清华版网络安全教案第7章.ppt

7-3 分组过滤型防火墙原理上是基于（）进行分析的技术。 物理层 B. 数据链路层 C. 网络层 D. 应用层 7-4 SSL产生会话密钥的方式是（）。 A. 从密钥管理数据库中请求获得 B. 每一台客户机分配一个密钥的方式 C. 随机由客户机产生并加密后通知服务器 D. 由服务器产生并分配给客户机 7-5（）属于Web中使用的安全协议。 A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL 7-6 为了降低风险，不建议使用的Internet服务是（）。 A. Web服务 B. 外部访问内部系统 C. 内部访问Internet D. FTP服务 7-7 为了提高可用性，采用多线接入多个ISP的通信结构，采用这种方案需要解决的问题是（）。 A. 需要ISP具有边界网关协议BGP知识 B. 连接物理路由的冗余 C. 编址方案 D. 以上3项都是 7-8 对非军事区DMZ而言，正确的解释是（）。 A. DMZ是一个非真正可信的网络部分 B. DMZ网络访问控制策略决定允许或禁止进入DMZ通信 C. 允许外部用户访问DMZ系统上合适的服务 D. 以上3项都是 7-9 对动态网络地址转换（NAT），不正确的说法是（）。 A. 将很多内部地址映射到单个真实地址 B. 外部网络地址和内部地址一对一的映射 C. 最多可有64 000个同时的动态NAT连接 D. 每个连接使用一个端口 7-10 第二层保护的网络一般可达到点对点间（）。 A. 较强的身份认证 B. 必威体育官网网址性 C. 连续的通道认证 D. 以上3项都是 7-11 第三层保护的网络与第二层保护的网络相比在通信成本上占有一定优势，它只需要（）进行保护。主要采用的技术是（）。 A. 认证机制，防火墙 B. 访问控制机制，IPSec C. 访问控制机制，防火墙和IPSec D. 认证机制，防火墙和IPSec 7-12 传输层保护的网络采用的主要技术是建立在（）基础上的（）。 A. 可靠的传输服务，安全套接字层SSL协议 B. 不可靠的传输服务，S-HTTP协议 C. 可靠的传输服务，S-HTTP协议 D. 不可靠的传输服务，安全套接字层SSL协议 图7.15 SSL结构图 高层协议 SSL协商层 SSL记录层 传输层 低层协议 使用SSL协议通信的双方通过协商层来约定协议版本、加密算法，进行身份验证，生成共享密钥等。SSL协商层的工作过程如图7.16所示。 SSL记录层接收上层的数据，将它们分段；然后用协商层约定的压缩方法进行压缩，压缩后的记录用约定的流加密或块加密方式进行加密，再由传输层发送出去。 图7.16 SSL协议会话过程示意图 IP层安全机制的透明性优点对传输层来说是做不到的，这是传输层安全机制的主要缺点。原则上，任何TCP/IP应用，只要应用传输层安全协议，比如说SSL或PCT，就必定要进行若干修改以增加相应的功能，并使用（稍微）不同的IPC界面。同时，公钥体系存在的不方便性SSL也同样存在，例如用户很难记住自己的公钥和私钥，必须依靠某些物理设备如IC卡或者磁盘来存储，这样对用户终端有一定要求。再有就是服务器方和客户方必须依赖CA来签发证书，双方都必须将CA的公钥存放在本地。为了保持Internet上的通用性，目前一般的SSL协议只要求服务器方向客户方出示证书以证明自己的身份，而不要求用户方同样出示证书，在建立起SSL信道后再加密传输用户的口令实现客户方的身份认证。 同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程（而不是主机对主机）的安全服务和加密传输信道，利用公钥体系进行身份认证，安全强度高，支持用户选择的加密算法。这一成就如果再加上应用级的安全服务，就可以提供更加安全可靠的安全性能了。 IP层的安全协议能够为网络连接建立安全的通信信道，传输层安全协议允许为进程之间的数据通道增加安全属性，但它们都无法根据所传送的不同内容的安全要求予以区别对待。如果确实想要区分具体文件的不同的安全性要求，就必须在应用层采用安全机制。本质上，这意味着真正的（或许再加上机密的）数据通道还是建立在主机（或进程）之间，但却不可能区分在同一通道上传输的具体文件的安全性要求。提供应用层的安全服务，实际上是最灵活的处理单个文件安全性的手段。只有应用层是惟一能够提供这种安全服务的层次。 7.2.4 应用层安全性 一般说来，在应用层提供安全服务有下面几种可能的做法。首先是对每个应用（及应用协议）分别进行修改和扩展，加入新的安全功能。一些重要的TCP/IP应用已经这样做了。例如，在RFC1421~1424中，IETF规定了私用强化邮件（PEM