16.参考答案：包过滤防火墙也称分组过滤路由器，又叫网络层防火墙，因为它是工作在网络层。路由器便是一个网络层防火墙，因为包过滤是路由器的固

有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。

这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则（丢弃该包）。在制定数据包过滤规则时，一定要注意数据包是双向的。

17.参考答案：KDC在密钥分配过程中充当可信任的第三方。KDC保存有每个用

户和KDC之间共享的唯一密钥，以便进行分配。在密钥分配过程中，KDC按照

需要生成各对端用户之间的会话密钥，并由用户和KDC共享的密钥进行加密，通过安全协议将会话密钥安全地传送给需要进行通信的双方。

18.参考答案：优点在于黑客即使得到了口令文件，通过散列值想要计算出原

始口令在计算上也是不可能的，这就相对增加了安全性。

严重的安全问题（单因素的认证），安全性仅依赖于口令，而且用户往往选择容易记忆。

容易被猜测的口令（安全系统最薄弱的突破口），口令文件也可被进行离线的字典式攻击。

19.参考答案：状态检测又称动态包过滤，所以状态检测防火墙又称动态防火

墙，最早由CheckPoint提出。

状态检测是一种相当于4、5层的过滤技术，既提供了比包过滤防火墙更高的安全性和更灵活的处理，也避免了应用层网关的速度降低问题。要实现状态检测防火墙，最重要的是实现连接的跟踪功能，并且根据需要可动态地在过滤规则中增加或更新条目。防火墙应当包含关于包最近已经通过它的“状态信息”，以决定是否让来自Internet的包通过或丢弃。

20.参考答案：1访问控制矩阵

行表示客体（各种资源），列表示主体（通常为用户），行和列的交叉点表示某个主体对某个客体的访问权限。通常一个文件的Own权限表示可以授予

（Authorize）或撤消（Revoke）其他用户对该文件的访问控制权限。

2访问能力表

实际的系统中虽然可能有很多的主体与客体，但两者之间的权限关系可能并不多。为了减轻系统的开销与浪费，我们可以从主体（行）出发，表达矩阵某一行的信息，这就是访问能力表（Capabilities）。

只有当一个主体对某个客体拥有访问的能力时，它才能访问这个客体。但是要从访问能力表获得对某一特定客体有特定权限的所有主体就比较困难。在一个安全系统中，正是客体本身需要得到可靠的保护，访问控制服务也应该能够控制可访问某一客体的主体集合，于是出现了以客体为出发点的实现方式——ACL。

3访问控制表

也可以从客体（列）出发，表达矩阵某一列的信息，这就是访问控制表

（Access Control List）。它可以对某一特定资源指定任意一个用户的访问权限，还可以将有相同权限的用户分组，并授予组的访问权。

4授权关系表

授权关系表（Authorization Relations）的每一行表示了主体和客体的一个授权关系。对表按客体进行排序，可以得到访问控制表的优势；对表按主体进行排序，可以得到访问能力表的优势。适合采用关系数据库来实现。

六、多项选择题（0分，共30题，每小题0分）

1.ABCDE 2.ABCD 3.ABC 4.ABCD 5.ABCDE 6.BCD 7.ABC 8.BC 9.ABCD

10.ABCD 11.BCD 12.ADE 13.ABD 14.ABCDE 15.ABCDE 16.ABCD 17.AC

18.ADE 19.ABD 20.ABD 21.BCDE 22.ABCDE 23.ABD 24.ABCDE 25.ABCDE 26.ABC 27.ABD 28.ACD 29.CD 30.ACD