計算機信息安全技術課后習題答案

1、第一章 計算機信息安全技術概述1、計算機信息系統(tǒng)安全的威脅因素主要有哪些?(1)人為無意失誤(2)人為惡意攻擊(3)計算機軟件的漏洞和后門2、從技術角度分析引起計算機信息系統(tǒng)安全問題的根本原因。(1)計算機外部安全(2)信息在計算機系統(tǒng)存儲介質(zhì)上的安全(3)信息在傳輸過程中的安全3、信息安全的CIA指的是什么?Confidenciality 隱私性,也可稱為性,是指只有授權的用戶才能獲取信息Integrity 完整性,是指信息在傳輸過程中,不被非法授權和破壞,保證數(shù)據(jù)的一致性Availability 可用性,是指信息的可靠度4、簡述PPDR安全模型的構成要素與運作方式PPDR由安全策略,防護,

2、檢測和響應構成運作方式:PPDR模型在整體的安全策略的控制和指導下,綜合運用防護工具的同時,利用檢測工具了解和評估系統(tǒng)的安全狀態(tài),通過適當?shù)陌踩憫獙⑾到y(tǒng)調(diào)整在一個相對安全的狀態(tài)。防護,檢測和響應構成一個完整的、動態(tài)的安全循環(huán)。5、計算機信息安全研究的主要容有哪些?(1)計算機外部安全(2)信息在計算機系統(tǒng)存儲介質(zhì)上的安全(3)信息在傳輸過程中的安全6、計算機信息安全的定義是什么?計算機信息安全是研究在特定的應用環(huán)境下,依據(jù)特定的安全策略,對信息與信息系統(tǒng)實施防護,檢測和恢復的科學7、信息安全系統(tǒng)中,人、制度和技術之間的關系如何?在信息安全系統(tǒng)中,人是核心。任何安全系統(tǒng)的核心都是人。而技術是信

3、息安全系統(tǒng)發(fā)展的動力,技術的發(fā)展推動著信息安全系統(tǒng)的不斷完善。信息安全系統(tǒng)不僅要靠人和技術,還應該建立相應的制度以起到規(guī)的作用。只有三者的完美結合,才有安全的信息安全系統(tǒng)第二章 密碼技術一、選擇題1下列（RSA算法 ）算法屬于公開密鑰算法。 2.下列（ 天書密碼 ）算法屬于置換密碼。 3.DES加密過程中，需要進行（ 16 ）輪交換。二、填空題1.給定密鑰K=10010011，若明文為P=11001100，則采用異或加密的方法得到的密文為 01011111 。2.在數(shù)據(jù)標準加密DES中，需要進行 16 輪一樣的交換才能得到64位密文輸出。3.RSA算法的安全性完全取決于 P、Q的性 以與 分解

4、大數(shù)的難度 。三、簡答題1.說明研究密碼學的意義以與密碼學研究容是什么。密碼學是研究編制密碼和破譯密碼的技術科學。研究密碼變化的客觀規(guī)律，應用于編制密碼以保守通信秘密的，稱為編碼學；應用于破譯密碼以獲取通信情報的，稱為破譯學，總稱密碼學。 密碼是通信雙方按約定的法則進行信息特殊變換的一種重要手段。依照這些法則，變明文為密文，稱為加密變換；變密文為明文，稱為脫密變換。密碼在早期僅對文字或數(shù)碼進行加、脫密變換，隨著通信技術的發(fā)展，對語音、圖像、數(shù)據(jù)等都可實施加、脫密變換。密碼學是在編碼與破譯的斗爭實踐中逐步發(fā)展起來的，并隨著先進科學技術的應用，已成為一門綜合性的尖端技術科學。它與語言學、數(shù)學、電子

5、學、聲學、信息論、計算機科學等有著廣泛而密切的聯(lián)系。它的現(xiàn)實研究成果，特別是各國政府現(xiàn)用的密碼編制與破譯手段都具有高度的性。根據(jù)我國有關規(guī)定，密碼學隸屬于軍事學門類。2.請比較代替密碼中移位密碼、單表替代密碼和多表替代密碼哪種方法安全性好,為什么?多表替代好。多表代換密碼需要猜測更多的字母表，并且頻率分布特性也變得平坦，所以使得密碼破譯更加困難3.已知仿射密碼的加密函數(shù)可以表示為：f(a)=(aK1+K0) mod 26，明文字母e、h對應的密文字母是f、w，請計算密鑰K1和K0來破譯此密碼。K1=11，K0=13gcb（a.26）=1；1,3,5,7,9,11,15,17,19，21,23，

6、25F(a)=（a*K1+K0）mod26得：（4K1+K0）mod 26=5（7K1+K0）mod 26=224.用vigenere 密碼加密明文“please keep this message in secret” 其中使用的密鑰為“computer” 試求其密文RZQPMXOVGFWCLQVUGMVYBRJGQDTN5. 設英文字母a，b，c，z，分別編號為0，1，2，25，仿射密碼加密轉(zhuǎn)換為c=(3m+5) mod 26，其中m表示明文編號，c表示密文編號。A.試對明文security進行加密。 (18x3+5)mod 26=7h (3x3+5)mod 26=14.n (2x3+5)

7、mod 26=11l (20x3+5)mod 26=13m (17x3+5)mod 26=4e (8x3+5)mod 26=3.d (19x3+5)mod 26=10.k (24x3+5)mod 26=25zB.寫出該仿射密碼的解密函數(shù)。 M=1/3(c-5) mod 266.簡述序列密碼算法與分組密碼算法的不同。廣度優(yōu)先遍歷從某個頂點v出發(fā)，首先訪問這個結點，并將其標記為已訪問過； 然后順序訪問結點v的所有未被訪問的鄰接點vi,.,vj，并將其標記為已訪問過； 然后將vi,.,vj中的每一個節(jié)點重復節(jié)點v的訪問方法，直到所有結點都被訪問完為止。具體代碼實現(xiàn)時： 我們可以使用一個輔助隊列q，首

8、先將頂點v入隊，將其標記為已訪問，然后循環(huán)檢測隊列是否為空； 如果隊列不為空，則取出隊列第一個元素，并將與該元素相關聯(lián)的所有未被訪問的節(jié)點入隊，將這些節(jié)點標記為已訪問； 如果隊列為空，則說明已經(jīng)按照廣度優(yōu)先遍歷了所有的節(jié)點。7.簡述DES算法中S-盒的特點S-盒是DES算法的核心，其功能是把6bit數(shù)據(jù)變?yōu)?bit數(shù)據(jù)8.簡述AES和DES之間的一樣之處具有良好的非線性,AES的非線性運算是字節(jié)代換對應于DES中唯一非線性運算S-盒。9.畫出RSA算法的流程圖10.使用RSA算法時，選擇有關參數(shù)應該注意哪些問題？11.在一個使用RSA的公開密鑰系統(tǒng)中，如果攻擊者截獲公開密鑰pk=5，公開模數(shù)n

9、=35，對密文c=10，解出其明文。 因為公鑰n為35，所以你可以很簡單的知道兩個素數(shù)為5和7. 所以按公式可以很簡單得到私鑰d=19，所以M=Cd(mod n) M=1019(mod 35)就可以得到明文。12.簡述RAS算法的優(yōu)缺點1）產(chǎn)生密鑰很麻煩，受到素數(shù)產(chǎn)生技術的限制，因而難以做到一次一密。2）安全性，RSA的安全性依賴于大數(shù)的因子分解，但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價，而且密碼學界多數(shù)人士傾向于因子分解不是NP問題?，F(xiàn)今，人們已能分解140多個十進制位的大素數(shù)，這就要求使用更長的密鑰，速度更慢；另外，人們正在積極尋找攻擊RSA的方法，如選擇密文攻擊，一般攻擊者

10、是將某一信息作一下偽裝（Blind），讓擁有私鑰的實體簽署。然后，經(jīng)過計算就可得到它所想要的信息。實際上，攻擊利用的都是同一個弱點，即存在這樣一個事實：乘冪保留了輸入的乘法結構：（XM)d = Xd *Md mod n前面已經(jīng)提到，這個固有的問題來自于公鑰密碼系統(tǒng)的最有用的特征-每個人都能使用公鑰。但從算法上無法解決這一問題，主要措施有兩條：一條是采用好的公鑰協(xié)議，保證工作過程中實體不對其他實體任意產(chǎn)生的信息解密，不對自己一無所知的信息簽名；另一條是決不對陌生人送來的隨機文檔簽名，簽名時首先使用One-Way Hash Function對文檔作HASH處理，或同時使用不同的簽名算法。除了利用公

11、共模數(shù)，人們還嘗試一些利用解密指數(shù)或（n）等等攻擊.3）速度太慢，由于RSA 的分組長度太大，為保證安全性，n 至少也要 600 bits以上，使運算代價很高，尤其是速度較慢，較對稱密碼算法慢幾個數(shù)量級；且隨著大數(shù)分解技術的發(fā)展，這個長度還在增加，不利于數(shù)據(jù)格式的標準化。SET(Secure Electronic Transaction）協(xié)議中要求CA采用2048比特長的密鑰，其他實體使用1024比特的密鑰。為了速度問題，人們廣泛使用單，公鑰密碼結合使用的方法，優(yōu)缺點互補：單鑰密碼加密速度快，人們用它來加密較長的文件，然后用RSA來給文件密鑰加密，極好的解決了單鑰密碼的密鑰分發(fā)問題。第三章 信

12、息認證技術一、選擇題1.身份認證是安全服務中的重要一環(huán)，以下關于身份認證的敘述不正確的是（身份認證一般不用提供雙向的認證）。2.數(shù)據(jù)完整性可以防止以下（ 數(shù)據(jù)中途被攻擊者篡改或破壞 ）攻擊。3.數(shù)字簽名要預先使用單向Hash函數(shù)進行處理的原因是( 縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度）4.下列運算中，MD5沒有使用到的是（ 冪運算 ）。二、填空題1.MD5和SHA-1產(chǎn)生的散列值分別是 128 位和 160 位。2.基于哈希鏈的口令認證.用戶登陸后將口令表中的(ID,k-1,Hk-1(PW)替換為(ID.K Hk(PW) 。3.Denning-Sacco協(xié)議中使用時間戳T的目的

13、是 防止重放攻擊對密鑰安全性的威脅 。4.Woo-Lam協(xié)議中第6.7步使用的隨機數(shù)N2的作用是使B確認A已經(jīng)獲得正確的會話密鑰。三、簡答題1.弱抗碰撞性和強抗碰撞性有什么區(qū)別？給定的消息M，要找到另一消息M,滿足H（M）=H（M），在計算上是不可行的，這條性質(zhì)稱為弱抗碰撞性。該性質(zhì)是保證無法找到一個替代報文，否則就可能破壞使用哈希函數(shù)進行封裝或者簽名的各種協(xié)議的安全性。哈希函數(shù)的重要之處就是賦予M唯一的“指紋”。 對于任意兩個不同的消息MM，它們的散列值不可能一樣，這條性質(zhì)被稱為強抗碰撞性。強抗碰撞性對于消息的哈希函數(shù)安全性要求更高，這條性質(zhì)保證了對生日攻擊的防御能力2.什么是消息認證碼？是

14、指使合法的接收方能夠檢驗消息是否真實的過程。消息認證實際上是對消息產(chǎn)生的一個指紋信息MAC（消息認證），消息認證碼是利用密鑰對待認證消息產(chǎn)生的新數(shù)據(jù)塊，并對該數(shù)據(jù)塊加密得到的。它對待保護的信息來說是唯一的，因此可以有效地保證消息的完整性，以與實現(xiàn)發(fā)送消息方的不可抵賴和不能偽造型3.比較MD5和SHA-1的抗窮舉攻擊能力和運算速度。由于MD5 與SHA-1均是從MD4 發(fā)展而來，它們的結構和強度等特性有很多相似之處，表（1）是對MD5 與SHA-1 的結構比較。SHA-1與MD5 的最大區(qū)別在于其摘要比MD5 摘要長 32 比特。對于強行攻擊，產(chǎn)生任何一個報文使之摘要等于給定報文摘要的難度：MD

15、5 是2128 數(shù)量級的操作，SHA-1 是2160 數(shù)量級的操作。產(chǎn)生具有一樣摘要的兩個報文的難度：MD5是 264 是數(shù)量級的操作，SHA-1 是280 數(shù)量級的操作。因而,SHA-1 對強行攻擊的強度更大。但由于SHA-1 的循環(huán)步驟比MD5 多（80:64）且要處理的緩存大（160 比特:128 比特），SHA-1 的運行速度比MD5 慢。4.列出MD5和SHA-1的基本邏輯函數(shù)。MD5基本邏輯函數(shù)：F(X,Y,Z)=(ZY) (乛X) Z)G(X,Y,Z)=(XZ) (Y(乛Z)H(X,Y,Z)=XYZG(X,Y,Z)=Y( (X(乛Z)SHA-1基本邏輯函數(shù)：f（X,Y,Z）5.W

16、oo-Lam協(xié)議一共7步，可以簡化為以下五步：S1：A->B:Ekpb(N1|IDa)S2：B->KDC:IDb|IDa|Ekpk(N1)S3：KDC->B:Eksk(IDa|Kpa)|Ekpb(Eksk(N1|Ks|Idb)S4：B->A：Ekpa(Eksk(N1|Ks|IDb)|N2)S5：A->B:Eks(N2)小寫和數(shù)字均為角標在書寫時應將其改為大寫的角標第四章 計算機病毒一、選擇題1.關于計算機病毒，下面說確的是（計算機病毒可以通過讀寫磁盤和網(wǎng)絡等方式傳播）2.與文件型病毒對比，蠕蟲病毒不具有的特征是（寄生性）二、填空題1.與普通病毒不同，宏病毒不感染E

17、XE文件和COM文件，也不需要通過引導區(qū)傳播，它只感染文檔文件.2.計算機病毒一般由三個基本模塊組成，即引導模塊、傳染模塊和破壞/表現(xiàn)模塊三、簡答題1.簡述計算機病毒的定義和基本特征計算機病毒是一種靠修改其他程序來插入或進行自身拷貝，從而感染其他程序的一段程序?；咎卣鳎簜魅拘?、破壞性、隱蔽性、寄生性、可觸發(fā)性2.計算機病毒分為哪幾種類型？按病毒寄生方式分為：網(wǎng)絡病毒、文件病毒、引導型病毒、混合型病毒。按傳播媒介分類：單機病毒、網(wǎng)絡病毒按病毒破壞性分類：良性病毒、惡性病毒按計算機連接方式分類：源碼型病毒、嵌入型病毒、外殼型病毒、譯碼型病毒、操作系統(tǒng)型病毒按病毒攻擊的操作系統(tǒng)分類：DOS病毒、W

18、INDIWS病毒、其他系統(tǒng)病毒3.簡述計算機病毒的一般構成。計算機病毒一般由三個基本模塊組成，即安裝模塊，傳染模塊、破壞模塊。4.計算機病毒的制作技術有哪些？采用自加密技術、特殊隱形技術、對抗計算機病毒防系統(tǒng)、反跟蹤技術5.目前使用的查殺病毒的技術有哪些特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法6.什么是特洛伊木馬？特洛伊木馬一般由那幾部分組成？木馬的全稱是特洛伊木馬，實際上是一種典型的黑客程序，他是一種基于遠程控制的黑客工具。木馬系統(tǒng)程序一般由兩個部分組成：一個是服務器端程序，另一個是客戶機程序。第五章 網(wǎng)絡攻擊與防技術一、選擇題1.（ 拒絕服務攻擊 ）是使計算機疲于響應這些經(jīng)過偽裝的不可

19、到達客戶的請求，從而使計算機不能響應正常的客戶請求等，達到切斷正常連接的目的。2.（IP地址和端口掃描 ）就是要確定你的IP地址是否可以到達，運行哪些操作系統(tǒng)，運行哪些服務器程序，是否有后門存在。3.分布式拒絕服務（DDoS）攻擊分為三層：（ 攻擊者 ）、主控端、代理端，三者在攻擊中扮演著不同的角色。4.有一種稱為嗅探器（ Sniffer ）的軟件，它是通過捕獲網(wǎng)絡上傳送的數(shù)據(jù)包來收集敏感數(shù)據(jù)，這些數(shù)據(jù)可能是用戶的賬號和密碼，或者是一些數(shù)據(jù)。5.攻擊者在攻擊之前的首要任務就是要明確攻擊目標，這個過程通常稱為（ 目標探測 ）。6.從技術上說，網(wǎng)絡容易受到攻擊的原因主要是由于網(wǎng)絡軟件不完善和（ 網(wǎng)

20、絡協(xié)議 ）本身存在安全缺陷造成的。7.每當新的操作系統(tǒng)、服務器程序等軟件發(fā)布后，黑客就會利用（ 各種軟件漏洞攻擊程序）尋找軟件漏洞，從而達到導致計算機泄密、被非法使用，甚至崩潰等目的。8.（ 分布式拒絕服務 ）攻擊是指借助于客戶機/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務工具的威力。9.（ 包攻擊 ）是一種破壞網(wǎng)絡服務的技術，其根本目的是使受害者主機或網(wǎng)絡失去即是接受處理外界請求，或與時回應外界請求的能力。二、簡答題1.什么是目標探測？目標探測的方法有哪些？目標探測是通過自動或人工查詢的方法獲得與目標網(wǎng)絡相關的物理和邏輯參數(shù).方法:確

21、定目標圍;分析目標網(wǎng)絡路由2.從整個信息安全角度來看，目前掃描器主要有哪幾種類型？主機掃描、端口掃描、漏洞掃描3.如何有效防止端口掃描？ 關閉閑置和有潛在危險的端口、利用網(wǎng)絡防火墻軟件4.網(wǎng)絡監(jiān)聽主要原理是什么？ 將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機，包中包含著應該接收數(shù)據(jù)包主機的正確地址，只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收。但是，當主機工作監(jiān)聽模式下，無論數(shù)據(jù)包中的目標地址是什么，主機都將接收5.如何檢測網(wǎng)絡監(jiān)聽？如何防網(wǎng)絡監(jiān)聽？對可能存在的網(wǎng)絡監(jiān)聽的檢測（1）對于懷疑運行監(jiān)聽程序的計算機，用正確的IP地址和錯誤的物理地址Ping，運行監(jiān)聽程序的計算機都會有響應。這是因為正常的

22、計算機不接收錯誤的物理地址，處理監(jiān)聽狀態(tài)的計算機能接收，但如果對方的Ipstack不再次反向檢查的話，就會響應。（2）向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，這將導致性能下降。通過比較前后該計算機性能加以判斷，這種方法難度比較大。（3）使用反監(jiān)聽工具如Antisniffer等進行檢測。對網(wǎng)絡監(jiān)聽的防措施（1）從邏輯或物理上對網(wǎng)絡分段（2）以交換式集線器代替共享式集線器（3）使用加密技術（4）劃分VLAN6.舉例說明緩沖區(qū)溢出攻擊的原理。通過往程序的緩沖區(qū)寫超出其長度的容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻

23、擊的目的。造成緩沖區(qū)溢出的原因是程序中沒有仔細檢查用戶輸入的參數(shù)。例如下面程序： void function(char *str) char buffer16; strcpy(buffer,str); 上面的strcpy（）將直接把str中的容copy到buffer中。這樣只要str的長度大于16，就會造成buffer的溢出，使程序運行出錯。存在像strcpy這樣的問題的標準函數(shù)還有strcat（）、sprintf（）、vsprintf（）、gets（）、scanf（）等。 當然，隨便往緩沖區(qū)中填東西造成它溢出一般只會出現(xiàn)分段錯誤（Segmentation fault），而不能達到攻擊的目的。

24、最常見的手段是通過制造緩沖區(qū)溢出使程序運行一個用戶shell，再通過shell執(zhí)行其它命令。如果該程序?qū)儆趓oot且有suid權限的話，攻擊者就獲得了一個有root權限的shell，可以對系統(tǒng)進行任意操作了。 緩沖區(qū)溢出攻擊之所以成為一種常見安全攻擊手段其原因在于緩沖區(qū)溢出漏洞太普遍了，并且易于實現(xiàn)。而且，緩沖區(qū)溢出成為遠程攻擊的主要手段其原因在于緩沖區(qū)溢出漏洞給予了攻擊者他所想要的一切：植入并且執(zhí)行攻擊代碼。被植入的攻擊代碼以一定的權限運行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機的控制權。7.如何防緩沖區(qū)溢出攻擊？編寫正確的代碼，與時安裝漏洞補丁，借助于防火墻阻止緩沖區(qū)溢出8.指出下列程序

25、段存在的問題，并修改它。char str10;char bigstr20;while(scanf(“%20s”,bigstr)!=null)bigstr20=0;strcpy(str,bigstr,sizeof(str);存在數(shù)據(jù)溢出，因為bigstr數(shù)組的長度為20，而str數(shù)組長度為10，當把bigstr數(shù)組復制到str數(shù)組時，數(shù)據(jù)溢出。10.什么是拒絕服務（DOS）攻擊？什么是分布式拒絕服務（DDOS）攻擊DOS攻擊是一種既簡單又有效的攻擊方式，他是針對系統(tǒng)的可用性發(fā)起的攻擊，通過某些手段使得目標系統(tǒng)或者網(wǎng)絡不能提供正常的服務。DDOS不僅僅是一臺機器，而是多臺機器合作，同時向一個目標發(fā)

26、起攻擊11.如何有效防DDoS攻擊？與早發(fā)現(xiàn)系統(tǒng)存在的漏洞，提高網(wǎng)絡系統(tǒng)的安全性；經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止不必要的網(wǎng)絡服務；充分利用防火墻等網(wǎng)絡安全設備，加固網(wǎng)絡的安全性，配置好它們的安全規(guī)則，過濾掉所有可能偽造的數(shù)據(jù)包12.什么是欺騙攻擊？簡述欺騙攻擊的原理。欺騙攻擊是利用TCP/IP協(xié)議等本身的漏洞而進行的攻擊行為。欺騙實質(zhì)上就是一種冒充他人身份通過計算機認證騙取計算機信任的攻擊方式。攻擊者對認證機制的缺陷，將自己偽裝成可信任方，從而與受害者進行交流，最終竊取信息或展開進一步的攻擊。第六章 防火墻技術一、選擇題1.關于防火墻，以下（ 防火墻能阻止來自部的威脅 ）說法是錯誤的。2.防火墻

27、是確保網(wǎng)絡安全的重要之一,如下各項中可以由防火墻解決的一項網(wǎng)絡安全問題是（從外部網(wǎng)偽裝為部網(wǎng) )3.包過濾防火墻工作在OSI的（ 網(wǎng)絡層 ）。4.防火墻對數(shù)據(jù)包進行狀態(tài)檢測時，不進行檢測過濾的是（ 數(shù)據(jù)包中的容 ）。二、填空題1.常見防火墻按采用的技術分類主要有靜態(tài)包過濾防火墻、 動態(tài)包過濾防火墻 和 應用代理型防火墻 。2. 雙宿主主機 是防火墻體系的基本形態(tài)3.應用層網(wǎng)關型防火墻的核心技術是代理服務器技術 。三、簡答題1.什么是防火墻？古代防火墻與網(wǎng)絡安全中的防火墻有何聯(lián)系和區(qū)別？防火墻是一種隔離設備，是一種高級訪問控制設備，是置于不同網(wǎng)絡安全域之間的一系列部件的組合，他是不同網(wǎng)絡安全域之

28、間通信流的唯一通道，能根據(jù)用戶設置的安全策略控制進出網(wǎng)絡的訪問行為。古代防火墻是人們在寓所之間砌起的一道磚墻，一旦火災發(fā)生，能防止火災蔓延到別的寓所。而網(wǎng)絡安全中的防火墻是在網(wǎng)絡和Internet之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部網(wǎng)絡對本地網(wǎng)絡的威脅和入侵，提供扼守本網(wǎng)絡的安全和審計的唯一關卡，他的作用和古時候的防火磚墻有類似之處，因此把這個屏障叫做“防火墻”。2.分析防火墻的局限性。人們認為防火墻可以保護處于它身后的網(wǎng)絡不受外界的侵襲和干擾。有以下不足：傳統(tǒng)的防火墻在工作時，入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能開啟的后門防火墻不能防止來自網(wǎng)絡部的

29、襲擊由于防火墻性能上的限制，通常它不具備實時監(jiān)控入侵行為的能力防火墻不能防御所有新的威脅3.簡述包過濾型防火墻的工作機制和包過濾類型 包過濾型防火墻的工作在OSI網(wǎng)絡參考模型的網(wǎng)絡層和傳輸層。原理在于根據(jù)數(shù)據(jù)源地址。目標地址、端口號、和協(xié)議類型確定是否允許通過，只要滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到響應的目的地，其余的數(shù)據(jù)包則被從數(shù)據(jù)流丟棄。第一代靜態(tài)包過濾型防火墻以與第二代動態(tài)包過濾型防火墻。4.簡述包過濾型防火墻的工作過程與特點包過濾型防火墻工作在OSI網(wǎng)絡參考模型中的網(wǎng)絡層和傳輸層。它根據(jù)數(shù)據(jù)源地址、目的地址、端口號和協(xié)議類型等標志確定是否允許通過。包過濾方式的優(yōu)點是不用改動客戶機和主機上的應用程序；缺點是很容易受到“地址欺騙型攻擊”5.簡述代理防火墻的工作原理與特點。 代理防火墻也叫應用層網(wǎng)關（Application Gateway）防火墻。這種防火墻通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏部網(wǎng)結構的作用 應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全"阻隔"了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的