网络安全---复习题

综述

1．OSI安全体系结构主要包括哪些内容，及OSI网络层次、安全机制和安全服务之间的逻辑关系。

OSI安全体系结构主要包括网络安全机制和网络安全服务两方面的内容，并给出了OSI网络层次、安全机制和安全服务之间的逻辑关系。

网络安全服务有5项：鉴别服务、访问控制服务、数据完整性服务、数据保密性服务和非否认服务。

网络安全机制有8项：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。

2.列举并解释ISO/OSI中定义的5种标准的安全服务。

（1）鉴别

用于鉴别实体的身份和对身份的证实，包括对等实体鉴别和数据原发鉴别两种。

（2）访问控制

提供对越权使用资源的防御措施。

（3）数据机密性

针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。

（4）数据完整性

防止非法篡改信息，如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。

（5）抗否认

是针对对方否认的防范措施，用来证实发生过的操作。包括有数据原发证明的抗否认和有交付证明的抗否认两种。

3. 了解ISO/OSI中定义的8种特定的安全机制以及各种安全机制和安全服务的关系。

安全服务可以单个使用，也可以组合起来使用，上述的安全服务可以借助以下的安全机制来实现：

（1）加密机制：借助各种加密算法对存储和传输的数据进行加密；

（2）数字签名：使用私钥签名，公钥进行证实；（3）访问控制机制：根据访问者的身份和有关信息，决定实体的访问权限；

（4）数据完整性机制：判断信息在传输过程中是否被篡改过；

（5）鉴别交换机制：用来实现对等实体的鉴别；

（6）通信业务填充机制：通过填充冗余的业务流量来防止攻击者对流量进行分析；

（7）路由选择控制机制：防止不利的信息通过路由，如使用网络层防火墙；

（8）公证机制：由第三方参与数字签名，它基于通信双方对第三方都绝对相信。

4．网络安全攻击可分为哪两种？简述其内容。

被动攻击两种形式是消息内容泄漏和流量分析。被动攻击非常难被检测，因为他们根本不改变数据。一般对这种攻击的重点都是防范而不是检测。可采用加密的方案来实现。

主动攻击包含数据流的改写和错误数据流的添加，它可以分为4类：假冒、重放、改写消息、拒绝服务四种。

假冒：发生在一个实体假冒另一个不同实体的场合。

重放：被动获取数据单元并按照它之前的顺序重新传输，以此来产生一个非授权的效应。

改写消息：是指合法消息的部分被篡改，或者消息被延迟、被重排、从而产生非授权效应。

拒绝服务：可以阴止或禁止对通信设备的正常使用和管理。另一种形式是使网络瘫换或消息过载从而丧失网络性能

TCP/IP

1．了解常用的利用网络层和传输层协议漏洞进行攻击的方法，即相应的防范措施。

2. 重放（Replay）攻击

在消息没有时间戳的情况下，攻击者利用身份认证机制中的漏洞先把别人有用的消息记录下来，过一段时间后再发送出去。

3. 会话劫持（Session Hijacking）

所谓会话劫持，就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。这种攻击方式可认为是黑客入侵的第四步工作——真正的攻击中的一种。

防火墙

1. 什么是防火墙，为什么需要有防火墙？

防火墙是一种装置，它是由软件/硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之，一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。如果没有防火墙，则整个内部网络的安全性完全依赖于每个主机，因此，所有的主机都必须达到一致的高度安全水平，这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备，没有其他的服务，因此也就意味着相对少一些缺陷和安全漏洞，这就使得安全管理变得更为方便，易于控制，也会使内部网络更加安全。

防火墙所遵循的原则是在保证网络畅通的情况下，尽可能保证内部网络的安全。它是一种被动的技术，是一种静态安全部件。

2. 防火墙应满足的基本条件是什么？

作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件如下：

(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。

(2) 只有符合安全策略的数据流才能通过防火墙。

(3) 防火墙自身具有高可靠性，应对渗透(Penetration)免疫，即它本身是不可被侵入的。

3.防火墙有哪些局限性?

(1) 防火墙对不通过它的连接无能为力，如拨号上网等。

(2) 防火墙不能防范来自内部网络的攻击。

(3) 不能防止传送已感染病毒的软件或文件。

(4) 作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。

(5) 当使用端到端的加密时，防火墙的作用会受到很大的限制。

(6) 防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。

(7) 防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机上，一旦被执行就形成攻击（附件）。

(8) 为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。

5. 包过滤防火墙的过滤原理是什么？

包过滤防火墙也称分组过滤路由器，又叫网络层防火墙，因为它是工作在网络层。路由器便是一个网络层防火墙，因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。

这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则（丢弃该包）。在制定数据包过滤规则时，一定要注意数据包是双向的。

6．列举出静态包过滤的过滤的几个判断依据。

静态包过滤的判断依据有（只考虑IP包）：•数据包协议类型TCP、UDP、ICMP、IGMP 等。

•源/目的IP地址。

•源/目的端口FTP、HTTP、DNS等。

• IP选项：源路由、记录路由等。

• TCP选项SYN、ACK、FIN、RST等。

•其他协议选项ICMP ECHO、ICMP REPLY等。