2. 包过滤型防火墙原理上是基于(C)进行分析的技术。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层
3. 为了降低风险,不建议使用的Internet服务是(D)。 A. Web服务 B. 外部访问内部系统 C. 内部访问Internet D. FTP服务 4. 对非军事DMZ而言,正确的解释是(D)。 A. DMZ是一个真正可信的网络部分
B. DMZ网络访问控制策略决定允许或禁止进入DMZ通信 C. 允许外部用户访问DMZ系统上合适的服务 D. 以上3项都是
5. 对动态网络地址交换(NAT),不正确的说法是(B)。 A. 将很多内部地址映射到单个真实地址 B. 外部网络地址和内部地址一对一的映射 C. 最多可有64000个同时的动态NAT连接 D. 每个连接使用一个端口
以下(D)不是包过滤防火墙主要过滤的信息?
A. 源IP地址 B. 目的IP地址 C. TCP源端口和目的端口 D. 时间 防火墙用于将Internet和内部网络隔离,(B)。 A. 是防止Internet火灾的硬件设施
B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 二、填空题
防火墙是位于两个 网络之间 ,一端是 内部网络 ,另一端是 外部网络 。 防火墙系统的体系结构分为 双宿主机体系结构 、屏蔽主机体系结构 、屏蔽子网体系结构。 三、问答题
1. 什么是防火墙,为什么需要有防火墙?
防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。
如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机,因此,所有的主机都必须达到一致的高度安全水平,这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控制,也会使内部网络更加安全。 防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。它是一种被动的技术,是一种静态安全部件。 2. 防火墙应满足的基本条件是什么?
作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下: (1) 内部网络和外部网络之间的所有数据流必须经过防火墙。 (2) 只有符合安全策略的数据流才能通过防火墙。
(3) 防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它本身是不可被侵入的。 3. 列举防火墙的几个基本功能? (1) 隔离不同的网络,限制安全问题的扩散,对安全集中管理,简化了安全管理的复杂程度。 (2) 防火墙可以方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。
(3) 防火墙可以作为部署NAT的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题或者隐藏内部网络的结构。 (4) 防火墙是审计和记录Internet使用费用的一个最佳地点。 (5) 防火墙也可以作为IPSec的平台。 (6) 内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。
防火墙有哪些局限性?
(1) 网络上有些攻击可以绕过防火墙(如拨号)。 (2) 防火墙不能防范来自内部网络的攻击。
(3) 防火墙不能对被病毒感染的程序和文件的传输提供保护。 (4) 防火墙不能防范全新的网络威胁。
(5) 当使用端到端的加密时,防火墙的作用会受到很大的限制。
(6) 防火墙对用户不完全透明,可能带来传输延迟、瓶颈以及单点失效等问题。
(7) 防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机上,一旦被执行就形成攻击(附件)。 包过滤防火墙的过滤原理是什么?
包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,因为它是工作在网络层。路由器便是一个网络层防火墙,因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。 这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则(丢弃该包)。在制定数据包过滤规则时,一定要注意数据包是双向的。
状态检测防火墙的原理是什么,相对包过滤防火墙有什么优点?
状态检测又称动态包过滤,所以状态检测防火墙又称动态防火墙,最早由CheckPoint提出。 状态检测是一种相当于4、5层的过滤技术,既提供了比包过滤防火墙更高的安全性和更灵活的处理,也避免了应用层网关的速度降低问题。要实现状态检测防火墙,最重要的是实现连接的跟踪功能,并且根据需要可动态地在过滤规则中增加或更新条目。防火墙应当包含关于包最近已经通过它的“状态信息”,以决定是否让来自Internet的包通过或丢弃。 应用层网关的工作过程是什么?它有什么优缺点?
主要工作在应用层,又称为应用层防火墙。它检查进出的数据包,通过自身复制传递数据,防止在受信主机与非受信主机间直接建立联系。应用层网关能够理解应用层上的协议,能够做复杂的访问控制,并做精细的注册和审核。 基本工作过程是:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
常用的应用层网关已有相应的代理服务软件,如HTTP、SMTP、FTP、Telnet等,但是对于新开发的应用,尚没有相应的代理服务,它们将通过网络层防火墙和一般的代理服务。 应用层网关有较好的访问控制能力,是目前最安全的防火墙技术。能够提供内容过滤、用户认证、页面缓存和NAT等功能。但实现麻烦,有的应用层网关缺乏“透明度”。应用层网关每一种协议需要相应的代理软件,使用时工作量大,效率明显不如网络层防火墙。
代理服务器有什么优缺点?
代理服务技术的优点是:隐蔽内部网络拓扑信息;网关理解应用协议,可以实施更细粒度的访问控制;较强的数据流监控和报告功能。(主机认证和用户认证)缺点是对每一类应用都需要一个专门的代理,灵活性不够;每一种网络应用服务的安全问题各不相同,分析困难,因此实现困难。速度慢。
静态包过滤和动态包过滤有什么不同?
静态包过滤在遇到利用动态端口的协议时会发生困难,如FTP,防火墙事先无法知道哪些端口需要打开,就需要将所有可能用到的端口打开,会给安全带来不必要的隐患。 而状态检测通过检查应用程序信息(如FTP的PORT和PASV命令),来判断此端口是否需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。
VPN技术 一、选择题
1. 通常所说的移动VPN是指(A)。
A. Access VPN B. Intranet VPN C. Extranet VPN D. 以上皆不是 2. 属于第二层的VPN隧道协议有(B)。
A. IPSec B. PPTP C.GRE D. 以上皆不是 3. GRE协议的乘客协议是(D)。
A. IP B. IPX C. AppleTalk D. 上述皆可 4. VPN的加密手段为(C)。 A. 具有加密功能的防火墙 B. 具有加密功能的路由器
C. VPN内的各台主机对各自的信息进行相应的加密 D. 单独的加密设备
6. 将公司与外部供应商、客户及其他利益相关群体相连接的是(B)。
A. 内联网VPN B. 外联网VPN C. 远程接入VPN D. 无线VPN 7. PPTP、L2TP和L2F隧道协议属于(B)协议。
A. 第一层隧道 B. 第二层隧道 C. 第三层隧道 D. 第四层隧道 8.不属于隧道协议的是(C)。
A. PPTP B. L2TP C. TCP/IP D. IPSec 不属于VPN的核心技术是(C)。
A. 隧道技术 B. 身份认证 C. 日志记录 D. 访问控制 10.目前,VPN使用了(A)技术保证了通信的安全性。 隧道协议、身份认证和数据加密 身份认证、数据加密 隧道协议、身份认证 隧道协议、数据加密
(A)通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部 网的远程访问。
A. Access VPN B. Intranet VPN C. Extranet VPN D. Internet VPN 13.L2TP隧道在两端的VPN服务器之间采用(A)来验证对方的身份。 A. 口令握手协议CHAP B. SSL
C. Kerberos D. 数字证书 二、问答题
1. 解释VPN的基本概念。
VPN是Virtual Private Network的缩写,是将物理分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。
Virtual是针对传统的企业“专用网络”而言的。VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道,尽管没有自己的专用线路,但它却可以提供和专用网络同样的功能。
Private表示VPN是被特定企业或用户私有的,公共网络上只有经过授权的用户才可以使用。在该通道内传输的数据经过了加密和认证,保证了传输内容的完整性和机密性。 2.简述VPN使用了哪些主要技术。
1)隧道(封装)技术是目前实现不同VPN用户业务区分的基本方式。一个VPN可抽象为一个没有自环的连通图,每个顶点代表一个VPN端点(用户数据进入或离开VPN的设备端口),相邻顶点之间的边表示连结这两对应端点的逻辑通道,即隧道。
隧道以叠加在IP主干网上的方式运行。需安全传输的数据分组经一定的封装处理,从信源的一个VPN端点进入VPN,经相关隧道穿越VPN(物理上穿越不安全的互联网),到达信宿的另一个VPN端点,再经过相应解封装处理,便得到原始数据。(不仅指定传送的路径,在中转节点也不会解析原始数据)
2)当用户数据需要跨越多个运营商的网络时,在连接两个独立网络的节点该用户的数据分组需要被解封装和再次封装,可能会造成数据泄露,这就需要用到加密技术和密钥管理技术。目前主要的密钥交换和管理标准有SKIP和ISAKMP(安全联盟和密钥管理协议)。
3)对于支持远程接入或动态建立隧道的VPN,在隧道建立之前需要确认访问者身份,是否可以建立要求的隧道,若可以,系统还需根据访问者身份实施资源访问控制。这需要访问者与设备的身份认证技术和访问控制技术。
安全扫描技术 一、问答题
1. 简述常见的黑客攻击过程。 1 目标探测和信息攫取
先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息,然后根据各系统的安全性强弱确定最后的目标。 1) 踩点(Footprinting)
黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息,DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。 2) 扫描(Scanning) 在扫描阶段,我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务),甚至更进一步地获知它们运行的是什么操作系统。
3) 查点(Enumeration)
从系统中抽取有效账号或导出资源名的过程称为查点,这些信息很可能成为目标系统的祸根。比如说,一旦查点查出一个有效用户名或共享资源,攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的,因此要求使用前面步骤汇集的信息。
2 获得访问权(Gaining Access)
通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。
3 特权提升(Escalating Privilege)
在获得一般账户后,黑客经常会试图获得更高的权限,比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。
4 窃取(Stealing)
对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文件等)。
5 掩盖踪迹(Covering Tracks)
此时最重要就隐藏自己踪迹,以防被管理员发觉,比如清除日志记录、使用rootkits等工具。
6 创建后门(Creating Bookdoor)
在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问。 入侵检测与安全审计 一、填空题
1.IDS的物理实现不同,按检测的监控位置划分,入侵检测系统可分为基于 主机的入侵检测系统、基于 网络的入侵检测系统 和 分布式入侵检测系统。 二、问答题
1. 什么是IDS,它有哪些基本功能?
入侵检测系统IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。
1)监测并分析用户和系统的活动,查找非法用户和合法用户的越权操作; 2)核查系统配置和漏洞并提示管理员修补漏洞; 3)评估系统关键资源和数据文件的完整性; 4)识别已知的攻击行为,统计分析异常行为;
5)操作系统日志管理,并识别违反安全策略的用户活动等。
网络病毒防范 一、选择题
1. 计算机病毒是计算机系统中一类隐藏在(C)上蓄意破坏的捣乱程序。 A. 内存 B. 软盘 C. 存储介质 D. 网络 二、填空题
1.计算机病毒的5个特征是:主动传染性、破坏性、寄生性(隐蔽性)、潜伏性、多态性。 2.恶意代码的基本形式还有 后门、逻辑炸弹、特洛伊木马、蠕虫、细菌。 蠕虫是通过 网络 进行传播的。
4.计算机病毒的工作机制有潜伏机制、传染机制、表现机制。
三、问答题
了解基本的计算机病毒防范措施。 计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。 计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。
9.什么是病毒的特征代码?它有什么作用?
病毒的特征代码是病毒程序编制者用来识别自己编写程序的唯一代码串。因此检测病毒程序可利用病毒的特征代码来检测病毒,以防止病毒程序感染。 10.什么是网络蠕虫?它的传播途径是什么?
网络蠕虫是一种可以通过网络(永久连接网络或拨号网络)进行自身复制的病毒程序。一旦在系统中激活,蠕虫可以表现得象计算机病毒或细菌。可以向系统注入特洛伊木马程序,或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬件或文件系统中繁殖,而典型的蠕虫程序会在内存中维持一个活动副本。蠕虫是一个独立运行的程序,自身不改变其他的程序,但可以携带一个改变其他程序功能的病毒。
综合题:
1、 描述恶意代码常用的攻击技术。
2、 用户A与B都采用公开密钥密码体制进行通信。现A需要与B进行通信,请你写出他
们分发和保护会话密钥的步骤。