系統(tǒng)管理與維護(hù)終版

1、1.密碼系統(tǒng)包括以下四個(gè)方面：明文空間、密文空間、密碼算法、密鑰空間2.解密算法D是加密算法E的逆運(yùn)算3.常規(guī)密鑰體質(zhì)又稱為 對(duì)稱密鑰密碼體質(zhì)， 是在公開密鑰密碼體質(zhì)以前使用的密碼體制4.如果加密密鑰和解密密鑰 相同，這種密碼體制稱為對(duì)稱密碼體制5.DES算法密鑰是64位，其中密鑰有效位是56位6.RSA算法的安全是基于 分解兩個(gè)大素?cái)?shù)的積 的困難7.公開密鑰加密算法的用途主要包括兩個(gè)方面 ：密鑰分配、數(shù)字簽名8.消息認(rèn)證是 驗(yàn)證信息的完整性， 級(jí)驗(yàn)證數(shù)據(jù)在傳送和存儲(chǔ)過程中是否被篡改、重放或延遲等9.MAC函數(shù)類似于加密，它于加密的區(qū)別是MAC函數(shù)不可逆10.HASH函數(shù)是可接受 變長(zhǎng) 數(shù)據(jù)輸

2、入，并生成 定長(zhǎng) 數(shù)據(jù)輸出的函數(shù)1.系統(tǒng)管理包括哪些基本內(nèi)容1) 系統(tǒng)監(jiān)控、配置和操作管理2) 事件關(guān)聯(lián)和自動(dòng)化處理3) 最大限度保障應(yīng)用業(yè)務(wù)的可用性和連續(xù)性功能有效性：有效性驗(yàn)證、一致性驗(yàn)證、配置管理、操作行為安全審計(jì)性能管理指的是優(yōu)化網(wǎng)絡(luò)以及聯(lián)網(wǎng)的應(yīng)用系統(tǒng)性能的活動(dòng)，包括對(duì)網(wǎng)絡(luò)以及應(yīng)用的檢測(cè)、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)堵塞或中斷情況、全面的故障排除、基于事實(shí)的容量規(guī)劃和有效地分配網(wǎng)絡(luò)資源。2.信息安全的定義是什么？ISO給出的信息安全為定義：“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安全保護(hù)。保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞，更改、顯露”?；驹瓌t是：機(jī)密性，完整性，可用性1) 機(jī)密

3、性是指保證信息與信息系統(tǒng)不被非權(quán)限者所獲取與使用，主要保障技術(shù)是密碼技術(shù)。2) 完整性是指信息是真實(shí)可信的，其發(fā)布者不被冒充，來源不被偽造，主要保障技術(shù)是校驗(yàn)與認(rèn)證技術(shù)。3) 可用性是指信息與信息系統(tǒng)可被授權(quán)人正常使用，主要保障技術(shù)是數(shù)據(jù)摘要和數(shù)字簽名技術(shù)。3.簡(jiǎn)述主動(dòng)攻擊與被動(dòng)攻擊的特點(diǎn)，并列舉主動(dòng)攻擊與被動(dòng)攻擊現(xiàn)象？主動(dòng)攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實(shí)性、完整性及系統(tǒng)服務(wù)的可用性，即通過中斷、偽造，篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運(yùn)行。被動(dòng)攻擊是攻擊者非常截獲、竊取通信線路中的信息，是信息保密性遭到破壞，信息泄露而無法察覺，給用戶

4、帶來?yè)p失。列舉：主動(dòng)攻擊：假冒，重放，改寫消息，拒絕服務(wù)；被動(dòng)攻擊：消息內(nèi)容泄露，流量分析4.什么是序列密鑰和分組密碼1) 序列密碼是流密碼（stream cipher)，加密和解密每次只處理一個(gè)符號(hào)（如一個(gè)字符或一個(gè)比特）。加密規(guī)則不依賴于明文流中的明文字符的位置。則稱為單碼代換密碼；否則稱為多碼代換密碼。常見算法有Vernam。2) 分組密碼。（block cipher)將明文分成固定長(zhǎng)度的組。用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。 常見算法有DES，IDEA，RC6。5.什么是MD5算法MD消息摘要算法是由Rivest提出，是當(dāng)前最為普遍的Hash算法，MD5是第5個(gè)版本

5、，該算法以一個(gè)任意長(zhǎng)度的消息作為輸入，生成128位的消息摘要作為輸出，輸入消息是按512位的分組處理。通過比較信息在傳輸前后的MD5輸出值，可確認(rèn)信息內(nèi)容的完整性和一致性。6.請(qǐng)解釋5種“非法訪問“攻擊方式的含義1) 口令破解攻擊者可以通過獲取口令文件然后運(yùn)用口令破解工具進(jìn)行字典攻擊或暴力攻擊來獲得口令，也可以通過猜測(cè)或竊聽等方式獲取口令，從而進(jìn)入系統(tǒng)進(jìn)行非法訪問，選擇安全的口令非常重要。這也是黑客入侵中真正攻擊方式的一種。2) IP欺騙攻擊者可通過偽裝成被信任源IP地址等方式來騙取目標(biāo)主機(jī)的信任，這主要針對(duì)Linux UNIX下建立起IP地址信任關(guān)系和主機(jī)實(shí)施欺騙。這也是黑客入侵中真正攻擊方

6、式一種。3) DNS欺騙當(dāng)DNS服務(wù)器向另一個(gè)DNS服務(wù)器發(fā)送某個(gè)解析請(qǐng)求（由域名解析出IP地址）時(shí)，因?yàn)椴贿M(jìn)行身份驗(yàn)證，這樣黑客就可以冒充被請(qǐng)求方，向請(qǐng)求方返回一個(gè)被篡改了的應(yīng)答（IP地址），將用戶引向黑客設(shè)定的主機(jī)。這也是黑客入侵中真正攻擊方式的一種。4) 重放（Replay）攻擊在消息沒有時(shí)間戳情況下，攻擊者利用身份認(rèn)證機(jī)制中的漏洞先把別人有用的消息記錄下來，過一段時(shí)間后再發(fā)送出去。5) 特洛伊木馬（Trojan Horse）把一個(gè)能幫助黑客完成某一特定動(dòng)作的程序依附在某一合法用戶的正常程序中，而一旦用戶觸發(fā)正常程序，黑客代碼同時(shí)被激活，這些代碼往往能完成黑客早已指定的任務(wù)（如監(jiān)聽某個(gè)不

7、常用的端口，假冒登陸界面獲取帳號(hào)和口令等）。7.列舉并解釋ISO/OSI中定義的5種標(biāo)準(zhǔn)的安全服務(wù)鑒別、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、抗否認(rèn)1) 鑒別:用于鑒別實(shí)體的身份和對(duì)身份的證實(shí)，包括對(duì)等實(shí)體鑒別和數(shù)據(jù)原發(fā)鑒別兩種2) 訪問控制：提供對(duì)越權(quán)使用資源的防御措施3) 數(shù)據(jù)機(jī)密性針對(duì)信息泄露而采取的防御措施。分為連接機(jī)密性、無連接機(jī)密性、選擇字段機(jī)密性、通信業(yè)務(wù)流機(jī)密性四種4) 數(shù)據(jù)完整性防止非法篡改信息，如修改、復(fù)制、插入和刪除等，分為帶恢復(fù)到連接完整性、無恢復(fù)到連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種。5) 抗否認(rèn)是針對(duì)對(duì)方否認(rèn)的防御措施，用來證實(shí)發(fā)生過

8、的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認(rèn)和有交付證明的看否認(rèn)兩種。8.了解ISO/OSI種定義的8種特定的安全機(jī)制以及各種安全機(jī)制和安全服務(wù)的關(guān)系安全服務(wù)可以單個(gè)使用，也可以組合起來使用，上述的安全服務(wù)可以借助以以下的安全機(jī)制來實(shí)現(xiàn)：1.加密機(jī)制：借助各種加密算法對(duì)存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行加密2.數(shù)字簽名：使用私鑰簽名，公鑰進(jìn)行證實(shí)；3.訪問控制機(jī)制：根據(jù)訪問者的身份和有關(guān)信息，決定實(shí)體的范圍權(quán)限4.數(shù)據(jù)完整性機(jī)制：判斷信息在傳輸過程中是否被篡改過5.鑒別交換機(jī)制：用來實(shí)現(xiàn)對(duì)等實(shí)體的鑒別6.通信業(yè)務(wù)填充機(jī)制：通過填充冗余的業(yè)務(wù)流量來防止攻擊者對(duì)流量進(jìn)行分析7.路由選擇控制機(jī)制：防止不利的信息通過路由，使

9、用如網(wǎng)絡(luò)層防火墻8.公鑰機(jī)制：由第三方參與數(shù)字簽名，它基于通信雙方對(duì)第三方都絕對(duì)相信。9.數(shù)字簽名的作用當(dāng)通信雙方發(fā)生了下列情況時(shí)，數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭(zhēng)端1) 否認(rèn)，發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文2) 偽造，接收方自己依靠一份報(bào)文，并聲稱它來自發(fā)送方3) 冒充，網(wǎng)絡(luò)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文4) 篡改，接收方對(duì)收到的信息進(jìn)行篡改10.請(qǐng)說明數(shù)字簽名的主要流程（1） 采用算法對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長(zhǎng)度的數(shù)字串，稱為報(bào)文摘要，不同的報(bào)文所行到的報(bào)文摘要各異，但對(duì)相同的報(bào)文它的報(bào)文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原

10、先的值不相符，這樣就保證了報(bào)文的不可更改性。（2） 發(fā)送方用自己的私有密鑰對(duì)摘要進(jìn)行加密來形成數(shù)字簽名。（3） 這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給接收方（4） 接收方首先對(duì)接收到的原始報(bào)文用同樣的算法計(jì)算出新的報(bào)文摘要，再用發(fā)送方的分開密鑰對(duì)報(bào)文附件的數(shù)字簽名進(jìn)行解密，比較兩個(gè)報(bào)文摘要，如果值相同，接收方就能確認(rèn)該簽名是發(fā)送方的，否則就認(rèn)為收到的報(bào)文是依靠的或者中途篡改。11.單機(jī)狀態(tài)下驗(yàn)證用戶身份的三種因素是什么？（1） 用戶所知道的東西：如口令、密碼（2） 用戶所擁有的東西：如智能卡，身份證（3） 用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等12.散列函數(shù)的基本性質(zhì)H

11、能用于任何長(zhǎng)度的數(shù)據(jù)分組；H產(chǎn)生定長(zhǎng)的輸出；對(duì)任何給定的x，H(x)要相對(duì)容易計(jì)算；對(duì)任何給定的碼h，尋找z使得H(x)=h 在計(jì)算上 是不可行的，稱為單向性；對(duì)任何給定的分組x，尋找不等于x的y，使得H(y)=H(x)在計(jì)算上是不可行的，稱為弱抗沖突（Weak Collision Resistance）；尋找對(duì)任何的(x,y)對(duì)，使得H(y)=H(x)在計(jì)算上是不可行的，稱為強(qiáng)抗沖突（Strong Collision Resistance）。13.Kerberos鑒別過程1) 用戶登錄工作站請(qǐng)求主機(jī)服務(wù)2) AS在數(shù)據(jù)庫(kù)中驗(yàn)證用戶的訪問權(quán)限，生成票據(jù)許可票據(jù)和合適密鑰，采用用戶口令推導(dǎo)出的密

12、鑰進(jìn)行加密。3) 工作站提示用戶輸入口令收到的報(bào)文進(jìn)行解密，然后將票據(jù)許可票據(jù)和包含用戶名 網(wǎng)絡(luò)地址和時(shí)間戳的鑒別符發(fā)往TGS。4) TGS對(duì)票據(jù)和鑒別符進(jìn)行解密，驗(yàn)證請(qǐng)求，然后生成請(qǐng)求服務(wù)許可票據(jù)。5) 工作站將票據(jù)和鑒別符發(fā)給服務(wù)器。6) 服務(wù)器驗(yàn)證票據(jù)和鑒別符的匹配情況，然后許可訪問服務(wù)，如果需要雙向鑒別，服務(wù)器返回一個(gè)鑒別符。14.WEB安全威脅威脅后果對(duì)策完整性用戶數(shù)據(jù)修改丟失小席設(shè)備受損其他威脅的漏洞密碼校驗(yàn)和瀏覽器被惡意木馬侵入更改存儲(chǔ)更改傳輸中的消息流量機(jī)密性網(wǎng)上竊聽信息丟失機(jī)密性丟失傳輸加密Web 代理從服務(wù)器竊取信息網(wǎng)絡(luò)配置信息關(guān)于特定用戶與服務(wù)會(huì)話信息拒絕服務(wù)殺死用戶線程

13、斷網(wǎng)難以防范虛假請(qǐng)求耗盡可用資源網(wǎng)絡(luò)阻塞用無意義信息填滿磁盤或內(nèi)存阻止用戶正常應(yīng)用用DNS攻擊孤立機(jī)器認(rèn)證假冒合法用戶假冒用戶身份鑒別技術(shù)加密技術(shù)偽造數(shù)據(jù)使虛假信息得以確認(rèn)15.SSL握手過程1) 客戶端通過SSL協(xié)議把服務(wù)器需要的客戶端的SSL版本信息，加密算法設(shè)置，會(huì)話數(shù)據(jù)，發(fā)送給服務(wù)器。2) 服務(wù)器通過SSL協(xié)議把自己的SSL的版本信息，加密算法設(shè)置，會(huì)話數(shù)據(jù)和其他通信需要的信息發(fā)給客戶端。服務(wù)器也把服務(wù)器的證書發(fā)給客戶端，另外如果客戶端請(qǐng)求服務(wù)器資源需要客戶端認(rèn)證，服務(wù)器端就會(huì)請(qǐng)求客戶端的證書。3) 客戶端使用這些服務(wù)器發(fā)來的信息認(rèn)證服務(wù)器（詳情見認(rèn)證細(xì)節(jié)）。如果服務(wù)器不能被認(rèn)證，那么

14、客戶將被提示一個(gè)警告，并且通知客戶不能建立加密和認(rèn)證連接。如果服務(wù)器被成功認(rèn)證，客戶端將進(jìn)入第四步。4) 使用到目前為止的所有數(shù)據(jù)生成握手過程?？蛻舳?和服務(wù)器合作之下)為會(huì)話創(chuàng)建一個(gè)pre-master secret(一個(gè)用在對(duì)稱加密密鑰生成中的 46 字節(jié)的隨機(jī)數(shù)字)。使用服務(wù)器的公共密鑰加密（在第二部的服務(wù)器的證書中獲得公共密鑰），然后把這個(gè)加了密的pre-master secret發(fā)送給服務(wù)器。5) 如果服務(wù)器請(qǐng)求客戶端認(rèn)證（在握手過程是可選項(xiàng)），客戶端也需要標(biāo)記一個(gè)特殊的數(shù)據(jù)包，客戶端和服務(wù)器都知道的。在這個(gè)過程中，客戶端發(fā)送一個(gè)通過pre-master secret加密過的標(biāo)記的數(shù)

15、據(jù)包和客戶端自己的證書給服務(wù)器。6) 如果服務(wù)器請(qǐng)求了客戶端的認(rèn)證，那么服務(wù)器就要嘗試去認(rèn)證客戶端。（具體的看客戶端認(rèn)證細(xì)節(jié)）如果客戶端認(rèn)證不通過，會(huì)話將被終止。如果客戶端被認(rèn)證通過，服務(wù)器將使用私有密鑰解密pre-master secret，然后執(zhí)行一系列步驟生成master secret7) 客戶端和服務(wù)器端使用master secret去生成會(huì)話密鑰。會(huì)話密碼是在ssl 會(huì)話的時(shí)候?qū)ΨQ密鑰被用來加密，解密信息校驗(yàn)信息完整性的密鑰。（檢查會(huì)話過程中任何數(shù)據(jù)改變）8) 客戶端發(fā)送一個(gè)信息給服務(wù)器端，通知服務(wù)器端未來的信息將被會(huì)話密碼加密，然后客戶端發(fā)送一個(gè)單獨(dú)（加密）信息指示客戶端部分的握手

16、會(huì)話已經(jīng)完成。9) 服務(wù)器發(fā)送一個(gè)信息通知客戶端未來的會(huì)話信息將被會(huì)話密碼加密，然后服務(wù)器發(fā)送一個(gè)單獨(dú)（加密）信息指示服務(wù)器部分的握手部分已經(jīng)完成10) SSL握手結(jié)束，開始正式會(huì)話。客戶端和服務(wù)器端使用對(duì)稱會(huì)話密鑰加密解密數(shù)據(jù)并且互相傳送校驗(yàn)完整性。11) 這是一個(gè)正常的操作過程和加密隧道。在任何時(shí)候，當(dāng)內(nèi)部或者外部觸發(fā)條件（不是自動(dòng)就是用戶手動(dòng)），任何一端就要從新協(xié)商會(huì)話，所有的流程將從新開始。16.IPSec包含了哪三個(gè)重要的方面？（1） AH為IP數(shù)據(jù)包提供如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源身份認(rèn)證和防重放攻擊。數(shù)據(jù)完整性驗(yàn)證通過哈希函數(shù)（如MD5）產(chǎn)生的校驗(yàn)來保證；數(shù)據(jù)源身

17、份認(rèn)證通過在計(jì)算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來實(shí)現(xiàn)，AH報(bào)頭中的序列號(hào)可以防止重放攻擊。（2） ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外，還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密。數(shù)據(jù)包加密是指對(duì)一個(gè)IP包進(jìn)行加密（整個(gè)IP包或其載荷部分），一般用于客戶端計(jì)算機(jī)；數(shù)據(jù)流加密一般用于支持IPSec的路由器，源端路由器并不關(guān)心IP包的內(nèi)容，對(duì)整個(gè)IP包進(jìn)行加密后傳輸，目的端路由器將該包解密后將數(shù)據(jù)包繼續(xù)轉(zhuǎn)發(fā)。AH和ESP可以單獨(dú)使用，也可以嵌套使用。可以在兩臺(tái)主機(jī)、兩臺(tái)安全網(wǎng)關(guān)（防火墻和路由器），可者主機(jī)與安全網(wǎng)關(guān)之間使用。（3） IKE負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成的會(huì)話

18、密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時(shí)使用。解釋域（DOI）為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。17.述IPSEC的兩種運(yùn)行模式的性質(zhì)和不同？1. 傳輸模式要保護(hù)的內(nèi)容是IP包的載荷，可能是TCP/UDP/ICMP等協(xié)議，還可能是AH/ESP協(xié)議（嵌套）。傳輸模式為上層協(xié)議提供安全保護(hù)，通常情況下，傳輸模式只適用于兩臺(tái)主機(jī)之間的安全通信。正常情況下，傳輸層數(shù)據(jù)包在IP中添加一個(gè)IP頭部構(gòu)成IP包。啟用IPSec之后，IPSec會(huì)在傳輸層數(shù)據(jù)前面增加AH/ESP或二者，構(gòu)成一個(gè)AH/ESP數(shù)據(jù)包，然后再添加IP善組成新的IP包。2. 隧道模

19、式保護(hù)的內(nèi)容是整個(gè)原始IP包，為IP協(xié)議提供安全保護(hù)。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)，就必須使用隧道模式。路由器對(duì)需要進(jìn)行IPSec保護(hù)的原始IP包看作一個(gè)整體，作為要保護(hù)的內(nèi)容，前面加上AH/ESP頭部，再添加新IP頭部，組成新的IP包。隧道模式的數(shù)據(jù)包有兩個(gè)IP頭：內(nèi)部頭由路由器背后的主機(jī)創(chuàng)建，外部頭由提供IPSec的設(shè)備（主機(jī)/路由器）創(chuàng)建。通信終點(diǎn)同受保護(hù)的內(nèi)部頭指定，而IPSec終點(diǎn)則由外部頭指定。18.為什么說AH的運(yùn)行運(yùn)行模式都不能穿越NAT？在AH傳輸模式中，被AH驗(yàn)證的區(qū)域是整個(gè)IP 包（可變字段除外），包括IP 包頭部，因此源/目的IP 地址是不能修改的，否

20、則會(huì)被檢測(cè)出來。然而如果該包在傳送過程中經(jīng)過NAT網(wǎng)關(guān)，其源/目的IP 地址將被改變，將造成到達(dá)目的地址后的完整性驗(yàn)證失敗。因此，AH在傳輸模式下和NAT是沖突的，不能同時(shí)使用，或者說AH不能穿越NAT。在AH隧道模式中，AH插入到原始IP頭部字段之前，然后再AH之前增加一個(gè)新的IP頭部。AH的驗(yàn)證范圍也是整個(gè)IP包，此時(shí)AH也不能穿越NAT。19.AH輸出-輸入處理流程 20.ESP輸出-輸入處理流程（19，20必考一題）21.說明SSL的概念和功能安全套接層協(xié)議SSL主要是使用公開密鑰體制和X509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，但它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間

21、的信息傳輸。它是Netscape公司提出的基于Web應(yīng)用的安全協(xié)議，它包括服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。SSL通過在瀏覽器軟件和Web服務(wù)器之間建立一條安全通道，實(shí)現(xiàn)信息在Inrernet中傳送的保密性。 在TCP/IP協(xié)議族中，SSL位于TCP層之上、應(yīng)用層之下。這使它可以獨(dú)立與應(yīng)用層，從而使應(yīng)用層協(xié)議可以直接建立在SSL之上。SSL協(xié)議包括以下一些子協(xié)。立在可靠地傳輸協(xié)議（例如TCP）上，用來封裝高層的協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法互相鑒別。22.防火墻實(shí)現(xiàn)的靜態(tài)包過濾和動(dòng)態(tài)包過濾有什么不

22、同？靜態(tài)包過濾在遇到利用動(dòng)態(tài)端口的協(xié)議時(shí)會(huì)發(fā)生困難，如FTP、防火墻事先無法知道哪些端口需要打開，就需要將所有可能用到的端口打開，會(huì)給安全帶來不必要的隱患。而狀態(tài)檢測(cè)通過檢查應(yīng)用程序信息（如FTP德PORT和PASV命令），來判斷此端口是否需要臨時(shí)打開，而當(dāng)傳輸結(jié)束時(shí)，端口又馬上恢復(fù)為關(guān)閉狀態(tài)。23.列舉防火墻的幾個(gè)基本功能隔離不同的網(wǎng)絡(luò)，限制安全問題的擴(kuò)散，對(duì)安全集中管理，簡(jiǎn)化了安全管理的復(fù)雜程度。防火墻可以方便地記錄網(wǎng)絡(luò)上各種非法活動(dòng)，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報(bào)警。防火墻可以作為部署NAT的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來，用來緩解地址空間短

23、缺的問題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。防火墻是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。防火墻可以作為IPSec的平臺(tái)。內(nèi)容控制功能。根據(jù)數(shù)據(jù)內(nèi)容進(jìn)行控制，比如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內(nèi)部用戶訪問外部服務(wù)的圖片信息，只有代理服務(wù)器和先進(jìn)的過濾才能實(shí)現(xiàn)。24.防火墻有哪些局限性網(wǎng)絡(luò)上有些攻擊可以繞過防火墻（如撥號(hào)）。防火墻不能防范來之內(nèi)部網(wǎng)絡(luò)的攻擊。防火墻不能對(duì)被病毒感染的程序和文件傳輸提供保護(hù)。防火墻不能防范全新的網(wǎng)絡(luò)威脅。當(dāng)使用端到端的加密時(shí)，防火墻的作用會(huì)受到很大的限制。防火墻對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點(diǎn)失效等問題。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊

24、。有些表面無害的數(shù)據(jù)通過電子郵件或其他方式發(fā)送到主機(jī)上，一旦被執(zhí)行就形成攻擊。25.分組過濾防火墻的過濾原理是什么？包過濾防火墻也稱分組過濾路由器，又叫網(wǎng)絡(luò)層防火墻，因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層。路由器便是一個(gè)網(wǎng)絡(luò)層防火墻，因?yàn)榘^濾是路由器的固有屬性。它一般是通過檢查單個(gè)包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過，有靜態(tài)和動(dòng)態(tài)兩種過濾方式。26.舉出靜態(tài)包過濾的過濾的幾種判斷依據(jù)數(shù)據(jù)包協(xié)議類型TCP、UDP、ICMP、IGMP等。源/目的IP地址。源/目的端口FTP、HTTP、DNS等。IP選項(xiàng)：源路由、記錄路由等。TCP選項(xiàng)：SYN、ACK、FIN、RST等。其他協(xié)議選項(xiàng)ICMP ECH

25、O、ICMP REPLY等。數(shù)據(jù)包流向in或out。數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口eth0、eth1。27.什么是IDS，它有哪些基本功能入侵檢測(cè)系統(tǒng)IDS，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的安全措施。1）監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作；2）核查系統(tǒng)配置和漏洞并提示管理員修補(bǔ)漏洞；3）評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；4）識(shí)別已知的攻擊行為，統(tǒng)計(jì)分析異常行為；5）操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)等。28.Ids有哪兩類分析方法，并對(duì)兩者進(jìn)行比較1. 異常檢測(cè)

26、 假定所有入侵行為都是與正常行為不同的，如果建立系統(tǒng)正常行為的軌跡（特征文件Profiles），那么理論上可以通過統(tǒng)計(jì)那些不同于我們已建立的特征文件的所有系統(tǒng)狀態(tài)的數(shù)量，來識(shí)別入侵企圖，即把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。 這樣根據(jù)各自不同的正?；顒?dòng)建立起來的特征文件，便具有用戶特性。入侵者使用正常用戶的賬號(hào)，但其行為并不會(huì)與正常用戶的行為相吻合，從而可以被檢測(cè)出來。對(duì)于異常閥值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如，通過流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常檢測(cè)指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，所以也被稱為基于行為（Behavebased）的檢測(cè)。2. 誤

27、用探測(cè)（基于知識(shí)（Knowledgebased）檢測(cè)) 假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。因?yàn)楹艽笠徊糠值娜肭质抢昧讼到y(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。 誤用檢測(cè)系統(tǒng)的關(guān)鍵問題是如何從已經(jīng)入侵中提取和編寫特征，使得其能夠覆蓋該入侵的所有可能的變種，而同時(shí)不會(huì)匹配到非入侵活動(dòng)（把真正入侵與正常行為區(qū)分開來）。29.SNMP5個(gè)功能域1 配置管理（收集和傳播有關(guān)資源當(dāng)前狀態(tài)的數(shù)據(jù)，設(shè)置和修改與網(wǎng)絡(luò)組件有關(guān)的參數(shù)，啟動(dòng)和關(guān)閉被管對(duì)象，改變網(wǎng)絡(luò)配置）2 失效管理（發(fā)現(xiàn)和報(bào)告故

28、障，記錄接受到得事件報(bào)告，并進(jìn)行分析處理，安排執(zhí)行診斷測(cè)試、失效跟蹤及失效恢復(fù)）3 性能管理（收集和傳播與資源性能的當(dāng)前水平相關(guān)的數(shù)據(jù)，檢查和維護(hù)性能記錄，并進(jìn)行分析與規(guī)劃）4 安全管理（保證網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源不被非法使用，保證網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)地訪問）5 計(jì)費(fèi)管理（通知用戶有關(guān)費(fèi)用，允許對(duì)被管理資源的使用設(shè)置計(jì)費(fèi)限制，當(dāng)使用多種資源實(shí)現(xiàn)所需通信，可將各種費(fèi)用綜合）30.分別解釋windows安全子系統(tǒng)包括5個(gè)關(guān)鍵的組件（1）安全標(biāo)識(shí)符（Security Identifiers）每次當(dāng)我們創(chuàng)建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給該用戶或組一個(gè)唯一的SID，當(dāng)你重新安裝系統(tǒng)后，也會(huì)得到

29、一個(gè)唯一的SID。SID是唯一的，不隨用戶的刪除而分配到另外的用戶使用。SID永遠(yuǎn)都是唯一的，SID是由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和這三個(gè)參數(shù)以保證它的唯一性。（2）訪問令牌（Access Tokens）當(dāng)用戶通過驗(yàn)證后，登錄進(jìn)程會(huì)給用戶一個(gè)訪問令牌，該令牌相當(dāng)于用戶訪問系統(tǒng)資源的票證。當(dāng)用戶試圖訪問系統(tǒng)資源時(shí)，將訪問令牌提供給Windows NT系統(tǒng)，然后Windows NT檢查用戶試圖訪問對(duì)象上的訪問控制列表。如果用戶被允許訪問該對(duì)象，系統(tǒng)將會(huì)分配給用戶適當(dāng)?shù)脑L問權(quán)限。訪問令牌是用戶在通過驗(yàn)證的時(shí)候由登錄進(jìn)程所提供的，所以改變用戶的權(quán)限則訪問令牌須要注銷后重新登

30、錄，重新獲取訪問令牌。（3）安全描述符（Security Descriptors）Windows NT系統(tǒng)中的任何對(duì)象的屬性都有安全描述符這部分。它保存對(duì)象的安全配置。（4）訪問控制列表（ Access Control Lists）訪問控制列表有兩種：任意訪問控制列表（Discretionary ACL）和系統(tǒng)訪問控制列表（System ACL）。任意訪問控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限、允許或拒絕。每一個(gè)用戶或組在任意訪問控制列表中歐冠都有特殊的權(quán)限。而系統(tǒng)訪問控制列表是為審核服務(wù)的，包含了對(duì)象被訪問的時(shí)間。（5）訪問控制項(xiàng)（Access Control Entries）訪問控制

31、項(xiàng)有兩種：允許訪問和拒絕訪問。拒絕訪問總是優(yōu)先于允許訪問。31.Windows 2000本地登錄過程1.輸入用戶名及密碼然后按回車 Graphical Identifiaction and Authentication (GINA)會(huì)收集這些信息。2.GINA傳送這些安全信息給Local Security Authority(LSA)來進(jìn)行驗(yàn)證。3. The LSA傳遞這些信息給Security Support Provider Interface(SSPI)，SSPI是一個(gè)與Kerberos和NTLM通訊的接口服務(wù)。4.SSPI傳遞用戶名及密碼給Kerberos SSP。 Kerberos SSP檢查目的機(jī)器是本機(jī)還是域名，如果是本機(jī)，KERberos返回錯(cuò)誤信息給SSPI如果找不到KDC，機(jī)器生成一個(gè)用戶可見的內(nèi)部錯(cuò)誤5.這個(gè)內(nèi)部錯(cuò)誤出發(fā)SSPI通知GINA,GINA再次傳遞這些安全信息給LSA。LSA再