信息安全和防火墻

111.2.1信息安全的概念和模型1．網(wǎng)絡(luò)安全的基本因素保密性：確保信息不暴露給未授權(quán)的實體或進(jìn)程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并能判別出數(shù)據(jù)是否已被篡改?？捎眯裕旱玫绞跈?quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作(修一條馬路，不能堵車)。合法性：每個想獲得訪問的實體都必須經(jīng)過鑒別或身份驗證（相互確認(rèn)身份）。2．網(wǎng)絡(luò)安全的組成物理安全、人員安全、符合瞬時電磁脈沖輻射標(biāo)準(zhǔn)、數(shù)據(jù)安全操作安全、通信安全、計算機安全、工業(yè)安全23．網(wǎng)絡(luò)安全模型34．網(wǎng)絡(luò)安全的基本任務(wù)（1）設(shè)計加密算法，進(jìn)行安全性相關(guān)的轉(zhuǎn)換；（2）生成算法使用的保密信息；（3）開發(fā)分發(fā)和共享保密信息的方法；（4）指定兩個主體要使用的協(xié)議，并利用安全算法和保密信息來實現(xiàn)特定的安全服務(wù)。黑客和黑客手段黑客（英語：Hacker，或稱駭客），是指對

計算機科學(xué)、編程和設(shè)計方面具高度理解的

人。依照RFC1392，“黑客”是“一位熱衷于研究

系統(tǒng)和計算機（特別是計算機網(wǎng)絡(luò)）內(nèi)部運作秘密的人”。根據(jù)此定義黑客也可以包括很多計算機和互聯(lián)網(wǎng)技術(shù)創(chuàng)造者。比如說linus。黑客的特征誤區(qū)：

為了避免誤解，必須明確的區(qū)分開Hacker與cracker的概念：Hacker1.一個對（某領(lǐng)域內(nèi)的）編程語言有足夠了解，對軟件開發(fā)樂此不疲的人。2.喜愛編程（Coding）并享受在其中，變得更擅長于編程的人。3.一個試圖破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的電腦安全漏洞。這群人往往被稱做“白帽黑客”或“思匿客(sneaker)”。Hacker是一個通過知識或猜測而對某段程序做出（往往是好的）修改，并改變（或增強）該程序用途的人。cracker“駭客”（cracker）一詞一般有以下意義：一個惡意（一般是非法地）試圖破解或破壞某個程序、系統(tǒng)及網(wǎng)絡(luò)安全的人?！癱racker”不同于“Hacker”?！癱racker”沒有“Hacker”精神，也沒有道德標(biāo)準(zhǔn)?！癏acker”們建設(shè)，而“cracker”們破壞。腳本小子（scriptkiddie）

“腳本小子”則指那些完全沒有或僅有一點點黑客技巧，而只是按照指示或運行某種駭客程序來達(dá)到破解目的的人。腳本小子是利用他人所編輯的程序來發(fā)起網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)鬧事者，他們通常不懂得攻擊對象的設(shè)計和攻擊程序的原理，不能自己調(diào)試系統(tǒng)發(fā)現(xiàn)漏洞，實際職業(yè)知識遠(yuǎn)遠(yuǎn)不如他們通常冒充的黑帽黑客。811.2.2安全威脅（對應(yīng)網(wǎng)絡(luò)安全基本因素）安全威脅是指某個人、物、事件或概念對某一資源的機密性、完整性、可用性（DoS）或合法性（非授權(quán)訪問）所造成的危害。某種攻擊就是某種威脅的具體實現(xiàn)。91．基本的威脅信息泄漏或丟失針對信息機密性的威脅，它指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失包括：信息在傳輸中丟失或泄漏(如“黑客”們利用電磁泄漏或塔線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、賬號等重要信息)；信息在存儲介質(zhì)中丟失或泄漏；通過建立隱蔽通道等竊取敏感信息等。破壞數(shù)據(jù)完整性以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。拒絕服務(wù)不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。非授權(quán)訪問沒有預(yù)先經(jīng)過同意就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。主要形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。安全威脅的分類：安全威脅可分為植入和滲入。安全威脅可分為故意的（如黑客滲透）和偶然的（如信息被發(fā)往錯誤的地址）兩類。故意威脅又可進(jìn)一步分為被動和主動兩類。11滲入威脅和植入威脅滲入威脅假冒某個未授權(quán)實體使守衛(wèi)者相信它是一個合法的實體，從而攫取該合法用戶的特權(quán)。旁路控制攻擊者通過各種手段發(fā)現(xiàn)本應(yīng)保密卻又暴露出來的一些系統(tǒng)“特征”。利用這些“特征”，攻擊者繞過防線守衛(wèi)者滲入系統(tǒng)內(nèi)部。授權(quán)侵犯也稱為“內(nèi)部威脅”，授權(quán)用戶將其權(quán)限用于其他未授權(quán)的目的。植入威脅特洛伊木馬在正常的軟件中隱藏一段用于其他目的的程序，這段隱藏的程序段常常以安全攻擊作為其最終目標(biāo)。陷門在某個系統(tǒng)或某個文件中設(shè)置的“機關(guān)”，使得在提供特定的輸人數(shù)據(jù)時，允許違反安全策略。1211.2.3安全攻擊1．安全攻擊的手段132．被動攻擊和主動攻擊被動攻擊對信息的保密性進(jìn)行攻擊，即通過竊聽網(wǎng)絡(luò)上傳輸?shù)男畔⒉⒓右苑治鰪亩@得有價值的情報，但它并不修改信息的內(nèi)容目標(biāo)是獲得正在傳送的信息，其特點是偷聽或監(jiān)視信息的傳遞被動攻擊主要手段：信息內(nèi)容泄露（不小心）：信息在通信過程中因被監(jiān)視竊聽而泄露，或者信息從電子或機電設(shè)備所發(fā)出的無線電磁波中被提取出來而泄露。通信量分析：通過確定通信位置和通信主機的身份，觀察交換消息的頻度和長度，并利用這些信息來猜測正在進(jìn)行的通信特性。142．被動攻擊和主動攻擊主動攻擊攻擊信息來源的真實性、信息傳輸?shù)耐暾院拖到y(tǒng)服務(wù)的可用性有意對信息進(jìn)行修改、插入和刪除主動攻擊主要手段：假冒：一個實體假裝成另一個實體。假冒攻擊通常包括一種其他形式的主動攻擊。重放：涉及被動捕獲數(shù)據(jù)單元及其后來的重新傳送，以產(chǎn)生未經(jīng)授權(quán)的效果。修改消息：改變了真實消息的部分內(nèi)容，或?qū)⑾⒀舆t或重新排序，導(dǎo)致未授權(quán)的操作。拒絕服務(wù)：禁止通信實體的正常使用或管理。153．服務(wù)攻擊和非服務(wù)攻擊（高層協(xié)議）服務(wù)攻擊針對某種特定網(wǎng)絡(luò)服務(wù)的攻擊例如：針對E-mail服務(wù)、Telnet、FTP、HTTP等服務(wù)的專門攻擊原因：TCP/IP協(xié)議缺乏認(rèn)證、保密措施。非服務(wù)攻擊(針對于操作系統(tǒng)和協(xié)議)不針對某項具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而進(jìn)行原因：TCP/IP協(xié)議（尤其是IPv4）自身的安全機制不足164安全策略與安全管理1．安全策略的組成威嚴(yán)的法律先進(jìn)的技術(shù)嚴(yán)格的管理2．安全管理原則多人負(fù)責(zé)原則任期有限原則職責(zé)分離原則（會計和出納）3．安全管理實現(xiàn)根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級根據(jù)確定的安全等級，確定安全管理的范圍制訂相應(yīng)的機房出入管理制度制訂嚴(yán)格的操作規(guī)程制訂完備的系統(tǒng)維護(hù)制度制訂應(yīng)急措施11.3防火墻技術(shù)1811.3.1防火墻的基本概念1．防火墻的定義防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)企業(yè)的安全政策，控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。防火墻可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。2.防火墻的主要功能集中的網(wǎng)絡(luò)安全安全警報防火墻允許網(wǎng)絡(luò)管理員定義一個中心（阻塞點）來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在不安全因素的訪問進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種線路的攻擊。通過防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警信號。重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）接入Internet的機構(gòu)，可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）來完成內(nèi)部私有地址到外部注冊地址的映射，而防火墻正是部署NAT的理想位置。監(jiān)視Internet的使用情況防火墻也是審查和記錄內(nèi)部人員對Internet使用的一個最佳位置，可以在此對內(nèi)部訪問Internet的情況進(jìn)行記錄(根據(jù)cs模式的訪問特點)。向外發(fā)布信息防火墻同樣還是部署WWW服務(wù)器和FTP服務(wù)器的理想位置。它允許Internet上的其它用戶訪問上述服務(wù)器，而禁止訪問內(nèi)部受保護(hù)的其它系統(tǒng)（因為可能有其它服務(wù)）。2111.3.2防火墻的設(shè)計策略1．防火墻的設(shè)計策略兩種基本的設(shè)計策略：允許任何服務(wù)除非被明確禁止（黑名單）禁止任何服務(wù)除非被明確允許（白名單）按照其特征，防火墻的設(shè)計策略網(wǎng)絡(luò)策略服務(wù)訪問策略222．防火墻的技術(shù)服務(wù)控制確定在圍墻外面和里面可以訪問的因特網(wǎng)服務(wù)類型方向控制。確定數(shù)據(jù)包的流向用戶控制根據(jù)請求訪問的用戶來確定是否提供該服務(wù)行為控制控制如何使用某種特定的服務(wù)233．防火墻的部署在局域網(wǎng)內(nèi)的VLAN之間控制信息流向時加入防火墻。Intranet與Internet之間連接時加入防火墻。在廣域網(wǎng)系統(tǒng)中，總部局域網(wǎng)與分支機構(gòu)一般通過公共網(wǎng)（如DDN、FrameRelay）連接，需要采用防火墻隔離，并利用某些軟件提供的功能構(gòu)成虛擬專網(wǎng)VPN。如果總部的局域網(wǎng)和分支機構(gòu)的局域網(wǎng)是通過Internet連接的，需要各自安裝防火墻，并組成虛擬專網(wǎng)。在遠(yuǎn)程用戶撥號訪問時，需要加入防火墻。利用一些防火墻軟件提供的負(fù)載平衡功能，ISP可在公共訪問服務(wù)器和客戶端間加入防火墻進(jìn)行負(fù)載分擔(dān)、存取控制、用戶認(rèn)證、流量控制、日志記錄等功能。兩網(wǎng)對接時可利用硬件防火墻作為網(wǎng)關(guān)設(shè)備實現(xiàn)地址轉(zhuǎn)換（NAT）、地址映射（MAP）、網(wǎng)絡(luò)隔離（DMZ，De-MilitarizedZone，非軍事區(qū)）、存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。11.2.2防火墻的主要類型

典型的防火墻系統(tǒng)通常由一個或多個構(gòu)件組成，相應(yīng)地，實現(xiàn)防火墻的技術(shù)包括以下四大類：1.包過濾防火墻（PacketFilteringFirewall）包過濾防火墻，又稱網(wǎng)絡(luò)級防火墻，工作在網(wǎng)絡(luò)層，通常由一臺路由器或一臺充當(dāng)路由器的計算機組成，如圖11-2所示。圖11-2包過濾防火墻功能模型

Internet/Intranet上的所有信息都是以IP數(shù)據(jù)包的形式傳輸?shù)模^濾路由器負(fù)責(zé)對所接收的每個數(shù)據(jù)包的IP地址，TCP或UDP分組頭信息進(jìn)行審查，以便確定其是否與某一條包過濾規(guī)則匹配。包過濾防火墻檢查每一條過濾規(guī)則，如果找到一個匹配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)；如果找到一個匹配，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄。包過濾防火墻對用戶來說是全透明的，其優(yōu)點是只需在一個關(guān)鍵位置設(shè)置一個包過濾路由器就可以保護(hù)整個網(wǎng)絡(luò)，使用起來非常簡潔、方便，且速度快、費用低。包過濾防火墻也有其自身的缺點和局限性，例如它只檢查地址和端口，對應(yīng)用層上的黑客行為無能為力；包過濾規(guī)則配置比較復(fù)雜；包過濾沒法檢測具有數(shù)據(jù)驅(qū)動攻擊這一類潛在危險的數(shù)據(jù)包等。2.應(yīng)用級網(wǎng)關(guān)（ApplicationLevelGateway）應(yīng)用級網(wǎng)關(guān)主要控制對應(yīng)用程序的訪問，它能夠?qū)M(jìn)出的數(shù)據(jù)包進(jìn)行分析、統(tǒng)計，防止在受信任的服務(wù)器與不受信任的主機間直接建立聯(lián)系。而且它還提供一種監(jiān)督控制機制，使得網(wǎng)絡(luò)內(nèi)、外部的訪問請求在監(jiān)督機制下得到保護(hù)，其功能模型如圖11-3所示。圖11-3應(yīng)用級網(wǎng)關(guān)的功能模型和包過濾防火墻一樣，應(yīng)用級網(wǎng)關(guān)也是僅僅依靠特定的邏輯判斷來決定是否允許數(shù)據(jù)包通過。一旦防火墻內(nèi)外的計算機系統(tǒng)建立起直接聯(lián)系，它外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)，這有利于實施非法訪問和攻擊。應(yīng)用級網(wǎng)關(guān)具有較強的訪問控制功能，是目前最安全的防火墻技術(shù)之一。但其每一種協(xié)議都需要相應(yīng)的代理軟件，實現(xiàn)起來比較困難，效率不如網(wǎng)絡(luò)級防火墻高，而且對用戶缺乏“透明度”。3.電路級網(wǎng)關(guān)（CircuitLevelGateway）電路級網(wǎng)關(guān)通常工作在在OSI參考模型中的會話層上，它只依賴于TCP連接，而并不關(guān)心任何應(yīng)用協(xié)議，也不進(jìn)行任何的包處理或過濾。它就像電線一樣，只是在內(nèi)部連接和外部連接之間來回拷貝字節(jié)。由于連接要穿過防火墻，因而其隱藏了受保護(hù)網(wǎng)絡(luò)的有關(guān)信息。電路級網(wǎng)關(guān)往往不是一個獨立的產(chǎn)品，它要和其它一些應(yīng)用級網(wǎng)關(guān)結(jié)合在一起使用。其最大的優(yōu)點是主機可以被設(shè)置成混合網(wǎng)關(guān)，內(nèi)部用戶使用起來很方便，另外，電路級網(wǎng)關(guān)還可將所有內(nèi)部的IP地址映射到一個防火墻專用的、安全的IP地址。4.代理服務(wù)防火墻（ProxySeverFirewall）代理服務(wù)防火墻又稱鏈路級網(wǎng)關(guān)，通常指運行代理服務(wù)器軟件的一臺計算機。代理服務(wù)器（ProxySever）運行在Intranet和Internet之間，是內(nèi)、外網(wǎng)絡(luò)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，其功能模型如圖11-4所示。圖11-4代理服務(wù)防火墻功能模型代理服務(wù)器：定義：代理服務(wù)器（英文：Proxy），是一種重要的電腦安全功能，也是特殊的網(wǎng)絡(luò)服務(wù)，允許客戶端通過它與另一個網(wǎng)絡(luò)服務(wù)進(jìn)行非直接的連接，也稱“網(wǎng)絡(luò)代理”。代理服務(wù)器有利于保障網(wǎng)絡(luò)安全，防止攻擊。圖解：左邊和右邊的電腦在通訊時候，需要經(jīng)過中間的電腦中轉(zhuǎn)，而中間的那部電腦就是代理服務(wù)器。代理服務(wù)器的功能1.提高訪問速度：通常代理服務(wù)器都設(shè)置一個較大的緩沖區(qū)，當(dāng)有外界的信息通過時，同時也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問相同的信息時，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。2.控制對內(nèi)部資源的訪問，如某大學(xué)FTP（前提是該代理地址在該資源的允許訪問范圍之內(nèi)），使用教育網(wǎng)內(nèi)地址段免費代理服務(wù)器，就可以用于對教育網(wǎng)開放的各類FTP下載上傳，以及各類資料查詢共享等服務(wù)。3.過濾內(nèi)容，例如限制對特定計算機的訪問，將一種語言的數(shù)據(jù)翻譯成另一種語言，或是防御代理服務(wù)器兩邊的攻擊性訪問。4.突破自身IP訪問限制，訪問國外站點。中國教育網(wǎng)和169網(wǎng)等網(wǎng)絡(luò)用戶可以通過代理訪問國外網(wǎng)站。5.隱藏真實IP：上網(wǎng)者也可以通過代理服務(wù)器隱藏自己的IP，免受攻擊。

代理服務(wù)器收到用戶對某站點的訪問請求后，便立即檢查該請求是否符合規(guī)則。若規(guī)則允許用戶訪問該站點，代理服務(wù)器便會以客戶身份登錄目的站點，取回所需的信息再發(fā)回給客戶。代理服務(wù)器將所有跨越防火墻的通信鏈路分為兩段，外部用戶只能看到該代理服務(wù)器而無法獲知任何內(nèi)部資料，如IP地址，從而起到了隔離防火墻內(nèi)、外計算機系統(tǒng)的作用。防火墻代理的原理代理服務(wù)軟件要分析網(wǎng)絡(luò)數(shù)據(jù)包并作出訪問控制決定，從而在一定程度上影響了網(wǎng)絡(luò)的性能，且代理服務(wù)器需要為每個網(wǎng)絡(luò)用戶專門設(shè)計，安裝使用較復(fù)雜，成本也相對較高。5.復(fù)合型防火墻（CompoundFirewall）由于對更高安全性的要求，常常把基于包過濾的防火墻與基于代理服務(wù)的防火墻結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案：

屏蔽主機防火墻體系結(jié)構(gòu)

包過濾路由器與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在包過濾路由器上設(shè)置過濾規(guī)則，使堡壘機成為Internet上其它結(jié)點所能到達(dá)的唯一結(jié)點，從而確保了內(nèi)部網(wǎng)絡(luò)的安全。如圖11-5所示：圖11-5屏蔽主機結(jié)構(gòu)示意圖屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)堡壘主機放在一個子網(wǎng)內(nèi)，兩個包過濾路由器放置在這一子網(wǎng)的兩端，使這一子網(wǎng)與外部Internet及內(nèi)部網(wǎng)絡(luò)分離，如圖11–6所示。圖11-6屏蔽子網(wǎng)結(jié)構(gòu)示意圖

3.防火墻的局限性不能防范繞過防火墻產(chǎn)生的攻擊防火墻并非萬能，影響網(wǎng)絡(luò)安全的因素很多，對于以下情況它無能為力:不能防范受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸很難防止數(shù)據(jù)驅(qū)動式攻擊不能防范由于內(nèi)部用戶不注意所造成的威脅11.2.3主要的防火墻產(chǎn)品3ComOfficeConnect防火墻

NetScreen防火墻

CiscoPIX防火墻我國的信息安全建設(shè)“金盾工程”，就是全國公安工作信息化工程，主要包括：公安基礎(chǔ)通信設(shè)施和網(wǎng)絡(luò)平臺建設(shè)、公安計算機應(yīng)用系統(tǒng)建設(shè)、公安工作信息化標(biāo)準(zhǔn)和規(guī)范體系建設(shè)、公安網(wǎng)絡(luò)和信息安全保障系統(tǒng)建設(shè)、公安工作信息化運行管理體系建設(shè)、全國公共信息網(wǎng)絡(luò)安全監(jiān)控中心建設(shè)等。“金盾工程”是中華人民共和國電子政務(wù)建設(shè)的12個重要系統(tǒng)建設(shè)項目之一。其他金字工程還有金橋（公用經(jīng)濟(jì)信息）、金關(guān)（對外貿(mào)易）、金卡（電子貨幣）、金財（財政管理）、金農(nóng)（農(nóng)業(yè)信息）、金稅（稅收）、金水（水利信息）、金質(zhì)（質(zhì)量監(jiān)督）等。天網(wǎng)防火墻的詳細(xì)設(shè)置與優(yōu)化系統(tǒng)設(shè)置在防火墻的控制面板中點擊“系統(tǒng)設(shè)置”按鈕即可展開防火墻系統(tǒng)設(shè)置面板。天網(wǎng)個人版防火墻系統(tǒng)設(shè)置界面如下：

防火墻自定義規(guī)則重置：點擊該按鈕，防火墻將彈出窗口，如下：防火墻設(shè)置向?qū)榱吮阌谟脩艉侠淼卦O(shè)置防火墻，天網(wǎng)防火墻個人版專門為用戶設(shè)計了防火墻設(shè)置向?qū)АＳ脩艨梢愿S它一步一步完成天網(wǎng)防火墻的設(shè)置。應(yīng)用程序權(quán)限設(shè)置：勾選了該選項之后，所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認(rèn)為通行不攔截。這適合在某些特殊情況下，不需要對所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核的時候。（譬如在運行某些游戲程序的時候）局域網(wǎng)地址設(shè)置：設(shè)置您在局域網(wǎng)內(nèi)的IP地址。

（注意：如果您的機器是在局域網(wǎng)里面使用，一定要設(shè)置好這個地址。因為防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是INTERNET的IP來源）管理權(quán)限設(shè)置：允許用戶設(shè)置管理員密碼保護(hù)防火墻的安全設(shè)置。用戶可以設(shè)置管理員密碼，防止未授權(quán)用戶隨意改動設(shè)置、退出防火墻等。初次安裝防火墻時沒有設(shè)置密碼。點擊“設(shè)置密碼”，用戶設(shè)置好管理員密碼，確定后密碼生效。用戶可選擇在允許某應(yīng)用程序訪問網(wǎng)絡(luò)時，需要或者不需要輸入密碼。點擊“清除密碼”，再輸入正確的密碼后，確定即可清除密碼。注意：如果用戶連續(xù)三次輸入錯誤密碼，防火墻系統(tǒng)將暫停用戶請求3分鐘，以保障密碼安全。注意：設(shè)置管理員密碼后對修改安全級別等操作也需要輸入密碼。在線升級提示設(shè)置：用戶可根據(jù)需要選擇在線升級提示的頻度。為了更好地保障您的系統(tǒng)安全，防火墻需要及時升級程序文件，因此，建議您把在線升級設(shè)置為“有新的升級包就提示”。日志管理：用戶可根據(jù)需要設(shè)置是否自動保存日志、日志保存路徑、日志大小和提示。選中“自動保存日志”，天網(wǎng)防火墻將會把日志記錄自動保存，默認(rèn)保存目錄為C:\ProgramFiles\SkyNet\FireWall\log，您可以點擊瀏覽設(shè)定日志的保存路徑。您還可以通過拉動日志大小里的滑塊在1M~100M之間選擇保存日志的大小。入侵檢測設(shè)置：用戶可以在這里進(jìn)行入侵檢測的相關(guān)設(shè)置。

選中“啟動入侵檢測功能”，在防火墻啟動時入侵檢測開始工作，不選則關(guān)閉入侵檢測功能。當(dāng)開啟入侵檢測時，檢測到可疑的數(shù)據(jù)包時防火墻會彈出入侵檢測提示窗口。選中“報警：攔截該IP的同時，請一直保持提醒我”，點擊“確定”后，會在入侵檢測的IP列表里面保存。攔截這個IP的日志則繼續(xù)記錄。

選中“靜默：攔截該IP的同時，不必再進(jìn)行日志記錄或報警提示”，用戶可設(shè)定靜默時間：3分鐘、10分鐘、始終。點擊“確定”后，會在入侵檢測的IP列表里面保存。在設(shè)定時間內(nèi)攔截這個IP的日志則不會記錄。當(dāng)達(dá)到設(shè)定的靜默時間后入侵檢測將自動從入侵檢測的IP列表里面刪除此條IP信息。選中“檢測到入侵后，無需提示自動靜默入侵主機的網(wǎng)絡(luò)包”，當(dāng)防火墻檢測到入侵時則不會在彈出入侵檢測提示窗口，它將按照用戶設(shè)置的默認(rèn)靜默時間，禁止此IP，并記錄在入侵檢測的IP列表里。其他設(shè)置：在這里可以設(shè)置報警聲音、自動打開資訊通窗口和自動彈出新資訊提示。報警聲音：設(shè)置報警聲音，點擊“瀏覽”，您可以自己選擇一個聲音文件做為天網(wǎng)防火墻預(yù)警的聲音。單擊“重置”將采用天網(wǎng)防火墻默認(rèn)的報警聲音。如不選中報警聲音前面的選項則關(guān)閉報警聲音。自動打開資訊通窗口：選中“自動打開資訊通窗口”后在打開天網(wǎng)防火墻主界面時會自動打開資訊通窗口。不選則在打開天網(wǎng)防火墻主界面時不會自動打開資訊通窗口。

自動彈出新資訊提示：選中“自動彈出新資訊提示”后當(dāng)接收到新資訊的時候會在屏幕右下角系統(tǒng)托盤處彈出新資訊提示窗口如沒有操作即自動消失。不選則不會彈出提示。安全級別設(shè)置天網(wǎng)個人版防火墻的預(yù)設(shè)安全級別分為低、中、高、擴(kuò)四個等級，默認(rèn)的安全等級為中級，其中各等級的安全設(shè)置說明如下：

低：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。計算機將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機器訪問自己提供的各種服務(wù)（文件、打印機共享服務(wù)）但禁止互聯(lián)網(wǎng)上的機器訪問這些服務(wù)。適用于在局域網(wǎng)中提供服務(wù)的用戶。

中：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止訪問系統(tǒng)級別的服務(wù)（如HTTP、FTP等）。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務(wù)。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。適用于普通個人上網(wǎng)用戶。高：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機共享服務(wù)），局域網(wǎng)和互聯(lián)網(wǎng)上的機器將無法看到本機器。除了已經(jīng)被認(rèn)可的程序打開的端口，系統(tǒng)會屏蔽掉向外部開放的所有端口。也是最嚴(yán)密的安全級別。

擴(kuò)：基于“中”安全級別再配合一系列專門針對木馬和間諜程序的擴(kuò)展規(guī)則，可以防止木馬和間諜程序打開TCP或UDP端口監(jiān)聽甚至開放未許可的服務(wù)。我們將根據(jù)最新的安全動態(tài)對規(guī)則庫進(jìn)行升級。適用于需要頻繁試用各種新的網(wǎng)絡(luò)軟件和服務(wù)、又需要對木馬程序進(jìn)行足夠限制的用戶。自定義：如果您了解各種網(wǎng)絡(luò)協(xié)議，可以自己設(shè)置規(guī)則。注意，設(shè)置規(guī)則不正確會導(dǎo)致您無法訪問網(wǎng)絡(luò)。用戶可以根據(jù)自己的需要調(diào)整自己的安全級別，方便實用。對于普通的個人上網(wǎng)用戶，我們建議您使用中級安全規(guī)則，它可以在不影響您使用網(wǎng)絡(luò)的情況下，最大限度的保護(hù)您的機器不受到網(wǎng)絡(luò)攻擊；對于需要頻繁試用各種新的網(wǎng)絡(luò)軟件和服務(wù)、又需要對木馬程序進(jìn)行足夠限制的用戶，我們建議您使用擴(kuò)展級安全規(guī)則，您可以對各種木馬及間諜程序有相當(dāng)?shù)南拗撇⒈Ａ粢欢ǖ木W(wǎng)絡(luò)訪問便利。

缺省IP規(guī)則介紹IP規(guī)則是針對整個系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)包監(jiān)控而設(shè)置的。利用自定義IP規(guī)則，用戶可針對個人不同的網(wǎng)絡(luò)狀態(tài)，設(shè)置自己的IP安全規(guī)則，使防御手段更周到、更實用。用戶可以點擊“IP規(guī)則管理”鍵

或者在“安全級別”中點擊“自定義”安全級別進(jìn)入IP規(guī)則設(shè)置界面。IP規(guī)則設(shè)置的操作界面如下：防御ICMP攻擊：選擇時，即別人無法用PING的方法來確定您的存在。但不影響您去PING別人。因為ICMP協(xié)議現(xiàn)在也被用來作為藍(lán)屏攻擊的一種方法，而且該協(xié)議對于普通用戶來說，是很少使用到的。

防御IGMP攻擊：IGMP是用于組播的一種協(xié)議，對于MSWindows的用戶是沒有什么用途的，但現(xiàn)在也被用來作為藍(lán)屏攻擊的一種方法，建議選擇此設(shè)置，不會對用戶造成影響。

TCP數(shù)據(jù)包監(jiān)視：通過這條規(guī)則，您可以監(jiān)視機器與外部之間的所有TCP連接請求。注意，這只是一個監(jiān)視規(guī)則，開啟后會產(chǎn)生大量的日志，該規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用的，如果您不熟悉網(wǎng)絡(luò)，請不要開啟。這條規(guī)則一定要是TCP協(xié)議規(guī)則的第一條。

禁止互聯(lián)網(wǎng)上的機器使用我的共享資源：開啟該規(guī)則后，別人就不能訪問您的共享資源，包括獲取您的機器名稱。禁止所有人連接低端端口：防止所有的機器和自己的低端端口連接。由于低端端口是TCP/IP協(xié)議的各種標(biāo)準(zhǔn)端口，幾乎所有的Internet服務(wù)都是在這些端口上工作的，所以這是一條非常嚴(yán)厲的規(guī)則，有可能會影響您使用某些軟件。如果您需要向外面公開您的特定端口，請在本規(guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。

允許已經(jīng)授權(quán)程序打開的端口：某些程序，如ICQ，視頻電話等軟件，都會開放一些端口，這樣，您的同伴才可以連接到您的機器上。本規(guī)則可以保證您這些軟件可以正常工作。

禁止所有人連接：防止所有的機器和自己連接。這是一條非常嚴(yán)厲的規(guī)則，有可能會影響您使用某些軟件。如果您需要向外面公開您的特定端口，請在本規(guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。該規(guī)則通常放在最后。

UDP數(shù)據(jù)包監(jiān)視：通過這條規(guī)則，您可以監(jiān)視機器與外部之間的所有UDP包的發(fā)送和接受過程，注意，這只是一個監(jiān)視規(guī)則，開啟后可能會產(chǎn)生大量的日志，平常請不要打開。這條規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用，如果您不熟悉網(wǎng)絡(luò)，請不要開啟。這條規(guī)則一定要是UDP協(xié)議規(guī)則的第一條。允許DNS（域名解析）：允許域名解析。注意，如果您要拒絕接收UDP包，就一定要開啟該規(guī)則，否則會無法訪問互聯(lián)網(wǎng)上的資源。自定義IP規(guī)則簡單地說，規(guī)則是一系列的比較條件和一個對數(shù)據(jù)包的動作，即根據(jù)數(shù)據(jù)包的每一個部分來與設(shè)置的條件比較，當(dāng)符合條件時，就可以確定對該包放行或者阻擋。通過合理設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在您的機器之外。

IP規(guī)則的頁面主要由3個部分組成：工具條：您可以點擊上面的按鈕來“增加規(guī)則”，“修改規(guī)則”，“刪除規(guī)則”。由于規(guī)則判斷是由上而下執(zhí)行的，您還可以通過點擊“上移”或“下移”按鈕調(diào)整規(guī)則的順序（注意：只有同一協(xié)議的規(guī)則才可以調(diào)整相互順序），還可以“導(dǎo)出”和“導(dǎo)入”已預(yù)設(shè)和已保存的規(guī)則。當(dāng)調(diào)整好順序后，可按“保存”按鈕

保存您的修改。如需要刪除全部IP規(guī)則，可按“清空所有規(guī)則”按鈕刪除全部IP規(guī)則。

規(guī)則列表這里列出了所有規(guī)則的名稱、規(guī)則所對應(yīng)的數(shù)據(jù)包的方向、規(guī)則所控制的協(xié)議、本機端口、對方地址和對方端口，以及當(dāng)數(shù)據(jù)包滿足本規(guī)則時所采取的策略。

在列表的左邊為規(guī)則是否有效的標(biāo)志，勾選表示該規(guī)則有效，否則表示無效。當(dāng)您對此有所改變后，請注意按“保存”鍵。

建立規(guī)則時，請注意下面幾點：（1）防火墻的規(guī)則檢查順序與列表順序是一致的。（2）當(dāng)您在局域網(wǎng)中時，又只想對局域網(wǎng)開放某些端口或協(xié)議（但對互聯(lián)網(wǎng)關(guān)閉）時，可對局域網(wǎng)的規(guī)則采用允許“局域網(wǎng)網(wǎng)絡(luò)地址”的某端口、協(xié)議的數(shù)據(jù)包“通行”的規(guī)則，然后用“任何地址”的某端口、協(xié)議的規(guī)則“攔截”，就可達(dá)到目的。

（3）不要濫用“記錄”功能，一個定義不好的規(guī)則加上記錄功能，會產(chǎn)生大量沒有任何意義的日志，并耗費大量的內(nèi)存。（4）零售版用戶最多可以使用1000條IP規(guī)則。

典型考題分析假設(shè)CD盤片的存儲容量為600MB，上面存放的數(shù)字圖像能以每秒25幅畫面、每幅畫面為360×240×65536色的分辨率播放l小時，則CD盤片上的數(shù)字圖像的壓縮比大約是________。A)25倍.B)10倍

C)50倍

D)100倍在IP協(xié)議中用來進(jìn)行組播的IP地址是________地址。A)A類

B)C類

C)D類.D)E類)UNIX系統(tǒng)中，輸入／輸出設(shè)備被看成是下列四種文件的_______。A)普通文件

B)目錄文件

C)索引文件

D)特殊文件.操作系統(tǒng)的一個重要功能是進(jìn)程管理。為此，操作系統(tǒng)必須提供一種啟動進(jìn)程的機制。在下面的敘述中，不正確的是_______。A)在DOS中，該機制是EXEC函數(shù)B)在Windows中啟動進(jìn)程的函數(shù)是CreateProcessC)在OS／2中啟動進(jìn)程的函數(shù)是CreateProcessD)在DOS中啟動進(jìn)程的函數(shù)也是CreateProcess.在電子商務(wù)的概念模型中，不屬于電子商務(wù)的構(gòu)成要素是________。A)互聯(lián)網(wǎng).B)交易主體

C)交易事務(wù)

D)電子市場連接到計算機網(wǎng)絡(luò)上的計算機都是________。A)高性能計算機

B)具有通信能力的計算機C)自治計算機.D)主從計算機(32)特洛伊木馬攻擊的威脅類型屬于_______。A)授權(quán)侵犯威脅

B)植入威脅.C)滲入威脅

D)旁路控制威脅TCP／IP參考模型中，應(yīng)用層協(xié)議常用的有_______。A)TELNET，F(xiàn)TP，SMTP和HTTP.B)TELNET，F(xiàn)TP，SMTP和TCPC)IP，F(xiàn)TP，SMTP和HTTPD)IP，F(xiàn)TP，DNS和HTTP在以下四個WWW網(wǎng)址中，________網(wǎng)址不符合WWW網(wǎng)址書寫規(guī)則。A)www．163．comB)www．nk．cn．edu.C)www．863．org．cnD)www．tj．net.jpIPv4版本的因特網(wǎng)總共有________個A類地址網(wǎng)絡(luò)。A)65000B)200萬

C)126.D)128計算機病毒是指能夠侵入計算機系統(tǒng)并在計算機系統(tǒng)中潛伏、傳播、破壞系統(tǒng)正常工作的一種具有繁殖能力的________。A)指令

B)程序.C)設(shè)備

D)文件防火墻一般由分組過濾路由器和________兩部分組成。A)應(yīng)用網(wǎng)關(guān).B)網(wǎng)橋

C)殺毒軟件

D)防病毒卡網(wǎng)絡(luò)的不安全性因素有_______。A)非授權(quán)用戶的非法存取和電子竊聽

B)計算機病毒的入侵C)網(wǎng)絡(luò)黑客

D)以上都是.如果計算機程序語言的寫法和語句都非常接近人類的語言，例如BASIC，這種語言就屬于________。A)低級語言

B)機器語言

C)高級語言.D)操作系統(tǒng)下列說法中，正確的是________。A)服務(wù)器只能用大型主機、小型機構(gòu)成B)服務(wù)器只能用安騰處理器組成C)服務(wù)器不能用個人計算機構(gòu)成D)服務(wù)器可以用奔騰、安騰處理器組成.具有多媒體功能的微機系統(tǒng)常用CD-ROM作外存儲器，它是________。A)只讀存儲器

B)只讀光盤.C)只讀硬盤

D)只讀大容量軟盤83【例6-16】保證數(shù)據(jù)的完整性就是______。（2003年4月）A）保證因特網(wǎng)上傳送的數(shù)據(jù)信息不被第三方監(jiān)視和竊取B）保證因特網(wǎng)上傳送的數(shù)據(jù)信息不被篡改.C）保證電子商務(wù)交易各方的真實身份D）保證發(fā)送方不能抵賴曾經(jīng)發(fā)送過某數(shù)據(jù)信息84【例6-17】在以下網(wǎng)絡(luò)威脅中，哪個不屬于信息泄露？______（2004年9月）A）數(shù)據(jù)竊聽 B）流量分析 C）拒絕服務(wù)攻擊.

D）偷竊用戶帳號85【例6-18】某種網(wǎng)絡(luò)安全威脅是通過非法手段取得對數(shù)據(jù)的使用權(quán)，并對數(shù)據(jù)進(jìn)行惡意地添加和修改。這種安全威脅屬于______。（2005年9月）A）竊聽數(shù)據(jù) B）破壞數(shù)據(jù)完整性.

C）拒絕服務(wù) D）物理安全威脅86【例6-19】對網(wǎng)絡(luò)的威脅包括：

Ⅰ．假冒 Ⅱ．特洛伊木馬 Ⅲ．旁路控制Ⅳ．陷門 Ⅴ．授權(quán)侵犯在這些威脅中，屬于滲入威脅的為______。（2003年4月）A）Ⅰ、Ⅲ和Ⅴ. B）Ⅲ和ⅣC）Ⅱ和Ⅳ D）Ⅰ、Ⅱ、Ⅲ和Ⅳ87【例6-22】當(dāng)信息從信源向信宿流動時可能會受到攻擊。其中中斷攻擊是破壞系統(tǒng)資源，這是對網(wǎng)絡(luò)______性的攻擊。（2006年4月）答案：可用88【例6-20】網(wǎng)絡(luò)反病毒技術(shù)主要有3種，它們是預(yù)防病毒技術(shù)、______病毒技術(shù)和消除病毒技術(shù)。（2004年4月）答案：檢測89【例6-23】截取是指未授權(quán)的實體得到了資源的訪問權(quán)，這是對下面哪種安全性的攻擊？______（2005年4月）A）可用性 B）機密性.C）合法性 D）完整性90【例6-24】下面哪種攻擊方法屬于被動攻擊？______（2006年9月）A）拒絕服務(wù)攻擊 B）重放攻擊C）通信量分析攻擊.

D）假冒攻擊91【例6-25】下面哪個（些）攻擊屬于非服務(wù)攻擊？______（2006年9月）Ⅰ.郵件炸彈攻擊 Ⅱ.源路由攻擊 Ⅲ.地址欺騙攻擊A）僅Ⅰ B）Ⅰ和ⅡC）Ⅱ和Ⅲ. D）Ⅰ和Ⅲ92【例6-57】以下關(guān)于防火墻技術(shù)的描述，哪個是錯誤的？______（2006年9月）A）防火墻分為數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)兩類B）防火墻可以控制外部用戶對內(nèi)部系統(tǒng)的訪問C）防火墻可以阻止內(nèi)部人員對外部的攻擊.D）防火墻可以分析和統(tǒng)管網(wǎng)絡(luò)使用情況93【例6-58】防火墻自身有一些限制，它不能阻止一下哪個（些）威脅？______（2005年4月）Ⅰ、外部攻擊Ⅱ、內(nèi)部威脅 Ⅲ、病毒威脅A）Ⅰ B）Ⅰ和ⅡC）Ⅱ和Ⅲ. D）全部94【例6-59】以下關(guān)于防火墻技術(shù)的描述，哪個是錯誤的？______（2006年4月）A）防火墻可以對網(wǎng)絡(luò)服務(wù)類型進(jìn)行控制B）防火墻可以對請求服務(wù)的用戶進(jìn)行控制C）防火墻可以對網(wǎng)絡(luò)攻擊進(jìn)行反向追蹤.D）防火墻可以對用戶如何使用特定服務(wù)進(jìn)行控制在下面的聲音文件格式中，不能用來記錄語音信息的是________。A)SNDB)WAVC)MIDI.D)MP3幀中繼系統(tǒng)設(shè)計的主要目標(biāo)是用于互連多個_______。A)廣域網(wǎng)

B)電話網(wǎng)

C)局域網(wǎng).D)ATM網(wǎng)網(wǎng)絡(luò)服務(wù)器分為文件服務(wù)器、通信服務(wù)器和_______。A)管理服務(wù)器、打印服務(wù)器

B)管理服務(wù)器、權(quán)限服務(wù)器C)數(shù)據(jù)庫服務(wù)器、管理服務(wù)器

D)打印服務(wù)器、數(shù)據(jù)庫服務(wù)器.寬帶系統(tǒng)與基帶系統(tǒng)相比有以下哪個優(yōu)點_______。A)容量大，結(jié)構(gòu)靈活，覆蓋范圍廣.B)需要ModemC)價格高

D)安裝和維護(hù)復(fù)雜為了防止局域網(wǎng)外部用戶對內(nèi)部網(wǎng)絡(luò)的非法訪問，可采用的技術(shù)是________。A)防火墻.B)網(wǎng)卡

C)網(wǎng)關(guān)

D)網(wǎng)橋在下面的命令中，用來檢查通信對方當(dāng)前狀態(tài)的命令是________。A)telnetB)tracerouteC)tcpdumpD)ping.在Telnet中，程序的_______。A)執(zhí)行和顯示均在遠(yuǎn)程計算機上B)執(zhí)行和顯示均在本地計算機上C)執(zhí)行在本地計算機上，顯示在遠(yuǎn)程計算機上D)執(zhí)行在遠(yuǎn)程計算機上，顯示在本地計算機上.連接南京郵電學(xué)院的主頁WWW．njupt．edu．cn，下面的_______操作不對。A)在地址欄中輸入WWW．njupt．edu．cnB)在地址欄中輸入http：//www．njupt．edu．cnC)在“開始”→“運行”中輸入http：／／www．njupt．edu．cnD)在地址欄中輸入gopher：／／www．njupt．edu．cn.下面關(guān)于網(wǎng)絡(luò)信息安全的一些敘述中，不正確的是_______。A)網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)比單機系統(tǒng)復(fù)雜，信息安全問題比單機更加難以得到保障B)電子郵件是個人之間的通信手段，有私密性，不使用軟盤，一般不會傳染計算機病毒.C)防火墻是保障單位內(nèi)部網(wǎng)絡(luò)不受外部攻擊的有效措施之一D)網(wǎng)絡(luò)安全的核心是操作系統(tǒng)的安全性，它涉及信息在存儲和處理狀態(tài)下的保護(hù)問題加強網(wǎng)絡(luò)安全性的最重要的基礎(chǔ)措施是_______。A)設(shè)計有效的網(wǎng)絡(luò)安全策略.B)選擇更安全