【正文】 反饋和提煉過程。（P148圖）：從系統(tǒng)構(gòu)成上看，入侵檢測系統(tǒng)應包括數(shù)據(jù)提取、入侵分析、響應處理和遠程管理四大部分。防火墻的發(fā)展趨勢：①優(yōu)良的性能②可擴展的結(jié)構(gòu)和功能③簡化的安裝與管理④主動過濾⑤防病毒與防黑客⑥發(fā)展聯(lián)動技術(shù)。③防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。（P141）防火墻的發(fā)展動態(tài)：防火墻有許多防范功能，但由于互聯(lián)網(wǎng)的開放性，它也有一些力不能及的地方，主要表現(xiàn)在以下方面：①防火墻不能防范不經(jīng)由防火墻的攻擊。缺點：①對公共網(wǎng)絡只有一個物理接口，導致個人防火墻本身容易受到威脅；②在運行時需要占用個人計算機的內(nèi)存、CPU時間等資源；③只能對單機提供保護，不能保護網(wǎng)絡系統(tǒng)。（P129）①配置防火墻接口地址ifconfig eth0 ip ip ifconfig eth2:0 ip ipifconfig eth2:1 ip ip②設置路由表route add ip ip eth0route add ip ip route add ip ip eth2:0route add ip ip ip route add default ip③指定防火墻接口屬性fwip add eth0 ip ofwip add eth1 ip sfwip add eth2:0 ip i④配置域名服務器dns //按提示輸入所在域及域名服務器⑤透明設置Settrans eth0 eth1 onSettrans eth0 eth2:1 on⑥增加用戶adduser 輸入用戶名 口令 綁定的IP 用戶屬性⑦NAT配置⑧反向NAT配置⑨訪問規(guī)則配置1簡述個人防火墻的特點。④利用應用代理的脆弱點進行攻擊。③利用分組過濾的脆弱點進行攻擊。②穿透防火墻進行掃描。典型技巧：①用獲取防火墻標識進行攻擊。試描述攻擊者用于發(fā)現(xiàn)和偵察防火墻的典型技巧。即是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡IP地址的技術(shù)。不足：對大量狀態(tài)信息的處理過程可能會造成網(wǎng)絡連接的某種遲滯。（P120）狀態(tài)檢測防火墻結(jié)合了包過濾防火墻和代理服務器防火墻的長處，克服了兩者的不足，能夠根據(jù)協(xié)議、端口，以及源地址、目的地址的具體情況決定數(shù)據(jù)包是否允許通過。代理防火墻工作于應用層，且針對特定的應用層協(xié)議。當代理服務器得到一個客戶的連接意圖時，它將核實客戶請求，并用特定的安全化的proxy應用程序來處理連接請求，將處理后的請求傳遞到真實的服務器上，然后接受服務器應答，并進行下一步處理后，將答復交給發(fā)出請求的最終客戶。（P112）源地址 目的地址 協(xié)議類型 源端口 目的端口 ICMP消息類型不讓外用TELNET登陸 允許SMTP往內(nèi)部發(fā)郵件 允許NNTP往內(nèi)部發(fā)新聞 不能識別用戶信息 不能識別文件信息 可以提供整個網(wǎng)絡保護簡述代理防火墻的工作原理，并闡述代理技術(shù)的優(yōu)缺點。（P110，P111圖）包過濾型防火墻一般有一個包檢查模塊，可以根據(jù)數(shù)據(jù)包頭中的各項信息來控制站點與站點、站點與網(wǎng)絡、網(wǎng)絡與網(wǎng)絡之間的相互訪問，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容，因為內(nèi)容是應用層數(shù)據(jù)。雙重宿主主機體系結(jié)構(gòu)是由一臺同時連接在內(nèi)外部網(wǎng)絡的雙重宿主主機提供安全保障的，而被屏蔽主機體系結(jié)構(gòu)則不同，在屏蔽主機體系結(jié)構(gòu)中，提供安全保護的主機僅僅與被保護的內(nèi)部網(wǎng)絡相連.屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡更進一步地把內(nèi)部網(wǎng)絡與Internet隔離開。（P106）防火墻的體系結(jié)構(gòu)：雙重宿主主機體系結(jié)構(gòu)；屏蔽主機體系結(jié)構(gòu)；屏蔽子網(wǎng)體系結(jié)構(gòu)。防火墻的主要功能。（P142）：①優(yōu)良的性能 ②可擴展的結(jié)構(gòu)和功能 ③簡化的安裝與管理 ④主動過濾 ⑤防病毒與防黑客 ⑥發(fā)展聯(lián)動技術(shù)l 課后題：簡述防火墻的定義。：①IP數(shù)據(jù)包過濾功能 ②安全規(guī)則的修訂功能 ③對特定網(wǎng)絡攻擊數(shù)據(jù)包的攔截功能 ④應用程序網(wǎng)絡訪問控制功能 ⑤網(wǎng)絡快速切斷、恢復功能 ⑥日志記錄功能 ⑦網(wǎng)絡攻擊的報警功能 ⑧產(chǎn)品自身安全功能：優(yōu)點：①增加了保護級別，不需要額外的硬件資源；②除了可以抵擋外來攻擊的同時，還可以抵擋內(nèi)部的攻擊；③是對公共網(wǎng)絡中的單位系統(tǒng)提供了保護，能夠為用戶隱蔽暴露在網(wǎng)絡上的信息，比如IP地址之類的信息等。即是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡IP地址的技術(shù)。狀態(tài)檢測防火墻監(jiān)視和跟蹤每一個有效連接的狀態(tài)，并根據(jù)這些信息決定是否允許網(wǎng)絡數(shù)據(jù)包通過防火墻。（P119）：也稱為動態(tài)包過濾防火墻。：①代理易于配置 ②代理能生成各項記錄 ③代理能靈活、完全地控制進出流量、內(nèi)容 ④代理能過濾數(shù)據(jù)內(nèi)容 ⑤代理能為用戶提供透明的加密機制 ⑥代理可以方便地與其它安全手段集成。代理服務器在外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡的作用，所以又叫代理防火墻。（P116）：所謂代理服務器，是指代表客戶處理連接請求的程序。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號和協(xié)議狀態(tài)等因素或它們的組合，來確定是否允許該數(shù)據(jù)包通過。（P110）：工作在網(wǎng)絡層，通?；贗P數(shù)據(jù)包的源地址、目的地址、源端口和目的端口進行過濾。：雙重宿主主機體系結(jié)構(gòu)；屏蔽主機體系結(jié)構(gòu)；屏蔽子網(wǎng)體系結(jié)構(gòu)。（P76）第４章 防火墻技術(shù)：是位于被保護網(wǎng)絡和外部網(wǎng)絡之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡的不可預測的、潛在破壞性的侵擾。①認證機構(gòu)CA②證書庫③證書撤銷④密鑰備份和恢復⑤自動更新密鑰⑥密鑰歷史檔案⑦交叉認證⑧不可否認性⑨時間戳⑩客戶端軟件1通過學習，你認為密碼技術(shù)在網(wǎng)絡安全實踐中還有哪些應用領(lǐng)域？舉例說明。1簡述PKI的功能模塊組成。什么是PKI？其用途有哪些？（P83）PKI是一個用公鑰密碼算法原理和技術(shù)來提供安全服務的通用型基礎平臺，用戶可利用PKI平臺提供的安全服務進行安全通信。認證的目的是什么，試簡述其相互間的區(qū)別。②節(jié)點加密：指在信息傳輸路過的節(jié)點處進行解密和加密。試簡述解決網(wǎng)絡數(shù)據(jù)加密的三種方式。7X3=1 mod 20將n=33和e=3公開；m加密為 對m進行加密變換，E(m)=m~e mod n=cE(s)=18~3=24 mod 33E(t)=19~3=28 mod 33E(u)=20~3=14 mod 33E(d)=3~3=27 mod 33E(e)=4~3=31 mod 33E(n)=13~3=19 mod 33E(t)=19~3=28 mod 33c=E(m)=24 28 14 27 31 19 28 它對應的密文為c=y*o**t*c解密為 對c進行解密變換 D(c)=c~d mod n=(m~e mod n)~d mod n=m~ed mod n=m mod nD(y)=24~7=18 mod 33D(*)=28~7=19 mod 33D(O)=14~7=20 mod 33D(*)=27~7=03 mod 33D(*)=31~7=04 mod 33D(t)=19~7=13 mod 33D(*)=28~7=19 mod 33則還原明文為m=18 19 20 03 04 13 19 即studentRSA簽名方法與RSA加密方法對密鑰的使用有什么不同？（P74）RSA加密方法是在多個密鑰中選用一部分密鑰作為加密密鑰，另一些作為解密密鑰。產(chǎn)生兩個大素數(shù)，保密的則 計算n和φ(n) 保密的n=3X11φ(n)=(p1)(q1)=2X10選擇一個隨機數(shù)，要求0eφ(n),并且(e, φ(n))=1(e和φ互素)且通過計算得出d,de≡1 mod φ(n)(與n互素的數(shù)中選取與φ(n)互素的數(shù) 可通過Eucliden 算法得出?；ニ亍魞蓚€整數(shù)的最大公因數(shù)是1，則稱這兩個整數(shù)互質(zhì)（互素）。在本章RSA例子的基礎上，試給出m=student的加解密過程。密文應為：igkygxabcdefghijklmnopqrstuvwxyzDES加密過程有幾個基本步驟？試分析其安全性能?！?選擇凱撒（Caesar）密碼系統(tǒng)的密鑰k=6。試分析古典密碼對于構(gòu)造現(xiàn)代密碼有哪些啟示？（P64）古典密碼大都比較簡單，可用手工或機械操作實現(xiàn)加解密，雖然現(xiàn)在很少采用，但研究這些密碼算法的原理，對于理解、構(gòu)造和分析現(xiàn)代密碼是十分有益的。信息加密技術(shù)是利用密碼學的原理與方法對傳輸數(shù)據(jù)提供保護的手段，它以數(shù)學計算為基礎，信息論和復雜性理論是其兩個重要組成部分。如今，密碼技術(shù)不僅服務于信息的加密和解密，還是身份認證、訪問控制及數(shù)字簽名等多種安全機制的基礎。長期以來，密碼技術(shù)被廣泛應用于政治、經(jīng)濟、軍事、外交、情報等重要部門。l 課后題：簡述信息加密技術(shù)對于保障信息安全的重要作用。PKI特點：①節(jié)省費用 ②互操作性 ③開放性 ④一致的解決方案 ⑤可驗證性 ⑥可選擇性 PKI認證技術(shù)的組成：主要有認證機構(gòu)CA、證書庫、密鑰備份、證書作廢處理系統(tǒng)和PKI應用接口系統(tǒng)等。：PKI是一個用公鑰密碼算法原理和技術(shù)來提供安全服務的通用型基礎平臺，用戶可利用PKI平臺提供的安全服務進行安全通信。：消息認證可以幫助接收方驗證消息發(fā)送者的身份及消息是否被篡改。（要求）：①意定的接收者能夠檢驗和證實消息的合法性、真實性和完整性；②消息的發(fā)送者對所發(fā)的消息不能抵賴，有時也要求消息的接收者不能否認收到的消息；③除了合法的消息發(fā)送者外，其他人不能偽造發(fā)送消息。（P77圖）認證技術(shù)可以分為三個層次：安全管理協(xié)議、認證體制和密碼體制?，F(xiàn)代密碼按照使用密鑰方式不同，分為單鑰密碼體制和雙鑰密碼體制兩類。，共經(jīng)歷了古典密碼、對稱密鑰密碼（單鑰密碼體制）和公開密鑰密碼（雙鑰密碼體制）三個發(fā)展階段。最有名的雙鑰密碼體系是：1977年由Rivest，Shamir和Ad1eman人提出的RSA密碼體制。優(yōu)點：由于雙鑰密碼體制的加密和解密不同，可以公開加密密鑰，且僅需保密解密密鑰，所以密鑰管理問題比較簡單。兩個密鑰形成一個密鑰對，其中一個密鑰加密的結(jié)果，可以用另一個密鑰來解密。缺點是：1）密鑰分發(fā)過程十分復雜，所花代價高；2）多人通信時密鑰組合的數(shù)量會出現(xiàn)爆炸性膨脹，使分發(fā)更加復雜化；3）通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息；4）數(shù)字簽名困難。按照加密模式的差異，單鑰密碼體制有序列密碼和分組密碼兩種方式，它不僅可用于數(shù)據(jù)加密，還可用于消息認證。如果密鑰泄露，則此密碼系統(tǒng)便被攻破。：從原理上可分為兩大類：即單鑰或?qū)ΨQ密碼體制和雙鑰或非對稱密碼體制單鑰密碼體制與雙鑰密碼體制的區(qū)別：單鑰密碼體制的本質(zhì)特征是所用的加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，從一個可以推出另一個。一切可能的密鑰構(gòu)成的有限集稱為密鑰空間，通常用K表示。所有可能密文的有限集稱為密文空間，通常用C表示。所有可能明文的有限集稱為明文空間，通常用M或P來表示。在密碼學中，有一個五元組：明文，密文，密鑰，加密算法，解密算法，對應的加密方案稱為密碼體制。：古代加密方法、古典密碼和近代密碼。Ａ、Ｂ類安全機房要求，C類安全機房要求。簡述各類計算機機房對電源系統(tǒng)的要求。電磁防護層主要是通過上述種種措施，提高計算機的電磁兼容性，提高設備的抗干擾能力，使計算機能抵抗強電磁干擾，同時將計算機的電磁泄漏發(fā)射降到最低，使之不致將有用的信息泄漏出去。防護措施：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護，又分為兩種：一種是采用各種電磁屏蔽措施，第二種是干擾的防護措施。機器設備應有專用地線，機房本身有避雷設備和裝置。④防靜電措施：裝修材料避免使用掛毯、地毯等易吸塵，易產(chǎn)生靜電的材料，應采用乙烯材料，安裝防靜電地板并將設備接地。措施：早期采取增加質(zhì)量和膠粘的防盜措施，后國外發(fā)明了一種通過光纖電纜保護重要設備的方法，一種更方便的措施類似于超市的防盜系統(tǒng)，視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設備，能對計算機網(wǎng)絡系統(tǒng)的外圍環(huán)境、操作環(huán)境進行實時的全程監(jiān)控。措施：保證所有進出計算機機房的人都必須在管理人員的監(jiān)控之下，外來人員進入機房，要辦理相關(guān)手續(xù)，并檢查隨身物品。A類機房 要求內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災報警和消防設施、防水、防靜電、防雷擊、防鼠害；對防火、場地選擇、防電磁泄漏有要求。B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。④電源安全防電源供應、輸電線路安全、電源穩(wěn)定性。②通信線路安全 線路防竊聽技術(shù)。物理安全在整個計算機網(wǎng)絡信息系統(tǒng)安全中占有重要地位，也是其它安全措施得以實施并發(fā)揮正常作用的基礎和前提條件。物理安全是整個計算機網(wǎng)絡系統(tǒng)安全的前提。：①脈動與噪聲 ②電磁干擾（P53），供電方式分為三類：①一類供電：需建立不間斷供電系統(tǒng)②二類供電：需建立帶備用的供電系統(tǒng)③三類供電：按一般用戶供電考慮。：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護，又分為兩種：一種是采用各種電磁屏蔽措施，第二種是干擾的防護措施。機器設備應有專用地線，機房本身有避雷設備和裝置。④防靜電措施：裝修材料避免使用掛毯、地毯等易吸塵，易產(chǎn)生靜電的材料，應采用乙烯材料，安裝防靜電地板并將設備接地。措施：早期采取增加質(zhì)量和膠粘的防盜措施，后國外發(fā)明了一種通過光纖電纜保護重要設備的方法，一種更方便的措施類似于超市的防盜系統(tǒng)，視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設備，能對計算機網(wǎng)絡系統(tǒng)的外圍環(huán)境、操作環(huán)境進行實時的全程監(jiān)控。措施：保證所有進出計算機機房的人都必須在管理人員的監(jiān)控之下，外來人員進入機房，要辦理相關(guān)手續(xù)，并檢查隨身物品。A類機房 要求內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災報警和消防設施、防水、防靜電、防雷擊、防鼠害；對防火、場地選擇、防電磁泄漏有要求。B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。④電源安全 防電源供應、輸電線路安全、電源穩(wěn)定性。②通信