|
|
【广开搜题】广东开放大学网络技术(本,2024春)第九章测验_1_1参考答案
试卷总分:10 得分:62
1.网络管理的目的协调、保持网络系统的运行,当网络出现故障时,能及时报告和处理。ISO建议网络管理应包含以下基本功能:配置管理、性能管理和安全管理。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
2.防火墙是有被保护的Intranet与Internet之间竖起的一道安全屏障,用于增强Intranet的安全性。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
3.典型的防火墙系统可以由一个或多个构件组成,其主要部分是:包过滤路由器也称分组过滤路由器、应用层网关,电路层网关。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
4.防火墙允许网络管理员定义一个中心来防止一切用户进入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种线路的攻击。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
5.防火墙系统可以由一个或多个构件组成,其主要部分是:包过滤路由器也称分组过滤路由器、应用层网关,电路层网关。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
6.安全管理的目的是在使用最少的网络资源和具有最小延迟的前提下,确保网络能提供可靠、连接的通信能力,并使网络资源的使用达到最优化的程度。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
7.性能管理的目的是确保网络资源不被非法使用,防止网络资源由于入侵者攻击而遭受破坏。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
8.配置管理功能至少应包括识别被管理网络的拓朴结构、标识网络中的各种现象、自动修改指定设备的配置、动态维护网络配置数据库等内容。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
9.网络管理员不应该限制用户对网络资源的访问方式。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
10.网络用户口令可以让其他人知道,因为这样做不会对网络安全造成危害。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
11.限定网络用户定期更改口令会给用户带来很多麻烦。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
12.防火墙可以完全控制外部用户对Intranet的非法入侵和破坏。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
13.网络安全中采取了数据备份与恢复措施后,可以不考虑采用网络防毒措施。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
14.不遵守规则者的企图是通过非法手段侵入他人系统,以窃取重要秘密和个人资料。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
15.网络安全服务应该提供保密性.认证.数据完整性.防抵赖与访问控制服务。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
16.网络管理应包含以下基本功能:故障管理、计费管理、配置管理、性能管理和安全管理。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
17.故意破坏者企图通过各种手段去破坏网络资源与信息,例如涂抹别人的主页、修改系统配置、造成系统瘫痪。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
18.企业内部网用户使用网络资源时不需要交费,因此就用不着计费管理功能。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
19.网络管理标准化是要满足不同网络管理系统之间互操作的需求。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
20.网络物理安全性涉及网络服务器等硬件设备的安全性问题。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
21.网络安全不包括()。
A.信息在传输中不被人篡改
B.软件、硬件、数据被共享
C.在数据存储和传输过程中不被别人窃取
D.信息处理和传输系统的安全
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
22.信息完整性是指()。
A.信息不泄露
B.信息是真实的
C.信息不被篡改
D.信息不丢失
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
23.下列各项中()不是对称密钥的特点。
A.保存的密钥量大
B.加密速度快,抗破译性强
C.可以满足不相识的人进行私人谈话的保密要求
D.加密密钥和解密密钥相同,用什么密钥加密就用什么密钥解密
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
24.下列各项中()不是非对称密钥的特点。
A.密钥保存数量少
B.互不相识的人可以进行保密通信
C.密钥分配简单
D.无法保证数据的机密性和防止抵赖
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
25.数字签名是通过 ()来实现的。
A.用自己的私钥加密数字摘要
B.用对方的公钥加密数字摘要
C.用对方的私钥加密数字摘要
D.用自己的公钥加密数字摘要
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
26.常用的公开密钥(非对称密钥)加密算法有()。
A.RSA?
B.DES?
C.SED
D.RAS
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
27.常用的秘密密钥(对称密钥)加密算法是()。
A.DES
B.SED
C.RSA?
D.RAS
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
28.RSA加密技术特点是()。
A.加密方和解密方使用不同的加密算法,但共享同一个密钥。
B.加密方和解密方不但使用相同的加密算法,而且共享同一个密钥。
C.加密方和解密方使用相同的加密算法,但使用不同的密钥。
D.加密方和解密方不但使用不同的加密算法,而且使用不同的密钥。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
29.数字签名是数据的接收者用来证实数据的发送者身份确实无误的一种方法,目前进行数字签名最常用的技术是()。
A.秘密密钥加密技术??
B.以上两者都是
C.以上两者都不是
D.公开密钥加密技术
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
30.一般而言,Internet防火墙建立在一个网络的()。
A.每个子网的内部?
B.部分内部网络与外部网络的结合合
C.内部网络与外部网络的交叉点
D.内部子网之间传送信息的中枢。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
31.下面关于防火墙的说法中,正确的是()。
A.防火墙可以解决来自内部网络的攻击?
B.防火墙可以防止受病毒感染的文件的传输
C.防火墙可以防止错误配置引起的安全威胁
D.防火墙会削弱计算机网络系统的性能
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
32.包过滤防火墙工作在()。
A.数据链路层
B.网络层
C.会话层
D.物理层
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
,我们的目标是要做全覆盖、全正确的答案搜索服务。
33.防火墙中地址翻译的主要作用是()。
A.隐藏内部网络地址?
B.进行入侵检测
C.防止病毒入侵
D.提供代理服务?
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
34.WYL公司申请到5个IP地址,要使公司的20台主机都能联到Internet上,他需要使用防火墙的哪个功能()。
A.网络地址转换技术
B.内容检查技术
C.假冒IP地址的侦测
D.基于地址的身份认证
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
35.根据统计显示,80%的网络攻击源于内部网络,因此,必须加强对内部网络的安全控制和防范。下面的措施中,无助于提高内部用户之间攻击的是()。
A.使用防火墙防止内部攻击
B.使用防病毒软件
C.使用日志审计系统?
D.使用入侵检测系统
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案广东开放大学作业答案
36.关于防火墙的描述不正确的是()。
A.防火墙不能防止内部攻击。
B.防火墙是IDS的有利补充。
C.如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。?
D.防火墙既可以防止外部用户攻击,也可以防止内部用户攻击。
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
37.包过滤是有选择地让数据包在内部与外部主机之间进行交换,根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备是?()。
A.路由器?
B.网桥
C.三层交换机??
D.主机?
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
38.就目前计算机设备的计算能力而言,数据加密标准DES不能抵抗对密钥的穷举搜索攻击,其原因是()。
A.DES的密钥较短
B.DES算法简单
C.DES算法是公开的?
D.DES除了其中S盒是非线性变换外,其余变换均为线性变换
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
39.数字签名可以做到()。
A.防止接收方的抵赖和发送方伪造
B.防止窃听者攻击?
C.防止窃听
D.防止发送方的抵赖和接收方伪造
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
40.为了保障数据的存储和传输安全,需要对一些重要数据进行加密。由于对称密码算法(),?所以特别适合对大量的数据进行加密。
A.比非对称密码算法密钥长度更长
B.比非对称密码算法更安全
C.比非对称密码算法效率更高
D.还能同时用于身份认证
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
41.使用TELNET协议进行远程管理时,()。
A.用户名和口令是加密传输的,而其它数据则以文明方式传输?
B.包括用户名和口令在内,所有传输的数据都不会被自动加密?
C.包括用户名和口令在内,所有传输的数据都会被自动加密
D.用户名和口令是不加密传输的,其它数据则以加密传输的?
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
42.以下关于VPN说法正确的是()。
A.VPN只能提供身份认证、不能提供加密数据的功能?
B.VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路?,我们的目标是要做全覆盖、全正确的答案搜索服务。
C.VPN指的是用户通过公用网络建立的临时的、安全的连接?
D.VPN不能做到信息认证和身份认证?
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
43.Ipsec不可以做到()。
A.签发证书?
B.认证
C.完整性检查
D.加密??
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
44.IPSec是()VPN协议标准。
A.第三层??
B.第四层?
C.第二层
D.第一层?
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
45.IPSec在任何通信开始之前,要在两个VPN结点或网关之间协商建立()。
A.端口??
B.IP地址
C.安全联盟?
D.协议类型
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
46.()是IPSec规定的一种用来自动管理SA的协议,包括建立、协商、修改和删除SA等。
A.IKE?
B.ESP?
C.SSL
D.AH?C
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
47.以下属于非对称密码算法特点的是()。
A.计算量大
B.使用两个密码
C.适合加密长数据
D.处理速度慢
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
48.以下属于公钥管理的方法有()。
A.公钥管理机构
B.适数据加密
C.公开发布?
D.公用目录表?
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
49.黑客对信息流的干预方式可以分为()。
A.假冒
B.中断
C.截取?
D.修改
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
广开搜题
50.网络为用户提供的安全服务应包括()。
A.数据完整
B.身份认证
C.访问控制
D.不可否认
E.数据加密
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
广开搜题
51.IPS 和防火墙有哪些区别
IPS(入侵防御系统)
入侵防御系统( IPS : Intrusion Preven TI on System )是电脑网络安全设施,是对防病毒软件( An TI virus Programs )和防火墙( Packet Filter , Applica TI on Gateway )的补充。 入侵防御系统( Intrusion-preven TI on system )是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
IPS
网络安全
随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。 20 年前,电脑病毒主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。
? 目前流行的攻击程序和有害代码如 DoS ( Denial of Service 拒绝服务), DDoS ( Distributed DoS 分布式拒绝服务),暴力猜解( Brut-Force-Attack ),端口扫描( Portscan ),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事,让人防不胜防。
网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网络资源,这就是所谓 Zero Day Attack 。
防火墙可以根据 IP 地址( IP-Addresses )或服务端口( Ports )过滤数据包。但是,它对于利用合法 IP 地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了 DPI 技术( Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。
每种攻击代码都具有只属于它自己的特征 ( signature ), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。
在 ISO/OSI 网络层次模型(见 OSI 模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统( IDS : Intrusion Detection System )投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统( IRS : Intrusion Response Systems ) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。
入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 ( forensic )。
{图}
产生原因
A :串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
B :旁路部署的 IDS 可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
C : IDS 和防火墙联动:通过 IDS 来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如 SQL 注入、溢出攻击等),使得 IDS 与防火墙联动在实际应用中的效果不显著。
这就是 IPS 产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。由于用户发现了一些无法控制的入侵威胁行为,这也正是 IDS 的作用。
入侵检测系统( IDS )对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。
入侵防御系统( IPS )对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。
这也解释了 IDS 和 IPS 的关系,并非取代和互斥,而是相互协作:没有部署 IDS 的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过 IDS 的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品( IPS 等)。
入侵预防技术
* 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
* 在遇到动态代码( ActiveX , JavaApplet ,各种指令语言 script languages 等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
* 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。
* 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
* 对 Library 、 Registry 、重要文件和重要的文件夹进行防守和保护。
入侵预防系统类型
投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统
( HIPS : Hostbased Intrusion Prevension System )和网路入侵预防系统
( NIPS : Network Intrusion Prevension System )两种类型。
网络入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。
根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如 Internet Explorer , Outlook ,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
2000 年: Network ICE 公司在 2000 年 9 月 18 日推出了业界第一款 IPS 产品― BlackICE Guard ,它第一次把基于旁路检测的 IDS 技术用于在线模式,直接分析网络流量,并把恶意包丢弃。 2002 ~ 2003 年:这段时期 IPS 得到了快速发展。当时随着产品的不断发展和市场的认可,欧美一些安全大公司通过收购小公司的方式获得 IPS 技术,推出自己的 IPS 产品。比如 ISS 公司收购 Network ICE 公司,发布了 Proventia ; NetScreen 公司收购 OneSecure 公司,推出 NetScreen-IDP ; McAfee 公司收购 Intruvert 公司,推出 IntruShield 。思科、赛门铁克、 TippingPoint 等公司也发布了 IPS 产品。
2005 年 9 月绿盟科技发布国内第一款拥有完全自主知识产权的 IPS 产品, 2007 年联想网御、启明星辰、天融信等国内安全公司分别通过技术合作、 OEM 等多种方式发布各自的 IPS 产品。
防火墙
防火墙( Firewall ),也称防护墙,是由 Check Point 创立者 Gil Shwed 于 1993 年发明并引入国际互联网( US5606668 ( A ) 1993-12-15 )。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
详细解释
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立起一个安全网关( Security Gateway ),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓 “防火墙”,是指一种将内部网和公众访问网(如 Internet )分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问 Internet , Internet 上的人也无法和公司内部的人进行通信。
?
{图}
什么是防火墙
XP 系统相比于以往的 Windows 系统新增了许多的网络功能( Windows 7 的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如 Internet 连接防火墙( ICF ),它就是用一段“代码墙”把电脑和 Internet 分隔开,时刻检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
ICF工作原理
ICF 被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端, ICF 保留了所有源自 ICF 计算机的通讯表。在单独的计算机中, ICF 将跟踪源自该计算机的通信。与 ICS 一起使用时, ICF 将跟踪所有源自 ICF/ICS 计算机的通信和所有源自专用网络计算机的通信。所有 Internet 传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入 Internet 通信传送给网络中的计算机。
源自外部源 ICF 计算机的通讯(如 Internet )将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。 ICF 不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
防火墙的种类防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙,例如 NETEYE 、 NETSCREEN 、 TALENTIT 等。
从结构上来分,防火墙有两种:即代理主机结构和路由器 + 过滤器结构,后一种结构如下所示:内部网络过滤器( Filter )路由器( Router ) Internet
从原理上来分,防火墙则可以分成 4 种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。[ 1 ] ,我们的目标是要做全覆盖、全正确的答案搜索服务。
吞吐量
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特 / 秒或字节 / 秒表示。
吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用 FDT ( Full Duplex Throughput )来衡量,指 64 字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
ips和防火墙的区别
ips和防火墙区别1、模式匹配广开搜题
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
ips和防火墙区别2、异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时, IDS 就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
ips和防火墙区别3、完整性分析
完整性分析关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制,能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要攻击导致文件或对象发生了改变,完整性分析都能够发现。完整性分析一般是以批处理方式实现,不用于实时响应。入侵检测面临的问题
问题2. 对于入侵预防技术描述正确的是( ??)
A.结合协议异常、传输异常和特征侦查,可以对通过网关或防火墙进入网路内部的有害代码实行有效阻止
B.可以对重要的文件、文件夹进行防守和保护
C.入侵预防系统可以截获有害的系统请求
D.可以对照识别异常,侦查异常
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
52.IPS 和防火墙有哪些区别
IPS(入侵防御系统)
入侵防御系统( IPS : Intrusion Preven TI on System )是电脑网络安全设施,是对防病毒软件( An TI virus Programs )和防火墙( Packet Filter , Applica TI on Gateway )的补充。 入侵防御系统( Intrusion-preven TI on system )是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
IPS
网络安全
随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。 20 年前,电脑病毒主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。
? 目前流行的攻击程序和有害代码如 DoS ( Denial of Service 拒绝服务), DDoS ( Distributed DoS 分布式拒绝服务),暴力猜解( Brut-Force-Attack ),端口扫描( Portscan ),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事,让人防不胜防。
网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网络资源,这就是所谓 Zero Day Attack 。
防火墙可以根据 IP 地址( IP-Addresses )或服务端口( Ports )过滤数据包。但是,它对于利用合法 IP 地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了 DPI 技术( Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。
每种攻击代码都具有只属于它自己的特征 ( signature ), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。
在 ISO/OSI 网络层次模型(见 OSI 模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统( IDS : Intrusion Detection System )投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统( IRS : Intrusion Response Systems ) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。
入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 ( forensic )。
{图} 产生原因
A :串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
B :旁路部署的 IDS 可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
C : IDS 和防火墙联动:通过 IDS 来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如 SQL 注入、溢出攻击等),使得 IDS 与防火墙联动在实际应用中的效果不显著。
这就是 IPS 产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。由于用户发现了一些无法控制的入侵威胁行为,这也正是 IDS 的作用。
入侵检测系统( IDS )对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。
入侵防御系统( IPS )对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。
这也解释了 IDS 和 IPS 的关系,并非取代和互斥,而是相互协作:没有部署 IDS 的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过 IDS 的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品( IPS 等)。
入侵预防技术
* 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
* 在遇到动态代码( ActiveX , JavaApplet ,各种指令语言 script languages 等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
* 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。
* 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
* 对 Library 、 Registry 、重要文件和重要的文件夹进行防守和保护。
入侵预防系统类型
投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统
( HIPS : Hostbased Intrusion Prevension System )和网路入侵预防系统
( NIPS : Network Intrusion Prevension System )两种类型。
网络入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。
根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如 Internet Explorer , Outlook ,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
2000 年: Network ICE 公司在 2000 年 9 月 18 日推出了业界第一款 IPS 产品― BlackICE Guard ,它第一次把基于旁路检测的 IDS 技术用于在线模式,直接分析网络流量,并把恶意包丢弃。 2002 ~ 2003 年:这段时期 IPS 得到了快速发展。当时随着产品的不断发展和市场的认可,欧美一些安全大公司通过收购小公司的方式获得 IPS 技术,推出自己的 IPS 产品。比如 ISS 公司收购 Network ICE 公司,发布了 Proventia ; NetScreen 公司收购 OneSecure 公司,推出 NetScreen-IDP ; McAfee 公司收购 Intruvert 公司,推出 IntruShield 。思科、赛门铁克、 TippingPoint 等公司也发布了 IPS 产品。
2005 年 9 月绿盟科技发布国内第一款拥有完全自主知识产权的 IPS 产品, 2007 年联想网御、启明星辰、天融信等国内安全公司分别通过技术合作、 OEM 等多种方式发布各自的 IPS 产品。
防火墙
防火墙( Firewall ),也称防护墙,是由 Check Point 创立者 Gil Shwed 于 1993 年发明并引入国际互联网( US5606668 ( A ) 1993-12-15 )。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
详细解释
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立起一个安全网关( Security Gateway ),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓 “防火墙”,是指一种将内部网和公众访问网(如 Internet )分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问 Internet , Internet 上的人也无法和公司内部的人进行通信。
{图}
什么是防火墙
XP 系统相比于以往的 Windows 系统新增了许多的网络功能( Windows 7 的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如 Internet 连接防火墙( ICF ),它就是用一段“代码墙”把电脑和 Internet 分隔开,时刻检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
ICF工作原理
ICF 被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端, ICF 保留了所有源自 ICF 计算机的通讯表。在单独的计算机中, ICF 将跟踪源自该计算机的通信。与 ICS 一起使用时, ICF 将跟踪所有源自 ICF/ICS 计算机的通信和所有源自专用网络计算机的通信。所有 Internet 传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入 Internet 通信传送给网络中的计算机。
源自外部源 ICF 计算机的通讯(如 Internet )将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。 ICF 不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
防火墙的种类防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙,例如 NETEYE 、 NETSCREEN 、 TALENTIT 等。
从结构上来分,防火墙有两种:即代理主机结构和路由器 + 过滤器结构,后一种结构如下所示:内部网络过滤器( Filter )路由器( Router ) Internet
从原理上来分,防火墙则可以分成 4 种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。[ 1 ]
吞吐量
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特 / 秒或字节 / 秒表示。
吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用 FDT ( Full Duplex Throughput )来衡量,指 64 字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
ips和防火墙的区别
ips和防火墙区别1、模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。 广开形成性考核答案
ips和防火墙区别2、异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时, IDS 就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
ips和防火墙区别3、完整性分析
完整性分析关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制,能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要攻击导致文件或对象发生了改变,完整性分析都能够发现。完整性分析一般是以批处理方式实现,不用于实时响应。入侵检测面临的问题
?
题目 1. 防火墙的类型包括哪些( ?)
A.应用级网关
B.特殊设计的硬件防火墙
C.数据包过滤型
D.电路层网关广东开放大学作业答案
答案:更多参考答案,请关注【广开搜题】微信公众号,发送题目获取答案
 |
上一篇:【广开搜题】广东开放大学网络技术(本,2024春)第六章测验_1_1参考答案 (2)下一篇:【广开搜题】广东开放大学网络技术(本,2024春)第二章测验_1_1参考答案 (2)
|
发表于 2024-4-23 23:04:03
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
QQ登录
