計算機網路過濾的概念

㈠ 網路工程師的培訓課程有哪些

網路工程師培訓介紹：現在就業壓力是比較大的，在社會依靠的不只是一張文聘更重要的是自己的能力，因此有許多的人會通過自學或者專業的學習掌握一種適應於社會的技術。目前國內網路工程師技術人才是比較緊缺的，許多的人想要考取網路工程師認證可以拿到不錯的薪資待遇。在合肥寶德通過專業的學習，學習到最近的網路工程培訓課程獲得證書，給以後更加穩定的工作與發展前景，如果你對於網路工程師想要咨詢的問題可以在www.hfbaode.com進行在線咨詢，我們會為你詳細解答你的疑問。以下是網路工程師的培訓課程依據科目分別的：

一、HCNA-R&S（HCDA）
定位：HCNA-R&S（HCDA）定位於企業網路技術領域具備初級知識和技能水平的專業人士。側重於對初級企業網路技術的考察和認證。具備HCNA-R&S（HCDA）證書的工程師是公認的具備中小型企業網路通用技術和基本設計能力的專業人士。
優勢：1.理論和應用緊密結合；2.高含金量的認證；3.業界唯一的符合ICT融合趨勢的認證
價值：1.具備企業網路工程師水平，能夠勝任中小型企業網路工程師崗位。2.證明您對中小型企業網路有初步的了解，了解中小型網路的通用技術，並且具備協助設計中小型網路以及使用華為網路設備實施設計的能力。3.擁有HCNA-R&S（HCDA）認證的工程師，以為著企業有能力使用華為網路設備搭建基本的中小型路由交換網路，以支撐基本的語音、無線、雲、安全和存儲集成等網路應用，滿足企業對網路的使用需求。
HCNA_R&S能力目標：1、能夠運用IP路由技術、交換技術、網路安全等基礎知識對IP網路進。行基本的操作和維護；2、能夠運用華為路由器、交換機以及防火牆產品構建簡單小型IP網路；3、能夠遵循通信行業流程規范正確操作網路設備。

培訓課程如下：

第1章 簡單的IP網路介紹：IP網路基本概念介紹，包括傳輸介質介紹；IP地址；ICMP 與ARP協議介紹；傳輸層協議介紹；數據轉發過程的詳細介紹。第2章 VRP的操作指導：VRP基礎介紹；VRP的命令行操作基礎；文件系統基礎及VRP系統管理介紹。第3章 交換網路的基礎：交換網路基本概念介紹；STP原理與配置；RSTP原理與配置介紹。第4章 網路間的互聯 gIP路由基礎；靜態路由基礎；距離矢量路由協議-RIP原理及配置；鏈路狀態路由協議-OSPF原理及配置。第5章 網路應用的實現 DHCP原理與配置；FTP原理與配置；Telnet原理與配置。第6章 提升企業網路的效率與可靠性 鏈路聚合技術介紹；VLAN原理和配置；GARP和GVRP；VLAN間路由；WLAN概述。第7章 豐富企業網路間的互聯方式 HDLC和PPP原理與配置；幀中繼原理與配置;PPPoE原理與配置；網路地址轉換；企業無線解決方案。第8章 增強企業網路的安全性 訪問控制列表介紹；AAA技術介紹;IPsec VPN原理與配置；GRE原理與配置。第9章 優化企業網路的可管理性 SNMP原理與配置;E-Sight簡介。第10章 遷移企業網路至IPv6 Pv6基礎介紹；IPv6路由基礎;DHCPv6原理與配置。第11章 使用eNSP搭建基礎網路 實驗1-1： 搭建基礎IP網路。第12章 設備基礎配置 實驗2-1 設備基礎配置。第13章 STP和RSTP 實驗3-1:配置STP；實驗3-2:配置RSTP。第14章 路由配置 實驗4-1：配置靜態路由和預設路由；實驗4-2：配置RIPv1和RIPv2；實驗4-3: RIPv2路由匯總和認證；實驗4-4: OSPF單區域配置。第15章 FTP和DHCP 實驗5-1：配置FTP業務；實驗5-2：配置DHCP。第16章 乙太網與VLAN 實驗6-1：乙太網介面和鏈路配置；實驗6-2：VLAN配置；實驗6-3：GVRP配置；實驗6-4: VLAN間路由；實驗6-5: 配置三層交換機。第17章 企業廣域網路配置 實驗7-1: HDLC和PPP配置；實驗7-2：幀中繼配置；實驗7-3: 配置PPPoE客戶端。第18章 IP安全配置 實驗8-1: 配置ACL過濾企業數據；實驗8-2: NAT的配置；實驗8-3: 本地AAA配置；實驗8-4: IPsec VPN配置；實驗8-5: GRE隧道配置。第19章 企業網路管理 實驗9-1: 通過SNMP協議進行網路管理。第19章 企業網路管理 實驗9-1: 通過SNMP協議進行網路管理。

二、HCNA-Security

定位：HCNA-Security定位於在網路安全技術領域，熟悉網路安全的基礎知識，並具備網路安全設備組網經驗和技能的專業人士。側重於防火牆與終端安全技術考察和認證，具備HCNA-Security證書的工程師是公認的具備防火牆的基本規劃和安裝部署能力和TSM產品基本操作與部署能力的專業人士。
優勢：1.關注網路安全的基礎知識，拓展您在網路安全領域的視野；2.不僅關注防火牆基礎知識、技術原理以及包過濾、NAT等基本應用，而且假如SSL VPN，IPSec VPN，用戶接入認證等重要應用，幫助您快速掌握關鍵玩了過安全技術，並應用在實際工作中；3.關注內網安全，終端安全知識，幫助您實現桌面終端層面的安全規劃和設計。
價值：1.具備網路安全工程師水平，能夠勝任網路安全工程師或系統管理員崗位；2.具備網路安全規劃和設計能力，實現防火牆的安全部署；3.掌握網路安全設備的技術，完成網路安全設備的安裝、運維管理工作；4.掌握終端安全體系基礎知識，具備終端安全體系規劃和設計能力，完成終端安全體系部署考試科目。

希望以上對於華為各個認證定位、價值、優勢以及培訓科目的介紹，對你是幫助的！

㈡ 什麼能夠監測並過濾計算機網路中內網和外網之間交換的所有信息

多種方法。
1、給出口的埠做鏡像，在鏡像口把信息全部記錄
2、利用日誌伺服器，記錄所有內外連接。

㈢ 簡述計算機網路安全技術中「防火牆」（firewall）的基本功能及技術分類。

一 防火牆基本原理

首先，我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾，和狀態檢測的包過濾，應用層代理防火牆。但是他們的基本實現都是類似的。

│ │---路由器-----網卡│防火牆│網卡│----------內部網路│ │

防火牆一般有兩個以上的網路卡，一個連到外部（router)，另一個是連到內部網路。當打開主機網路轉發功能時，兩個網卡間的網路通訊能直接通過。當有防火牆時，他好比插在網卡之間，對所有的網路通訊進行控制。

說到訪問控制，這是防火牆的核心了：），防火牆主要通過一個訪問控製表來判斷的，他的形式一般是一連串的如下規則：

1 accept from+ 源地址，埠 to+ 目的地址，埠+ 採取的動作

2 deny ...........（deny就是拒絕。。)

3 nat ............(nat是地址轉換。後面說）

防火牆在網路層（包括以下的煉路層）接受到網路數據包後，就從上面的規則連表一條一條地匹配，如果符合就執行預先安排的動作了！如丟棄包。。。。

但是，不同的防火牆，在判斷攻擊行為時，有實現上的差別。下面結合實現原理說說可能的攻擊。

二 攻擊包過濾防火牆

包過濾防火牆是最簡單的一種了，它在網路層截獲網路數據包，根據防火牆的規則表，來檢測攻擊行為。他根據數據包的源IP地址；目的IP地址；TCP/UDP源埠；TCP/UDP目的埠來過濾！！很容易受到如下攻擊：

1 ip 欺騙攻擊：

這種攻擊，主要是修改數據包的源，目的地址和埠，模仿一些合法的數據包來騙過防火牆的檢測。如：外部攻擊者，將他的數據報源地址改為內部網路地址，防火牆看到是合法地址就放行了：）。可是，如果防火牆能結合介面，地址來匹配，這種攻擊就不能成功了：（

2 d.o.s拒絕服務攻擊

簡單的包過濾防火牆不能跟蹤 tcp的狀態，很容易受到拒絕服務攻擊，一旦防火牆受到d.o.s攻擊，他可能會忙於處理，而忘記了他自己的過濾功能。：）你就可以饒過了，不過這樣攻擊還很少的。！

3 分片攻擊

這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移欄位標志分片包的順序，但是，只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時，防火牆只根據第一個分片包的Tcp信息判斷是否允許通過，而其他後續的分片不作防火牆檢測，直接讓它們通過。

這樣，攻擊者就可以通過先發送第一個合法的IP分片，騙過防火牆的檢測，接著封裝了惡意數據的後續分片包就可以直接穿透防火牆，直接到達內部網路主機，從而威脅網路和主機的安全。

4 木馬攻擊

對於包過濾防火牆最有效的攻擊就是木馬了，一但你在內部網路安裝了木馬，防火牆基本上是無能為力的。

原因是：包過濾防火牆一般只過濾低埠（1-1024），而高埠他不可能過濾的（因為，一些服務要用到高埠，因此防火牆不能關閉高埠的），所以很多的木馬都在高埠打開等待，如冰河，subseven等。。。
但是木馬攻擊的前提是必須先上傳，運行木馬，對於簡單的包過濾防火牆來說，是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。

早期的防火牆都是這種簡單的包過濾型的，到現在已很少了，不過也有。現在的包過濾採用的是狀態檢測技術，下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的，在國內的許多防火牆都聲稱實現了狀態檢測技術。

可是：）很多是沒有實現的。到底什麼是狀態檢測？

一句話，狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。

原先的包過濾，是拿一個一個單獨的數據包來匹配規則的。可是我們知道，同一個tcp連接，他的數據包是前後關聯的，先是syn包，-》數據包=》fin包。數據包的前後序列號是相關的。

如果割裂這些關系，單獨的過濾數據包，很容易被精心夠造的攻擊數據包欺騙！！！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來探測防火牆後面的網路。！

相反，一個完全的狀態檢測防火牆，他在發起連接就判斷，如果符合規則，就在內存登記了這個連接的狀態信息（地址，port，選項。。）,後續的屬於同一個連接的數據包，就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息，都被丟棄了。這樣這些攻擊數據包，就不能饒過防火牆了。

說狀態檢測必須提到動態規則技術。在狀態檢測里，採用動態規則技術，原先高埠的問題就可以解決了。實現原理是：平時，防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點，可是為了不影響正常的服務，防火牆一但檢測到服務必須開放高埠時，如（ftp協議，irc等），防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後，這條規則就又被防火牆刪除。這樣，既保障了安全，又不影響正常服務，速度也快。！
一般來說，完全實現了狀態檢測技術防火牆，智能性都比較高，一些掃描攻擊還能自動的反應，因此，攻擊者要很小心才不會被發現。

但是，也有不少的攻擊手段對付這種防火牆的。

㈣ 網路安全涉及哪幾個方面.

網路安全主要有系統安全、網路的安全、信息傳播安全、信息內容安全。具體如下：

1、系統安全

運行系統安全即保證信息處理和傳輸系統的安全，側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻，產生信息泄露，干擾他人或受他人干擾。

2、網路的安全

網路上系統信息的安全，包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。

3、信息傳播安全

網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上大雲自由傳翰的信息失控。

4、信息內容安全

網路上信息內容的安全側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。

(4)計算機網路過濾的概念擴展閱讀：

維護網路安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。

1、Internet防火牆

它能增強機構內部網路的安全性。Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時，內部網路上的每個節點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定，並且安全性等同於其中最弱的系統。

2、VIEID

在這個網路生態系統內，每個網路用戶都可以相互信任彼此的身份，網路用戶也可以自主選擇是否擁有電子標識。除了能夠增加網路安全，電子標識還可以讓網路用戶通過創建和應用更多可信的虛擬身份，讓網路用戶少記甚至完全不用去記那些煩人的密碼。

3、數字證書

CA中心採用的是以數字加密技術為核心的數字證書認證技術，通過數字證書，CA中心可以對互聯網上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理，同時也能保障在數字傳輸的過程中不被不法分子所侵入，或者即使受到侵入也無法查看其中的內容。

㈤ 防火牆與殺毒軟體的事實防護有區別嗎

在計算機的安全防護中，我們經常要用到殺毒軟體和防火牆，而這兩者在計算機安全防護中所起到的作用也是不同的。

1.防火牆是位於計算機和它所連接的網路之間的軟體，安裝了防火牆的計算機流入流出的所有網路通信均要經過此防火牆。使用防火牆是保障網路安全的第一步，選擇一款合適的防火牆，是保護信息安全不可或缺的一道屏障。

2.因為殺毒軟體和防火牆軟體本身定位不同，所以在安裝反病毒軟體之後，還不能阻止黑客攻擊，用戶需要再安裝防火牆類軟體來保護系統安全。

3.殺毒軟體主要用來防病毒，防火牆軟體用來防黑客攻擊。

4.病毒為可執行代碼，黑客攻擊為數據包形式。

5.病毒通常自動執行，黑客攻擊是被動的。

6.病毒主要利用系統功能，黑客更注重系統漏洞。

7.當遇到黑客攻擊時反病毒軟體無法對系統進行保護。

8.對於初級用戶，可以選擇使用防火牆軟體配置好的安全級別。

9.防火牆軟體需要對具體應用進行規格配置。

10.防火牆不處理病毒。

不管是Funlove病毒也好，還是CIH也好,在內部網路用戶下載外網的帶毒文件的時候，防火牆是不為所動的（這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能，雖然它們不少都叫「病毒防火牆」）。

看到這里，或許您原本心目中的防火牆已經被我拉下了神台。是的，防火牆是網路安全的重要一環，但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識，而非技術!」請牢記這句話。

不管怎麼樣，防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時，除了物理上的隔離和目前新近提出的網閘概念外，首要的選擇絕對是防火牆。

最後，要說的依然是那句「世界上沒有一種技術能真正保證絕對地安全。」安全問題，是從設備到人，從伺服器上的每個服務程序到防火牆、IDS等安全產品的綜合問題；任何一個環節工作，只是邁向安全的步驟。

附錄：

防火牆能夠作到些什麼？

1.包過濾

具備包過濾的就是防火牆？對，沒錯！根據對防火牆的定義，凡是能有效阻止網路非法連接的方式，都算防火牆。早期的防火牆一般就是利用設置的條件，監測通過的包的特徵來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出，但是包過濾依然是非常重要的一環，如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾，防火牆可以實現阻擋攻擊，禁止外部/內部訪問某些站點，限制每個ip的流量和連接數。

2.包的透明轉發

事實上，由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息，都需要經過防火牆的轉發,因此，很多防火牆具備網關的能力。

3.阻擋外部攻擊

如果用戶發送的信息是防火牆設置所不允許的，防火牆會立即將其阻斷，避免其進入防火牆之後的伺服器中。

4.記錄攻擊

如果有必要，其實防火牆是完全可以將攻擊行為都記錄下來的，但是由於出於效率上的考慮，目前一般記錄攻擊的事情都交給IDS（入侵檢測系統）來完成了。

以上是所有防火牆都具備的基本特性，雖然很簡單，但防火牆技術就是在此基礎上逐步發展起來的。

㈥ 計算機網路安全技術試題

《計算機網路安全》試卷
1. 非法接收者在截獲密文後試圖從中分析出明文的過程稱為（ A ） A. 破譯 B. 解密 C. 加密 D. 攻擊
2. 以下有關軟體加密和硬體加密的比較，不正確的是（ B ） A. 硬體加密對用戶是透明的，而軟體加密需要在操作系統或軟體中寫入加密程序 B. 硬體加密的兼容性比軟體加密好 C. 硬體加密的安全性比軟體加密好 D. 硬體加密的速度比軟體加密快
3. 下面有關3DES的數學描述，正確的是（ B ） A. C=E(E(E(P, K1), K1), K1) B. C=E(D(E(P, K1), K2), K1) C. C=E(D(E(P, K1), K1), K1) D. C=D(E(D(P, K1), K2), K1)
4. PKI無法實現（ D ） A. 身份認證 B. 數據的完整性 C. 數據的機密性 D. 許可權分配
5. CA的主要功能為（ D ） A. 確認用戶的身份 B. 為用戶提供證書的申請、下載、查詢、注銷和恢復等操作 C. 定義了密碼系統的使用方法和原則 D. 負責發放和管理數字證書
6. 數字證書不包含（ B ） A. 頒發機構的名稱 B. 證書持有者的私有密鑰信息 C. 證書的有效期 D. CA簽發證書時所使用的簽名演算法
7. 「在網際網路上沒有人知道對方是一個人還是一條狗」這個故事最能說明（ A ） A. 身份認證的重要性和迫切性 B. 網路上所有的活動都是不可見的 C. 網路應用中存在不嚴肅性 D. 計算機網路是一個虛擬的世界
8. 以下認證方式中，最為安全的是（ D ） A. 用戶名+密碼 B. 卡+密鑰 C. 用戶名+密碼+驗證碼 D. 卡+指紋
9. 將通過在別人丟棄的廢舊硬碟、U盤等介質中獲取他人有用信息的行為稱為（ D ） A. 社會工程學 B. 搭線竊聽 C. 窺探 D. 垃圾搜索
10. ARP欺騙的實質是（ A ） A. 提供虛擬的MAC與IP地址的組合 B. 讓其他計算機知道自己的存在 C. 竊取用戶在網路中傳輸的數據 D. 擾亂網路的正常運行
11. TCP SYN泛洪攻擊的原理是利用了（ A ） A. TCP三次握手過程 B. TCP面向流的工作機制 C. TCP數據傳輸中的窗口技術 D. TCP連接終止時的FIN報文
12. DNSSEC中並未採用（C ）
A. 數字簽名技術 B. 公鑰加密技術 C. 地址綁定技術 D. 報文摘要技術
13. 當計算機上發現病毒時，最徹底的清除方法為（ A ） A. 格式化硬碟 B. 用防病毒軟體清除病毒 C. 刪除感染病毒的文件 D. 刪除磁碟上所有的文件
14. 木馬與病毒的最大區別是（ B ） A. 木馬不破壞文件，而病毒會破壞文件 B. 木馬無法自我復制，而病毒能夠自我復制 C. 木馬無法使數據丟失，而病毒會使數據丟失 D. 木馬不具有潛伏性，而病毒具有潛伏性
15. 經常與黑客軟體配合使用的是（ C ） A. 病毒 B. 蠕蟲 C. 木馬 D. 間諜軟體
16. 目前使用的防殺病毒軟體的作用是（C ） A. 檢查計算機是否感染病毒，並消除已感染的任何病毒 B. 杜絕病毒對計算機的侵害 C. 檢查計算機是否感染病毒，並清除部分已感染的病毒 D. 查出已感染的任何病毒，清除部分已感染的病毒
17. 死亡之ping屬於（ B ） A. 冒充攻擊 B. 拒絕服務攻擊 C. 重放攻擊 D. 篡改攻擊
18. 淚滴使用了IP數據報中的（ A ） A. 段位移欄位的功能 B. 協議欄位的功能 C. 標識欄位的功能 D. 生存期欄位的功能
19. ICMP泛洪利用了（ C ） A. ARP命令的功能 B. tracert命令的功能 C. ping命令的功能 D. route命令的功能
20. 將利用虛假IP地址進行ICMP報文傳輸的攻擊方法稱為（ D ） A. ICMP泛洪 B. LAND攻擊 C. 死亡之ping D. Smurf攻擊
21. 以下哪一種方法無法防範口令攻擊（ A ） A. 啟用防火牆功能 B. 設置復雜的系統認證口令 C. 關閉不需要的網路服務 D. 修改系統默認的認證名稱
22． 以下設備和系統中，不可能集成防火牆功能的是（ A ） A.集線器 B. 交換機 C. 路由器 D. Windows Server 2003操作系統
23. 對「防火牆本身是免疫的」這句話的正確理解是（ B ） A. 防火牆本身是不會死機的 B. 防火牆本身具有抗攻擊能力 C. 防火牆本身具有對計算機病毒的免疫力 D. 防火牆本身具有清除計算機病毒的能力
24. 以下關於傳統防火牆的描述，不正確的是（A ） A. 即可防內，也可防外 B. 存在結構限制，無法適應當前有線網路和無線網路並存的需要 C. 工作效率較低，如果硬體配置較低或參數配置不當，防火牆將成形成網路瓶頸 D. 容易出現單點故障
25. 下面對於個人防火牆的描述，不正確的是（ C ） A. 個人防火牆是為防護接入互聯網的單機操作系統而出現的 B. 個人防火牆的功能與企業級防火牆類似，而配置和管理相對簡單 C. 所有的單機殺病毒軟體都具有個人防火牆的功能 D. 為了滿足非專業用戶的使用，個人防火牆的配置方法相對簡單
26.VPN的應用特點主要表現在兩個方面，分別是（ A ） A. 應用成本低廉和使用安全 B. 便於實現和管理方便 C. 資源豐富和使用便捷 D. 高速和安全
27. 如果要實現用戶在家中隨時訪問單位內部的數字資源，可以通過以下哪一種方式實現（ C ） A. 外聯網VPN B. 內聯網VPN C. 遠程接入VPN D. 專線接入
28. 在以下隧道協議中，屬於三層隧道協議的是（ D ） A. L2F B. PPTP C. L2TP D. IPSec
29.以下哪一種方法中，無法防範蠕蟲的入侵。（B ） A. 及時安裝操作系統和應用軟體補丁程序 B. 將可疑郵件的附件下載等文件夾中，然後再雙擊打開 C. 設置文件夾選項，顯示文件名的擴展名 D. 不要打開擴展名為VBS、SHS、PIF等郵件附件
30. 以下哪一種現象，一般不可能是中木馬後引起的（ B ） A. 計算機的反應速度下降，計算機自動被關機或是重啟 B. 計算機啟動時速度變慢，硬碟不斷發出「咯吱，咯吱」的聲音 C. 在沒有操作計算機時，而硬碟燈卻閃個不停 D. 在瀏覽網頁時網頁會自動關閉，軟碟機或光碟機會在無盤的情況下讀個不停
31.下面有關DES的描述，不正確的是 （A） A. 是由IBM、Sun等公司共同提出的 B. 其結構完全遵循Feistel密碼結構 C. 其演算法是完全公開的 D. 是目前應用最為廣泛的一種分組密碼演算法
32． 「信息安全」中的「信息」是指 （A） A、以電子形式存在的數據 B、計算機網路 C、信息本身、信息處理過程、信息處理設施和信息處理都 D、軟硬體平台
33. 下面不屬於身份認證方法的是 （A ） A. 口令認證 B. 智能卡認證 C. 姓名認證 D. 指紋認證
34. 數字證書不包含 （ B） A. 頒發機構的名稱 B. 證書持有者的私有密鑰信息 C. 證書的有效期 D. CA簽發證書時所使用的簽名演算法
35. 套接字層（Socket Layer）位於 （B ） A. 網路層與傳輸層之間 B. 傳輸層與應用層之間 C. 應用層 D. 傳輸層
36. 下面有關SSL的描述，不正確的是
A. 目前大部分Web瀏覽器都內置了SSL協議 B. SSL協議分為SSL握手協議和SSL記錄協議兩部分 C. SSL協議中的數據壓縮功能是可選的 D. TLS在功能和結構上與SSL完全相同
37. 在基於IEEE 802.1x與Radius組成的認證系統中，Radius伺服器的功能不包括（ D ） A. 驗證用戶身份的合法性 B. 授權用戶訪問網路資源 C. 對用戶進行審計 D. 對客戶端的MAC地址進行綁定
38. 在生物特徵認證中，不適宜於作為認證特徵的是（ D ） A. 指紋 B. 虹膜 C. 臉像 D. 體重
39. 防止重放攻擊最有效的方法是（B ） A. 對用戶賬戶和密碼進行加密 B. 使用「一次一密」加密方式 C. 經常修改用戶賬戶名稱和密碼 D. 使用復雜的賬戶名稱和密碼
40. 計算機病毒的危害性表現在（ B） A. 能造成計算機部分配置永久性失效 B. 影響程序的執行或破壞用戶數據與程序 C. 不影響計算機的運行速度 D. 不影響計算機的運算結果
41. 下面有關計算機病毒的說法，描述不正確的是（ B ） A. 計算機病毒是一個MIS程序 B. 計算機病毒是對人體有害的傳染性疾病 C. 計算機病毒是一個能夠通過自身傳染，起破壞作用的計算機程序 D. 計算機病毒是一段程序，只會影響計算機系統，但不會影響計算機網路
42 計算機病毒具有（ A ） A. 傳播性、潛伏性、破壞性 B. 傳播性、破壞性、易讀性 C. 潛伏性、破壞性、易讀性 D. 傳播性、潛伏性、安全性
43. 目前使用的防殺病毒軟體的作用是（ C ） A. 檢查計算機是否感染病毒，並消除已感染的任何病毒 B. 杜絕病毒對計算機的侵害 C. 檢查計算機是否感染病毒，並清除部分已感染的病毒 D. 查出已感染的任何病毒，清除部分已感染的病毒
44 在DDoS攻擊中，通過非法入侵並被控制，但並不向被攻擊者直接發起攻擊的計算機稱為（ B ） A. 攻擊者 B. 主控端 C. 代理伺服器 D. 被攻擊者
45. 對利用軟體缺陷進行的網路攻擊，最有效的防範方法是（ A ） A. 及時更新補丁程序 B. 安裝防病毒軟體並及時更新病毒庫 C. 安裝防火牆 D. 安裝漏洞掃描軟體
46. 在IDS中，將收集到的信息與資料庫中已有的記錄進行比較，從而發現違背安全策略的行為，這類操作方法稱為（A ） A. 模式匹配 B. 統計分析 C. 完整性分析 D. 不確定
47. IPS能夠實時檢查和阻止入侵的原理在於IPS擁有眾多的（ C ） A. 主機感測器 B. 網路感測器 C. 過濾器 D. 管理控制台 （D ）

㈦ 電腦mac過濾啥意思

MAC地址過濾：指的是禁止（允許）MAC地址列表中的電腦上網，也就是在路由器上通過MAC地址來控制區域網中的計算機的上網請求。

㈧ 求一篇計算機網路的論文

計算機網路安全 緒論隨著互聯網的飛速發展，網路安全逐漸成為一個潛在的巨大問題。網路安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由於有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網路安全不僅僅是使它沒有編程錯誤。它包括要防範那些聰明的，通常也是狡猾的、專業的，並且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣於作案的老手來說，收效甚微。
網路安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網路安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。2 方案目標本方案主要從網路層次考慮，將網路系統設計成一個支持各級別用戶或用戶群的安全網路，該網在保證系統內部網路安全的同時，還實現與Internet或國內其它網路的安全互連。本方案在保證網路安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業客戶的計算機系統的安全保障，資料庫不被非法訪問和破壞，系統不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是，安全技術並不能杜絕所有的對網路的侵擾和破壞，它的作用僅在於最大限度地防範，以及在受到侵擾的破壞後將損失盡旦降低。具體地說，網路安全技術主要作用有以下幾點：
1．採用多層防衛手段，將受到侵擾和破壞的概率降到最低；
2．提供迅速檢測非法使用和非法初始進入點的手段，核查跟蹤侵入者的活動；
3．提供恢復被破壞的數據和系統的手段，盡量降低損失；
4．提供查獲侵入者的手段。
網路安全技術是實現安全管理的基礎，近年來，網路安全技術得到了迅猛發展，已經產生了十分豐富的理論和實際內容。3 安全需求通過對網路系統的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網路系統的機密性、完整性、可用性、可控性與可審查性。即，
可用性： 授權實體有權訪問數據
機密性： 信息不暴露給未授權實體或進程
完整性： 保證數據不被未授權修改
可控性： 控制授權范圍內的信息流向及操作方式
可審查性：對出現的安全問題提供依據與手段
訪問控制：需要由防火牆將內部網路與外部不可信任的網路隔離，對與外部網路交換數據的內部網路及其主機、所交換的數據進行嚴格的訪問控制。同樣，對內部網路，由於不同的應用業務以及不同的安全級別，也需要使用防火牆將不同的LAN或網段進行隔離，並實現相互的訪問控制。
數據加密：數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計： 是識別與防止網路攻擊行為、追查網路泄密行為的重要措施之一。具體包括兩方面的內容，一是採用網路監控與入侵防範系統，識別網路各種違規操作與攻擊行為，即時響應（如報警）並進行阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏4 風險分析網路安全是網路正常運行的前提。網路安全不單是單點的安全，而是整個信息網的安全，需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網路的中斷。根據國內網路系統的網路結構和應用情況，應當從網路安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網路安全技術需要提供的一個重要功能。它要連續不斷地對網路中的消息和事件進行檢測，對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。5 解決方案5.1 設計原則
針對網路系統實際情況，解決網路的安全保密問題是當務之急，考慮技術難度及經費等因素，設計時應遵循如下思想：
1．大幅度地提高系統的安全性和保密性；
2．保持網路原有的性能特點，即對網路的協議和傳輸具有很好的透明性；
3．易於操作、維護，並便於自動化管理，而不增加或少增加附加操作；
4．盡量不影響原網路拓撲結構，同時便於系統及系統功能的擴展；
5．安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；
6．安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證；
7．分步實施原則：分級管理 分步實施。
5.2 安全策略
針對上述分析，我們採取以下安全策略：
1．採用漏洞掃描技術，對重要網路設備進行風險評估，保證信息系統盡量在最優的狀況下運行。
2．採用各種安全技術，構築防禦系統，主要有：
(1) 防火牆技術：在網路的對外介面，採用防火牆技術，在網路層進行訪問控制。
(2) NAT技術：隱藏內部網路信息。
(3) VPN：虛擬專用網(VPN)是企業網在網際網路等公共網路上的延伸,通過一個私有的通道在公共網路上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務夥伴等與公司的企業網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網路的存在，彷彿所有的機器都處於一個網路之中。公共網路似乎只由本網路在獨占使用，而事實上並非如此。
(4）網路加密技術(Ipsec) ：採用網路加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網路在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。
(5) 認證：提供基於身份的認證，並在各種認證機制中可選擇使用。
(6) 多層次多級別的企業級的防病毒系統：採用多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。
(7）網路的實時監測：採用入侵檢測系統，對主機和網路進行監測和預警，進一步提高網路防禦外來攻擊的能力。
3．實時響應與恢復：制定和完善安全管理制度，提高對網路攻擊等實時響應與恢復能力。
4．建立分層管理和各級安全管理中心。
5.3 防禦系統
我們採用防火牆技術、NAT技術、VPN技術、網路加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術，構成網路安全的防禦系統。
5.3.1 物理安全
物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網路系統的物理安全，還要防止系統信息在空間的擴散。通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。
為保證網路的正常運行，在物理安全方面應採取如下措施：
1．產品保障方面：主要指產品采購、運輸、安裝等方面的安全措施。
2．運行安全方面：網路中的設備，特別是安全類產品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統，應設置備份系統。
3．防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。
4．保安方面：主要是防盜、防火等，還包括網路系統所有網路設備、計算機、安全設備的安全防護。
5.3.2 防火牆技術
防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網路的許可權,並迫使所有的連接都經過這樣的檢查,防止一個需要保護的網路遭外界因素的干擾和破壞。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet之間地任何活動，保證了內部網路地安全；在物理實現上，防火牆是位於網路特殊位置地以組硬體設備――路由器、計算機或其他特製地硬體設備。防火牆可以是獨立地系統，也可以在一個進行網路互連地路由器上實現防火牆。用防火牆來實現網路安全必須考慮防火牆的網路拓撲結構：
（1）屏蔽路由器：又稱包過濾防火牆。
（2）雙穴主機：雙穴主機是包過濾網關的一種替代。
（3）主機過濾結構：這種結構實際上是包過濾和代理的結合。
（4）屏蔽子網結構：這種防火牆是雙穴主機和被屏蔽主機的變形。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。
5.3.2.1 包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。 包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
5.3.2.2 網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。在內部網路通過安全網卡訪問外部網路時，將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠，讓這個偽裝的地址和埠通過非安全網卡與外部網路連接，這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時，它並不知道內部網路的連接情況，而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火牆認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火牆認為該訪問是不安全的，不能被接受，防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。
5.3.2.3 代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。 代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
以上回答來自: http://www.lwtxw.com/html/96-3/3486.htm
求採納為滿意回答。