二、思考题
1、网络加密有哪几种方式?请比较它们的优缺点。
答:网络加密的方式有4种分别是链路加密、节点加密、端到端加密、混合加密。
链路加密的优点:(1) 加密对用户是透明的,通过链路发送的任何信 息在发送
前都先被加密。
(2) 每个链路只需要一对密钥。 (3) 提供了信号流安全机制。
缺点:数据在中间结点以明文形式出现,维护结点安全性的代价较
高。
节点加密的优点:(1)消息的加、解密在安全模块中进行,这使消息内容不会
被泄密
(2)加密对用户透明 缺点:(1)某些信息(如报头和路由信息)必须以明文形式传输
(2)因为所有节点都必须有密钥,密钥分发和管理变的困难
端到端加密的优点:①对两个终端之间的整个通信线路进行加密
②只需要2台加密机,1台在发端,1台在收端
③从发端到收端的传输过程中,报文始终以密文存在 ④消息报头(源/目的地址)不能加密,以明文传送 ⑤只需要2台加密机,1台在发端,1台在收端
⑥从发端到收端的传输过程中,报文始终以密文存在 ⑦比链路和节点加密更安全可靠,更容易设计和维护 缺点:不能防止业务流分析攻击。
混合加密的是链路和端到端混合加密组成。
优点:从成本、灵活性和安全性来看,一般端到端加密方式较有
吸引力。对于某些远程机构,链路加密可能更为合适。缺点信息的安全设计较复杂。
4、密钥有哪些种类?它们各自的用途是什么?请简述它们之间的关系?
答:种类:1、基本密钥或称初始密钥其用途是与会话密钥一起去启动和控制某
种算法所构造的密钥产生器,产生用于加密数据的密钥流。 2、会话密钥其用途是使人们可以不必繁琐的更换基本密钥,有利于密钥的安全和管理。 3、密钥加密密钥用途是用于对传送的会话或文件密钥进行加密时采用的密钥,也成为次主密钥、辅助密钥或密钥传送密钥。 4、主机主密钥作用是对密钥加密密钥进行加密的密钥,存储于主机处理器中。 5、双钥体制下的公开钥和秘密钥、签名密钥、证实密钥。关系如图:
6
7、密钥分配的基本模式有哪些?
(a)点对点密钥分配:由A直接将密钥送给B,利用A与B的共享基本密钥加密实现。
(b)密钥分配中心(KDC):A向KDC请求发送与B通信用的密钥,KDC生成k传给A,并通过A转递给B,利用A与KDC和B与KDC的共享密钥实现。
(c)密钥传递中心(KTC):A与KTC,B与KTC有共享基本密钥。
11、在密码系统中,密钥是如何进行保护、存储和备份的?
密钥的保护:将密钥按类型分成不同的等级。大量的数据通过少量的动态产生的初级密钥来保护。初级密钥用更少量的、相对不变的二级密钥或主密钥KM0来保护。二级密钥用主机主密钥KM1,KM2来保护。少量的主密钥以明文形式存储在专用的密码装置中,其余的密钥以密文形式存储在专用密码装置以外。这样,就把保护大量数据的问题简化为保护和使用少量数据的问题。
密钥的存储:密钥在多数时间处于静态,因此对密钥的保存是密钥管理重要内容。密钥可以作为一个整体进行保存,也可化为部分进行保存。密钥的硬件存储;使用门限方案的密钥保存 ;公钥在公用媒体中存储。
密钥的备份:交给安全人员放在安全的地方保管;采用共享密钥协议。
7
第12章 防火墙技术
一、填空题
1、防火墙应位于___C _ A、公司网络内部 B、公司网络外部 C、公司网络与外部网络 D、都不对 2、应用网关的安全性__ B __包过滤防火墙。
A、不如 B、超过 C、等于 D、都不对
3、防火墙可以分为静态包过滤、动态包过滤、电路级网关、应用级网关、状态检查包过滤、切换代理和空气隙7种类型。
4、静态包过滤防火墙工作于OSI模型的网络层上,他对数据包的某些特定域进行检查,这些特定域包括:数据源地址、目的地址、应用或协议、源端口号、目的端口号。
5、动态包过滤防火墙工作于OSI模型的网络层上,他对数据包的某些特定域进行检查,这些特定域包括数据源地址、目的地址、应用或协议、源端口号、目的端口号。
6、电路级网关工作于OSI模型的会话层上,它检查数据包中的数据分别为源地址、目的地址、应用或协议、源端口号、目的端口号和握手信息及序列号。 7、应用级网关工作于OSI模型的应用层上,它可以对整个数据包进行检查,因此其安全性最高。
8、状态检测防火墙工作于OSI模型的网络层上,所以在理论上具有很高的安全性,但是现有的大多数状态检测防火墙只工作于网络层上,因此其安全性与包过滤防火墙相当。
9、切换代理在连接建立阶段工作于OSI模型的会话层上,当连接建立完成值后,再切换到动态包过滤模式,即工作于OSI模型的网络层上。
10、空气隙防火墙也称作安全网闸,它在外网和内网之间实现了真正的隔离。
二、思考题
1.防火墙一般有几个接口?什么是防火墙的非军事区(DMZ)?它的作用是什么?
答:防火墙一般有3个或3个以上的接口。网关所在的网络称为‘非军事区’(DZM)。网关的作用是提供中继服务,以补偿过滤器带来的影响。
2.为什么防火墙要具有NAT功能?在NAT中为什么要记录端口号?
答:使用NAT的防火墙具有另一个优点,它可以隐藏内部网络的拓扑结构,这在某种程度上提升了网络的安全性。在NAT中记录端口号是因为在实现端口地址转换功能时,两次NAT的数据包通过端口号加以区分。
9.应用级网关与电路级网关有何不同?简述应用级网关的优缺点。
8
答:与电路级网关不同的是应用级网关必须针对每个特定的服务运行一个特定的代理,它只能对特定服务所生成的数据包进行传递和过滤。 应用级网关的优点:1、在已有的安全模型中安全性较高
2、具有强大的认证功能 3、具有超强的日志功能
4、应用级网关防火墙的规则配置比较简单 缺点:1、灵活性差 2、配置复杂 3、性能不高
14.防火墙有什么局限性?
答:防火墙是Internet安全的最基本组成部分,但对于内部攻击以及绕过防火墙的连接却无能为力,另外,攻击者可能利用防火墙为某些业务提供的特殊通道对内部网络发起攻击,注入病毒或木马。
15.软件防火墙与硬件防火墙之间的区别是什么? 答:软件防火墙是利用CPU的运算能力进行数据处理,而硬件防火墙使用专用的芯片级处理机制。
第13章 入侵检测系统
一、填空题
1、根据数据源的来源不同,IDS可分为 基于网络NID3 、 基于主机HIDS和两种都有DIDS种类型。
2、一个通用的IDS模型主要由数据收集、 检测器、知识库和控制器 4部分组成。
3、入侵检测分为3个步骤,分别为信息收集、 数据分析 和 响应 。
4、一个NIDS的功能结构上至少包含 事件提取、入侵分析、入侵响应和远程管理4部分功能
5、DIDS通常由 数据采集构建 、通信传输构建、入侵检测分析、应急处理的构建和 用户管理构建5个构建组成。
6、IDS控制台主要由 日志检索、探测器管理、规则管理、日志报表和用户管理5个功能模块构成。
7、HIDS常安装于被保护的主机,NIDS常安装于 网络 入口处。 8、潜在人侵者的可以通过检查蜜罐日志来获取。 9、吸引潜在攻击者陷阱为蜜罐。
二、思考题
2、入侵检测系统按照功能可分为哪几类,有哪些主要功能?
答:功能构成包含:事件提取、入侵分析、入侵响应、远程管理4个部分功能
9
1、网络流量的跟踪与分析功能 2、已知攻击特征的识别功能
3、异常行为的分析、统计与响应功能 4、特征库的在线和离线升级功能 5、数据文件的完整性检查功能 6、自定义的响应功能 7、系统漏洞的预报警功能 8、IDS探测器集中管理功能
3、一个好的IDS应该满足哪些基本特征?
答:1、可以使系统管理员时刻了解网络系统的任何变更
2、能给网络安全策略的制定提供依据
3、它应该管理、配置简单,即使非专业人员也非常容易使用 4、入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变 5、入侵检测系统在发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警。
6、什么是异常检测,基于异常检测原理的入侵检测方法有哪些?
答:异常检测技术又称为基于行为的入侵检测技术,用来识别主机或网络中的异常行为。通过收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。 1、统计异常检测方法 2、特征选择异常检测方法
3、基于贝叶斯网络异常检测方法 4、基于贝叶斯推理异常检测方法 5、基于模式预测异常检测方法
7、什么是误用检测,基于误用检测原理的入侵检测方法有哪些?
答:误用检测技术又称为基于知识的检测技术。它通过对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。 1、基于条件的概率误用检测方法 2、基于专家系统误用检测方法 3、基于状态迁移分析误用检测方法 4、基于键盘监控误用检测方法 5、基于模型误用检测方法
10、蜜网和蜜罐的作用是什么,它们在检测入侵方面有什么优势?
蜜罐的作用:1、把潜在入侵者的注意力从关键系统移开2、收集入侵者的动作信息3、设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。
10