Internet安全体系结构

第 5章 Internet安全体系结构 5.1 Internet安全结构布局 5.2 网络安全层次模型 5.3 OSI安全体系到 TCP/IP安全体系的映射 5.4 本章小结 习题 Internet的广泛应用对组织的系统和信息增加了潜 在的不安全风险，采用合适的安全结构，可降低风 险。 7.1 Internet安全结构布局 Internet提供何种服务，选择哪些主机提供服务， 以及哪些用户可访问这些服务，都会影响整个网络 结构。 Internet提供的服务通常有邮件服务、 Web 服务、内部访问 Internet、外部访问内部系统。还 有一类属于控制的服务，包括域名服务 DNS、 Internet控制报文协议 ICMP。 7.1.1 Internet提供的服务 1.邮件服务 邮件服务通常用来为内部员工提供收发信件。这种 服务至少需要建立一个服务器以接收进来的邮件。 一个组织也可选择建立公共邮件网关，用作电子邮 件讨论组。它允许外部人员将邮件首先发到该系统， 系统按照预先确定的用户列表转送邮件。 2.Web服务 Web服务用来为员工、合作伙伴发布信息。这种服 务需要建立一个 Web服务器，以及生成需要发布的 信息内容。 假如 Web站点的某些内容是限制的或敏感的，就应 使用 HTTPS， HTTPS工作在 443端口，而不是通常 的 80端口，后者用于普通的 Web通信。 HTTPS是 HTTP的加密版， HTTP用于标准的 Web通信，而 HTTPS用于含有敏感信息或需要身份鉴别的 Web 页面。 3.内部访问 Internet 内部员工如何访问 Internet是由该组织制定的 Internet使用策略确定的。某些组织允许员工访问 Internet使用一些服务，如浏览 web、聊天、视频 或音频流。而有些组织只允许某些员工使用浏览器 访问限定的 Web站点。表 7-1列出了通常允许员工 获得的 Internet服务。 表 7-1 允许员工获得的 Internet服务 服 务 说 明 HTTP（端口 80）和 HTTPS（端口 443） 允许员工访问 Web FTP(端口 21和 22) 允许员工传送文件 Telnet(端口 23)和 SSH（端口 22） 允许员工在远程系统上生成交互式会话 POP-3（端口 110）和 IMAP（端口 143） 允许员工访问远程邮件账户 NNTP（端口 119） 允许员工访问远程网络新闻服务器 4.外部访问内部系统 从外部访问内部系统，对安全和网络管理人员来说 是经常要触及的问题。这种情况是指主要用于内部 人员在外部需要访问或处理的内部系统事务，而不 是为外部访问而设置的 Web和邮件服务器。 来自外部的访问主要有两类，一类是从远程访问内 部系统的本组织员工，另一类是非本组织员工的访 问。员工从远程访问内部系统通常使用在 Internet 上的虚拟专网 VPN。 另外一种情况是外部组织需访问内部系统。即提供 给那些可信的合作伙伴的访问，但必须提出解决方 案来管理风险。这时，外部访问并不直接进入内部 系统，而是进入某些受控的网络，在后面讲到非军 事区时会进一步阐明。 1.域名服务 域名服务（ DNS）用来解决系统名字和 IP地址的转 换。通常内部系统查询一个内部 DNS来解决所有的 地址。 2.Internet控制报文协议 Internet控制报文协议（ ICMP）提供诸如 ping这样 的服务，用来发现一个系统是否在工作。 Internet体系结构应设计成提供需要的服务，也就 考虑一些涉及到法律、规范、道德、安全方面的问 题的内容不应在 internet上发布。 7.1.2 Internet不应提供的服务 为了组织的 Internet连接，开发通信结构时，最主 要的问题是吞吐率需求和可用性。 ISP应提供合适 的通信线以满足所需的吞吐率。 Internet接入的方案有单线接入、多线接入至单个 ISP、多线接入至多个 ISP等。 7.1.3 通信结构 非军事区（ DMZ）是一个非真正可信的网络部分， 它提供一个同内部网分开的区域，可供组织的员工 通过 Internet访问它，也可供商业伙伴和其他的实 体访问。 7.1.4 非军事区 1.DMZ的定义 DMZ是一个非保护的网络区域，通常用网络访问 控制来划定，诸如用防火墙或过滤路由器。网络访 问控制设定策略，以决定哪些通信允许进入 DMZ， 哪些通信不允许进入 DMZ，如图 7.7所示。一般来 说，任何能直接被外部用户接触的系统放置在 DMZ中。 图 7.7 通用的 DMZ策略规则 能被外部系统或用户直接访问的系统也是最先受到 攻击和可能被破坏的系统。这些系统不可能是安全 可信的，因为在任何时间都有可能被破坏。因此必 须在 DMZ与内部网络严格的隔离，一般通过访问 控制来实现。 DMZ的一般访问规则是允许外部用户访问 DMZ系 统上合适的服务，限制访问内部系统的服务。内部 系统应初始化 DMZ系统的连接，使内部系统能访 问 DMZ，但不允许外部用户访问内部系统。 2.在 DMZ中放置的系统 （ 1） 邮件系统 邮件系统有外部邮件服务器和内部邮件服务器两种。 外部邮件服务器用来接收进入的邮件，也用来发送 输出的邮件。新来的邮件首先由外部邮件服务器接 收然后送到内部邮件服务器。内部邮件服务器将要 发送的邮件传至外部邮件服务器。 有些防火墙提供一个邮件服务器。如果使用防火墙 的邮件服务器，其功能相当于外部邮件服务器。这 种情况下，就不用另外架设外部邮件服务器。 图 7.8 DMZ和内部网络间的系统布局 （ 2） Web服务器 提供公共访问的 Web服务器放在 DMZ中，还应放 置一个应用服务器。由于 Web服务器有时需要与数 据库服务器进行连接通信。而 Web服务器又接受来 自外面的访问，这样就不是完全的可信。最好的方 法是引入第三个系统来管理和数据库通信的应用。 Web服务器接收用户的输入，并将它提供给应用服 务器处理。应用服务器调用数据库，请求合适的信 息，将该信息提供到 Web服务器，并传递给用户。 虽然看起来比较复杂，然而这种网络结构对数据库 提供了保护，并解脱了来自 Web服务器的请求处理。 （ 3） 外部可访问的系统 所有外部可访问的系统应放置在 DMZ中。应该记 住，假如一个系统可通过诸如 Telnet或 SSH等交互 会话来访问，则用户就有能力对 DMZ上的其他系 统执行攻击。最好为这些系统生成第二个 DMZ， 以保护其他 DMZ上的系统免受攻击。 （ 4） 控制系统 外部 DNS系统应放在 DMZ中。假如该组织计划有 自己的 DNS，则 DNS服务器对外部的查询必须是可 访问的。 DNS也是该组织的基础设施的关键部分。 因此，必须选择冗余的 DNS系统，或者让 ISP作为 可替换的 DNS。 3.合适的 DMZ结构 DMZ结构有多种，各有优缺点，可根据组织的具 体情况选用。其中 3种通用的结构是：路由器和防 火墙、单个防火墙、双防火墙。 （ 1） 路由器和防火墙 图 7.9显示一个简单路由器和防火墙结构。路由器 接入 ISP和组织的外部网络。防火墙控制内部网络 的访问。 图 7.9 路由器和防火墙结构 DMZ如同外部网络和系统一样，可接受来自 Internet的访问。因为这些系统是放在外部网中， 它们对来自 Internet的外部攻击完全开放。为了降 低破坏的风险，可在路由器上放置过滤器，只允许 由 DMZ系统提供的那些服务的通信进入 DMZ。 （ 2） 单个防火墙 用一个防火墙就可生成一个 DMZ。当使用单个防 火墙时， DMZ和外部网络是不同的，如图 7.10所示。 外部网络由 ISP路由器和防火墙构成，防火墙单独 控制对 DMZ的访问。 图 7.10 单个防火墙 DMZ结构 （ 3） 双防火墙 第三种结构采用双防火墙，如图 7.11所示。用两个 防火墙将 DMZ从外部网络和内部网络分离开。外 部网仍然由 ISP路由器和第一个防火墙来定义。 DMZ存在于第一个防火墙和第二个防火墙之间。 防火墙 1配置成允许所有的 DMZ通信和所有内部通 信。防火墙 2的配置要严格限制，只允许流出到 Internet的通信。 图 7.11 双防火墙 DMZ结构 网络系统必须处理编址问题。如果不对编址进行精 心考虑和恰当地配置，会引起很多麻烦。问题的根 源是 IP地址空间的短缺，目前使用的 32位 IP地址正 被使用耗尽。解决这个问题的方法称为网络地址转 换（ NAT）。 7.1.5 网络地址转换 1.什么是 NAT NAT是将一个或多个地址转换成另一组地址。当客 户组建网络时，使用 ISP为系统提供的 30个或一定 数量的地址，这些地址对 Internet是可见的；而内 部系统使用的地址对 Internet是不可见的，但由 NAT转换后和 Internet通信。 大多数网络由防火墙或路由器完成此转换任务。但 在设置防火墙时，必须配置好。 NAT还能提供安全功能，因为它将内部系统的地址 隐藏起来，对 Internet是不可见的。由于系统是不 可见的，就无法寻址和攻击。 2.专用类地址 专用类地址是当使用 NAT时，确定内部网络的地址。 RFC1918规定了专用类地址。已定义的专用类地址 如下： 10.0.0.010.255.255.255(10.0.0.0/8位掩码 ) 172.16.0.0172.31.255.255(172.16.0.0/12位掩码 ) 192.168.0.0192.168.255.255(192.168.0.0/16位掩码 ) 使用这些地址为一个组织设计内部编址方案时提供 了很大灵活性。可以任意使用上面一种或组合的地 址，没有任何限制。 这些地址对 Internet是不可路由的。 3.静态 NAT 静态 NAT是从组织的外部网络映射一个单个实际地 址到 DMZ上的一个系统， NAT将服务器的外部真 实地址转换到服务器的内部地址。 静态 NAT是一对一的配置。静态 NAT适用于 DMZ 上的服务器。 4.动态 NAT 动态 NAT将很多内部地址映射到单个真实地址，不 是一对一的映射。所用的真实地址是防火墙的外部 地址。防火墙跟踪此连接，每个连接使用一个端口。 最多可有 64 000个同时的动态 NAT连接。 当使用动态主机配置协议 DHCP时，动态 NAT对桌 面客户特别有用。它与用户的 IP设置无关，增加了 灵活性和可用性。方便管理与维护。 使用动态 NAT的系统从外部是无法寻址的，增加了 系统的安全性。 图 7.13 动态网络地址转换 1.合作伙伴网络的使用 合作伙伴网络用于在组织之间交换文件和数据。这 种交换根据组织的需要而定，但这并不意味着一个 组织需要无限制地访问另一个组织的网络。 2.合作伙伴网络的设置 合作伙伴网络的安全需求和 Internet连接的安全需 求类同，因此可使用相同的网络结构和方法。 提供合作伙伴网络服务的系统放在 DMZ中。如图 7.14所示，防火墙加了两个接口，一个接到合作伙 伴网络的 DMZ，另一个接到合作伙伴网络。 7.1.6 合作伙伴网络 图 7.14 使用 Internet防火墙的合作伙伴 DMZ 只有在各个结点间安装或租用了专门的通信设施， 才能对网络进行第二层保护。对网络的第二层保护 一般可以达到点对点间较强的身份认证、保密性和 连续的通道认证，在大多数情况下，也可保证数据 流的安全。有些安全服务可以提供数据的完整性或 至少具有防止欺骗的能力。 7.2 网络安全层次模型 7.2.1 第二层保护的网络 链路层安全 1.IP数据网络的安全 IP是一种面向协议的无连接的包，需要施加安全特 性。 IP包是共享的，也就是说，寻址于特定位置的 信息对大量网络组件来说是可读的，用户之间的数 据有可能在网络中通过很多的结点和跳跃进行传输。 7.2.2 第三层保护的网络 网络层安全 （ 1） 域名服务器 IP网络把高级域名转化为 IP地址，这种服务依赖本 地或区域域名服务器（ DNS）上的信息的正确性。 如果没有域名和 IP地址之间的准确转换， IP数据包 是无法通过网络准确路由的，要么连接无法建立， 要么连接的对象并不是我们期望的对象。 DNS查询 包含必须被转换的地址信息以及对先前转换请求的 应答信息。 （ 4） 路由信息 动态路由机制确保了信息包在网络中的高效传输， 路由信息和路由表的正确性是相当关键的。它能确 保连接的路由不被拒绝，并有效使用网络资源。对 网络的可用性来说，确保路由表免受攻击是相当关 键的。 路由器间的更新信息必须使用完整性机制，这将确 保路由更新信息在网络上传送时不会被修改。路由 表必须防止非授权用户的非法修改，以确保路由表 信息的准确性。另外，还需要认证机制，以确保非 授权源不会将路由更新信息插入网络。 3.防火墙 防火墙是建立在内外网络边界上的过滤封锁机制。 内部网络被认为是安全和可信赖的。而外部网络 （通常是 Internet）被认为是不安全和不可信赖的。 防火墙的作用是防止不希望的、未经授权的通信进 出被保护的内部网络，通过边界控制强化内部网络 的安全策略。 防火墙作为解决一些机构对于网络边界安全的迫切 需求起了相当好的作用。但它只能是网络安全措施 的一个组成部分，而不能解决所有的网络安全问题。 4.IPSec 在 IP加密传输信道技术方面， IETF已经指定了一 个 IP安全性工作小组 IPSec来制定 IP安全协议（ IP Security Protocol, IPSP）和对应的 Internet密钥管 理协议（ Internet Key Management Protocol, IKMP）的标准。 IPSP的主要目的是使需要安全服 务的用户能够使用相应的加密安全体制。 按照这些要求， IPSec工作组使用认证头部（ AH） 和安全内容封装（ ESP）两种机制，前者提供认证 和数据完整性，后者实现通信保密。 现在一些防火墙产品已经实现了 IP层的加密，使用 了 AH或 ESP，支持 IPSec，一些主要路由器厂商也 称支持 IPSec。 IPSec技术能够在两个网络结点间建 立透明的安全加密信道。 IP安全性的主要优点是它的透明性，安全服务的提 供不需要应用程序，也不需要其他通信层次和网络 部件做任何改动。它的最主要缺点是 IP层一般对属 于不同进程的包不作区别。对所有去往同一地址的 包，它将按照同样的加密密钥和访问控制策略来处 理，这将使性能下降。 IP层非常适合提供基于主机的安全服务。相应的安 全协议可以用来在 Internet上建立安全的 IP通道和 虚拟专网。 由于 TCP/IP协议本身非常简单，没有加密、身份 认证等安全特性，因此要向上层应用提供安全通信 的机制就必须在 TCP之上建立一个安全通信层次。 传输层网关在两个通信结点之间代为传递 TCP连接 并进行控制，这个层次一般称作传输层安全。最常 见的传输层安全技术有 SSL、 SOCKS和安全 RPC 等。 7.2.3 传输层保护的网络 具体做法包括双向实体的认证、数据加密密钥的交 换等。 Netscape通信公司遵循了这个思路，制定了 建立在可靠的传输服务（如 TCP/IP所提供）基础 上的安全套接层协议（ SSL）。 SSL分为两层，上面是 SSL协商层，双方通过协商 约定有关加密的算法，进行身份认证等；下面是 SSL记录层，它把上层的数据经分段、压缩后加密， 由传输层传送出去。 SSL采用公钥方式进行身份认 证，但是大量数据传输仍使用对称密钥方式。通过 双方协商， SSL可以支持多种身份认证、加密和检 验算法。 两个层次对应以下两个协议： （ 1） SSL记录层协议。它涉及应用程序提供的分 段、压缩、数据认证和加密。 SSL v3提供对数据认 证用的 MD5和 SHA以及数据加密用的 R4和 DES等 的支持，用来对数据进行认证和加密的密钥可以通 过 SSL的握手协议来协商。 （ 2） SSL协商层协议。用来交换版本号、加密算 法、（相互）身份认证并交换密钥。 SSL v3提供对 Deffie Hellman密钥交换算法、基于 RSA的密钥 交换机制和另一种实现在 Frotezza chip上的密钥交 换机制的支持。 使用 SSL协议通信的双方通过协商层来约定 协议版本、加密算法，进行身份验证，生成 共享密钥等。 SSL协商层的工作过程如图 7.16所示。 SSL记录层接收上层的数据，将它们分段； 然后用协商层约定的压缩方法进行压缩，压 缩后的记录用约定的流加密或块加密方式进 行加密，再由传输层发送出去。 图 7.16 SSL协议会话过程示意图 IP层的安全协议能够为网络连接建立安全的通信信 道，传输层安全协议允许为进程之间的数据通道增 加安全属性，但它们都无法根据所传送的不同内容 的安全要求予以区别对待。如果确实想要区分具体 文件的不同的安全性要求，就必须在应用层采用安 全机制。提供应用层的安全服务，实际上是最灵活 的处理单个文件安全性的手段。只有应用层是惟一 能够提供这种安全服务的层次。 7.2.4 应用层安全性 一般说来，在应用层提供安全服务有下面几种可能 的做法。首先是对每个应用（及应用协议）分别进 行修改和扩展，加入新的安全功能。 例如，在 RFC14211424中， IETF规定了私用强化 邮件（ PEM）来为基于 SMTP的电子邮件系统提供 安全服务。 建立一个 PKI需要很多非技术因素，因为它需要各 方在一个共同点上达成信任。由于需要满足各方的 要求，整个 PKI建立过程很长。作为一个中间软件 包 PGP（ Pretty Good Privacy）。它符合 PEM的绝 大多数规范，但不必要求 PKI的存在。相反，它采 用了分布式的信任模型，即由每个用户自己决定该 信任哪些用户。因此， PGP不是去推广一个全局的 PKI，而是让用户自己建立自己的信任网。 S-HTTP是 Web上使用的超文本传输协议（ HTTP） 的安全增强版本。 S-HTTP提供了文件级的安全机制，因此每个文件 都可以设置成保密 /签字状态。用作加密及签名的 算法可以由参与通信的收发双方协商。 S-HTTP提 供了对多种单向散列（ Hash）函数的支持，如 MD2、 MD5及 SHA；对多种私钥体制的支持，如 DES、三元 DES、 RC2、 RC4，以及 CDMF；对数 字签名体制的支持，如 RSA和 DSS。 S-HTTP和 SSL是从不同角度提供 Web的安全性。 S-HTTP对单个文件作 “ 保密 /签字 ” 之区分，而 SSL则把参与通信的相应过程之间的数据通道按 “ 保密 ” 和 “ 已鉴别 ” 进行监管。 除了电子邮件系统外，另一个重要的应用是电子商 务，尤其是信用卡交易。为使 Internet上的信用卡 交易安全起见， MasterCard公司（与 IBM、 Netscape、 GTE和 Cybercash等公司一起）制定了 安全电子付费协议（ SEPP）， Visa国际公司与微 软公司（和其他一些公司一道）制定了安全交易技 术（ STT）协议。 同时， MasterCard、 Visa国际公司和微软公司已经 同意联手推出 Internet上的安全信用卡交易服务。 他们发布了相应的安全电子交易（ SET）协议，其 中规定了信用卡持有人用其信用卡通过 Internet进 行付费的方法。这套机制的后台有一个证书颁发的 基础设施，提供对 X.509证书的支持。 SET标准在 1997年 5月发布了第一版，它提供数据保密、数据 完整性、对于持卡人和商户的身份认证以及其他安 全系统的互操作性。 由于应用程序要使用身份认证和密钥分发系统的 API，这要求有统一的 API，使得应用程序能不作 修改就使用不同的身份认证和密钥分发系统提供的 服务。能做到这一点，开发人员就不必再为增加很 少的安全功能而对整个应用程序动大手术了。因此， 认证系统设计领域内最主要的进展之一就是制定了 标准化的安全 API，即通用安全服务 API（ GSS- API）。 随着 WWW应用领域的扩大，安全和管理等问题日 益受到重视。由于最初 HTTP协议在设计时注重的 是方便的交流，并没有考虑安全的问题，对于 WWW的资源管理缺乏有效的安全保护；后来的 HTTP1.0和 HTTP1.1协议本身也只提供了相当有 限的认证机制，仍然没有全面的安全保证。加上 WWW是建立在 Internet的基础上， Internet的安全 隐患也使得 WWW的进一步应用受到限制。这些已 经阻碍了它的进一步实际商业使用。 7.2.5 WWW应用安全技术 WWW应用安全的解决方案需要结合通用的 Internet安全技术和专门针对 WWW的技术。前者 主要指防火墙技术，后者包括根据 WWW技术的特 点改进 HTTP协议或者利用代理服务器、插入件 （ plug in）、中间件等技术来实现的安全技术。 HTTP协议目前已经有了 3个版本，分别是 HTTP0.9、 HTTP1.0、 HTTP1.1。 HTTP1.0中提供了一个基于口令的基本认证方法 （ Basic Authentication Scheme） ,目前，所有 Web 服务器都可以通过 “ 基本身份认证 ” 支持访问控制。 浏览器将用户输入的用户名和口令经过一定的编码 传给服务器方。在检验了用户身份和口令后，服务 器方才发送回所请求的页面或者执行 CGI程序。用 户也可以选择使用 SSL建立加密信道传输。 HTTP1.1在身份认证上，针对基本认证方法以明文 传输口令这一最大弱点补充了摘要认证方法 （ Digest Authentication Scheme） ,不再传递口令的 明文，而是将口令经过散列函数变换以后传递它的 摘要。使用摘要认证，攻击者再也不能截获口令， 最多只能进行重放攻击，而且这种攻击也被限定在 很短时间内，并只能用于同样的访问请求。 从安全角度来看， HTTP协议中的基本身份认证存 在不少潜在的问题，浏览器以明文的方式传递用户 名和口令，或者接近明文（编码或者散列）。一些 浏览器（如 Netscape）支持采用 SSL加密信道返回 用户名和口令，但是并不是所有 WWW服务器支持 SSL服务器方，它们必须通过支持 SSL的安全服务 器才能触发这种操作模式。这也带来了一些安全漏 洞。 其他针对 HTTP协议的改进还有安全 HTTP协议 （ S-HTTP）。它建立在 HTTP1.1的基础上，提供 了数据加密、身份认证、数据完整、防止否认等功 能。 S-HTTP强调的是灵活性，因此，它通过协商 可以选择不同的密钥管理方法、安全策略，以及加 密算法等。它支持数种报文格式标准。在对称密钥 方式下工作时，它不要求客户方用公钥 Certificate 进行身份认证，相对于 SSL而言，降低了对公钥体 系的要求。 ISO7498-2给出的是开放系统互连安全的一种参考 模型，它是从现实应用的各种网络中提取出较为抽 象的共性而形成的国际标准。这种开放系统的参考 模型以及基于它而构建的安全体系结构，对于网络 环境下的具体应用，有着普遍的指导意义。 TCP/IP协议是一个 4层概念模型，即应用层、传输 层、网络层和网络接口层。 TCP/IP模型中的每一 层对应于 OSI参考模型中的一层或多层。因而可以 根据 ISO7498-2的安全体系结构，将各种安全服务 与安全机制映射到 TCP/IP协议集中，如表 7-6所示。 7.3 OSI安全体系到 TCP/IP安全体系的映射 Internet安全体系结构是基于 TCP/IP层模型之上的 网络安全体系结构，包括 Internet安全结构的布局 （服务配置、通信结构开发、非军事区 DMZ设定 等）以及不同层次网络的保护机制与安全技术。 7.4 本章小结 TCP/IP是一种分层模型的协议集。它是由基于硬 件层次上的 4个概念性层次构成，即应用层、传输 层、 IP层和网络接口层。它包含两个重要分界线， 一个是协议地址分界线，以区分高层和低层的寻址； 另一个是操作系统分界线，以区分系统与应用程序。 IP协议是一种不可靠的、无连接传送机制。用户数 据报协议（ UDP）是一种提供应用程序之间传送数 据报的机制。 TCP协议是一种可靠的、面向连接的 传送机制。 Internet提供的服务通常有邮件服务、 Web服务、 内部访问 Internet、外部访问内部系统。提供的控 制的服务有域名服务（ DNS）、控制报文协议 （ ICMP）、网络时间协议（ NTP）。 Internet不应 提供的服务包括那些不需要的服务，特别是会产生 很大风险的服务。 基于 TCP/IP分层模型的网络安全服务也是分层的， 相应的不同层次的网络服务也是不同的，需要分层 进行配置。包括物理层的安全、链路层的加密保护、 网络层的防火墙及 IP加密、传输层的安全套接字层 以及在应用层针对用户身份进行认证并建立起安全 的访问通道。 7-1 VPN的加密手段为（）。 A. 具有加密功能的防火墙 B. 带有加密功能的路由器 C. VPN内的各台主机对各自的信息进行相应的加 密 D. 单独的加密设备 7-2 IPSec协议中负责对 IP数据报加密的部分是（）。 A. 封装安全负载（ ESP） B. 鉴别包头（ AH） C. Internet密钥交换（ IKE） D. 以上都不是 习题 7-3 分组过滤型防火墙原理上是基于（）进行分析 的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层 7-4 SSL产生会话密钥的方式是（）。 A. 从密钥管理数据库中请求获得 B. 每一台客户机分配一个密钥的方式 C. 随机由客户机产生并加密后通知服务器 D. 由服务器产生并分配给客户机 7-5（）属于 Web中使用的安全协议。 A. PEM、 SSL B. S-HTTP、 S/MIME C. SSL、 S-HTTP D. S/MIME、 SSL 7-6 为了降低风险，不建议使用的 Internet服务是 （）。 A. Web服务 B. 外部访问内部系统 C. 内部访问 Internet D. FTP服务 7-7 为了提高可用性，采用多线接入多个 ISP的通信 结构，采用这种方案需要解决的问题是（）。 A. 需要 ISP具有边界网关协议 BGP知识 B. 连接物理路由的冗余 C. 编址方案 D. 以上 3项都是 7-8 对非军事区 DMZ而言，正确的解释是（）。 A. DMZ是一个非真正可信的网络部分 B. DMZ网络访问控制策略决定允许或禁止进入 DMZ通信 C. 允许外部用户访问 DMZ系统上合适的服务 D. 以上 3项都是 7-9 对动态网络地址转换（ NAT），不正确的说法 是（）。 A. 将很多内部地址映射到单个真实地址 B. 外部网络地址和内部地址一对一的映射 C. 最多可有 64 000个同时的动态 NAT连接 D. 每个连接使用一个端口 7-10 第二层保护的网络一般可达到点对点间（）。 A. 较强的身份认证 B. 保密性 C. 连续的通道认证 D. 以上 3项都是 7-11 第三层保护的网络与第二层保护的网络相比在 通信成本上占有一定优势，它只需要（）进行保护。 主要采用的技术是（）。 A. 认证机制，防火墙 B. 访问控制机制， IPSec C. 访问控制机制，防火墙和 IPSec D. 认证机制，防火墙和 IPSec 7-12 传输层保护的网络采用的主要技术是建立在（） 基础上的（）。 A. 可靠的传输服务，安全套接字层 SSL协议 B. 不可靠的传输服务， S-HTTP协议 C. 可靠的传输服务， S-HTTP协议 D. 不可靠的传输服务，安全套接字层 SSL协议