器简述包过滤防火墙的工作机制和包过滤模型包过滤型防火墙一般有一个包检查模块,可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但不能控制传输的数据内容,因为内容是应用层数据。包过滤模块深入OS核心,网络层和数据链路层(实际上在NIC)之间,包过滤模块位于软件最底层,在转发包之前拦截数据包并进行处理。仅在一个重要位置放置包过滤路由器就可以保护整个网络,且对用户透明。包过滤模型见下图:包过滤防火墙通过检查模块拦截和检查所有进出数据,首先验证数据包是否符合过滤规则并记录数据
35、包情况,根据规则进行发送、丢弃、报警、通知、回应等操作。简述包过滤的工作过程包过滤即拦截和检查所有进出数据,首先验证数据包是否符合过滤规则并记录数据包情况,根据规则进行发送、丢弃、报警、通知、回应等操作。主要依据数据包源目地址、数据包协议类型、源目端口、ICMP消息类型,允许或不允许某些数据包在网络上传输。简述代理防火墙的工作原理,并阐述代理技术的优缺点代理服务器指运行代表客户处理连接请求的程序,客户连接意图,核实后传递到真实服务器,接受服务器应答,处理后传给最终客户。起中间转接和隔离作用,又叫代理防火墙,其工作于应用层,针对特定的应用程序,可以记录和控制所有进出流量。优点:代理易于配置代理能
36、生成各项记录代理能灵活、完全地控制进出流量、内容代理能过滤数据内容代理能为用户提供透明的加密机制代理可以方便地与其他安全手段集成缺点:代理速度较路由器慢代理对用户不透明对于每项服务代理可能要求不同的服务器不能保证免受所有协议弱点的限制不能改进底层协议的安全性简述状态检测防火墙的特点状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处,克服了两者的不足,能够根据协议、端口,以及源目地址的具体情况决定数据包是否允许通过。优点:高安全性高效性可伸缩性和易扩展性应用范围广。不足:对大量状态信息的处理过程可能会造成网络连接的某种迟滞。简述NAT技术的工作原理把内部私有IP地址翻译成合法网络IP地址的
37、技术,局域网内部网络使用内部地址,当内部节点与外部网络通信时,在网关处将内部地址替换成公用地址,完成通信。可以共享IP地址,解决公共IP地址紧缺问题,并能对外屏蔽内部网络。有SNAT,PNAT,NAPT三种类型。试描述攻击者用于发现和侦察防火墙的典型技巧攻击者往往通过发掘信任关系和最薄弱环节上的安全脆弱点来绕过防火墙,或者经由拔号帐号实施攻击来避开防火墙。典型技巧:用获取防火墙标识进行攻击。凭借端口扫描和标识获取等技巧,攻击者能有效地确定目标网络上几乎每个防火墙的类型、版本和规则。穿透防火墙进行扫描。利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿透防火墙扫描。利用分组过滤的脆弱点进行
38、攻击。利用ACL规则设计不完善的防火墙,允许某些分组不受约束的通过。利用应用代理的脆弱点进行攻击。若把网络卫士防火墙3000部署在本单位网络出口处,试给出其应用配置配置防火墙接口地址设置路由表指定防火墙接口属性配置域名服务器透明设置增加用户NAT配置反向NAT配置访问规则配置简述个人防火墙的特点优点:增加了保护级别,不需要额外的硬件资源抵挡内外攻击保护单个系统,隐蔽用户信息。缺点:单接口,本身易受威胁占用个人计算机的内存、CPU时间等资源只能对单机提供保护,不能保护网络系统。简述防火墙的发展动态和趋势目前防火墙已具有多种防范功能,但由于互联网的开放性,它也有一些力不能及的地方,主要表现在以下方
39、面:不能防范不经由防火墙的攻击不能防止感染了病毒的软件或文件的传输,这只能在每台主机上安装反病毒软件不能防止数据驱动式攻击还存在着安装、管理、配置复杂,在高流量网络易成为网络瓶颈的缺点。针对以上问题,防火墙正向以下趋势发展更加优良的性能可扩展的结构和功能简化的安装与管理主动过滤防病毒与防黑客发展联动技术第五章 入侵检测技术1. 识记入侵检测的原理图:通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。入侵检测的系统结构组成图:从系统构成上看,入侵检测系统应包括数据提取、入侵分析、响应处理和远程管理四大部分。功能结构上分中
40、心检测平台,和代理服务器。入侵检测系统的分类基于数据源的分类:按数据源所处的位置,把入侵检测系统分为五类:即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统;基于检测理论分类,可分为异常检测和误用检测;基于检测时效的分类,可分为离线检测方式(采取批处理方式)和在线检测方式(实时检测)。分布式入侵检测的优势和技术难点采用了非集中的系统结构和处理方式,相对于传统的单机IDS具有一些明显的优势:检测大范围的攻击行为提高检测的准确度(多数据来源)提高检测效率(分布式计算)协调响应措施(如封网、查攻击来源)技术难点:事件产生及存储(传统上使用集中式,占用很大流量和存储)状态空
41、间管理及规则复杂度知识库管理(快速规则升级和分发)推理技术(设计实现高效的分布式处理算法)通信占用、日志共享、事件描述格式、部署配置的通用性不强入侵检测系统的主要标准的名称IETF/IDWG。IDWG定义了用于入侵检测与响应系统之间或与需要交互的管理系统之间的信息共享所需要的数据格式和交换规程。IDWG提出了三项建议草案:入侵检测消息交换格式(IDMEF,描述了表示IDS输出信息的数据模型及模型基本原理)、入侵检测交换协议(IDXP,实体间交换数据的应用层协议)、隧道轮廓(TunnelProfile,用BEEP安全轮廓实现端到端安全)CIDF。CIDF的工作集中体现在四个方面:IDS的体系结构
42、、通信机制、描述语言和应用编程接口API。2. 领会入侵检测系统的分析模型分析是入侵检测的核心功能,一般的,入侵检测分析处理过程可分为三个阶段:构建分析器,对实际现场数据进行分析,反馈和提炼过程。其中,前两个阶段都包含三个功能,即数据处理、数据分类(数据可分为入侵指示、非入侵指示或不确定)和后处理。误用检测和异常检测的基本原理误用检测:按照预定模式搜寻事件数据,最适用于对已知模式的可靠检测。执行误用检测,主要依赖于可靠的用户活动记录和分析事件的方法。分为条件概率预测法产生式/专家系统状态转换方法用于批模式分析的信息检索技术击键检测和基于模型(如猜测口令行为序列)的方法。异常检测:假定用户的行为
43、是可预测的、遵循一致性模式的,且随着用户事件的增加,异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由试题集来描述的。分为Denning的原始模型量化分析统计度量非参数统计度量基于规则的方法CIDF体系结构组成分为四个基本组件:事件产生器、事件分析器、响应单元和事件数据库。事件产生器、事件分析器、响应单元通常以应用程序的形式出现,而事件数据库则是以文件或数据流的形式。使用GIDO(统一入侵检测对象)格式进行交换3. 习题简述入侵检测系统的基本原理图:通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。简述误
44、用检测的技术实现误用检测:按照预定模式搜寻事件数据,最适用于对已知模式的可靠检测。执行误用检测,主要依赖于可靠的用户活动记录和分析事件的方法。分为条件概率预测法产生式/专家系统状态转换方法用于批模式分析的信息检索技术击键检测和基于模型(如猜测口令行为序列)的方法。简述异常检测的技术实现异常检测:假定用户的行为是可预测的、遵循一致性模式的,且随着用户事件的增加,异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由试题集来描述的。分为Denning的原始模型量化分析统计度量非参数统计度量基于规则的方法简述入侵检测技术当前的研究热点SnortnetAgent-BasedDIDSGrIDS
45、IntrusionStrategy数据融合基于抽象的方法试指出分布式入侵检测的优势和劣势采用了非集中的系统结构和处理方式,相对于传统的单机IDS具有一些明显的优势:检测大范围的攻击行为提高检测的准确度(多数据来源)提高检测效率(分布式计算)协调响应措施(如封网、查攻击来源)技术难点:事件产生及存储(传统上使用集中式,占用很大流量和存储)状态空间管理及规则复杂度知识库管理(快速规则升级和分发)推理技术(设计实现高效的分布式处理算法)通信占用、日志共享、事件描述格式、部署配置的通用性不强你认为入侵检测的标准化工作对于当前入侵检测的研究有什么帮助DARPA和IETF的入侵检测工作组发起制定了一系列建议草案,从体系结构、API、通信机制和语言格式等方面来规范IDS的标准,此标准化工作可提高IDS产品、组件及与其他安全产品之间的互操作性。上网查找相关资料,整理并分析当前主流入侵检测产品的技术性能指标?简述Snort是如何检测分布式拒绝服务DDos攻击的,并在局域网内进行实验验证规则定义如下:alert tcp $EXTERNAL_NET any -
