练习题参考答案 (1).doc

一、选择题（每空2分，共20分） 1、D2、C3、D4、C5、B6、B7、D8、C9、ABC10.B二、多项选择题（每小题4分，共20分）1BCD 2.ACD 3.ABCD4.ABCD 5.BC三、 简答题（每题5分，共40分）1. 简要说明包过滤型防火墙优缺点。优点：工作在传输层下，对数据包本身包头字段进行过滤，性价比很高；缺点：过滤判断条件有限，安全性不高；过滤规则数目的增加会影响防火墙的性能；很难对用户身份进行验证；对安全管理人员的素质要求高。2. 简要说明包过滤型防火墙和代理型防火墙的区别。包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。3. 防火墙的不足之处有哪些？限制网络服务；对内部用户防范不足；不能防范旁路连接；不适合进行病毒检测；无法防范数据驱动型攻击；无法防范所有威胁；配置问题；无法防范内部人员泄密；速度问题；单失效点问题4. 包过滤技术防火墙过滤规则要检测哪些主要字段信息？源地址；源端口号；目的地址；目的端口号；协议标志；过滤方式等5. 请画出屏蔽主机防火墙的结构示意图。6. 欺骗攻击主要有哪些方法？IP地址欺骗、路由欺骗、DNS欺骗、Web欺骗7. 结合实际谈谈入侵行为的一般过程。 确定攻击目标 实施攻击 攻击后处理四、论述题（每题10分，共20分）1. 简要说明基于主机的入侵检测的优点有哪些？ 能够检测所有的系统行为，可以精确监控针对主机的攻击过程 不需要额外的硬件来支持 能够适合加密的环境 网络无关性8. 简要说明基于主机的入侵检测的缺点有哪些？ 不具有平台无关性，可移植性差 检测手段较多时会影响安装主机的性能 维护和管理工作复杂 无法判断网络的入侵行为2. 比较异常检测和滥用检测的区别。滥用入侵检测根据已知的攻击行为建立异常行为模型，然后将用户行为与之进行匹配，成功意味着又一次确定的攻击行为发生。该技术就有较好的确定解释能力，可以得到较高的检测准确度和较低的误警率。但是，只能检测已知的攻击行为，对已已知攻击的变形或者新型的攻击行为将无法进行检测。异常入侵检测则是试图建立用户后者系统的正常行为模型，任何超过该模型允许阈值的事件都被认为是可以的。这种技术的好处是能够检测到位置的攻击，攻击可能无法明确指出是何种类型的攻击。但是这种方法往往不能反映计算机系统的复杂的动态本质，很难进行建模操作。两种方法各自特点决定了他们具有相当的互补性，可以将两种方法结合起来，提高安全性。一选择题（每空2分，共20分） 1C 2D3D 4D5A6D7B 8D9C10B二多项选择题（每小题4分，共20分）1 ABD2 ABC3 ACD4 BCD5 ABCD三 简答题（每题5分，共40分）说明堡垒主机的设计原则并简要解释。（论述题）最小服务原则；预防原则；主要类型；系统需求；部署位置简要说明防火墙的设计原则。拒绝访问一切未予特学的服务；允许一切未被特别拒绝的服务简要说明代理型防火墙优缺点。优点：工作在应用层，可以以进行深层的内容进行控制；阻断了内联网络和外联网络的链接，实现了内外网的相互屏蔽，避免了数据驱动类型的攻击。缺点：代理型防火墙速度相对较慢，当网关吞吐量较大时，防火墙就会成为瓶颈。说明双宿主网关的优点有哪些？无需管理和维护账户数据库，降低了入侵攻击风险；具有良好的可扩展性；屏蔽了内联网络主机组织了信息泄露现象的发生。请画出双宿主网关防火墙的结构示意图。欺骗攻击主要有哪些方法？IP地址欺骗、路由欺骗、DNS欺骗、Web欺骗简要说明VPN技术的工作原理。VPN的原理是在两台直接与不安全的公网相连的计算机之间建立一条穿过公网的虚拟的安全的专用通道。经过打包、公网传输和解包的过程。一般通信内容需要加密和解密。说明高效、成功的VPN的有哪些特点。具备完善的安全保障机制具备用户可接受的服务质量保证总成本低可扩充性、安全性和灵活性管理便捷四、论述题（每题10分，共20分）1说明屏蔽子网的优点。内联网络实现了与外联网络的隔离，内部结构无法探测，外联网络只能知道外部路由器和费军事区的寻在，而不知道内部路由器的存在，也就无法探测内部路由器后面的内联网络了，只一点对于防止入侵者知道内联网络的内联网络的拓扑结构和主机地址分配及活动情况尤为重要。内联网络安全防护严密。入侵者必须攻破外部路由器、堡垒主机和内部路由器之后才能进入内联网络。由于使用了内部路由器和外部路由器所以降低了堡垒主机处理的负载量，减轻了堡垒主机的压力，增强了堡垒主机的可靠性和安全性。非军事区的划分将姜用户网络的信息流量明确分为不同的等级，通过内部路由器的隔离作用，机密信息收到了严密的保护，减少了信息泄露现象的发生。2防火墙的好处有哪些？1.防火墙允许网络管理员定义一个“检查点”来防止非法用户进人内联网络，并抵抗各种攻击。网络的安全性在防火墙上得到加固，而不是增加受保护网络内部主机的负担; 2.防火墙通过过滤存在安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。只有经过选择的网络服务才能通过防火墙，脆弱的服务只能在系统整体安全策略的控制下，在受保护网络的内部实现; 3.防火墙可以增强受保护节点的保密性，强化私有权.防火墙可以阻断某些提供主机信息的服务。如Finger和DNS等，使得外部主机无法获取这些有利于攻击的信息; 4.防火墙有能力较梢确地控制对内部子系统的访问。防火墙可以设置成允许外联网络访问内联网络的某些子系统.而不允许访间其他的子系统。这有效地增加了内联网络不同子系统的封闭性，使得系统核体安全策略的实施更加细致、深人; 5.防火墙境系统具有集中安全性。若受保护网络的所有或者大部分安全程序集中地放置在防火墙上，而非分散到受保护网络中的各台主机上，则安全监控的范围会更集中，监控行为更易于实现，安全成本也会更便宜; 6.在防火墙上可以很方便地监视网络的通信流，并产生告警信息。正如前面所描述的.网络面临的问题不是是否会受到攻击，而是什么时候受到攻击，因此对通信流的监控是一项需要持之以恒的、耐心的工作; 7.安全审计和管理是网络安全研究的重要课题，而防火墙恰恰是审计和记录网络行为最佳的地方。由于所有的网络访问流都要经过防火墙，所以网络管理员可以在防火墙上记录、分析网络行为，并以此检验安全策略的执行情况或者改进安全策略， 8.防火墙不但是网络安全的检查点，它还可以作为向用户发布信息的地点.即防火墙系统可以包括www服务器和FTP服务器等设备，并且允许外部主机进行访问。 9.最根本的是，防火墙为系统整体安全策略的执行提供了重要的实施平台。如果没有防火墙，那么系统整体安全策略的实施多半靠的是用户的自觉性和内联网络中各台主机的安全性。一、选择题（每空2分，共20分） 1C2D3C4A5B6D7B8A9D10B二多项选择题（每小题4分，共20分）1 ABCD2 ABC3 ABD4 ABCD5BCD三 简答题（每题5分，共40分）简要说明防火墙的设计原则。拒绝访问一切未予特许的服务；允许一切未被特别拒绝的服务防火墙的理论特性有哪些？创建阻塞点、强化网络安全策略，提供集成功能、实现网络隔离、记录和审计内联网络和外联网络之间的活动、自身具有非常墙的抵御攻击的能力简要说明防火墙的规则特点。规则是保护内部信息资源的策略的实现和延伸；规则必须与访问活动紧密相关；规则必须稳妥可靠切合实际在安全和利用资源之间取得较为平衡的政策；可以实施各种不同的服务访问策略。请说明过滤路由器的缺点。配置复杂维护困难；数据包本身检测，智能检测部分攻击行为；无法防范数据驱动型攻击；只能对数据包的各字段进行检查，无法确定数据包的发送者的真实性。请解释屏蔽主机的缺点。主要缺点是堡垒主机和内联网络主机放置在一起，他们之间没有一道安全隔离屏障。如果堡垒主机北宫皮，那么内联网络将全部暴露在攻击者面前。此外虽然过滤路由器的安全性比多重宿主主机要高，但是只进行简单的包过滤规则，因此入侵者有多种手段对过滤路由器进行破坏。一旦路由表被修改，则堡垒主机被旁路，堡垒主机的大理服务器就没有用了，所有内联网络向外联网络发出的请求都会通过被破坏的过滤路由器直接发到外联网络，内联网络就没有秘密可言了，内联网络的安全性都维系在一张相对脆弱的路由表上，这是一个比较严重的问题。防火墙的主要性能指标有哪些。可靠性 可用性可扩展性可审计性可管理性成本耗费欺骗攻击主要有哪些方法？IP地址欺骗、路由欺骗、DNS欺骗、Web欺骗请画出三叉非军事区防火墙的结构示意图。四论述题（每题10分，共20分）1说明屏蔽主机和屏蔽子网的区别和联系。屏蔽主机由包过滤器和堡垒主机组成。1、堡垒主机在网络内部，通过防火墙的过滤使得这个主机是唯一可从外部到达的主机。2、实现了应用层和网络层的安全，比单独的包过滤或应用网关代理更安全。3、过滤路由器是否配置正确是这种防火墙安全的关键。屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机，在内个网络之间建立了被隔离的子网，称作周边网。将堡垒主机、WEB服务器、E-MAIL服务器放在被屏蔽的子网内，外部、内部都可以访问。但禁止他们通过屏蔽子网通信。如果堡垒主机被控制，内部网络仍然受内部包过滤路由器保护。 这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。试论述防火墙的不足之处主要有哪些？ 2说明什么是滥用入侵检测。滥用入侵检测通过对现有的各种攻击手段进行分析，找到能够代表该攻击的行为的特征集合。对当前数据的处理就是与这些特征集合进行匹配，如果成功匹配则说明发生了依次确定的攻击。滥用入侵检测可以实现的基础是现有已知攻击手段，都能够根据近攻击条件、动作排列及相应事件之间的关系变化进行明确描述，即攻击行为的特征能够被提取。每种攻击行为都有明确的特征描述，所以滥用检测的准确度很高。但是，滥用检测系统依赖性较强，平台无关性较差，难于移植。而且对已多种已知攻击模式特征的提取和维护工作量非常大，此外滥用检测只能根据已有的数据进行判断，不能检测新的或变异的攻击行为。最后，滥用检测无法识别内部用户发起的攻击行为。试论述计算机系统面临的威胁行为主要有哪些？一选择题（每空2分，共20分） 1C 2、B 3B4C5C6D7A8D9C10C二多项选择题（每小题4分，共20分）1 ABC2 ACD3BD4AB5AD三、 简答题（每题5分，共40分）简要说明包过滤技术的优点。简单快速；对用户是透明的；检查规则简单效率高等；简要说明状态检测技术的缺点。工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高；检测内容多，对防火墙的性能提出来更高的要求。防火墙代理技术的优点有哪些？提供了高速缓存，提高了网络性能；屏蔽了内联网络，组织了内网探测活动；禁止了直接连接，减少了直接攻击的风险；应用层上过滤，实现有效过滤；提供了用户身份认证手段，加强了安全性；连接基于服务而不是物理连接，不易受Ip地址欺骗攻击；应用层工作，提供了详细的日志和分析功能；过滤规则比包过滤防火墙规则简单。说明双宿主网关的缺点有哪些？主机本身成为安全焦点，安全配置重要而复杂；代理服务组件增多会影响系统整体性能瓶颈；单台主机会带来单失效点的问题；灵活性差如果没有某项代理组建，用户无法使用该服务。请画出三叉非军事区防火墙的结构示意图。拒绝服务攻击有哪些方法？服务请求超载、SYN洪水、报文超载简要说明基于网络的入侵检测的缺点有哪些？不在通信的端点，无法像进行网络通讯的主机那样处理全部网络协议层次的数据对于现在越来越流行的加密传输很难进行处理对于交换网络的支持不足面临处理能力的问题容易受到拒绝服务攻击很难进行复杂攻击的检测结合实际谈谈入侵检测系统的性能指标有哪些？有效性指标（攻击检测率、攻击误警率、可信度）可用性指标（检测延迟、系统开销、吞吐量、每秒抓包数、每秒网络连接监控数、每秒事件处理数）安全性指标（对于攻击的抵抗能力、数据通信机制的可靠性）四、论述题（每题10分，共20分）1简要说明屏蔽主机的工作原理。SHF（Screened Host Firewall ） 屏蔽主机防火墙采用一个包滤路由器与外部网连接，用一个堡垒主机安装在内部网络上，起着代理服务器的作用，是外部网络所能到达的惟一节点，以此来确保内部网络不受外部未授权用户的攻击，达到内部网络安全保密的目的。在屏蔽主机防火墙的网络安全方案中，一个数据包过滤路由器与因特网相连，同时，一个双端主机（Dual Homed Host, DHH）安装在内部网络中。通常情况下，在网络路由器上设立过滤原则，使这个双端主机成为在因特网上所有其他节点所能到达的惟一节点。这样就确保了内部网络不能受到任何未被授权的外部用户的攻击。试论述防火墙的不足之处主要有哪些？ 2防火墙的好处有哪些？1.防火墙允许网络管理员定义一个“检查点”来防止非法用户进人内联网络，并抵抗各种攻击。网络的安全性在防火墙上得到加固，而不是增加受保护网络内部主机的负担; 2.防火墙通过过滤存在安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。只有经过选择的网络服务才能通过防火墙，脆弱的服务只能在系统整体安全策略的控制下，在受保护网络的内部实现; 3.防火墙可以增强受保护节点的保密性，强化私有权.防火墙可以阻断某些提供主机信息的服务。如Finger和DNS等，使得外部主机无法获取这些有利于攻击的信息; 4.防火墙有能力较梢确地控制对内部子系统的访问。防火墙可以设置成允许外联网络访问内联网络的某些子系统.而不允许访间其他的子系统。这有效地增加了内联网络不同子系统的封闭性，使得系统核体安全策略的实施更加细致、深人; 5.防火墙境系统具有集中安全性。若受保护网络的所有或者大部分安全程序集中地放置在防火墙上，而非分散到受保护网络中的各台主机上，则安全监控的范围会更集中，监控行为更易于实现，安全成本也会更便宜; 6.在防火墙上可以很方便地监视网络的通信流，并产生告警信息。正如前面所描述的.网络面临的问题不是是否会受到攻击，而是什么时候受到攻击，因此对通信流的监控是一项需要持之以恒的、耐心的工作; 7.安全审计和管理是网络安全研究的重要课题，而防火墙恰恰是审计和记录网络行为最佳的地方。由于所有的网络访问流都要经过防火墙，所以网络管理员可以在防火墙上记录、分析网络行为，并以此检验安全策略的执行情况或者改进安全策略， 8.防火墙不但是网络安全的检查点，它还可以作为向用户发布信息的地点.即防火墙系统可以包括www服务器和FTP服务器等设备，并且允许外部主机进行访问。 9.最根本的是，防火墙为系统整体安全策略的执行提供了重要的实施平台。如果没有防火墙，那么系统整体安全策略的实施多半靠的是用户的自觉性和内联网络中各台主机的安全性。试论述计算机系统面临的威胁行为主要一选择题（每空2分，共20分） 1A 2A 3A 4A 5B 6C7B 8C9A10A 二多项选择题（每小题4分，共20分）1 AB 2 ABD3ABC4 ABD5 ABCD三 简答题（每题5分，共40分）防火墙采用的主要技术有哪些？包过滤型防火墙；代理型防火墙简要说明包过滤型防火墙和代理型防火墙的区别。包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。简要说明包过滤技术的优点。简单快速；对用户是透明的；检查规则简单效率高等；请简要说明状态检测技术的基本原理。状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。请解释屏蔽主机的优点。屏蔽主机是一种结合了包过滤和代理两张不同机制的防火墙，它能够提供比单纯的过滤路由器和多重宿主主机更高的安全性。任何攻击者都需要攻破包过滤和代理两道防线才能进入到内联网络，增加了攻击者的难度。屏蔽主机支持多种功能的网络服务的深层过滤，并具有相当的可扩展性。由于堡垒主机的采用代理防火墙技术，所以服务器只需要添加代理服务器组件即可。屏蔽主机系统本身是可靠地、稳固的。不同于多重宿主主机，直接面对对外网络的并不是堡垒主机而是路由器。所以简单配置的路由器要比保护一台主机要容易得多。请画出屏蔽子网防火墙的结构示意图。请说明深度过滤技术的基本特征。正常化、双向负载检测、应用层加密解密、协议一致性结合实际谈谈入侵行为的一般过程。确定攻击目标、实施攻击、攻击后处理四论述题（每题10分，共20分）1请详细比较说明IPSEC VPN和MPLS VPN。1、安全性方面IPSec VPN是在IP层上实现了加密、认证、访问控制等多种安全技术，极大地提高了TCP/IP 的安全性。 MPLS VPN在安全性能方面是它劣势，MPLS VPN必须依赖路由协议来准确地传播可达性信息，完成与标记分发相关的工作。因此MPLS对路由协议的依赖性要高于IP网络2、网络服务质量（QoS）方面MPLS VPN是建立在骨干网之上，在网络服务质量方面具有最好的效果，MPLS可以指定数据包传送的先后顺序，使用标记交换，网络路由器只需要判别标记后即可进行转送处理，在根本程度上改变了传统IP网络逐跳路由、IGP路由汇聚、路由表过长、尽力传送等问题。IPSec VPN保证的是端点到端点的网络传输通道的安全，端点处的加密和解密需要另外的硬件和软件处理能力，而这将增加用户和性能的开销。由于协议需要在报前添加自己的数据报，如果新生成的数据报的长度超过网络的（最大可传输单元）的长度，该数据报将被分割成多个数据报，增加不必要的网络延迟时间。3、应用领域和便捷性方面IPSec VPN需要安装客户端才能使用，IPSec VPN的连接性会受到网络地址转换的影响，同时需要先完成客户端配置才能建立通信信道MPLS VPN配置完成后，内网用户如同在同一网络中，无需安装客户端软件，可以说对用户的要求为零。MPLS VPN可以实现所有基于IP的应用，同时由于它具有很好的QoS，因此可以运行语音、视频等远程通信等服务。4、扩展性方面MPLS VPN提供商可简单地将MPLS VPN配置成全网状结构，企业只需将用户端路由器（CE）与运营商核心路由器（PE）以各种方式相连，CE上不需做复杂配置，也不需要很高的硬件配置。IPSec VPN技术本身的特性决定了它通常不能支持复杂的网络，这是因为它们需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN 在部署时，要考虑企业全网的拓扑结构，如果增添新的设备，往往要改变网络结构，从而造成IPSec VPN 的可扩展性比较差。5、经济性方面IPSec VPN在每增加一个需要访问的分支，就需要添加一个硬件设备。对一个成长型的公司来说，随着IT建设规模的扩大，要不断购买新的设备来满足需要。MPLS VPN尽管比租用专线可以较大地节省成本，但需要一次性工程费、VPLS资源费以及本地接入费用等。综合来看，成本是大于IPSec VPN和SSL VPN。2说明屏蔽子网的优点。内联网络实现了与外联网络的隔离，内部结构无法探测，外联网络只能知道外部路由器和费军事区的寻在，而不知道内部路由器的存在，也就无法探测内部路由器后面的内联网络了，只一点对于防止入侵者知道内联网络的内联网络的拓扑结构和主机地址分配及活动情况尤为重要。内联网络安全防护严密。入侵者必须攻破外部路由器、堡垒主机和内部路由器之后才能进入内联网络。由于使用了内部路由器和外部路由器所以降低了堡垒主机处理的负载量，减轻了堡垒主机的压力，增强了堡垒主机的可靠性和安全性。非军事区的划分将用户网络的信息流量明确分为不同的等级，通过内部路由器的隔离作用，机密信息收到了严密的保护，减少了信息泄露现象的发生。一、选择题（每空2分，共20分） 1C 2D 3D4D5A 6D 7B8D 9C 10B二多项选择题（每小题4分，共20分）1BCD2ACD3ABCD 4 ABCD5 ABCD三、 简答题（每题5分，共40分）简要说明防火墙的设计原则。拒绝访问一切未予特学的服务；允许一切未被特别拒绝的服务简要说明包过滤型防火墙优缺点。优点：工作在传输层下，对数据包本身包头字段进行过滤，性价比很高；缺点：过滤判断条件有限，安全性不高；过滤规则数目的增加会影响防火墙的性能；很难对用户身份进行验证；对安全管理人员的素质要求高。包过滤技术防火墙过滤规则要检测哪些主要字段信息？源地址；源端口号；目的地址；目的端口号；协议标志；过滤方式等简要说明什么是深度状态检测。深度检测防火墙，将状态检测和应用防火墙技术结合在一起，以处理应用程序的流量，防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能，深度检测防火墙能够对数据流量迅速完成网络层级别的分析，并做出访问控制决；对于允许的数据流，根据应用层级别的信息，对负载做出进一步的决策。深度检测防火墙深入分析了TCP或UDP数据包的内容，以便对负载有个总的认识。状态检测防火墙是目前使用最广泛的防火墙，用来防护黑客攻击。但是，随着专门针对应用层的Web攻击现象的增多，在攻击防护中，状态检测防火墙的有效性越来越低。简要说明状态检测技术的优点。安全性比静态包过滤高，可以阻断更多的复杂攻击行为可以通过分析打开相应的端口而不是一刀切；提升了防火墙的性能，后续数据包不需要检测，只需要快速通过。说明双宿主主机的优点有哪些？作为内外网的唯一接口，易于实现网络安全策略；使用堡垒主机实现，成本较低。请画出屏蔽主机防火墙的结构示意图。请说出防火墙的知名厂商有那几个？（至少5个）CiscoFortinetWatchGuard安氏天融信东软Juniper/Netscreen四、论述题（每题10分，共20分）1简要说明基于网络的入侵检测的优点有哪些？具有系统平台无关性不影响受保护主机的性能对攻击者来说是透明的能够进行较大范围内的网络安全保护监测数据具有很高的真实性可检测基于底层协议的攻击行为试论述防火墙的不足之处主要有哪些？ 2请简单比较并解释PAP口令验证协议和CHAP验证协议的安全性。PAP是简单的明文验证方式，安全性较差第三方可以很容易地夺得被传送的用户名和口令，并利用这些信息，密码一旦被第三方窃取，PAP无法提供免费收到第三方攻击的保障措施；CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。，不直接曹永明文发送口令，而是使用加密口令，Hash算法对口令进行加密。能够有效避免第三方用户冒充远程用户进行攻击。一、选择题（每空2分，共20分） 1C 2D 3D4D5A 6D 7B8D 9C 10B二多项选择题（每小题4分，共20分）1BCD2ACD3ABCD 4 ABCD5 ABCD三、 简答题（每题5分，共40分）简要说明防火墙的设计原则。拒绝访问一切未予特学的服务；允许一切未被特别拒绝的服务简要说明包过滤型防火墙优缺点。优点：工作在传输层下，对数据包本身包头字段进行过滤，性价比很高；缺点：过滤判断条件有限，安全性不高；过滤规则数目的增加会影响防火墙的性能；很难对用户身份进行验证；对安全管理人员的素质要求高。包过滤技术防火墙过滤规则要检测哪些主要字段信息？源地址；源端口号；目的地址；目的端口号；协议标志；过滤方式等简要说明什么是深度状态检测。深度检测防火墙，将状态检测和应用防火墙技术结合在一起，以处理应用程序的流量，防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能，深度检测防火墙能够对数据流量迅速完成网络层级别的分析，并做出访问控制决；对于允许的数据流，根据应用层级别的信息，对负载做出进一步的决策。深度检测防火墙深入分析了TCP或UDP数据包的内容，以便对负载有个总的认识。状态检测防火墙是目前使用最广泛的防火墙，用来防护黑客攻击。但是，随着专门针对应用层的Web攻击现象的增多，在攻击防护中，状态检测防火墙的有效性越来越低。简要说明状态检测技术的优点。安全性比静态包过滤高，可以阻断更多的复杂攻击行为可以通过分析打开相应的端口而不是一刀切；提升了防火墙的性能，后续数据包不需要检测，只需要快速通过。说明双宿主主机的优点有哪些？作为内外网的唯一接口，易于实现网络安全策略；使用堡垒主机实现，成本较低。请画出屏蔽主机防火墙的结构示意图。请说出防火墙的知名厂商有那几个？（至少5个）CiscoFortinetWatchGuard安氏天融信东软Juniper/Netscreen四、论述题（每题10分，共20分）1简要说明基于网络的入侵检测的优点有哪些？具有系统平台无关性不影响受保护主机的性能对攻击者来说是透明的能够进行较大范围内的网络安全保护监测数据具有很高的真实性可检测基于底层协议的攻击行为试论述防火墙的不足之处主要有哪些？ 2请简单比较并解释PAP口令验证协议和CHAP验证协议的安全性。PAP是简单的明文验证方式，安全性较差第三方可以很容易地夺得被传送的用户名和口令，并利用这些信息，密码一旦被第三方窃取，PAP无法提供免费收到第三方攻击的保障措施；CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。，不直接曹永明文发送口令，而是使用加密口令，Hash算法对口令进行加密。能够有效避免第三方用户冒充远程用户进行攻击。一选择题（每空2分，共20分） 1 D2 B3 D4C 5B 6B 7C 8B 9B 10B 二多项选择题（每小题4分，共20分）1 ABD2ABC3ACD4BCD5 ABCD三 简答题（每题5分，共40分）简要说明防火墙的规则特点。规则是保护内部信息资源的策略的实现和延伸；规则必须与访问活动紧密相关；规则必须稳妥可靠切合实际在安全和利用资源之间取得较为平衡的政策；可以实施各种不同的服务访问策略。防火墙的不足之处有哪些？限制网络服务；对内部用户防范不足；不能防范旁路连接；不适合进行病毒检测；无法防范数据驱动型攻击；无法防范所有威胁；配置问题；无法防范内部人员泄密；速度问题；单失效点问题解释说明传统防火墙单失效点问题。传统防火墙至于内外网相连接的关键点处，会成为系统网络访问的瓶颈，一旦失效，内外网的连接将断开。请简要说明状态检测技术的基本原理。状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。一般来说，一条过滤规则包括那些字段？源地址；源端口号；目的地址；目的端口号；协议标志；过滤方式等请画出堡垒主机防火墙的结构示意图。说明什么是异常入侵检测。异常入侵检测是根据系统和用户的非正常行为或者对于计算机资源的非正常使用检测出入侵行为的检测技术，异常检测基础是建立在系统正常活动或用户正常行为模式的描述模型。将用户的当前行为模式和系统的当前状态与该正常模式进行比较，如果当前值超出了预设的阈值，则认为存在攻击行为。，对未知的攻击的检测，精确度依赖于正常模型的精确程度。说明入侵检测技术的发展趋势。标准化的入侵检测高速入侵检测大规模、分布式入侵检测多种技术的融合实时入侵响应入侵检测的评测与其他安全技术的联动四论述题（每题10分，共20分）1.请论述简单比较并解释PAP口令验证协议和CHAP验证协议的安全性。PAP是简单的明文验证方式，安全性较差第三方可以很容易地夺得被传送的用户名和口令，并利用这些信息，密码一旦被第三方窃取，PAP无法提供免费收到第三方攻击的保障措施；CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。，不直接曹永明文发送口令，而是使用加密口令，Hash算法对口令进行加密。能够有效避免第三方用户冒充远程用户进行攻击。2.请对VPN二层隧道和三层隧道的性能进行比较。第三层隧道与第二层隧道相比，优点在于他的安全性、可扩展性和可靠性。从安全性角度来讲，第二层隧道一般终止在用户网设备上，或对用户啊网络的安全和防火墙提出比较严峻的挑战，而第三层一般终止在ISP网关上，不会对用户网络的安全构成威胁。从可扩展性角度来讲，二层隧道可能会产生传输效率的问题，会对网络的复合产生较大的影响。影响了系统性能的扩展性。三层隧道终止在RAS，无需管理和维护PPP会话状态，减轻系统负载。一 选择题（每空2分，共20分） 1 B2 C3C4 C5 B6 C7 C8 A9C10 D二 多项选择题（每小题4分，共20分）1 ABCD2 ABC3 ABD4 ABCD5BCD三 简答题（每题5分，共40分）防火墙的实际功能有哪些？（至少五项）包过滤、代理、网络地址转换、虚拟专用网络、用户身份认证、记录报警分析与审计、管理功能、其他功能。简要说明多重宿主主机。多重宿主主机实际上是安放在内联网络和外联网络的接上的一台堡垒主机它要提供最少两个网络接 :个与内联网络相连， 另一个与外联网络相连。内联网络与外联网络之间的通信可通过多重宿主主机:的应用层数据共享或者应用层代理服务来完成简要说明包过滤技术的缺点。过滤技术思想简单，对信息处理能力有限，规则增多是规则的维护困难；控制层次较低，不能实现用户级的控制，不能对合法用户身份鉴别及冒用IP地址的鉴别。防火墙代理技术的缺点有哪些？代理程序专用，不适应网络服务和协议的不断发展；数据量大的情况下会增加访问延迟，影响系统性能；不能实现用户的透明访问；不支持所有的协议；对操作系统有明显的依赖；代理技术的执行速度慢。请画出双宿主主机防火墙的结构示意图。防火墙的主要性能指标有哪些。可靠性 可用性 可扩展性 可审计性 可管理性 成本耗费请画出入侵检测P2DR模型，并解释各部分的含义。简要说明蜜罐技术原理。蜜罐实际是一种牺牲系统，不包含任何可以利用的有价值的资源。存在的唯一目的就是将攻击的目标转移到蜜罐系统上，诱骗、手机、分析攻击的信息确定攻击行为和入侵者的动机。，设置蜜罐存在安全风险，容易被入侵者控制作为攻击内联网络的跳板。四 论述题（每题10分，共20分）1说明入侵检测技术的不足之处有哪些？无法完全自动完成对所有攻击的行为的检测，必须与管理人员的交互来实现；不恩给你很好的适应攻击技术的发展，只能在数值攻击行为的特征后才能识别检测。虽然存在智能化自学习的入侵检测但是跟不上变形攻击技术和子发展攻击技术的步伐。入侵检测很难实现对攻击的实施响应。对于一次性的攻击行为（瞬发攻击）时毫无作用的。入侵检测技术本质上是一种被动的系统，无法弥补各种协议的缺陷，只能尽量低去适应协议的规范。系统检测的精度依赖于提供信息的质量和完整性，无法达到入侵检测技术的理论水平。处理能力有限，当负载满负荷运转时，不能及时有效地分析处理全部的数据。无法完全适应现代系统软件和硬件技术的发展速度。不能很好地如何进多样化的现代网络。无法快速适应组织和机构的系统安全策略的变化，调整过程较为复杂。2请详细比较对称加密技术和非对称加密技术的优缺点。对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。 不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。一选择题（每空2分，共20分） 1D 2、B 3A 4B 5D 6 D 7 D 8 D 9 A 10D 二多项选择题（每小题4分，共20分）1 ABC2 ACD3 BD4 AB5 AD三 简答题（每题5分，共40分）防火墙的理论特性有哪些？创建阻塞点、强化网络安全策略，提供集成功能、实现网络隔离、记录和审计内联网络和外联网络之间的活动、自身具有非常墙的抵御攻击的能力简要说明包过滤型防火墙和代理型防火墙的区别。包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。简要说明包过滤技术的优点。简单快速；对用户是透明的；检查规则简单效率高等；防火墙代理技术的优点有哪些？提供了高速缓存，提高了网络性能；屏蔽了内联网络，组织了内网探测活动；禁止了直接连接，减少了直接攻击的风险；应用层上过滤，实现有效过滤；提供了用户身份认证手段，加强了安全性；连接基于服务而不是物理连接，不易受Ip地址欺骗攻击；应用层工作，提供了详细的日志和分析功能；过滤规则比包过滤防火墙规则简单。说明双宿主网关的优点有哪些？无需管理和维护账户数据库，降低了入侵攻击风险；具有良好的可扩展性；屏蔽了内联网络主机组织了信息泄露现象的发生。请画出屏蔽主机防火墙的结构示意图。请说明深度过滤技术的基本特征。正常化、双向负载检测、应用层加密解密、协议一致性简要说明基于网络的入侵检测的优点有哪些？具有系统平台无关性不影响受保护主机的性能对攻击者来说是透明的能够进行较大范围内的网络安全保护监测数据具有很高的真实性可检测基于底层协议的攻击行为四论述题（每题10分，共20分）1比较异常检测和滥用检测的区别。滥用入侵检测根据已知的攻击行为建立异常行为模型，然后将用户行为与之进行匹配，成功意味着又一次确定的攻击行为发生。该技术就有较好的确定解释能力，可以得到较高的检测准确度和较低的误警率。但是，只能检测已知的攻击行为，对已已知攻击的变形或者新型的攻击行为将无法进行检测。异常入侵检测则是试图建立用户后者系统的正常行为模型，任何超过该模型允许阈值的事件都被认为是可以的。这种技术的好处是能够检测到位置的攻击，攻击可能无法明确指出是何种类型的攻击。但是这种方法往往不能反映计算机系统的复杂的动态本质，很难进行建模操作。两种方法各自特点决定了他们具有相当的互补性，可以将两种方法结合起来，提高安全性。试论述防火墙的不足之处主要有哪些？ 2请对VPN二层隧道和三层隧道的性能进行比较。第三层隧道与第二层隧道相比，优点在于他的安全性、可扩展性和可靠性。从安全性角度来讲，第二层隧道一般终止在用户网设备上，或对用户啊网络的安全和防火墙提出比较严峻的挑战，而第三层一般终止在ISP网关上，不会对用户网络的安全构成威胁。从可扩展性角度来讲，二层隧道可能会产生传输效率的问题，会对网络的复合产生较大的影响。影响了系统性能的扩展性。三层隧道终止在RAS，无需管理和维护PPP会话状态，减轻系统负载。三层隧道不必为用户原有设备安装特殊软件。可采用任意长假的设备予以实现。三层隧道技术的公司不需要IP地址，也具有安全性。一、选择题（每空2分，共20分） 1D2D3A 4C 5C 6D 7D 8A 9D 10B 二多项选择题（每小题4分，共20分）1AB2ABD3ABC4ABD5ABCD三、 简答题（每题5分，共40分）防火墙要实现的四类控制功能是什么？方向控制、服务控制、行为控制、用户控制简要说明代理型防火墙优缺点。优点：工作在应用层，可以以进行深层的内容进行控制；阻断了内联网络和外联网络的链接，实现了内外网的相互屏蔽，避免了数据驱动类型的攻击。缺点：代理型防火墙速度