计算机网络安全技术（第6版 课后练习题简答题练习

---

一：概念

(1）列举出自己所了解的与网络安全相关的知识。

网络安全的相关知识包括物理安全技术，系统安全技术，网络安全技术，应用安全技术，数据加密技术，认证授权技术，访问控制技术，审计跟踪技术，防病毒技术，灾难恢复和备份技术等

( 2)为什么说网络安全非常重要?

（1）网络安全和信息化首先关乎国家安全。例如早在多年以前，互联网就成为了恐怖组织招募成员和“洗钱”的渠道，去年欧洲发生了多起恐怖事件都是通过网络联络组织执行的。与此同时，欧洲公民自由委员会也于去年通过了新的法案，允许欧洲刑警组织通过网络来追捕恐怖分子、打击犯罪。 （2）网络安全还影响经济和社会的稳定，处理不好可能造成社会动荡。例如有些网络信息专门针对辩识能力不足的青少年进行传播，如黄色信息、暴力影像、不良游戏……还有一些似是而非、扮着“学术”面纱的信息，实则宣传历史虚无、诋毁民族英雄、鄙视传统文化，对青少年价值观产生不良影响。 （3）网络安全遭到破坏，会侵犯到人民群众的利益。网络是把双刃剑：在常人手中，便于信息的获取和传播;而到了别有用心的人手中，就成了侵犯人民群众利益的工具。 网络安全和信息化工作艰巨且复杂。我国目前在大数据、人工智能、5G网络等领域已经形成了全球优势，经济社会发展也正从后工业化大跨步迈向信息化。网络安全和信息化对于我们实现“两个一百年”的奋斗目标，以及中华民族伟大复兴的“中国梦”都具有重要意义。

( 3）网络本身存在哪些安全缺陷?

答：1、开放性的网络环境 2、协议本身的脆弱性 3、操作系统的漏洞 4、网络人为操作

(4）信息安全的发展经历了哪几个阶段?

答：通信保密阶段、计算机安全阶段、信息技术安全阶段、信息保障阶段

二：黑客常用的攻击方法

( 1）一般的黑客攻击有哪些步骤?各步骤主要完成什么工作?

答：黑客入侵攻击的一般过程

(1) 确定攻击的目标。

(2) 收集被攻击对象的有关信息。 黑客在获取了目标机及其所在的网络类型后,还需要进一步获取有关信息,如目标机的 IP 地址、操作系统类型和版本、系统管理人员的邮件地址等,根据这些信息进行分析,可得到被攻击方系统中可能存在的漏洞。

(3) 利用适当的工具进行扫描。 收集或编写适当的工具,并在对操作系统分析的基础上对工具进行评估,判断有哪些漏洞和区域没有被覆盖。然后,在尽可能短的时间内对目标进行扫描。完成扫描后,可以对所获数据进行分析,发现安全漏洞,如 FTP 漏洞、 NFS 输出到未授权程序中、不受限制的服务器访问、不受限制的调制解调器、 Sendmail 的漏洞及 NIS 口令文件访问等。

(4) 建立模拟环境,进行模拟攻击。 根据之前所获得的信息,建立模拟环境,然后对模拟目标机进行一系列的攻击,测试对方可能的反应。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。这样攻击者就可以知道需要删除哪些文件来毁灭其入侵证据了。

(5) 实施攻击。 根据已知的漏洞,实施攻击。通过猜测程序,可对截获的用户账号和口令进行破译 ; 利用破译程序,可对截获的系统密码文件进行破译 ; 利用网络和系统本身的薄弱环节和安全漏洞,可实施电子引诱 ( 如安放特洛伊木马 ) 等。黑客们或修改网页进行恶作剧,或破坏系统程序,或放病毒使系统陷人摊痪,或窃取政治、军事、商业秘密,或进行电子邮件骚扰,或转移资金账户、窃取金钱等。

(6) 清除痕迹，创建后门。通过创建额外账号等手段,为下次人侵系统提供方便。

(2）扫描器只是黑客攻击的工具吗?常用的扫描器有哪些?

答：不是,扫描器还可以作为网络管理者检测网络安全状况的工具。 常用的扫描器有:Namp、X-Scan、Nessus等。

(3）端口扫描分为哪几类?其工作原理是什么?

答：端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为TCP端口和UDP端口两大类，因此端口扫描技术也可以相应的分为TCP端口扫描技术和UDP端口扫描技术。

(4）什么是网络监听?网络监听的作用是什么?

答：

概念：网络监听指在网络中监听他人的数据包,分析数据包,从而获得一些敏感信息,如账号和密码等。

作用：网络监听是网管用来监视网络的状态、数据流动情况以及传输的信息等工具。也是黑客常用的攻击方法。

(5）能否在网络中发现一个网络监听?说明理由。

答：可以。

方法一:用Ping模式向对方发送一一个具 有正确的IP地址和错误的MAC地址包，运行监听程序的机器会有响应。因为正常的机器不接收错误的MAC地址，而处于监听状态的机器则能接收。

方法二:往网络上发送大量不存在的MAC地址的包，由于监听程序将处理这些包，将导致性能下降，通过比较前后该机器性能(如响应时间的长短)加以判断。

(6）特洛伊木马是什么?其工作原理是什么?

答：是一种基于远程控制的黑客攻击方式。客户端/服务端之间采用TCP/UDP的通信方式，攻击者控制的是相应的客户端程序，服务器端程序是木马程序，木马程序被植入到用户计算机，以里应外合的工作方式，服务器程序通过打开特定的端口并进行监听，客户端程序通过连接监听端口实现远程控制客户机。

( 7）使用木马攻击的一般过程是什么?

答：

1、木马的配置:有客户端配置服务端。

2、木马的传播:将配置好的服务端传播出去。

3、木马的自启动:进入目标之后设法获得启动机会。

4、建立连接:和控制端建立连接,有主动式和被动式。

5、远程控制:操控者利用木马控制目标,窃取目标信息。

(8）如何发现计算机系统感染了木马?如何防范计算机系统感染木马?

答:

如何发现计算机系统感染木马： 通过各种杀毒软件进行查找。

如何防范计算机系统感染木马?

1.我们自身不制造或者传播计算机病毒或者木马,在网上发发现计算机病毒或者木马的时候,可以向网站举报。

2.电脑软件库一定要不定期更新。最新型的病毒就是针对某些软件的漏洞而制作的,没有完善的软件很容易受到病毒攻击。

3.我们从某些小网站安装应用软件的时候,一定要谨慎。部分网站为了盈利,往往在软件里面植入广告程序,甚至有些带有病毒木马攻击程序。

4.打开腾讯电脑管家,找到里面的“病毒查杀”对电脑系统安全不定期进行检测,随时开启此软件监测电脑系统安全。

(9）什么是拒绝服务攻击?其分为哪几类?

答：

广义上讲可以指任何导致网络设备不能正常提供服务的攻击，现在一般指针对服务器的DOS攻击服务。

死亡之ping，SYN Flood攻击，LAND攻击，teardrop攻击，CC攻击，分布式拒绝服务攻击。

(10）拒绝服务攻击是如何导致的?说明SYN Flood攻击导致拒绝服务的工作原理。

答：拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

SYN Flood攻击导致拒绝服务的原理：

SYN Flood SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)， (1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。 (2) 受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgment)即确认，这样就同被攻击服务器建立了第二次握手。 (3) 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。导致攻击拒绝服务。 解析：本题考查拒绝服务攻击是如何导致的以及SYN Flood攻击导致拒绝服务的原理。具体解答可参考上述答案

(11)什么是缓冲区溢出?产生缓冲区溢出的原因是什么?

概念：缓冲区溢出是指计算机程序向特定缓冲区内填充数据时,超出了缓冲区本身的容量,导致外溢数据覆盖了相邻内存空间的合法数据,从而改变程序执行流程破坏系统运行完整性。

原因：试图将太多数据写入某内存位置,超出该位置能容纳的数据量。

( 12）缓冲区溢出会产生什么危害?

1.淹没了其他的局部变量。如果被淹没的局部变量是条件变量,那么可能会改变函数原本的执行流程。这种方式可以用于破解简单的软件验证。

2.淹没了ebp的值。修改了函数执行结束后要恢复的栈指针,将会导致栈帧失去平衡。

3.淹没了返回地址。这是栈溢出原理的核心所在,通过淹没的方式修改函数的返回地址,使程序代码执行“意外”的流程!

4.淹没参数变量。修改函数的参数变量也可能改变当前函数的执行结果和流程。

三：计算机病毒

( 1)什么是计算机病毒?

答：计算机病毒,指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制 的一组计算机指令或者程序代码

( 2)计算机病毒有哪些特征?

答：1、破坏性 2、隐蔽性 3、传染性 4、潜伏性与触发性 5、不可预见性

(3)计算机病毒是如何分类的?举例说明有哪些种类的病毒。

答：

一：按照计算机病毒依附的操作系统分类

1. 基于DOS操作系统的病毒
2. 基于Windows操作系统的病毒
3. 基于UNIX/Linux操作系统的病毒
4. 基于嵌入式操作系统的病毒

二：按照计算机病毒的宿主分类

1. 引导型病毒
2. 文件型病毒
3. 宏病毒

(4）什么是宏病毒?宏病毒的主要特征是什么?

答：宏病毒主要以Micrsoft Office的“宏”为宿主,寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,并能通过DOC文档及DOT模板进行自我复制及传播。

(5）什么是蠕虫病毒?蠕虫病毒的主要特征是什么?

答：蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序,它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。(3分)

蠕虫病毒的主要特点是:传染方式多、传播速度快、清除难度大、破坏性强等。(2分)

(6）计算机病毒的检测方法有哪些?简述其原理。

1、特征代码法。主要用来判断文件是否感染病毒，要求兑现关于软件进行不断的更新以适应要求。特征代码法主要运用了比较法、分析法和扫描法。

2、检验和法。通过计算正常文件内容校验和，将该校验和写入文件中或写入别的文件中保存。使用文件前通过对比前后校验和来确定文件是否感染病毒。它的弊端是不能识别病毒种类和病毒名称，而且还会影响文件的运行速度，出现错误警示。

3、行为监测法。这种方法主要利用病毒的特有行为特性来判断是否存在病毒。每种病毒都会有自己独一无二的特性，这种方法正好充分利用了这一点。这种方法具有很强的优势，即对许多未知病毒都能够有效发现，但缺点是不能识别病毒名称，实现起来有一定的难度。

4、虚拟机法法。主要利用相关软件来模式和分析程序的运行状况，确定有无病毒。

5、主动防御法。可以在病毒发作时用主动防御主动而有效地进行全面的防范，从技术层面上有效应对未知病毒的传播

(7)计算机病毒最主要的传播途径是什么?

答：网络传播

(8）网络防病毒与单机防病毒有哪些区别?

答：网络防病毒主要是防止病毒通过网络对联网计算机进行攻击，

而单机防病毒则是防止计算机系统不被非授权用户使用。

四：数据加密技术

(1）数据在网络中传输时为什么要加密?现在常用的数据加密算法主要有哪些?

为什么：（一句话就是：传输不安全，要加密保护）

数据传输加密技术的目的是对传输中的数据流加密，通常有线路加密与端—端加密两种。

线路加密侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。 端—端加密指信息由发送端自动加密，并且由TCP/IP进行数据包封装，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息到达目的地，将被自动重组、解密，而成为可读的数据。

数据存储加密技术的目的是防止在存储环节上的数据失密，数据存储加密技术可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

常见加密算法

1、DES（Data Encryption Standard）：对称算法，数据加密标准，速度较快，适用于加密大量数据的场合；

2、3DES（Triple DES）：是基于DES的对称算法，对一块数据用三个不同的密钥进行三次加密，强度更高；

3、RC2和RC4：对称算法，用变长密钥对大量数据进行加密，比 DES 快；

4、IDEA（International Data Encryption Algorithm）国际数据加密算法，使用 128 位密钥提供非常强的安全性；

5、RSA：由 RSA 公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的，非对称算法；

解析：本题考察数据加密的原因以及主要算法，设计知识面较广，要求具备扎实的理论基础和广泛的知识面。

(2)简述 DES算法和RSA 算法的基本思想。这两种典型的数据加密算法各有什么优势与劣势?

答：

DES是对称密码算法,是美国数据加密标准,对称加密就是加密秘钥和解密秘钥相同的加密算法,DES算法的基本思想是对明文进行分组,然后利用用户秘钥对明文分组进行16轮的移位和循环移位、置换、扩展、压缩、异或等位运算,利用复杂运算把明文编码彻底打乱,从而使得加密后的密文无法破解。 (3分) DES加密算法优点是密钥较短,加密处理简单,加解密速度快,适用于加密大量数据的场合。缺点对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加密解密,因此秘钥的管理与分发存在缺陷。(2分)

RSA算法安全性基于大数分解的难度。将两个大素数相乘容易,但要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。从一个公开密钥和密文中恢复出明文的难度等价于分解两个大素数的乘积。为提高保密强度,RSA密钥至少为500位长,一般推荐使用1024位,目前商用RSA算法密钥长度2048位。(3分) RSA算法的安全性要优于对称加密算法,但因算法复杂度较高,其加密处理效率不如对称加密算法。故在网络传输重要信息时,常将两种加密算法混合使用。(2分)

(3)在网络通信的过程中，为了防止信息在传输的过程中被非法窃取，一般采用对信息进行加密后再发送出去的方法。但有时不是直接对要发送的信息进行加密，而是先对其产生一个报文摘要(散列值)，再对该报文摘要（散列值)进行加密，这样处理有什么好处?

答：我们知道,使用RSA公开密钥体制进行加密时,往往需要花费很长的时间。当需要在网络上传送的报文并不要求保密但却不容许遭受篡改时,使用报文摘要就能够确保报文的完整性(因为这时仅仅对很短的报文摘要进行加密)，可以提高效率。

(4）简述散列函数和消息认证码的区别和联系。

答：消息认证码和散列函数都属于认证函数。

简单来说,消息认证码 是一种使用密钥的认证技术,它利用密钥来生成一个固定长度的短数据块,并将该数据块附加在消息之后。而散列函数是将任意长的消息映射为定长的hash值的函数,以该hash值作为认证符。

散列函数也称为消息的“指纹”。但是散列函数用于认证时,通常和数字签名结合使用。 它们都可以提供消息认证,认证内容包括:消息的源和宿;消息内容是否曾受到偶然的或有意的篡改;消息的序号和时间栏。

(5）在使用PGP时,如果没有对导入的其他人的公钥进行签名并赋予完全信任关系，会有什么后果?设计一个实验并加以证明。

答：在使用PGP加密系统时，如果没有对导入的其他人的公钥进行签名并赋予完全信任关系，没有任何后果。

解析：我们之所以要对某公钥进行签名，是为了增加公钥传递时的可信度的，举例说明吧： A和B是好朋友，B和C是好朋友，但A和C不认识，现在A和C认识了，C向A要密钥，如果A直接给C发送，那么这就会存在一个问题，如何确保C收到的就是A的公钥，当然了，有个办法就是打电话核对密钥的fingerprint，还有个办法就是，因为C有B的公钥，而B又同A很熟悉，B也有A的公钥，这时如果B将A的公钥签名后再发给C，那么C只要核对收到的A的公钥是经过B签名的，就可以了，因为C有B的公钥，所以核对是很简单的事。

(6)使用PGP对文件进行单签名后，在将签名后扩展名为“.sig”的文件发送给对方的同时，为什么还要发送原始文件给对方?

答：首先签名不是加密。签名是为了证明这个文件是真的没有被人修改过。你发送的sjp文件是签名算法的结果，对于任何一个文件，他的签名算法结果是唯一的。发送原始文件给对方，对方再利用签名算法计算出签名的结果。这样一来可以防止接受到的文件中途被他人拦截，篡改，提高了文件的安全性和可靠性。

(7)结合日常生活的应用,简述常见的身份认证技术。

答:

口令认证;

生物特征认证;

智能卡认证

五：防火墙技术

(1)什么是防火墙?防火墙应具有的基本功能是什么?使用防火墙的好处有哪些?

答：

概念：防火墙是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系统部件的组合。

基本功能

1. 访问控制
2. 应用识别
3. VPN功能
4. NAT功能

好处：

1. 保障网络安全;
2. 强化网络安全策略;
3. 监控审计网络存取和访问;
4. 防止信息外泄

(2）防火墙主要由哪几部分组成?

答:防火墙主要由服务访问规则，验证工具，包过滤和应用网关4个部分组成。

解析：防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。防火墙有网络防火墙和计算机防火墙的提法。网络防火墙是指在外部网络和内部网络之间设置网络防火墙。这种防火墙又称筛选路由器。网络防火墙检测进入信息的协议、目的地址、端口（网络层）及被传输的信息形式（应用层）等，滤除不符合规定的外来信息。

(3)防火墙按照技术可以分为几类?

答：答案：三类

解析：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。

包过滤型通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。 代理服务器型防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是，内外网间不存在直接的连接，而且代理服务器提供日志和审计服务。 复合型防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。

(4）简单包过滤防火墙的工作原理是什么?简单包过滤防火墙有什么优缺点?

答：

原理： 包过滤（PacketFilter）是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP地址、源端口、目的端口以及IP分组头部或TCP头部等其他各种标志信息（如协议、服务类型等），确定是否允许该数据包通过防火墙。

简单包过滤防火墙的优点如下。

(1)利用路由器本身的包过滤功能，以访问控制列表(Access Control List，ACL)方式实现。

(2)处理速度较快。

( 3）对用户来说是透明的,用户的应用层不受影响。

简单包过滤防火墙工作在数据包过滤中时有如下局限。

(1）无法关联一个会话中数据包之间的关系。

(2）无法适应多通道协议，如FTP。

(3）通常不检查应用层数据。

(5）简单包过滤防火墙一般检查哪几项?

答：数据包过滤一般要检查网络层的IP头和传输层的头：IP源地址、IP目标地址、协议类型（TCP包、UDP包和ICMP包）、TCP或UDP包的目的端口、TCP或UDP包的源端口、ICMP消息类型、TCP包头的ACK位、TCP包的序列号、IP校验和等。

(6）简单包过滤防火墙中制定访问控制规则时一般有哪些原则?

答：

数据包经过了简单包过滤防火墙，在执行安全策略的时候，规则的顺序非常重要,所以设计防火墙安全策略时应注意以下几点。

(1)默认规则，根据安全需求先设定好默认规则。如果默认规则是允许一切，则前面设计的是拒绝的内容;如果默认规则是拒绝一切，则前面设计的是允许的内容。相对而言，前者设计的网络连通性好，后者设计的网络更安全。

(2）应该将更为具体的表项放在不太具体的规则前面。

(3）访问控制列表的位置。将扩展访问控制列表尽量放在靠近过滤源的位置上，过滤规则不会影响其他接口的数据流。

(4）注意访问控制列表作用的接口及数据的流向。

(7）代理服务器的工作原理是什么?代理服务器有什么优缺点?

答：

所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进行下一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。

代理服务技术的优点是：隐蔽内部网络拓扑信息；网关理解应用协议，可以实施更细粒度的访问控制；较强的数据流监控和报告功能。

缺点是：对每一类应用都需要一个专门的代理，灵活性不够；每一种网络应用服务的安全问题各不相同，分析困难，因此实现困难。速度慢。

(8）举例说明现在应用的几种代理服务。

(1)HTTP代理:主要代理浏览器的HTTP。

( 2）FTP代理:代理FTP。

( 3)POP3代理:代理客户端的邮件软件，用POP3方式收邮件。

(4)Telnet代理:能够代理通信机的 Telnet，用于远程控制。

(5 )SSL代理:可以作为访问加密网站的代理。加密网站是指以“https:/”开始的网站。

(9）在防火墙的部署中,一般有哪几种结构?

1，双宿主主机体系结构

2，被屏蔽主机体系结构

3，被屏蔽子网体系结构

( 10）简述网络地址转换的工作原理及其主要应用。

答：

当具有私有 IP 地址的内网主机访问外网时,路由器查询 NAT 转换表,找到匹配的转换记录后,将数据包中私有源 IP 地址转换成全局公有 IP 地址,然后发送至外网;当具有公有 IP 地址的外网主机访问内网时,路由器查询 NAT 转换表,找到匹配的转换记录后,将数据包中的目标公有 IP 地址转换成私有 IP 地址后,发送至内网。

应用（作用）：

(1)可以解决IP地址不足的问题。

(2)可实现通过一个或几个公有IP将局域网接入互联网。

(3)在一定程度上保护内部网络。

(4)可以将内部FTP服务器发布到Internet上。

( 11)常见的防火墙产品有哪些?试比较其特点与技术性能。

答：

答案： 1.ZoneAlarm(ZA) 这是Zone Labs公司推出的一款防火墙和安全防护软件套装，除了防火墙外，它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。与以前的版本相比，新产品现在能够支持专家级的规则制定，它能够让高级用户全面控制网络访问权限，同时还具有一个发送邮件监视器，它将会监视每一个有可能是由于病毒导致的可疑行为，另外，它还将会对网络入侵者的行动进行汇报。除此之外，ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点，即使是刚刚出道的新手也能够很容易得就掌握它的使用。 2.傲盾(KFW) 本软件是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术，与企业级防火墙Check Point和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护您的服务器免受来自I nternet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大、齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。 3.Kaspersky Anti-Hacker(KAH) Kaspersky Anti-Hacker 是Kaspersky 公司出品的一款非常优秀的网络安全防火墙!和著名的杀毒软件 AVP是同一个公司的作品!保护你的电脑不被黑客攻击和入侵，全方位保护你的数据安全!所有网络资料存取的动作都会经由它对您产生提示，存取动作是否放行，都由您来决定，能够抵挡来自于内部网络或网际网络的黑客攻击! 4.BlackICE 该软件在九九年获得了PC Magazine 的技术卓越大奖，专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线;而对于企业网络，它又增加了一层保护措施–它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别200 多种入侵技巧，给你全面的网络检测以及系统防护，它还能即时监测网络端口和协议，拦截所有可疑的网络入侵，无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP 地址记录下来，以便你采取进一步行动。封言用过后感觉，该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少，是每一位上网朋友的最佳选择。 解析：本题考察防火墙产品的发展方向，以主流的防火墙产品为例，通过分析其特点和技术性能来预测发展趋势，要求具备广泛的知识面。

六：Windows操作系统安全

( 1 ) Windows NT操作系统的安全模型是怎样的?

答：

解析： 在Windows NT 系统中，Windows NT系统的安全模型是指用户对整个系统能够做的事情，如关掉系统、往系统中添加设备、更改系统时间等。权限专指用户对系统资源所能做的事情，如对某文件的读、写控制，对打印机队列的管理。 NT系统中有一个安全帐号数据库，其中存放的内容有用户帐号以及该帐号所具有的权力等。用户对系统资源所具有的权限则与特定的资源一起存放。

(2)为了加强Windows NT账户的登录安全性，Windows NT做了哪些登录策略?

答：

1.Windows强密码原则:不少于8字符;包含3种类型;不用完整词汇、用户名、 姓名、生日等;

2.启用系统账户策略,设置适当的密码策略与锁定策略

3.重新命名管理员Administrator账号

4.创建陷阱用户:增加黑客入侵难度。

5.禁用或删除不必要的账号:降低风险

6.SYSKEY双重加密账户保护。 (每个1分,5个以上满分)

(3) Windows NT注册表中有哪几个根键?各存储哪方面的信息?

答：五个根键(主键)

1、HKEY_LOCAL_MACHINE 主键保存的是本地计算机硬件、软件相关的信息。

2、HKEY_USER主 键保存的是所有用户配置文件的数据信息。

3、HKEY_CURRENT_USER主键保存的是当前用户登录信息。

4、HKEY_CLASSES_ROOT主键保存着各种 文件的关联信息(即打开方式),还有一些类标识和 OLE、DDE之类的信息。

5、 HKEY_CURRENT_CONFIG主键保 存着计算机当前的配置信息。 (每个1分)

(4)什么是安全标识符?其有什么作用?用户名为"administrator" 的用户一定是内置的系统

管理员账户吗?

答：就是我们经常说的SID,每次当我们创建一个用户或一个组的时候,系统会分配给改用户或组一个唯一SID,当你重新安装Windows NT后,也会得到一个唯一的SID。 SID永远都是唯一的,由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。(3分) SID是用户的身份象征,对用户的权限及访问控制都是基于SID的。(2分)

错。

(5) Windows NT操作系统的安全配置有哪些方面?如何实现?

答：略

(6) Windows NT文件的共享权限和NTFS权限之间是什么关系?

答：

共享权限只对共享文件夹的安全性做控制，即只控制来自网络的访问，但也适合于FAT和FAT32文件系统；而NTFS权限则对所有文件和文件夹做安全控制，无论访问来自本地还是网络，但它只适合于NTFS文件系统。

(1)共享权限是基于文件夹的,也就是说你只能够在文件夹上设置共享权限,不可能在文件上设置共享权限;NTFS权限是基于文件的,你既可以在文件夹上设置也可以在文件上设置. (2)共享权限只有当用户通过网络访问共享文件夹时才起作用,如果用户是本地登录计算机则共享权限不起作用;NTFS权限无论用户是通过网络还是本地登录使用文件都会起作用,只不过当用户通过网络访问文件时它会与共享权限联合起作用,规则是取最严格的权限设置. 比如:共享权限为只读,NTFS权限是写入,那么最终权限是完全拒绝。这是因为这两个权限的组合权限是两个权限的交集。 (3)共享权限与文件操作系统无关,只要设置共享就能够应用共享权限;NTFS权限必须是NTFS文件系统,否则不起作用。 共享权限只有几种:读取,更改和完全控制;NTFS权限有许多种,如读,写,执行,改变,完全控制等…我们可以进行非常细致的设置。

(7) Windows NT的日志系统有哪些?安全日志一般记录什么内容?

答：答案：见解析

解析：一．Windows日志系统  WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt，根据系统开通的服务还会产生相应的日志文件。例如，DNS服务器日志DNS Serv.evt，FTP日志、WWW日志等。日志文件默认存放位置：%systemroot%\system32\config，默认文件大小512KB。这些日志文件在注册表中的位置为HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，可以修改相应键值来改变日志文件的存放路径和大小。 Windows NT/2000主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。 1．应用程序日志 记录由应用程序产生的事件。例如，某个数据库程序可能设定为每次成功完成备份后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定，并提供相应的系统工具帮助用户查看应用程序日志。 2．系统日志 记录由WindowsNT/2000操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 3．安全日志 记录与安全相关的事件，包括成功和不成功的登录或退出、系统资源使用事件(系统文件的创建、删除、更改)等。与系统日志和应用程序日志不同，安全日志只有系统管理员才可以访问。在WindowsXP中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，用户可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助用户预测潜在的系统问题。WindowsNT/2000的系统日志由事件记录组成。每个事件记录为三个功能区：记录头区、事件描述区和附加数据区。

(8)简述Windows NT操作系统中常见的系统进程和常用的服务。

答：答案：见解析

解析： （1）[system Idle Process] 进程文件: [system process] or [system process] 进程名称: Windows内存处理系统进程 描 述: Windows页面内存管理进程，拥有0级优先。 介 绍：该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

（2）[alg.exe] 进程文件: alg or alg.exe 进程名称: 应用层网关服务 描 述: 这是一个应用层网关服务用于网络共享。 介 绍：一个网关通信插件的管理器，为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。

（3）[csrss.exe] 进程文件: csrss or csrss.exe 进程名称: Client/Server Runtime Server Subsystem 描 述: 客户端服务子系统，用以控制Windows图形相关子系统。 介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。

（4）[ddhelp.exe] 进程文件: ddhelp or ddhelp.exe 进程名称: DirectDraw Helper 描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。 简 介：Directx 帮助程序

（5）[dllhost.exe] 进程文件: dllhost or dllhost.exe 进程名称: DCOM DLL Host进程 描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

七：Web应用安全

(1)结合自己的亲身体验,说明Internet中 Web应用存在的安全问题。

答：

1、针对Web服务器软件的安全威胁

2、针对Web应用程序的安全威胁

3、针对传输网络的安全威胁

4、针对浏览器和终端用户的Web浏览器安全威胁

( 2) Web服务器软件的安全漏洞有哪些,分别有哪些危害?

答：

（危害略）

1、数据驱动的远程代码执行安全漏洞

2、服务器功能扩展模块漏洞

3、源代码泄露安全漏洞

4、资源解析安全漏洞

(3）IIS的安全设置包括哪些方面?

答：

1. IS安装安全
2. 用户控制安全
3. 访问权限控制
4. IP地址控制
5. 端口安全
6. IP转发安全
7. SSL安全

(4）列举Web应用程序的主要安全威胁，并说明Web应用程序的安全防范方法。

答：

安全威胁：注入，失效的身份认证，敏感数据泄露，XML外部实体，失效的访问控制，安全配置错误，跨站脚本攻击，不安全的反序列化，使用含有已知漏洞的组件，不足的日志记录和监控

方法：

(1）在满足需求的情况下，尽量使用静态页面代替动态页面。采用动态内容、支持用户输入的Web应用程序与静态HTML相比具有较高的安全风险，因此，在设计和开发Web应用时，应谨慎考虑是否使用动态页面。通常，信息发布类网站无须使用动态页面引入用户交互，目前搜狐.新浪等门户网站就采用了静态页面代替动态页面的构建方法。

( 2)对于必须提供用户交互、采用动态页面的Web站点，尽量使用具有良好安全声誉和稳定技术支持力量的 Web应用软件包，并定期进行 Web应用程序的安全评估和漏洞检测，升级并修复安全漏洞。

(3）强化程序开发者在Web应用开发过程中的安全意识和知识，对用户输入的数据进行严格验证，并采用有效的代码安全质量保障技术，对代码进行安全检测。

(4）操作后台数据库时，尽量采用视图、存储过程等技术，以提升安全性。

( 5）使用Web服务器软件提供的日志功能，对Web应用程序的所有访问请求进行日志记录和安全审计。

(5）什么是SQL注入?SOL注入的基本步骤一般是怎样的,如何防御?

答：

SQL注入是最常见的一种代码注入方法。其出现的原因通常是没有对用户输入进行正确的过滤，以消除SQL语言中的字符串转义字符，例如，单引号(')、双引号(")、分号(😉、百分号(%)、井号(#)、双减号(–)、双下划线(_)等;或者没有进行严格的类型判断，如没有对用户输入参数进行类型约束的检查，从而使得用户可以输入并执行一些非预期的SQL语句。

实现SQL注入的基本步骤如下:首先，判断环境，寻找注入点，判断网站后台数据库类型其次，根据注入参数类型，在脑海中重构SQL语句的原貌，从而猜测数据库中的表名和列名;后，在表名和列名猜解成功后，使用SQL语句得出字段的值。当然，这里可能需要一些运气。果能获得管理员的用户名和密码，则可以实现对网站的管理。

针对SQL注入攻击的防御，可以采用以下4种方法。

(1)最小权限原则，如非必要，不要使用sa、dbo等权限较高的账户。

( 2）对用户的输入进行严格的检查，过滤掉一些特殊字符，强制约束数据类型,约束输入长度等。

(3）使用存储过程代替简单的SQL语句。

(4)当SQL运行出错时,不要把全部的出错信息都显示给用户,以免泄露一些数据库的信

(6）什么是跨站脚本攻击?跨站脚本攻击有哪些基本类型，如何防御?

答：

跨站脚本攻击是目前最常见的 Web应用程序安全攻击手段之一。该攻击利用了Web应用程序的漏洞，以在Web页面中插入恶意的 HTML、JavaScript或其他恶意脚本。当用户浏览该页面时，客户端浏览器就会解析和执行这些代码，从而造成客户端用户信息泄露、客户端被渗透攻击等后果。

类型：反射型XSS攻击 和 存储型XSS攻击

(7）简述如何通过SSL实现客户端和服务器的安全通信。

答：使用SSL协议进行客户端与服务器双向认证的流程如下：⑴客户端浏览器连接到Web服务器，发出建立安全连接通道的请求。⑵服务器接受客户端请求，发送服务器证书作为响应。⑶客户端验证服务器证书的有效性，如果通过验证，则用服务器证书中包含的服务器公钥加密一个对称密钥，并将加密后的数据和客户端用户证书一起发送给服务器。⑷服务器收到客户端发来的加密数据后，先验证客户端的有效性，如果验证通过，则用其专用的私有密钥解开加密数据，获得对称密钥。然后服务器用客户端证书中包含的公钥加密该对称密钥，并将加密后的数据发送给客户端浏览器。⑸客户端在收到服务器发来的加密数据后，用其专用的私有密钥与原来发出去的公共密钥进行对比，如果两把密钥一致，说明服务器身份已经通过认证，双方将使用这把公共密钥建立安全连接通道。

(8）针对Web浏览器及其用户的安全威胁主要有哪些?如何进行Web浏览器的安全防范?

答：

常见的针对Web浏览器的安全威胁主要有以下几种。

(1)针对 Web浏览器所在的系统平台的安全威胁。用户使用的浏览器及其插件都是运行在Windows等桌面操作系统之上的,桌面操作系统所存在的安全漏洞使得Web浏览环境存在被攻击的风险。

(2)针对Web浏览器软件及其插件程序的安全漏洞实施的渗透攻击威胁。这种安全威胁主要包括以下几方面。

​ ①网页木马。攻击者将一段恶意代码或脚本程序嵌入到正常的网页中，利用该代码或脚本实施木马植入，一旦用户浏览了被挂马的网页就会感染木马，从而被攻击者控制以获得用户敏感信息。

​ ②浏览器劫持。攻击者通过对用户的浏览器进行篡改，引导用户登录被修改或并非用户本意要浏览的网页,从而收集用户敏感信息,危及用户隐私安全。

( 3)针对互联网用户的社会工程学攻击威胁。攻击者利用Web用户本身的人性、心理弱点，通过构建钓鱼网站的手段来骗取用户的个人敏感信息。这是网络钓鱼攻击所采用的方法。

针对常见的Web浏览器安全威胁，通用的安全防范措施包括以下3种。

( 1）加强安全意识，通过学习提升自己抵御社会工程学攻击的能力。例如，尽量避免打开来历不明的网站链接、邮件附件和文件，不要轻易相信未经证实的陌生电话，尽量不要在公共场所访问需要个人信息的网站等。

(2）勤打补丁，将操作系统和浏览器软件更新到最新版本，确保所使用的计算机始终处于-个相对安全的状态。

(3)合理利用浏览器软件、网络安全厂商软件和设备提供的安全功能设置，提升Web浏览器的安全性。

下面以E浏览器为例，从设置IE浏览器的安全级别、清除E缓存、隐私设置、关闭自动完成功能等几个方面简单介绍一些提升E浏览器安全性的方法。

( 9) Cookie 会对用户计算机系统产生危害吗?为什么说 Cookie的存在对个人隐私是-潜在的威胁?

答：

不会，Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。

Cookies是当你浏览某网站时，由Web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户ID、密码、浏览过的网页、停留的时间等，理论上讲，Cookie里面当然可以存储这些信息，但是，像性别、年龄、QQ号等等这些精确的个人信息，除了你自己提交给网站再由网站记录在Cookie里之外，是不可能凭空出现在Cookie里的。而正规设计的网站，一般不会把这些信息保存在Cookie里（用户一清空Cookie就没了），它们最有可能将其保存在自己的数据库中，Cookie里顶多保存一个相关联的身份识别号码。但是cookie在http协议中是明文传输的，并且直接附在http报文的前面，所以只要在网络中加个嗅探工具，获取http包，就可以分析并获得cookie的值。，当我们获取到别人的cookie的值，就产生了一种攻击漏洞，即cookie欺骗。我们将获取到的cookie值加在http请求前，服务器就会把我们当作是该cookie的用户，我们就成功的冒充了其他用户，可以使用其他用户在服务器的资源等。 解析：本题考查cookie安全问题，Cookie，有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息，但是cookie在http协议中是明文传输的，并且直接附在http报文的前面，所以只要在网络中加个嗅探工具，获取http包，就可以分析并获得cookie的值。，当我们获取到别人的cookie的值，就产生了一种攻击漏洞，即cookie欺骗。我们将获取到的cookie值加在http请求前，服务器就会把我们当作是该cookie的用户，我们就成功的冒充了其他用户，可以使用其他用户在服务器的资源等。所以Cookie对用户计算机系统不会产生伤害，但是Cookie的存在对个人隐私是一种潜在的威胁。

(10 ) Cookie欺骗是什么?

Cookies欺骗是通过盗取、修改、伪造Cookies的内容来欺骗Web系统,并得到相应权限或者进行相应权限操作的一种攻击方式。