习题一
- 简述TCP/IP链路层的作用和主要协议
- 以太网帧格式和IEEE 802.3所规定的帧格式的异同,以及数据的长度具有46~1500字节的限制的具体原因
- 简述TCP/IP网络层的作用和主要协议
- 简述IP协议数据报个数及各字段的含义
- 简述TCP协议的三次握手机制、滑动窗口协议和确认与重传机制
- 结合实际谈一谈对几个常用的TCP/IP应用层协议的认识
习题二
- 为什么网络系统存在缺陷
- 简述各种网络拓扑结构在安全方面的优缺点
- 简述几种有代表性的软件安全漏洞及其防范
- 简述几种常见的网络硬件安全隐患
- 简述TCP/IP链路层的安全威胁和防范措施
- 简述TCP/IP网络层的安全威胁和防范措施
- 简述TCP/IP传输层的安全威胁和防范措施
- 具体描述SYN flooding的攻击原理和防御手段
- 简述TCP/IP应用层的安全威胁和防范措施
- 简述几种网络攻击的分类方法和一个完整的攻击过程
- 简述特洛伊木马的特点、传播运行方式及防御手段
- 简述DoS和DDoS的攻击原理和防范措施
习题三
-
简述消息认证的过程
-
数字签名有什么功能?例举你所知道的几种数字签名方案
不可否认性和源认证性
基于RSA的签名算法
基于ElGamal的签名算法(DSS,数字签名标准)
基于ECC的签名算法 -
身份认证有什么功能?其依据有哪些?
证实客户的真实身份与其所声称的身份是否相符的过程 -
简述Kerberos的应用环境及主要的认证步骤
Kerberos 的应用环境是一个分布式网络系统, 网络服务通过客户端- 服务器方式提供。
-
PKI由哪几部分组成?各部分的功能是什么?
PKI由认证中心CA(Certificate Authority)、注册机构RA(Registration Authority)、业务受理点、LDAP目录服务器(Light weight Directory Access Protocol) -
简述证书在认证体制中的作用。X.509证书格式包含哪些重要信息?
数字证书如同我们日常生活中使用的身份证, 它是持有者在网络上证明自己身份的 凭证。
X.509的证书包括三个部分:证书内容、签名算法和使用签名算法对证书内容所作的签名。
证书内容:
版本;序列号;签名算法标识;签发者;有效期;主体;主体的公开密钥;可选项 -
简述几种PKI的信任模型
单CA信任模型: 整个PKI 体系只有一个CA , 它为 PKI 中的所有终端用户签发和管理证书。
严格分级信任模型:严格分级信任模型也叫严格层次信任模型, 它是一个以主从 CA 关系建立的分级 PKI 结构。
网状信任模型:网状信任模型也叫分布式信任模型, 在这种模型中,CA 间存在着交叉认证。
桥CA 信任模型:桥CA 信任模型也叫中心辐射式信任模型。它被设计成用来克服分级模型和网状模 型的缺点和连接不同的PKI 体系。
习题四
- 简述“防火墙”这个概念的含义
防火墙是这样的一种技术,处于外部网络和被保护网络之间,进行访问控制,流量监控,来实现对被保护网络的保护。
防火墙实质是软件,硬件加上一组安全策略。 - 选购防火墙或设计防火墙相关的安全方案时,网络管理员必须考虑哪些因素?
防火墙的姿态(白名单和黑名单)
机构的整体安全策略
防火墙的费用 - 防火墙有哪些功能、分类和缺陷
功能:服务控制;方向控制;用户控制;行为控制;
分类:- 根据防火墙组成组件的不同:软件防火墙和硬件防火墙
- 根据防火墙技术的实现平台:基于Windows平台的Windows防火墙和基于Linux平台的Linux防火墙等
- 根据防火墙被保护的对象的不同:防火墙可以分为主机防火墙和网络防火墙
- 根据防火墙自身网络性能和被保护网络系统的网络性能:百兆防火墙和千兆防火墙
- 根据防火墙自身的体系结构:包过滤型防火墙、双宿网关型防火墙、屏蔽主机型防火墙、屏蔽子网型防火墙
- 根据防火墙所使用的主要技术:基本包过滤的防火墙、应用层代理、电路级网关、地址翻译防火墙和状态检查防火墙等
缺陷: - 限制有用的网络服务
- 无法防护内部网络用户的攻击
- 无法防范通过防火墙以外的其他途径的攻击
- 无法完全防止传送已感染病毒的软件或文件
- 无法防范数据驱动型的攻击
- 无法防备新的网络安全问题
- 简述包过滤型防火墙的原理、优缺点和适用环境。
用一台过滤路由器来实现对所接收的每个数据包做允许拒 绝的决定
优点:处理包的速度快;包过滤路由器对用户和应用来讲是透明的
缺点:防火墙的维护比较困难;只能阻止外部主机伪装内部主机的IP这种IP欺骗 - 简述双宿网关型防火墙的原理、优缺点和适用环境。
阻止IP层的通信,通过应用层代理服务来进行两个网络之间的通信。
优点:阻止IP层的直接通信,进行过滤
缺点:双重宿主主机一旦被入侵成功,内部网络将很容易会失守。 - 简述屏蔽主机型防火墙的原理、优缺点和适用环境。
强迫所有网络流量经过包过滤路由器以及堡垒主机,才能进入到内部网络
优点:实现了网络层安全(包过滤)和应用层安全(代理服务)
缺点:存在堡垒主机被绕过的可能, 一旦堡垒主机被攻破, 内部网将完全暴露 - 简述屏蔽子网型防火墙的原理、优缺点和适用环境。
使用两个包过滤路由器和一个堡垒主机
优点:实现了网络层安全(包过滤)和应用层安全(代理服务),同时加固了被屏蔽子网到内网的安全边界 - 简述数据包过滤技术的原理及优缺点。
优点:
帮助保护整个网络,减少暴露的风险;
对用户完全透明,不需要对客户端作任何改动,也不需要对用户做任何培训;
很多路由器可以作数据包过滤,因此不需要专门添加设备
缺点:
包过滤规则难于配置,一旦配置,数据包过滤规则也难于校验;
包过滤仅可以访问包头信息中的有限信息; - 简述应用层代理技术的原理及优缺点。
在应用层实现防火墙的功能
优点:更容易配置和测试;支持可靠的用户认证
缺点:有限的连接性;性能不高 - 简述电路级网关技术的原理及优缺点。
电路级网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。
优点:可以对各种不同的协议提供服务
缺点:不能用于UDP服务 - 简述NAT技术的原理和类型。
地址翻译(NAT,Net work Address Translation),将私有地址转换公有地址。
静态NAT(staic NAT)
NAT池(pooled NAT)
端口NAT(PAT) - 结合实际谈一谈对防火墙技术发展趋势的看法。
与人工智能相结合,有自主学习能力
向更加智能化;速度更快;具有并行处理能力、负载均衡能力;过滤能力更强;
习题五
- 简述“VPN”这个概念的含义、关键技术及分类
VPN是指利用公共网络发送专用信息,形成逻辑上的专用网络。
一个完整的VPN技术方案中,所涉及到的关键技术包括隧道技术、密码技术和服务质量保证技术(QoS)
按照VPN的应用领域分类:远程接入VPN(Access VPN);内联网VPN(Internet VPN);外联网VPN(Extranet VPN)
按照VPN隧道封装协议及隧道协议所在网络层次的不同分类:第二层VPN技术;第三层VPN技术;其他VPN技术(基于SOCKS V5的VPN,基于传输层SSL协议的VPN)
所谓隧道, 实质上是一种数据封装技术, 即将一种协议封装在另一种协议中传输, 从 而实现被封装协议对封装协议的透明性, 保持被封装协议的安全特性。
-
VPN有哪两种实现方式?简述它们的适用环境和优缺点
实现方式:Client-LAN;LAN-LAN
Client-LAN:适用于企业内部人员移动、有远程办公需要
优点:
减少用于相关的设备的资金及费用,简化网络;
极大的可扩展性,简便地对加入网络的新用户进行调度
缺点:
安全机制不好
LAN-LAN:适用于企业内部各分支机构的互联或者企业的合作者互联
优点: -
简述在链路层实现VPN的主要技术
拨号隧道技术:PPTP;L2F;L2TP(L2TP是PPTP和第二层转发L2F两种技术的结合)
标签隧道技术:MPLS
第二层加密技术:MPPE;DESE; -
比较PPTP、L2F和L2TP之间的优劣
-
简述链路层的主要加密技术
第二层加密技术:MPPE;DESE; -
简述网络层的VPN技术
基于IPSec协议体系的技术 -
比较IPSec的传输方式和隧道方式
事实上,IPSec 的传输模式和隧道模式分别类似于其他隧道协议( 如 L2TP) 的自愿模 式和强制模式, 即一个是基于用户的实施, 一个是基于网络的实施。
传输模式中,ESP不对整个数据包加密,而是只加密IP包的有效载荷部分,不包括IP头。
隧道模式中,原IP地址被当作有效载荷的一部分受到IPSec的安全保护。 -
比较IPSec的AH和ESP协议
ESP 机制为 通信提供机密性、完整性保护;AH 机制为通信提供完整性保护。
AH 的数据验证和 ESP 的数据验证有所不同, ESP 的 数据验证不包括外部的IP 头, 而 AH 验证则包括外部IP 头。 -
简述SA在IPSec中的作用
IPSec 密钥管理通过一个称为安全联盟( SA) 的数据结构来描述IPSec 数据封装的安全参数。 -
比较IKE的几种密钥交换模式
IKE主模式变换
IKE激进模式变换
IKE快速模式变换 -
针对IPSec有哪些攻击方法
Fragmnetation攻击
Proxy Encryption 攻击
双包攻击
随机数攻击
拒绝服务攻击
习题六
- 何为入侵检测系统?它由哪些基本组件构成?
入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。它从计算机系统或者网络中收集、分析信息,查看是否有违反安全策略的行为和遭到攻击的迹象,并做出相应的反应。
它由事件产生器、事件分析器、事件数据库、响应单元。 - 简述入侵检测的功能和分类。
功能:
监控、分析用户和系统的活动
发现入侵企图或异常现象
记录、报警和响应
分类:
根据原始数据的来源
根据检测原理
根据体系结构
根据工作方式
异常检测:入侵和滥用行为通常和正常的行为存在严重的差异,检查出这些差异就可以检测出入侵
误用检测:是通过某种方式预先定义行为,然后见识系统的运行,从中找出符合预先定义规则的入侵行为
- 简述常用的滥用(误用)检测技术和异常检测技术的原理。
常用的滥用(误用)检测技术有:专家系统、模型推理和状态转换分析
常用的异常检测技术有概率统计方法和神经网络方法。 - 比较异常检测和滥用检测技术的优缺点。
误用检测技术
优点:检测准确度高,技术相对成熟,便于系统维护等
缺点:入侵信息的收集和更新困难,难以检测本地入侵和新的入侵行为,维护特征库的工作量巨大
异常检测技术
优点:能够检测新的入侵或从未发送的入侵;对操作系统的依赖性较小;可检测出属于滥用权限型的入侵
缺点:报警率高,行为模型建立困难
- 简述Honeypot和Honeynet之间的关系
Honeynet是一种特殊类型的Honeypot,属于研究型Honeypot,它所进行的工作实质是在各种网络迹象中获取所需的信息,而不是对攻击者进行诱骗或检测。 - 简述入侵响应技术的基本手段
主动响应:对入侵者采取反击行动;修正系统环境;收集额外信息
被动响应:告警和通知 - 比较基于网络和基于主机的入侵检测系统的优缺点
基于主机的入侵检测系统
优点:视野集中;易于用户裁剪;不需要增加专门的硬件平台;对网络流量不敏感;确定攻击是否成功
基于网络的入侵检测系统
优点:检测速度快;隐蔽性好;视野更宽;攻击者不易转移证据;操作系统无关性;占资源少 - 结合实际谈一谈当前入侵检测的现状与不足,以及下一代入侵检测应具有的良好特性
现状与不足:
IDS系统本身还在迅速发展和变化,尚未成熟;
现有的IDS系统错报率(或称为虚警率)偏高,严重干扰了检测结果;
事件响应与恢复机制不完善;
IDS与其他安全技术的协作性不够;
IDS缺少对检测结果做进一步说明和分析的辅助工具;
IDS缺乏国际统一的标准
下一代入侵检测应具有的良好特性:
功能与性能提高;
检测和防范分布式攻击和拒绝服务攻击;
实现入侵检测系统与其他安全部件的互动;
入侵检测系统的标准化工作;
入侵检测系统的测试和评估 - 为什么入侵检测是防火墙的合理补充
防火墙本身会有各种漏洞和后门,有可能被外部黑客攻破;
防火墙不能阻止内部攻击,对内部入侵者来说防火墙毫无作用;
有些外部访问可以绕开防火墙;
入侵检测是防火墙的合理补充,为网络安全提供实时的入侵检测并采取相应的防护手段,如记录证据用于跟踪入侵者和灾难恢复、发出警报甚至终止进程、断开网络连接等待。
习题七
- 简述病毒的定义和特征
计算机病毒是一种能够自我复制并对计算机系统造成一定危害的特殊计算机程序。
特征:可执行性;传染性与传播性;破坏性;寄生性;欺骗性;隐蔽性和潜伏性;衍生性 - 简述病毒防治的常用方法
把各种查杀病毒的新技术应用于反病毒软件
网络杀毒
个人防火墙
邮件杀毒
数据备份拯救系统 - 简述病毒的分类
按攻击的操作系统分类
按传播媒介分类
按链接方式分类
按表现(破坏)情况分类
按寄生方式分类 - 简述引导型病毒、文件型病毒和宏病毒的原理
引导型病毒就是把自己的病毒程序放在软磁盘的引导区以及硬磁盘的引导扇区,当作正常的引导程序。
文件型病毒是指所以通过操作系统的文件系统进行感染的病毒。
宏病毒是只感染微软的文档(.doc或.xls等)的一种专向病毒,可以看作是文件型病毒,但因为其数量多、影响大,而且也有自己的特点,所以通常单独分类。 - 网络病毒有哪些特点?其传播有哪些主要方式
特点:主要通过网络传播;寄生宿主广泛
网络病毒的传播方式主要有3种:电子邮件、网页、文件传输 - 病毒寄生技术有哪些方式
头寄生:把病毒代码放到程序的头上
尾寄生:把病毒代码附件到可执行程序的尾部
插入寄生:病毒把自己插入被感染的程序中。
空洞利用: - 为什么病毒要使用内存驻留技术
关机后,病毒也会从内存里消失(释放);但只要电脑开机,病毒又会随系统启动,重新占用内存 - 为什么病毒加密变形技术可以使特征码检测技术失效
特征码检测技术是通过查找病毒的特征码进行病毒识别,而病毒加密变形使得找到固定的病毒特征码是徒劳的。 - 有哪些主要的反病毒技术
校验和检测
特征码扫描
启发式扫描
实时监控
启发式检测是为了克服传统扫描工具不能检测未知病 毒的缺点而提出的新技术, 它专门用来寻找未知病毒以及与已知病毒特征接近、但还未被 收录的病毒。
实时监控的目的在于即时地对数据输入的/ 输出动作做病毒检测工作, 希望能够在病毒尚未被执行之前就能够防堵下来。
- 结合实际谈一谈当今病毒的发展趋势
针对个人用户的病毒比例变少,针对企业机构病毒变多,比如勒索病毒,针对工控的病毒变多,比如著名的震网病毒 - 为什么虚拟机技术能有效对付加密变形病毒
虚拟机提供一个隔离的沙盒,让病毒运行,自己还原成明文病毒,此时再用相关病毒检测技术即可。