[计算机类试卷]软件水平考试中级软件设计师上午基础知识（信息安全）模拟试卷1及答案与解析.doc

资源描述

1、软件水平考试中级软件设计师上午基础知识（信息安全）模拟试卷 1及答案与解析 1 以下加密算法中， ( )不属于对称加密。（ A） DES （ B） 3DES （ C） RSA （ D） IDEA 2 一些关于加密算法的描述中，错误的是 ( )。（ A）对称加密又称为私钥加密，加密效率相对较高（ B）对称加密又称为公钥加密，加密效率相对较高（ C）对称加密算法的加密和解密使用相同的密钥（ D）实际应用中，一般是对称与非对称加密算法结合使用 3 在数字信封技术中，发送方首先选择一个对称密钥并利用对称密钥加密技术对要发送的信息进行加密，然后再利用公开密钥加密技术并 ( )。（ A）使用

2、发送方自身的公钥对生成的对称密钥加密（ B）使用发送方自身的私钥对生成的对称密钥加密（ C）使用接收方的公钥对生成的对称密钥加密（ D）使用接收方的私钥对生成的对称密钥加密 4 甲收到一份来自乙的电子订单后，将订单中的货物送达乙时，乙否认自己发送过这份订单。为了防范这类争议，需要采用的关键技术是 ( )。（ A）数字签名（ B）防火墙（ C）防病毒（ D）身份认证 5 某电子商务网站向 CA申请了数字证书，用户通过 ( )来验证该网站的真伪。（ A） CA的签名（ B）证书中的公钥（ C）网站的私钥（ D）用户的公钥 6 信息摘要算法。 SHA和 MD5产生的摘要位数分

3、别是 ( )。（ A） 64和 128 （ B） 128和 160 （ C） 160和 128 （ D） 160和 64 7 A和 B要进行通信， A对发送的信息附加了数字签名， B收到信息后利用 ( )验证该信息的真实性。（ A） A的公钥（ B） A的私钥（ C） B的公钥（ D） B的私钥 8 下列安全协议中， ( )协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。（ A） PGP （ B） SSL （ C） SET （ D） TLS 9 下面描述中，不属于 SSL协议提供的服务的是 ( )。（ A）用户和服务器的合法性认证（ B）加密数据以隐藏被传送的数据

4、（ C）保护数据的完整性（ D）保证数据传输路径的最优 10 在 Windows系统中，默认权限最高的用户组是 ( )。（ A） everyone （ B） administrators （ C） power users （ D） users 11 下列网络攻击中，属于被动攻击的是 ( )。（ A）中断（ B）篡改（ C）监听（ D）伪造 12 在信息系统安全管理中，业务流控制、路由选择控制和审计跟踪等技术主要用于提高信息系统的 ( )。（ A）保密性（ B）可用性（ C）完整性（ D）不可抵赖性 13 关于入侵检测系统 (IDS)，下面说法不正确的是 ( )。（ A）

5、 IDS可用于发现合法用户是否滥用特权（ B） IDS需要配合安全审计系统才能应用，后者为前者提供审计分析资料（ C） IDS主要用于检测来自外部的入侵行为（ D） IDS主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应 14 安全防护策略是软件系统对抗攻击的主要手段，安全防护策略不包括 ( )。（ A）安全日志（ B）入侵检测（ C）漏洞扫描（ D）数据备份与恢复 15 在 IE浏览器中，安全级别最高的区域设置是 ( )。（ A） Internet （ B）本地： Intranet （ C）可信站点（ D）受限站点 16 下面关于计算机病毒的叙述中，正确的叙述是

6、 ( )。（ A）计算机病毒有破坏性，破坏计算机中的软件和数据，但不会损害机器的硬件（ B）计算机病毒有潜伏性，可能会长时间潜伏，遇到一定条件才开始进行破坏活动（ C）计算机病毒有传染性，能通过软磁盘和光盘不断扩散，但不会通过网络进行传播（ D）它是开发程序时未经彻底测试而附带的一种寄生性的计算机程序，能在计算机系统中生存和传播 17 ( )主要感染软盘或硬盘的引导扇区或主引导记录，在计算机启动时将自己的代码调入内存中执行。（ A）文件病毒（ B）引导型病毒（ C）混合型病毒（ D）执行性病毒 18 宏病毒一般感染以 ( )为扩展名的文件。（ A） EXE （ B） CO

7、M （ C） DOC （ D） DLL 19 下列描述中，错误的是 ( )。（ A）系统病毒的前缀一般为 Win32、 PE、 Win95、 W32、 W95等（ B）木马病毒其前缀是 Trojan （ C）宏病毒的前缀是 Macro （ D）蠕虫病毒的前缀是 Harm 20 下列描述中，不正确的是 ( )。（ A）包过滤防火墙的一个优点是简单易行、成本低（ B）双宿主机防火墙的特点是实现内外和外网物理上的隔离（ C）包过滤型防火墙十分可靠，能有效支持用户认证（ D）屏蔽子网防火墙是目前最安全的防火墙系统软件水平考试中级软件设计师上午基础知识（信息安全）模拟试卷 1答案与解析

8、1 【正确答案】 C 【试题解析】 DES：该算法主要采用了替换和移位的方式，密钥长度是 56位，每次运算对 64位数据块进行加密，该算法运行速度快、密钥易产生，曾是应用最为广泛的一种对称加密算法。 3DES：又称三重 DES，该算法巧妙地利用了原有的 DES算法，它使用两个 56位的密钥 K1、 K2，在加密操作时： K1加密 K2 解密 K1 加密。解密操作时：K1解密 K2 加密 K1 解密。这样做，相当于密钥长度加倍。 RC-5： RSA数据安全公司的很多产品都使用了 RC5。 IDEA算法： 128位密钥、 64位数据块、比 DES的加密性好、对计算机功能要求相对低， PGP。 RS

9、A是最为常见的非对称加密算法， 512位密钥 (或 1024位密钥 )、计算量极大、难破解。 2 【正确答案】 B 【试题解析】对称加密又称为私钥加密，其采用了对称密码编码技术，对称加密的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥。对称加密算法的优点是使用简单、加密解密快捷高效。其缺点是加密强度不高、密钥分发困难。非对称加密又称为公钥加密，该技术中所使用的加密与解密密钥是不同的。在非对称加密体系中，密钥是成对出现的，一对密钥包括一个公钥和一个私钥。如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解

10、密。非对称加密算法的优点是，解决了对称密钥加密强度不高及密钥分发困难的问题；其缺点是，加密速度极慢，比对称加密慢千倍，甚至数千倍。所以非对称加密算法通常只对极小的数据量进行加密，比如对信息摘要进行加密，或用于加密对称密钥来解决对称密钥分发困难的这个问题。针对对称加密与非对称加密的特点，在实际应用中，大多是采用结合这两种加密算法一起使用来进行操作的。 3 【正确答案】 C 【试题解析】数字信封技术其实是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密 (这部

11、分称为数字信封 )之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。这种技术的安全性相当高。数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据 (通信密钥 )还原；数字信封拆解是使用私钥将加密过的数据解密的过程。 4 【正确答案】 A 【试题解析】数字签名技术是类似于写在纸上的普通物理签名，具有不可抵赖性，该技术是使用非对称加密技术来实现，用于鉴别数字信息的作者身份。一套数字签名通常定义两种互补的运算，一个用于签名；另一个用于验证。数

12、字签名技术是对非对称加密技术与信息摘要的综合应用。通常的做法是：先对正文产生信息摘要，之后使用发送者 A的私钥对该信息摘要进行加密，这就完成了签名。当接收者 B收到签了名的摘要以后，会对摘要使用发送者 A的公钥进行解密，若能解密，则表明该信息确实是由 A发送的。以此保障信息的完整性 (即不被篡改 )，以及保障信息的不可抵赖性 (发送者 A不能否认自己发过该信息。因为B收到的摘要能用 A的公钥解密，这说明摘要是用 A的私钥加密的，而 A的私钥只有 A拥有 )。 5 【正确答案】 A 【试题解析】本题考查数字证书相关知识点。数字证书是由权威机构 CA证书授权 (Certificate Aut

13、hority)中心发行的，能提供在 Internet上进行身份验证的一种权威性电子文档，人们可以在因特网交往中用它来证明自己的身份和识别对方的身份。数字证书包含版本、序列号、签名算法标识符、签发人姓名、有效期、主体名和主体公钥信息等并附有 CA的签名，用户获取网站的数字证书后通过验证 CA的签名和确认数字证书的有效性，从而验证网站的真伪。在用户与网站进行安全通信时，用户发送数据时使用网站的公钥 (从数字证书中获得 )加密，收到数据时使用网站的公钥验证网站的数字签名，网站利用自身的私钥对发送的消息签名和对收到的消息解密。 6 【正确答案】 C 【试题解析】信息摘要简要地描述了一份较长的信息

14、或文件，可以被看作是一份长文件的 “数字指纹 ”，信息摘要可以用于创建数字签名。常用的消息摘要算法有 MD5， SHA等，其中 MD5和 SHA算法的散列值分别为128和 160位，由于 SHA通常采用的密钥长度较长，因此安全性高于 MD5。 7 【正确答案】 A 【试题解析】数字签名技术是对非对称加密技术与信息摘要的综合应用。通常的做法是：先对正文产生信息摘要，之后使用发送者 A的私钥对该信息摘要进行加密，这就完成了签名。当接收者 B收到签了名的摘要以后，会对摘要使用发送者A的公钥进行解密，若能解密，则表明该信息确实是由 A发送的，这就是数字签名技术。 8 【正确答案】 C 【试题解析

15、】本题主要考查一些常见的安全协议。 PGP是一个基于 RSA公钥加密体系的邮件加密协议。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确信邮件发送者。 SSL(Security Socket Layer)协议是 Netscape公司开发的安全协议，工作于传输层以上 (跨越了传输层以上的所有层次，含传输层 )，用于在 Internet上传送机密文件。 SSL协议由 SSL记录协议、 SSL握手协议和 SSL警报协议组成。 SET(Secure Electronic Transaction，安全电子交易 )协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规

16、则。它是由 Visa国际组织和 MasterCard组织共同制定的一个能保证通过开放网络 (包括： Intertnet)进行安全资金支付的技术标准。 SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。安全传输层协议 (TLS)用于在两个通信应用程序之间提供保密性和数据完整性。 9 【正确答案】 D 【试题解析】 SSL协议主要提供三方面的服务： (1)用户和服务器的合法性认证。认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法， SSL协议要求在握手交换数据时进行

17、数字认证，以此来确保用户的合法性。 (2)加密数据以隐藏被传送的数据。 SSL协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换 SSL初始握手信息，在 SSL握手信息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，这样就可以防止非法用户进行破译。 (3)保护数据的完整性。 SSL协议采用 Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过 SSL协议处理的业务在传输过程中能全部完整准确无误地到达目的地。 10 【正确答案】 B 【试题解析】 Everyone即所有的用

18、户，计算机上的所有用户都属于这个组，它的默认权限最低。 Users即普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。 Users组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。 power users即高级用户组，可以执行除了为 Administrators组保留的任务外的其他任何操作系统任务，它的默认权限仅次于 Administrators。 Administrators即管理员组，默认情况下， Administrators中的用户对计算机域有不受限制的完全访问权。分配给该组的默认权限允许

19、对整个系统进行完全控制，该组拥有最高的默认权限。 11 【正确答案】 C 【试题解析】本题主要考查网络攻击的基本概念。网络攻击可以分为两大类：被动攻击与主动攻击，其中主动攻击又可细化为中断、篡改和伪造，被动攻击常见的有监听。中断是通过阻隔源站向目的站点之间的通信，达到攻击的目的。例如，剪断电话线 (网线 )； DDoS攻击，当带宽被占满时，能产生服务器中断的效果。篡改是先获取源站点的信息，将信息进行修改，再以源站的身份向目的站点发送。例如，中间人攻击就属于这种形式。伪造是源站点并未向目的站点发送信息，在攻击方以源站点的身份向目的站点发送信息。监听只是获取通信双方的通信信息，并不做其他

20、破坏行为，因此监听不容易被察觉。 12 【正确答案】 B 【试题解析】保密性是应用系统的信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。可用性是应用系统信息可被授权实体访问并按需求使用的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求：身份识别与确认、访问控制 (对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制 )、业务流控制(利用均分负荷方法，防止业务流量过度集中而引起网络阻塞 )、路由选择控制 (选择那些稳定可靠的子网、中继线或链路等 )、审计跟踪 (把应用系统中发生的所有安全事

21、件情况存储在安全审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主要包括事件类型、被管信息等级、事件时间、事件信息、事件回答以及事件统计等方面的信息 )。完整性是信息未经授权不能进行改变的特性，即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。不可抵赖性也称作不可否认性，在应用系统的信息交互过程中，确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。 13 【正确答案】 B 【试题解析】入侵检测是从信息安全审计派生出来的，随着网络和业务应用信息系统的推广普及而逐渐成为一个信息安全

22、的独立分支。它是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有，入侵即非法用户的违规行为；滥用即用户的违规行为。入侵检测系统所采用的技术可分为特征检测与异常检测两种。 (1)特征检测。特征检测也称为误用检测，假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达 “入侵 ”现象又不会将正常的活动包含进来。 (2)异常检测。假设是入侵者活动异常于正常主体的活动。根据这一

23、理念建立主体正常活动的 “活动简档 ”，将当前主体的活动状况与 “活动简档 ”相比较，当违反其统计规律时，认为该活动可能是 “入侵 ”行为。异常检测的难题在于如何建立 “活动简档 ”以及如何设计统计算法，从而不把正常的操作作为 “入侵 ”或忽略真正的“入侵 ”行为。 14 【正确答案】 D 【试题解析】安全防护策略主要有安全日志、入侵检测、隔离防护和漏洞扫描等。安全日志应当记录所有用户访问系统的操作内容，包括登录用户名称、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间、登录机器的 IP等。因此查看安全日志，就能了解各用户对系统的行为。入侵检测技术是为保证计算机系统的安全而

24、设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术，通常入侵检测系统应部署在防火墙之内。漏洞扫描通常是指基于漏洞数据库，通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞，是一种常见的安全防护策略。数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质保存的过程。而数据恢复是利用保存的数据来恢复系统。 15 【正确答案】 D 【试题解析】在 IE浏览器中，安全级别最高的区域设置是受限站点。其中Internet区域设

25、置适用于 Internet网站，但不适用于列在受信任和受限制区域的网站；本地 Intranet区域设置适用于在 Intranet中找到的所有网站；可信任站点区域设置适用于用户信任的网站；而受限站点区域设置适用于可能会损坏你计算机或文件的网站，它的安全级别最高。 16 【正确答案】 D 【试题解析】计算机病毒的定义在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒 “指编制或在计算机程序中插入的破坏计算机功能或破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码 ”。计算机病毒的特点是人为的特制程序，具有自我复制能力，很强的感染性，一定的潜伏性，特定的触发性和很大的破

26、坏性，有些病毒还能间接的破坏硬件。病毒存在的必然性是因为计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，当病毒取得控制权之后，会主动寻找感染目标，使自身广为流传。计算机病毒的长期性病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性。另外，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。计算机病毒的产生不是来源于突发或偶然的原

27、因。一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美、精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。 17 【正确答案】 B 【试题解析】计算机病毒具有自我复制的能力，但它不会对所有的程序感染，计算机病毒按其寄生方式大致可分为两类，一是引导型病毒；二是文件型病毒。混合型病毒集两种病毒特性于一体。引导型病毒会去改写磁盘上引导扇区的内容，软盘或硬盘都有可能感染病毒或改写硬盘上的分区表。如果用

28、已感染病毒的软盘来启动的话，则会感染硬盘。文件型病毒主要以感染文件扩展名为 COM、 EXE和 OVL等可执行程序为主。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓，甚至完全无法执行。有些文件遭感染后，一执行就会遭到删除。混合型病毒综合系统型和文件型病毒的特性，它的 “性情 ”也就比系统型和文件型病毒更为 “凶残 ”。此种病毒透过这两种方式来感染，更增加了病毒的传染性以及存活率。不管以哪种方式传染，只要中毒就会经开机或执行程序而感染其他的磁盘或文件，此种病毒也是最难杀灭的。 18 【正确答案】 B 【试题解析】宏病毒

29、是一种脚本病毒，它的最主要特征是它是一种寄存在文档或模板的宏中的计算机病毒。宏病毒主要感染文件有 Word、 Excel的文档，并且会驻留在 Normal面板上。宏病毒的前缀是 Macro，第二前缀是 Word、 Excel其中之一，如 Macro WorDWhiteScreen、美丽莎 (Macro Melissa)等。在本题中，题目给出的 4个选项中，扩展名为 DOC的一般为 Word文档，因此容易感染宏病毒。 19 【正确答案】 D 【试题解析】一种病毒都有自己的名称，从名称通常可以判断出该病毒的类型。 (1)系统病毒。系统病毒的前缀为 Win32、 PE、 Win95、 W32、

30、W95等。这些病毒的一般共有的特性是可以感染 Windows操作系统的 * exe和 * d11文件，并通过这些文件进行传播。 (2)蠕虫病毒。蠕虫病毒的前缀是 Worm。这种病毒的共有特性是通过网络或系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如，冲击波 (阻塞网络 )、小邮差 (发带毒邮件 )等。 (3)木马病毒、黑客病毒。木马病毒其前缀是 Trojan，黑客病毒前缀名一般为 Hack。 QQ消息尾巴木马：Trojan QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan Lmir PSW 60。 (4)脚本病毒。脚本病毒的前缀

31、是： Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码 (Script Redlof)。脚本病毒还会有 VBS、 JS(表明是何种脚本编写的 )等前缀，如欢乐时光 (VBS Happytime)、十四日(Js Fortnight cs)等。 (5)宏病毒。宏病毒也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是 Macro，第二前缀是 Word、 Excel其中之一，如Macro WorDWhiteScreen、美丽莎 (Macro Melissa)。 (6)后门病毒。后门病毒的前缀是 Backdoor。该类病毒的共有特性

32、是通过网络传播，给系统开后门，给用户计算机带来安全隐患。 (7)病毒种植程序病毒。这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏，如冰河播种者 (Dropper BingHe2 2C)、MSN射手 (Dropper Worm Smibag)等。 (8)破坏性程序病毒。破坏性程序病毒的前缀是 Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏，如格式化 C盘 (Harm formatc.f)、杀手命令 (Harm Command.Killer)等。 (9)玩笑病毒。玩笑

33、病毒的前缀是 Joke，也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户计算机进行任何破坏，如女鬼 (Joke Girl ghost)病毒。 (10)捆绑机病毒。捆绑机病毒的前缀是： Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如 QQ、 IE捆绑起来，表面上看是一个正常的文件。当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害，如捆绑QQ(Binder QQPass QQBin)、系统杀手 (Binder

34、 killsys)等。 20 【正确答案】 C 【试题解析】防火墙是网络安全的第一道门户，可以实现内部网 (信任网络 )和外部不可信任网络之间，或者是内部网不同网络安全区域之间的隔离与访问控制，保证网络系统及网络服务的可用性。狭义的防火墙是指安装了防火墙的软件或路由器系统，而广义的防火墙还包括整个网络的安全策略和安全行为。根据防火墙组建结构的不同，可以分为屏蔽路由器、双穴主机、屏蔽主机防火墙、屏蔽子网防火墙 4种基本结构，以及一些变体，下面则详细地说明了它们的优缺点与应用场合。 (1)包过滤型防火墙。它工作于网络层，对进出内部网络的所有信息进行分析，并按照一定的安全策略对进出内部网络的信

35、息进行限制。这种防火墙的优点是处理速度快、费用低、对用户透明。其缺点是维护比较困难，只能阻止少部分 IP欺骗，不支持有效的用户认证，日志功能有限，过滤规则增加会大大降低吞吐量，无法对信息提供全面控制。 (2)双宿网关防火墙。它由一台至少装有两块网卡的堡垒主机作为防火墙，位于内外网络之间，分别与内外网络相离，实现物理上的隔开。它有两种服务方式：一种是用户直接登录到双宿主机上；另一种是在双宿主机上运行代理服务器。其安全性比屏蔽路由器高。入侵者一旦得到双穴主机的访问权，内部网络就会被入侵，因此需具有强大的身份认证系统，才可以阻挡来自外部的不可信网络的非法入侵。 (3)屏蔽主机防火墙。它是由包过滤

36、型防火墙和双宿网关防火墙组合形成的一种防火墙，强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连接。这种防火墙的优点是实现了网络层安全 (包过滤 )和应用层安全 (代理 )，因此安全等级比屏蔽路由器要高。其缺点是堡垒主机可能被绕过，堡垒主机与其他内部主机间没有任何保护网络安全的东西存在，一旦被攻破，内网就将暴露。 (4)屏蔽子网防火墙。它用了两个屏蔽路由器和一个堡垒主机，也称为 “单 DMZ防火墙结构 ”。这种防火墙的优点在于定义了 “非军事区 (DMZ)”网络后，支持网络层和应用层安全功能，在黑客攻破第一道防火墙，进入 DMZ区后，只能对 DMZ区进行破坏，无法影响到内部网络，所以这也是目前最安全的防火墙系统。

展开阅读全文