生,能防止火灾蔓延到别的寓所。而网络安全中的防火墙是在网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部网络对本地网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡,他的作用和古时候的防火砖墙有类似之处,因此把这个屏障叫做“防火墙”。
2.分析防火墙的局限性。
人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。有以下不足:
传统的防火墙在工作时,入侵者可以伪造数据绕过防火墙或者找到防火墙中可能开启的后门 防火墙不能防止来自网络内部的袭击
由于防火墙性能上的限制,通常它不具备实时监控入侵行为的能力
防火墙不能防御所有新的威胁
3.简述包过滤型防火墙的工作机制和包过滤类型
包过滤型防火墙的工作在OSI网络参考模型的网络层和传输层。原理在于根据数据包头源地址。目标地址、端口号、和协议类型确定是否允许通过,只要满足过滤条件的数据包才被转发到响应的目的地,其余的数据包则被从数据流丢弃。第一代静态包过滤型防火墙以及第二代动态包过滤型防火
墙。
4.简述包过滤型防火墙的工作过程及特点
包过滤型防火墙工作在OSI网络参考模型中的网络层和传输层。它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。
包过滤方式的优点是不用改动客户机和主机上的应用程序;缺点是很容易受到“地址欺骗型攻击”
5.简述代理防火墙的工作原理及特点。
代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全\阻隔\了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。 特点:具有较强的安全性 。
9.状态检测防火墙的技术特点是什么?
状态检测是比包过滤更为有效的安全控制方法。对新建的应
用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高
第七章 入侵检测技术
一、选择题
1.下列(检测和监视已成功的安全突破)功能是入侵检测实现的。
2.有一种攻击是不断对网络服务系统进行干预,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪。这种工具叫做(拒绝服务攻击)。
3.入侵检测系统的第一步是( 信息采集 )。
4.以下( 捕捉可疑的网络活动 )不属于入侵检测系统的功能。 二、填空题
1.根据信息的来源将入侵检测系统分为基于主机 的IDS,基于 网络 的IDS
2.PPDR模型包括策略、响应、防护和检测。 3.入侵检测技术分为异常检测和误用探测两大类。 三、简答题
1.什么是入侵检测系统?
是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 4.简述基于主机入侵检测系统的工作原理。
基于主机的IDS的输入数据来源于系统的审计日志,即在每个要保护的主机上运行一个代理程序,一般只能检测该主
机上发生的入侵。它在重要的系统服务器工作站或用户机器上运行、监听操作系统或系统事件级别的可以活动,此系统需要定义清楚哪些不是合法的活动,然后把这种安全策略转换或入侵检测规则。
5.简述基于网络入侵检测系统的工作原理。
基于网络的IDS的输入数据来源于网络的信息流,该类系统一般被动的在网络上监听整个网段上的信息流,通过捕获网络数据包进行分析,能够检测该网段上发生的网络入侵。 6.简述误用检测的技术实现。 (1)基于专家系统的误用入侵检测 (2)基于模型推理的误用入侵检测 (3)基于状态转换分析的误用入侵检测 (4)基于条件概率的误用入侵检测 (5)基于键盘监控的误用入侵检测 7.简述异常检测的技术实现。 异常检测的技术实现方法
1、量化分析 2、统计分析 3、神经网络