《《组网技术与网络管理 教学课件 ppt 作者 7-302-12208-3kch 11》由会员分享,可在线阅读,更多相关《《组网技术与网络管理 教学课件 ppt 作者 7-302-12208-3kch 11(3页珍藏版)》请在金锄头文库上搜索。
1、 307 第11章 网络安全与病毒防护11.9 思考与练习1. 填空题(1) 网络安全的目标是机密性、完整性、可用性、真实性和不可否认性。(2) 安全防范体系的层次可以划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。(3) 根据密钥类型不同可以将现代密码技术分为两类:对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。(4) 包过滤防火墙设置在网络层,可以在路由器上实现包过滤。(5) 从功能上可以将入侵检测系统划分为4个基本部分:数据采集子系统、数据分析子系统、控制台子系统和数据库管理子系统。2. 选择题(1) 信息的( A )就是保证信息在从信源到信宿传输过程前后的
2、一致性。A真实性B完整性C保密性D不可否认性(2) 下列安全协议中直接应用于网络层的安全协议是( ACD )。ASSHBIDSCIPSecDSSL(3) IPSec协议体系中,( A )协议主要是对密钥交换进行管理。AIKEBAHCSADESP(4) 为了克服高温、潮湿、低温、干燥等给计算机设备带来的危害,通常将计算机机房的湿度控制在( D )之间。A2040B1050C5080D45653. 问答题1) 简述网络安全防范体系的结构框架。答:网络安全防范体系的科学性和可行性是其可顺利实施的保障。基于DISSP扩展的一个三维安全防范技术体系框架结构,第一维是安全服务,给出了8种安全属性(ITU-
3、T REC-X.800-199103-I),其中包括了对等实体认证、数据源认证、访问控制、机密性、流量机密性、数据完整性、抗否认服务、可用性;第二维是系统单元,给出了信息网络系统的组成,其包括了通信平台、网络平台、系统平台、应用平台、物理环境;第三维是结构层次,给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型,其包括了应用层、传输层、网络层、链路层和物理层。框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证和访问控制,应用平台需要有针对用户的认证和访问控制,需要保证数据传输的完整性和保密性,需要有抗抵赖
4、和审计的功能,需要保证应用系统的可用性和可靠性。针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则该信息网络被认为是安全的。2) 简述入侵检测技术的工作原理。答:目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中,前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。为了能够更有效地发现网络受攻击的迹象,网络入侵检测部件应当能够分析网络上所使用的各种网络协议,识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现,这种方法有利于在出现了新的网络攻击手段时,方便地对入侵特征
5、库加以更新,提高入侵检测部件对网络攻击行为的识别能力。根据IDS监控的对象,可以将IDS分为以下两大类: 基于网络的系统:这种IDS放置在网络之上,靠近被检测的系统,它们用于监测网络流量并判断它是否正常。 基于主机的系统:这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程并判断它是否合法。利用网络入侵检测技术可以实现网络安全检测和实时攻击识别,但它只能作为网络安全的一个重要安全组件,网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案,其原因在于,网络入侵检测技术虽然能对网络攻击进行识别并做出反应,但其侧重点在于发现,不能代替防火墙系统执行整个网络的访问
6、控制策略。防火墙系统能够将一些预期的网络攻击阻挡在网络外面,而网络入侵检测技术除了减小网络系统的安全风险之外,还能对一些非预期的攻击进行识别并做出反应,切断攻击连接或通知防火墙系统修改控制准则,将下一次的类似攻击阻挡在网络外部。因此,通过将网络安全检测技术和防火墙系统结合起来,可以实现一个完整的网络安全解决方案。3) 简述IPSec的工作原理。答:IPSec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配,当找到一个相匹配的规则时,包过滤防火墙就按照该规则制订的方法对接收到的IP数据包进行处理。这里的处理工
7、作只有两种:丢弃或转发。IPSec通过查询SPD(Security Po1icy Database安全策略数据库)决定对接收到的IP数据包进行处理。但是,IPSec不同于包过滤防火墙的是:对IP数据包的处理方法除了丢弃和直接转发(绕过IPSec)外,还有一种即进行IPSec处理。正是这个新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,也可以拒绝某个内部站点对某些外部网站的访问。但是,包过滤防火墙不能保证从内部网络出去的数据
8、包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性、真实性、完整性,通过Internet进行安全的通信才成为可能。IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施两者。但无论是进行加密还是进行认证,IPSec都有两种工作模式:一种是协议工作方式类似的隧道模式;另一种是传输模式。传输模式只对IP数据包的有效负载进行加密或认证。此时,继续使用以前的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到IP头部和传输层头部之间。隧道模式对整个IP数据色进行加密或认证。此时,需要新产生一个IP头部,IPSec头部被放置在新产生的IP头部和以前的IP数据包之间,从而组成一个新的IP头部。
