国防《计算机信息安全技术》课后习题答案第8章_微机课后习题答案
国防《计算机信息安全技术》课后习题答案第8章由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“微机课后习题答案”。
第8章 防火墙技术
习题参考答案
1.简述防火墙的定义。
答:防火墙是一种隔离控制技术。它是位于两个信任程度不同的网络之间的能够提供网络安全保障的软件或硬件设备的组合,它对两个网络之间的通讯进行控制,按照统一的安全策略,阻止外部网络对内部网络重要数据的访问和非法存取,以达到保护系统安全的目的。2.防火墙的主要功能有哪些?又有哪些局限性?
答:主要功能:① 过滤进出网络的数据信息。
② 管理进出网络的访问行为。③ 便于集中安全保护。
④ 对网络存取和访问进行监控审计。⑤ 实施NAT技术的理想平台。
局限性:① 防火墙不能防范不经过防火墙的攻击。
② 防火墙不能防范网络内部的攻击。
③ 防火墙不能防范内部人员的泄密行为。
④ 防火墙不能防范因配置不当或错误配置引起的安全威胁。
⑤ 防火墙不能防范利用网络协议的缺陷进行的攻击。
⑥ 防火墙不能防范利用服务器系统的漏洞进行的攻击。
⑦ 防火墙不能防范感染病毒文件的传输。
⑧ 防火墙不能防范本身安全漏洞的威胁。
⑨ 防火墙不能防范人为的或自然的破坏。
3.什么是堡垒主机?堡垒主机有哪几种类型?堡垒主机的作用是什么?
答:堡垒主机是一种被强化的可以防御进攻的主机。根据不同的安全要求,有单宿主堡垒主机、双宿主堡垒主机和受害堡垒主机3种类型。堡垒主机基本上都被放置在网络的周边或非军事区,作为进入内部网络的一个检查点,从而把整个网络的安全问题都集中在堡垒主机上解决。4.什么是DMZ?为什么要设立DMZ?DMZ中一般放置哪些设备?
答:DMZ(Demilitarized Zone,非军事区或隔离区)指为不信任系统服务的孤立网段。它把内部网络中需要向外提供服务的服务器集中放置到一个单独的网段,与内部网络隔离开,这个网段就是DMZ。它解决了需要公开的服务与内部网络安全策略相矛盾的问题。DMZ区中一般放置堡垒主机、提供各种服务的服务器和Modem池。
5.屏蔽路由器体系结构的优缺点是什么?
答:屏蔽路由器体系结构的优点是结构简单,容易实现,成本低廉。只需在边界路由器中加入一个包过滤软件就可以了,现在标准的路由器软件中都包含有过滤功能;屏蔽路由器对用户是透明的,无需修改、配置用户主机。
缺点是:不能识别不同的用户;屏蔽路由器没有较好的监视和日志功能、报警功能,无法保留攻击踪迹,不易发觉入侵行为;依赖一个单一的设备保护系统的风险比较大;被保护的内部网络主机与外部网络的主机直接通信,使整个网络受到威胁。
6.双宿主主机体系结构的特点有哪些?其主要的缺点是什么?
答:双宿主主机结构是在外部网络和内部网络之间放置一台双宿主堡垒主机作为防火墙。双宿主堡垒主机的两个网卡分别连接内、外部网络,监控过往数据。内、外网络通信必须经过堡垒主机。堡垒主机不使用包过滤规则,而是相当于一个网关,割断了两个网络IP层之间的直接通信。两个网络之间的通信是通过应用层数据共享或应用层代理服务来实现。堡垒主机上运行的防火墙软件,可以转发应用程序,提供服务等。
双宿主主机结构主要的缺点是:一旦攻击者侵入堡垒主机并使其具有路由功能,则任何外部网络用户都可以随便访问内部网络。
7.包过滤技术的原理是什么?状态检测技术有哪些优势?
答:包过滤技术是一种基于网络层的防火墙技术,其核心是包过滤算法的设计,也叫做安全策略设计。包过滤防火墙读取流过它的每一个数据包的报头信息,然后用预先设定好的过滤规则与之逐条匹配。匹配成功的数据包按照过滤规则允许通过的被转发,不允许通过的则被丢弃。如果没有一条过滤规则与数据包报头的信息匹配,防火墙会使用丢弃这一默认规则丢弃数据包。包过滤技术检查数据包报头的信息主要有:源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号、TCP标志位、协议等。
状态检测技术的优点是:具有识别带有欺骗性源IP地址包的能力;能够提供详细的日志;检查的层面能够从网络层至应用层。其缺点是可能会造成网络连接的某种延时,特别是在有许多连接同时激活或有大量的过滤规则存在时。但这种情况将随着硬件运行速度的不断提升越来越不易察觉。8.包过滤规则的建立要遵循哪些原则?
答:包过滤规则的建立要遵循的原则有:
① 遵循“拒绝所有”安全策略。利用防火墙先把内、外网络隔离,在隔离的基础上再有条件的开放,可以大大减少网络安全危险。
② 规则库应该阻止任何外部网络用户对位于防火墙后面的内部网络主机的访问。但应该放开对DMZ区应用服务器的访问。
③ 规则库应该允许内部网络用户有限制的访问外部网络。
9.代理服务技术的工作原理是什么?应用层网关与电路层网关的区别是什么?
答:代理服务是指代表客户处理连接请求的专用应用程序,也可称为代理服务器程序。代理服务器得到一个客户的连接意图时,先对客户的请求进行核实,并用特定的安全化的代理应用程序处理连接请求,然后将处理后的请求传递到真正的服务器上,再接收真正服务器的应答,做进一步处理后将答复交给发出请求的第一个客户。客户对代理服务器中间的传递是没有任何感觉的,还以为是直接访问了服务器。而对真正的服务器来说也是看不到真正的客户的,只看到代理服务器,以为代理服务器就是客户。这样代理服务器对客户就起到了保护作用。
应用层网关的核心技术就是代理服务器技术,是基于软件的,通常安装在带有操作系统的主机上。它通过代理技术参与到一个TCP连接的全过程,并在网络应用层上建立协议过滤和转发功能,所以叫做应用层网关;电路层网关也称为TCP通道,它通过在TCP三次握手建立连接的过程中,检查双方的SYN、ASK和序列号是否合乎逻辑,来判断该请求的会话是否合法。一旦网关认为会话是合法的,就建立连接,并维护一张合法会话连接表,当会话信息与表中的条目匹配时才允许数据包通过,会话结束后,表中的条目就被删除。电路层网关适用于多种协议,但不解释应用协议中的命令就建立了连接。10.简述自适应代理技术的工作原理。
答:自适应代理技术的组成有两个基本要素:自适应代理服务器和动态包过滤器。在自适应代理与动态包过滤器之间存在一个控制通道。初始的安全检查仍在应用层中进行,保证传统防火墙的最大安全性,一旦可信任的身份得到认证,建立了安全通道,随后的数据包就重新定向到网络层传输。这里做定的仍然是代理。
刀豆文库小编为你整合推荐6篇计算机三级信息安全技术习题及答案,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
计算机三级信息安全技术习题及答案信息安全技术是信息管理与信息系统专业本科学生的一门专业课。随着计算机技术的飞速发展,计算机信息安全问题越来越受关注。下面是小编给大......
习题11、计算机信息系统安全的威胁因素主要有哪些?1) 直接对计算机系统的硬件设备进行破坏;2) 对存放在系统存储介质上的信息进行非法获取、篡改和破坏;3) 在信息传输过程中对信息......
大学计算机文化基础课后习题答案第1章一、思考题 (略)二、单项选择题1.B2 .B3.B4 .C 5.D6.D7.B8.A9.A10.D11.B12.A13.C14.A15.D三、填空题1.21 2.101000101.013.567 8. 2k 4.1000......
连云港专业技术继续教育—网络信息安全总题库及答案信息安全技术试题及答案信息安全网络基础:一、判断题1.信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2.......
