网络技术&网络安全技术
可审查服务包括数据源发证明的审查,以及交付证明的审查。
保密性服务指的是保护网络信息不被泄漏或暴露给未授权的实体。
VPN技术主要提供数据完整性、数据机密性的安全服务。
中继器具有隔离和过滤功能。
生物识别技术是指通过可测量的身体或行为等生物特征进行身份认证的技术。
netstart命令用于显示网络配置的信息。
访问控制只要考虑对合法用户的验证。
数字签名的算法由签名算法和验证算法两部分组成。
可用性是衡量网络信息系统面向用户的一种安全性能。
用户名/密码的身份认证方式是足够安全的,可以单独使用到一些重要系统的身份认证中。
IPSec使用的数据加密算法是RSA。
防火墙技术可以完全阻止内外网的攻击行为。
可审查性又称不可否认性。
病毒“Trojan.Win32.SendIP.15”是一个木马病毒。
访问控制只包括访问请求。
路由表包含有网络地址、连接信息、路径信息和发送代价等。
最简单、最常用的身份认证方法是USBKEY认证。
虚拟局域网主要应用于交换机和路由器。
IPv6中的封装安全负荷ESP在AH的基础上还增加了数据保密性的支持。
文件病毒一般感染文本文件。
计算机一般在中了病毒后会马上死机。
生物识别技术可以利用的身体特征包括指纹、掌型、视网膜、虹膜、脸型、DNA等等。
数字签名分为签名过程和验证过程。
病毒“Worm.Sasser.c”是一个木马病毒。
IPv4的设计有考虑到安全问题,IP包具备了一定的安全性。
网络安全的问题仅包括网络的系统安全。
身份认证与鉴别是信息安全中的第一道防线。
网络安全只是为了保证网络系统及数据的保密性。
虚电路交换一般分为三个阶段,下面哪些阶段包含在这三个阶段中()。
CableModem接入采用了共享介质访问技术。
叠加在GSM网络上的GPRS网络节点是()。
ADSL接入系统基本结构由局端设备和用户端设备组成,局端设备包括在中心机房的ADSLModem(局端收发模块,AUT-C)、DSL接入多路复用器(DSLAM)和()。
GPRS使用的网络设施有()。
WYL公司申请到5个IP地址,要使公司的20台主机都能联到Internet上,他需要使用防火墙的哪个功能()。
IPS和防火墙有哪些区别IPS(入侵防御系统)入侵防御系统(IPS:IntrusionPrevenTIonSystem)是电脑网络安全设施,是对防病毒软件(AnTIvirusPrograms)和防火墙(PacketFilter,ApplicaTIonGateway)的补充。入侵防御系统(Intrusion-prevenTIonsystem)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。IPS网络安全随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。20年前,电脑病毒主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。目前流行的攻击程序和有害代码如DoS(DenialofService拒绝服务),DDoS(DistributedDoS分布式拒绝服务),暴力猜解(Brut-Force-Attack),端口扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事,让人防不胜防。网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网络资源,这就是所谓ZeroDayAttack。防火墙可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术(DeepPacketInspection深度包检测技术),其本身也面临着许多挑战。每种攻击代码都具有只属于它自己的特征(signature),病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。在ISO/OSI网络层次模型(见OSI模型)中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS:IntrusionDetectionSystem)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS:IntrusionResponseSystems)作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据(forensic)。产生原因A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。B:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。C:IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。 这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。由于用户发现了一些无法控制的入侵威胁行为,这也正是IDS的作用。 入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。这也解释了IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。入侵预防技术*异常侦查。正如入侵侦查系统,入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。*在遇到动态代码(ActiveX,JavaApplet,各种指令语言scriptlanguages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。*有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。*核心基础上的防护机制。用户程序通过系统指令享用资源(如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。*对Library、Registry、重要文件和重要的文件夹进行防守和保护。入侵预防系统类型投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统(HIPS:HostbasedIntrusionPrevensionSystem)和网路入侵预防系统(NIPS:NetworkIntrusionPrevensionSystem)两种类型。网络入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如InternetExplorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。2000年:NetworkICE公司在2000年9月18日推出了业界第一款IPS产品—BlackICEGuard,它第一次把基于旁路检测的IDS技术用于在线模式,直接分析网络流量,并把恶意包丢弃。 2002~2003年:这段时期IPS得到了快速发展。当时随着产品的不断发展和市场的认可,欧美一些安全大公司通过收购小公司的方式获得IPS技术,推出自己的IPS产品。比如ISS公司收购NetworkICE公司,发布了Proventia;NetScreen公司收购OneSecure公司,推出NetScreen-IDP;McAfee公司收购Intruvert公司,推出IntruShield。思科、赛门铁克、TippingPoint等公司也发布了IPS产品。2005年9月绿盟科技发布国内第一款拥有完全自主知识产权的IPS产品,2007年联想网御、启明星辰、天融信等国内安全公司分别通过技术合作、OEM等多种方式发布各自的IPS产品。防火墙防火墙(Firewall),也称防护墙,是由CheckPoint创立者GilShwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。详细解释所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。什么是防火墙XP系统相比于以往的Windows系统新增了许多的网络功能(Windows7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段“代码墙”把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。ICF工作原理ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中,ICF将跟踪源自该计算机的通信。与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。防火墙的种类防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络过滤器(Filter)路由器(Router)Internet从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。[1]吞吐量网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT(FullDuplexThroughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。ips和防火墙的区别ips和防火墙区别1、模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。ips和防火墙区别2、异常检测异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。ips和防火墙区别3、完整性分析完整性分析关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制,能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要攻击导致文件或对象发生了改变,完整性分析都能够发现。完整性分析一般是以批处理方式实现,不用于实时响应。入侵检测面临的问题题目1.防火墙的类型包括哪些()
网络为用户提供的安全服务应包括()。
电子邮件地址[email protected]中没有包含的信息是()。
令牌环总线的管理包括()。
Internet最早起源于()。
下列设备属于资源子网的是()。
五个经典网络拓扑结构案例及其优缺点介绍星型结构星型拓扑结构是用一个节点作为中心节点,其他节点直接与中心节点相连构成的网络。中心节点可以是文件服务器,也可以是连接设备。常见的中心节点为集线器。星型拓扑结构的网络属于集中控制型网络,整个网络由中心节点执行集中式通行控制管理,各节点间的通信都要通过中心节点。每一个要发送数据的节点都将要发送的数据发送中心节点,再由中心节点负责将数据送到目地节点。因此,中心节点相当复杂,而各个节点的通信处理负担都很小,只需要满足链路的简单通信要求。优点:(1)控制简单。任何一站点只和中央节点相连接,因而介质访问控制方法简单,致使访问协议也十分简单。易于网络监控和管理。(2)故障诊断和隔离容易。中央节点对连接线路可以逐一隔离进行故障检测和定位,单个连接点的故障只影响一个设备,不会影响全网。(3)方便服务。中央节点可以方便地对各个站点提供服务和网络重新配置。缺点:(1)需要耗费大量的电缆,安装、维护的工作量也骤增。(2)中央节点负担重,形成“瓶颈”,一旦发生故障,则全网受影响。(3)各站点的分布处理能力较低。总的来说星型拓扑结构相对简单,便于管理,建网容易,是目前局域网普采用的一种拓扑结构。采用星型拓扑结构的局域网,一般使用双绞线或光纤作为传输介质,符合综合布线标准,能够满足多种宽带需求。尽管物理星型拓扑的实施费用高于物理总线拓扑,然而星型拓扑的优势却使其物超所值。每台设备通过各自的线缆连接到中心设备,因此某根电缆出现问题时只会影响到那一台设备,而网络的其他组件依然可正常运行。这个优点极其重要,这也正是所有新设计的以太网都采用的物理星型拓扑的原因所在。扩展星型拓扑:如果星型网络扩展到包含与主网络设备相连的其它网络设备,这种拓扑就称为扩展星型拓扑。纯扩展星型拓扑的问题是:如果中心点出现故障,网络的大部分组件就会被断开。环型结构环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环,这种结构使公共传输电缆组成环型连接,数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。这种结构的网络形式主要应用于令牌网中,在这种网络结构中各设备是直接通过电缆来串接的,最后形成一个闭环,整个网络发送的信息就是在这个环中传递,通常把这类网络称之为"令牌环网"。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型,一般情况下,环的两端是通过一个阻抗匹配器来实现环的封闭的,因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。这种拓扑结构的网络主要有如下几个特点:(1)这种网络结构一般仅适用于IEEE802.5的令牌网(Tokenringnetwork),在这种网络中,"令牌"是在环型连接中依次传递。所用的传输介质一般是同轴电缆。(2)这种网络实现也非常简单,投资最小。可以从其网络结构示意图中看出,组成这个网络除了各工作站就是传输介质--同轴电缆,以及一些连接器材,没有价格昂贵的节点集中设备,如集线器和交换机。但也正因为这样,所以这种网络所能实现的功能最为简单,仅能当作一般的文件服务模式;(3)传输速度较快:在令牌网中允许有16Mbps的传输速度,它比普通的10Mbps以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展,以太网的速度也得到了极大提高,目前普遍都能提供100Mbps的网速,远比16Mbps要高。(4)维护困难:从其网络结构可以看到,整个网络各节点间是直接串联,这样任何一个节点出了故障都会造成整个网络的中断、瘫痪,维护起来非常不便。另一方面因为同轴电缆所采用的是插针式的接触方式,所以非常容易造成接触不良,网络中断,而且这样查找起来非常困难,这一点相信维护过这种网络的人都会深有体会。(5)扩展性能差:也是因为它的环型结构,决定了它的扩展性能远不如星型结构的好,如果要新添加或移动节点,就必须中断整个网络,在环的两端作好连接器才能连接。环型结构具有如下特点:信息流在网中是沿着固定方向流动的,两个节点仅有一条道路,故简化了路径选择的控制;环路上各节点都是自举控制,故控制软件简单;由于信息源在环路中是串行地穿过各个节点,当环中节点过多时,势必影响信息传输速率,使网络的响应时间延长;环路是封闭的,不便于扩充;可靠性低,一个节点故障,将会造成全网瘫痪;维护难,对分支节点故障定位较难。分布式结构分布式结构的网络是将分布在不同地点的计算机通过线路互连起来的一种网络形式,分布式结构的网络具有如下特点:由于采用分散控制,即使整个网络中的某个局部出现故障,也不会影响全网的操作,因而具有很高的可靠性;网中的路径选择最短路径算法,故网上延迟时间少,传输速率高,但控制复杂;各个节点间均可以直接建立数据链路,信息流程最短;便于全网范围内的资源共享。问:关于星型结构的描述正确的是()
IP协议规定因特网中计算机地址的表示方法为hhh.hhh.hhh.hhh.(四段),其中每段的取值范围是()。
从网上下载文件时,下列说法正确的是()。
网络七层协议有什么用OSI是一个开放性的通信系统互连参考模型,它是一个定义得非常好的协议规范。OSI模型有7层结构,每层都可以有几个子层。OSI的7层从上到下分别是7应用层6表示层5会话层4传输层3网络层2数据链路层1物理层;其中高层(即7、6、5、4层)定义了应用程序的功能,下面3层(即3、2、1层)主要面向通过网络的端到端的数据流。网络七层协议有什么用 1、物理层(Physicallayer) 是参考模型的最低层。该层是网络通信的数据传输介质,由连接不同结点的电缆与设备共同构成。主要功能是:利用传输介质为数据链路层提供物理连接,负责处理数据传输并监控数据出错率,以便数据流的透明传输。 2、数据链路层(Datalinklayer) 是参考模型的第2层。主要功能是:在物理层提供的服务基础上,在通信的实体间建立数据链路连接,传输以“帧”为单位的数据包,并采用差错控制与流量控制方法,使有差错的物理线路变成无差错的数据链路。 3、网络层(Networklayer) 是参考模型的第3层。主要功能是:为数据在结点之间传输创建逻辑链路,通过路由选择算法为分组通过通信子网选择最适当的路径,以及实现拥塞控制、网络互联等功能。 4、传输层(Transportlayer) 是参考模型的第4层。主要功能是向用户提供可靠的端到端(End-to-End)服务,处理数据包错误、数据包次序,以及其他一些关键传输问题。传输层向高层屏蔽了下层数据通信的细节,因此,它是计算机通信体系结构中关键的一层。 5、会话层(Sessionlayer) 是参考模型的第5层。主要功能是:负责维扩两个结点之间的传输链接,以便确保点到点传输不中断,以及管理数据交换等功能。 6、表示层(Presentationlayer) 是参考模型的第6层。主要功能是:用于处理在两个通信系统中交换信息的表示方式,主要包括数据格式变换、数据加密与解密、数据压缩与恢复等功能。 7、应用层(ApplicaTIonlayer) 是参考模型的最高层。主要功能是:为应用软件提供了很多服务,例如文件服务器、数据库服务、电子邮件与其他网络软件服务。 网络七层协议的好处 1、使人们容易探讨和理解协议的许多细节。 2、在各层间标准化接口,允许不同的产品只提供各层功能的一部分,(如路由器在一到三层),或者只提供协议功能的一部分。(如Win95中的MicrosoftTCP/IP) 3、创建更好集成的环境。 4、减少复杂性,允许更容易编程改变或快速评估。 5、用各层的headers和trailers排错。 6、较低的层为较高的层提供服务。 7、把复杂的网络划分成为更容易管理的层。(转自http://www.elecfans.com/tongxin/123/201910291100554.html作者:陈翠)问:网络协议的优点包括()
多合计算机连在一个中心节点(如集线器)上,所有的计算机之间通信必须通过中心节点.这种结构的网络佩于()拓扑结构。
下面有关多路复用技术描述正确的有()。
下列有关集线器的说法正确的是()。
能完成VLAN之间数据传递的设备有()。
光纤作为传输介质,具有以下的优势()。
决定局域特性的主要技术要素是()。
无线局域网使用的工作频段为()。
利用因特网技术建立的企业内部信息网络叫()。
下面有关电子邮件的说法,正确的是()。
下列各项中()不是对称密钥的特点。
为了保障数据的存储和传输安全,需要对一些重要数据进行加密。由于对称密码算法(), 所以特别适合对大量的数据进行加密。
在Internet上浏览时,浏览器和WWW服务器之间传输网页使用的协议是()。
电子邮件系统的核心是()。
IE是浏览器软件,它的窗口与Windows窗口相似,以下说法正确的是()。
在因特网的以下操作中不能游览已访问过的页面()。
下面是合法的IP地()。
网络协议由()组成。
以下的网络分类方法中,哪一组分类方法有误()。
电话交换系统采用的是()技术。
下面提供FTP服务的默认TCP端口号是()。
WLAN具有网络覆盖广、用户接入方便的优点,但是端到端有效传输率有待进一步提高。
IEEE802.11b与下列标准中的()兼容。
关于DNS下列叙述错误的是()。
在因特网上,大学或教育机构的类别城名中一般包括()。
为了实现域名解析,客户机()。
数字签名是通过()来实现的。
常用的网络操作系统有哪些()。
计算机网络中可共享的资源包括()。
因特网的前身是()。
因特网提供的文件传输功能是指()。
163.net网站的计算机域名地址是www.163.net,其相应IP地址是202.108.255.203,以下说法正确的是:()。
数据通信交互方式有3种,即()、()和()。
在下列传输介质中,那种传输介质的抗电磁干扰性最好()。
对于ICMP协议的功能,说法正确的是()。
某公司申请到一个C类IP地址,但要连接6个的子公司,最大的一个子公司有26台计算机,每个子公司在一个网段中,则子网掩码应设为()。
数字用户环路(DSL)技术是一种利用()线路,实现高速数据传输的技术。
可使用IEEE802.1x接入认证协议的接入网络有()。
下列接人方式中不使用电话线()。
IPS和防火墙有哪些区别IPS(入侵防御系统)入侵防御系统(IPS:IntrusionPrevenTIonSystem)是电脑网络安全设施,是对防病毒软件(AnTIvirusPrograms)和防火墙(PacketFilter,ApplicaTIonGateway)的补充。入侵防御系统(Intrusion-prevenTIonsystem)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。IPS网络安全随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。20年前,电脑病毒主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。目前流行的攻击程序和有害代码如DoS(DenialofService拒绝服务),DDoS(DistributedDoS分布式拒绝服务),暴力猜解(Brut-Force-Attack),端口扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事,让人防不胜防。网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网络资源,这就是所谓ZeroDayAttack。防火墙可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。即使使用了DPI技术(DeepPacketInspection深度包检测技术),其本身也面临着许多挑战。每种攻击代码都具有只属于它自己的特征(signature),病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒的。在ISO/OSI网络层次模型(见OSI模型)中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS:IntrusionDetectionSystem)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS:IntrusionResponseSystems)作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据(forensic)。产生原因A:串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。B:旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。C:IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。 这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。由于用户发现了一些无法控制的入侵威胁行为,这也正是IDS的作用。 入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。这也解释了IDS和IPS的关系,并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。入侵预防技术*异常侦查。正如入侵侦查系统,入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。*在遇到动态代码(ActiveX,JavaApplet,各种指令语言scriptlanguages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。*有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。*核心基础上的防护机制。用户程序通过系统指令享用资源(如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。*对Library、Registry、重要文件和重要的文件夹进行防守和保护。入侵预防系统类型投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统(HIPS:HostbasedIntrusionPrevensionSystem)和网路入侵预防系统(NIPS:NetworkIntrusionPrevensionSystem)两种类型。网络入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如InternetExplorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。2000年:NetworkICE公司在2000年9月18日推出了业界第一款IPS产品—BlackICEGuard,它第一次把基于旁路检测的IDS技术用于在线模式,直接分析网络流量,并把恶意包丢弃。 2002~2003年:这段时期IPS得到了快速发展。当时随着产品的不断发展和市场的认可,欧美一些安全大公司通过收购小公司的方式获得IPS技术,推出自己的IPS产品。比如ISS公司收购NetworkICE公司,发布了Proventia;NetScreen公司收购OneSecure公司,推出NetScreen-IDP;McAfee公司收购Intruvert公司,推出IntruShield。思科、赛门铁克、TippingPoint等公司也发布了IPS产品。2005年9月绿盟科技发布国内第一款拥有完全自主知识产权的IPS产品,2007年联想网御、启明星辰、天融信等国内安全公司分别通过技术合作、OEM等多种方式发布各自的IPS产品。防火墙防火墙(Firewall),也称防护墙,是由CheckPoint创立者GilShwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。详细解释所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。什么是防火墙XP系统相比于以往的Windows系统新增了许多的网络功能(Windows7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段“代码墙”把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。ICF工作原理ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中,ICF将跟踪源自该计算机的通信。与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。防火墙的种类防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络过滤器(Filter)路由器(Router)Internet从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。[1]吞吐量网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT(FullDuplexThroughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。ips和防火墙的区别ips和防火墙区别1、模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。ips和防火墙区别2、异常检测异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。ips和防火墙区别3、完整性分析完整性分析关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制,能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要攻击导致文件或对象发生了改变,完整性分析都能够发现。完整性分析一般是以批处理方式实现,不用于实时响应。入侵检测面临的问题问题2.对于入侵预防技术描述正确的是()
世界上第一个网络是在()年诞生。
下列各项中()协议提供将邮件传输到用户计算机,而在服务器端又不删除的邮件服务。
下列哪个URL的表达方式是错误的()。
第二代计算机网络的主要特点是()。
网络按覆盖范围分类,可分为()。
计算机网络从逻辑功能上分为()。
IPv6将32位地址空间扩展到()。
使用双绞线作为传输介质,适用于下列哪种类型的以太网()。
什么是路由器路由器是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。路由器英文名Router,路由器是互联网络的枢纽、“交通警察”。目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。1.1路由器的功能1、网络互连,路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;2、数据处理,提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;3、网络管理,路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。1.2路由器的作用路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。从总体上说,在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。1.3路由器的用途1、可以当DHCP服务器,动态分配IP.2、可以做nat转换,进行私网与公网IP的转换。3、可以对不同网段的网络进行通信。4、有些路由器可以兼做过滤功能,可以防一些病毒攻击。1.1路由器传输速率300m与450m区别路由器上的150M和300M或450M是路由器传输速度150M和300M或450M,路由器的M是Mbps的简称,比特率是用来描述数据传输速度快慢的一个单位,比特率越大,数据流速越快。理论上150Mbps的网速,每秒钟的传输速度就是18.75MB/S。300Mbps的网速,每秒钟的传输速度就是37.5MB/S。300Mbps的网速,每秒钟的传输速度就是37.5MB/S。450M的路由器,支持450Mbps=56.25MB/s。注意:数据的流速是变动的,比特率只是一个平均参考值。1M的网速,理论上是128KB/S,但实际上只有120左右不到,因为数据在传输过程中会有一定的损耗。另外,这个比特率和MP3或者视频的比特率是一样的,只是数量级不同而已,常见的MP3文件比特率在320kbps左右。把Mbps拆开来就是:M是数量级,即兆。兆代表百万级,在数学中,1兆就是一百万。但是在计算机领域,M代表1024X1024。b是bit的简称,即比特。这个和我们经常说的MB中的B是不同的。MB是兆字节的意思,用来描述文件大小的一个单位,一个英文字母就是1字节,1个汉字就是2字节。p是per,即“每”。因此,Mbps翻译成中文就是兆比特每秒。/这个符号和p是等效的。Mbps(比特率)转换成常见的MB/S,只需要将前者除以8即可。M是一样的,8个b(bit,比特)=1个B(Byte,字节),P和/是一样的。S就是秒的意思。150Mbps8=18.75MB/S,300Mbps8=37.5MB/S,450Mbps8=56.25MB/S。就是这么算出来的。也就是说路由器标注的150M表示路由器最多只能支持到150M的带宽,就算网速是200M的,经过路由器出来也只有150M,300M的同理,,450M的也是一样。 总上所述:一般我们家用路由器,购买150M或300M的已经可以满足实际需求了,目前全国各地使用100M的光钎居多,理论下载最高峰值也就10m/s左右。1.1如何进入路由器1、要想进入路由器,首先需要知道网关ip地址,所以我们先打开【Win/开始】在搜索栏输入:cmd进入命令。2、接着在命令页输入:ipconfig这个ip命令找到网关地址ip。3、接着在浏览器地址栏输入刚刚查到的默认网关ip进入。4、然后会弹出一个路由器验证页面,输入用户名和密码进入。5、接下来大家就可以看到自己路由器的界面了。6、当然大家也可以在路由器的反面可以看到网关地址,然后再按照上面的方法也是可以的。题目:1.路由器的用途包括()
假设有一组C类地址为192.168.8.0~192.168.15.0,如果用CIDR将这组地址聚合为一个网络,其网络地址和子网掩码应该为()。
DDN是为用户提供数据专线服务的网络,基于()多路复用复用技术,向用户提供永久性和半永久性连接的数字数据传输信道。
交换式局域网的核心设备是()。
与无线广域接入技术特点不符的有()。
局域网的基本特征是()。
局域网使用的双绞线主要有两种类型,分别是()和()。
下面选项中表示超文本传输协议的是()。
包过滤防火墙工作在()。