文档介绍：该【计算机网络安全技术(第二版)习题答案 】是由【青山代下】上传分享，文档一共【33】页，该文档可以免费在线阅读，需要了解更多关于【计算机网络安全技术(第二版)习题答案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。****题一1-1简述计算机网络安全的定义。计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。1-2计算机网络系统的脆弱性主要表现在哪几个方面?试举例说明。计算机网络系统的脆弱性主要表现在以下几个方面:,操作系统不安全,是计算机不安全的根本原因。(1)网络安全的脆弱性,(2)计算机硬件系统的故障,(3)软件本身的“***”,(4)软件的漏洞。,DBMS的安全级别是B2级,那么操作系统的安全级别也应该是B2级,但实践中往往不是这样做的。,如地震、雷击等。天灾轻则造成业务工作混乱,重则造成系统中断或造成无法估量的损失。,如环境和灾害的影响,计算机领域中任何重大的技术进步都对安全性构成新的威胁等。1-3简述P2DR安全模型的涵义。P2DR安全模型是指:策略(Policy)、防护(Protection)>检测:..(Detection)和响应(Response)。策略,安全策略具有一般性和普遍性,一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。防护,防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性,预先阻止攻击可以发生的条件产生,让攻击者无法顺利地入侵。检测,检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。响应,响应就是在检测到安全漏洞或一个攻击(入侵)事件之后,及时采取有效的处理措施,避免危害进一步扩大,目的是把系统调整到安全状态,或使系统提供正常的服务。1-4简述PDRR网络安全模型的涵义。PDRR安全模型中安全策略的前三个环节与PDR安全模型中后三个环2节的内涵基本相同,最后一个环节“恢复”,是指在系统被入侵之后,把系统恢复到原来的状态,或者比原来更安全的状态。PDRR安全模型阐述了一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间,在系统遭受到破坏后,应尽快恢复,以减少系统暴露时间。也就是说:及时的检测和响应就是安全。1-网络体系层次结构。使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的网络通信协议组,这四层协议分别是:1、物理网络接口层协议,与各种物理网络之间的网络接口;2、网际层协议,网际层是网络互联层,负责相邻计算机之间的通信,:..提供端到端的分组传送、数据分段与组装、路由选择等功能;3、传输层协议,传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理,该层使用的协议有TCP与UDP;4、应用层协议,应用层位于TCP/IP协议的最上层,向用户提供一组应用程序和各种网络服务。1-6简述网络安全体系结构框架。网络安全是一个覆盖范围很广的领域。为了更深刻地理解网络安全问题,必须对这个领域进行系统、全面的了解。对于整个网络安全体系,从不同得层面来看,包含的内容和安全要求不尽相同。(1)从消息的层次来看,主要包括:完整性、保密性、不可否认性。(2)从网络层次来看,主要包括:可靠性、可控性、可操作性。保证协议和系统能够互相连接、可计算性。(3)从技术层次上讲,主要包括:数据加密技术、防火墙技术、攻击检测技术、数据恢复技术等。(4)从设备层次来看,主要包括:质量保证、设备冗余备份、物理安全等。由此可见,。同时随着网络技术的发展,也还会有新的安全问题不断出现。1-7ISO对OSI规定了哪5种级别的安全服务?制定了支持安全服务的哪8种安全机制?ISO对OSI规定了五种级别的安全服务:即对象认证、访问控制、数据保密性、数据完整性、防抵赖。为了实现上述5种安全服务,ISO7408-2中制定了支持安全服务的8:..种安全机制,它们分别是:加密机制(EnciphrementMechanisms)、数字签名机制(DigitalSignatureMechanisms)、访问控制机制(AccessControlMechanisms)、数据完整性机制(DataIntegrityMechanisms)、鉴别交换机制(AuthenticationMechanisms)、通信业务填充机制(TrafficPaddingMechanisms)、路由控制机制(RoutingControlMechanisms)、公证机制(NotarizationMechanisms)。1-8试述安全服务和安全机制之间的关系以及安全服务与层的关系。1、安全服务与安全机制有着密切的关系,安全服务是由安全机制来实现的,体现了安全系统的功能。一个安全服务可以由一个或几个安全机制来实现;同样,同一个安全机制也可以用于实现不同的安全服务中,安全服务和安全机制并不是一一对应的。实现对等实体鉴别服务可以采用系统设立的一种或多种安全机制实现,如采用数据加密、数据签名、鉴别交换、公证机制等。访问控制的实现则采用访问控制机制的方法,如最有代表性的是采用委托监控器的方法。数据保密可采用对数据加密的方法。数据的完整性可采用加密和数据完整性机制。数据源点鉴别采用加密和鉴别交换机制。禁止否认采用加密和公证机制来实现。2、ISO的开放系统互连参考模型的七个不同层次各自完成不同的功能,相应地,在各层需要提供不同的安全机制和安全服务,为各系统单元提供不同的安全特性。:(1)认证服务、(2)数据保密服务、(3)数据完整服务、(4)访问控制服务、(5)抗抵赖服务。。通过上述对网络安全服务层次关系的分析得知:某种安全服务只能由ISO/OSI网络7层中的某一(些)特定层有选择的提供,并不是在所有各层都能实现。:..1-9计算机网络安全的三个层次的具体内容是什么?计算机网络安全的实质就是安全立法、安全技术和安全管理的综合实施,这三个层次体现了安全策略的限制、监视和保障职能:1、安全立法计算机网络的使用范围越来越广,其安全问题也面临着严重危机和挑战,单纯依靠技术水平的提高来保护安全不可能真正遏制网络破坏,各国政府都已经出台了相应的法律法规来约束和管理计算机网络的安全问题,让广大的网络使用者遵从一定的“游戏规则”。目前,国外许多政府纷纷制定计算机安全方面的法律、法规,对计算机犯罪定罪、量刑产生的威慑力可使有犯罪企图的人产生畏惧心理,从而减少犯罪的可能,保持社会的安定,这些法规主要涉及到信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售五个方面。2、安全技术安全技术措施是计算机网络安全的重要保证,是方法、工具、设备、手段乃至需求、环境的综合,也是整个系统安全的物质技术基础。计算机网络安全技术涉及的内容很多,尤其是在网络技术高速发展的今天,不仅涉及计算机和外部、外围设备,通信和网络系统实体,还涉及到数据安全、软件安全、网络安全、数据库安全、运行安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。安全技术的实施应贯彻落实在系统开发的各个阶段,从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。安全技术主要涉及下面三点:物理安全技术、网络安全技术和信息安全技术。3、安全管理安全管理作为计算机网络安全的第三个层次,包括从人事资源管理到资:..产物业管理,从教育培训、资格认证到人事考核鉴定制度,从动态运行机制到日常工作规范、岗位责任制度等多个方面。这些规章制度是一切技术措施得以贯彻实施的重要保证。所谓“三分技术,七分管理”,正体现于此。1-10简述《可信计算机系统评估标准》的内容。1983年美国国防部提出了一套《可信计算机系统评估标准》(TCSEC,puterSystemEvaluationCriteria),将计算机系统的可信程度,即安全等级划分为D、C、B、A四类7级,由低到高。D级暂时不分子级;C级分为C1和C2两个子级,C2比C1提供更多的保护;B级分为B1、B2和B3共3个子级,由低到高;A级暂时不分子级。每级包括它下级的所有特性,从最简单的系统安全特性直到最高级的计算机安全模型技术,不同计算机信息系统可以根据需要和可能选用不同安全保密强度的不同标准。1-11简述信息系统评估通用准则、安全评估的国内通用准则的要点。信息系统评估通用准则的要点如下:1、安全的层次框架:自下而上。2、安全环境:使用评估对象时须遵照的法律和组织安全政策以及存在的安全威胁。3、安全目的:对防范威胁、满足所需的组织安全政策和假设声明。4、评估对象安全需求:对安全目的的细化,主要是一组对安全功能和保证的技术需求。5、评估对象安全规范:对评估对象实际实现或计划实现的定义。6、评估对象安全实现:与规范一致的评估对象实际实现。国内通用准则的要点:我国也制定了计算机信息系统安全等级划分准则。国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的:..核心,是实行计算机信息系统安全等级保护制度建设的重要基础。此标准将信息系统分成5个级别,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。在此标准中,一个重要的概念是可信计算基(TCB)。可信计算基是一个实现安全策略的机制,包括硬件、固件和软件,它们将根据安全策略来处理主体(例如,系统管理员、安全管理员、用户等)对客体(例如,进程、文件、记录、设备等)的访问****题二2-1简述物理安全的定义、目的与内容。物理安全,是保护计算机设备、设施(含网络)免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏;确保系统有一个良好的电磁兼容工作环境;把有害的攻击隔离。实体安全的内容主要包括:环境安全、电磁防护、物理隔离以及安全管理。2-2计算机房场地的安全要求有哪些?为保证物理安全,应对计算机及其网络系统的实体访问进行控制,即对内部或外部人员出入工作场所(主机房、数据处理区和辅助区等)进行限制。计算机房的设计应考虑减少无关人员进入机房的机会。同时,计算机房应避免靠近公共区域,避免窗户直接邻街,应安排机房在内(室内靠中央位置),辅助工作区域在外(室内周边位置)。在一个高大的建筑内,计算机房最好不要建在潮湿的底层,也:..尽量避免建在顶层,因顶层可能会有漏雨和雷电穿窗而入的危险。机房建筑和结构从安全的角度,还应该考虑:1)电梯和楼梯不能直接进入机房。2)建筑物周围应有足够亮度的照明设施和防止非法进入的设施。3)外部容易接近的进出口,如风道口、排风口、窗户、应急门等应有栅栏或监控措施,而周边应有物理屏障(隔墙、带刺铁丝网等)和监视报警系统,窗口应采取防范措施,必要时安装自动报警设备。4)机房进出口须设置应急电话。5)机房供电系统应将动力照明用电与计算机系统供电线路分开,机房及疏散通道应配备应急照明装置。6)计算机中心周围100m内不能有危险建筑物。危险建筑物指易燃、易爆、有害气体等存放场所,如加油站、煤气站、天燃气煤气管道和散发有强烈腐蚀气体的设施、工厂等。7)进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。8)照明应达到规定标准。2-3简述机房的三度要求。机房的三度要求分别是:温度、湿度、洁净度。确保这三个要求是为了保证系统的正常运行。,不仅发热量大而且对高温、低温敏感。环境温度过高或过低都容易引起硬件损坏。,会加速金属器件的腐蚀,引起绝缘性能下降,灰尘的导电性能增强,耐潮性能不良和器件失效的可能性增大;而相对湿度过低、过于干燥会导致计算机中某些器件龟裂,印刷电路板变形,特别是静电感应增加,使计算机内信息丢失、损坏芯片,对计算机带来严重危害。:..、发热元件的散热效率降低、绝缘破坏,甚至造成击穿;灰尘还会增加机械磨损,尤其对驱动器和盘片,灰尘不仅会使读出、写入信息出现错误,而且会划伤盘片,甚至损坏磁头。因此,计算机房必须有除尘、防尘的设备和措施,保持清洁卫生,以保证设备的正常工作。2-4机房内应采取哪些防静电措施?常用的电源保护装置有哪些?机房内一般应采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。为了防静电机房一般安装防静电地板,并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的专用工作台或重要的操作台应有接地平板。此外,工作人员的服装和鞋最好用低阻值的材料制作,机房内应保持一定湿度,在北方干燥季节应适当加湿,以免因干燥而产生静电。电源保护装置有金属氧化物可变电阻(MOV)、硅雪崩二极管(SAZD)、气体放电管(GDT)、滤波器、电压调整变压器(VRT)和不间断电源(UPS)等。2-5计算机房的地线、接地系统、接地体各有哪些种类?计算机房的地线分为:保护地线、直流地线、屏蔽地线、静电地线、雷击地线。接地系统:计算机房的接地系统是指计算机系统本身和场地的各种接地的设计和具体实施。主要有以下几种:(1)各自独立的接地系统、(2)交、直流分开的接地系统、(3)共地接地系统、(4)直流地、保护地共用地线系统、(5)建筑物内共地系统。接地体:接地体的埋设是接地系统好坏的关键。通常采用的接地体有地桩、水平栅网、金属板、建筑物基础钢筋等。:..防雷:机房的外部防雷应使用接闪器、引下线和接地装置,吸引雷电流,并为其泄放提供一条低阻值通道。机器设备应有专用地线,机房本身有避雷设施,设备(包括通信设备和电源设备)有防雷击的技术设施,机房的内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法,达到防雷的目的。机房的设备本身也应有避雷装置和设施。一个远程计算机信息网络场地应在电力线路、通信线路、天馈馈线线路、接地引线上作好防雷电的入侵。防火、防水:为避免火灾、水灾,应采取如下具体措施:,以使外部的火灾至少可隔离一个小时。系统中特别重要的设备,应尽量与人员频繁出入的地区和堆积易燃物(如打印纸)的区域隔离。所有机房门应为防火门,外层应有金属蒙皮。计算机房内部应用阻燃材料装修。机房内应有排水装置,机房上部应有防水层,下部应有防漏层,以避免渗水、漏水现象。。,机房所在楼层应有防火栓和必要的灭火器材和工具,这些物品应具有明显的标记,且需定期检查。:..要严格执行计算机房环境和设备维护的各项规章制度,加强对火灾隐患部位的检查。简述电磁干扰的分类及危害。按干扰的耦合方式不同,可将电磁干扰分为传导干扰和辐射干扰两类。(1)传导干扰:传导干扰是通过干扰源和被干扰电路之间存在的一个公共阻抗而产生的干扰。(2)辐射干扰:辐射干扰是通过介质以电磁场的形式传播的干扰。电磁干扰的危害(1)计算机电磁辐射的危害计算机作为一台电子设备,它自身的电磁辐射可造成两种危害:电磁干扰和信息泄漏。(2)外部电磁场对计算机正常工作的影响除了计算机对外的电磁辐射造成信息泄漏的危害外,外部强电磁场通过辐射、传导、耦合等方式也对计算机的正常工作产生很多危害。2-8电磁防护的措施有哪些?目前主要电磁防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护,这类防护措施又可分为以下两种:一种是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;第二种是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,:..蔽、隔离、滤波、吸波、接地等。其中屏蔽是应用最多的方法。简述物理隔离的安全要求。物理隔离,在安全上的要求主要有下面三点:(1)在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄漏到外部网。(2)在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。(3)在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息出网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。2-10简述物理隔离技术经历了哪三个阶段?每个阶段各有什么技术特点。物理隔离技术经历了:彻底的物理隔离、协议隔离、物理隔离网闸三个阶段:——彻底的物理隔离利用物理隔离卡、安全隔离计算机和隔离集线器(交换机)所产生的网络隔离,是彻底的物理隔离,两个网络之间没有信息交流,所以也就可以抵御所有的网络攻击,它们适用于一台终端(或一个用户)需要分时访问两个不同的、物理隔离的网络的应用环境。,但通过专用(或私有)协议来连接两个网络。基于协议隔离的安全隔离系统实际上是两台主机的结合体,在:..的作用。隔离系统中两台主机之间的连接或利用网络,或利用串口、并口,还可利用接口等,并绑定专用协议。这些绑定专用协议的连接在有的资料中被称为安全通道。有了这样的安全通道,入侵者无法通过直接的网络连接进入内网,从而达到对内网的保护。,从物理上阻断了具有潜在攻击可能的一切连接。而且它没有网络连接,把通信协议全部剥离,以原始数据方式进行“摆渡”。因此,它能够抵御互联网目前存在的几乎所有攻击,例如基于操作系统漏洞的入侵、基于TCP/IP漏洞的攻击、特洛伊木马和基于隧道的攻击等。2-11计算机网络管理的主要功能有哪些?计算机网络管理的主要功能是:故障管理功能,配置管理功能,性能管理功能,安全管理功能和计费管理功能。(1)故障管理:故障管理(FaultManagement)是网络管理中最基本的功能之一,即对网络非正常的操作引起的故障进行检查、诊断和排除。(2)配置管理:配置管理(ConfigurationManagement)就是定义、收集、监测和管理系统的配置参数,使得网络性能达到最优。(3)性能管理:性能管理(PerformanceManagement)用于收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。(4)安全管理:安全管理(SecurityManagement)是指监视、审查和控制用户对网络的访问,并产生安全日志,以保证合法用户对网络的访问。(5)计费管理:11费管理(AccountingManagement)记录网络资源的使用,目的是控制和监测网络操作的费用和代价。:..管理系统被管系什么是简单网络管理协议(SNMP)?简述SNMP的管理结构模型、工作原理及特点。简单网络管理协议(SNMP):SNMP(workManagementProtocol),即简单网络管理协议,是使用户能够通过轮询、设置关键字和监视网络事件来达到网络管理目的的一种网络协议。它是一个应用级的协议,而且是TCP/IP协议族的一部分,工作于用户数据报文协议(UDP)上。SNMP的管理结构模型:SNMP主要用于OSI七层模型中较低几个层次的管理,它的基本功能包括监视网络性能、检测分析网络差错和配置网络。SNMP网络管理模型由多个管理代理(ManagementAgents)、至少一个管理工作站(NetworkManagementStation)、一种通用的网络管理协议(ManagementProtocol)和一个或多个管理信息库(MIB)四部分组成。SNMP的工作原理:SNMP的原理十分简单,它以轮询和应答的方式进行工作,采用集中或者集中分布式的控制方法对整个网络进行控制和管理。整个网络管理系统包括SNMP管理者、SNMP代理、管理信息库(MIB)和管理协议四个部分。SNMP的特点:SNM之所以能成为流传最广,应用最多的一个网络管理协议,是因为它具有简单、易于实现,具有很好的扩展性等优点。:..2-14简述公共管理信息协议(CMIP)。monManagementInformationProtocol)即公共管理信息协议,是在OSI制定的网络管理框架中提出的网络管理协议。它是一个分布式的网络管理解决方案,应用在OSI环境下。CMIP与SNMP一样,也是由被管代理、管理者、管理协议与管理信息库组成。在CMIP中,被管代理和管理者没有明确的区分,任何一个网络设备既可以是被管代理,也可以是管理者。CMIP克服了SNMP的许多缺点,如安全性方面,CMIP支持授权、访问控制、安全日志等机制,构成一个相对安全的系统,定义相当详细复杂。2-15简述计算机网络安全管理的基本原则与工作规范。计算机网络系统的安全管理主要基于以下三个原则:(1)多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。(2)任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。(3)职责分离原则:在计算机网络系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。计算机网络系统的安全管理部门应根据管理原则和系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:(1)根据工作的重要程度,确定该系统的安全等级。(2)根据确定的安全等级,确定安全管理的范围。(3)制订相应的机房出入管理制度。(4)制订严格的操作规程。(5)制订完备的系统维护制度。(6)制订应急措施****题三3-1简要回答防火墙的定义和发展简史。防火墙的定义:防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间(之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。防火墙的发展简史:第一代防火墙:第一代防火墙技术几乎与路由器同时出现,采用了包过滤(PacketFilter)技术。第二、三代防火墙:1989年,,即电路层防火墙,同时提出了第三代防火墙一一应用层防火墙(代理防火墙)的初步结构。第四代防火墙:1992年,(DynamicPacketFilter)技术的第四代防火墙,后来演变为目前所说的状态监视(StateFulinspection)技术。1994年,。第五代防火墙:1998年,NAI公司推出了一种自适应代理(AdaptiveProxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。:..3-2设置防火墙目的是什么?防火墙的功能和局限性各有哪些?通常应用防火墙的目的有以下几个方面:限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视局域网安全提供方便。无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。防火墙的主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。防火墙的局限性:、、,易造成安全漏洞、、故障率高、、。3-3简述防火墙的发展动态和趋势。防火墙技术发展动态和趋势:(1)优良的性能、(2)可扩展的结构和功能、(3)简化的安装与管理、(4)主动过滤、(5)防病毒与防黑客。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全等五个方面。3-4试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别?数据包过滤(PacketFiltering)技术是防火墙为系统提供安全保障的主要技术,它通过:..设备对进出网络的数据流进行有选择地控制与操作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤(进入到内部网络的包进行过滤)。选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)或规则表。规则表指定允许哪些类型的数据包可以流入或流出内部网络。包过滤的优点:1)不用改动应用程序、2)一个过滤路由器能协助保护整个网络、3)数据包过滤对用户透明、4)过滤路由器速度快、效率高。包过滤的缺点:1)不能彻底防止地址欺骗、2)一些应用协议不适合于数据包过滤、3)正常的数据包过滤路由器无法执行某些安全策略、4)安全性较差、5)数据包工具存在很多局限性。1)静态包过滤。一般防火墙的包过滤的过滤规则是在启动时配置好的,只有系统管理员才可以修改,是静态存在的,称为静态规则。利用静态包过滤规则建立的防火墙就叫静态包过滤防火墙,这种类型的防火墙根据定义好的过滤规则审查每个数据包,即与规则表进行比较,以便确定其是否与某一条包过滤规则匹配。2)动态包过滤。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。即采用了基于连接状态的检查和动态设置包过滤规则的方法,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合进行检查。动态过滤规则技术避免了静态包过滤所具有的问题,使防火墙弥补了许多不安全的隐患,在最大程度上降低了黑客攻击的成功率,从而大大提高了系统的性能和安全性。:..3-5试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别?当***得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的Proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。代理防火墙工作于应用层,且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。代理技术的优点:1)代理易于配置、2)代理能生成各项记录、3)代理能灵活、完全地控制进出流量、内容、4)代理能过滤数据内容、5)代理能为用户提供透明的加密机制、6)代理可以方便