網(wǎng)絡(luò)安全技術(shù)與實(shí)踐第二版課后答案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上網(wǎng)絡(luò)安全期末復(fù)習(xí)題型：1、選擇、判斷、簡答（45% ）2、分析題（55%）注：如有發(fā)現(xiàn)錯(cuò)誤，希望能夠提出來。第一章引言一、填空題1、 信息安全的3個(gè)基本目標(biāo)是：保密性、完整性和可用性。此外，還有一個(gè) 不可忽視的目標(biāo)是：合法使用。2、 網(wǎng)絡(luò)中存在的4種基本安全威脅有：信息泄漏、完整性破壞、拒絕服務(wù)和 非法使用。3、訪問控制策略可以劃分為：強(qiáng)制性訪問控制策略和自主性訪問控制策略 。4、安全性攻擊可以劃分為：被動攻擊和主動攻擊o5、X.800定義的5類安全服務(wù)是：認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、 不可否認(rèn)性。6、X.800定義的8種特定的安全機(jī)制是：加密、數(shù)字簽名、

2、訪問控制、數(shù)據(jù)完 整性、認(rèn)證交換、流量填充、路由控制 和公證。7、X.800定義的5種普遍的安全機(jī)制是： 可信功能度、安全標(biāo)志、事件檢測、 安全審計(jì)跟蹤禾口安全恢復(fù)。二、思考題2、基本的安全威脅有哪些？主要的滲入類型威脅是什么？主要的植入類型威 脅時(shí)什么？請列出幾種最主要的威脅。答：基本的安全威脅有：信息泄露、完整性破壞、拒絕服務(wù)、非法使用。主要的滲入類型威脅有：假冒、旁路、授權(quán)侵犯。主要的植入威脅有：特洛伊木馬、陷門最主要安全威脅：（1）授權(quán)侵犯（2）假冒攻擊（3）旁路控制（4）特洛 伊木馬或陷阱（5）媒體廢棄物（出現(xiàn)的頻率有高到低）4. 什么是安全策略？安全策略有幾個(gè)不同的等級？答：安全策

3、略：是指在某個(gè)安全區(qū)域內(nèi)，施加給所有與安全相關(guān)活動的一套規(guī) 則。安全策略的等級：1安全策略目標(biāo)；2機(jī)構(gòu)安全策略；3系統(tǒng)安全策略。專心-專注-專業(yè)6. 主動攻擊和被動攻擊的區(qū)別是什么？請舉例說明。答：區(qū)別：被動攻擊時(shí)系統(tǒng)的操作和狀態(tài)不會改變，因此被動攻擊主要威脅信 息的保密性。主動攻擊則意在篡改或者偽造信息、也可以是改變系統(tǒng)的狀態(tài) 和操作，因此主動攻擊主要威脅信息的完整性、可用性和真實(shí)性。主動攻擊的例子：偽裝攻擊、重放攻擊、消息篡改、拒絕服務(wù)。被動攻擊的例子：消息泄漏、流量分析。9、請畫出一個(gè)通用的網(wǎng)絡(luò)安全模式，并說明每個(gè)功能實(shí)體的作用 網(wǎng)絡(luò)安全模式如下：Hi產(chǎn)皓妒盤厲忡栽者、奩密鴿的分私）網(wǎng)絡(luò)

4、安全模型由六個(gè)功能實(shí)體組成：消息的發(fā)送方 （信源）、消息的接收方（信 宿）、安全變換、信息通道、可信的第三方和攻擊者。第二章低層協(xié)議的安全性一、填空題1主機(jī)的IPv4的長度為32b，主機(jī)的MAC地址長度為48b。IPv6的地址長度為 128b02、ARP的主要功能是將巴地址轉(zhuǎn)換成為物理地址3、 NAT的主要功能是實(shí)現(xiàn) 網(wǎng)絡(luò)地址和JP地址之間的轉(zhuǎn)換，它解決了 IPv4地 址短缺的問題。4、DNS服務(wù)使用53號端口，它用來實(shí)現(xiàn) 域名到IP地址 或IP地址到域名 的映 射。二、思考題1、簡述以太網(wǎng)上一次TCP會話所經(jīng)歷的步驟和涉及的協(xié)議。答：步驟：開放TCP連接是一個(gè)3步握手過程：在服務(wù)器收到初始的

5、SYN數(shù)據(jù)包后，該連接處于半開放狀態(tài)。此后，服務(wù)器返回自己的序號，并等待確認(rèn)。最后，客戶機(jī)發(fā)送第3個(gè)數(shù)據(jù)包使TCP連接開放，在客戶機(jī)和服務(wù)器之間建立連接。協(xié)議:路由協(xié)議、In ternet協(xié)議、TCP/IP協(xié)議2、在TCP連接建立的3步握手階段，攻擊者為什么可以成功實(shí)施SYN Flood攻擊？在實(shí)際中，如何防范此類攻擊？答：當(dāng)TCP處于半開放狀態(tài)時(shí)，攻擊者可以成功利用SYN Flood對服務(wù)器發(fā)動攻擊。攻擊者使用第一個(gè)數(shù)據(jù)包對服務(wù)器進(jìn)行大流量沖擊，使服務(wù)器一直處于半開放連接狀 態(tài)，導(dǎo)致服務(wù)器無法實(shí)現(xiàn) 3步握手協(xié)議。防范SYN Flood攻擊，一類是通過防火墻、路由器等過濾網(wǎng)關(guān)防護(hù)；另一類是通過

6、加 固TCP/IP協(xié)議棧防范。4、為什么UDP比BGP的主要區(qū)別。答：由于UDP自身缺少流控制特性，所以采用 UDP進(jìn)行大流量的數(shù)據(jù)傳輸時(shí)，就可能造 成堵塞主機(jī)或路由器，并導(dǎo)致大量的數(shù)據(jù)包丟失；UDP沒有電路概念，所以發(fā)往給定端口的數(shù)據(jù)包都被發(fā)送給同一個(gè)進(jìn)程，而忽略了源地址和源端口號；UDP沒有交換握手信息和序號的過程，所以采用UDP欺騙要比使用TCP更容易。9、通過DNS劫持會對目標(biāo)系統(tǒng)產(chǎn)生什么樣的影響？如何避免？答：通過劫持了 DNS服務(wù)器，通過某些手段取得某域名的解析記錄控制權(quán)，進(jìn) 而修改此域名的解析結(jié)果，導(dǎo)致對該域名的訪問由原IP地址轉(zhuǎn)入到修改后的指定IP,其結(jié)果就是對特定的網(wǎng)址不能訪

7、問或訪問的是假網(wǎng)址。避免DNS劫持:暴露的主機(jī)不要采用基于名稱的認(rèn)證；不要把秘密的信息 放在主機(jī)名中；進(jìn)行數(shù)字簽名14、判斷下列情況是否可能存在？為什么？（1） 通過ICMP數(shù)據(jù)包封裝數(shù)據(jù)，與遠(yuǎn)程主機(jī)進(jìn)行類似 UDP的通信。（2）通過特意構(gòu)造的TCP數(shù)據(jù)包，中斷兩臺機(jī)器之間指定的一個(gè) TCP會話。 答：（1）不存在。TCP/UDP是傳輸層（四層）的協(xié)議，只能為其上層提供服務(wù)，而ICMP是網(wǎng)絡(luò)互聯(lián)層（三層）的協(xié)議，怎么可能反過來用四層協(xié)議 來為比它還低層的數(shù)據(jù)包來服務(wù)呢。（2）如果攻擊者能夠預(yù)測目標(biāo)主機(jī)選擇的起始序號，他就可能欺騙該目標(biāo) 主機(jī)，使目標(biāo)主機(jī)相信自己正在與一臺可信的主機(jī)會話。第4章單

8、（私）鑰加密體制一、填空題1、 密碼體制的語法定義由以下六部分構(gòu)成：明文消息空間、密文消息空間、 加密密鑰空間、密鑰生成算法、加密算法、解密算法。2、 單（私）鑰加密體制的特點(diǎn)是：通信雙方采用的密鑰相同 所以人們通常也 稱其為對稱加密體制。第9章數(shù)字證書與公鑰基礎(chǔ)設(shè)施一、選擇題1. 數(shù)字證書將用戶與其B相聯(lián)系。A .私鑰 B.公鑰 C.護(hù)照 D.駕照2. 用戶的 B不能出現(xiàn)在數(shù)字證書中。A.公鑰 B.私鑰 C.組織名 D.人名3. A 可以簽發(fā)數(shù)字證書。A. CA B.政府 C.小店主 D.銀行4. D標(biāo)準(zhǔn)定義數(shù)字證書結(jié)構(gòu)。A. X.500 B. TCP/IP C. ASN.1 D. X.50

9、95. RA A 簽發(fā)數(shù)字證書。A.可以 B.不必 C.必須 D.不能6. CA使用 D 簽名數(shù)字證書。A.公鑰B.自簽名證書C.數(shù)字證書D.數(shù)8.CRL是C的。A.聯(lián)機(jī)B.聯(lián)機(jī)和脫機(jī)C.脫機(jī)D.未定義9.OCSP 是A的。A.聯(lián)機(jī)B.聯(lián)機(jī)和脫機(jī)C.脫機(jī)D.未定義10.最高權(quán)威的CA稱為C。A.RCAB.RA C.SOAD. ARA0A.用戶的公鑰 B.用戶的私鑰 C.自己的公鑰 D.自己的私鑰7.要解決信任問題，需使用 C二、思考題1、數(shù)字證書的典型內(nèi)容什么？答：數(shù)字證書的概念：一個(gè)用戶的身份與其所持有的公鑰的結(jié)合，由一個(gè)可信 任的權(quán)威機(jī)構(gòu)CA來證實(shí)用戶的身份，然后由該機(jī)構(gòu)對該用戶身份及對應(yīng)

10、公鑰相 結(jié)合的證書進(jìn)行數(shù)字簽名，以證明其證書的有效性。一般包括：(1) 證書的版本信息；(2) 證書的序列號，每個(gè)證書都有一個(gè)唯一的證書序列號；(3) 證書所使用的簽名算法；(4) 證書的發(fā)型機(jī)構(gòu)名稱；(5) 證書的有效期；(6) 證書所有人名稱；(7) 證書所有人的公開密鑰；（8）證書發(fā)行者對證書的簽名;4、簡述撤銷數(shù)字證書的原因？答：（1）數(shù)字證書持有者報(bào)告該證書中指定公鑰對應(yīng)的私鑰被破解（被盜）；（2）CA發(fā)現(xiàn)簽發(fā)數(shù)字證書是出錯(cuò)；（3）證書持有者離職，而證書為其在職期間簽發(fā)的。10、攻擊者A創(chuàng)建了一個(gè)證書，放置一個(gè)真實(shí)的組織名（假設(shè)為銀行 B）及攻 擊者自己的公鑰。你在不知道是攻擊者在發(fā)

11、送的情形下，得到了該證書，誤認(rèn) 為該證書來自銀行B。請問如何防止該問題的產(chǎn)生？答：第10章網(wǎng)絡(luò)加密與密鑰管理一、填空題1、 網(wǎng)絡(luò)加密方式有 4種，它們分別是鏈路加密、節(jié)點(diǎn)加密、端到端加密和混 合加密。2、在通信網(wǎng)的數(shù)據(jù)加密中，密鑰可分為 基本密鑰、會話密鑰、密鑰加密密鑰、 主機(jī)主密鑰。3、密鑰分配的基本方法有 利用安全信道實(shí)現(xiàn)密鑰傳輸 、利用雙鑰體制建立安 全信道傳遞和利用特定的物理現(xiàn)象實(shí)現(xiàn)密鑰傳遞等4、在網(wǎng)絡(luò)中，可信第三方 TTP的角色可以由密鑰服務(wù)器、密鑰管理設(shè)備、密 鑰查閱服務(wù)和時(shí)戳代理 等來承擔(dān)（請任意舉出4個(gè)例子）5、 按照協(xié)議的功能分類，密碼協(xié)議可以分為認(rèn)證建立協(xié)議、密鑰建立協(xié)議、

12、 認(rèn)證的密鑰建立協(xié)議。6、Diffie-Hellman密鑰交換協(xié)議不能抵抗中間人的攻擊7、Kerberos 提供 AA.加密 B.SSOC.遠(yuǎn)程登錄D.本地登陸&在Kerberos中，允許用戶訪問不同應(yīng)用程序或服務(wù)器的服務(wù)器稱為AA.ASB.TGTC.TGSD.文件服務(wù)器9、在Kerberos中，C與系統(tǒng)中的每個(gè)用戶共享唯個(gè)口令。A.ASB.TGTC.TGSD.文件服務(wù)器二、思考題1、網(wǎng)絡(luò)加密有哪幾種方式？請比較它們的優(yōu)缺點(diǎn)。答：網(wǎng)絡(luò)加密的方式有 4 種分別是鏈路加密、節(jié)點(diǎn)加密、端到端加密、混合加 密。鏈路加密 的優(yōu)點(diǎn)： （1） 加密對用戶是透明的，通過鏈路發(fā)送的任何信 息在發(fā)送 前都先被加密

13、。（2） 每個(gè)鏈路只需要一對密鑰。（3）提供了信號流安全機(jī)制。 缺點(diǎn)：數(shù)據(jù)在中間結(jié)點(diǎn)以明文形式出現(xiàn)，維護(hù)結(jié)點(diǎn)安全性的代價(jià)較 高。節(jié)點(diǎn)加密 的優(yōu)點(diǎn)：（1）消息的加、解密在安全模塊中進(jìn)行，這使消息內(nèi)容不會 被泄密（ 2）加密對用戶透明缺點(diǎn)：（ 1）某些信息（如報(bào)頭和路由信息）必須以明文形式傳輸（ 2）因?yàn)樗泄?jié)點(diǎn)都必須有密鑰，密鑰分發(fā)和管理變的困難端到端加密的優(yōu)點(diǎn)：對兩個(gè)終端之間的整個(gè)通信線路進(jìn)行加密 只需要 2臺加密機(jī)， 1臺在發(fā)端， 1臺在收端 從發(fā)端到收端的傳輸過程中，報(bào)文始終以密文存在 消息報(bào)頭（源/目的地址）不能加密，以明文傳送 只需要 2 臺加密機(jī)， 1臺在發(fā)端， 1 臺在收端 從發(fā)端

14、到收端的傳輸過程中，報(bào)文始終以密文存在 比鏈路和節(jié)點(diǎn)加密更安全可靠，更容易設(shè)計(jì)和維護(hù) 缺點(diǎn)：不能防止業(yè)務(wù)流分析攻擊?；旌霞用?的是鏈路和端到端混合加密組成。優(yōu)點(diǎn)：從成本、靈活性和安全性來看，一般端到端加密方式較有 吸引力。對于某些遠(yuǎn)程機(jī)構(gòu)，鏈路加密可能更為合適。缺點(diǎn)信息的安全設(shè)計(jì)較 復(fù)雜。4、密鑰有哪些種類？它們各自的用途是什么？請簡述它們之間的關(guān)系？答：種類：1、基本密鑰或稱初始密鑰其用途是與會話密鑰一起去啟動和控制某 種算法所構(gòu)造的密鑰產(chǎn)生器，產(chǎn)生用于加密數(shù)據(jù)的密鑰流。2、 會話密鑰其用途是使人們可以不必繁瑣的更換基本密鑰，有利于 密鑰的安全和管理。3、密鑰加密密鑰用途是用于對傳送的會話或

15、文件密鑰進(jìn)行加密時(shí)采用的密鑰，也成為次主密鑰、輔助密鑰或密鑰傳送密鑰。4、 主機(jī)主密鑰作用是對密鑰加密密鑰進(jìn)行加密的密鑰，存儲于主機(jī) 處理器中。5、雙鑰體制下的公開鑰和秘密鑰、 簽名密鑰、證實(shí)密鑰。關(guān)系如圖：會話密鑰ks卩基本密鑰血.混合器“密鑰產(chǎn)綢密鑰加密47、密鑰分配的基本模式有哪些？(a) 點(diǎn)對點(diǎn)密鑰分配：由A直接將密鑰送給B，利用A與B的共享基本密鑰 加密實(shí)現(xiàn)。(b) 密鑰分配中心(KDC): A向KDC請求發(fā)送與B通信用的密鑰，KDC生 成k傳給A,并通過A轉(zhuǎn)遞給B，利用A與KDC和B與KDC的共享密鑰實(shí)現(xiàn)。(c) 密鑰傳遞中心(KTC ): A與KTC , B與KTC有共享基本密鑰

16、11、在密碼系統(tǒng)中，密鑰是如何進(jìn)行保護(hù)、存儲和備份的？密鑰的保護(hù)：將密鑰按類型分成不同的等級。大量的數(shù)據(jù)通過少量的動態(tài)產(chǎn)生 的初級密鑰來保護(hù)。初級密鑰用更少量的、相對不變的二級密鑰或主密鑰 KM0 來保護(hù)。二級密鑰用主機(jī)主密鑰 KM1,KM2來保護(hù)。少量的主密鑰以明文形式 存儲在專用的密碼裝置中，其余的密鑰以密文形式存儲在專用密碼裝置以外。這樣，就把保護(hù)大量數(shù)據(jù)的問題簡化為保護(hù)和使用少量數(shù)據(jù)的問題。密鑰的存儲：密鑰在多數(shù)時(shí)間處于靜態(tài)，因此對密鑰的保存是密鑰管理重要內(nèi) 容。密鑰可以作為一個(gè)整體進(jìn)行保存，也可化為部分進(jìn)行保存。密鑰的硬件存 儲；使用門限方案的密鑰保存 ；公鑰在公用媒體中存儲。密鑰的

17、備份：交給安全人員放在安全的地方保管；采用共享密鑰協(xié)議。第12章防火墻技術(shù)一、填空題1、防火墻應(yīng)位于一C _A、公司網(wǎng)絡(luò)內(nèi)部B、公司網(wǎng)絡(luò)外部C、公司網(wǎng)絡(luò)與外部網(wǎng)絡(luò)D、都不對2、應(yīng)用網(wǎng)關(guān)的安全性 B 包過濾防火墻。A、不如B、超過C、等于D、都不對3、防火墻可以分為 靜態(tài)包過濾、動態(tài)包過濾、電路級網(wǎng)關(guān)、應(yīng)用級網(wǎng)關(guān)、狀 態(tài)檢查包過濾、切換代理 和空氣隙7種類型。4、靜態(tài)包過濾防火墻工作于 OSI模型的網(wǎng)絡(luò)層上，他對數(shù)據(jù)包的某些特定域 進(jìn)行檢查，這些特定域包括:數(shù)據(jù)源地址、目的地址、應(yīng)用或協(xié)議、源端口號、目的端口號5、動態(tài)包過濾防火墻工作于 OSI模型的網(wǎng)絡(luò)層上，他對數(shù)據(jù)包的某些特定域 進(jìn)行檢查，這

18、些特定域包括 數(shù)據(jù)源地址、目的地址、應(yīng)用或協(xié)議、源端口號、 目的端口號。6、 電路級網(wǎng)關(guān)工作于 OSI模型的會話層上，它檢杳數(shù)據(jù)包中的數(shù)據(jù)分別為 源 地址、目的地址、應(yīng)用或協(xié)議、源端口號、目的端口號和握手信息及序列號。7、應(yīng)用級網(wǎng)關(guān)工作于 OSI模型的應(yīng)用層上，它可以對整個(gè)數(shù)據(jù)包進(jìn)行檢查, 因此其安全性最高。8狀態(tài)檢測防火墻工作于 OSI模型的網(wǎng)絡(luò)層上，所以在理論上具有很高的安 全性，但是現(xiàn)有的大多數(shù)狀態(tài)檢測防火墻只工作于 網(wǎng)絡(luò)層上，因此其安全性與 包過濾防火墻相當(dāng)。9、切換代理在連接建立階段工作于 OSI模型的會話層上，當(dāng)連接建立完成值 后，再切換到動態(tài)包過濾模式，即工作于OSI模型的網(wǎng)絡(luò)層

19、上。10、空氣隙防火墻也稱作 安全網(wǎng)閘，它在外網(wǎng)和內(nèi)網(wǎng)之間實(shí)現(xiàn)了真正的 隔離。二、思考題1防火墻一般有幾個(gè)接口？什么是防火墻的非軍事區(qū)( DMZ )?它的作用是什 么？答：防火墻一般有3個(gè)或3個(gè)以上的接口。網(wǎng)關(guān)所在的網(wǎng)絡(luò)稱為非軍事區(qū)(DZM )。網(wǎng)關(guān)的作用是提供中繼服務(wù)，以補(bǔ)償過濾器帶來的影響。2為什么防火墻要具有NAT功能？在NAT中為什么要記錄端口號？答：使用NAT的防火墻具有另一個(gè)優(yōu)點(diǎn)，它可以隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)， 這 在某種程度上提升了網(wǎng)絡(luò)的安全性。在NAT中記錄端口號是因?yàn)樵趯?shí)現(xiàn)端口地 址轉(zhuǎn)換功能時(shí)，兩次NAT的數(shù)據(jù)包通過端口號加以區(qū)分。9.應(yīng)用級網(wǎng)關(guān)與電路級網(wǎng)關(guān)有何不同？簡述應(yīng)用

20、級網(wǎng)關(guān)的優(yōu)缺點(diǎn)。答：與電路級網(wǎng)關(guān)不同的是應(yīng)用級網(wǎng)關(guān)必須針對每個(gè)特定的服務(wù)運(yùn)行一個(gè)特定 的代理，它只能對特定服務(wù)所生成的數(shù)據(jù)包進(jìn)行傳遞和過濾。應(yīng)用級網(wǎng)關(guān)的優(yōu)點(diǎn)：1、在已有的安全模型中安全性較高2、具有強(qiáng)大的認(rèn)證功能3、具有超強(qiáng)的日志功能4、應(yīng)用級網(wǎng)關(guān)防火墻的規(guī)則配置比較簡單缺點(diǎn)：1、靈活性差2、配置復(fù)雜3、性能不高14防火墻有什么局限性？答：防火墻是In ternet安全的最基本組成部分，但對于內(nèi)部攻擊以及繞過防火 墻的連接卻無能為力，另外，攻擊者可能利用防火墻為某些業(yè)務(wù)提供的特殊通 道對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊，注入病毒或木馬。15.軟件防火墻與硬件防火墻之間的區(qū)別是什么？答：軟件防火墻是利用CPU的

21、運(yùn)算能力進(jìn)行數(shù)據(jù)處理，而硬件防火墻使用專用 的芯片級處理機(jī)制。第13章入侵檢測系統(tǒng)、填空題1、 根據(jù)數(shù)據(jù)源的來源不同，IDS可分為 基于網(wǎng)絡(luò) NID3、 基于主機(jī) HIDS 和兩種都有 DIDS種類型。2、一個(gè)通用的IDS模型主要由數(shù)據(jù)收集、檢測器、知識庫和控制器4部分組 成。3、 入侵檢測分為3個(gè)步驟，分別為信息收集、數(shù)據(jù)分析和響應(yīng)。4、 一個(gè)NIDS的功能結(jié)構(gòu)上至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程 管理4部分功能5、DIDS通常由數(shù)據(jù)采集構(gòu)建、通信傳輸構(gòu)建、入侵檢測分析、應(yīng)急處理的 構(gòu)建和 用戶管理構(gòu)建5個(gè)構(gòu)建組成。6、 IDS控制臺主要由日志檢索、探測器管理、規(guī)則管理、日志報(bào)表和用

22、戶管 理 5個(gè)功能模塊構(gòu)成。7、HIDS常安裝于 被保護(hù)的主機(jī)，NIDS常安裝于 網(wǎng)絡(luò) 入口處。8潛在人侵者的可以通過檢查 蜜罐日志來獲取。9、吸引潛在攻擊者陷阱為 蜜罐。二、思考題2、入侵檢測系統(tǒng)按照功能可分為哪幾類，有哪些主要功能？答：功能構(gòu)成包含：事件提取、入侵分析、入侵響應(yīng)、遠(yuǎn)程管理4個(gè)部分功能1、網(wǎng)絡(luò)流量的跟蹤與分析功能2、已知攻擊特征的識別功能3、異常行為的分析、統(tǒng)計(jì)與響應(yīng)功能4、特征庫的在線和離線升級功能5、數(shù)據(jù)文件的完整性檢查功能6、自定義的響應(yīng)功能7、系統(tǒng)漏洞的預(yù)報(bào)警功能8 IDS探測器集中管理功能3、一個(gè)好的IDS應(yīng)該滿足哪些基本特征？答：1、可以使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系

23、統(tǒng)的任何變更2、能給網(wǎng)絡(luò)安全策略的制定提供依據(jù)3、它應(yīng)該管理、配置簡單，即使非專業(yè)人員也非常容易使用4、入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、 系統(tǒng)構(gòu)造和安全需求的改變而改變5、 入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后會及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄 事件和報(bào)警。6、什么是異常檢測，基于異常檢測原理的入侵檢測方法有哪些？答：異常檢測技術(shù)又稱為基于行為的入侵檢測技術(shù)，用來識別主機(jī)或網(wǎng)絡(luò)中的 異常行為。通過收集操作活動的歷史數(shù)據(jù)，建立代表主機(jī)、用戶或網(wǎng)絡(luò)連接的 正常行為描述，判斷是否發(fā)生入侵。1統(tǒng)計(jì)異常檢測方法2特征選擇異常檢測方法3、基于貝葉斯網(wǎng)絡(luò)異常檢測方法4、基于貝葉斯推理異常檢測方法5、基于模式預(yù)測異常

24、檢測方法7、什么是誤用檢測，基于誤用檢測原理的入侵檢測方法有哪些？答：誤用檢測技術(shù)又稱為基于知識的檢測技術(shù)。它通過對已知的入侵行為和手 段進(jìn)行分析，提取檢測特征，構(gòu)建攻擊模式或攻擊簽名，判斷入侵行為。1基于條件的概率誤用檢測方法2、基于專家系統(tǒng)誤用檢測方法3、基于狀態(tài)遷移分析誤用檢測方法4、基于鍵盤監(jiān)控誤用檢測方法5、基于模型誤用檢測方法10、蜜網(wǎng)和蜜罐的作用是什么，它們在檢測入侵方面有什么優(yōu)勢？ 蜜罐的作用：1、把潛在入侵者的注意力從關(guān)鍵系統(tǒng)移開2、收集入侵者的動作信息3、設(shè)法讓攻擊者停留一段時(shí)間，使管理員能檢測到它并采取相應(yīng)的措施。 蜜網(wǎng)的作用：1蜜網(wǎng)在確保不被入侵者發(fā)現(xiàn)誘騙的前提下，盡可

25、能多地捕獲 攻擊行為信息，2、Honeynet向In ternet發(fā)起的連接進(jìn)行跟蹤，一旦 Ho ney net 達(dá)到了規(guī)定的向外的連接數(shù)，防火墻將阻斷任何后續(xù)的連接，并且及時(shí)向系統(tǒng) 管理員發(fā)出警告信息3、IDS在數(shù)據(jù)鏈路層對蜜網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行監(jiān)控， 分析和抓取以便將來能夠重現(xiàn)攻擊行為，同時(shí)在發(fā)現(xiàn)可疑舉動時(shí)報(bào)警。蜜罐和蜜網(wǎng)能從現(xiàn)存的各種威脅中提取有用的信息，發(fā)現(xiàn)新型的攻擊工具，確 定攻擊模式并研究攻擊者的攻擊動機(jī)，從而確定更好的對策。第14章VPN技術(shù)一、填空題1 根據(jù)訪問方法的不同，VPN可以分為 遠(yuǎn)程訪問 VPN和網(wǎng)關(guān)-網(wǎng)關(guān)VPN兩種 類型。2、VNP的關(guān)鍵技術(shù)包括 隧道技術(shù)、加/解密

26、技術(shù)、密鑰管理技術(shù) 、身 份認(rèn)證技術(shù) 和 訪問控制 等。3、 第2層隧道協(xié)議主要有 PPTP、L2F和L2TP 3個(gè)協(xié)議。4、第3層隧道協(xié)議主要有IPSec、GRE和 MPLS 3個(gè)協(xié)議。5、IPSec的主要功能是實(shí)現(xiàn)加密、認(rèn)證和密鑰交換，這3個(gè)功能分別由 AH 、ESP 和 IKE 3個(gè)協(xié)議來實(shí)現(xiàn)6、IPSec VPN主要由 管理模塊、密鑰分配和生成模塊 、身份認(rèn)證模塊、數(shù) 據(jù)加/解密模塊和數(shù)據(jù)分組封裝/分解模塊5個(gè)模塊組成。7、 IPSec在OSI參考模型的C層提供安全性。A.應(yīng)用B.傳輸C.網(wǎng)絡(luò)D.數(shù)據(jù)鏈路8 ISAKMP/Oakley 與 D 相關(guān)。A.SSL B.SETC.SHTTP

27、D.I PSec9、 IPSec中的加密是由D完成的。A.AHB.TCP/IP C.IKED.ESP10、在 A 情況下，IP頭才需要加密。A.信道模式B.傳輸模式C.信道模式和傳輸模式D、無模式第一章引言1、 網(wǎng)絡(luò)安全的基本目標(biāo) ：保密性、完整性、可用性、合法使用2、 計(jì)算機(jī)病毒的發(fā)展態(tài)勢：1）、計(jì)算機(jī)病毒層出不窮 2）、黑客攻勢逐年攀升 3）、系統(tǒng)存 在安全漏洞4）、各國軍方加緊信息戰(zhàn)研究3、 典型的安全威脅：假冒攻擊 /冒充攻擊、截獲、竊聽、篡改、消息重發(fā)/重放攻擊、拒絕 服務(wù)攻擊DOS、DDOS （各定義詳見課本）4、 防止重放攻擊的方法：時(shí)間戳、序號、提問與應(yīng)答。5、 防范口令攻擊的

28、方法、暴力破解、字典攻擊：阻止選擇低級口令；對口令文件嚴(yán)格保護(hù)。要徹底解決口令機(jī)制的弊端是使用基于令牌的機(jī)制，轉(zhuǎn)而使用基于令牌的機(jī)制。如果暫時(shí)不能做到，起碼要使用一次性口令方案。7、認(rèn)證：認(rèn)證服務(wù)與保證通信的真實(shí)性有關(guān) 在單條消息下，如一條警告或報(bào)警信號認(rèn)證服務(wù)是向接收方保證信息來自所聲稱的發(fā)送方 對于正在進(jìn)行的交互，如終端和主機(jī)連接，就設(shè) 計(jì)兩個(gè)方面的問題：首先，在連接的初始化階段，認(rèn)證服務(wù)保證兩個(gè)實(shí)體是可信的，也就是說, 每個(gè)實(shí)體都是它們所聲稱的實(shí)體 ；其次，認(rèn)證服務(wù)必須保證該連接不受第三方的干擾 ，例如, 第三方能夠偽裝成兩個(gè)合法實(shí)體中的一方 ，進(jìn)行非授權(quán)的傳輸或接收兩個(gè)特殊的認(rèn)證服務(wù)：

29、 同等實(shí)體認(rèn)證、數(shù)據(jù)源認(rèn)證 .認(rèn)證機(jī)制的失效易導(dǎo)致服務(wù)器被攻擊者欺騙。被破壞的主機(jī)不會進(jìn)行安全加密，因此對源主機(jī)采用密碼認(rèn)證的方式無用。通過修改認(rèn)證方案消除其缺陷，完全可以挫敗這種類型的攻擊。8、網(wǎng)絡(luò)安全的模型及說明（詳見課本）1-8網(wǎng)絡(luò)安全模型1.8網(wǎng)絡(luò)訪問安全模型A厲麺Tt件號蟲)a,開話情從址啟.再尸機(jī)盤適刖3平報(bào)桃悝1CF莊僅卄號禮在絆機(jī)砸關(guān)之問蚯釀 第二章 底層協(xié)議的安全性* ! 卩 ：9、IP協(xié)議的安全缺陷：1)IP協(xié)議不能保你絕對不能靠對源地址的有效性檢驗(yàn)來判斷數(shù)據(jù)包的好壞； 攻擊者可以發(fā)送含有偽造返回地址的數(shù)據(jù) 當(dāng)路由器遇到大數(shù)據(jù)流量的情況下，可能 大數(shù)據(jù)包可能在中間節(jié)點(diǎn)上被分

30、拆成小數(shù)Cr02)3)4)證數(shù)據(jù)就是從數(shù)據(jù)包中給定的源地址發(fā)出的,包，這種攻擊叫做IP欺騙攻擊；在沒有任何提示的情況下丟掉一些數(shù)據(jù)包; 據(jù)包。通過向包過濾器注入大量病態(tài)的小數(shù)據(jù)包，可以對包過濾器造成破壞;10、ARP功能：以太網(wǎng)發(fā)送的是 48位以太地址的數(shù)據(jù)包；IP驅(qū)動程序必須將 32位IP目 標(biāo)地址轉(zhuǎn)換成48位地址；兩類地址存在靜態(tài)或算法上的影射；ARP用來確定兩者之間的影射關(guān)系。ARP欺騙：一臺不可信賴的計(jì)算機(jī)會發(fā)出假冒的ARP查詢或應(yīng)答信息，并將所有流向它的數(shù)據(jù)流轉(zhuǎn)移。這樣，它就可以偽裝成某臺機(jī)器，或修改數(shù)據(jù)流。這種攻擊叫做ARP欺騙攻擊11、ICMP泛洪攻擊：黑客能夠用ICMP對消息進(jìn)

31、行重定向。只要黑客能夠篡改你到達(dá)目 的地的正確路由，他就有可能攻破你的計(jì)算機(jī)。一般來說，重定向消息應(yīng)該僅由主機(jī)執(zhí)行,而不是由路由器來執(zhí)行。僅當(dāng)消息直接來自路由器時(shí)，才由路由器執(zhí)行重定向。然而，有 時(shí)網(wǎng)管員有可能使用ICMP創(chuàng)建通往目的地的新路由。這種非常不謹(jǐn)慎的行為最終會導(dǎo)致 非常嚴(yán)重的網(wǎng)絡(luò)安全問題。12、TCP連接的三次握手過程:用三次握手建立 TCP連接，如圖所示：A的 TCP向B發(fā)出連接請求報(bào)文段，其首部中 的同步位SYN = 1，并選擇序號 seq = x ， 表明傳送數(shù)據(jù)時(shí)的第一個(gè)數(shù)據(jù)字節(jié)的序號 是x。B的TCP收到連接請求報(bào)文段后， 如同意，則發(fā)回確認(rèn)。B在確認(rèn)報(bào)文段中 應(yīng)使SYN

32、 = ，使ACK = 1_，其確認(rèn)號 ack = x+1 ，自己選擇的序號 seq = y。A收到此報(bào)文段后向 B給出確認(rèn)，其ACK =1，確認(rèn)號 ack = y+1。A 的TCP通知上層應(yīng)用進(jìn)程，連接已經(jīng)建立。B的TCP 收到主機(jī)A的確認(rèn)后，也通知其上層應(yīng)用 進(jìn)程：TCP連接已經(jīng)建立。13、TCP SYN洪泛攻擊：攻擊者利用TCP連接的半開放狀態(tài)發(fā)動攻擊。攻擊者使用第一個(gè)數(shù)據(jù)包對服務(wù)器進(jìn)行大流量沖擊，使服務(wù)器一直處于半開放連接狀態(tài)，從而無法完成3步握手協(xié)議。14、DHCP、DNS服務(wù)器功能：域名DHCP用來分配IP地址，并提供啟動計(jì)算機(jī)(或喚 醒一個(gè)新網(wǎng)絡(luò))的其他信息，它是BOOTP的擴(kuò)展。

33、域名系統(tǒng)DNS是一個(gè)分布式數(shù)據(jù)庫系 統(tǒng)，用來實(shí)現(xiàn)“域名一IP地址”，或“ IP地址一域名”的影射。15、 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT: NAT的主要作用是解決當(dāng)前IPv4地址空間缺乏的問題。從概念 上講，NAT非常簡單：它們監(jiān)聽使用了所謂專用地址空間的內(nèi)部接口，并對外出的數(shù)據(jù)包重寫其源地址和端口號。外出數(shù)據(jù)包的源地址使用了ISP為外部接口分配的In ternet靜態(tài)IP地址。對于返回的數(shù)據(jù)包，它們執(zhí)行相反的操作。NAT存在的價(jià)值在于IPv4的短缺。協(xié)議的復(fù)雜性使 NAT變得很不可靠。在這種情況下，我們在網(wǎng)絡(luò)中必須使用真正意義的 防火墻，并希望IPv6的應(yīng)用盡快得到普及。第二部分密碼學(xué)16、 密碼體制

34、構(gòu)成的五個(gè)要素：明文空間M、密文空間C、密鑰空間K、加密算法E、解 密算法D。17、 雙鑰密碼體制的基本概念及各自的密鑰的功能和作用：基本概念是公鑰密碼技術(shù)又稱 非對稱密碼技術(shù)或雙鑰密碼技術(shù)，其加密和解密數(shù)據(jù)使用不同的密鑰。公開密鑰(public-key)，可以被任何人知道，用于加密或驗(yàn)證簽名。私鑰(private-key)，只能被消息的接收者或簽名者知道，用于解密或簽名。18、 數(shù)字簽名的基本概念：收方能夠確認(rèn)或證實(shí)發(fā)方的簽名，但不能偽造，簡記為R1-條件；發(fā)方發(fā)出簽名的消息給收方后，就不能再否認(rèn)他所簽發(fā)的消息，簡記為S-條件；收方對已收到的簽名消息不能否認(rèn)，即有收報(bào)認(rèn)證，簡記為R2-條件；

35、第三者可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過程，簡記為T-條件。第九章公鑰基礎(chǔ)設(shè)施19、PKI定義及主要任務(wù)1) 定義：PKI公鑰基礎(chǔ)設(shè)施，是一種遵循標(biāo)準(zhǔn)的利用公鑰理論和技術(shù)建立的提供安全服 務(wù)的基礎(chǔ)設(shè)施。其目的是解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問題， 為網(wǎng)絡(luò)應(yīng)用提供可靠的安全服務(wù)。2) 主要任務(wù)：確立可信任的數(shù)字身份。20、 PKI體系組成部分：證書機(jī)構(gòu)、注冊機(jī)構(gòu)、證書發(fā)布庫、密鑰備份與恢復(fù)、證書撤銷、PKI應(yīng)用接口21、 CA系統(tǒng)功能：證書生成、證書頒布、證書撤銷、證書更新、證書歸檔、CA自身管理、 日志審計(jì)、密鑰恢復(fù)。22、RA系統(tǒng)功能：填寫用戶注冊信息、提

36、交用戶注冊信息、審核、發(fā)送生成證書申請、 發(fā)放證書、登記黑名單、證書撤銷列表管理、日志審計(jì)、自身安全保證23、 證書發(fā)布庫的作用：用于集中存放 CA頒發(fā)證書和證書撤銷列表；支持分布式存放， 以提高查詢效率；LDAP目錄服務(wù)支持分布式存放，是大規(guī)模 PKI系統(tǒng)成功實(shí)施的關(guān)鍵， 也是創(chuàng)建高效的認(rèn)證機(jī)構(gòu)的關(guān)鍵技術(shù)24、 PKI提供的主要服務(wù)：認(rèn)證服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)保密性服務(wù)、不可否認(rèn)服務(wù)、 公證服務(wù)。25、 數(shù)字證書的典型內(nèi)容：證書擁有者的姓名、證書擁有者的公鑰、公鑰的有限期、頒發(fā) 數(shù)字證書的單位、頒發(fā)數(shù)字證書單位的數(shù)字簽名、數(shù)字證書的序列號26、 SSL工作層次、協(xié)議構(gòu)成及功能：（詳見課件

37、“ PKI補(bǔ)充材料PPT ”）1）工作層次：介于 TCP/IP模型應(yīng)用層與傳輸層之間2）協(xié)議分成兩部分：SSL握手協(xié)議：通信雙方互相驗(yàn)證身份、以及安全協(xié)商會話密鑰SSL記錄協(xié)議：定義了傳輸?shù)母袷?，對上層傳來的?shù)據(jù)加密后傳輸 .3）功能：a鑒別機(jī)制：確保網(wǎng)站的合法性；b保護(hù)隱私：采用加密機(jī)制；c信息完整性：確保傳輸?shù)男畔⒉槐淮鄹?27、數(shù)字證書的驗(yàn)證方法RA驗(yàn)證用戶材料，以明確是否接受用戶注冊。檢查私鑰的擁有證明（POP, Proof of possession）。RA要求用戶采用私鑰對證書簽名請求進(jìn)行數(shù)字簽名。RA生成隨機(jī)數(shù)挑戰(zhàn)信息，用該用戶公鑰加密，并將加密后的挑戰(zhàn)值發(fā)送給用戶。若用 戶能用

38、其私鑰解密，則驗(yàn)證通過。RA將數(shù)字證書采用用戶公鑰加密后，發(fā)送給用戶。用戶需要用與公鑰匹配的私鑰解密 方可取得明文證書。28、數(shù)字證書撤銷的原因及方法1） 原因：a）數(shù)字證書持有者報(bào)告該證書中指定公鑰對應(yīng)的私鑰被破解（被盜）；b）CA發(fā)現(xiàn)簽發(fā)數(shù)字證書時(shí)出錯(cuò)；c）證書持有者離職，而證書為其在職期間簽發(fā)的。2）方法：發(fā)生第一種情形需由證書持有者進(jìn)行證書撤銷申請；發(fā)生第二種情形時(shí)，CA啟動證書撤銷；發(fā)生第三種情形時(shí)需由組織提出證書撤銷申請。29、PMI的定義、PMI與PKI的關(guān)系定義：權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施，是屬性證書、屬性權(quán)威、屬性證書框架 等部件的集合體，用來實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管

39、理、存儲、分發(fā)和撤銷等功能。（111與卩1門的關(guān)系）1卩K1實(shí)體PM實(shí)體證書PKC公鑰證書ACM性證書證書頌發(fā)者證書機(jī)構(gòu)屬性機(jī)構(gòu)證書接收者證書主體證書持有者證書的綁定主體的名字綁定到公鑰上證書持冇者綁定到一個(gè)或多T特權(quán)屬性上|證書擋銷證書撤銷列喪（CRL）屆性證書撤梢列農(nóng)（ACRL） |信任的根根EA或信任錨子機(jī)構(gòu)TCAAA驗(yàn)證者可信有特找驗(yàn)證者第十章網(wǎng)絡(luò)加密與密鑰管理30、網(wǎng)絡(luò)加密方式及特點(diǎn)1） 鏈路加密：a ）不同結(jié)點(diǎn)對之間的密碼機(jī)和密鑰不一定相同；b ）在每個(gè)中間節(jié)點(diǎn) 上，消息先解密，后加密； c ）報(bào)文和報(bào)頭可同時(shí)進(jìn)行加密； d ）在結(jié)點(diǎn)內(nèi)部，消息以明 文的方式存在；e ）在鏈路加密中

40、，密鑰分配存在困難； f ）隨著結(jié)點(diǎn)增多，保密機(jī)的需 求數(shù)量很大。2） 節(jié)點(diǎn)加密：a）在中間節(jié)點(diǎn)先對消息進(jìn)行解密，然后進(jìn)行加密吧b）在通信鏈路上所傳輸?shù)南槊芪模籧）加密過程對用戶是透明；d）消息在節(jié)點(diǎn)以明文形式存在；e）加解密過程在結(jié)點(diǎn)上的一個(gè)安全模塊中進(jìn)行；f）要求報(bào)頭和路由信息以明文形式傳送。3） 端到端加密：a ）對兩個(gè)終端之間的整個(gè)通信線路進(jìn)行加密；b ）只需要2臺加密機(jī)，1臺在發(fā)端，1臺在收端；c ）從發(fā)端到收端的傳輸過程中， 報(bào)文始終以密文存在；d ） 消息報(bào)頭（源/目的地址）不能加密，以明文傳送；e ）只需要2臺加密機(jī)，1臺在發(fā)端，1臺在收端；f ）從發(fā)端到收端的傳輸過程中，

41、報(bào)文始終以密文存在；g ）比鏈路和節(jié)點(diǎn)加密更安全可靠，更容易設(shè)計(jì)和維護(hù)。4）混合加密：鏈路加密+端到端加密31、軟件加密和硬件的特點(diǎn)：1）硬件加密的特點(diǎn)：加密速度快、硬件安全性好、硬件易于安裝。2）軟件加密的特點(diǎn)：速度慢、靈活、輕便、可安裝于多種機(jī)器上、可將幾個(gè)軟件組合成 一個(gè)系統(tǒng).。32、文件刪除方法： 真正從存儲器中消除所存儲的內(nèi)容需用物理上的重復(fù)寫入方法。33、密鑰管理的功能及目的：A ）密鑰管理是處理密鑰從產(chǎn)生到最終銷毀的整個(gè)過程中的有關(guān)問題，包括系統(tǒng)的初始 化及密鑰的產(chǎn)生、存儲、備份 /恢復(fù)、裝入、分配、保護(hù)、更新、控制、丟失、撤銷和銷毀 等內(nèi)容。B ）目的：是維持系統(tǒng)中各實(shí)體之間的

42、密鑰關(guān)系，以抗擊各種可能的威脅，如：1）密鑰的泄露2）密鑰或公開鑰的確證性的喪失，確證性包括共享或關(guān)于一個(gè)密鑰的實(shí)體身份的 知識或可證性。3）密鑰或公開鑰未經(jīng)授權(quán)使用，如使用失效的密鑰或違例使用密鑰。34、密鑰的種類及各類密鑰的有效期1）基本密鑰：是由用戶選定或由系統(tǒng)分配給他的、可在較長時(shí)間）內(nèi)由一對用戶所專 用的秘密鑰。記為 kp2） 會話密鑰：兩個(gè)通信終端用戶在一次通話或交換數(shù)據(jù)時(shí)所用的密鑰。記為ks3）密鑰加密密鑰： 用于對所傳送的會話或文件密鑰進(jìn)行加密的密鑰，也稱次主密鑰。 記為ke4） 主機(jī)密鑰：它是對密鑰加密鑰進(jìn)行加密的密鑰，存儲于主機(jī)處理器中。記為km5）數(shù)據(jù)加密密鑰：也稱為工作

43、密鑰。6）在雙鑰體制下，有公鑰和私鑰、簽名密鑰和證實(shí)密鑰之分35、密鑰的分級保護(hù)管理法：如圖所示，從圖中可以清楚看出各類密鑰的作用和相互關(guān)系。由此可見，大量數(shù)據(jù)可 以通過少量動態(tài)產(chǎn)生的數(shù)據(jù)加密密鑰（初級密鑰）進(jìn)行保護(hù)；而數(shù)據(jù)加密密鑰又可由少量 的、相對不變（使用期較長）的密鑰（二級）或主機(jī)主密鑰0來保護(hù)；其他主機(jī)主密鑰（1和2）用來保護(hù)三級密鑰。這樣，只有極少數(shù)密鑰以明文形式存儲在有嚴(yán)密物理保護(hù)的主 機(jī)密碼器件中，其他密鑰則以加密后的密文形式存于密碼器之外的存儲器中，因而大大簡 化了密鑰管理，并改了密鑰的安全性。IS 135瞎的的井復(fù)保護(hù)為了謀還密詡的安全，枉警瑪設(shè)岳中帰有的竄憂裝咒.當(dāng)靜封的

44、關(guān)就密科器件被拔 開時(shí)其莖本密樹利主巒胡尊仝自動從亦儲隔件中濟(jì)瞳或啟動裝日動引L對于的灶理咆盤安全怔理小的一項(xiàng)店転工作.在番碼膏理中疇奇一黑昨理 程洋和控制方址嚴(yán)光琨堰地降低卷樹丟怩攀對于爭先嚴(yán)生的輕射加憲影鉗的刪本應(yīng) 存放欄可專的地方作為備悅.可滌存鰹或通過霍捷送靳的巒何*比麵退 逢愎址疋常業(yè)井*由于地件和軼件故障以涇人為據(jù)作匕的鎖保耶合適成密樹左眞或?qū)?常丫采用扭文覽別程序可采用亍址鞘的密如進(jìn)行密碼操岸* 10-1密鑰分綏彷禪r用逮主機(jī)里幅鉗丨=虬1主肛左滯鈿02桝在上札內(nèi) 的許Mim株二握我鈿廡二處通信常曲“沁或二瞰文即瞎憫）討主耕外的常FI堪通信瞻釧 材細(xì)丈杵城圳瓷詒或Mifti防樹電

45、時(shí)散離血擋傳遇的散議 存悌的數(shù)據(jù)36、將密鑰按類型分成不同的等級。1）大量的數(shù)據(jù)通過少量的動態(tài)產(chǎn)生的初級密鑰來保護(hù)。2） 初級密鑰用更少量的、相對不變的二級密鑰或主密鑰KM0來保護(hù)。3）二級密鑰用主機(jī)主密鑰 KM1,KM2來保護(hù)。4）少量的主密鑰以明文形式存儲在專用的密碼裝置中，其余的密鑰以密文形式存儲在 專用密碼裝置以外。這樣，就把保護(hù)大量數(shù)據(jù)的問題簡化為保護(hù)和使用少量數(shù)據(jù)的問題。（實(shí)際上保護(hù)一個(gè)密鑰，因?yàn)?KM1,KM2 是由KM0派生而來。）37、實(shí)現(xiàn)秘密信息共享的 3個(gè)基本方法1）利用安全信道實(shí)現(xiàn)密鑰傳遞2）利用雙鑰體制建立安全信息傳遞3 ）利用特定物理現(xiàn)象實(shí)現(xiàn)密鑰傳遞。38、密鑰生存

46、期的4個(gè)階段1）預(yù)運(yùn)行階段，此時(shí)密鑰尚不能正常使用2）運(yùn)行階段，密鑰正常使用3）后運(yùn)行階段，密鑰不再提供正常使用，但為了特殊目的可以在脫機(jī)下接入4） 報(bào)廢階段，將有關(guān)被吊銷密鑰從所有記錄中山區(qū)，這類密鑰不可能再用第十二章防火墻技術(shù)39、 防火墻工作原理： 防火墻是由軟件和硬件組成的系統(tǒng)，它處于安全的網(wǎng)絡(luò)和不安全的 網(wǎng)絡(luò)之間，根據(jù)由系統(tǒng)管理員設(shè)置的訪問控制規(guī)則，對數(shù)據(jù)流進(jìn)行過濾。40、 防火墻對數(shù)據(jù)流的 3種處理方式：a允許數(shù)據(jù)流通過；b拒絕數(shù)據(jù)流通過，并向發(fā)送 者回復(fù)一條消息，提示發(fā)送者該數(shù)據(jù)流已被拒；c將數(shù)據(jù)流丟棄，不對這些數(shù)據(jù)包進(jìn)行任 何處理，也不會向發(fā)送者發(fā)送任何提示信息。41、防火墻的

47、要求及基本目標(biāo)：所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須經(jīng)過防火墻；只允許經(jīng)過授權(quán)的數(shù)據(jù)流通過防火墻；防火墻自身對入侵是免疫的。42、防火墻的OSI模型工作層次及特點(diǎn)1223 OSI模型與防火墻類型的關(guān)系應(yīng)用級網(wǎng)關(guān)電路級網(wǎng)關(guān)包過濾TelnetLmtpI其他fTCP、UDP111L太網(wǎng)JDDljx_251其他防火墻工作于osi模型的層次越高能提供的安全保護(hù)等級就越高防火墻通常建立在 TCP/IP模型基礎(chǔ)上，OSI模型與TCP/IP模型之間并不存在對應(yīng)的關(guān)系。43、防火墻的NAT功能：隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，提升網(wǎng)絡(luò)安全性。44、靜態(tài)包過濾防火墻、動態(tài)包過濾防火墻的主要區(qū)別1）靜態(tài)包過濾：使用分組報(bào)頭中存儲的信

48、息控制網(wǎng)絡(luò)傳輸。當(dāng)過濾設(shè)備接收到分組時(shí)，把報(bào)頭中存儲的數(shù)據(jù)屬性與訪問控制策略對比（稱為訪問控制表或ACL），根據(jù)對比結(jié)果的不同，決定該傳輸是被丟棄還是允許通過。2）動態(tài)包過濾：通過包的屬性和維護(hù)一份連接表來監(jiān)視通信會話的狀態(tài)而不是簡單依靠標(biāo)志的設(shè)置。針對傳輸層的，所以選擇動態(tài)包過濾時(shí)，要保證防火墻可以維護(hù)用戶將要 使用的所有傳輸?shù)臓顟B(tài)，如TCP, UDP，ICMP等。45、狀態(tài)檢測防火墻的原理及安全性分析1）狀態(tài)檢測防火墻的原理：通信信息：防火墻的檢測模塊位于操作系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層之下，能在數(shù)據(jù)包到達(dá)網(wǎng)關(guān) 操作系統(tǒng)之前對它們進(jìn)行分析；通信狀態(tài)：狀態(tài)檢測防火墻在狀態(tài)表中保存以前的通信信息，記錄

49、從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù) 據(jù)包的狀態(tài)信息；應(yīng)用狀態(tài)：能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用；能從應(yīng)用程序中收 集狀態(tài)信息并存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測策略； 操作信息：狀態(tài)監(jiān)測技術(shù)采用強(qiáng)大的面向?qū)ο蟮姆椒ǎ?）安全性分析： 優(yōu)點(diǎn)：具備動態(tài)包過濾所有優(yōu)點(diǎn)，同時(shí)具有更高的安全性；沒有打破客戶 /服務(wù)器模型；提 供集成的動態(tài)包過濾功能；運(yùn)行速度更快。 缺點(diǎn)：采用單線程進(jìn)程，對防火墻性能產(chǎn)生很大影響；沒有打破客戶 /服務(wù)器結(jié)構(gòu)，會產(chǎn)生 不可接受的安全風(fēng)險(xiǎn)；不能滿足對高并發(fā)連接數(shù)量的要求；僅能提供較低水平的安全性。46、分布式防火墻系統(tǒng)組成： 網(wǎng)絡(luò)防火墻；主機(jī)防火墻；中心管理。47、防

50、火墻未來的發(fā)展方向： 智能化 ；高速度；并行體系結(jié)構(gòu)；多功能；專業(yè)化；防病 毒。48、防火墻的部署位置： 部署在內(nèi)網(wǎng)與接進(jìn)的外網(wǎng)之間。49、防火墻的安全域和非安全域。 （詳見課件“防火墻（一） .PPT ”） 另外：防火墻包過濾規(guī)則的設(shè)置（詳見課件“防火墻（二）.PPT ”補(bǔ)充內(nèi)容）第十三章 入侵檢測系統(tǒng)50、入侵檢測的概念、 IDS 工作原理： IDS 不間斷的從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干 關(guān)鍵點(diǎn)上收集信息，進(jìn)行集中或分布式的分析，判斷來自網(wǎng)絡(luò)和外部的入侵企圖，并實(shí)時(shí) 發(fā)出報(bào)警。51、IDS 信息收集的來源： 基于主機(jī)、基于網(wǎng)絡(luò)、混合型。52、信息分析： 模式匹配、統(tǒng)計(jì)分析53、IDS

51、的異常檢測和誤用檢測： 異常檢測：收集操作活動的歷史數(shù)據(jù)，建立代表主機(jī)、 用戶或網(wǎng)絡(luò)連接的正常行為描述，判斷是否發(fā)生入侵。誤用檢測： 對已知的入侵行為和手段進(jìn)行分析， 提取檢測特征， 構(gòu)建攻擊模式或攻擊簽名， 判斷入侵行為。54、入侵檢測的 3 個(gè)基本步驟： 入侵信息的收集、信號分析、入侵檢測響應(yīng)方式55、NIDS ：檢測內(nèi)容：包頭信息和有效數(shù)據(jù)部分。56、HIDS ： 檢測內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、審計(jì)記錄、系統(tǒng)日志、應(yīng)用日志。 蜜罐技術(shù)：是一種被偵聽、被攻擊或已經(jīng)被入侵的資源。57、IPS 的特點(diǎn)（詳見課課本）第十四章 虛擬專網(wǎng)58、虛擬專網(wǎng)定義： 是指物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)連接成邏輯上的虛擬 子網(wǎng)，并采用認(rèn)證、 訪問控制、 保密性、 數(shù)據(jù)完整性等在公用網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)的技術(shù)， 使得數(shù)據(jù)通過安全的“加密通道”在公用網(wǎng)絡(luò)中傳輸。59、VPN 的引入的原因及特點(diǎn)： 費(fèi)用低、安全保障、服務(wù)質(zhì)量保證、可擴(kuò)充性和靈活性、 可管理性60、VPN 的關(guān)鍵技術(shù)： 隧道技術(shù)、加 /解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)、訪問控 制、 Qos 技術(shù)61、VPN 的隧道協(xié)議種類及各協(xié)議的功能、特點(diǎn)：62、安全協(xié)議： 就是構(gòu)建隧道的“隧道協(xié)議”63、IP 隧道協(xié)議： 使用 IP 協(xié)議作為封裝協(xié)議的隧道協(xié)議64、第二