的问题。
38. 请画出双宿主主机防火墙的结构示意图。
39. 请画出堡垒主机防火墙的结构示意图。
40. 请画出双宿主网关防火墙的结构示意图。
41. 请画出屏蔽主机防火墙的结构示意图。
42. 请画出屏蔽子网防火墙的结构示意图。
43. 请画出三叉非军事区防火墙的结构示意图。
44. 说明屏蔽子网的优点。 ① 内联网络实现了与外联网络的隔离,内部结构无法探测,外联网络只能知道外部路由器
和费军事区的寻在,而不知道内部路由器的存在,也就无法探测内部路由器后面的内联网络了,只一点对于防止入侵者知道内联网络的内联网络的拓扑结构和主机地址分配及活动情况尤为重要。 ② 内联网络安全防护严密。入侵者必须攻破外部路由器、堡垒主机和内部路由器之后才能
进入内联网络。 ③ 由于使用了内部路由器和外部路由器所以降低了堡垒主机处理的负载量,减轻了堡垒主
机的压力,增强了堡垒主机的可靠性和安全性。 ④ 非军事区的划分将姜用户网络的信息流量明确分为不同的等级,通过内部路由器的隔离
作用,机密信息收到了严密的保护,减少了信息泄露现象的发生。 45. 防火墙的主要性能指标有哪些。 ① 可靠性 ② 可用性 ③ 可扩展性 ④ 可审计性 ⑤ 可管理性 ⑥ 成本耗费
46. 请简要说明选择防火墙主要考虑哪些具体评估参数。(至少5个) ① 吞吐量 ⑦ 接口数量和类型 ② 时延 ⑧ 日志和审计参数 ③ 丢包率 ⑨ 可用性参数 ④ 并发连接数 ⑩ 其他参数(内容过滤、入侵检测、用户⑤ 工作模式 认证、VPN加密等) ⑥ 配置与管理
47. 请说出防火墙的知名厂商有那几个?(至少5个) ① Juniper/Netscreen ⑤ 安氏 ② Cisco ⑥ 天融信 ③ Fortinet ⑦ 东软 ④ WatchGuard
48. 结合现实谈谈防火墙技术的主要发展趋势。
26
① 分布式执行和集中式管理 ② 深度过滤 ③ 建立以防火墙为核心的综合安全体系 ④ 防火墙本身的多功能化,变被动防御为主动防御 ⑤ 强大的审计与自动日志分析功能。 ⑥ 硬件化 ⑦ 专用化
49. 请说明深度过滤技术的基本特征。 ① 正常化、 ② 双向负载检测、 ③ 应用层加密解密、 ④ 协议一致性
50. 结合现实请谈谈计算机系统面临的威胁。 ① 拒绝服务(服务请求超载、SYN洪水、报文超载) ② 欺骗(IP地址欺骗、路由欺骗、DNS欺骗、Web欺骗)③ 监听 ④ 密码破解 ⑤ 木马 ⑥ 缓冲区溢出 ⑦ ICMP秘密通道 ⑧ TCP会话劫持
27
51. 拒绝服务攻击有哪些方法?
服务请求超载、SYN洪水、报文超载 52. 欺骗攻击主要有哪些方法?
IP地址欺骗、路由欺骗、DNS欺骗、Web欺骗 53. 结合实际谈谈入侵行为的一般过程。 ① 确定攻击目标 ② 实施攻击 ③ 攻击后处理
54. 请画出入侵检测P2DR模型,并解释各部分的含义。
55. 入侵检测的主要作用有哪些?(至少5个) ① 识别并阻断系统活动中存在的一直攻击行为,放置入侵检测行为对受保护系统造成损害 ② 识别并判断系统用户的非法操作行为或者越权行为,防止放置用户对保护系统有意无意
的破坏。 ③ 检查受保护系统的重要组成部分以及各种数据文件的完整性。 ④ 审计并弥补系统中存在的弱点和漏洞,其中那个最重要的一点事审计并纠正错误的系统
配置信息。 ⑤ 记录并分析用户和系统的行为,描述这些行为变化的正常区域,进而识别异常的活动。 ⑥ 通过蜜罐等技术记录入侵者的信息,分析入侵者的目的和行为特征,优化系统安全策略。 ⑦ 加强组织和机构对系统和用户的监督和控制能力,提高管理水平和管理质量。 56. 简要说明基于主机的入侵检测的优点有哪些? ① 能够检测所有的系统行为,可以精确监控针对主机的攻击过程 ② 不需要额外的硬件来支持 ③ 能够适合加密的环境 ④ 网络无关性
57. 简要说明基于主机的入侵检测的缺点有哪些? ① 不具有平台无关性,可移植性差 ② 检测手段较多时会影响安装主机的性能 ③ 维护和管理工作复杂 ④ 无法判断网络的入侵行为
58. 简要说明基于网络的入侵检测的优点有哪些? ① 具有系统平台无关性 ② 不影响受保护主机的性能
28
③ 对攻击者来说是透明的 ④ 能够进行较大范围内的网络安全保护 ⑤ 监测数据具有很高的真实性 ⑥ 可检测基于底层协议的攻击行为
59. 简要说明基于网络的入侵检测的缺点有哪些? ① 不在通信的端点,无法像进行网络通讯的主机那样处理全部网络协议层次的数据 ② 对于现在越来越流行的加密传输很难进行处理 ③ 对于交换网络的支持不足 ④ 面临处理能力的问题 ⑤ 容易受到拒绝服务攻击 ⑥ 很难进行复杂攻击的检测 60. 简要说明蜜罐技术原理。 蜜罐实际是一种牺牲系统,不包含任何可以利用的有价值的资源。存在的唯一目的就是将攻击的目标转移到蜜罐系统上,诱骗、手机、分析攻击的信息确定攻击行为和入侵者的动机。,设置蜜罐存在安全风险,容易被入侵者控制作为攻击内联网络的跳板。 61. 说明什么是异常入侵检测。
异常入侵检测是根据系统和用户的非正常行为或者对于计算机资源的非正常使用检测出入侵行为的检测技术,异常检测基础是建立在系统正常活动或用户正常行为模式的描述模型。将用户的当前行为模式和系统的当前状态与该正常模式进行比较,如果当前值超出了预设的阈值,则认为存在攻击行为。,对未知的攻击的检测,精确度依赖于正常模型的精确程度。 62. 说明什么是滥用入侵检测。
滥用入侵检测通过对现有的各种攻击手段进行分析,找到能够代表该攻击的行为的特征集合。对当前数据的处理就是与这些特征集合进行匹配,如果成功匹配则说明发生了依次确定的攻击。滥用入侵检测可以实现的基础是现有已知攻击手段,都能够根据近攻击条件、动作排列及相应事件之间的关系变化进行明确描述,即攻击行为的特征能够被提取。每种攻击行为都有明确的特征描述,所以滥用检测的准确度很高。但是,滥用检测系统依赖性较强,平台无关性较差,难于移植。而且对已多种已知攻击模式特征的提取和维护工作量非常大,此外滥用检测只能根据已有的数据进行判断,不能检测新的或变异的攻击行为。最后,滥用检测无法识别内部用户发起的攻击行为。 63. 比较异常检测和滥用检测的区别。
滥用入侵检测根据已知的攻击行为建立异常行为模型,然后将用户行为与之进行匹配,成功意味着又一次确定的攻击行为发生。该技术就有较好的确定解释能力,可以得到较高的检测准确度和较低的误警率。但是,只能检测已知的攻击行为,对已已知攻击的变形或者新型的攻击行为将无法进行检测。
异常入侵检测则是试图建立用户后者系统的正常行为模型,任何超过该模型允许阈值的事件都被认为是可以的。这种技术的好处是能够检测到位置的攻击,攻击可能无法明确指出是何种类型的攻击。但是这种方法往往不能反映计算机系统的复杂的动态本质,很难进行建模操作。
两种方法各自特点决定了他们具有相当的互补性,可以将两种方法结合起来,提高安全性。 64. 说明入侵检测技术的不足之处有哪些?
① 无法完全自动完成对所有攻击的行为的检测,必须与管理人员的交互来实现; ② 不恩给你很好的适应攻击技术的发展,只能在数值攻击行为的特征后才能识别检
测。虽然存在智能化自学习的入侵检测但是跟不上变形攻击技术和子发展攻击技术的步伐。
29
③ 入侵检测很难实现对攻击的实施响应。对于一次性的攻击行为(瞬发攻击)时毫无
作用的。 ④ 入侵检测技术本质上是一种被动的系统,无法弥补各种协议的缺陷,只能尽量低去
适应协议的规范。 ⑤ 系统检测的精度依赖于提供信息的质量和完整性,无法达到入侵检测技术的理论水
平。 ⑥ 处理能力有限,当负载满负荷运转时,不能及时有效地分析处理全部的数据。 ⑦ 无法完全适应现代系统软件和硬件技术的发展速度。不能很好地如何进多样化的现
代网络。 ⑧ 无法快速适应组织和机构的系统安全策略的变化,调整过程较为复杂。 65. 结合实际谈谈入侵检测系统的性能指标有哪些? 有效性指标(攻击检测率、攻击误警率、可信度)
可用性指标(检测延迟、系统开销、吞吐量、每秒抓包数、每秒网络连接监控数、每秒事件处理数)
安全性指标(对于攻击的抵抗能力、数据通信机制的可靠性) 66. 说明入侵攻击技术的发展趋势。
① 攻击技术的复杂性和综合性 ② 攻击行为的扩大性 ③ 攻击行为的隐秘性 ④ 对于防护系统的攻击 ⑤ 攻击行为的网络化
67. 说明入侵检测技术的发展趋势。
① 标准化的入侵检测 ② 高速入侵检测 ③ 大规模、分布式入侵检测 ④ 多种技术的融合 ⑤ 实时入侵响应 ⑥ 入侵检测的评测 ⑦ 与其他安全技术的联动
68. 简要说明VPN技术的工作原理。
VPN的原理是在两台直接与不安全的公网相连的计算机之间建立一条穿过公网的虚拟的安全的专用通道。经过打包、公网传输和解包的过程。一般通信内容需要加密和解密。 69. 说明高效、成功的VPN的有哪些特点。
① 具备完善的安全保障机制 ② 具备用户可接受的服务质量保证 ③ 总成本低 ④ 可扩充性、安全性和灵活性 ⑤ 管理便捷
70. 说明VPN的安全机制通过哪些技术来实现并详细解释? VPN的安全机制通过加密、认证和密钥交换与管理组成。 验证数据的完整性、用户认证、密钥的交换与管理。 71. 请对VPN二层隧道和三层隧道的性能进行比较。
第三层隧道与第二层隧道相比,优点在于他的安全性、可扩展性和可靠性。 从安全性角度来讲,第二层隧道一般终止在用户网设备上,或对用户啊网络的安全和防火墙
30