2. 常见的防火墙有3种类型:分组过滤防火墙,应用代理防火墙,状态检测防火墙。 3. 常见防火墙系统一般按照4种模型构建:筛选路由器模型、单宿主堡垒主机(屏蔽主机防火墙)模型、双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。
4. 入侵检测是一种增强系统安全的有效方法,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。
5. 入侵检测的3个基本步骤:信息收集、 数据分析和响应。 三、简答题
2. 简述防火墙的分类,并说明分组过滤防火墙的基本原理。
答: 防火墙有3种类型:分组过滤防火墙、应用代理防火墙和状态检测防火墙。 分组过滤防火墙的基本原理:
(1)防火墙审查每个数据包以便确定其是否与某一条过滤规则相匹配。
(2)过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议、TCP、UDP目的端口和ICMP消息类型等。
(3)如果包的信息匹配规则,那么该数据报就会按照路由表中的信息被转发。如果不匹配规则,用户配置的默认参数会决定是转发还是丢弃数据包。 3.常见的防火墙模型有哪些?比较它们的优点。
答:防火墙模型有4种:
(1)筛选路由器模型:是网络的第一道防线,实施包过滤。
(2) 单宿主堡垒主机模型:它是现了网络层安全和应用层安全。它由包过滤路由器和堡垒主机组成。
(3)双宿主堡垒主机模型:构造了更加安全的防火墙系统,它有两种网络接 口,在物理结构上强行使所有去往内部网络的信息必须经过堡垒主机。
(4)屏蔽子网模型:它用了两个包过滤路由器和一个堡垒主机,它是最安全的防火墙系统之一。网络管理员将堡垒主机、信息服务器、Modem组,以及其他公用服务器放在DMZ(“中立区”)网络中。要想突破它,就必须攻破以上三个单独的设备。 7. 什么是入侵检测系统?简述入侵检测系统目前面临的挑战。
答:入侵检测系统指的是一种硬件或者软件系统,该系统对系统资源的非法授权使用能够做出及时判断、记录和报警。 入侵检测系统目前面临的挑战有:一个有效的入侵检测系统应限制误报出现的次数,但同时又能那个有效截击。没有一个入侵检测呢个无敌于取保,因为没有一个应用系统不会发生错误,主要原因有4个:(1)缺乏共享数据的机制;(2)缺乏集中协调的机制;(3)缺乏揣摩数据在一段时间内变化的能力;(4)缺乏有效的跟踪分析
攻击来自于四面八方,有着不同的种类的漏洞的广泛分布异构计算机系统,使入侵检测系统很难对付,尤其是这样的系统有大量未经处理的流动数据,而实体间又缺乏通信及信任机制。
第11章(311) 一、 选择题
1. AH协议、ESP协议可以证明数据的起源地、保障数据的完整性及防止相同数据包在Internet重播 2. ESP除了AH提供的所有服务外,还提供机密性服务 3. 快速交换作用是为除IKE之外的协议协商安全服务
4. IPSec属于网络层上的安全机制
5. 握手协议用于客户机和服务器建立起安全连接之前一系列信息的安全信道 二、 填空
11
IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足
IPSec协议族包括两个安全协议ESP协议和AH协议
IPSec的作用方式有两种:传输模式和隧道模式,他们都可用于保护通信
IKE是一种混合型协议,他建立在由ISAKMP定义的一个框架上,同时实现了Oakley和SKEME协议的一部分
对于第一阶段,IKE交换基于两种模式:主模式和野蛮模式
虚拟专用网VDN指通过一个公用网络建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道,是对企业内部网的扩展
Microsoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起,形成了L2TP协议 SSL被设计用来提供一个可靠的端到端安全服务,为两个通信个体之间提供保密性和完整性 三、 简答
2、简述IP安全的作用方式
答:IP安全的实现方式有两种:传输模式和隧道模式,都可以用于保护通信。
传输模式:它用于两台主机之间,保护传输层协议头,实现端到端的安全性;当数据包从传输层传送给网络层时,AH协议和ESP协议会进行拦截,在IP头与上层协议之间需插入一个IPSec头;当同时应用AH协议和ESP协议到传输模式时,应该先应用ESP协议,再应用AH协议。
隧道模式:用于主机与路由器或两部路由器之间,保护整个IP数据包;将整个IP数据包进行封装,然后增加一个IP头,并在外部与内部IP头之间插入一个IPSec。
5、说明Web安全性中网络层、传输层和应用层安全性的实现机制
答:网络层安全性:基于网络层使用IPSec来实现Web安全,IPSEc可提供端到端的安全机制,可在网络层上对数据包进行安全处理。
传传输层安全性:在TCP传输层之上实现数据的安全传输是另一种安全解决方案,安全套阶层SSL和TLS(传输层安全)通常工作在TCP层之上,可以为更高层协议提供安全服务。 应用层安全性:将安全服务直接嵌入在应用程序中,从而在应用层实现通信安全;SET(安全电子交易)是一种安全交易协议,S/MIME(安全多用途英特网邮件扩张)、PGP都是用于安全电子邮件的标准。它们都可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务。 第十二章 一.选择题
1.在设计网络安全方案中,系统是基础、 人 是核心,管理是保证。
2.下面属于常用安全产品的有 A B C D 。A.防火墙B.防病毒C.身份认D.传输加密 二.填空题
1.安全原则体现在5个方面:动态性、唯一性、 整体性 、专业性和严密性。
2. 安全服务 不是产品化的东西,而是通过技术向用户提供的持久支持。对于不断更新的安全技、安全风险和安全威胁,其作用变得越来越重要。
3.实际安全风险分析一般从4个方面进行分析:网络的风险和威胁分析, 系统的风险和威胁分析 , 应用的分析和威胁分析 ,对网络、系统和应用的风险及威胁的具体实际的详细分析。
一、简答题:(每题5分,共20分)
1.在对账号的管理上,有哪些措施可以提高账号的安全性? 答: 1)帐号建立后应该有专门的人来负责,根据需要赋予其不同的权限,并且归并到
12
不同的用户组中;
2)如果帐号不再使用,管理员应该立即从系统中删除,以防黑客借用那些长久不用的帐号入侵系统;
3)启用系统的账户管理策略,如密码策略中的密码复杂性等策略,还有账户锁定策略等。在方便的前提下尽可能附加多的安全策略。
2.防火墙与杀毒软件作用一样吗?为什么?
答: 不一样。防火墙起的是一种防范作用。防火墙可以是纯硬件的也可以是纯软件的,同时也可以是软件和硬件结合的。它就像在内部网和外部网之间的一堵墙,用来过滤信息,但无法识别所传输的数据内容是什么。而杀毒软件是一种软件,可能一些杀毒软件会起到一些防火墙的作用识别数据的大致内容来和病毒库进行对比,杀毒软主要还是起杀毒作用,它是在本地或者内部已经被入侵或感染的情况下进行杀毒和排除风险的。
3.设置密码时,应注意哪些问题? 答:
1)不要使用简单的数字组合更不要是有顺序的数字组合; 2)尽量避免使用生日身份证号等证件的数字组合设置密码; 3)不要使用的有意义的字母或数字组合设置密码;
4)不要使用个人信息设置密码;
5)设置密码时要尽长而且量简单好记,但要遵循密码的复杂性; 6)不同的账户尽量不要使用相同的密码;
7)没有绝对安全的密码,所以密码要定期更换才比较安全
4.网络安全设计原则有哪些? 答: 1)系统性与整体性原则;
2)一致性原则; 3)木桶原则; 4)等级性原则;
5)风险与代价平衡性原则。
二、综述题:(每题20分,共40分)
1.作为个人计算机,你可以采用哪些安全措施来保障操作系统安全? (至少6条) 答: 1)开启防火墙;
2)装杀毒软件; 3)关闭不用的共享; 4)加强自主访问控制;
5)设置权限;要尽量遵循最小特权原则; 6)、对所有主体以及其所控制的客体实施强制访问控制;
2.假如你是某一企业的网络管理员,你可以采用哪些安全措施来保障网络安全?(至少6条)
13
答:
1)设置访问权限; 2)设置共享权限; 3)严格审核用户账户的权限; 4)设置安全审核策略; 5)监视系统;
6)控制系统的服务;
7)修改管理员帐号和创建陷阱帐号来迷惑入侵者;
8)清楚默认的共享隐患(删除默认共享、禁用IPC连接); 9)清空远程可访问的注册表路径; 10)关闭不必要的端口和服务;
三、计算题(要求过程)(每题20分,共40分) 1.已知明文M=networksecurity。
对于密钥K=4,计算移位密码和列变换密码。 答:
(1)首先建立英文字母和模26的剩余0~25之间的对应关系 A B C D E F G H I J K
L
M N
O
T U V W X Y Z 0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 19 20 21 22 23 24 25
可查到networksecurity 对应的整数为: N E T W O R K S E C U R I T Y
13 4 19 22 14 17 10 18 4 2
20 17 8
19 利用公式:c=E(M)=(m+4)mod26
C=(13+4)mod26=17 对应的字母为:R C1=(4+4)mod26=8 对应的字母为:I C2=(19+4)mod26=23 对应的字母为:X C3=(22+4)mod26=0 对应的字母为:A C4=(14+4)mod26=18 对应的字母为:S C5=(17+4)mod26=21 对应的字母为:V C6=(10+4)mod26=14 对应的字母为:O C7=(18+4)mod26=22 对应的字母为:W C8=(4+4)mod26=8 对应的字母为:I C9=(2+4)mod26=6 对应的字母为:G C10=(20+4)mod26=24 对应的字母为:Y C11=(17+4)mod26=21 对应的字母为:V C12=(8+4)mod26=12 对应的字母为:M C13=(19+4)mod26=23 对应的字母为:X
C14=(24+4)mod26=2 对应的字母为:C
因此明文networksecurity 对应的密文为:RIXASVOWIGYVMXC (2)
N E T W
14
P
Q
R
15 16 17 24
S
18
O R K S
E C U R I T Y
因此明文networksecurity 对应的密文为:NOEIERCTTKUYWSR
2.已知明文M=networksecurity。
对于密钥K=user,计算移位密码和vigenere密码。 答:
(1) U S E R 4 3 1 2 N E T W O R K S
E C U R I T Y A
因此明文networksecurity 的密文为: TKUYWSRAERCTNOEI
(2) 首先建立英文字母和模26的剩余0~25之间的对应关系
A T 0
B U 1
C V 2
D E W X 3
4
F Y 5
G Z 6
H 7
I 8
J 9
K
L
M N
O
P
Q
R
S
10 11 12 13 14 15 16 17 18
4
19 22 16 17 10 18 4
19 20 21 22 23 24 25
根据字母数值表查得明文串的数值表示为:13
2 20 17 8 19 24
密钥串的数值表示为:20、18、4、17
根据Vigenere 密码算法对明文和密钥串进行逐字符模26相加: C=(m+k)mod26=(13+20)mod26=7 对应的字母为:H C1=(m1+k1)mod26=(4+18)mod26=22 对应的字母为:W C2=(m2+k2)mod26=(19+4)mod26=23 对应的字母为:X C3=(m3+k3)mod26=(22+17)mod26=13 对应的字母为:N C4=(m4+k4)mod26=(16+20)mod26=10 对应的字母为:K C5=(m5+k5)mod26=(17+18)mod26=9 对应的字母为:J C6=(m6+k6)mod26=(10+4)mod26=14 对应的字母为:O C7=(m7+k7)mod26=(18+17)mod26=9 对应的字母为:J C8=(m8+k8)mod26=(4+20)mod26=24 对应的字母为:Y C9=(m9+k9)mod26=(2+18)mod26=20 对应的字母为:U C10=(m10+k10)mod26=(20+4)mod26=24 对应的字母为:Y C11=(m11+k11)mod26=(17+17)mod26=8 对应的字母为:I C12=(m12+k12)mod26=(8+20)mod26=2 对应的字母为:C C13=(m13+k13)mod26=(19+18)mod26=11 对应的字母为:L C14=(m14+k14)mod26=(24+4)mod26=2 对应的字母为:C 因此明文networksecurity 的密文为:HWXNKJOJYUYICLC
1.简述拒绝服务攻击的概念和原理。 答:拒绝服务攻击的概念:广义上讲,拒绝服务(DoS,Denial of service)
15