5层网络安全体系意义

A. 简述具有五层协议的网络体系结构中各层的主要功能。

应用层
应用层是体系结构中的最高层。应用层确定进程之间通信的性质以满足用户的需要。这里的进程就是指正在运行的程序。应用层不仅要提供应用进程所需要的信息交换和远地操作，而且还要作为互相作用的应用进程的用户代理，来完成一些为进行语义上有意义的信息交换所必须的功能。应用层直接为用户的应用进程提供服务。

传输层
传输层的任务就是负责主机中两个进程之间的通信。因特网的传输层可使用两种不同协议：即面向连接的传输控制协议TCP，和无连接的用户数据报协议UDP。面向连接的服务能够提供可靠的交付，但无连接服务则不保证提供可靠的交付，它只是“尽最大努力交付”。这两种服务方式都很有用，备有其优缺点。在分组交换网内的各个交换结点机都没有传输层。

网络层
网络层负责为分组交换网上的不同主机提供通信。在发送数据时，网络层将运输层产生的报文段或用户数据报封装成分组或包进行传送。在TCP/IP体系中，分组也叫作IP数据报，或简称为数据报。网络层的另一个任务就是要选择合适的路由，使源主机运输层所传下来的分组能够交付到目的主机。

数据链路层
当发送数据时，数据链路层的任务是将在网络层交下来的IP数据报组装成帧，在两个相邻结点间的链路上传送以帧为单位的数据。每一帧包括数据和必要的控制信息（如同步信息、地址信息、差错控制、以及流量控制信息等）。控制信息使接收端能够知道—个帧从哪个比特开始和到哪个比特结束。控制信息还使接收端能够检测到所收到的帧中有无差错。

物理层
物理层的任务就是透明地传送比特流。在物理层上所传数据的单位是比特。传递信息所利用的一些物理媒体，如双绞线、同轴电缆、光缆等，并不在物理层之内而是在物理层的下面。因此也有人把物理媒体当做第0层。

B. 网络安全的五种属性是什么含义

（1）可用性

（2）机密性

（3）完整性

（4）可靠性

（5）不可抵赖性，也称为不可否认性

C. 网络安全及其重要意义是什么

网络安全（Cyber Security）是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络信息

在网络中，网络信息与用户信息不同，它是面向网络运行的信息。网络信息是网络内部的专用信息。它仅向通信维护和管理人员提供有限的维护、控制、检测和操作层面的信息资料，其核心部分仍不允许随意访问。

特别应当指出，当前对网络的威胁和攻击不仅是为了获取重要的用户机密信息，得到最大的利益，还把攻击的矛头直接指向网络本身。除对网络硬件攻击外，还会对网络信息进行攻击，严重时能使网络陷于瘫痪，甚至危及国家安全。

D. 简述具有五层协议的网络体系结构中各层的主要功能。

物理层：以太网·调制解调器· 电力线通信(PLC) ·SONET/SDH· G.709 ·光导纤维· 同轴电缆 · 双绞线等

物理层（或称物理层，Physical Layer）是计算机网络OSI模型中最低的一层。物理层规定:为传输数据所需要的物理链路创建、维持、拆除，而提供具有机械的，电子的，功能的和规范的特性。简单的说，物理层确保原始的数据可在各种物理媒体上传输。局域网与广域网皆属第1、2层。

物理层是OSI的第一层，它虽然处于最底层，却是整个开放系统的基础。物理层为设备之间的数据通信提供传输媒体及互连设备，为数据传输提供可靠的环境。如果您想要用尽量少的词来记住这个第一层，那就是“信号和介质”。

OSI采纳了各种现成的协议，其中有RS-232、RS-449、X.21、V.35、ISDN、以及FDDI、IEEE802.3、IEEE802.4、和IEEE802.5的物理层协议。

数据链路层：Wi-Fi(IEEE 802.11) · WiMAX(IEEE 802.16) ·ATM · DTM ·令牌环·以太网·FDDI ·帧中继· GPRS · EVDO ·HSPA · HDLC ·PPP· L2TP ·PPTP · ISDN·STP 等

数据链路层是OSI参考模型中的第二层，介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务，其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目的，数据链路必须具备一系列相应的功能，主要有：如何将数据组合成数据块，在数据链路层中称这种数据块为帧（frame），帧是数据链路层的传送单位；如何控制帧在物理信道上的传输，包括如何处理传输差错，如何调节发送速率以使与接收方相匹配；以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。

移动通信系统中Uu口协议的第二层，也叫层二或L2。

网络层协议：IP (IPv4 · IPv6) · ICMP· ICMPv6·IGMP ·IS-IS · IPsec · ARP · RARP等

网络层是OSI参考模型中的第三层，介于传输层和数据链路层之间，它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上，进一步管理网络中的数据通信，将数据设法从源端经过若干个中间节点传送到目的端，从而向运输层提供最基本的端到端的数据传送服务。主要内容有：虚电路分组交换和数据报分组交换、路由选择算法、阻塞控制方法、X.25协议、综合业务数据网（ISDN）、异步传输模式（ATM）及网际互连原理与实现。

传输层协议：TCP · UDP · TLS ·DCCP· SCTP · RSVP · OSPF 等

传输层（Transport Layer）是ISO OSI协议的第四层协议，实现端到端的数据传输。该层是两台计算机经过网络进行数据通信时，第一个端到端的层次，具有缓冲作用。当网络层服务质量不能满足要求时，它将服务加以提高，以满足高层的要求；当网络层服务质量较好时，它只用很少的工作。传输层还可进行复用，即在一个网络连接上创建多个逻辑连接。

传输层在终端用户之间提供透明的数据传输，向上层提供可靠的数据传输服务。传输层在给定的链路上通过流量控、分段/重组和差错控制。一些协议是面向链接的。这就意味着传输层能保持对分段的跟踪，并且重传那些失败的分段。

应用层协议：DHCP ·DNS· FTP · Gopher · HTTP· IMAP4 · IRC · NNTP · XMPP ·POP3 · SIP · SMTP ·SNMP · SSH ·TELNET · RPC · RTCP · RTP ·RTSP· SDP · SOAP · GTP · STUN · NTP· SSDP · BGP · RIP 等

应用层位于物联网三层结构中的最顶层，其功能为“处理”，即通过云计算平台进行信息处理。应用层与最低端的感知层一起，是物联网的显着特征和核心所在，应用层可以对感知层采集数据进行计算、处理和知识挖掘，从而实现对物理世界的实时控制、精确管理和科学决策。

物联网应用层的核心功能围绕两个方面：

一是“数据”，应用层需要完成数据的管理和数据的处理；

二是“应用”，仅仅管理和处理数据还远远不够，必须将这些数据与各行业应用相结合。例如在智能电网中的远程电力抄表应用：安置于用户家中的读表器就是感知层中的传感器，这些传感器在收集到用户用电的信息后，通过网络发送并汇总到发电厂的处理器上。该处理器及其对应工作就属于应用层，它将完成对用户用电信息的分析，并自动采取相关措施。

(4)5层网络安全体系意义扩展阅读

TCP/IP协议毫无疑问是这三大协议中最重要的一个，作为互联网的基础协议，没有它就根本不可能上网，任何和互联网有关的操作都离不开TCP/IP协议。不过TCP/IP协议也是这三大协议中配置起来最麻烦的一个，单机上网还好，而通过局域网访问互联网的话，就要详细设置IP地址，网关，子网掩码，DNS服务器等参数。

TCP/IP尽管是目前最流行的网络协议，但TCP/IP协议在局域网中的通信效率并不高，使用它在浏览“网上邻居”中的计算机时，经常会出现不能正常浏览的现象。此时安装NetBEUI协议就会解决这个问题。

NetBEUI即NetBios Enhanced User Interface ，或NetBios增强用户接口。它是NetBIOS协议的增强版本，曾被许多操作系统采用，例如Windows for Workgroup、Win 9x系列、Windows NT等。NETBEUI协议在许多情形下很有用，是WINDOWS98之前的操作系统的缺省协议。NetBEUI协议是一种短小精悍、通信效率高的广播型协议，安装后不需要进行设置，特别适合于在“网络邻居”传送数据。所以建议除了TCP/IP协议之外，小型局域网的计算机也可以安上NetBEUI协议。另外还有一点要注意，如果一台只装了TCP/IP协议的WINDOWS98机器要想加入到WINNT域，也必须安装NetBEUI协议。

IPX/SPX协议本来就是Novell开发的专用于NetWare网络中的协议，但是也非常常用--大部分可以联机的游戏都支持IPX/SPX协议，比如星际争霸，反恐精英等等。虽然这些游戏通过TCP/IP协议也能联机，但显然还是通过IPX/SPX协议更省事，因为根本不需要任何设置。除此之外，IPX/SPX协议在非局域网络中的用途似乎并不是很大.如果确定不在局域网中联机玩游戏，那么这个协议可有可无。

参考资料：网络-网络七层协议

E. 计算机网络安全体系结构包括什么

计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的。

对于一个系统而言，首先要以硬件电路等物理设备为载体，然后才能运 行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备，用户可以搭建自己所需要的通信网络，对于小范围的无线局域网而言，人们可以使用这 些设备搭建用户需要的通信网络，最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵，这种防护措施可以作为一种通信协议保护。

计算机网络安全广泛采用WPA2加密协议实现协议加密，用户只有通过使用密匙才能对路由器进行访问，通常可以讲驱动程序看作为操作系统的一部分，经过注册表注册后，相应的网络 通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护，不能被更改、泄露和破坏，能够使整个网络得到可持续的稳定运 行，信息能够完整的传送，并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。

(5)5层网络安全体系意义扩展阅读

计算机安全的启示：

1、按先进国家的经验，考虑不安全因素，网络接口设备选用本国的，不使用外国货。

2、网络安全设施使用国产品。

3、自行开发。

网络的拓扑结构：重要的是确定信息安全边界

1、一般结构：外部区、公共服务区、内部区。

2、考虑国家利益的结构：外部区、公共服务区、内部区及稽查系统和代理服务器定位。

3、重点考虑拨号上网的安全问题：远程访问服务器，放置在什么位置上，能满足安全的需求。

F. 从层次上，网络安全可以分成哪几层，每层有什么特点

从层次体系上，可以将网络安全分成四个层次上的安全：
1、物理安全；
2、逻辑安全；
3、操作系统安全；
4、联网安全。

G. 网络安全的意义

当今社会信息安全越来越受到重视是因为它己经成为影响国家安全的一个权重高的因素，
它直接关系到国家的金融环境、意识形态、政治氛围等各个方面，信息安全问题无忧，国家安全和社会稳定也就有了可靠的保障。
资料拓展：
提升信息安全的技术方法
（1）信息流通过程中加密：通常信息在流通过程中，没有安全措施，易失窃，毫无安全性可言。通过加密等技术的使用，大大减小信息在流通中失窃的机率。
例如，保密线路应用在有线通信中；激光通信等技术应用在无线通信中，这都是比较有效的防窃措施。
（2）电磁辐射控制技术在计算机中的应用：由于电磁辐射的存在，计算机上的信息，在较远的地方使用相关专用的设备。
经分析技术就可以直接接收，拥有高超技术的黑客通过对电磁辐射的分析，窃取一些加密信息内容。
（3）防火墙的设置：防火墙是一种软件的防护形式。防火墙有自己的防护条例，对通信数据的来源和途径进行检测，对于危险的网站或信息，会自动防御，其防御效果还是不错的。
但从其防护方式上看，它是一种比较被动的防御方式，只有外面有进攻，它才能发挥作用

H. 各位有志之士帮个忙，小女子不胜感激！！！！！！！

不知道行不行
要：文中就信息网络安全内涵发生的根本变化，阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。

关键词：网络安全 防火墙 技术特征

1.概述

21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。

一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。

网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。

2.防火墙

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。�

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。�

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。

防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
2.1.包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点

,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2.2.网络地址转化—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

NAT的工作过程如图1所示：

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。
2.3.代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

2.4.监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

I. 网络安全防范体系的层次

物理环境的安全性
该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。 操作系统的安全性
该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。 网络的安全性
该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。 应用的安全性
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。 管理的安全性
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

J. 试述五层协议的网络体系结构的要点，包括各层的主要功能

1.应用层

应用层的任务是通过应用进程间的交互来完成特定网络应用。应用层协议定义的是应用进程间通信和交互的规则。

不同的网络应用需要不同的协议，如万维网应用的HTTP协议，支持电子邮件的SMTP协议，支持文件传送的FTP协议等

2.运输层

运输层的任务是负责为两个主机中进程之间的通信提供通用的数据传输服务。应用进程利用该服务传送应用层 报文。

所谓通用，是指并不针对某个特定网络的应用。而是多种应用可以使用同一个运输层服务。

运输层主要使用以下两种协议：

传输控制协议TCP （提供面向连接的，可靠的数据传输服务，数据传输的单位是报文段）

用户数据报协议UDP(提供无连接的，尽最大努力交付，其数据传输的单位是用户数据报)

3.网络层

网络层为分组交换网上不同主机提供通信服务。网络层将运输层产生的报文段或用户数据报封装成分组和包进行传送。

4.数据链路层

两台主机间的数据传输，总是一段一段在数据链路上传送的，这就需要使用专门的链路层协议。在两个相邻节点间的链路上传送帧，每一帧包括数据和必要的控制信息（如同步信息，地址信息，差错控制等）

三个基本问题：封装成帧，透明传输，差错检测

5.物理层

在物理层上所传数据单位是比特。

(10)5层网络安全体系意义扩展阅读：网络体系结构是指通信系统的整体设计，它为网络硬件、软件、协议、存取控制和拓扑提供标准。它广泛采用的是国际标准化组织（ISO）在1979年提出的开放系统互连（OSI-Open System Interconnection)的参考模型。