网络安全基础教程复习教案

9.简述分布式防火墙的基本原理。

答：分布式防火墙工作原理是：首先由制定防火墙接入控制策略的中心，通过编译器将策略语言的描述转换成内部格式，以形成策略文件；然后中心采用系统管理工具把策略文件发给各台“内部”主机；“内部”主机将从两方面来判定是否接受收到的包。

这一方面是根据ipsec协议，另一方面是根据策略文件。

建议的安全机制有那几种？

答：iso7498-2建议的安全机制：

1)．加密机制。

加密机制用于加密数据或流通中的信息，其可以单独使用。

2)．数字签名机制。

数字签名机制是由对信息进行签字和对已签字的信息进行证实这样两个过程组成。

3)．访问控制机制。

访问控制机制是根据实体的身份及其有关信息来决定该实体的访问权限。

4)．数据完整性机制。

5)．认证机制。

6)．通信业务填充机制。

7)．路由控制机制。

8)．公证机制。

公证机制是由第三方参与的签名机制。

11.什么是虚拟专用网技术vpn？

答：虚拟专用网vpn是企业内部网在internet等公共网络上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。

12.什么是数据包过滤技术？

答：数据包过滤技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤的逻辑，称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许数据包通过。

二。请画图说明具有保密性和认证性的密钥分配并说明建立会话密钥的步骤。

答：图见书13页图1-6

若用户a和b双方已完成公钥交换，可按以下步骤建立会话密钥。

1）a用b的公开钥加密a的身份ida和一个一次性随机数n1后发给b，其中n1用于唯一地标识此次业务。

2）b用a的公开钥pka加密a的一次性随机数n1和b新产生的一次性随机数n2后发给a。因为只有b能解读a发给b的消息，而b所发的消息中n1的存在可使a相信对方的确是b。

3）a用b的公钥pkb对n2加密后返回给b，以使b相信对方的确是a。

4）a选一会话密钥ks，然后将其m=epkb[eska[ks]]发给b，其中用b的公开钥加密是为了保证只有b能解读加密结果，用a的秘密钥加密是保证该加密结果只有a能发送。

5）b以dska[dskb[m]]恢复会话密钥。

三。请画图说明密码学加密解密模型。

答：参考书7页图1-2