计算机网络安全教程第11章课后练习题及答案

课后练习

一、填空

1．网络数据加密，通常分为链路加密、（）两种方式。

2．防火墙的安全区域，通常分为外网、内网、DMZ区三个区域，其中，DMZ区又称为（）区。

3．按工作原理划分，防火墙可分为（）和应用代理防火墙两大类。

4．入侵检测系统的两种经典模型是（）和CIDF。

5．按照应用的方式划分，VPN有两种基本类型：拨号VPN与（）VPN。

二、选择

1．端到端加密方式中，数据离开发送端后被最终的接收端收到之前，处于（）状态

A. 加密

B. 明文

C. 加密或明文

D. 不确定

2．防火墙配置中的ACL指的是：（）

A. Access Content List

B. All Content List

C. Access Condition List

D. Access Control List

3．包过滤防火墙的主要过滤依据是：（）

A. MAC地址、端口、协议类型

B. IP地址、端口、协议类型

C. 域名、端口、协议类型

D. IP地址、域名、协议类型

4．根据对收集到的信息进行识别和分析原理的不同，可以将入侵检测分为：（）

A. 异常检测、普通检测

B. 滥用检测、普通检测

C. 异常检测、冲突检测

D. 异常检测、滥用检测

5．根据服务类型VPN业务分为三种：（）VPN、Access VPN与Extranet VPN

A. Supernet

B. Internet

C. Intranet

D. Subnet

三、简答

1．简述链路加密与端到端加密的主要特点。

2．防火墙的主要功能局限性是什么？

3．包过滤防火墙与应用代理防火墙的主要特点和应用场合是什么？

4．按照入侵检测系统的检测对象划分，入侵检测系统分为哪几类？

5．二层VPN和三层VPN的主要区别是？

课后练习答案

一、填空

1．端到端

2．中立（或非军事

3．包过滤防火墙

4．IDES

5．专用

二、选择

1．A

2．D

3．B

4．D

5．C

三、简答

1．链路加密对用户透明，能提供流量保密性，密钥管理简单，提供主机鉴别，加密和解密都是在线进行的。端到端加密是指数据在发送端被加密后，通过网络

传输，到达接收端后才被解密。

2．防火墙的主要功能局限性是：不经过防火墙的数据，防火墙无法检查、防护；

防火墙不能解决来自内部网络的攻击和安全问题；防火墙不能防止策略配置不

当或错误配置引起的安全威胁。

3．包过滤防火墙根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过，只有满足过滤条件的数据包才被转发到相应的目的地。

应用代理防火墙的特点是完全“阻隔”了网络通信流，通过对每种应用服务编

制专门的代理程序，实现监视和控制应用层通信流的作用。

4．可分为基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统。

5．二层VPN和三层VPN的本质区别在于，在隧道里传输的用户数据包是被封装在哪一层的数据包中。