网络安全必背简答题

威胁的分类与具体形式？
1、基本威胁
信息泄露
完整性破坏
拒绝服务
非法使用
2、主要可实现威胁（常见威胁）
假冒（渗入威胁）
旁路控制（渗入威胁）
授权侵犯（渗入威胁）
特洛伊木马（植入性威胁）
陷门（植入性威胁）
3、潜在威胁
窃听
流量分析
操作人员不慎导致的信息泄露
媒体废弃物所导致的信息泄露
网络安全策略？
1、概念
安全策略是指在某个安全域内施加给所有与安全活动相关的活动的一套规则
2、分类
安全策略目标
机构安全策略
系统安全策略
访问控制策略？
1、概念
隶属于系统级安全策略，他迫使计算机和网络之间自动的进行授权。
2、分类1
基于身份的访问控制策略
基于任务的访问控制策略
多等级策略
3、分类2
强制性访问控制策略
自主性访问控制策略
安全攻击的分类？
1、被动攻击：试图获得或利用系统的信息，但不会对系统的资源造成破坏（窃听或流量分析，难以检测，重在预防）。
2、主动攻击：试图破坏系统的资源，影响系统的正常工作（重在检测）。
伪装攻击：假装成其他试图
重放攻击：再次发送
消息篡改
拒绝服务
IP（网际协议）？
1、概念
网际协议是TCP/IP的心脏
一个IP数据报由首部和数据两部分组成
首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的
在首部的固定部分是一些可选字段，其长度是可变的
IP层接受由TCP和UDP传送来的数据包，或者将数据包传递到更高层的TCP或UDP
IP数据包中包括发送他的主机地址和接受他的主机地址
2、IP的安全性
不能保证有序
不能保证完整性
非面向连接，不可靠连接业务，不能保证是否传送出去并且传送一次
不能保证可靠的链路：数据包丢弃，TCP拥堵
在数据包的分段和重组过程中可能造成数据包重叠
无分类域间路由
可能遭受IP碎片攻击
ARP？
1、概念
ARP是地址解析协议，用于在发送帧之前将IP地址转换成MAC地址。使用了老化机制，当时间长没人使用的一行就会被删除，大大减少的查询时间。
2、ARP的安全性问题
通过伪造IP地址和MAC地址实现ARP欺骗
每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录
3、ARP欺骗的基本原理
一些攻击者发送大量的假的ARP查询或应答信息，然后将流向他的数据转移，这样就可以伪装成某台计算机或修改数据结构
4、ARP欺骗的过程
节点A广播发出寻找B的MAC地址
节点B做出应答，返回自己的MAC地址，但是攻击节点H也不断发出应答，说B对应的MAC地址是自己的
由于H不断发送响应包，造成A认为B的MAC地址是H的
攻击者欺骗成功
5、防护
绑定静态映射
安装防火墙
ICMP？
1、概念
介于网络层和传输层的协议，用来传输网络诊断信息
传递两种信息，一是错误，用来诊断网络故障
二是咨询信息
2、ICMP安全性
重定向攻击
Ping of death
MTU
3、ICMP重定向防护
配置主机不处理重定向报文
安装防火墙
TCP？
1、概念
TCP用于为客户提供可靠的链路
TCP将排序混乱的数据包进行重排，将损坏的数据包重新传送
2、TCP建立连接的过程
客户机首先向服务器发送了SYN标志位的数据包和一个初始的客户机序号
服务器返回的数据既包含了SYN标志位，又有了ACK信息（客户机序号+1），同时附加服务器序号SSED
客户机将服务器的序号+1作为返回数据包的值
3、TCP安全风险
只有某些超级用户才能建立1024以下的端口
三次握手协议可能遭受SYN FLOOD攻击
可能遭受序号攻击
4、SYN FLOOD攻击的过程
客户机首先向服务器发送设置了SYN标志的数据包和一个初始的客户机序号
攻击者发送大量数据包到服务器，使服务器和客户端之间一直处于半连接的状态，阻止TCP三次握手的完成
UDP？
1、概念
与TCP处于同一层次
没有纠错和重传机制
没有对数据包进行丢包复制和排序检测
用于交换信息的开销比TCP小得多
2、UDP安全性问题
UDP自身缺少流控制的作用，大量数据传输的时候会堵塞主机或者路由
没有三次握手协议，这样就容易被攻击
忽略了源地址的源端口号
PKI?
1、概念
PKI是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。目的是从技术上解决网上身份认证，电子信息的完整性和不可抵赖性等安全性问题，为网络应用提供可靠的安全服务。PKI最主要的任务是确立可信的数字身份。PKI的关键是实现密钥管理。
2、组成
证书机构CA
注册机构RA
策略管理
密钥与证书管理
密钥备份与恢复
撤销系统
3、PKI提供的服务

认证服务
身份的识别与认证
验证证书的真伪
验证身份的真伪

数据的完整性服务
杂凑算法：输入数据任何变化都会引起数据的不可预测的变化
签名：将杂凑值利用私钥加密后和数据一起传送

数据保密性服务
利用数字信封机制，发送方先生成一个对称密钥，之后用对称密钥对数据进行加密，发送方之后利用接受方的公钥加密对称密钥，然后将加密过的对称密钥和被加密过的敏感数据一起发送，接收方先用私钥解密对称密钥，之后再用对称密钥解密敏感数据。

不可否认服务
数据来源的不可否认性
接受的不可否认性
接受后的不可否认性

公正服务
实际就是验证数据的有效性的正确性
数字证书？
1、数字证书就是一个用户的身份和其所持有的公钥的结合，由一个可信的权威机构CA来证实用户的身份，然后由该机构对用户身份及其对应的公钥结合的证书进行数字签名，以证明证书的有效性。
2、结构：版本，证书序号，签名算法标识符，签名者，有效期，主体名，主体公钥信息。
3、数字证书生成参与方：证书机构CA，注册机构RA，最终用户
4、数字证书的生成步骤：密钥生成，注册验证，证书生成
5、撤销原因
数字证书持有者报告该证书中指定的公钥对应的私钥被破解
CA发现签发数字证书的时候出错
证书持有者离职，而证书是证书持有者在职期间颁发的。
6、数字证书安全性检查步骤
是否在有效期内
是否可以用CA对其进行签名验证
是否在CRL中
PMI？
1、概念
建立在PKI基础上的PMI，以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射机制。
2、PMI的组成
AA：属性证书管理机构
AC：属性证书
属性证书库
3、PMI与PKI区别
PKI主要进行身份验证，证明用户身份，即你是谁
PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即你能做什么
4、实现PMI的三种机制
Keberors机制
基于策略服务器的机制
基于属性证书的机制
5、PMI模型的组成部分
权限验证者
权限持有者
目标
6、PMI与PKI的联系
PKI可以认证属性证书中的实体和所有者身份，并鉴别属性证书的签发权威机构AA的身份。
链路加密？
节点加密？
端到端加密？
密钥管理？
密钥分配？
1、概念
2、密钥分配的三种方法
利用安全信道实现密钥传递
利用双钥体制建立安全信道传递
利用特定的物理现象实现密钥传递
3、密钥分配的三种方式
直接传递
通过KDC
通过KTC
4、密钥分配用到的技术
认证技术：保证
协议技术：过程
5、可信第三方TTP参与的方式
协调
联机
脱机
6、TTP提供的服务
密钥服务器
密钥管理设备
密钥查阅服务
时戳代理
仲裁代理
托管代理
7、密钥认证的三种方式
隐式密钥认证
密钥确认
显示密钥认证
防火墙？
1、概念
2、防火墙组成
过滤器
网关
变种结构
3、防火墙缺点
防外不防内
绕过防火墙的连接时无效的
必须允许重要的服务通过也为攻击预留了通道
4、防火墙对数据的过滤
允许
拒绝
丢弃
5、一个好的防火墙的特性
所有进出网络的数据流必须通过防火墙
只允许经过授权的数据流通过防火墙
防火墙自身对入侵是免疫的
与防火墙实现不相关的又可能给防火墙带来安全威胁的网络服务都应该从防火墙中剥离
防火墙的分类
包过滤防火墙（静态和动态）网络层
电路级网关防火墙 会话层
应用级网关防火墙 应用层
状态检测防火墙 全部七层
切换代理 建立 会话 工作 网络
空气隙防火墙
IDS?
1、概念
所有能够执行入侵检测任务和实现入侵检测功能的系统都可以被称为入侵检测系统
2、模型组成
数据收集器
检测器
控制器
知识库
3、任务
信息收集
信息分析
模式匹配
统计分析
完整性分析
安全响应
异常检测？
实际上就是基于行为的入侵检测技术，假设攻击与正常活动有明显差异的。
分类
统计异常检测
特征选择异常检测
基于贝叶斯网络的异常检测
基于贝叶斯推理的异常检测
基于模式预测的异常检测
误用检测？
误用检测是基于知识的检测技术，假设所有入侵行为和手段都能够表达为一种模式或特征
分类
基于条件的概率误用检测方法
基于键盘监控误用检测方法
基于专家系统误用检测方法
基于状态迁移分析误用检测方法
NIDS
1、概念
2、
2、采用的技术
IP碎片重组技术
TCP流重组技术
TCP状态检测技术
协议分析技术
零复制技术
蜜罐技术
3、优点
4、缺点：误报率高
HIDS？
1、概念
2、优点
3、缺点
4、使用的技术
文件和注册表保护技术
网络安全保护技术
IIS保护技术
文件完整性分析技术
VPN？
1、概念
2、好的VPN特点
3、VPN采用的技术
4、VPN分类
PPTP VPN?
IPSec VPN？
TLS VPN
MPLS VPN
身份证明？
身份证明系统？
口令认证系统？
一次性口令认证？