【文章內(nèi)容簡(jiǎn)介】 是指確保網(wǎng)絡(luò)合法用戶能夠按所獲授權(quán)訪問(wèn)網(wǎng)絡(luò)資源，同時(shí)防止對(duì)網(wǎng)絡(luò)非授權(quán)訪問(wèn)的性能。為此要求網(wǎng)絡(luò)具有身份識(shí)別、訪問(wèn)控制，以及對(duì)訪問(wèn)過(guò)程進(jìn)行審計(jì)的功能。4：可控性 可控性是指確保合法機(jī)構(gòu)按所獲授權(quán)能夠?qū)W(wǎng)絡(luò)及其中的信息與行為進(jìn)行監(jiān)控的性能。為此要求網(wǎng)絡(luò)具有相應(yīng)的多方面的功能。5： 真實(shí)性 真實(shí)性又稱(chēng)不可抵賴(lài)性，是指確保接受到的信息不是假冒的，而發(fā)信方無(wú)法否認(rèn)所發(fā)信息的性能。為此要求網(wǎng)絡(luò)具有數(shù)字取證、證據(jù)保全等功能。 ？提供有關(guān)形成網(wǎng)絡(luò)安全方案的方法和若干必須遵循的思路、原則和標(biāo)準(zhǔn)。它給出關(guān)于網(wǎng)絡(luò)安全服務(wù)和網(wǎng)絡(luò)安全機(jī)制的一般描述方式，以及各種安全服務(wù)與網(wǎng)絡(luò)體系結(jié)構(gòu)層次的對(duì)應(yīng)關(guān)系。?1. 對(duì)等實(shí)體鑒別服務(wù)。作用確保網(wǎng)絡(luò)同一層連續(xù)兩端的對(duì)等實(shí)體身份真實(shí)、合法。2. 訪問(wèn)控制服務(wù)。作用防止未經(jīng)許可的用戶訪問(wèn)OSI網(wǎng)絡(luò)的資源。3. 數(shù)據(jù)保密服務(wù)。作用防止未經(jīng)許可暴露網(wǎng)絡(luò)中數(shù)據(jù)的內(nèi)容。4. 數(shù)據(jù)完整性服務(wù)。作用確保接收端收到的信息與發(fā)送端發(fā)出的信息完全一致，防止在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)因網(wǎng)絡(luò)服務(wù)質(zhì)量不良而造成錯(cuò)誤或丟失，并防止其受到非法實(shí)體進(jìn)行的篡改、刪除、插入等攻擊。5. 數(shù)據(jù)源點(diǎn)鑒別服務(wù)。作用由OSI體系結(jié)構(gòu)的第N層向其上一層即第（N+1）層提供關(guān)于數(shù)據(jù)來(lái)源為一對(duì)等（N+1）層實(shí)體的鑒別。6. 抗抵賴(lài)性服務(wù)。作用防止數(shù)據(jù)的發(fā)送者否認(rèn)曾經(jīng)發(fā)送過(guò)該數(shù)據(jù)或數(shù)據(jù)中的內(nèi)容，防止數(shù)據(jù)的接收者否認(rèn)曾經(jīng)收到過(guò)該數(shù)據(jù)或數(shù)據(jù)中的內(nèi)容。？為了實(shí)現(xiàn)6種安全服務(wù)，ISO 74082中制定了支持安全服務(wù)的8種安全機(jī)制，它們分別是：1. 加密機(jī)制（Enciphrement Mechanisms）2. 數(shù)字簽名機(jī)制（Digital Signature Mechanisms）3. 訪問(wèn)控制機(jī)制（Access Control Mechanisms）4. 數(shù)據(jù)完整性機(jī)制（Data Integrity Mechanisms）5. 鑒別交換機(jī)制（Authentication Mechanisms）6. 通信業(yè)務(wù)填充機(jī)制（Traffic Padding Mechanisms）7. 路由控制機(jī)制（Routing Control Mechanisms）8. 公證機(jī)制（Notarization Mechanisms）　美國(guó)NCSC 的“可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)”將計(jì)算機(jī)系統(tǒng)的安全等級(jí)分為哪些檔和等級(jí)？1983年美國(guó)國(guó)防部提出了一套《可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)》（TCSEC，Trusted Computer System Evaluation Criteria），將計(jì)算機(jī)系統(tǒng)的可信程度，即安全等級(jí)劃分為D、C、B、A四類(lèi)8級(jí)，由低到高。1. D檔位無(wú)保護(hù)檔級(jí)，是最安全等級(jí)的最低檔，只有一個(gè)級(jí)別，即D級(jí)；2. C級(jí)分為C1和C2兩個(gè)子級(jí)，C2比C1提供更多的保護(hù)；3. B級(jí)分為BB2和B3共3個(gè)子級(jí)，由低到高；4. A檔位驗(yàn)證保護(hù)檔級(jí)。分為兩個(gè)安全等級(jí)，為A1級(jí)和超A1級(jí)；每級(jí)包括它下級(jí)的所有特性，從最簡(jiǎn)單的系統(tǒng)安全特性直到最高級(jí)的計(jì)算機(jī)安全模型技術(shù)，不同計(jì)算機(jī)信息系統(tǒng)可以根據(jù)需要和可能選用不同安全保密強(qiáng)度的不同標(biāo)準(zhǔn)。防火墻32　設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？通常應(yīng)用防火墻的目的有以下幾個(gè)方面：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)；過(guò)濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們?cè)L問(wèn)特殊站點(diǎn)；為監(jiān)視局域網(wǎng)安全提供方便。無(wú)論何種類(lèi)型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。防火墻的主要功能就是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問(wèn)，它通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問(wèn)。防火墻的局限性：1．防火墻防外不防內(nèi)、2．網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制、3．防火墻難于管理和配置，易造成安全漏洞、4．效率較低、故障率高、5．很難為用戶在防火墻內(nèi)外提供一致的安全策略、6．防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制。33　簡(jiǎn)述防火墻的發(fā)展動(dòng)態(tài)和趨勢(shì)。防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì)：（1）優(yōu)良的性能、（2）可擴(kuò)展的結(jié)構(gòu)和功能、（3）簡(jiǎn)化的安裝與管理、（4）主動(dòng)過(guò)濾、（5）防病毒與防黑客。未來(lái)防火墻技術(shù)會(huì)全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個(gè)方面。34　試述包過(guò)濾防火墻的原理及特點(diǎn)。靜態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾有什么區(qū)別？數(shù)據(jù)包過(guò)濾（Packet Filtering）技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過(guò)設(shè)備對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇地控制與操作。包過(guò)濾操作一般都是在選擇路由的同時(shí)在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇或過(guò)濾（通常是對(duì)從Internet進(jìn)入到內(nèi)部網(wǎng)絡(luò)的包進(jìn)行過(guò)濾）。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱(chēng)為訪問(wèn)控制表（Access Control Table）或規(guī)則表。規(guī)則表指定允許哪些類(lèi)型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的優(yōu)點(diǎn)：1）不用改動(dòng)應(yīng)用程序、2）一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、3）數(shù)據(jù)包過(guò)濾對(duì)用戶透明、4）過(guò)濾路由器速度快、效率高。包過(guò)濾的缺點(diǎn)：1）不能徹底防止地址欺騙、2）一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾、3）正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略、4）安全性較差、5）數(shù)據(jù)包工具存在很多局限性。1）靜態(tài)包過(guò)濾。一般防火墻的包過(guò)濾的過(guò)濾規(guī)則是在啟動(dòng)時(shí)配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱(chēng)為靜態(tài)規(guī)則。利用靜態(tài)包過(guò)濾規(guī)則建立的防火墻就叫靜態(tài)包過(guò)濾防火墻，這種類(lèi)型的防火墻根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，即與規(guī)則表進(jìn)行比較，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。2）動(dòng)態(tài)包過(guò)濾。采用這種技術(shù)的防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中增加或更新條目。即采用了基于連接狀態(tài)的檢查和動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，通過(guò)規(guī)則表與連接狀態(tài)表的共同配合進(jìn)行檢查。動(dòng)態(tài)過(guò)濾規(guī)則技術(shù)避免了靜態(tài)包過(guò)濾所具有的問(wèn)題，使防火墻彌補(bǔ)了許多不安全的隱患，在最大程度上降低了黑客攻擊的成功率，從而大大提高了系統(tǒng)的性能和安全性。35　試述代理防火墻的原理及特點(diǎn)。應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)有什么區(qū)別？當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí)，它將核實(shí)客戶請(qǐng)求，并用特定的安全化的Proxy應(yīng)用程序來(lái)處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶。代理防火墻工作于應(yīng)用層，且針對(duì)特定的應(yīng)用層協(xié)議。代理防火墻通過(guò)編程來(lái)弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問(wèn)控制；而且，還可用來(lái)保持一個(gè)所有應(yīng)用程序使用的記錄。代理技術(shù)的優(yōu)點(diǎn)：1）代理易于配置、2）代理能生成各項(xiàng)記錄、3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容、4）代理能過(guò)濾數(shù)據(jù)內(nèi)容、5）代理能為用戶提