《计算机网络安全防护技术（第二版）》习题答案（秦燊）

《计算机网络安全防护》习题参考答案第1章练习与思考1VMwareWorkstation，windowsserverwin1，2003、2008、2012、2016等。安装完成后，做第一个快照。方法如下：1）安装VMwareWorkstation，步骤如下：(1)windowsVMwareWorkstation安装包。(2)(3)出现“许可证”按钮时，点击“许可证”按钮，输入软件的产品许可证密钥。(4)点击“完成”按钮。2)VMwareWorkstationwindowsServer2008(1)“VMwareWorkstationProVMwareWorkstatio。然后，点击“创建新的虚拟机”按钮。接着，选择“典型”选项。(2)在安装来源选项中，选择“安装程序光盘映像文件（iso）(M)”选项，windowsserver2008(3)windowsserver2008administrator(4)windowsD:win2008-1，用于存储新建的虚拟机。(5)Vmware“win2008-1D:\win2008-140G(6)Wmwareworkstationwindowsserver2008。等待一段时间后，安装成功。3)为新安装好的windowsserver2008创建快照(1)启动Vmware后，点击“管理此虚拟机的快照”按钮。(2)点击“拍摄快照”按钮。(3)给新快照命名，然后点击“拍摄快照”按钮。此时，快照拍摄成功。2、克隆练习。以win1为母盘，用链接克隆的方式克隆出两台新的虚拟机win2、win3，并剔除它们的SID，生成新的SID。完成后，各做一个快照。参考答案：1)选择克隆的起始状态。2)确保转到的状态是关机状态，如果是开机状态，将其关机。3)C，点击下一步。4)选择“创建链接克隆”。5)将虚拟机名称更改为“win26)切换到新克隆出来的虚拟机win2，然后点击“开启此虚拟机”按钮。7)将虚拟机win2剔除旧的SID，生成新的SID。方法如下：(1)在虚拟机 win2 上，打开资源管理器，进入文件夹C:\Windows\System32\sysprep，双击运行sysprep.exe。(2)勾选其中的“通用”选项，点击“确定”按钮，系统就开始执行剔除SID的操作了。剔除完SID后，系统会重新启动，启动完后，登录进入虚拟机win2。8)为win2拍摄快照。9）win3，SID，生SID。完成后，做一个快照。3、分别为win1、win2、win3配置IP地址，并连接到Vmnet1虚拟交换机上，通过ping命令测试是否互通。参考答案：1）将win1、win2、win3都连接到虚拟交换机Vmnet1。win1win2win3IP、，子网掩码都为：。3）通过ping命令测试能互通。4VMwareWorkstationKaliLinux2018toorIPVMnet1，win1ping，测试连通性。参考答案：1）在VMwareWorkstation上，安装KaliLinux。2）KaliLinuxroot，toorIP（1）编辑interfaces配置文件：root@kali:~#vim/etc/network/interfaces（2）输入以下内容：autoeth0ifaceeth0inetstaticaddress1netmaskgateway54（3）存盘退出：!wq4)输入以下命令重启网卡，使刚才的配置生效:#/etc/init.d/networkingrestart#ifconfig //eth0#ifdowneth0 eth0#ifconfig //eth0#ifupeth0 eth0#ifconfig //eth05）将网卡连接到VMnet1，与win1进行ping测试，可以ping通。5、安装EVE-NG，规划搭建由交换机、路由器、电脑组成的一个网络，为路IPIP1）安装EVE-NG，2）搭建由交换机、路由器、电脑组成的一个网络.4）为路由器配置IP地址，为电脑配置IP地址和缺省网关，5）测试全网的连通性，可以互通。6.“EVE-NGtelnetSSHSSH参考答案：1)配置R1的配置：IPdomainnameCryptokeygeneratersamodulus1024Usernameuser2password123linevty04loginlocalR2连接R1：ssh-luser22）抓包验证，可以看到，抓到的是乱码。第2章练习与思考1.分别用图形界面和命令为防火墙的接口配置地址，为接口命名，设置安全级别。参考答案：1）图形界面配置：在ASAv的图形配置界面中，点击”Configuraiton”,选中其中的“DeviceSetu“IntefaceSetting“Interfaces“Edit“InterfaceNam”项输入“SecurityLevel”项输入安全级别，勾选上“EnableInterfac“IPAddress”项配置接口地址,”SubnetMask”项选择子网掩码，点击“OK”按钮，点击“Apply”按钮，完成配置。2）以外部接口为例，命令行界面配置如下：ciscoasa(config)#intg0/2ciscoasa(config-if)#nameifOutsideciscoasa(config-if)#security-level100ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu2.规划和搭建有一台防火墙、两台路由器的网络环境，配置静态路由和动态路由，查看路由表。参考答案：1）静态路由的配置为防火墙的内网接口配静态路由，也可用命令实现，命令如下：ciscoasa(config)#routeInside为内网路由器配置默认路由，指向防火墙。Inside(config)#iproute542）动态路由的配置为防火墙的DMZ接口配OSPF动态路由，命令如下：ciscoasa(config)#routerospf1ciscoasa(config-router)#router-id54ciscoasa(config-router)#networkarea0在DMZ的路由器上，配置OSPF动态路由，命令如下：R_DMZ(config)#routerospf1R_DMZ(config-router)#router-idR_DMZ(config-router)#network55area0R_DMZ(config-router)#network55area03.telnet、SSH、ASDMtelnet（1）允许内网用户通过telnet访问管理ASAv防火墙。在防火墙上，输入如下命令：ciscoasa(config)#telnet00Inside（2）telnet（不使用用户名，能telnet到防火墙。在防火墙上，输入如下命令：ciscoasa(config)#passwd123（3）Insidetelnet123，成功连接到防火墙上。（4）ASAtelnetciscoasa(config)#aaaauthenticationtelnetconsoleLOCAL（5）Insidetelnetuser1，cisco，可成功连接到防火墙上。使用ssh访问管理ASAv防火墙telnettelnettelnettelnetsshSSHSSH2）通过ssh网管防火墙（1）sshASAvciscoasa(config)#ssh00Insideciscoasa(config)#ssh00Outside（2）在本地配置用户名及密码，要求通过本地用户名及密码验证后，才能访问防火墙，并验证效果。ciscoasa(config)#usernameuser1passwordciscoprivilege15ciscoasa(config)#aaaauthenticationsshconsoleLOCAL（3）在内网路由器上，输入以下命令进行测试：Inside#ssh-luser154Password: //cisco（4）如果测试时连接不上，可重新生成密钥对，方法如下：ciscoasa(config)#cryptokeygeneratersamodulus768（5）在外网路由器上，输入以下命令进行测试：Outside#ssh-luser154Password: //cisco3）通过ASDM网管防火墙（1）激活https，命令如下：ciscoasa(config)#httpserverenable（2）MGMTASAvciscoasa(config)#httpMgmt（3）在客户机win7上，安装32位的java运行环境jre-8u101-windows-i586。（454InstallASDMLauncher”“InstallASDMLauncher”按钮。（5）安装成功后，双击桌面的“CiscoASDM-IDMLauncher”图标。4.配置Policy-map控制穿越防火墙的流量。允许从内ping外。参考答案：执行以下命令：ciscoasa(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_defaultciscoasa(config-pmap-c)#inspecticmp就可以实现从内网穿越防火墙，ping通外网了。5.IPping。参考答案：的ASAACLpingDMZWEBWEBKaliLinuxDenyIPteardropfragment(size208,offset400)from0to2）防范泪滴攻击，方法是ASAIP)#fragmentchain1。然后IPechoreplyshowlogging，查看到结果如下：%ASA-4-209005:DiscardIPfragmentsetwithmorethan1elements:src=0,dest,protoICMP,id100。可以看到，除了第一个分片，后续分片都被丢弃了。pingIDSOutsideciscoasa(config)#ipauditnameattack_idsattackactionalarmresetciscoasa(config)#ipauditinterfaceOutsideattack_ids然后在外网的KaliLinux主机上新建和执行死亡之ping攻击脚本。同时在R_DMZg0/1ICMP在防火墙上查看日志。ciscoasa(config)#showlogging可以看到下列信息：%ASA-4-400025:IDS:2154ICMPpingofdeathfrom0tooninterfaceOutside，ASAvIDSping该攻击。6.分析教材案例中，禁止内网所有主机访问网站的各语句的作用。参考答案：access-listfilter2extendedpermittcpanyanyeqwwwclass-mapclass3matchaccess-listfilter2//class3用于匹配访问网站的流量regexurl2"\.game\.com"//正则表达式url2用于匹配“.”class-maptypeinspecthttpmatch-allclass4matchrequestheaderhostregexurl2//class4用于匹配以“.”结尾的网站policy-maptypeinspecthttppolicy3classclass4drop-connectionlog//policy3的作用是对于符合class4条件的网站，即以“.”结尾的网站，拒绝其连接并做日志记录policy-mappolicy2classclass3inspecthttppolicy3//对于符合class3条件的主机，即访问网站的主机，调用policy3，即若访问的网站以“.”结尾，则拒绝其连接并做日志记录service-policypolicy2interfaceInside//将policy2应用到Inside接口上第3章练习与思考1.简述常见的数据加密算法有哪些，各有什么优缺点？参考答案：分为对称加密算法和非对称加密算法。各自的优点：对称加密算法的加解密速度较快，非对称加密算法的加解密速度较慢。各自的缺点：所有用这个对称密钥加密的密文了。2.3“yellow”2）解密“hybub”参考答案：明文abcdefghijklmnopqrstuvwxyz密文defghijklmnopqrstuvwxyzabc1）加密“pencil”得：shqflo加密“yellow”得：bhoorz2）解密“hyhub”得：every3.ApocalypsoDESDES-EEE2k3,k2，进行三次加密。密钥K1、K3为：overseas。密钥K2为：seabeach。1）请加密“football2）请解密：“6DCB88AE9DA58FB093A4A084C58EA386CD6BD779C389D87DC76ED171C18AA88DA2B98CB788CE74”。参考答案：1）加密“football”得：5FFF471F3D1D31053BEF55E968D877CC63C68ADA6EC067FD5DCD72CC61D66FC772D966F849FE502）解密“6DCB88AE9DA58FB093A4A084C58EA386CD6BD779C389D87DC76ED171C18AA88DA2B98CB788CE74”得：mypencil4.使用RSA-Tool工具软件，输入两个素数，一个公钥，计算出私钥。并以参考答案：使用RSA-Tool工具软件：1）输入素数：7和172（13（7-1（17-1）=96，公钥需要与96互素，所以选用一个与96互素的数作为公钥，这里选择13。3）点击计算按钮，计算出：循环周期是119，私钥是37。4）公钥加密数据10、并用私钥解密的过程：（1013）模除（119）=45（4537）模除（119）=105）10、并用公钥解密的过程：（1037）模除（119）=108（10813）模除（119）=105.HASHHASHHASH出一台路由器并运行，然后切换到路由器的特权模式，运行命令：verify/md5system:running-config，running-confighashhash值是否有变化。参考答案：HASHMD5SHAHASH值，可以查看当前文件或配置是否有变化。下面通过改变路由器的配置，查看配置文件的HASH值是否有变化：1）在路由器的特权模式，运行查看当前配置文件hash值的命令：Router#verify/md5system:running-config.MD5ofsystem:running-configDone!verify/md5(system:running-config)=8a849b6b3a6f00dddeb69a4ecd236d7d2）下面将路由器改名，并在改名后，再次计算路由器当前配置文件的hash值：Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostRouter(config)#hostnameR1R1(config)#exitR1#verify/md5system:running-config.MD5ofsystem:running-configDone!verify/md5(system:running-config)=2e68ddf89cca092acedd864c0733a1ea通过比较，可以看到路由器当前配置文件的hash值已改变。6.使用PGP软件，分别为张三、李四、王五生成密钥对。并实现：1）张三加密、李四解密、王五无法解密。具体请参考课本案例。7.PGP1）运行windows虚拟机PC1、PC2、PC3；2）PC1winwebmail,提供邮件服务；3PC1winwebmailuser1@user2@、user3@；4PC1PC2PC3outlookexpressuser1@、user2@、user3@，PGP弹出“发现邮件账号”时，选择“否，不5）PC1上，user1@user2@、user3@，PC2PC3，user2、user36）PC1上，user1@user2@、user3@，user2PC2user2，PC3user3无法接收和读取内容；7）PC1上，user1@user2@、user3@，user1PC2PC3user2user3user1PC1user2@user3@,用user2user1PC2user2user1PC3user3第4