《網(wǎng)絡(luò)安全管理與維護(hù)》復(fù)習(xí)資料new

《網(wǎng)絡(luò)安全管理與維護(hù)》復(fù)習(xí)資料一、選擇題1、各種通信網(wǎng)和TCP/IP之間的接口是TCP/IP分層結(jié)構(gòu)中的（A）A、數(shù)據(jù)鏈路層B、網(wǎng)絡(luò)層C、傳輸層D、應(yīng)用層2、下面不屬于木馬特征的是（D）A、自動更換文件名，難于被發(fā)現(xiàn)B、程序執(zhí)行時不占太多系統(tǒng)資源C、不需要服務(wù)端用戶的允許就能獲得系統(tǒng)的使用權(quán)D、造成緩沖區(qū)的溢出，破壞程序的堆棧3、下面不屬于端口掃描技術(shù)的是（D）A、TCPconnect()掃描B、TCPFIN掃描C、IP包分段掃描D、Land掃描4、負(fù)責(zé)產(chǎn)生、分配并管理PKI結(jié)構(gòu)下所有用戶的證書的機構(gòu)是（D）A、LDAP目錄服務(wù)器B、業(yè)務(wù)受理點C、注冊機構(gòu)RAD、認(rèn)證中心CA5、防火墻按自身的體系結(jié)構(gòu)分為（B）A、軟件防火墻和硬件防火墻B、包過濾型防火墻和雙宿網(wǎng)關(guān)C、百兆防火墻和千兆防火墻D、主機防火墻和網(wǎng)絡(luò)防火墻6、下面關(guān)于代理技術(shù)的敘述正確的是（D）A、能提供部分與傳輸有關(guān)的狀態(tài)B、能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息C、能處理和管理信息D、ABC都正確7、下面關(guān)于ESP傳輸模式的敘述不正確的是（A）A、并沒有暴露子網(wǎng)內(nèi)部拓?fù)銪、主機到主機安全C、IPSEC的處理負(fù)荷被主機分擔(dān)D、兩端的主機需使用公網(wǎng)IP8、下面關(guān)于網(wǎng)絡(luò)入侵檢測的敘述不正確的是（C）A、占用資源少B、攻擊者不易轉(zhuǎn)移證據(jù)C、容易處理加密的會話過程D、檢測速度快9、基于SET協(xié)議的電子商務(wù)系統(tǒng)中對商家和持卡人進(jìn)行認(rèn)證的是（B）A、收單銀行B、支付網(wǎng)關(guān)C、認(rèn)證中心D、發(fā)卡銀行10、下面關(guān)于病毒的敘述正確的是（D）A、病毒可以是一個程序B、病毒可以是一段可執(zhí)行代碼C、病毒能夠自我復(fù)制D、ABC都正確11、當(dāng)你感覺到你的Win2003運行速度明顯減慢，當(dāng)你打開任務(wù)管理器后發(fā)現(xiàn)CPU的使用率達(dá)到了百分之百，你最有可能認(rèn)為你受到了哪一種攻擊。

（B）A、特洛伊木馬

B、拒絕服務(wù)C、欺騙

D、中間人攻擊12、假如你向一臺遠(yuǎn)程主機發(fā)送特定的數(shù)據(jù)包，卻不想遠(yuǎn)程主機響應(yīng)你的數(shù)據(jù)包。這時你使用哪一種類型的進(jìn)攻手段？（B）A、緩沖區(qū)溢出

B、IP欺騙C、拒絕服務(wù)

D、暴力攻擊13、小李在使用superscan對目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描時發(fā)現(xiàn)，某一個主機開放了25和110端口，此主機最有可能是什么？

（B）A、文件服務(wù)器

B、郵件服務(wù)器C、WEB服務(wù)器

D、DNS服務(wù)器14、你想發(fā)現(xiàn)到達(dá)目標(biāo)網(wǎng)絡(luò)需要經(jīng)過哪些路由器，你應(yīng)該使用什么命令？（C）A、ping

B、nslookupC、tracert

D、ipconfig

15、以下關(guān)于VPN的說法中的哪一項是正確的？（C）A、VPN是虛擬專用網(wǎng)的簡稱，它只能只好ISP維護(hù)和實施B、VPN是只能在第二層數(shù)據(jù)鏈路層上實現(xiàn)加密C、IPSEC是也是VPN的一種D、VPN使用通道技術(shù)加密，但沒有身份驗證功能16、你所使用的系統(tǒng)為windows2003，所有的分區(qū)均是NTFS的分區(qū)，C區(qū)的權(quán)限為everyone讀取和運行，D區(qū)的權(quán)限為everyone完全控制，現(xiàn)在你將一名為test的文件夾，由C區(qū)移動到D區(qū)之后，test文件夾的權(quán)限為？（B）A、everyone讀取和運行B、everyone完全控制C、everyone讀取、運行、寫入D、以上都不對17、你有一個共享文件夾，你將它的NTFS權(quán)限設(shè)置為sam用戶可以修改，共享權(quán)限設(shè)置為sam用戶可以讀取，當(dāng)sam從網(wǎng)絡(luò)訪問這個共享文件夾的時候，他有什么樣的權(quán)限？（A）A、讀取B、寫入C、修改D、完全控制18、SSL安全套接字協(xié)議所使用的端口是：（B）。A、80B、443C、143319、在Linux下umask的八進(jìn)制模式位6代表：（C）。A、拒絕訪問B、寫入C、讀取和寫入D、讀取、寫入和執(zhí)行20、你是一個公司的網(wǎng)絡(luò)管理員，你經(jīng)常在遠(yuǎn)程不同的地點管理你的網(wǎng)絡(luò)（如家里），你公司使用win2003操作系統(tǒng)，你為了方便遠(yuǎn)程管理，在一臺服務(wù)器上安裝并啟用了終端服務(wù)。最近，你發(fā)現(xiàn)你的服務(wù)器有被控制的跡象，經(jīng)過你的檢查，你發(fā)現(xiàn)你的服務(wù)器上多了一個不熟悉的帳戶，你將其刪除，但第二天卻總是有同樣的事發(fā)生，你應(yīng)該如何解決這個問題？（C）。A、停用終端服務(wù)B、添加防火墻規(guī)則，除了你自己家里的IP地址，拒絕所有3389的端口連入C、打安全補丁sp4D、啟用帳戶審核事件，然后查其來源，予以追究21、以下不屬于win2000中的ipsec過濾行為的是：（D）。A、允許B、阻塞C、協(xié)商D、證書22、計算機病毒的特征不包括（D）。Ａ、破壞性Ｂ、隱蔽性Ｃ、傳染性Ｄ、公益性23、router的中文名稱是（B）。Ａ、交換機B、路由器C、集線器D、中繼器24、是國際加密標(biāo)準(zhǔn)的是（C）。A、DESB、3重DESＣ、ＩＤＥＳＤ、ＲＳＡ25、新一代的IPv6的地址由多少位組成（D）。A、32B、64C、4826、常用的IPv4是由多少位二進(jìn)制數(shù)組成的（C）。A、8B、16C、3227、IP地址一般可以分為A、B、C、C、E等5類、那么172.16.30.88屬于哪一類（A）。Ａ、Ｂ類B、D類C、A類D、Ｃ類28、中國網(wǎng)絡(luò)的域名是（B）。Ａ、ｃｏｍＢ、ｃｎＣ、ｅｄｕＤ、ｇｏｖ29、在ｗｉｎｄｏｗｓＸＰ系統(tǒng)中能夠用來查看IP地址的命令是（D）。Ａ、pingＢ、ipconfigＣ、winipcfgD、tracet30、在ｗｉｎｄｏｗｓＸＰ系統(tǒng)中能夠用來追蹤網(wǎng)站數(shù)據(jù)包路徑的命令是（B）。Ａ、pingＢ、ipconfigＣ、winipcfgD、tracet31、解決IP欺騙技術(shù)的最好方法是安裝過濾路由器，在該路由器的過濾規(guī)則中，正確的是：(C)。A、允許包含內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過該路由器進(jìn)入B、允許包含外部網(wǎng)絡(luò)地址的數(shù)據(jù)包通過該路由器發(fā)出C、在發(fā)出的數(shù)據(jù)包中，應(yīng)該過濾掉源地址與內(nèi)部網(wǎng)絡(luò)地址不同的數(shù)據(jù)包D、在發(fā)出的數(shù)據(jù)包中，允許源地址與內(nèi)部網(wǎng)絡(luò)地址不同的數(shù)據(jù)包通過32、在網(wǎng)絡(luò)信息安全模型中，是安全的基石，是建立安全管理的標(biāo)準(zhǔn)和方法。(A)A、政策，法律，法規(guī)B、授權(quán)C、加密D、審計與監(jiān)控33、下列口令維護(hù)措施中，不合理的是：(B)。A、第一次進(jìn)入系統(tǒng)就修改系統(tǒng)指定的口令B、怕把口令忘記，將其記錄在本子上C、去掉guest（客人）帳號D、限制登錄次數(shù)34、病毒掃描軟件由組成。(C)A、僅由病毒代碼庫B、僅由利用代碼庫進(jìn)行掃描的掃描程序C、代碼庫和掃描程序D、以上都不對35、網(wǎng)絡(luò)病毒是由因特網(wǎng)衍生出的新一代病毒，即Java及ActiveX病毒。由于(A)，因此不被人們察覺。A、它不需要停留在硬盤中可以與傳統(tǒng)病毒混雜在一起B(yǎng)、它停留在硬盤中且可以與傳統(tǒng)病毒混雜在一起C、它不需要停留在硬盤中且不與傳統(tǒng)病毒混雜在一起D、它停留在硬盤中且不與傳統(tǒng)病毒混雜在一起36、以下屬于加密軟件的是(C)。A、CAB、RSAC、PGPD、DES37、以下關(guān)于DES加密算法和IDEA加密算法的說法中錯誤的是:(D)。A、DES是一個分組加密算法，它以64位為分組對數(shù)據(jù)加密B、IDEA是一種使用一個密鑰對64位數(shù)據(jù)塊進(jìn)行加密的加密算法C、DES和IDEA均為對稱密鑰加密算法D、DES和IDEA均使用128位（16字節(jié)）密鑰進(jìn)行操作38、以下關(guān)于公用/私有密鑰加密技術(shù)的敘述中，正確的是:(C)。A、私有密鑰加密的文件不能用公用密鑰解密B、公用密鑰加密的文件不能用私有密鑰解密C、公用密鑰和私有密鑰相互關(guān)聯(lián)D、公用密鑰和私有密鑰不相互關(guān)聯(lián)39、在選購防火墻軟件時，不應(yīng)考慮的是：(B)。A、一個好的防火墻應(yīng)該是一個整體網(wǎng)絡(luò)的保護(hù)者B、一個好的防火墻應(yīng)該為使用者提供唯一的平臺C、一個好的防火墻必須彌補其他操作系統(tǒng)的不足D、一個好的防火墻應(yīng)能向使用者提供完善的售后服務(wù)40、以下關(guān)于過濾路由器的敘述，錯誤的是：(D)。A、過濾路由器比普通路由器承擔(dān)更大的責(zé)任，是內(nèi)部網(wǎng)絡(luò)的保護(hù)系統(tǒng)B、如果過濾路由器的安全保護(hù)失敗，內(nèi)部網(wǎng)絡(luò)將被暴露C、簡單的過濾路由器不能修改任務(wù)D、過濾路由器不僅能容許或否認(rèn)服務(wù)，而且也能夠保護(hù)在一個服務(wù)之內(nèi)的單獨操作41、以下哪種特點是代理服務(wù)所具備的(A)。A、代理服務(wù)允許用戶“直接”訪問因特網(wǎng)，對用戶來講是透明的B、代理服務(wù)能夠彌補協(xié)議本身的缺陷C、所有服務(wù)都可以進(jìn)行代理D、代理服務(wù)不適合于做日志42、關(guān)于堡壘主機的說法，錯誤的是：(B)。A、設(shè)計和構(gòu)筑堡壘主機時應(yīng)使堡壘主機盡可能簡單B、堡壘主機的速度應(yīng)盡可能快C、堡壘主機上應(yīng)保留盡可能少的用戶帳戶，甚至禁用一切用戶帳戶D、堡壘主機的操作系統(tǒng)可以選用UNIX系統(tǒng)43、包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞，它過濾的判據(jù)不包括：(D)。A、數(shù)據(jù)包的目的地址B、數(shù)據(jù)包的源地址C、數(shù)據(jù)包的傳送協(xié)議D、數(shù)據(jù)包的具體內(nèi)容44、以下關(guān)于宏病毒的認(rèn)識，哪個是錯誤的：(D)。A宏病毒是一種跨平臺式的計算機病B“臺灣1號”是一種宏病毒C宏病毒是用WordBasic語言編寫的D在不同的Word版本格式中的宏病毒是互相兼容的，可以相互傳播45、在建立口令時最好要遵循的規(guī)則是(D)。A、使用英文單詞B、選擇容易記的口令C、使用自己和家人的名字D、盡量選擇長的口令46、包過濾工作在OSI模型的(C)。A、應(yīng)用層B、表示層C、網(wǎng)絡(luò)層和傳輸層D、會話層47、WindowsNT網(wǎng)絡(luò)安全子系統(tǒng)的安全策略環(huán)節(jié)由(D)。A、身份識別系統(tǒng)B、資源訪問權(quán)限控制系統(tǒng)C、安全審計系統(tǒng)D、以上三個都是48、網(wǎng)絡(luò)病毒是由因特網(wǎng)衍生出的新一代病毒，即JAVA及ACTIVEX病毒。由于，不被人們察覺。（A）A、它不需要停留在硬盤中可以與傳統(tǒng)病毒混雜在一起B(yǎng)、它停留在硬盤中且可以與傳統(tǒng)病毒混雜在一起C、它不需要停留在硬盤中且不與傳統(tǒng)病毒混雜在一起D、它停留在硬盤中且不與傳統(tǒng)病毒混雜在一起49、外部路由器真正有效的任務(wù)就是阻斷來自偽造源地址進(jìn)來的任何數(shù)據(jù)包。（A）A、外部網(wǎng)B、內(nèi)部網(wǎng)C、堡壘主機D、內(nèi)部路由器50、在公鑰密碼系統(tǒng)中，發(fā)件人用收件人的加密信息，收件人用自己的解密，而且也只有收件人才能解密。(B)A、公鑰，公鑰B、公鑰，私鑰C、私鑰，私鑰D、私鑰，公鑰二、填空題1、DRDoS與DDoS的不同之處在于：攻擊端不需要占領(lǐng)大量傀儡機。2、證書的作用是：用來向系統(tǒng)中其他實體證明自己的身份和分發(fā)公鑰。3、SSL協(xié)議中雙方的主密鑰是在其握手協(xié)議產(chǎn)生的。4、VPN的兩種實現(xiàn)形式：Client-LAN和LAN-LAN。5、IPSec是為了在IP層提供通信安全而制定的一套協(xié)議簇，是一個應(yīng)用廣泛、開放的VPN安全協(xié)議體系。6、根據(jù)檢測原理，入侵檢測系統(tǒng)分為異常入侵檢測和誤用入侵檢測。7、病毒技術(shù)包括：寄生技術(shù)、駐留技術(shù)、加密變形技術(shù)和隱藏技術(shù)。8、信息安全是指：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理手段，保護(hù)計算機的硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏，系統(tǒng)連續(xù)正常運行”。9、防火墻的兩種姿態(tài)拒絕沒有特別允許的任何事情和允許沒有特別拒絕的任何事情。10、計算機安全中受到威脅的來源主要有人為、自然、計算機本身三種。11、計算機安全的定義中受威脅的對象主要有:計算機、網(wǎng)絡(luò)系統(tǒng)資源和信息資源。12、計算機安全的定義從廣以上來講，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性、可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全研究的領(lǐng)域。13、計算機安全的三個層次是：安全管理、安全立法、安全技術(shù)措施。14、基于密鑰的加密算法通常有兩類，即對稱密鑰算法和公共密鑰算法。15、網(wǎng)絡(luò)安全的特征應(yīng)具有保密性、完整性、可用性和可控性四個方面的特征。16、防火墻有雙重宿主主機體現(xiàn)結(jié)構(gòu)、屏蔽主機體現(xiàn)結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)三種種體系結(jié)構(gòu)17、網(wǎng)絡(luò)攻擊的三個階段是：攻擊的準(zhǔn)備階段、攻擊的實施階段和攻擊的善后工作。18、從邏輯上講，防火墻是分離器、限制器和分析器。19、網(wǎng)絡(luò)監(jiān)聽本來是為了管理網(wǎng)絡(luò)，監(jiān)視網(wǎng)絡(luò)的狀態(tài)和數(shù)據(jù)流動情況，但是由于它能有效地截獲網(wǎng)上的數(shù)據(jù)，因此也成了網(wǎng)上黑客使用得最多的方法。20、通常，簡單的防火墻就是位于內(nèi)部網(wǎng)或Web站點與因特網(wǎng)之間的一個路由器或一臺計算機，又稱為堡壘主機。21、身份認(rèn)證是基于加密技術(shù)的，它的作用就是用來確定用戶是否是真實的。22、數(shù)據(jù)包過濾用在內(nèi)部主機和外部主機之間，過濾系統(tǒng)一般一臺路由器或是一臺主機。24、代理服務(wù)是運行在防火墻上的一種服務(wù)程序，防火墻的主機可以是一個具有兩個網(wǎng)絡(luò)接口的雙重宿主主機，也可以是一個堡壘主機。25、解決IP欺騙技術(shù)的最好方法是：安裝過濾路由器。26、PGP是一個基于RSA密鑰加密體系的供大眾使用的加密軟件。它不但可以對用戶的郵件加密，以防止非授權(quán)者閱讀，還能對郵件加上數(shù)字簽名讓收信人確信郵件未被第三者篡改.27、計算機網(wǎng)絡(luò)安全受到的威脅主要有：黑客的攻擊、計算機病毒和拒絕服務(wù)訪問攻擊。28、最好的口令包括英文字母、數(shù)字和符號的組合。29、黑客們用大量的垃圾信息阻塞網(wǎng)站的服務(wù)器，使其無暇為用戶提供正常的服務(wù)而陷入癱瘓，稱為拒絕服務(wù)攻擊。30、網(wǎng)絡(luò)安全的隱患主要來自操作系統(tǒng)的脆弱性、網(wǎng)絡(luò)的脆弱性、數(shù)據(jù)庫的脆弱性以及安全管理的疏忽。三、判斷題1、主機不能保證數(shù)據(jù)包的真實來源，構(gòu)成了IP地址欺騙的基礎(chǔ)。（T）2、掃描器可以直接攻擊網(wǎng)絡(luò)漏洞。（F）3、DRDoS攻擊是與DDoS無關(guān)的另一種拒絕服務(wù)攻擊方法。（F）4、公鑰密碼比傳統(tǒng)密碼更安全。（F）5、身份認(rèn)證一般都是實時的，消息認(rèn)證一般不提供實時性。（T）6、加密/解密的密鑰對成功更新后，原來密鑰對中用于簽名的私鑰必須安全銷毀，公鑰進(jìn)行歸檔管理。（F）7、防火墻無法完全防止傳送已感染病毒的軟件或文件。（T）8、所有的協(xié)議都適合用數(shù)據(jù)包過濾。（F）9、構(gòu)建隧道可以在網(wǎng)絡(luò)的不同協(xié)議層次上實現(xiàn)。（T）10、蜜網(wǎng)技術(shù)（Honeynet）不是對攻擊進(jìn)行誘騙或檢測。（T）11、病毒傳染主要指病毒從一臺主機蔓延到另一臺主機。（F）12、電子商務(wù)中要求用戶的定單一經(jīng)發(fā)出，具有不可否認(rèn)性。（T）13、PGP在只能對文件、郵件加密，不能實現(xiàn)身份驗證的功能？（F）14、防火墻只能對IP地址進(jìn)行限制和過濾。（F）15、WIN2003系統(tǒng)給NTFS格式下的文件加密，當(dāng)系統(tǒng)被刪除，重新安裝后，原加密的文件就不能打開了。（T）16、數(shù)字證書是電子的憑證，它用來驗證在線的個人、組織或計算機的合法身份。（T）17、Window2003中的VPN不支持DES加密。（F）18、在WindowsNT中要審核某個文件夾或打印機的訪問，必需啟動審核對象的訪問。（T）19、企業(yè)級CA申請證書有2種方法。一種是WEB申請，另一種是在證書管理單元中申請。（T）20、在使用公共密鑰加密技術(shù)向?qū)Ψ桨l(fā)送一個數(shù)據(jù)的時候使用對方用戶的公共密鑰加密，對方用自己的私人密鑰解密數(shù)據(jù)。（T）21、若A掌握公鑰，B掌握私鑰，A可以用公鑰加密，B用私鑰解密；B也可以用私鑰加密，A可以公鑰解密。（T）22、JavaApplet是運行在服務(wù)器端，故而其中的bug引起的安全漏洞主要在服務(wù)器端。（F）23、口令應(yīng)該至少由6個字符，口令字符最好是數(shù)字、字母和其它字符的混合。（T）24、網(wǎng)絡(luò)安全的威脅主要有以下三點：人為無意失誤；人為惡意攻擊；網(wǎng)絡(luò)軟件的漏洞和后門。（T）25、上網(wǎng)時計算機突然出現(xiàn)“藍(lán)屏”，這就是黑客攻擊。（F）26、過濾路由器是否正確配置是被屏蔽主機型防火墻安全的關(guān)鍵。（T）27、防火墻技術(shù)并不只限應(yīng)用于TCP/IP協(xié)議中，類似的技術(shù)可用在任何分組交換網(wǎng)絡(luò)中。（T）28、數(shù)據(jù)包過濾既可由屏蔽路由器來完成，也可由PC機裝上相應(yīng)的軟件來實現(xiàn)。（T）29、安全管理從范疇上講，涉及物理安全策略、訪問控制策略、信息加密策略和網(wǎng)絡(luò)安全管理策略。（T）30、用戶的密碼一般應(yīng)設(shè)置為16位以上。（T）31、在堡壘主機上建立內(nèi)部DNS服務(wù)器以供外界訪問，可以增強DNS服務(wù)器的安全性。（F）32、發(fā)現(xiàn)木馬，首先要在計算機的后臺關(guān)掉其程序的運行。（T）33、計算機病毒的傳播媒介來分類，可分為單機病毒和網(wǎng)絡(luò)病毒。（T）34、木馬不是病毒。（F）35、只要是類型為TXT的文件都沒有危險。（F）四、簡答題1、簡述拒絕服務(wù)攻擊的概念和原理。拒絕服務(wù)攻擊的概念：廣義上講，拒絕服務(wù)（DoS，Denialofservice）攻擊是指導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。確切講，DoS攻擊是指故意攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或直接通過各種手段耗盡被攻擊對象的資源，目的是讓目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)，使目標(biāo)系統(tǒng)停止響應(yīng)，甚至崩潰。拒絕服務(wù)攻擊的基本原理是使被攻擊服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)超負(fù)荷，以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。2、簡述SSL安全協(xié)議的概念及功能。SSL全稱是：SecureSocketLayer(安全套接層)。在客戶和服務(wù)器兩實體之間建立了一個安全的通道，防止客戶/服務(wù)器應(yīng)用中的偵聽、篡改以及消息偽造，通過在兩個實體之間建立一個共享的秘密，SSL提供保密性，服務(wù)器認(rèn)證和可選的客戶端認(rèn)證。其安全通道是透明的，工作在傳輸層之上，應(yīng)用層之下，做到與應(yīng)用層協(xié)議無關(guān)，幾乎所有基于TCP的協(xié)議稍加改動就可以在SSL上運行。3、簡述好的防火墻具有的5個特性。(1)所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都必須經(jīng)過防火墻；(2)只有被授權(quán)的合法數(shù)據(jù)，即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)，可以通過防火墻；(3)防火墻本身不受各種攻擊的影響；(4)使用目前新的信息安全技術(shù)，如一次口令技術(shù)、智能卡等；(5)人機界面良好，用戶配置使用方便，易管理，系統(tǒng)管理員可以對發(fā)防火墻進(jìn)行設(shè)置，對互連網(wǎng)的訪問者、被訪問者、訪問協(xié)議及訪問權(quán)限進(jìn)行限制。4、網(wǎng)絡(luò)攻擊一般分為哪幾個步驟？答：①信息收集，獲取目標(biāo)系統(tǒng)的信息，操作系統(tǒng)的類型和版本，主要提供的服務(wù)和服務(wù)進(jìn)程的類型和版本，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)②獲得對系統(tǒng)的訪問權(quán)力③獲得系統(tǒng)超級用戶的權(quán)力。利用②的權(quán)力和系統(tǒng)的漏洞，可以修改文件，運行任何程序，留下下次入侵的缺口，或破壞整個系統(tǒng)④消除入侵痕跡5、IPSec是哪一層的安全協(xié)議？其主要特征是什么？其協(xié)議部分由哪兩部分組成？IPSec是網(wǎng)絡(luò)層的安全協(xié)議，其主要特征是可以支持IP級所有流量的加密和/或認(rèn)證。因此可以增強所有分布式應(yīng)用的安全性。其協(xié)議部分分為:AH協(xié)議和ESP協(xié)議兩部分。6、什么是SSL？它是哪一層的安全協(xié)議?SSL（SecureSocketLayer）是一種在兩個端實體（EndEntity）之間提供安全通道的協(xié)議。它是傳輸層的安全協(xié)議。7、什么是IP欺騙攻擊？IP欺騙攻擊就是攻擊者偽裝成目標(biāo)主機與其他計算機進(jìn)行通信，達(dá)到：隱藏自己的IP地址，防止被跟蹤；以IP地址作為授權(quán)依據(jù)；穿越防火墻的目的8、緩沖區(qū)溢出攻擊的一般概念和基本思想是什么？緩沖區(qū)溢出攻擊的一般概念是針對越權(quán)使用資源的防御措施。其基本思想是通過修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當(dāng)前進(jìn)程被非法利用(執(zhí)行這段惡意的代碼)9、訪問控制基本目標(biāo)是什么？主要有哪幾種訪問控制策略？訪問控制基本目標(biāo)是防止對任何資源（如計算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問。從而使計算機系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。主要訪問控制策略有：自主訪問控制（基于身份的訪問控制IBAC),強制訪問控制(基于規(guī)則的訪問控制RBAC),基于角色的訪問控制(role-basedpolicies)10、什么是防火墻？什么是堡壘主機？什么是DMZ？防火墻是位于兩個或多個網(wǎng)絡(luò)之間，執(zhí)行訪問控制策略的一個或一組系統(tǒng)，是一類防范措施的總稱.堡壘主機是一種配置了安全防范措施的網(wǎng)絡(luò)上的計算機，堡壘主機為網(wǎng)絡(luò)之間的通信提供了一個阻塞點，也就是說如果沒有堡壘主機，網(wǎng)絡(luò)之間將不能相互訪問?？梢耘渲贸蛇^濾型、代理型或混合型。DMZ(DemilitarizedZone，非軍事區(qū)或者停火區(qū))是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng)11、包過濾防火墻的基本思想是什么？包過濾防火墻的基本思想：對所接收的每個數(shù)據(jù)包進(jìn)行檢查，根據(jù)過濾規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包；包過濾防火墻往往配置成雙向的；12、什么是拒絕服務(wù)攻擊（DoS）？拒絕服務(wù)攻擊是通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)。DoS攻擊主要是利用了TCP/IP協(xié)議中存在的設(shè)計缺陷和操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的實現(xiàn)缺陷。13、簡述進(jìn)行網(wǎng)絡(luò)安全設(shè)計時的安全需求（1）保密性；（2）安全性；（3）完整性；（4）服務(wù)可用性；（5）可控性；（6）信息流保護(hù)。14、網(wǎng)絡(luò)安全設(shè)計的步驟是什么?（1）分析安全需求；（2）確定安全方針；（3）選擇安全功能；（4）選擇安全措施；（5）完善安全管理。15、簡述網(wǎng)絡(luò)安全設(shè)計的基本原則（1）需求、風(fēng)險、代價平衡分析的原則；（2）綜合性、整體性、等級性原則；（3）方便用戶原則；（4）適應(yīng)性及靈活性原則；（5）一致性原則。16、信息加密與數(shù)字簽名有什么區(qū)別？數(shù)字簽名為什么可以辨別報文的真?zhèn)?？為什么可以使發(fā)送方不能抵賴？信息加密用公鑰加密，用私鑰解密。數(shù)字簽名用私鑰加密，用公鑰解密。因為只有發(fā)送方才能擁有私鑰，因此接收的報文是真實的，也不能抵賴。17、簡述公用鑰匙加密技術(shù)的原理。公用鑰匙加密法完成一次加、解密操作，需要使用一對鑰匙，即公有鑰匙和私有鑰匙。首先發(fā)送者先用接收者的公有鑰匙進(jìn)行加密；接收者接收信息后，再用私有鑰匙進(jìn)行解密18、簡述防火墻技術(shù)。防火墻是用來連接兩個網(wǎng)絡(luò)并控制兩個網(wǎng)絡(luò)之間相互訪問的系統(tǒng)。它包括用于網(wǎng)絡(luò)連接的軟件和硬件以及控制訪問的方案，用于對進(jìn)出的所有數(shù)據(jù)進(jìn)行分析，并對用戶進(jìn)行認(rèn)證，從而防止有害信息進(jìn)入受保護(hù)網(wǎng)，為網(wǎng)絡(luò)提供安全保障。五、綜合論述題1、簡述包過濾型防火墻的概念、優(yōu)缺點和應(yīng)用場合。包過濾型防火墻的概念：包過濾防火墻用一臺過濾路由器來實現(xiàn)對所接受的每個數(shù)據(jù)包做允許、拒絕的決定。過濾規(guī)則基于協(xié)議包頭信息。包過濾型防火墻的優(yōu)缺點：包過濾防火墻的優(yōu)點：處理包的速度快；費用低，標(biāo)準(zhǔn)的路由器均含有包過濾支持；包過濾防火墻對用戶和應(yīng)用講是透明的。無需對用戶進(jìn)行培訓(xùn)，也不必在每臺主機上安裝特定的軟件。包過濾防火墻的缺點：維護(hù)比較困難；只能阻止外部主機偽裝成內(nèi)部主機的IP欺騙；任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動式攻擊的潛在危險；普遍不支持有效的用戶認(rèn)證；安全日志有限；過濾規(guī)則增加導(dǎo)致設(shè)備性能下降；包過濾防火墻無法對網(wǎng)絡(luò)上流動的信息提供全面的控制。包過濾型防火墻的應(yīng)用場合：非集中化管理的機構(gòu)；沒有強大的集中安全策略的機構(gòu)；網(wǎng)絡(luò)的主機數(shù)比較少；主要依靠于主機來防止入侵，但當(dāng)主機數(shù)增加到一定程度的時候，依靠主機安全是不夠的；沒有使用DHCP這