信息安全和防火墙

111.2.1信息安全的概念和模型1．网络安全的基本因素保密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改数据，并能判别出数据是否已被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作(修一条马路，不能堵车)。合法性：每个想获得访问的实体都必须经过鉴别或身份验证（相互确认身份）。2．网络安全的组成物理安全、人员安全、符合瞬时电磁脉冲辐射标准、数据安全操作安全、通信安全、计算机安全、工业安全23．网络安全模型34．网络安全的基本任务（1）设计加密算法，进行安全性相关的转换；（2）生成算法使用的保密信息；（3）开发分发和共享保密信息的方法；（4）指定两个主体要使用的协议，并利用安全算法和保密信息来实现特定的安全服务。黑客和黑客手段黑客（英语：Hacker，或称骇客），是指对

计算机科学、编程和设计方面具高度理解的

人。依照RFC1392，“黑客”是“一位热衷于研究

系统和计算机（特别是计算机网络）内部运作秘密的人”。根据此定义黑客也可以包括很多计算机和互联网技术创造者。比如说linus。黑客的特征误区：

为了避免误解，必须明确的区分开Hacker与cracker的概念：Hacker1.一个对（某领域内的）编程语言有足够了解，对软件开发乐此不疲的人。2.喜爱编程（Coding）并享受在其中，变得更擅长于编程的人。3.一个试图破解某系统或网络以提醒该系统所有者的电脑安全漏洞。这群人往往被称做“白帽黑客”或“思匿客(sneaker)”。Hacker是一个通过知识或猜测而对某段程序做出（往往是好的）修改，并改变（或增强）该程序用途的人。cracker“骇客”（cracker）一词一般有以下意义：一个恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人。“cracker”不同于“Hacker”。“cracker”没有“Hacker”精神，也没有道德标准。“Hacker”们建设，而“cracker”们破坏。脚本小子（scriptkiddie）

“脚本小子”则指那些完全没有或仅有一点点黑客技巧，而只是按照指示或运行某种骇客程序来达到破解目的的人。脚本小子是利用他人所编辑的程序来发起网络攻击的网络闹事者，他们通常不懂得攻击对象的设计和攻击程序的原理，不能自己调试系统发现漏洞，实际职业知识远远不如他们通常冒充的黑帽黑客。811.2.2安全威胁（对应网络安全基本因素）安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性（DoS）或合法性（非授权访问）所造成的危害。某种攻击就是某种威胁的具体实现。91．基本的威胁信息泄漏或丢失针对信息机密性的威胁，它指敏感数据在有意或无意中被泄漏出去或丢失包括：信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或塔线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、账号等重要信息)；信息在存储介质中丢失或泄漏；通过建立隐蔽通道等窃取敏感信息等。破坏数据完整性以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。拒绝服务不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。非授权访问没有预先经过同意就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。主要形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。安全威胁的分类：安全威胁可分为植入和渗入。安全威胁可分为故意的（如黑客渗透）和偶然的（如信息被发往错误的地址）两类。故意威胁又可进一步分为被动和主动两类。11渗入威胁和植入威胁渗入威胁假冒某个未授权实体使守卫者相信它是一个合法的实体，从而攫取该合法用户的特权。旁路控制攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”。利用这些“特征”，攻击者绕过防线守卫者渗入系统内部。授权侵犯也称为“内部威胁”，授权用户将其权限用于其他未授权的目的。植入威胁特洛伊木马在正常的软件中隐藏一段用于其他目的的程序，这段隐藏的程序段常常以安全攻击作为其最终目标。陷门在某个系统或某个文件中设置的“机关”，使得在提供特定的输人数据时，允许违反安全策略。1211.2.3安全攻击1．安全攻击的手段132．被动攻击和主动攻击被动攻击对信息的保密性进行攻击，即通过窃听网络上传输的信息并加以分析从而获得有价值的情报，但它并不修改信息的内容目标是获得正在传送的信息，其特点是偷听或监视信息的传递被动攻击主要手段：信息内容泄露（不小心）：信息在通信过程中因被监视窃听而泄露，或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露。通信量分析：通过确定通信位置和通信主机的身份，观察交换消息的频度和长度，并利用这些信息来猜测正在进行的通信特性。142．被动攻击和主动攻击主动攻击攻击信息来源的真实性、信息传输的完整性和系统服务的可用性有意对信息进行修改、插入和删除主动攻击主要手段：假冒：一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。重放：涉及被动捕获数据单元及其后来的重新传送，以产生未经授权的效果。修改消息：改变了真实消息的部分内容，或将消息延迟或重新排序，导致未授权的操作。拒绝服务：禁止通信实体的正常使用或管理。153．服务攻击和非服务攻击（高层协议）服务攻击针对某种特定网络服务的攻击例如：针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击原因：TCP/IP协议缺乏认证、保密措施。非服务攻击(针对于操作系统和协议)不针对某项具体应用服务，而是基于网络层等低层协议而进行原因：TCP/IP协议（尤其是IPv4）自身的安全机制不足164安全策略与安全管理1．安全策略的组成威严的法律先进的技术严格的管理2．安全管理原则多人负责原则任期有限原则职责分离原则（会计和出纳）3．安全管理实现根据工作的重要程度，确定该系统的安全等级根据确定的安全等级，确定安全管理的范围制订相应的机房出入管理制度制订严格的操作规程制订完备的系统维护制度制订应急措施11.3防火墙技术1811.3.1防火墙的基本概念1．防火墙的定义防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策，控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。2.防火墙的主要功能集中的网络安全安全警报防火墙允许网络管理员定义一个中心（阻塞点）来防止非法用户进入内部网络，禁止存在不安全因素的访问进出网络，并抗击来自各种线路的攻击。通过防火墙可以方便地监视网络的安全性，并产生报警信号。重新部署网络地址转换（NAT）接入Internet的机构，可以通过网络地址转换（NAT）来完成内部私有地址到外部注册地址的映射，而防火墙正是部署NAT的理想位置。监视Internet的使用情况防火墙也是审查和记录内部人员对Internet使用的一个最佳位置，可以在此对内部访问Internet的情况进行记录(根据cs模式的访问特点)。向外发布信息防火墙同样还是部署WWW服务器和FTP服务器的理想位置。它允许Internet上的其它用户访问上述服务器，而禁止访问内部受保护的其它系统（因为可能有其它服务）。2111.3.2防火墙的设计策略1．防火墙的设计策略两种基本的设计策略：允许任何服务除非被明确禁止（黑名单）禁止任何服务除非被明确允许（白名单）按照其特征，防火墙的设计策略网络策略服务访问策略222．防火墙的技术服务控制确定在围墙外面和里面可以访问的因特网服务类型方向控制。确定数据包的流向用户控制根据请求访问的用户来确定是否提供该服务行为控制控制如何使用某种特定的服务233．防火墙的部署在局域网内的VLAN之间控制信息流向时加入防火墙。Intranet与Internet之间连接时加入防火墙。在广域网系统中，总部局域网与分支机构一般通过公共网（如DDN、FrameRelay）连接，需要采用防火墙隔离，并利用某些软件提供的功能构成虚拟专网VPN。如果总部的局域网和分支机构的局域网是通过Internet连接的，需要各自安装防火墙，并组成虚拟专网。在远程用户拨号访问时，需要加入防火墙。利用一些防火墙软件提供的负载平衡功能，ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志记录等功能。两网对接时可利用硬件防火墙作为网关设备实现地址转换（NAT）、地址映射（MAP）、网络隔离（DMZ，De-MilitarizedZone，非军事区）、存取安全控制，消除传统软件防火墙的瓶颈问题。11.2.2防火墙的主要类型

典型的防火墙系统通常由一个或多个构件组成，相应地，实现防火墙的技术包括以下四大类：1.包过滤防火墙（PacketFilteringFirewall）包过滤防火墙，又称网络级防火墙，工作在网络层，通常由一台路由器或一台充当路由器的计算机组成，如图11-2所示。图11-2包过滤防火墙功能模型

Internet/Intranet上的所有信息都是以IP数据包的形式传输的，包过滤路由器负责对所接收的每个数据包的IP地址，TCP或UDP分组头信息进行审查，以便确定其是否与某一条包过滤规则匹配。包过滤防火墙检查每一条过滤规则，如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发；如果找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃。包过滤防火墙对用户来说是全透明的，其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络，使用起来非常简洁、方便，且速度快、费用低。包过滤防火墙也有其自身的缺点和局限性，例如它只检查地址和端口，对应用层上的黑客行为无能为力；包过滤规则配置比较复杂；包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。2.应用级网关（ApplicationLevelGateway）应用级网关主要控制对应用程序的访问，它能够对进出的数据包进行分析、统计，防止在受信任的服务器与不受信任的主机间直接建立联系。而且它还提供一种监督控制机制，使得网络内、外部的访问请求在监督机制下得到保护，其功能模型如图11-3所示。图11-3应用级网关的功能模型和包过滤防火墙一样，应用级网关也是仅仅依靠特定的逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直接联系，它外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。应用级网关具有较强的访问控制功能，是目前最安全的防火墙技术之一。但其每一种协议都需要相应的代理软件，实现起来比较困难，效率不如网络级防火墙高，而且对用户缺乏“透明度”。3.电路级网关（CircuitLevelGateway）电路级网关通常工作在在OSI参考模型中的会话层上，它只依赖于TCP连接，而并不关心任何应用协议，也不进行任何的包处理或过滤。它就像电线一样，只是在内部连接和外部连接之间来回拷贝字节。由于连接要穿过防火墙，因而其隐藏了受保护网络的有关信息。电路级网关往往不是一个独立的产品，它要和其它一些应用级网关结合在一起使用。其最大的优点是主机可以被设置成混合网关，内部用户使用起来很方便，另外，电路级网关还可将所有内部的IP地址映射到一个防火墙专用的、安全的IP地址。4.代理服务防火墙（ProxySeverFirewall）代理服务防火墙又称链路级网关，通常指运行代理服务器软件的一台计算机。代理服务器（ProxySever）运行在Intranet和Internet之间，是内、外网络的隔离点，起着监视和隔绝应用层通信流的作用，其功能模型如图11-4所示。图11-4代理服务防火墙功能模型代理服务器：定义：代理服务器（英文：Proxy），是一种重要的电脑安全功能，也是特殊的网络服务，允许客户端通过它与另一个网络服务进行非直接的连接，也称“网络代理”。代理服务器有利于保障网络安全，防止攻击。图解：左边和右边的电脑在通讯时候，需要经过中间的电脑中转，而中间的那部电脑就是代理服务器。代理服务器的功能1.提高访问速度：通常代理服务器都设置一个较大的缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。2.控制对内部资源的访问，如某大学FTP（前提是该代理地址在该资源的允许访问范围之内），使用教育网内地址段免费代理服务器，就可以用于对教育网开放的各类FTP下载上传，以及各类资料查询共享等服务。3.过滤内容，例如限制对特定计算机的访问，将一种语言的数据翻译成另一种语言，或是防御代理服务器两边的攻击性访问。4.突破自身IP访问限制，访问国外站点。中国教育网和169网等网络用户可以通过代理访问国外网站。5.隐藏真实IP：上网者也可以通过代理服务器隐藏自己的IP，免受攻击。

代理服务器收到用户对某站点的访问请求后，便立即检查该请求是否符合规则。若规则允许用户访问该站点，代理服务器便会以客户身份登录目的站点，取回所需的信息再发回给客户。代理服务器将所有跨越防火墙的通信链路分为两段，外部用户只能看到该代理服务器而无法获知任何内部资料，如IP地址，从而起到了隔离防火墙内、外计算机系统的作用。防火墙代理的原理代理服务软件要分析网络数据包并作出访问控制决定，从而在一定程度上影响了网络的性能，且代理服务器需要为每个网络用户专门设计，安装使用较复杂，成本也相对较高。5.复合型防火墙（CompoundFirewall）由于对更高安全性的要求，常常把基于包过滤的防火墙与基于代理服务的防火墙结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案：

屏蔽主机防火墙体系结构

包过滤路由器与Internet相连，同时一个堡垒机安装在内部网络，通过在包过滤路由器上设置过滤规则，使堡垒机成为Internet上其它结点所能到达的唯一结点，从而确保了内部网络的安全。如图11-5所示：图11-5屏蔽主机结构示意图屏蔽子网防火墙体系结构堡垒主机放在一个子网内，两个包过滤路由器放置在这一子网的两端，使这一子网与外部Internet及内部网络分离，如图11–6所示。图11-6屏蔽子网结构示意图

3.防火墙的局限性不能防范绕过防火墙产生的攻击防火墙并非万能，影响网络安全的因素很多，对于以下情况它无能为力:不能防范受到病毒感染的软件或文件在网络上传输很难防止数据驱动式攻击不能防范由于内部用户不注意所造成的威胁11.2.3主要的防火墙产品3ComOfficeConnect防火墙

NetScreen防火墙

CiscoPIX防火墙我国的信息安全建设“金盾工程”，就是全国公安工作信息化工程，主要包括：公安基础通信设施和网络平台建设、公安计算机应用系统建设、公安工作信息化标准和规范体系建设、公安网络和信息安全保障系统建设、公安工作信息化运行管理体系建设、全国公共信息网络安全监控中心建设等。“金盾工程”是中华人民共和国电子政务建设的12个重要系统建设项目之一。其他金字工程还有金桥（公用经济信息）、金关（对外贸易）、金卡（电子货币）、金财（财政管理）、金农（农业信息）、金税（税收）、金水（水利信息）、金质（质量监督）等。天网防火墙的详细设置与优化系统设置在防火墙的控制面板中点击“系统设置”按钮即可展开防火墙系统设置面板。天网个人版防火墙系统设置界面如下：

防火墙自定义规则重置：点击该按钮，防火墙将弹出窗口，如下：防火墙设置向导为了便于用户合理地设置防火墙，天网防火墙个人版专门为用户设计了防火墙设置向导。用户可以跟随它一步一步完成天网防火墙的设置。应用程序权限设置：勾选了该选项之后，所有的应用程序对网络的访问都默认为通行不拦截。这适合在某些特殊情况下，不需要对所有访问网络的应用程序都做审核的时候。（譬如在运行某些游戏程序的时候）局域网地址设置：设置您在局域网内的IP地址。

（注意：如果您的机器是在局域网里面使用，一定要设置好这个地址。因为防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源）管理权限设置：允许用户设置管理员密码保护防火墙的安全设置。用户可以设置管理员密码，防止未授权用户随意改动设置、退出防火墙等。初次安装防火墙时没有设置密码。点击“设置密码”，用户设置好管理员密码，确定后密码生效。用户可选择在允许某应用程序访问网络时，需要或者不需要输入密码。点击“清除密码”，再输入正确的密码后，确定即可清除密码。注意：如果用户连续三次输入错误密码，防火墙系统将暂停用户请求3分钟，以保障密码安全。注意：设置管理员密码后对修改安全级别等操作也需要输入密码。在线升级提示设置：用户可根据需要选择在线升级提示的频度。为了更好地保障您的系统安全，防火墙需要及时升级程序文件，因此，建议您把在线升级设置为“有新的升级包就提示”。日志管理：用户可根据需要设置是否自动保存日志、日志保存路径、日志大小和提示。选中“自动保存日志”，天网防火墙将会把日志记录自动保存，默认保存目录为C:\ProgramFiles\SkyNet\FireWall\log，您可以点击浏览设定日志的保存路径。您还可以通过拉动日志大小里的滑块在1M~100M之间选择保存日志的大小。入侵检测设置：用户可以在这里进行入侵检测的相关设置。

选中“启动入侵检测功能”，在防火墙启动时入侵检测开始工作，不选则关闭入侵检测功能。当开启入侵检测时，检测到可疑的数据包时防火墙会弹出入侵检测提示窗口。选中“报警：拦截该IP的同时，请一直保持提醒我”，点击“确定”后，会在入侵检测的IP列表里面保存。拦截这个IP的日志则继续记录。

选中“静默：拦截该IP的同时，不必再进行日志记录或报警提示”，用户可设定静默时间：3分钟、10分钟、始终。点击“确定”后，会在入侵检测的IP列表里面保存。在设定时间内拦截这个IP的日志则不会记录。当达到设定的静默时间后入侵检测将自动从入侵检测的IP列表里面删除此条IP信息。选中“检测到入侵后，无需提示自动静默入侵主机的网络包”，当防火墙检测到入侵时则不会在弹出入侵检测提示窗口，它将按照用户设置的默认静默时间，禁止此IP，并记录在入侵检测的IP列表里。其他设置：在这里可以设置报警声音、自动打开资讯通窗口和自动弹出新资讯提示。报警声音：设置报警声音，点击“浏览”，您可以自己选择一个声音文件做为天网防火墙预警的声音。单击“重置”将采用天网防火墙默认的报警声音。如不选中报警声音前面的选项则关闭报警声音。自动打开资讯通窗口：选中“自动打开资讯通窗口”后在打开天网防火墙主界面时会自动打开资讯通窗口。不选则在打开天网防火墙主界面时不会自动打开资讯通窗口。

自动弹出新资讯提示：选中“自动弹出新资讯提示”后当接收到新资讯的时候会在屏幕右下角系统托盘处弹出新资讯提示窗口如没有操作即自动消失。不选则不会弹出提示。安全级别设置天网个人版防火墙的预设安全级别分为低、中、高、扩四个等级，默认的安全等级为中级，其中各等级的安全设置说明如下：

低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。

中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务（如HTTP、FTP等）。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。

扩：基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。自定义：如果您了解各种网络协议，可以自己设置规则。注意，设置规则不正确会导致您无法访问网络。用户可以根据自己的需要调整自己的安全级别，方便实用。对于普通的个人上网用户，我们建议您使用中级安全规则，它可以在不影响您使用网络的情况下，最大限度的保护您的机器不受到网络攻击；对于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户，我们建议您使用扩展级安全规则，您可以对各种木马及间谍程序有相当的限制并保留一定的网络访问便利。

缺省IP规则介绍IP规则是针对整个系统的网络层数据包监控而设置的。利用自定义IP规则，用户可针对个人不同的网络状态，设置自己的IP安全规则，使防御手段更周到、更实用。用户可以点击“IP规则管理”键

或者在“安全级别”中点击“自定义”安全级别进入IP规则设置界面。IP规则设置的操作界面如下：防御ICMP攻击：选择时，即别人无法用PING的方法来确定您的存在。但不影响您去PING别人。因为ICMP协议现在也被用来作为蓝屏攻击的一种方法，而且该协议对于普通用户来说，是很少使用到的。

防御IGMP攻击：IGMP是用于组播的一种协议，对于MSWindows的用户是没有什么用途的，但现在也被用来作为蓝屏攻击的一种方法，建议选择此设置，不会对用户造成影响。

TCP数据包监视：通过这条规则，您可以监视机器与外部之间的所有TCP连接请求。注意，这只是一个监视规则，开启后会产生大量的日志，该规则是给熟悉TCP/IP协议网络的人使用的，如果您不熟悉网络，请不要开启。这条规则一定要是TCP协议规则的第一条。

禁止互联网上的机器使用我的共享资源：开启该规则后，别人就不能访问您的共享资源，包括获取您的机器名称。禁止所有人连接低端端口：防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口，几乎所有的Internet服务都是在这些端口上工作的，所以这是一条非常严厉的规则，有可能会影响您使用某些软件。如果您需要向外面公开您的特定端口，请在本规则之前添加使该特定端口数据包可通行的规则。

允许已经授权程序打开的端口：某些程序，如ICQ，视频电话等软件，都会开放一些端口，这样，您的同伴才可以连接到您的机器上。本规则可以保证您这些软件可以正常工作。

禁止所有人连接：防止所有的机器和自己连接。这是一条非常严厉的规则，有可能会影响您使用某些软件。如果您需要向外面公开您的特定端口，请在本规则之前添加使该特定端口数据包可通行的规则。该规则通常放在最后。

UDP数据包监视：通过这条规则，您可以监视机器与外部之间的所有UDP包的发送和接受过程，注意，这只是一个监视规则，开启后可能会产生大量的日志，平常请不要打开。这条规则是给熟悉TCP/IP协议网络的人使用，如果您不熟悉网络，请不要开启。这条规则一定要是UDP协议规则的第一条。允许DNS（域名解析）：允许域名解析。注意，如果您要拒绝接收UDP包，就一定要开启该规则，否则会无法访问互联网上的资源。自定义IP规则简单地说，规则是一系列的比较条件和一个对数据包的动作，即根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理设置规则就可以把有害的数据包挡在您的机器之外。

IP规则的页面主要由3个部分组成：工具条：您可以点击上面的按钮来“增加规则”，“修改规则”，“删除规则”。由于规则判断是由上而下执行的，您还可以通过点击“上移”或“下移”按钮调整规则的顺序（注意：只有同一协议的规则才可以调整相互顺序），还可以“导出”和“导入”已预设和已保存的规则。当调整好顺序后，可按“保存”按钮

保存您的修改。如需要删除全部IP规则，可按“清空所有规则”按钮删除全部IP规则。

规则列表这里列出了所有规则的名称、规则所对应的数据包的方向、规则所控制的协议、本机端口、对方地址和对方端口，以及当数据包满足本规则时所采取的策略。

在列表的左边为规则是否有效的标志，勾选表示该规则有效，否则表示无效。当您对此有所改变后，请注意按“保存”键。

建立规则时，请注意下面几点：（1）防火墙的规则检查顺序与列表顺序是一致的。（2）当您在局域网中时，又只想对局域网开放某些端口或协议（但对互联网关闭）时，可对局域网的规则采用允许“局域网网络地址”的某端口、协议的数据包“通行”的规则，然后用“任何地址”的某端口、协议的规则“拦截”，就可达到目的。

（3）不要滥用“记录”功能，一个定义不好的规则加上记录功能，会产生大量没有任何意义的日志，并耗费大量的内存。（4）零售版用户最多可以使用1000条IP规则。

典型考题分析假设CD盘片的存储容量为600MB，上面存放的数字图像能以每秒25幅画面、每幅画面为360×240×65536色的分辨率播放l小时，则CD盘片上的数字图像的压缩比大约是________。A)25倍.B)10倍

C)50倍

D)100倍在IP协议中用来进行组播的IP地址是________地址。A)A类

B)C类

C)D类.D)E类)UNIX系统中，输入／输出设备被看成是下列四种文件的_______。A)普通文件

B)目录文件

C)索引文件

D)特殊文件.操作系统的一个重要功能是进程管理。为此，操作系统必须提供一种启动进程的机制。在下面的叙述中，不正确的是_______。A)在DOS中，该机制是EXEC函数B)在Windows中启动进程的函数是CreateProcessC)在OS／2中启动进程的函数是CreateProcessD)在DOS中启动进程的函数也是CreateProcess.在电子商务的概念模型中，不属于电子商务的构成要素是________。A)互联网.B)交易主体

C)交易事务

D)电子市场连接到计算机网络上的计算机都是________。A)高性能计算机

B)具有通信能力的计算机C)自治计算机.D)主从计算机(32)特洛伊木马攻击的威胁类型属于_______。A)授权侵犯威胁

B)植入威胁.C)渗入威胁

D)旁路控制威胁TCP／IP参考模型中，应用层协议常用的有_______。A)TELNET，FTP，SMTP和HTTP.B)TELNET，FTP，SMTP和TCPC)IP，FTP，SMTP和HTTPD)IP，FTP，DNS和HTTP在以下四个WWW网址中，________网址不符合WWW网址书写规则。A)www．163．comB)www．nk．cn．edu.C)www．863．org．cnD)www．tj．net.jpIPv4版本的因特网总共有________个A类地址网络。A)65000B)200万

C)126.D)128计算机病毒是指能够侵入计算机系统并在计算机系统中潜伏、传播、破坏系统正常工作的一种具有繁殖能力的________。A)指令

B)程序.C)设备

D)文件防火墙一般由分组过滤路由器和________两部分组成。A)应用网关.B)网桥

C)杀毒软件

D)防病毒卡网络的不安全性因素有_______。A)非授权用户的非法存取和电子窃听

B)计算机病毒的入侵C)网络黑客

D)以上都是.如果计算机程序语言的写法和语句都非常接近人类的语言，例如BASIC，这种语言就属于________。A)低级语言

B)机器语言

C)高级语言.D)操作系统下列说法中，正确的是________。A)服务器只能用大型主机、小型机构成B)服务器只能用安腾处理器组成C)服务器不能用个人计算机构成D)服务器可以用奔腾、安腾处理器组成.具有多媒体功能的微机系统常用CD-ROM作外存储器，它是________。A)只读存储器

B)只读光盘.C)只读硬盘

D)只读大容量软盘83【例6-16】保证数据的完整性就是______。（2003年4月）A）保证因特网上传送的数据信息不被第三方监视和窃取B）保证因特网上传送的数据信息不被篡改.C）保证电子商务交易各方的真实身份D）保证发送方不能抵赖曾经发送过某数据信息84【例6-17】在以下网络威胁中，哪个不属于信息泄露？______（2004年9月）A）数据窃听 B）流量分析 C）拒绝服务攻击.

D）偷窃用户帐号85【例6-18】某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意地添加和修改。这种安全威胁属于______。（2005年9月）A）窃听数据 B）破坏数据完整性.

C）拒绝服务 D）物理安全威胁86【例6-19】对网络的威胁包括：

Ⅰ．假冒 Ⅱ．特洛伊木马 Ⅲ．旁路控制Ⅳ．陷门 Ⅴ．授权侵犯在这些威胁中，属于渗入威胁的为______。（2003年4月）A）Ⅰ、Ⅲ和Ⅴ. B）Ⅲ和ⅣC）Ⅱ和Ⅳ D）Ⅰ、Ⅱ、Ⅲ和Ⅳ87【例6-22】当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统资源，这是对网络______性的攻击。（2006年4月）答案：可用88【例6-20】网络反病毒技术主要有3种，它们是预防病毒技术、______病毒技术和消除病毒技术。（2004年4月）答案：检测89【例6-23】截取是指未授权的实体得到了资源的访问权，这是对下面哪种安全性的攻击？______（2005年4月）A）可用性 B）机密性.C）合法性 D）完整性90【例6-24】下面哪种攻击方法属于被动攻击？______（2006年9月）A）拒绝服务攻击 B）重放攻击C）通信量分析攻击.

D）假冒攻击91【例6-25】下面哪个（些）攻击属于非服务攻击？______（2006年9月）Ⅰ.邮件炸弹攻击 Ⅱ.源路由攻击 Ⅲ.地址欺骗攻击A）仅Ⅰ B）Ⅰ和ⅡC）Ⅱ和Ⅲ. D）Ⅰ和Ⅲ92【例6-57】以下关于防火墙技术的描述，哪个是错误的？______（2006年9月）A）防火墙分为数据包过滤和应用网关两类B）防火墙可以控制外部用户对内部系统的访问C）防火墙可以阻止内部人员对外部的攻击.D）防火墙可以分析和统管网络使用情况93【例6-58】防火墙自身有一些限制，它不能阻止一下哪个（些）威胁？______（2005年4月）Ⅰ、外部攻击Ⅱ、内部威胁 Ⅲ、病毒威胁A）Ⅰ B）Ⅰ和ⅡC）Ⅱ和Ⅲ. D）全部94【例6-59】以下关于防火墙技术的描述，哪个是错误的？______（2006年4月）A）防火墙可以对网络服务类型进行控制B）防火墙可以对请求服务的用户进行控制C）防火墙可以对网络攻击进行反向追踪.D）防火墙可以对用户如何使用特定服务进行控制在下面的声音文件格式中，不能用来记录语音信息的是________。A)SNDB)WAVC)MIDI.D)MP3帧中继系统设计的主要目标是用于互连多个_______。A)广域网

B)电话网

C)局域网.D)ATM网网络服务器分为文件服务器、通信服务器和_______。A)管理服务器、打印服务器

B)管理服务器、权限服务器C)数据库服务器、管理服务器

D)打印服务器、数据库服务器.宽带系统与基带系统相比有以下哪个优点_______。A)容量大，结构灵活，覆盖范围广.B)需要ModemC)价格高

D)安装和维护复杂为了防止局域网外部用户对内部网络的非法访问，可采用的技术是________。A)防火墙.B)网卡

C)网关

D)网桥在下面的命令中，用来检查通信对方当前状态的命令是________。A)telnetB)tracerouteC)tcpdumpD)ping.在Telnet中，程序的_______。A)执行和显示均在远程计算机上B)执行和显示均在本地计算机上C)执行在本地计算机上，显示在远程计算机上D)执行在远程计算机上，显示在本地计算机上.连接南京邮电学院的主页WWW．njupt．edu．cn，下面的_______操作不对。A)在地址栏中输入WWW．njupt．edu．cnB)在地址栏中输入http：//www．njupt．edu．cnC)在“开始”→“运行”中输入http：／／www．njupt．edu．cnD)在地址栏中输入gopher：／／www．njupt．edu．cn.下面关于网络信息安全的一些叙述中，不正确的是_______。A)网络环境下的信息系统比单机系统复杂，信息安全问题比单机更加难以得到保障B)电子邮件是个人之间的通信手段，有私密性，不使用软盘，一般不会传染计算机病毒.C)防火墙是保障单位内部网络不受外部攻击的有效措施之一D)网络安全的核心是操作系统的安全性，它涉及信息在存储和处理状态下的保护问题加强网络安全性的最重要的基础措施是_______。A)设计有效的网络安全策略.B)选择更安全