第5章 防火墙技术
第5章防火墙与入侵检测技术精品PPT课件
统。 在互联网上,防火墙是一种非常有效的网络安全系统,
通过它可以隔离风险区域(Internet或有一定风险的 网络)与安全区域(局域网)的连接,同时不会妨碍 安全区域对风险区域的访问,网络防火墙结构如图所 示
2.使用防火墙的目的: (1)限制访问者进入被严格控制的点。 (2)防止侵入者接近内部设施。 (3)限制访问者离开被严格控制的点,有效的保护内部资源。 (4)检查、过滤和屏蔽有害的服务。 3.防火墙的特征 典型的防火墙具有以下三个方面的基本特性: (1)所有进出网络的数据流都必须经过防火墙 (2)只有符合安全策略的数据流才能通过防火墙 (3)防火墙自身应具有非常强的抗攻击的能力
屏蔽子网防火墙体系结构:堡垒机放在一个子网内, 形成非军事区,两个分组过滤路由器放在这一子网的两 端,使这一子网与Internet及内部网络分离。在屏蔽子 网防火墙体系结构中,堡垒主机和分组过滤路由器共同 构成了整个防火墙的安全基础。
5.2.2 防火墙的主要技术
1.包过滤技术
(1)包过滤技术的原理
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内 部网络与Internet连接必不可少的设备,因此在原有网络上 增加这样的防火墙几乎不需要任何额外的费用。
网络安全课程,第5章 防火墙技术讲稿(三)
1、屏蔽主机体系结构(主机过滤体系结构)
在主机过 滤体系结构 中提供安全 保护的主机 仅仅与内部 网相连。 主机过滤 结构还有一 台单独的路 由器(过滤 路由器)。 在这种体 系结构中, 主要的安全 由数据包过 滤提供,其 结构如右图 所示。
屏蔽主机体系结构(主机过滤体系结构)
在屏蔽主机防火墙结构中,分组过滤路由器或 防火墙与Internet相连,对数据包进行过滤。 同时一个堡垒机安装在内部网络,通过在分 组过滤路由器或防火墙上过滤规则的设置, 使堡垒机成为Internet上其它节点所能到达的 唯一节点,这确保了内部网络不受未授权外 部用户的攻击。
补充教学内容:防火墙的体系结构
重 点: 1:屏蔽主机体系结构 重 点: 2:双宿主机防火墙 重难点: 3:被屏蔽主机防火墙 重难点: 4:被屏蔽子网防火墙 难 点: 5:分布式防火墙体系结构 6:防火墙的分类 7:防火墙的性能及选购 8:防火墙技术的敝端 9:防火墙技术的发展趋势 10:实训
防火墙的体系结构概述
内部路由器(也叫阻塞路由器)
内部路由器的主要功能:是保护内部网免受来自外
部网与参数网络的侵扰,内部路由器为用户的防火墙执行大 部分的数据包过滤工作。它允许从内部网络到Internet的有 选择的出站服务。这些服务使用户的站点能使用数据包过滤 而不是代理服务 。 滤工作,它允许某些站点的包过滤系统认为符合安全规则的 服务在内外部网之间互传。根据各站点的需要和安全规则, 可允许的服务是以下这些外向服务中的若干种,如:Telnet、 FTP、WAIS、Archie、Gopher或者其它服务。 部网之间传递的各种服务和内部网与外部网之间传递的各种 服务不完全相同,即内部路由器所允许的在堡垒主机(在外 围网上)和用户内部网之间的服务,可以不同于内部路由器 所允许的在Internet和用户内部网之间的服务。
第05章网络安全技术与应用
第5章 网络安全技术与应用
(3)应用代理网关技术 )
计 算 机 网 络 工 程
应用代理网关( 应用代理网关(Application Gateway)技术也 ) 称应用代理技术, 称应用代理技术,是建立在网络应用层上的协议 过滤, 过滤,它针对特别的网络应用服务协议即数据过 滤协议, 滤协议,并且能够对数据包分析并形成相关的报 告。 应用代理技术又分为“第一代应用网关代理” 应用代理技术又分为“第一代应用网关代理”和 第二代自适应代理”。 “第二代自适应代理 。 自适应代理( 自适应代理(Adaptive proxy)技术结合了应用 ) 代理技术的安全性和包过滤技术的高速度等优点
第5章 网络安全技术与应用
防火墙的发展
计 算 机 网 络 工 程
第一阶段: 第一阶段:基于路由器的防火墙 第二阶段: 第二阶段:用户化的防火墙 第三阶段: 第三阶段:建立在通用操作系统上的防火墙 第四阶段: 第四阶段:具有专用安全操作系统的防火墙 第四代防火墙是一个双端口或多端口结构的专用 网络硬件设备。它将网关与安全系统合二为一, 网络硬件设备。它将网关与安全系统合二为一, 并集成了路由器功能。具有透明的访问方式、 并集成了路由器功能。具有透明的访问方式、灵 活的代理系统、多级的过滤技术、路由技术、 活的代理系统、多级的过滤技术、路由技术、网 络地址转换技术、 网关技术、 络地址转换技术、Internet网关技术、用户鉴别 网关技术 与加密、用户定制服务、审计和告警、 与加密、用户定制服务、审计和告警、网络诊断 数据备份与保全等技术和功能。 、数据备份与保全等技术和功能。
第5章 网络安全技术与应用
1、网络信息与安全 、
计 算 机 网 络 工 程
信息安全—是防止对知识、事实、 信息安全 是防止对知识、事实、数据或能力非 是防止对知识 授权使用、误用、 授权使用、误用、篡改或拒绝使用所采取的措施 。维护信息自身的安全就要抵抗对信息的安全威 胁。 网络信息安全—是指保护网络信息安全而采取的 网络信息安全 是指保护网络信息安全而采取的 措施或表示网络信息的一种安全状态。 措施或表示网络信息的一种安全状态。网络信息 安全以信息安全为目标,以网络安全为手段。 安全以信息安全为目标,以网络安全为手段。
第5章 防火墙和VPN
(4)DNS服务器:该服务器提供了系统中可
2. 系统安全弱点的探测
通过前期收集到的一些网络及主机信息,黑客 会通过扫描软件探测每台主机,寻找该系统的 安全漏洞和弱点。这些软件能够对整个网络或 主机进行扫描,主要扫描目标主机上某范围内 的典型端口,收集目标主机的哪些端口是否开 放,还有的直接根据已知的系统漏洞进行探测 扫描,并将扫描出来的结果形成详细的报表, 以便下一步实施攻击。
内部提供拨号服务绕过防火墙
防火墙的设计准则
1.防火墙的规则 ① 拒绝每件未被特别许可的事情(限制政策) 只支持那些仔细选择的服务,建立一个非常 安全的环境。其缺点是安全性的考虑优于使 用性的考虑,限制了提供给用户的服务范围。 ② 允许未被特别据绝的每—件事情(宽松政策) 建立一个非常灵活的使用环境,能为用户提 供更多的服务。缺点是使用性的考虑优于安 全性的考虑 。 多数防火墙都在两种之间采取折衷。
状态检测
传统的包过滤只是通过检测IP包头的相关信息 来决定数据流的通过还是拒绝,而状态检测技 术采用的是一种基于连接的状态检测机制,将 属于同一连接的所有包作为一个整体的数据流 看待,构成连接状态表,通过规则表与状态表 的共同配合,对表中的各个连接状态因素加以 识别。这里动态连接状态表中的记录可以是以 前的通信信息,也可以是其他相关应用程序的 信息,因此,与传统包过滤防火墙的静态过滤 规则表相比,它具有更好的灵活性和安全性。
电子商务安全
第五章
防火墙和VPN
1
第5章 防火墙和VPN
5.1 防火墙的概念与作用 5.2 防火墙技术原理 5.3 防火墙体系
5.4 VNP
2
5.1 防火墙的概念与作用
3
什么是防火墙?
防火墙是指设置在不同网络(如可信任的企 业内部网和不可信的公共网)或网络安全域 之间的一系列部件的组合。 它可通过监测、 限制、更改跨越防火墙的数据流,尽可能地 对外部屏蔽网络内部的信息、结构和运行状 况, 以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制 器,也是一个分析器,可有效地监控内部网 和Internet之间的任何活动, 保证内部网 络的安全。
防火墙技术PPT
防火墙技术
1.5 防火墙技术发展动态和趋势
(1)优良的性能 (2)可扩展的结构和功能 (3)简化的安装与管理 (4)主动过滤 (5)防病毒与防黑客
返回本节
防火墙技术
2 防火墙技术
2.1 防火墙的技术分类 2.2 防火墙的主要技术及实现方式 2.3 防火墙的常见体系结构
返回本章首页
防火墙技术ຫໍສະໝຸດ 表1 两种防火墙技术返回本节
防火墙技术
2.2 防火墙的主要技术及实现方式
1.双端口或三端口的结构 2.透明的访问方式 3.灵活的代理系统 4.多级的过滤技术 5.网络地址转换技术(NAT) 6.网络状态监视器
防火墙技术
7.Internet网关技术 8.安全服务器网络(SSN) 用户鉴别与加密 10.用户定制服务 11.审计和告警 12.应用网关代理
用全静态数据包检验技术来防止非法的网络接入 和防止来自Internet的“拒绝服务”攻击,它还 可以限制局域网用户对Internet的不恰当使用。
防火墙技术
Office Connect Internet Firewall DMZ可支持多达100个局域网用户,这使局域网 上的公共服务器可以被Internet访问,又不会使 局域网遭受攻击。
防火墙技术
(4)代理技术的优点 1)代理易于配置。 2)代理能生成各项记录。 3)代理能灵活、完全地控制进出流量、内容。 4)代理能过滤数据内容。 5)代理能为用户提 供透明的加密机制。 6)代理可以方便地与其他 安全手段集成。
防火墙技术
(5)代理技术的缺点 1)代理速度较路由器慢。 2)代理对用户不透 明。 3)对于每项服务代理可能要求不同的服务 器。 4)代理服务不能保证免受所有协议弱点的 限制。 5)代理不能改进底层协议的安全性。
计算机网络安全选择题
计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中,属于主动攻击的是()(分数:2分)A. 数据窃听B.数据流分析D.非法访问标准答案是:C。
2、数据完整性指的是()(分数:2 分)A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B.防止因数据被截获而造成泄密C.确保数据是由合法实体发出的D.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是:D。
3、以下算法中属于非对称算法的是()(分数:2分)A.DESD.三重DES标准答案是:B。
4、以下不属于代理服务技术优点的是()(分数:2 分)A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭标准答案是:D。
5、下列不属于主动攻击的是()(分数:2 分)A.修改传输中的数据B.重放C.会话拦截D.利用病毒标准答案是:D。
6、下列不属于被动攻击的是()(分数:2 分)A.监视明文B.解密通信数据C.口令嗅探D.利用恶意代码标准答案是:D。
7、网络安全主要实用技术不包括()(分数:2分)A.数字认证B.身份认证C. 物理隔离D.逻辑隔离标准答案是:A。
8、网络安全不包括哪些重要组成部分()(分数:2 分)A.先进的技术B.严格的管理C.威严的法律D.以上都不是标准答案是:D。
9、不是计算机网络安全的目标的是()(分数:2分)A. 保密性D.不可否认性标准答案是:C。
10、计算机网络安全是一门涉及多学科的综合性学科,以下不属于此学科的是()(分数:2 分)A. 网络技术D.信息论标准答案是:C。
第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位,下列不属于物理安全的是B.机房环境安全C. 通信线路安全D.设备安全标准答案是:A。
C.5D.6标准答案是:A。
3、为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要措施有()(分数:2 分)C.隔离D.接地标准答案是:B。
网络安全课程,第5章 防火墙技术1
本章学习目标
了解防火墙的定义,发展简史,目的, (1)了解防火墙的定义,发展简史,目的, 功能,局限性及其发展动态和趋势. 功能,局限性及其发展动态和趋势. (2)掌握包过滤防火墙和和代理防火墙的实 现原理,技术特点和实现方式; 现原理 , 技术特点和实现方式 ; 熟悉防火墙 的常见体系结构. 的常见体系结构. 熟悉防火墙的产品选购和设计策略. (3)熟悉防火墙的产品选购和设计策略.
拒绝所有的流量,这需要在你的网络中特 拒绝所有的流量,
殊指定能够进入和出去的流量的一些类型.
允许所有的流量,这种情况需要你特殊指 允许所有的流量,
定要拒绝的流量的类型. 案例: 案例:大多数防火墙的默认都是拒绝所有的流量作 为安全选项.一旦你安装防火墙后,你需要打开一 些必要的端口来使防火墙内的用户在通过验证之后 可以访问系统.换句话说,如果你想让你的员工们 能够发送和接收Email,你必须在防火墙上设置相应 的规则或开启允许POP3和SMTP的进程.
网络地址转换(NAT)技术 技术 网络地址转换
NAT技术能透明地对所有内部地址作转换,使外 技术能透明地对所有内部地址作转换,
部网络无法了解内部网络的内部结构, 部网络无法了解内部网络的内部结构,同时使用 NAT的网络,与外部网络的连接只能由内部网络发 NAT的网络, 的网络 极大地提高了内部网络的安全性. NAT的另一 起,极大地提高了内部网络的安全性. NAT的另一 个显而易见的用途是解决IP地址匮乏问题. IP地址匮乏问题 个显而易见的用途是解决IP地址匮乏问题.
虚拟专用网VPN技术 技术 虚拟专用网
虚拟专用网不是真的专用网络,但却能够实现专用 虚拟专用网 网络的功能. 虚拟专用网指的是依靠 依靠ISP(Internet服务提供商) 依靠 和其它 其它NSP(网络服务提供商),在公用网络中建 其它 立专用的数据通信网络的技术. 在虚拟专用网 虚拟专用网中,任意两个节点之间的连接并没有 虚拟专用网 传统专网所需的端到端的物理链路,而是利用某种 公众网的资源动态组成的.IETF草案理解基于IP的 VPN为:"使用 IP机制仿真出一个私有的广域网"是 通过私有的隧道技术在公共数据网络上仿真一条点 到点的专线技术. 所谓虚拟 虚拟,是指用户不再需要拥有实际的长途数据 虚拟 线路,而是使用Internet公众数据网络的长途数据线 路.所谓专用 专用网络,是指用户可以为自己制定一个 专用 最符合自己需求的网络.
计算机网络安全课后习题答案(重点简答题)
网络安全问答题第一章:1.网络攻击和防御分别包括哪些内容?攻击技术主要包括:1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
3)网络入侵:当探测发现对方存在漏洞后,入侵到对方计算机获取信息。
4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括;1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
2)加密技术:为了防止被监听和数据被盗取,将所有的逐句进行加密。
3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
5)网络安全协议:保证传输的数据不被截获和监听。
2.从层次上,网络安全可以分成哪几层?每层有什么特点?4个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
物理安全:防盗、防火、防静电、防雷击和防电磁泄漏。
逻辑安全:计算机的逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全:操作系统是计算机中最基本、最重要的软件。
联网安全通过以下两方面的安全服务来达到:a:访问控制服务:用来保护计算机和联网资源不被非授权使用。
b:通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
第四章:2、黑客在进攻的过程中需要经过哪些步骤?目的是什么?隐藏IP:通常有两种方式实现IP的隐藏:第一种方法是首先入侵互联网上的一台计算机(俗称“肉鸡”),利用这台计算进行攻击,这样即使被发现了,也是“肉鸡”的IP地址;第二种方式是做多级跳板“Sock代理”,这样在入侵的计算机上留下的是代理计算机的IP地址。
踩点扫描:通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点。
周建丽版计算机基础知识 第5章 习题答案
一、单项选择题1、下列关于计算机病毒的叙述中,有错误的一条是(A) 。
A.计算机病毒是一个标记或—个命令B.计算机病毒是人为制造的一种程序C.计算机病毒是一种通过磁盘、网络等媒介传播、扩散、并能传染其它程序的程序D.计算机病毒是能够实现自身复制,并借助一定的媒体存在的具有潜伏性、传染性和破坏性的程序2、为防止计算机病毒的传播,在读取外来软盘上的数据或软件前应该(C) 。
A.先检查硬盘有无计算机病毒,然后再用。
B.把软盘加以写保护(只允许读,不允许写),然后再用。
C.先用查毒软件检查该软盘有无计算机病毒,然后再用。
D.事先不必做任何工作就可用。
3、下面列出的四项中,不属于计算机病毒特征的是(A) 。
A.免疫性B.潜伏性C.激发性D.传播性4、计算机发现病毒后最彻底的消除方式是(D)。
A、用查毒软件处理B、删除磁盘文件C、用杀毒药水处理D、格式化磁盘5、为了防御网络监听,最常用的方法是(B)A.采用物理传输(非网络)B.信息加密C.无线网D.微生物6、通常应将不再写入数据的软盘(B),以防止病毒的传染。
A.不用B.加上写保护C.不加写保护D.随便用7、下列叙述中,(A)是不正确。
A、“黑客”是指黑色的病毒B、计算机病毒是一种破坏程序C、CIH是一种病毒D、防火墙是一种被动式防卫软件技术8、抵御电子邮箱入侵措施中,不正确的是(D)。
A.不用生日做密码B.不要使用少于5位的密码C.不要使用纯数字D.自己做服务器9、计算机犯罪中的犯罪行为的实施者是(C)。
A.计算机硬件B.计算机软件C.操作者D.微生物10、网络礼仪的基本原则是(A)。
A.自由和自律B.自由和纪律C.自由和平等D.自由二、多项选择题1、下列关于计算机病毒的叙述中,错误的是(A、C、D)。
A.计算机病毒只感染.exe.或.com文件B.计算机病毒可以通过读写软盘、光盘或Internet网络进行传播C.计算机病毒是可以通过电力网进行传播的D.计算机病毒是由于软盘片表面不清洁而造成的2、下列叙述中,哪些是错误的(B、C、D)。
第5章 网络安全技术
系统设置
1 .启动ARP防火墙后,在如图5-17所示的界面中选择“设置”选项卡,选中“基本 参数设置”。 2 .选中“拦截到攻击时提示”选项。 3 .选中“安全模式”选项。 4 .选中“程序运行后自动保护”选项。 5 .选中“自动最小化到系统栏”选项。 6 .选中“用户登录时自动运行”选项。 7 .单击【确定】按钮完成系统设置。
返回章目录 返回章目录
第5章
网络安全技术
5.2.4 任务四 使用金山毒霸木马专杀工具
返回章目录
第5章
网络安全技术
1.安装金山毒霸木马专杀工具
返回章目录
第5章 网络安全技术 第5章 网络安全技术
安装金山毒霸木马专杀工具 1 .双击金山毒霸木马专杀工具程序,弹出金山毒霸木马专杀工具主界面,如图5-27 所示。 2 .单击【开始扫描】按钮,随即对系统进行木马病毒扫描,如图5-28所示。 3 .病毒扫描结束后,弹出病毒扫描提示对话框。
返回章目录 返回章目录
第5章 网络安全技术 第5章 网络安全技术
即时通讯工具预防措施 1 .提高警惕,切勿随意点击MSN等一些即时通讯工具中给出的链接,确认消息来源, 并克服一定的好奇心理。 2 .提高网络安全意识,不要轻易接收来历不明的文件。 3 .不要随意接收好友发来的文件,避免病毒从即时聊天工具传播进来。 4 .通过即时通讯工具等途径接收的文件前,请先进行病毒查杀。
返回章目录 返回章目录
第5章 网络安全技术 第5章 网络安全技术
管理IP规则 1 .运行天网防火墙个人版。 2 .单击左上方的【IP规则管理】按钮,打开“自定义IP规则”界面,该窗口中显示 了常用应用程序IP规则的设置。对于规则的条目,可以进行排序,删除,修改的操作。 3 .单击【修改】按钮,弹出修改IP规则对话框,根据需要可以适当的修改IP规则设 置。 4 .单击【删除】按钮,可以删除选中的应用程序的IP规则。
防火墙技术与应用 第2版课件第5章 基于SPI的简单防火墙实现
5.1 Windows平台网络数据包截获技术
❖5.1.2 Windows中的网络数据包截获
▪ 2. 内核层的网络数据包截获
• 综上,大多数个人防火墙可以利用网络驱动程序在 内核态来实现的。利用驱动程序拦截数据包可以在 网络协议栈的不同位置实现,主要有以下3种基本方 法:
▪ 服务提供者的动态链接库只有在应用程序需要时才由 WS2_32.DLL装入内存中,在不需要时则会被自动卸 载。
5.2 基于SPI的包过滤技术
❖5.2.2 基于SPI的包过滤技术原理
▪ 2. 安装LSP
▪ 安 装 LSP 就 是 在 Winsock 目 录 中 安 装 一 个 WSAPROTOCOL_INFOW结构(协议的入口),该结 构定义了分层服务提供者的特性和LSP是如何写入“链” 的,让创建套接字的应用程序可以枚举到它。
▪ Windows操作系统下的网络数据包可以在两个 层面进行拦截:用户层和内核层。
5.1 Windows平台网络数据包截获技术
❖5.1.2 Windows中的网络数据包截获
▪ 1. 用户层的网络数据包截获
• Winsock是Windows网络编程接口,它工作于 Windows用户层,提供与底层传输协议无关的高层 数据传输编程接口。在Windows系统中,使用 Winsock接口为应用程序提供基于TCP/IP的网络访 问服务,因此,可以在用户层进行数据包拦截。
▪ 用户创建套接字时,套接字创建函数(如Socket)会 在Winsock目录中寻找合适的协议,然后调用此协议 的提供者导出的函数完成相应功能。
▪ 应用程序是通过WS2_32.DLL来调用实际的WinSock 函数,这些函数都由服务提供者SPI来提供。
计算机网络安全及防火墙技术
毕业设计论文题目: _________________________院系: ____________________________ 专业:_______________________________________ 姓名: ___________________________________学号:_________________________________ 指导老师:____________________________________二零一三年四月五日摘要随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。
但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。
它可使计算机和计算机网络数据和文件丢失,系统瘫痪。
因此,计算机网络系统安全问题必须放在首位。
作为保护局域子网的一种有效手段,防火墙技术备受睐。
本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷,所谓知己知彼,百战不殆。
只有了解了网络安全存在的内忧外患,才能更好的改善网络安全技术,发展网络安全技术。
然后主要阐述防火墙在网络安全中起到的巨大的作用,防火墙的优缺点及各种类型防火墙的使用和效果。
计算机网络技术的在飞速发展中,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要,只有熟悉了各种对网络安全的威胁,熟悉各种保护网路安全的技术,我们才能更好的保护计算机和信息的安全。
关键字:计算机网络;网络安全;防范措施;防火墙技术目录摘要......................................................................................................错误!未定义书签。
计算机网络安全(选择题)
计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中,属于主动攻击的是()(分数:2 分)A. 数据窃听B. 数据流分析C. 数据篡改及破坏D. 非法访问标准答案是:C。
2、数据完整性指的是()(分数:2 分)A. 保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B. 防止因数据被截获而造成泄密C. 确保数据是由合法实体发出的D. 防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是:D。
3、以下算法中属于非对称算法的是()(分数:2 分)A. DESB. RSA算法C. IDEAD. 三重DES标准答案是:B。
4、以下不属于代理服务技术优点的是()(分数:2 分)A. 可以实现身份认证B. 内部地址的屏蔽和转换功能C. 可以实现访问控制D. 可以防范数据驱动侵袭标准答案是:D。
5、下列不属于主动攻击的是()(分数:2 分)A. 修改传输中的数据B. 重放C. 会话拦截D. 利用病毒标准答案是:D。
6、下列不属于被动攻击的是()(分数:2 分)A. 监视明文B. 解密通信数据C. 口令嗅探D. 利用恶意代码标准答案是:D。
7、网络安全主要实用技术不包括()(分数:2 分)A. 数字认证B. 身份认证C. 物理隔离D. 逻辑隔离标准答案是:A。
8、网络安全不包括哪些重要组成部分()(分数:2 分)A. 先进的技术B. 严格的管理C. 威严的法律D. 以上都不是标准答案是:D。
9、不是计算机网络安全的目标的是()(分数:2 分)A. 保密性B. 完整性C. 不可用性D. 不可否认性标准答案是:C。
10、计算机网络安全是一门涉及多学科的综合性学科,以下不属于此学科的是()(分数:2 分)A. 网络技术B. 通信技术C. 操作系统D. 信息论标准答案是:C。
第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位,下列不属于物理安全的是()(分数:2 分)A. 安全管理B. 机房环境安全C. 通信线路安全D. 设备安全标准答案是:A。
网络安全课件(5)防火墙技术
通常,防火墙就是位于内部网或Web站点与 因特网之间的一个路由器或一台计算机,又称 为堡垒主机。其目的如同一个安全门,为门内 的部门提供安全,控制那些可被允许出入该受 保护环境的人或物。就像工作在前门的安全卫 士,控制并检查站点的访问者。
三、防火墙的基本思想
如果网络在没有防火墙的环境中,网络安全性完 全依赖主系统的安全性。在一定意义上,所有主系统 必须通力协作来实现均匀一致的高级安全性。子网越 大,把所有主系统保持在相同的安全性水平上的可管 理能力就越小,随着安全性的失策和失误越来越普遍, 入侵就时有发生。 防火墙有助于提高主系统总体安全 性。 防火墙的基本思想——不是对每台主机系统进行 保护,而是让所有对系统的访问通过某一点,并且保 护这一点,并尽可能地对外界屏蔽保护网络的信息和 结构。它是设置在可信任的内部网络和不可信任的外 界之间的一道屏障,它可以实施比较广泛的安全政策 来控制信息流,防止不可预料的潜在的入侵破坏。
2、网关。
将两个使用不同协议的网络段连接在一起的设备。
它的作用就是对两个网络段中的使用不同传输协 议的数据进行互相的翻译转换。举个例子,一个 商业内部局域网就常常需要通过网关发送电子邮 件到Internet的相关地址。
在因特网中,以往的网关现在称为路由器。网关现
在是指一种系统,这种系统进行网络和应用协议 的转换,使TCP/IP网和非TCP/IP网上的用户和应 用可以相互通信。网关也指应用程序之间的翻译 设备。代理服务器网关是一种防火墙,允许内部 网的用户访问因特网,同时禁止因特网用户访问 内部网。功能齐全的防火墙提供高级的甄别、验 证和代理功能,以防止黑客和攻击者进入内部系 统。
这里,防火墙的作用是保护Web站点和公 司的内部网,使之免遭因特网上各种危险的侵 犯。
防火墙第五章
双方想要确保任何可能正在侦听的人无法理解他们之间的通信。而 且,由于他们相距遥远,因此一方必须确保他从另一方处收到的信 息没有在传输期间被任何人修改。此外,他必须确定信息确实是发 自另一方而不是有人模仿发出的。
5.3.4
哈希验证
哈希算法是一个数学过程:对于一个给定输入,产生一个输出。
算法的输入数值可以是不同长度,但算法的输出值(哈希值)长度 总是一致的。实用的哈希算法不管输入数值变化多么微小,
值长度是一定的)。
第3步,将哈希值添加到最初数据(不包含密钥)的尾部。
第4步,将新组合出的数据/哈希包发送到接收主机。
第5步,接收主机将事先共享的密钥附加到收到数据包中数据
部分的尾部。
第6步,将数据/密钥输入哈希算法,得到哈希值。
上一页 下一页 返回
5.3
密码理论
第7步,得到的哈希值与同数据包一同收到的哈希值进行比较, 如果相同,则该包是从事先知道密钥的主机发过来的。
List,访问控制列表)来控制身份验证的。该列表只是简单地对不 同类型的流量进行识别,并且提供对流量的处理方式。只有保证用 户和IP地址的关系确定时,基于地址的身份验正才能生效。通常来 说,用户和IP地址的关系是不确定的,许多防火墙确实提供了将IP 地址映射到用户身份验证的方法,但这种映射是通过客户和防火墙 之间已经建立的或者专用的协议来实现的。例如,用户可以提供一 个用户名和密码直接Telnet到防火墙上或者之间浏览防火墙。这次
上一页 下一页 返回
5.2
网络地址转换
5.2.4
在Internet中使用NAT技术
NAT技术可以让区域网路中的所有机器经由一台通往Internet
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(2)电路层代理(Circuit Proxy) 电路层代理( Proxy) 也称为电路级代理服务器。在电路层网关中,包被提交到用 户应用层处理。电路层网关用来在两个通信的终点之间转 换包。 它适用于多个协议,但无法解释应用协议,需要通过其他方 式来获得信息。所以,电路级代理服务器通常要求修改过 的用户程序。其中,套接字服务器(Sockets Server)就 是电路级代理服务器。 对用户来说,内网与外网的信息交换是透明的,感觉不到防 火墙的存在,那是因为因特网络用户不需要登录到防火墙 上。但是客户端的应用软件必须支持“SocketsifideAPI”, 内部网络用户访问外部网所使用的IP地址也都是防火墙的 IP地址。
4.包过滤防火墙的发展阶段 .
(1)第一代:静态包过滤防火墙 (2)第二代:动态包过滤(Dynamic Packet Filter)防火墙 (3)第三代:全状态检测(Stateful Inspection)防火墙 ( 4 ) 第 四 代 : 深 度 包 检 测 ( Deep Packet Inspection)防火墙
3. 防火墙安全策略
(1)除非明确允许,否则就禁止 这种方法堵塞了两个网络之间的所有数据传输,除了那些被明确允 许的服务和应用程序。因此,应该逐个定义每一个允许的服务和 应用程序,而任何一个可能成为防火墙漏洞的服务和应用程序都 不能允许使用。这是一个最安全的方法,但从用户的角度来看, 这样可能会有很多限制,不是很方便。一般在防火墙配置中都会 使用这种策略。 (2)除非明确禁止,否则就允许 这种方法允许两个网络之间所有数据传输,除非那些被明确禁止的 服务和应用程序。因此,每一个不信任或有潜在危害的服务和应 用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法, 它却可能存在严重的安全隐患。
5.2 防火墙技术分类
(1)包过滤防火墙 又称网络层防火墙,它对进出内部网络的所有信息进行 分析,并按照一定的信息过滤规则对信息进行限制, 允许授权信息通过,拒绝非授权信息通过。 (2)代理服务器 这种防火墙是目前最通用的一种,基本工作过程是:当 客户机需要使用外网的服务器上的数据时,首先将数 据请求发给代理服务器,代理服务器根据请求向服务 器索取数据,然后再由代理服务器将数据传输给客户 机。同样的道理,代理服务器在外网向内网申请服务 时也发挥了中间转接的作用。Fra bibliotek内部网
......
工作站 服务器 工作站 工作站
2、几个常用概念
Ø 外部网络(外网):防火墙之外的网络,一般为Internet,默 认为风险区域。 Ø 内部网络(内网):防火墙之内的网络,一般为局域网,默认 为安全区域。 Ø 非军事化区(DMZ):为了配置管理方便,内网中需要向外网 提供服务的服务器(如WWW、FTP、SMTP、DNS等)往往放在Internet 与内部网络之间一个单独的网段,这个网段便是非军事化区。 Ø 包过滤,也被称为数据包过滤,是在网络层中对数据包实施有 选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个 数据包,根据数据包的源地址、目标地址以及端口等信息来确定是否 允许数据包通过。 代理服务器,是指代表内部网络用户向外部网络中的服务器进行连接 请求的程序
第5章 防火墙技术 章
Ø Ø Ø Ø 防火墙及相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙
5.1 防火墙概述
防火墙的概念 防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御 系统,它能挡住来自外部网络的攻击和入侵,保障着内部网络的安 全
Internet
防火墙
5.3.1. 双重宿主主机结构
双宿主机(Dual-homed host),又称堡垒主机(Bastion host),是一台至少 配有两个网络接口的主机,它可以充当与这些接口相连的网络之间的路由器,在 网络之间发送数据包。一般情况下双宿主机的路由功能是被禁止的,这样可以隔 离内部网络与外部网络之间的直接通信,从而达到保护内部网络的作用。
3. 代理的缺点 (1)代理速度比路由器慢 (2)代理对用户不透明 (3)对于每项服务,代理可能要求不同的服务器 (4)代理服务通常要求对客户或过程进行限制 (5)代理服务受协议弱点的限制 (6)代理不能改进底层协议的安全性
4.代理防火墙的发展阶段 . (1)应用层代理(Application Proxy) 代理服务是运行在防火墙主机上的专门的应用程序或者服 务器程序。应用层代理为某个特定应用服务提供代理, 它对应用协议进行解析并解释应用协议的命令。根据其 处理协议的功能可分为FTP网关型防火墙、Telnet网关型 防火墙、WWW网关型防火墙等。 应用层代理的优点是能解释应用协议,支持用户认证,从 而能对应用层的数据进行更细粒度的控制。缺点是效率 低,不能支持大规模的并发连接,只适用于单一协议。
2. 代理的优点 (1)代理易于配置 代理因为是一个软件,所以它比过滤路由器容易配置,配 置界面十分友好。如果代理实现得好,可以对配置协议 要求较低,从而避免了配置错误。 (2)代理能生成各项记录 因代理在应用层检查各项数据,所以可以按一定准则,让 代理生成各项日志、记录。这些日志、记录对于流量分 析、安全检验是十分重要和宝贵的。 (3)代理能灵活、完全地控制进出信息 通过采取一定的措施,按照一定的规则,可以借助代理实 现一整套的安全策略,控制进出的信息。 (4)代理能过滤数据内容 可以把一些过滤规则应用于代理,让它在应用层实现过滤 功能。
5.2.1 包过滤技术
包过滤(Packet Filtering)技术在网络层中对数 据包实施有选择的通过,依据系统事先设定好 的过滤规则,检查数据流中的每个包,根据包 头信息来确定是否允许数据包通过,拒绝发送 可疑的包。 使用包过滤技术的防火墙叫做包过滤防火墙 (Packet filter),因为它工作在网络层, 又叫网络层防火墙(Network level firewall)。
Internet
双重宿主主机
内部网
......
工作站 工作站 工作站
服务器
8.3.2屏蔽主机结构 屏蔽主机结构
屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由 器,如图5-3所示,屏蔽路由器连接外部网络,堡垒主机安装在内 部网络上。通常在路由器上设立过滤规则,并使这个堡垒主机成 为从外部网络唯一可直接到达的主机。入侵者要想入侵内部网络, 必须过屏蔽路由器和堡垒主机两道屏障,所以屏蔽主机结构比双 重宿主主机结构具有更好的安全性和可用性。
1.优点 . 防火墙是加强网络安全的一种有效手段, 它有以下优点: (1)防火墙能强化安全策略 (2)防火墙能有效地记录Internet上的活 动 (3)防火墙是一个安全策略的检查站
2.缺点 (1)不能防范恶意的内部用户 防火墙可以禁止内部用户经过网络发送机密信息,但用户可以将数据复 制到磁盘上带出去。如果入侵者已经在防火墙内部,防火墙也是无能 为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件,这 类攻击占了全部攻击的一半以上。 (2)不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息,却不能防范不通过它传输的 信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问, 那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 (3)不能防范全部的威胁 防火墙被用来防范已知的威胁,一个很好的防火墙设计方案可以防范某 些新的威胁,但没有一个防火墙能自动防御所有的新的威胁。 (4)防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒,也不能消除计算机已存在的病 毒。无论防火墙多么安全,用户都需要一套防毒软件来防范病毒。
2. 包过滤防火墙的优点 包过滤防火墙具有明显的优点: (1)一个屏蔽路由器能保护整个网络 一个恰当配置的屏蔽路由器连接内部网络与外部网络, 进行数据包过滤,就可以取得较好的网络安全效果。 (2)包过滤对用户透明 不像在后面描述的代理(Proxy),包过滤不要求任何客 户机配置。当屏蔽路由器决定让数据包通过时,它与 普通路由器没什么区别,用户感觉不到它的存在。较 强的透明度是包过滤的一大优势。 (3)屏蔽路由器速度快、效率高 屏蔽路由器只检查包头信息,一般不查看数据部分,而 且某些核心部分是由专用硬件实现的,故其转发速度 快、效率较高,通常作为网络安全的第一道防线。
3. 包过滤防火墙的缺点 屏蔽路由器的缺点也是很明显的,通常它没有用户的使 用记录,这样就不能从访问记录中发现黑客的攻击记 录。 配置繁琐也是包过滤防火墙的一个缺点。没有一定的经 验,是不可能将过滤规则配置得完美。有的时候,因 为配置错误,防火墙根本就不起作用。 包过滤另一个关键的弱点就是不能在用户级别上进行过 滤,只能认为内部用户是可信任的、外部用户是可疑 的。 此外,单纯由屏蔽路由器构成的防火墙并不十分安全, 危险地带包括路由器本身及路由器允许访问的主机, 一旦屏蔽路由器被攻陷就会对整个网络产生威胁。
包 过 滤 防 火 墙 一 般 由 屏 蔽 路 由 器 ( Screening Router,也称为过滤路由器)来实现,这种路由器 是在普通路由器基础上加入IP过滤功能而实现的, 这是防火墙最基本的构件。 包过滤防火墙读取包头信息,与信息过滤规则比较 ,顺序检查规则表中每一条规则,直至发现包中的 信息与某条规则相符。如果有一条规则不允许发送 某个包,路由器就将它丢弃;如果有一条规则允许 发送某个包,路由器就将它发送;如果没有任何一 条规则能符合,路由器就会使用默认规则,一般情 况下,默认规则就是禁止该包通过。
5.2.3 防火墙技术的发展趋势
1.功能融合
(1)与VPN技术融合。 (2)与入侵检测技术和攻击防御技术的融合 (3)提供对应用层攻击行为的检测和对应用层内容的过滤 功能。 (4)提供防病毒的功能。
2.集成化管理 3.分布式体系结构
5.3 防火墙体系结构
(1)双重宿主主机结构; (2)被屏蔽主机结构; (3)被屏蔽子网结构。
5.1.2 防火墙的作用
(1)可以限制未授权用户进入内部网络, 过滤掉不安全服务和非法用户; (2)防止入侵者接近内部网络的防御设施, 对网络攻击进行检测和告警; (3)限制内部用户访问特殊站点; (4)记录通过防火墙的信息内容和活动, 监视Internet安全提供方便。