第8章 网络安全技术(新)-15页精选文档

第8章1判断题1-1 目前防火墙技术仅应用在防火墙产品中。

（×）1-2 一般来说，防火墙在OSI参考模型中的位置越高，所需要检查的内容就越多，同时CPU 和RAM的要求也就越高。

（√）1-3 防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个基本准则，其中前者的安全性要比后者高。

（√）1-4 采用防火墙的网络一定是安全的。

（×）1-5 包过滤防火墙一般工作在OSI参考模型的网络层与传输层，主要对IP分组和TCP/UDP 端口进行检测和过滤操作。

（√）1-6 当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小。

（×）1-7 在传统的包过滤、代理和状态检测3类防火墙中，只能状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。

（√）1-8 分布式防火墙由于采用了计算机网络的分布式通信特点，所以在实施时只能采用纯软件方式。

（×）1-9 有些个人防火墙是是一款独立的软件，而有些个人防火墙则整合在防病毒软件中使用。

（√）2 填空题2-1 防火墙将网络分割为两部分，即将网络分成两个不同的安全域。

对于接入Internet的局域网，其中局域网属于可信赖的安全域，而Internet属于不可信赖的非安全域。

2-2 为了使管理人员便于对防火墙的工作状态进行了解，一般防火墙都需要提供完善的日志功能。

2-3 防火墙一般分为路由模式和透明模式两类。

当用防火墙连接同一网段的不同设备时，可采用透明模式防火墙；而用防火墙连接两个完全不同的网络时，则需要使用路由模式防火墙。

2-4 状态检测防火墙是在传统包过滤防火墙的基础上发展而来的，所以将传统的包过滤防火墙称为静态包过滤防火墙，而将状态检测防火墙称为动态包过滤防火墙。

3 选择题3-1 以下设备和系统中，不可能集成防火墙功能的是（ A ）A.集线器B. 交换机C. 路由器D. Windows Server 2003操作系统3-2 对“防火墙本身是免疫的”这句话的正确理解是（B ）A. 防火墙本身是不会死机的B. 防火墙本身具有抗攻击能力C. 防火墙本身具有对计算机病毒的免疫力D. 防火墙本身具有清除计算机病毒的能力3-3 在以下各项功能中，不可能集成在防火墙上的是（D ）A. 网络地址转换（NAT）B. 虚拟专用网（VPN）C. 入侵检测和入侵防御D. 过滤内部网络中设备的MAC地址3-4 当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时，该服务器一般要置于防火墙的（C ）A. 内部B. 外部C. DMZ区D. 都可以3-5 以下关于状态检测防火墙的描述，不正确的是（D ）A. 所检查的数据包称为状态包，多个数据包之间存在一些关联B. 能够自动打开和关闭防火墙上的通信端口C. 其状态检测表由规则表和连接状态表两部分组成D. 在每一次操作中，必须首先检测规则表，然后再检测连接状态表3-6 以下关于传统防火墙的描述，不正确的是（ A ）A. 即可防内，也可防外B. 存在结构限制，无法适应当前有线和无线并存的需要C. 工作效率较低，如果硬件配置较低或参数配置不当，防火墙将成形成网络瓶颈D. 容易出现单点故障3-7 在分布式防火墙系统组成中不包括（ D ）A. 网络防火墙B. 主机防火墙C. 中心管理服务器D. 传统防火墙3-8 下面对于个人防火墙的描述，不正确的是（ C ）A. 个人防火墙是为防护接入互联网的单机操作系统而出现的B. 个人防火墙的功能与企业级防火墙类似，而配置和管理相对简单C. 所有的单机杀病毒软件都具有个人防火墙的功能D. 为了满足非专业用户的使用，个人防火墙的配置方法相对简单3-9 下面对于个人防火墙未来的发展方向，描述不准确的是（ D ）A. 与xDSL Modem、无线AP等网络设备集成B. 与防病毒软件集成，并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成。

网络工程师学习笔记第8章网络安全与信息安全第8章网络安全与信息安全主要内容:1、密码学、鉴别2、访问控制、计算机病毒3、网络安全技术4、安全服务与安全机制5、信息系统安全体系结构框架6、信息系统安全评估准则一、密码学1、密码学是以研究数据保密为目的，对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。

2、对称密钥密码系统(私钥密码系统):在传统密码体制中加密和解密采用的是同一密钥。

常见的算法有:DES、IDEA3、加密模式分类:(1)序列密码:通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流逐位加密得到密文。

(2)分组密码:在相信复杂函数可以通过简单函数迭代若干圈得到的原则，利用简单圈函数及对合等运算，充分利用非线性运算。

4、非对称密钥密码系统(公钥密码系统):现代密码体制中加密和解密采用不同的密钥。

实现的过程:每个通信双方有两个密钥，K和K’，在进行保密通信时通常将加密密钥K 公开(称为公钥)，而保留解密密钥K’(称为私钥)，常见的算法有:RSA二、鉴别鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程，一般通过某种复杂的身份认证协议来实现。

1、口令技术身份认证标记:PIN保护记忆卡和挑战响应卡分类:共享密钥认证、公钥认证和零知识认证(1)共享密钥认证的思想是从通过口令认证用户发展来了。

(2)公开密钥算法的出现为2、会话密钥:是指在一次会话过程中使用的密钥，一般都是由机器随机生成的，会话密钥在实际使用时往往是在一定时间内都有效，并不真正限制在一次会话过程中。

签名:利用私钥对明文信息进行的变换称为签名封装:利用公钥对明文信息进行的变换称为封装3、Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。

客户方需要向服务器方递交自己的凭据来证明自己的身份，该凭据是由KDC 专门为客户和服务器方在某一阶段内通信而生成的。

网络安全技术相关知识概述网络安全已经成为现代社会中不可忽视的一个重要议题。

随着互联网的快速发展，我们对信息安全和数据保护的需求也日益增长。

为了维护网络的安全性，必须掌握一定的网络安全技术知识。

本文将概述一些与网络安全技术相关的知识。

1. 信息安全的基础概念信息安全是指保护信息系统和网络中的信息不受未经授权的访问、使用、泄露、干扰、破坏和破解的能力。

为了实现信息安全，我们需要掌握以下几个基本概念：1.1. 机密性机密性是指确保信息只能被授权人员访问和使用的能力。

为了实现机密性，我们可以使用加密算法对敏感信息进行加密，并采取访问控制措施来限制非授权用户的访问。

1.2. 完整性完整性是指确保信息在传输和存储过程中不被非法篡改的能力。

为了实现完整性，我们可以使用数字签名技术对信息进行签名，以便在传输和存储过程中验证信息是否被篡改。

1.3. 可用性可用性是指确保信息系统和网络在需要时随时可用的能力。

为了实现可用性，我们需要采取适当的备份和容灾措施，以防止意外故障和攻击对系统和网络的影响。

1.4. 防护防护是指采取各种措施来阻止和抵御安全威胁的能力。

这些措施包括网络防火墙、入侵检测系统、反病毒软件等。

2. 加密与解密加密和解密是实现信息机密性的关键技术。

加密是将明文转换为密文的过程，而解密则是将密文转换回明文的过程。

在加密和解密过程中，使用密钥来控制加密和解密算法。

2.1. 对称加密对称加密是指使用相同的密钥对明文进行加密和密文进行解密的过程。

常见的对称加密算法有DES、AES等。

对称加密算法的优点是加密解密效率高，但密钥管理比较复杂。

2.2. 非对称加密非对称加密是指使用一对密钥，其中一个用于加密，另一个用于解密的过程。

非对称加密算法包括RSA、ECC等。

非对称加密算法的优点是密钥管理方便，但加密解密效率较低。

2.3. 数字签名数字签名是保证信息完整性和真实性的技术。

数字签名使用私钥对信息进行签名，然后使用相应的公钥来验证签名的真实性。