网络安全基础知识

防火墙技术可以分为三大类型，它们分别是(1)等，防火墙系统通常由(2)组成，防止不希望的、未经授权的通信进出被保护的内部网络，它(3)内部网络的安全措施，也(4)进人防火墙的数据带来的安全问题。它是一种(5)网络安全措施。

(1)A．IP过滤、线路过滤和入侵检测 B．包过滤、入侵检测和应用代理 C．包过滤、入侵检测和数据加密 D．线路过滤、IP过滤和应用代理 (2)A．代理服务器和入侵检测系统 B．杀病毒卡和杀毒软件 C．过滤路由器和入侵检测系统 D．过滤路由器和代理服务器 (3)A．是一种 B．不能替代 C．可以替代 D．是外部和 (4)A．能够区分 B．物理隔离 C．不能解决 D．可以解决 (5)A．被动的 B．主动的

C．能够防止内部犯罪的 D．能够解决所有问题的 答案：(1)D (2)D (3)B (4)C (5)A

解析：本题主要考查防火墙的分类、组成及作用。

防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。 防火墙一般有三个特性： A．所有的通信都经过防火墙 B．防火墙只放行经过授权的网络流量 C．防火墙能经受的住对其本身的攻击

防火墙技术分为IP过滤、线路过滤和应用代理等三大类型；

防火墙系统通常由过滤路由器和代理服务器组成，能够根据过滤规则来拦截和检查所有出站和进站的数据；代理服务器。内部网络通过中间节点与外部网络相连，而不是直接相连。

防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制

强化内部网络的安全策略。它是建立在内外网络边界的过滤封锁机制，内部的网络被认为是安全的和可信赖的。而外部的网络被认为是不安全的和不可信赖的。它提供一种内部节点或者网络与Internet的安全屏障，它是一种被动的网络安全措施。

● 随着网络的普及，防火墙技术在网络作为一种安全技术的重要性越来越突出，通常防火墙中使用的技术有过滤和代理两种。路由器可以根据(6)进行过滤，以阻挡某些非法访问。(7)是一种代理协议，使用该协议的代理服务器是一种(8)网关。另外一种可以把内部网络中的某些私有 IP地址隐藏起来的代理服务器技术使用的是(9)。安全机制是实现安全服务的技术手段，一种安全机制可以提供多种安全服务，而．一种安全

服务也可采用多种安全机制。加密机制不能提供的安全服务是(10)。 (6)A．网卡地址 B．IP地址 C．用户标识 D．加密方法 (7)A．SSL B．STT C．SOCKS D．CHAP (8)A．链路层 B．网络层 C．传输层 D．应用层 (9)A．NAT B．CIDR C．BGP D．OSPF

(10)A．数据保密性 B．访问控制 C．数字签名 D．认证

答案：(6)B (7)C (8)D (9)A (10)B

解析：本题主要考察防火墙技术的相关知识。

防火墙是隔离内部和外部网的一类安全系统，防火墙主要使用的两种技术是过滤和代理。路由器可以根据IP地址对某些非法访问进行过滤阻挡，SOCKS就是一种常用的代理协议，而使用这种SOCKS协议的代理服务器又被称为应用层网关，还有一种使用NAT的代理服务器技术，这种技术可以把内部网络中某些私有的不想被看到的IP地址隐藏起来。

● 防火墙是建立在内外网络边界的过滤封锁机制，它提供一种内部节点或者网络与Internet的安全屏障，它是一种被动的网络安全措施。它基于(11)，来实现安全架构。堡垒主机防火墙上装有(12)，其上运行的是(13)。在ISO OSI／RM中对网络安全服务所属的协议层次进行分析，要求每个协议层都能提供网络安全服务。用户身份认证在(14)进行，而IP过滤型防火墙在(15)通过控制网络边界的信息流动，来强化内部网络的安全性。

(11)A．信息流填充技术 B．加密技术 C．流量控制技术 D．访问控制技术

(12)A．两个网卡且有相同的IP地址 B．两个网卡且有两个不同的IP地址 C．一块网卡且有一个IP地址 D．多个网卡且动态获得IP地址 (13)A.代理服务器软件 B.网络操作系统 C．数据库管理系统 D．应用软件

(14)A．网络层 B．会话层 C．物理层 D．应用层 (15)A．应用层 B．数据链路层 C．网络层 D．会话层

答案：(11)D (12)B (13)A (14)D (15)C 解析：本题主要考查防火墙的相关知识。

防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。通过边界控制强化内部网络的安全策略。它是建立在内外网络边界的过滤封锁机制,内部的网络被认为是安全的和可信赖的，而外部的网络被认为是不安全的和不可信赖的。它提供一种内部节点或者网络与Internet的安全屏障，它是一种被动的网络安全措施。

防火墙是基于访问控制技术架构在内外网络边界上的一类安全保护机制；

堡垒主机防火墙上至少装有两块不同IP地址的网卡。位于内外网之间。并且分别于内外网相连，实现了在物理上将内外网络隔开。它的IP转发功能被禁止，它通过提供代理服务来进行处理请求。

用户身份认证在应用层进行。而IP过滤型防火墙在网络层通过控制网络边界的信息流动，来强化内部网络的安全性。

防火墙的主要优点如下：

A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。

B．防火墙可以用于限制对某些特殊服务的访问。

C．防火墙功能单一,不需要在安全性，可用性和功能上做取舍。

D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。 同样的，防火墙也有许多弱点：

A．不能防御已经授权的访问，以及存在于网络内部系统间的攻击． B．不能防御合法用户恶意的攻击．以及社交攻击等非预期的威胁． C．不能修复脆弱的管理措施和存在问题的安全策略 D．不能防御不经过防火墙的攻击和威胁

●防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测和(16)。 (16)A．数据加密 B．入侵检测 C．线路过滤 D．代理服务 答案：(16)D

解析：本题考察防火墙的安全控制手段。

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。 ● 防火墙技术可以分为三大类型，它们分别是(17)。 (17)A．包过滤防火墙、应用层网关防火墙和状态检测防火墙 B．包过滤防火墙、应用层网关防火墙和代理防火墙 C．包过滤防火墙、代理防火墙和软件防火墙

D．状态检测防火墙、代理防火墙和动态包过滤防火墙 答案：(17)B

解析：本题主要考查防火墙的分类。

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型。但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1．包过滤型防火墙

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备。因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

分组过滤或包过滤。是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效。因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。

包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外。大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差：对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

2．应用网关型防火墙

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑。则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 3．代理服务型防火墙

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”。由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

代理服务也对过往的数据包进行分析、注册登记，形成报告。同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。 ● 在计算机网络中，当信息从信源向信宿流动时，可能会遇到安全攻击有(18)。 I．中断 Ⅱ．修改 Ⅲ．截取 Ⅳ．捏造 V．陷门 (18)A．I、Ⅱ、Ⅲ和V B．I、Ⅱ、Ⅳ和V C．I、Ⅲ、Ⅳ和V

D．I、Ⅱ、Ⅲ和Ⅳ 答案：(18)D

解析：本题考察网络攻击的种类。

当信息从信源向信宿流动时，可能会遇到安全攻击有中断、修改、截取、捏造等，陷门是一个模块的秘密入口，这个秘密入口并没有记入文档，因此，用户并不知道陷门的存在，在程序开发期间陷门是程序员为了测试这个模块，从CPU、操作系统到应用程序。任何一个环节都有可能被开发者留下“后门”，即“陷门”。

● 防火墙技术有许多种，以下不属于防火墙技术的是(19)。 (19)A．IP过滤 B．线路过滤 C．应用层代理 D.计算机病毒检测 答案：(19)D

解析：本题考察防火墙相关知识。

防火墙是目前主要的网络安全设备。防火墙技术可以分为IP过滤、线路过滤和应用层代理等三大类型。计算机病毒检测不属于防火墙技术。

●入侵检测(Intrusion Detection)，是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。按照检测数据的来源可将入侵检测系统(IDS)分为(20)。 (20)A．基于主机的IDS和基于网络的IDS B．基于主机的IDS和基于域控制器的IDS C．基于服务器的IDS和基于域控制器的IDS D．基于浏览器的IDS和基于网络的DS 答案：(20)A

解析：本题主要考查了侵检测系统(IDS)的基本分类。

入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下。由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。 一般来说，入侵检测系统可分为主机型和网络型。

主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。

网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promise mode)，监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。 ●在攻击计算机的手段中，(21)攻击是使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 (21)A．拒绝服务 B．口令入侵 C．网络监听 D．IP欺骗 答案：(21)A

解析：本题主要考查了拒绝服务的基本概念。

拒绝服务是使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

● (22)技术的使用，使数据信息在公共网络中的传输有了安全保障。 (22)A．数据加密 B．CA认证 C．数字签名 D．数字信封 答案：(22)D

解析：本题考察数字信封的相关知识。

数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。数字信封技术的使用，使数据信息在公共网络中的传输有了安全保障。

●下列各项中，不属于我国《计算机信息系统安全保护等级划分准则》规定的计算机系统安全保护能力的五个等级之一的是(23)。 (23)A．用户自主保护级 B．访问控制级 C．系统审计保护级 D．结构化保护级 答案：(23)B

解析：我国《计算机信息系统安全保护等级划分准则》规定的计算机系统安全保护能力的五个等级：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。 ●不是真正安全的密码系统的是(24)。 (24)A．破译者无法加密任意数量的明文 B．破译者无法破译密文 C．密钥有足够的长度 D．以上都不是 答案：(24)D

解析：本题考察安全密码系统。

真正的密码安全系统应该是：即使破译者能够加密任意数量的明文，也无法破译密文。

破译者无法加密任意数量的明文、破译者无法破译密文、密钥有足够的长度都不是真正的密码安全系统。

●计算机网络上病毒很多，对计算机的危害很大，为了防治计算机病毒，应采取的措施之一是(25)。 (25)A．每天对硬盘进行格式化 B．必须使用常用的杀毒软件 C．不使用任何移动存储设备 D．不使用任何软件 答案：(25)B

解析：本题考察防毒措施。

正当且合适的防毒措施是使用常用的杀毒软件。而每天对硬盘进行格式化。不使用任何移动存储设备。不使用任何软件都是不可能的。 来