《网络安全与管理》期末考试复习题（2012-2013第一学期）

sd《⽹络安全与管理》期末考试复习题（2012-2013）

声明：该⽂档是我⽆意在机房找的，有任何风险概不负责任何责任。⼀、单选题：

1、信息安全的基本属性是（D）。A、机密性B、可⽤性C、完整性D、上⾯3项都是

2、“会话侦听和劫持技术”是属于（B）的技术。A、密码分析还原B、协议漏洞渗透C、应⽤漏洞分析与渗透D、DOS攻击

3、对攻击可能性的分析在很⼤程度上带有（B）。A、客观性B、主观性C、盲⽬性D、上⾯3项都不是

4、从安全属性对各种⽹络攻击进⾏分类，阻断攻击是针对（B）的攻击。A、机密性B、可⽤性C、完整性D、真实性

5、从安全属性对各种⽹络攻击进⾏分类，截获攻击是针对（A）的攻击。A、机密性B、可⽤性C、完整性D、真实性

6、从攻击⽅式区分攻击类型，可分为被动攻击和主动攻击。被动攻击难以（C），然⽽（C）这些攻击是可⾏的；主动攻击难以（C），然⽽（C）这些攻击是可⾏的。A、阻⽌,检测,阻⽌,检测B、检测,阻⽌,检测,阻⽌C、检测,阻⽌,阻⽌,检测

D、上⾯3项都不是

7、窃听是⼀种（A）攻击，攻击者（A）将⾃⼰的系统插⼊到发送站和接收站之间。截获是⼀种（A）攻击，攻击者（A）将⾃⼰的系统插⼊到发送站和接受站之间。A、被动,⽆须,主动,必须B、主动,必须,被动,⽆须C、主动,⽆须,被动,必须D、被动,必须,主动,⽆须

8、拒绝服务攻击的后果是（E）。A、信息不可⽤B、应⽤程序不可⽤C、系统宕机D、阻⽌通信E、上⾯⼏项都是

9、机密性服务提供信息的保密，机密性服务包括（D）。A、⽂件机密性B、信息传输机密性C、通信流的机密性D、以上3项都是

10．最新的研究和统计表明，安全攻击主要来⾃（B）。A、接⼊⽹B、企业内部⽹C、公⽤IP⽹D、个⼈⽹

11．攻击者⽤传输数据来冲击⽹络接⼝，使服务器过于繁忙以⾄于不能应答请求的攻击⽅式是（A）。A、拒绝服务攻击B、地址欺骗攻击C、会话劫持

D、信号包探测程序攻击

12．攻击者截获并记录了从A到B的数据，然后⼜从早些时候所截获的数据中提取出信息重新发往B称为（D）。A、中间⼈攻击

B、⼝令猜测器和字典攻击C、强⼒攻击D、回放攻击

13、TELNET协议主要应⽤于哪⼀层（ A ）A、应⽤层

B、传输层C、Internet层D、⽹络层

14、不属于安全策略所涉及的⽅⾯是（ C ）。A、物理安全策略B、访问控制策略C、信息加密策略D、防⽕墙策略

15、WINDOWS主机推荐使⽤（A）格式A、NTFSB、FAT32C、FATD、LINUX

16、（ D ）协议主要⽤于加密机制A、HTTPB、FTPC、TELNETD、SSL

17、为了防御⽹络监听，最常⽤的⽅法是（D ）A、采⽤物理传输（⾮⽹络）B、信息加密C、⽆线⽹D、使⽤专线传输

18、使⽹络服务器中充斥着⼤量要求回复的信息，消耗带宽，导致⽹络或系统停⽌正常服务，这属于（ A ）漏洞A、拒绝服务B、⽂件共享C、BIND漏洞D、远程过程调⽤

19、抵御电⼦邮箱⼊侵措施中，不正确的是（ D ）A、不⽤⽣⽇做密码B、不要使⽤少于5位的密码C、不要使⽤纯数字D、⾃⼰做服务器

20、⼀般⽽⾔，Internet防⽕墙建⽴在⼀个⽹络的（C）。A、内部⼦⽹之间传送信息的中枢

B、每个⼦⽹的内部

C、内部⽹络与外部⽹络的交叉点D、部分内部⽹络与外部⽹络的结合处

21、包过滤型防⽕墙原理上是基于（C）进⾏分析的技术。A、物理层B、数据链路层C、⽹络层D、应⽤层

22、为了降低风险，不建议使⽤的Internet服务是（D）。A、Web服务B、外部访问内部系统C、内部访问InternetD、FTP服务

23、对⾮军事DMZ⽽⾔，正确的解释是（D）。A、DMZ是⼀个真正可信的⽹络部分

B、DMZ⽹络访问控制策略决定允许或禁⽌进⼊DMZ通信C、允许外部⽤户访问DMZ系统上合适的服务D、以上3项都是

24、对动态⽹络地址交换（NAT），不正确的说法是（B）。A、将很多内部地址映射到单个真实地址B、外部⽹络地址和内部地址⼀对⼀的映射C、最多可有64000个同时的动态NAT连接D、每个连接使⽤⼀个端⼝

25．以下（D）不是包过滤防⽕墙主要过滤的信息？A、源IP地址B、⽬的IP地址

C、TCP源端⼝和⽬的端⼝D、时间

26．防⽕墙⽤于将Internet和内部⽹络隔离，（B）。A、是防⽌Internet⽕灾的硬件设施

B、是⽹络安全和信息安全的软件和硬件设施C、是保护线路不受破坏的软件和硬件设施D、是起抗电磁⼲扰作⽤的硬件设施

27、以下不属⽹络安全策略的组成的是：（ D ）A、威严的法律

B、先进的技术C、严格的管理D、⾼超的技术

28、⽹关和路由器的区别是（ C ）A、⽹关有数据包转发功能⽽路由器没有B、路由器-有数据包转发功能⽽⽹关没有

C、路由器有路选择功能⽽⽹关没有D、⽹关有路由的功能⽽路由器没有

29、以下不属⼊侵检测中要收集的信息的是（ B ）A、系统和⽹络⽇志⽂件B、⽬录和⽂件的内容C、程序执⾏中不期望的⾏为D、物理形式的⼊侵信息

30、在Winds 中cipher命令的功能是（ A ）A、加密和解密⽂件和⽂件夹B、打开“⽂件签名验证”对话枢

C、查找计算机中病毒 D 、修复被病毒破坏的⽂件和⽂件夹31、以下不属于防⽕墙作⽤的是（ C ）A、过滤信息B、管理进程C、清除病毒D、审计监测

32、防⽕墙可分为两种基本类型是（ C ）A、分组过滤型和复合型B、复合型和应⽤代理型C、分组过滤型和应⽤代理型D、以上都不对

33、以下不属分布式防⽕墙的产品的有（B）A、⽹络防⽕墙B、软件防为墙C、主机防⽕墙D、中⼼防⽕墙

34、WWW服务对应的⽹络端⼝号是（ D ）A、22

B、21C、79D、80

35、FTP服务对应的⽹络端⼝号是（ B ）A、22B、21C、79D、 80

36、能修改系统引导扇区，在计算机系统启动时⾸先取得控制权属于（ B ）A、⽂件病毒B、引导型病毒C、混合型病毒D、恶意代码

37、当你感觉到你的Win2000运⾏速度明显减慢，当你打开任务管理器后发现CPU 的使⽤率达到了百分之百，你最有可能认为你受到了哪⼀种攻击。（ B ）A、特洛伊⽊马B、拒绝服务C、欺骗D、中间⼈攻击

38、RC4是由RIVEST在1987年开发的，是⼀种流式的密⽂，就是实时的把信息加密成⼀个整体，它在美国⼀般密钥长度是128位，因为受到美国出⼝法的限制，向外出⼝时限制到多少位？（ C ）A、64位B、56位C、40位D、32位

39、假如你向⼀台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使⽤哪⼀种类型的进攻⼿段？（ B）

A、缓冲区溢出B、地址欺骗C、拒绝服务D、暴⼒攻击

40、⼩李在使⽤super scan对⽬标⽹络进⾏扫描时发现，某⼀个主机开放了25和110端⼝，此主机最有可能是什么？（ B ）A、⽂件服务器B、邮件服务器C、WEB服务器D、DNS服务器

41、你想发现到达⽬标⽹络需要经过哪些路由器，你应该使⽤什么命令？（ C ）

A、pingB、nslookupC、tracertD、ipconfig

42、以下关于VPN的说法中的哪⼀项是正确的？（ C ）A、VPN是虚拟专⽤⽹的简称，它只能只好ISP维护和实施B、VPN是只能在第⼆层数据链路层上实现加密C、IPSEC是也是VPN的⼀种

D、VPN使⽤通道技术加密，但没有⾝份验证功能43、下列哪项不属于window2000的安全组件？（ D ）A、访问控制B、强制登陆C、审计

D、⾃动安全更新

44、以下哪个不是属于window2000的漏洞？（ D ）A、unicodeB、IIS hackerC、输⼊法漏洞D、单⽤户登陆

45、你是⼀企业⽹络管理员，你使⽤的防⽕墙在UNIX下的IPTABLES，你现在需要通过对防⽕墙的配置不允许192.168.0.2这台主机登陆到你的服务器，你应该怎么设置防⽕墙规则？（ B ）A、iptables—A input—p tcp—s 192.168.0.2—source—port 23—j DENYB、iptables—A input—p tcp—s 192.168.0.2—destination—port 23—j DENYC、iptables—A input—p tcp—d 192.168.0.2—source—port 23—j DENYD、iptables—A input—p tcp—d 192.168.0.2—destination—port 23—j DENY

46、你的window2000开启了远程登陆telnet，但你发现你的window98和unix计算机没有办法远程登陆，只有win2000的系统才能远程登陆，你应该怎么办？（ D ）A、重设防⽕墙规则B、检查⼊侵检测系统C、运⽤杀毒软件，查杀病毒D、将NTLM的值改为0

47、你所使⽤的系统为win2000，所有的分区均是NTFS的分区，C区的权限为everyone读取和运⾏，D区的权限为everyone完全控制，现在你将⼀名为test的⽂件夹，由C区移动到D区之后，test⽂件夹的权限为？（ B ）A、everyone读取和运⾏B、everyone完全控制

C、everyone读取、运⾏、写⼊D、以上都不对

48、你所使⽤的系统为UNIX，你通过umask命令求出当前⽤户的umask值为0023，请问该⽤户在新建⼀⽂件夹，具体有什么样的权限？（ A ）

A、当前⽤户读、写和执⾏，当前组读取和执⾏，其它⽤户和组只读B、当前⽤户读、写，当前组读取，其它⽤户和组不能访问C、当前⽤户读、写，当前组读取和执⾏，其它⽤户和组只读D、当前⽤户读、写和执⾏，当前组读取和写⼊，其它⽤户和组只读

49、作为⼀个管理员，把系统资源分为三个级别是有必要的，以下关于级别1的说法正确的是？（ A ）A、对于那些运⾏⾄关重要的系统，如，电⼦商务公司的⽤户帐号数据库B、对于那些必须的但对于⽇常⼯作不是⾄关重要的系统C、本地电脑即级别1D、以上说法均不正确

50、以下关于window NT 4.0的服务包的说法正确的是？（ C ）A、sp5包含了sp6的所有内容B、sp6包含了sp5的所有内容C、sp6不包含sp5的某些内容D、sp6不包含sp4的某些内容

51、你有⼀个共享⽂件夹，你将它的NTFS权限设置为sam⽤户可以修改，共享权限设置为sam⽤户可以读取，当sam从⽹络访问这个共享⽂件夹的时候，他有什么样的权限？（ A ）A、读取B、写⼊C、修改D、完全控制

52、SSL安全套接字协议所使⽤的端⼝是：（ B ）A、80B、443C、1433D、3389

53、Window2000域或默认的⾝份验证协议是：（ B ）A、HTMLB、Kerberos V5C、TCP/IPD、Apptalk

54、在Linux下umask模式的⼋进制位6代表：（ C ）A、拒绝访问B、写⼊C、读取和写⼊

D、读取、写⼊和执⾏

55、你是⼀个公司的⽹络管理员，你经常在远程不同的地点管理你的⽹络（如家⾥），你公司使⽤win2000操作系统，你为了⽅便远程管理，在⼀台服务器上安装并启⽤了终端服务。最近，你发现你的服务器有被控制的迹象，经过你的检查，你发现你的服务器上多了⼀个不熟悉的帐户，你将其删除，但第⼆天却总是有同样的事发⽣，你应该如何解决这个问题？（ C ）A、停⽤终端服务

B、添加防⽕墙规则，除了你⾃⼰家⾥的IP地址，拒绝所有3389的端⼝连⼊C、打安全补丁sp4

D、启⽤帐户审核事件，然后查其来源，予以追究56、以下不属于win2000中的ipsec过滤⾏为的是：（ D ）A、允许B、阻塞C、协商D、证书

57、以下关于对称加密算法RC4的说法正确的是：（ B ）A、它的密钥长度可以从零到⽆限⼤

B、在美国⼀般密钥长度是128位，向外出⼝时限制到40位C、RC4算法弥补了RC5算法的⼀些漏洞D、最多可以⽀持40位的密钥

58、你配置UNIX下的Ipchains防⽕墙，你要添加⼀条规则到指定的chain后⾯，你应该使⽤参数：（ A ）A、—AB、—DC、—SD、—INPUT

59、最有效的保护E-mail的⽅法是使⽤加密签字，如( B )，来验证E-mail信息。通过验证E-mail信息，可以保证信息确实来⾃发信⼈，并保证在传输过程没有被修改。A、Diffie-Hellman

B、Pretty Good Privacy（PGP）C、Key Distribution Center（KDC）D、IDEA

60、⿊客要想控制某些⽤户，需要把⽊马程序安装到⽤户的机器中，实际上安装的是（B）A、⽊马的控制端程序B、⽊马的服务器端程序C、不⽤安装

D、控制端、服务端程序都必需安装61、下列不属于包过滤检查的是（D）A、源地址和⽬标地址

B、源端⼝和⽬标端⼝C、协议

D、数据包的内容

62、代理服务作为防⽕墙技术主要在OSI的哪⼀层实现（A）A、数据链路层B、⽹络层C、表⽰层D、应⽤层

63、加密在⽹络上的作⽤就是防⽌有价值的信息在⽹上被( D本题答案说法不⼀个⼈认为是D)。A、拦截和破坏B、拦截和窃取C、篡改和损坏D、篡改和窃取

64、按照可信计算机评估标准，安全等级满⾜C2级要求的操作系统是（D）A、DOSB、Windows XPC、Windows NTD、Unix

65、下⾯关于⼝令的安全描述中错误的是（B和D说的都不是很正确。。）`A、⼝令要定期更换B、⼝令越长越安全C、容易记忆的⼝令不安全

D、⼝令中使⽤的字符越多越不容易被猜中

66、不对称加密通信中的⽤户认证是通过（B）确定的A、数字签名B、数字证书C、消息⽂摘D、公私钥关系

67、对于IP欺骗攻击，过滤路由器不能防范的是( D ) 。A．伪装成内部主机的外部IP欺骗B．外部主机的IP欺骗

C．伪装成外部可信任主机的IP欺骗D．内部主机对外部⽹络的IP地址欺骗68．RSA加密算法不具有的优点是（D）

A．可借助CA中⼼发放密钥，确保密钥发放的安全⽅便

B．可进⾏⽤户认证C．可进⾏信息认证

D．运⾏速度快，可⽤于⼤批量数据加密69．PGP加密软件采⽤的加密算法（C）A．DESB．RSAC．背包算法D．IDEA

70．以下说法正确的是（D）A．⽊马不像病毒那样有破坏性B．⽊马不像病毒那样能够⾃我复制C．⽊马不像病毒那样是独⽴运⾏的程序D．⽊马与病毒都是独⽴运⾏的程序

71．使⽤防病毒软件时，⼀般要求⽤户每隔2周进⾏升级，这样做的⽬的是（C）A．对付最新的病毒，因此需要下载最新的程序

B．程序中有错误，所以要不断升级，消除程序中的BUG

C．新的病毒在不断出现，因此需要⽤及时更新病毒的特征码资料库D．以上说法的都不对

72．防⽕墙的安全性⾓度，最好的防⽕墙结构类型是（D）A．路由器型B．服务器型C．屏蔽主机结构D．屏蔽⼦⽹结构⼆、填空题

1、加密技术中加密算法有对称性、⾮对称性三种。2、以太⽹采⽤的介质访问控制⽅式是CSMA/CD。3、ARP协议的功能是将 IP 地址转换成 MAC 地址。4、C类IP地址能表⽰的主机数最⼤是 255 。5、IPV6采⽤ 64 位地址。

6、⼊侵检测的⼀般步骤有信息收集和信息分析。

7、⼊侵检测中信息分析的三种技术⼿段是模式匹配，统计分析和完整性分析。8、⼊侵检测系统⼀般由硬件和软件共同组成。9、防⽕墙的实现⽅式有硬件和软件两种。

10、密码体制可分为对称性密钥和⾮对称性密钥两种类型。

11、在公开密钥体制中每个⽤户保存着⼀对密钥是公开密钥（PK）和私⼈密钥（SK）。12、防⽕墙是位于两个⽹络之间，⼀端是内部⽹络，另⼀端是外部⽹络。

13、防⽕墙系统的体系结构分为双宿主机体系结构、屏蔽主机体系结构、屏蔽⼦⽹体系结构。

14、安装的病毒防治软件应具备四个特性：集成性、单点管理、⾃动化、多层分布。

15、⽬前流⾏的⼏个国产反病毒软件⼏乎占有了80%以上的国内市场，其中360、⾦⼭毒霸、瑞星、卡巴斯基、诺顿等五个产品更是颇具影响。

16、在⽹络应⽤中⼀般采取两种加密形式：秘密秘钥和公开密钥。

17、防⽕墙的技术包括四⼤类：⽹络级防⽕墙（也叫包过滤型防⽕墙）、应⽤级⽹关、电路级⽹关和规则检查防⽕墙。

18、⽹络安全机制包括加密、访问控制、数据完整性、数字签名、交换鉴别、公正、流量填充和路由控制机制。

19、病毒的发展经历了三个阶段：DOS时代、Windows时代、Internet时代。20、病毒的特点包括：传染性、破坏性、隐蔽性、潜伏性、不可预见性。21、计算机病毒⼀般可以分成系统引导病毒、⽂件性病毒、复合性病毒、宏病毒四种主要类别。

22、计算机病毒的结构⼀般由引导部分、传染部分、表现部分三部分组成。23、在⽹络环境中，计算机病毒具有如下四⼤特点传染⽅式多、传播速度快、清除难度⼤、破坏性强。

24．⽹络反病毒技术的三个特点：安全度取决于“⽊桶理论”、⽹络病毒实时监测技术应符合“最⼩占⽤”原则、兼容性是⽹络防毒的重点与难点。25．第⼀代防⽕墙技术使⽤的是在IP层实现的报⽂过滤技术。

26．防⽕墙的功能特点为为：保护那些易受攻击的服务、控制对特殊站点的访问、集中化的安全管理、对⽹络访问进⾏记录和统计。

27．防⽕墙的安全性包括⽤户认证、域名服务、邮件处理、IP层的安全性、放⽕墙的IP安全性五个⽅⾯。

28．防⽕墙有三类：包过滤防⽕墙、代理服务器防⽕墙、状态监视器防⽕墙。29．防⽕墙是具有某些特性的计算机硬件或软件。

30．进⾏⽹络监听的⼯具有多种，既可以是硬件也可以_软件____。

31．在运⾏TCP/IP协议的⽹络系统，存在着欺骗攻击、否认服务、拒绝服务、数据截取、数据篡改五种类型的威胁和攻击。

32．安全漏洞存在不同的类型，包括允许拒绝服务的漏洞；允许有限权限的本

地⽤户未经授权提⾼其权限的漏洞；允许外来团体未经授权访问⽹络的漏洞。33．加密也可以提⾼终端和⽹络通信安全，有链接加密、节点加密、⾸尾加密三种⽅法加密传输数据。三、判断题：

1、计算⽹络安全的本质是⽹络上的信息安全。（√）

2、在同⼀端点每层可和任意其它层通信，这是TCP/IP层次结构的重要原则之⼀。（×）

3、A类IP地址的最⾼位数为1。（×）4、每台计算机可以有多个IP地址。（√）

5、正常的TCP连接建⽴过程是⼀个所谓“三次握⼿”过程。（×）6、IPV4采⽤32位地址，所以其可⽤地址总数为2554个。（√）

7、⼊侵检测的信息分析⽅法中模式匹配法的优点是能检测到从未出现过的⿊客攻击⼿段。（×）8、⼊侵检测系统有基于⽹络和基于主机两种类型。（√）9、严格地说，“⽊马”程序是⼀种计算机⽹络恶意代码。（√）10、数据管理员有权增加、删除组和⽤户。（√）

11、计算机的逻辑安全需要⽤⼝令字、⽂件许可、查帐等⽅法来实现。（√）12、代码炸弹不会像病毒那样四处传播。（√）

13、⽹络物理威胁中的⾝份识别错误与⾝份鉴别威胁具有同样意义。（×）

14、WinServer部分程序，如⾝份认证和把操作者张号与管理员帐号分开的功能，达到B2级要求。（√）

15、计算机⽹络通信安全即数据在⽹络中的传输过程的安全，是指如何保证信息在⽹络传输过程中不被泄露与不被攻击的安全。（√）

16、通信数据加密与⽂件加密是同⼀个概念。（×）

17、RAS可以提供回呼安全机制，即允许计算机⽤户建⽴从RAS客户到RAS服务器之间的初始连接。（√）18、设置⾮常安全的站点，可以避免被破坏。（×）

19、微软的浏览器IE7．0已经避免了所有的可能的漏洞，所以最安全，应⽤最多。（×）

20、DES密码体制中加密和解密⽤的是相同的算法，加密和解密时所采⽤的密钥也是相同的。（×）21、Winzip是⼀种备份⼯具。（×）

22、RSA密码体制只能⽤于数据加密和解密，不能⽤于数字签名。（×）23、只要公钥的长度选取为⼤于129位，那么RSA加密就绝对安全。（×）

24、病毒的传染性也称为⾃我复制和可传播性，这是计算机病毒的本质特征。（√）25、病毒放⽕墙能够对计算机病毒起到“过滤”作⽤。（√）26、宏病毒只有Word宏病毒。（×）

27、电⼦邮件病毒不具有⾃我复制和传播的特性。（×）28、所谓⽹络监听就是获取在⽹络上。（√）

29、⽹络监听不会影响进⾏监听的机器的响应速度。（×）30、扫描器是⾃动检测远程或本地主机安全性漏洞的程序包。（√）四、简答题

1、什么是⽹络⿊客？

⼀类专门利⽤计算机犯罪的⼈，即那凭借其⾃⼰所掌握的计算机技术，专门破坏计算机系统和⽹络系统，窃取政治，军事，商业秘密，或者转移资⾦帐户，窃取⾦钱，以及不露声⾊地捉弄他⼈，秘密进⾏计算机犯罪的⼈。2、概述⽹络⿊客攻击⽅法？

⼝令⼊侵、特洛伊⽊马、监听法、E-mail技术、病毒技术、隐藏技术3、简述防范⽹络⿊客防措施。

①选⽤安全的⼝令②⼝令不得以明⽂⽅式存放在系统中③建⽴帐号锁定机制④实施存取控制⑤确保数据的安全4．什么是⽹络病毒？⽹络病毒的来源有哪些？如何防⽌病毒？

(1)⽹络病毒是⼀种新型病毒，它的传播媒介不再是移动式载体，⽽是⽹络通道，这种病毒的传染能⼒更强，破坏⼒更⼤。(2)邮件附件、E-mail 、Web服务器、⽂件共享(3) 不要随便下载⽂件，如必要，下载后应⽴即进⾏病毒检测。对接收的包含Word⽂档的电⼦邮件，应⽴即⽤能清除“宏病毒”的软件予以检测，或者是⽤Word 打开⽂档，选择“取消宏”或“不打开”按钮。5．⽹络安全的含义是什么？

⽹络安全是指⽹络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因⽽遭到破坏、更改、泄露，系统连续可靠正常地运⾏，⽹络服务不中断。6、威胁⽹络安全的因素有哪些？(1)操作系统的脆弱性(2) 计算机系统的脆弱性(3) 协议安全的脆弱性

(4) 数据库管理系统安全的脆弱性(5) ⼈为的因素(6) 各种外部威胁

7、什么是防⽕墙?防⽕墙能防病毒吗？

(1)防⽕墙是在两个⽹络之间执⾏访问控制策略的⼀个或⼀组系统，包括硬件和软件，⽬的是保护⽹络不被他⼈侵扰。本质上，它遵循的是⼀种允许或阻⽌业务来往的⽹络通信安全机制，也就是提供可控的过滤⽹络通信，只允许授权的通信。(2)防⽕墙可以防病毒，但不能防所有的病毒。8、怎样通过防⽕墙进⾏数据包过滤？

防⽕墙通常是⼀个具备包过滤功能的简单路由器，⽀持因特⽹安全。这是使因特⽹联接更加安全的⼀种简单⽅法，因为包过滤是路由器的固有属性。

包是⽹络上信息流动的单位。在⽹上传输的⽂件⼀般在发出端被划分成⼀串数据包，经过⽹上的中间站点，最终传到⽬的地，然后这些包中的数据⼜重新组成原来的⽂件。

每个包有两个部分：数据部分和包头。包头中含有源地址和⽬标地址等信息。

包过滤⼀直是⼀种简单⽽有效的⽅法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应⼊站的信息。9、威胁⽹络安全的因素有哪些？(1)操作系统的脆弱性(2) 计算机系统的脆弱性(3) 协议安全的脆弱性

(4) 数据库管理系统安全的脆弱性(5) ⼈为的因素(6) 各种外部威胁

10、简述⽹络安全的解决⽅案。(1)信息包筛选(2)应⽤中继器(3)保密与确认

11、什么是防⽕墙，为什么需要有防⽕墙？

防⽕墙是⼀种装置，它是由软件/硬件设备组合⽽成，通常处于企业的内部局域⽹与Internet之间，限制Internet⽤户对内部⽹络的访问以及管理内部⽤户访问Internet的权限。换⾔之，⼀个防⽕墙在⼀个被认为是安全和可信的内部⽹络和⼀个被认为是不那么安全和可信的外部⽹络(通常是Internet)之间提供⼀个封锁⼯具。

如果没有防⽕墙，则整个内部⽹络的安全性完全依赖于每个主机，因此，所有的主机都必须达到⼀致的⾼度安全⽔平，这在实际操作时⾮常困难。⽽防⽕墙被设计为只运⾏专⽤的访问控制软件的设备，没有其他的服务，因此也就意味着相对少⼀些缺陷和安全漏洞，这就使得安全管理变得更为⽅便，易于控制，也会使内部⽹络更加安全。

防⽕墙所遵循的原则是在保证⽹络畅通的情况下，尽可能保证内部⽹络的安全。它是⼀种被动的技术，是⼀种静态安全部件。12、防⽕墙应满⾜的基本条件是什么？

作为⽹络间实施⽹间访问控制的⼀组组件的集合，防⽕墙应满⾜的基本条件如下：(1) 内部⽹络和外部⽹络之间的所有数据流必须经过防⽕墙。(2) 只有符合安全策略的数据流才能通过防⽕墙。

(3) 防⽕墙⾃⾝具有⾼可靠性，应对渗透(Penetration)免疫，即它本⾝是不可被侵⼊的。13、列举防⽕墙的⼏个基本功能？

(1) 隔离不同的⽹络，限制安全问题的扩散，对安全集中管理，简化了安全管理的复杂程度。(2) 防⽕墙可以⽅便地记录⽹络上的各种⾮法活动，监视⽹络的安全性，遇到紧急情况报警。

(3) 防⽕墙可以作为部署NAT的地点，利⽤NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，⽤来缓解地址空间短缺的问题或者隐藏内部⽹络的结构。

(4) 防⽕墙是审计和记录Internet使⽤费⽤的⼀个最佳地点。(5) 防⽕墙也可以作为IPSec的平台。

(6) 内容控制功能。根据数据内容进⾏控制，⽐如防⽕墙可以从电⼦邮件中过滤掉垃圾邮件，可以过滤掉内部⽤户访问外部服务的图⽚信息。只有代理服务器和先进的过滤才能实现。14、防⽕墙有哪些局限性？

(1) ⽹络上有些攻击可以绕过防⽕墙（如拨号）。(2) 防⽕墙不能防范来⾃内部⽹络的攻击。

(3) 防⽕墙不能对被病毒感染的程序和⽂件的传输提供保护。(4) 防⽕墙不能防范全新的⽹络威胁。

(5) 当使⽤端到端的加密时，防⽕墙的作⽤会受到很⼤的限制。

(6) 防⽕墙对⽤户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。

(7) 防⽕墙不能防⽌数据驱动式攻击。有些表⾯⽆害的数据通过电⼦邮件或其他⽅式发送到主机上，⼀旦被执⾏就形成攻击（附件）。

15、包过滤防⽕墙的过滤原理是什么？

包过滤防⽕墙也称分组过滤路由器，⼜叫⽹络层防⽕墙，因为它是⼯作在⽹络层。路由器便是⼀个⽹络层防⽕墙，因为包过滤

是路由器的固有属性。它⼀般是通过检查单

个包的地址、协议、端⼝等信息来决定是否允许此数据包通过，有静态和动态两种过滤⽅式。

这种防⽕墙可以提供内部信息以说明所通过的连接状态和⼀些数据流的内容，把判断的信息同规则表进⾏⽐较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防⽕墙检查每⼀条规则直⾄发现包中的信息与某规则相符。如果没有⼀条规则能符合，防⽕墙就会使⽤默认规则（丢弃该包）。在制定数据包过滤规则时，⼀定要注意数据包是双向的。16、列举出静态包过滤的过滤的⼏个判断依据。

静态包过滤的判断依据有（只考虑IP包）：? 数据包协议类型TCP、UDP、ICMP、IGMP 等。 源/⽬的IP地址。

源/⽬的端⼝FTP、HTTP、DNS等。 IP选项：源路由、记录路由等。 TCP选项SYN、ACK、FIN、RST等。 其他协议选项ICMP ECHO、ICMP REPLY等。 数据包流向in或out。

数据包流经⽹络接⼝eth0、ethl。

17、状态检测防⽕墙的原理是什么，相对包过滤防⽕墙有什么优点？

状态检测⼜称动态包过滤，所以状态检测防⽕墙⼜称动态防⽕墙，最早由CheckPoint 提出。

状态检测是⼀种相当于4、5层的过滤技术，既提供了⽐包过滤防⽕墙更⾼的安全性和更灵活的处理，也避免了应⽤层⽹关的速度降低问题。要实现状态检测防⽕墙，最重要的是实现连接的跟踪功能，并且根据需要可动态地在过滤规则中增加或更新条⽬。防⽕墙应当包含关于包最近已经通过它的“状态信息”，以决定是否让来⾃Internet的包通过或丢弃。18、应⽤层⽹关的⼯作过程是什么？它有什么优缺点？

主要⼯作在应⽤层，⼜称为应⽤层防⽕墙。它检查进出的数据包，通过⾃⾝复制传递数据，防⽌在受信主机与⾮受信主机间直接建⽴联系。应⽤层⽹关能够理解应⽤层上的协议，能够做复杂的访问控制，并做精细的注册和审核。

基本⼯作过程是：当客户机需要使⽤服务器上的数据时，⾸先将数据请求发给代理服务器，代理服务器再根据这⼀请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。常⽤的应⽤层⽹关已有相应的代理服务软件，如HTTP、SMTP、FTP、Telnet 等，但是对于新开发的应⽤，尚没有相应的代理服务，它们将通过⽹络层防⽕墙和⼀般的代理服务。

应⽤层⽹关有较好的访问控制能⼒，是⽬前最安全的防⽕墙技术。能够提供内容过滤、⽤户认证、页⾯缓存和NAT等功能。但实现⿇烦，有的应⽤层⽹关缺乏“透明度”。应⽤层⽹关每⼀种协议需要相应的代理软件，使⽤时⼯作量⼤，效率明显不如⽹络层防⽕墙。

19、代理服务器有什么优缺点？

代理服务技术的优点是：隐蔽内部⽹络拓扑信息；⽹关理解应⽤协议，可以实施更细粒度的访问控制；较强的数据流监控和报告功能。（主机认证和⽤户认证）缺点是对每⼀类应⽤都需要⼀个专门的代理，灵活性不够；每⼀种⽹络应⽤服务的安全问题各不相同，分析困难，因此实现困难。速度慢。20、什么是堡垒主机，它有什么功能？

堡垒主机(Bastion Host) 的硬件是⼀台普通的主机（其操作系统要求可靠性好、可配置性好），它使⽤软件配置应⽤⽹关程序，从⽽具有强⼤⽽完备的功能。它是内部⽹络和Internet之间的通信桥梁，它中继（不允许转发）所有的⽹络通信服务，并具有认证、访问控制、⽇志记录、审计监控等功能。它作为内部⽹络上外界惟⼀可以访问的点，在整个防⽕墙系统中起着重要的作⽤，是整个系统的关键点。

21、什么是双宿主机模式，如何提⾼它的安全性？

双宿主主机模式是最简单的⼀种防⽕墙体系结构，该模式是围绕着⾄少具有两个⽹络接⼝的堡垒主机构成的。双宿主主机内外的⽹络均可与双宿主主机实施通信，但内外⽹络之间不可直接通信（不能直接转发）。双宿主主机可以通过代理或让⽤户直接到其上注册来提供很⾼程度的⽹络控制。

由于双宿主机直接暴露在外部⽹络中，如果⼊侵者得到了双宿主主机的访问权（使其成为⼀个路由器），内部⽹络就会被⼊侵，所以为了保证内部⽹的安全，双宿主主机⾸先要禁⽌⽹络层的路由功能，还应具有强⼤的⾝份认证系统，尽量减少防⽕墙

上⽤户的账户数。

22、屏蔽⼦⽹模式相对屏蔽主机模式有什么优点？描述DMZ的基本性质和功能。

屏蔽⼦⽹模式增加了⼀个把内部⽹与互联⽹隔离的周边⽹络(也称为⾮军事区DMZ)，从⽽进⼀步实现屏蔽主机的安全性，通过使⽤周边⽹络隔离堡垒主机能够削弱外部⽹络对堡垒主机的攻击。在DMZ中堡垒主机作为唯⼀可访问点，⽀持终端交互或作为应⽤⽹关代理。对于选定的可以向Internet开放的各种⽹络应⽤，也可以将该应⽤服务器放在DMZ上。

有两个屏蔽路由器，分别位于DMZ与内部⽹之间、DMZ与外部⽹之间，攻击者要攻⼊这种结构的内部⽹络，必须通过两个路由器，因⽽不存在危害内部⽹的单⼀⼊⼝点。即使⾮法攻击者侵⼊堡垒主机，它仍将必须通过内部路由器。这种结构安全性好，只有当三个安全单元被破坏后，⽹络才被暴露，但是成本也很昂贵。23、边界防⽕墙有哪些缺陷？分布式防⽕墙的组成是什么，它有哪些优势？

⾸先是结构性限制。随着企业业务规模的扩⼤，数据信息的增长，使得企业⽹的边界已成为⼀个逻辑边界的概念，物理的边界⽇趋模糊，因此边界防⽕墙的应⽤受到越来越多的结构性限制。

其次是内部威胁。当攻击来⾃信任的地带时，边界防⽕墙⾃然⽆法抵御，被攻击在所难免。

最后是效率和故障。边界防⽕墙把检查机制集中在⽹络边界处的单点上，⼀旦被攻克，整个内部⽹络将完全暴露在外部攻击者⾯前。

分布式防⽕墙是三部分组成的⽴体防护系统：

（1）⽹络防⽕墙(Network Firewall)：它承担着传统边界防⽕墙看守⼤门的职责；（2）主机防⽕墙(Host Firewall)：它解决了边界防⽕墙不能很好解决的问题(例如来⾃内部的攻击和结构限制等)；

（3）集中管理(Central Management)：它解决了由分布技术⽽带来的管理问题。分布式防⽕墙的优势主要有：

(1) 保证系统的安全性。分布式防⽕墙技术增加了针对主机的⼊侵检测和防护功能，加强了对来⾃于内部的攻击的防范，对⽤户⽹络环境可以实施全⽅位的安全策略，并提供了多层次⽴体的防范体系。(2) 保证系统性能稳定⾼效。消除了结构性瓶颈问题，提⾼了系统整体安全性能。

(3) 保证系统的扩展性。伴随⽹络系统扩充，分布式防⽕墙技术可为安全防护提供强⼤的扩充能⼒。24、静态包过滤和动态包过滤有什么不同？

静态包过滤在遇到利⽤动态端⼝的协议时会发⽣困难，如FTP，防⽕墙事先⽆法知道哪些端⼝需要打开，就需要将所有可能⽤到的端⼝打开，会给安全带来不必要的隐患。⽽状态检测通过检查应⽤程序信息(如FTP的PORT和PASV命令)，来判断此端⼝是否需要临时打开，⽽当传输结束时，端⼝⼜马上恢复为关闭状态。23、请解释5种“窃取机密攻击”⽅式的含义。（1）⽹络踩点（Footprinting）

攻击者事先汇集⽬标的信息，通常采⽤Whois、Finger、Nslookup、Ping等⼯具获得⽬标的⼀些信息，如域名、IP地址、⽹络拓扑结构、相关的⽤户信息等，这往往是⿊客⼊侵所做的第⼀步⼯作。（2）扫描攻击（Scanning）

这⾥的扫描主要指端⼝扫描，通常采⽤Nmap等各种端⼝扫描⼯具，可以获得⽬标计算机的⼀些有⽤信息，⽐如机器上打开了哪些端⼝，这样就知道开设了哪些⽹络服务。⿊客

就可以利⽤这些服务的漏洞，进⾏进⼀步的⼊侵。这往往是⿊客⼊侵所做的第⼆步⼯作。（3）协议栈指纹（Stack Fingerprinting）鉴别（也称操作系统探测）

⿊客对⽬标主机发出探测包，由于不同OS⼚商的IP协议栈实现之间存在许多细微差别，

因此每种OS都有其独特的响应⽅法，⿊客经常能够确定⽬标主机所运⾏的OS。这往往也可以看作是扫描阶段的⼀部分⼯作。（4）信息流嗅探（Sniffering）

通过在共享局域⽹中将某主机⽹卡设置成混杂（Promiscuous）模式，或在各种局域⽹中某主机使⽤ARP欺骗，该主机就会接收所有经过的数据包。基于这样的原理，⿊客可以使⽤⼀个嗅探器（软件或硬件）对⽹络信息流进⾏监视，从⽽收集到帐号和

⼝令等信息。

这是⿊客⼊侵的第三步⼯作。（5）会话劫持（Session Hijacking）

所谓会话劫持，就是在⼀次正常的通信过程中，⿊客作为第三⽅参与到其中，或者是在数据流⾥注射额外的信息，或者是将双⽅的通信模式暗中改变，即从直接联系变成交由⿊客中转。这种攻击⽅式可认为是⿊客⼊侵的第四步⼯作——真正的攻击中的⼀种。

24、请解释5种“⾮法访问”攻击⽅式的含义。（1）⼝令破解

攻击者可以通过获取⼝令⽂件然后运⽤⼝令破解⼯具进⾏字典攻击或暴⼒攻击来获得⼝令，也可通过猜测或窃听等⽅式获取⼝令，从⽽进⼊系统进⾏⾮法访问，选择安全的⼝令⾮常重要。这也是⿊客⼊侵中真正攻击⽅式的⼀种。（2) IP欺骗

攻击者可通过伪装成被信任源IP地址等⽅式来骗取⽬标主机的信任，这主要针对Linux、UNIX下建⽴起IP地址信任关系的主机实施欺骗。这也是⿊客⼊侵中真正攻击⽅式的⼀种。（3) DNS欺骗

当DNS服务器向另⼀个DNS服务器发送某个解析请求（由域名解析出IP地址）时，

因为不进⾏⾝份验证，这样⿊客就可以冒充被请求⽅，向请求⽅返回⼀个被篡改了的应答（IP地址），将⽤户引向⿊客设定的主机。这也是⿊客⼊侵中真正攻击⽅式的⼀种。（4) 重放（Replay）攻击

在消息没有时间戳的情况下，攻击者利⽤⾝份认证机制中的漏洞先把别⼈有⽤的消息记录下来，过⼀段时间后再发送出去。（5) 特洛伊⽊马（Trojan Horse）

把⼀个能帮助⿊客完成某⼀特定动作的程序依附在某⼀合法⽤户的正常程序中，⽽⼀旦⽤户触发正常程序，⿊客代码同时被激活，这些代码往往能完成⿊客早已指定的任务（如监听某个不常⽤端⼝，假冒登录界⾯获取帐号和⼝令等）。25、请解释下列各种“恶意攻击DoS”的⽅式：

Ping of Death、Teardrop、 SYN Flood、 Land Attack、 Smurf Attack、 DDoS攻击（1）Ping of Death

在早期操作系统TCP/IP协议栈实现中，对单个IP报⽂的处理过程中通常是设置有⼀定⼤⼩的缓冲区（65535Byte），以应付IP分⽚的情况。接收数据包时，⽹络层协议要对IP分⽚进⾏重组。但如果重组后的数据报⽂长度超过了IP报⽂缓冲区的上限时，就会出现溢出现象，导致TCP/IP协议栈的崩溃。（2）泪滴（Teardrop）

协议栈在处理IP分⽚时，要对收到的相同ID的分⽚进⾏重组，这时免不了出现⼀些重叠现象，分⽚重组程序要对此进⾏处理。对⼀个分⽚的标识，可以⽤offset表⽰其在整个包中的开始偏移，⽤end表⽰其结束偏移。对于其他⼀些重叠情况，分⽚重组程序都能很好地处理，但对于⼀种特殊情况，分⽚重组程序就会出现致命失误，即第⼆个分⽚的位置整个包含在第⼀个分⽚之内。分⽚重组程序中，当发现offset2⼩于end1时，会将offset2调整到和end1相同，然后更改len2：len2=end2-offset2，在这⾥，分⽚重组程序想当然地认为分⽚2的末尾偏移肯定是⼤于其起始偏移的，但在这种情况下，分⽚2的新长度len2变成了⼀个负值，这在随后的处理过程中将会产⽣致命的操作失误。（3）SYN Flood

⼀个正常的TCP连接，需要经过三次握⼿过程才能真正建⽴。但是如果客户端不按常规办事（假定源IP根本就是⼀个不会产⽣响应的虚假地址），并不向服务器最终返回三次握⼿所必须的ACK包，这种情况下服务器对于未完成连接队列中的每个连接表项都设置⼀个超时定时器，⼀旦超时时间到，则丢弃该表项。

但⿊客并不会只发送⼀次这样的SYN包，如果他源源不断发送，每个SYN包的源IP 都是随机产⽣的⼀些虚假地址（导致受害者不可能再进⾏IP过滤或追查攻击源），受害者的⽬标端⼝未完成队列就不断壮⼤，因为超时丢弃总没有新接收的速度快，所以直到该队列满为⽌，正常的连接请求将不会得到响应。（4）Land Attack

如果向Windows 95的某开放端⼝（例如139端⼝）发送⼀个包含SYN标识的特殊的TCP数据包，将导致⽬标系统⽴即崩溃。做法很简单，就是设置该SYN包的源IP为⽬标主机的IP，源端⼝为⽬标主机受攻击的端⼝。（5）Smurf Attack

⿊客以受害主机的名义向某个⽹络地址发送ICMP echo请求⼴播，收到该ICMPecho 请求的⽹络中的所有主机都会向“⽆辜”的受害主机返回ICMP echo响应，使得受害

主机应接不暇，导致其对正常的⽹络应⽤拒绝服务。（6）DDoS攻击

DDoS攻击是DoS攻击的⼀种延伸，它之所以威⼒巨⼤，是因为其协同攻击的能⼒。⿊客使⽤DDoS⼯具，往往可以同时控制成百上千台攻攻击源，向某个单点⽬标发动攻击，它还可以将各种传统的DoS攻击⼿段结合使⽤。26、了解下列各种攻击⽅式：

UDP Flood、 Fraggle Attack、电⼦邮件炸弹、缓冲区溢出攻击、社交⼯程（1）UDP Flood

有些系统在安装后，没有对缺省配置进⾏必要的修改，使得⼀些容易遭受攻击的服务端⼝对外敞开着。

Echo服务（TCP7和UDP7）对接收到的每个字符进⾏回送；Chargen （TCP19和UDP19）对每个接收到的数据包都返回⼀些随机⽣成的字符（如果是与Chargen服务在TCP19端⼝建⽴了连接，它会不断返回乱字符直到连接中断）。

⿊客⼀般会选择两个远程⽬标，⽣成伪造的UDP数据包，⽬的地是⼀台主机的Chargen 服务端⼝，来源地假冒为另⼀台主机的Echo服务端⼝。这样，第⼀台主机上的Chargen 服务返回的随机字符就发送给第⼆台主机的Echo服务了，第⼆台主机再回送收到的字符，如此反复，最终导致这两台主机应接不暇⽽拒绝服务，同时造成⽹络带宽的损耗。（2）Fraggle Attack

它对Smurf Attack做了简单的修改，使⽤的是UDP应答消息⽽⾮ICMP。（3）电⼦邮件炸弹

⿊客利⽤某个“⽆辜”的邮件服务器，持续不断地向攻击⽬标（邮件地址）发送垃圾邮件，很可能“撑破”⽤户的信箱，导致正常邮件的丢失。（4）缓冲区溢出攻击

⼗多年来应⽤⾮常⼴泛的⼀种攻击⼿段，近年来，许多著名的安全漏洞都与缓冲区溢出有关。

所谓缓冲区溢出，就是由于填充数据越界⽽导致程序原有流程的改变，⿊客借此精⼼构造填充数据，让程序转⽽执⾏特殊的代码，最终获得系统的控制权。

（5）社交⼯程（Social Engineering）

⼀种低技术含量破坏⽹络安全的有效⽅法，但它其实是⾼级⿊客技术的⼀种，往往使得处在看似严密防护下的⽹络系统出现致命的突破⼝。这种技术是利⽤说服或欺骗的⽅式，让⽹络内部的⼈（安全意识薄弱的职员）来提供必要的信息，从⽽获得对信息系统的访问。

27、课外查阅： TCP/IP中各个协议的安全问题28、请解释下列⽹络信息安全的要素：保密性、完整性、可⽤性、可存活性

保密性(confidentiality)是指⽹络信息不被泄露给⾮授权的⽤户、实体或过程。即信息只为授权⽤户使⽤。

信息未经授权不能进⾏改变的特性。即⽹络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插⼊等⾏为破坏和丢失的特性。

在要求的外部资源得到保证的前提下，产品你在规定的条件下和规定的时刻或时间区间内处于可执⾏规定功能状态的能⼒。它是产品可靠性、维修性和维修保障性的综合反映。

可存活性是⽤来表明系统在⾯对蓄意攻击、故障失效或偶发事故时仍能完成其任务的能⼒

综合题

1、甲和⼄均为互联⽹⽤户，他们各⾃可以独⽴地使⽤各种数据加密⽅法，但彼此之间没有可靠的密钥分配和传输渠道。现⽤户甲要通过互联⽹向⽤户⼄发送⼀条需要保密的信息，但信道是不安全的，问他们是否仍然可以⽽使⽤数据加密⽅法。如果可以，应使⽤哪种⽅法，具体怎么做？

综合发挥两种加密算法的优点，既利⽤了对称加密算法速度快的优点，⼜利⽤了公钥加密算法的安全性⾼的特性。

声明：该⽂档是我⽆意在机房找的，有任何风险概不负责任何责任。