网络攻击和防护复习题2016.docVIP

防火墙的工作方式主要分为包过滤型、应用代理型和状态检测型 包过滤（Packet filtering）防火墙是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查 包过滤防火墙的优缺点 包过滤防火墙逻辑简单、价格便宜、网络性能和透明性好。 它的不足之处也显而易见，包过滤防火墙配置困难，且无法满足各种安全要求，缺少审计和报警机制。 应用代理型 应用代理型防火墙（Application Proxy）工作在OSI的最高层，即应用层。 其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种 数据备份就是将数据以某种方式加以保留，以便在系统需要时重新恢复和利用。其作用主要体现在如下两个方面： 1．在数据遭到意外事件破坏时，通过数据恢复还原数据。 2．数据备份是历史数据保存归档的最佳方式。 备份的最基本问题是：为保证能恢复全部系统，需要备份多少以及何时进行备份。目前常用的备份方法备份策略有： （1）全盘备份 ；（2）增量备份 ； （3）差异备份 ；（4）按需备份 加密是把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程 鉴别包括报文鉴别和身份验证。 报文鉴别是为了确保数据的完整性和真实性，对报文的来源、时间性及目的地进行验证。 身份验证是验证进入网络系统者是否是合法用户，以防非法用户访问系统 报文鉴别和身份验证可采用数字签名技术来实现。 数字签名的功能： 收方能够确认发方的签名，但不能伪造； 发方发出签过名的信息后，不能再否认； 收方对收到的签名信息也不能否认； 一旦收发方出现争执，仲裁者可有充足的证据进行评判。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全的目标 1.可靠性 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基本要求之一，是所有网络信息系统的建设和运行目标。 2.可用性 可用性是网络信息可被授权实体访问并按需求使用的特性，即 网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。 3.保密性 保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。 4.完整性 完整性是网络信息未经授权不能进行改变的特性，即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 保障网络信息完整性的主要方法有： 协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的 字段、失效的字段和被修改的字段； 纠错编码方法：由此完成纠错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法； 密码校验和方法：它是抗篡改和传输失败的重要手段； 数字签名：保障信息的真实性； 公证：请求网络管理或中介机构证明信息的真实性。 5.不可抵赖性 不可抵赖性也称作不可否认性。在网络信息系统的信息交互过程中，确信参与者的真实同一性，即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。 6.可控性 可控性是对网络信息的传播及内容具有控制能力的特性。 安全服务 1.对象认证安全服务 防止主动攻击的主要技术，认证就是识别和证实。识别是辩明一个对象的身份的过程，证实是证明该对象的身份就是其声明的身份的过程。 2.访问控制安全服务 防止超权使用资源。访问控制大体可分为自主访问控制和强制访问控制。 3.数据机密性安全服务 防止信息泄漏。这组安全服务又细分为：信息机密性、选择段机密性、业务流机密性。 4.数据完整性安全服务 防止非法地篡改信息、文件和业务流。这组安全服务又分为：联接完整性(有恢复或无恢复)、选择段有联接完整性、选择段无联接完整性。 5.防抵赖安全服务 证实己发生的操作。它包括对发送防抵赖、对递交防抵赖和公证。 物理隔离物理隔离是指在时间地点，计算机网络之间均不存在直接的物理连接，且没有任何公用的存储信息，保证的数据在网际间不被重用在某种程度上信息的流动途径。电源切换，隔离区域始终处互不同时通电的状态被隔离的端无法通过隔离部件信息。逻辑隔离逻辑隔离是指公共网络和专网物理，通过技术手段隔离数据通道，即逻辑上隔离。VLAN、访问控制、VPN、防火墙、身份识别、端口绑定等使用协议转换、数据格式剥离