概述TCP/IP应用层的安全性
IPv6
冒分十六进制表示法----X:X:X:X:X:X:X:X
1.扩展地址空间,128位
2.内嵌IPsec(AH、ESP),抗重放
网络安全服务
防火墙如何阻止SYN Flood攻击
SYN网关:防火墙以客户端的名义给服务器回送一个ACK包,完成一个完整的TCP三次握手过程,让服务器由半连接进入连接状态。当客户端真正的ACK包到达时,有数据则转发给服务器。
被动式SYN网关:设置防火墙的SYN 的timeout参数远小于服务器的超时期限,如果客户端在防火墙计时器到期时还没有发送ACK包,防火墙将向服务器发送RST包。
SYN中继:防火墙收到SYN包后,并不转发而是记录状态信息,然后主动给客户端回送SYN/ACK包。如果收到客户端的ACK,表明是正常访问,由防火墙向服务器发送SYN包完成三次握手。
网络安全保障体系
七分管理 三分技术 运作贯穿始终
网络安全策略:核心
网络安全管理:关键
网络安全运作
网络安全技术:保障
.下列关于端口说法错误的是( )。
A.IP地址的端口都是以端口号来标记的,端口号范围是0~65535
B.端口按协议类型可以分为TCP端口、UDP端口
C**.使用netshow命令可以查看那些计算机正在与本机连接**
D.在网络环境中可以使用防火墙或者本地策略的方式关闭一些端口
关于C/S、B/S架构说法错误的是( )。
A.C/S架构是指客户端/服务器架构
B.B/S架构是指浏览器/服务器架构
C.C/S架构是建立在广域网之上,对安全的控制能力相对弱,面向是不可知的用户群
D.B/S架构中终端用户不需要安装专门的软件,只需要安装浏览器即可
端口号
公用端口:(0~1023)是为已经公认或为将要公认定义的软件保留的。
注册端口:(1024~49151)
动态/私有端口:
如下关于端口号描述正确的是:
A.端口号存在于主机到主机层封装头部中
B.端口号存在于网际层封装头部中
C.端口号存在于网络接口层封装头部中
D.端口号是固定不可更改的
入侵检测系统
IDS是对入侵异常信息自动进行检测、监控和分析过程的组合系统,可自动监测系统内外入侵。通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭受攻击的迹象
木马与病毒的最大区别是木马不能自我复制,而病毒可以
Smurf攻击:利用虚假IP地址进行ICMP报文传输
以下哪种现象,一般不可能是中木马后引起的()
A 计算机反应速度下降,自动关机或重启
B 硬盘不断发出“咯咯”声
C 没有操作计算机时,硬盘灯闪个不停
D 网页自动关闭
SSL协议包括握手协议和记录协议
当某一服务器需要同时为内网和外网提供安全可靠的服务,该服务器一般要置于网络防火墙的DMZ中
端口扫工具及方式有以下两种:
1.TCP connect 扫描
2.TCP SYN 扫描
操作系统中不属于文件管理的是:
A.文件存储空间管理
B.分区管理
C.目录管理
D.文件操作管理
E.文件保护
如下关于IPv4包头中描述正确的是:
A.版本内容是可变的
B.包头长度和数据包长度可以只存在其一
C.生存期字段在数据传输过程中保持不变
D.可选项字段不是必须有内容
如下关于IPv4包头中描述正确的是:
A.数据包切片的判定标准是超过最大帧长
B.数据包切片之后,重组时是基于切片标识避免数据混淆
C.数据包切片标记位第一位被没有被保留
D.数据包切片标记位第二位是用来确定该数据是否为最后一片
E.数据包切片标记位第三位是用来确定该数据是否允许被切片
nmap -o 识别操作系统的类型
-
蠕虫是一种自我复制和主动传播的代码,通过网络传播,主要利用计算机系统漏洞进行传染,不需要宿主文件,不停的搜索到网络中存在漏洞的计算机后主动进行攻击,是无须计算机使用者干预即可运行的独立程序。传播途径是通过网络和电子邮件。具有病毒的一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不利用文件寄生,对网络造成拒绝服务等。
防范:
安装反病毒软件
及时配置补丁程序:越来越多的网络蠕虫依靠操作系统自身的漏洞进行传播
阻断任意的输出连接:蠕虫侵占了系统后常常通过建立输出连接试图传播
建立事故响应机制
病毒主要感染文件系统,在传染过程中,需要用户运行一个程序或打开文档以调用恶意代码。
木马:
配置木马
传播木马
运行木马
泄露信息
建立连接
远程控制 -
会话侦听和劫持技术是属于(B)技术
A 密码还原分析 B 协议漏洞渗透 C 应用漏洞分析和渗透 -
以下哪一种身份验证机制为移动用户带来验证问题?
A 可重复使用的密码机制 B 一次性口令 C 挑战应答 D 基于IP地址的机制 -
以下关于vpn说法正确的是(B):
A. vpn不能做到信息认证和身份认证
B. VPN指的是用户通过公用网络建立的临时的,安全的连接
C. 进入QQVPN只能提供身份认证,不能提供加密数据的功能
D. VPN指的用户自己租用线路,和公共网络物理上完全隔离的安全的线路 -
如何防护存储型xss漏洞(A)
A. 对html标签进行转义处理
B. 使用安全的浏览器
C. 使用cookie存储身份信息
D. 使用Ajax技术 -
IPSecVPN安全技术没有用到(D)?
A.端口映射技术
B.隧道技术
C.加密技术
D.入侵检测技术 -
为了增强无线网络安全性,常用的无线网络安全技术有(D)
A 访问控制技术 B 数据加密技术 C 端口访问技术 D 以上都是 -
下列属于信息系统安全威胁的是(D)
A 系统的开放性 B 系统的复杂性 C 系统本身固有的漏洞 D以上都是 -
以下属于设备安全的是(D)
A 稳定性 B 可靠性 C 可用性 D 以上都是 -
通常VPN无需再以下哪项中使用数字证书和PKI(D)
A 身份验证 B 密钥管理 C 访问控制 D 部署安装 -
包过滤防火墙通过查看流经数据包的包头,决定接受或丢弃数据包,以下属于包过滤技术的优点是(D)
A 处理包的速度比代理服务器快 B 实现包过滤几乎不需要额外的费用 C 对用户是透明的 D 以上都是 -
网络代理技术即通过代理服务器代理网络用户取得网络信息,在代理服务器上可对信息进行合法性验证,从而保护用户的安全。以下关于网络代理技术错误的是(C)
A 代理技术又称为应用层网关技术
B 代理技术具备一定的安全防御机制
C 代理技术能完全代替防火墙
D 代理服务器能够管理网络信息 -
用于配置和显示Linux内核的网络接口的命令是 ifconfig
-
DNS将域名和IP地址建立映射,DNS服务对应的网络端口号是 53
-
物理层位于OSI模型的最低层,其数据单位是 Bit
-
数据链路层具有流量控制功能,其数据单位是 Frame
-
关于SSL VPN描述正确的是(B)
A 基于C/S架构 B 工作在传输层和应用层之间 C 加密后改变IP和TCP报文头 D 访问控制基于会话层 -
虚拟局域网VLAN是一组逻辑上的设备和用户,关于VLAN的说法错误的是(A)
A 基于网络层的VPN可以按协议划分,也可以按MAC地址划分
B VLAN可以控制广播活动 提高网络安全性
C VLAN可减少网络设备移动的开销
D 静态VLAN按照局域网交换机端口来定义VLAN成员 -
以下不属于网络安全策略实施原则的是()
A 最小特权原则
B 最小泄露原则
C 多级安全原则
D 最大传输原则 -
将CPU、网络和磁盘等原始虚拟计算基础设施作为服务交付给用户的模型被称为下列哪项(A)
A 基础设施即服务 B 平台即服务 C 软件即服务 -
信息系统安全包括4个方面:
设备安全 数据安全 内容安全 行为安全 -
简述主动攻击与被动攻击的特点,并列举攻击方式。
被动攻击是攻击者在未被授权的情况下,对传输的信息进行窃听和监测以非法获取信息或数据文件,但不对数据信息做任何修改。有搭线监听、无线截获、流量分析等。
主动攻击指对数据进行篡改和伪造。有伪装、重放、篡改、拒绝服务攻击 -
提高系统可靠性的方法有避错 容错 容灾备份
计算机信息系统
由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规格对信息进行采集、加工、存储、传输、处理的人机系统
由硬件、软件和使用人员构成
1.网络和通信协议的脆弱性
2.信息系统的脆弱性:软硬件自身的缺陷
3.恶意攻击
通信保密阶段
信息安全阶段
信息安全保障阶段