《网络安全与管理》期末考试复习题(2012-2013第一学期)

1、sd网络安全与管理期末考试复习题（2012-2013）声明：该文档是我无意在机房找的，有任何风险概不负责任何责任。一、单选题： 1、信息安全的基本属性是（D）。A、机密性 B、可用性 C、完整性 D、上面3项都是2、“会话侦听和劫持技术”是属于（B）的技术。A、密码分析还原 B、协议漏洞渗透C、应用漏洞分析与渗透 D、DOS攻击3、对攻击可能性的分析在很大程度上带有（B）。A、客观性 B、主观性C、盲目性 D、上面3项都不是4、从安全属性对各种网络攻击进行分类，阻断攻击是针对（B）的攻击。A、机密性 B、可用性 C、完整性 D、真实性5、从安全属性对各种网络攻击进行分类，截获攻击是针对（A）的

2、攻击。A、机密性 B、可用性 C、完整性 D、真实性6、从攻击方式区分攻击类型，可分为被动攻击和主动攻击。被动攻击难以（C），然而（C）这些攻击是可行的；主动攻击难以（C），然而（C）这些攻击是可行的。A、阻止,检测,阻止,检测 B、检测,阻止,检测,阻止C、检测,阻止,阻止,检测 D、上面3项都不是7、窃听是一种（A）攻击，攻击者（A）将自己的系统插入到发送站和接收站之间。截获是一种（A）攻击，攻击者（A）将自己的系统插入到发送站和接受站之间。A、被动,无须,主动,必须 B、主动,必须,被动,无须C、主动,无须,被动,必须 D、被动,必须,主动,无须8、拒绝服务攻击的后果是（E）。A、信息不

3、可用 B、应用程序不可用C、系统宕机 D、阻止通信 E、上面几项都是9、机密性服务提供信息的保密，机密性服务包括（D）。A、文件机密性 B、信息传输机密性C、通信流的机密性 D、以上3项都是10最新的研究和统计表明，安全攻击主要来自（B）。A、 接入网 B、 企业内部网 C、 公用IP网 D、 个人网11攻击者用传输数据来冲击网络接口，使服务器过于繁忙以至于不能应答请求的攻击方式是（A）。A、 拒绝服务攻击 B、 地址欺骗攻击C、 会话劫持 D、 信号包探测程序攻击12攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为（D）。A、 中间人攻击 B、 口令猜

4、测器和字典攻击C、 强力攻击 D、 回放攻击13、TELNET协议主要应用于哪一层（ A ）A、应用层 B、传输层 C、Internet层 D、网络层14、不属于安全策略所涉及的方面是（ C ）。A、物理安全策略 B、访问控制策略 C、信息加密策略 D、防火墙策略15、WINDOWS主机推荐使用（A）格式A、NTFS B、FAT32 C、FAT D、LINUX16、（ D ）协议主要用于加密机制A、HTTP B、FTP C、TELNET D、SSL17、为了防御网络监听，最常用的方法是（D ）A、采用物理传输（非网络）B、信息加密C、无线网D、使用专线传输18、使网络服务器中充斥着大量要求回复

5、的信息，消耗带宽，导致网络或系统停止正常服务，这属于（ A ）漏洞A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用19、抵御电子邮箱入侵措施中，不正确的是（ D ）A、不用生日做密码 B、不要使用少于5位的密码C、不要使用纯数字 D、自己做服务器20、一般而言，Internet防火墙建立在一个网络的（C）。A、内部子网之间传送信息的中枢B、每个子网的内部C、内部网络与外部网络的交叉点D、部分内部网络与外部网络的结合处21、包过滤型防火墙原理上是基于（C）进行分析的技术。A、物理层 B、数据链路层C、网络层 D、应用层22、为了降低风险，不建议使用的Internet服务是（D）。A

6、、Web服务 B、外部访问内部系统C、内部访问Internet D、FTP服务23、对非军事DMZ而言，正确的解释是（D）。A、DMZ是一个真正可信的网络部分B、DMZ网络访问控制策略决定允许或禁止进入DMZ通信C、允许外部用户访问DMZ系统上合适的服务D、以上3项都是24、对动态网络地址交换（NAT），不正确的说法是（B）。A、将很多内部地址映射到单个真实地址B、外部网络地址和内部地址一对一的映射C、最多可有64000个同时的动态NAT连接D、每个连接使用一个端口25以下（D）不是包过滤防火墙主要过滤的信息？A、源IP地址B、目的IP地址C、TCP源端口和目的端口D、时间26防火墙用于将In

7、ternet和内部网络隔离，（B）。A、是防止Internet火灾的硬件设施B、是网络安全和信息安全的软件和硬件设施C、是保护线路不受破坏的软件和硬件设施D、是起抗电磁干扰作用的硬件设施27、以下不属网络安全策略的组成的是：（ D ） A、威严的法律 B、先进的技术 C、严格的管理 D、高超的技术28、网关和路由器的区别是（ C ）A、网关有数据包转发功能而路由器没有 B、路由器-有数据包转发功能而网关没有C、路由器有路选择功能而网关没有 D、网关有路由的功能而路由器没有29、以下不属入侵检测中要收集的信息的是（ B ）A、系统和网络日志文件 B、目录和文件的内容C、程序执行中不期望的行为 D

8、、物理形式的入侵信息30、在Winds 中cipher命令的功能是（ A ）A、加密和解密文件和文件夹 B、打开“文件签名验证”对话枢C、查找计算机中病毒 D 、修复被病毒破坏的文件和文件夹31、以下不属于防火墙作用的是（ C ）A、过滤信息 B、管理进程 C、清除病毒 D、审计监测32、防火墙可分为两种基本类型是（ C ）A、分组过滤型和复合型 B、复合型和应用代理型C、分组过滤型和应用代理型 D、以上都不对33、以下不属分布式防火墙的产品的有（B）A、网络防火墙 B、软件防为墙 C、主机防火墙 D、 中心防火墙34、WWW服务对应的网络端口号是（ D ）A、22 B、21 C、79 D、8

9、0 35、FTP服务对应的网络端口号是（ B ）A、22 B、21 C、79 D、 80 36、能修改系统引导扇区，在计算机系统启动时首先取得控制权属于（ B ）A、文件病毒 B、引导型病毒 C、混合型病毒 D、 恶意代码37、当你感觉到你的Win2000运行速度明显减慢，当你打开任务管理器后发现CPU的使用率达到了百分之百，你最有可能认为你受到了哪一种攻击。（B ）A、特洛伊木马 B、拒绝服务C、欺骗 D、中间人攻击38、RC4是由RIVEST在1987年开发的，是一种流式的密文，就是实时的把信息加密成一个整体，它在美国一般密钥长度是128位，因为受到美国出口法的限制，向外出口时限制到多少位

10、？（C ）A、64位 B、56位C、40位 D、32位39、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段？（B ）A、缓冲区溢出 B、地址欺骗C、拒绝服务 D、暴力攻击40、小李在使用super scan对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是什么？（B ）A、文件服务器 B、邮件服务器C、WEB服务器 D、DNS服务器41、你想发现到达目标网络需要经过哪些路由器，你应该使用什么命令？（C ）A、ping B、nslookup C、tracert D、ipconfig42、以下关于VPN的说法中的哪一项是

11、正确的？（C ）A、VPN是虚拟专用网的简称，它只能只好ISP维护和实施B、VPN是只能在第二层数据链路层上实现加密C、IPSEC是也是VPN的一种D、VPN使用通道技术加密，但没有身份验证功能43、下列哪项不属于window2000的安全组件？（D ）A、访问控制 B、强制登陆C、审计 D、自动安全更新44、以下哪个不是属于window2000的漏洞？（D ）A、unicode B、IIS hackerC、输入法漏洞 D、单用户登陆45、你是一企业网络管理员，你使用的防火墙在UNIX下的IPTABLES，你现在需要通过对防火墙的配置不允许这台主机登陆到你的服务器，你应该

12、怎么设置防火墙规则？（B ）A、iptablesA inputp tcps sourceport 23j DENYB、iptablesA inputp tcps destinationport 23j DENYC、iptablesA inputp tcpd sourceport 23j DENYD、iptablesA inputp tcpd destinationport 23j DENY46、你的window2000开启了远程登陆telnet，但你发现你的window98和unix计算机没有办法远程登陆，

13、只有win2000的系统才能远程登陆，你应该怎么办？（D ）A、重设防火墙规则B、检查入侵检测系统C、运用杀毒软件，查杀病毒D、将NTLM的值改为047、你所使用的系统为win2000，所有的分区均是NTFS的分区，C区的权限为everyone读取和运行，D区的权限为everyone完全控制，现在你将一名为test的文件夹，由C区移动到D区之后，test文件夹的权限为？（B ）A、everyone读取和运行 B、everyone完全控制C、everyone读取、运行、写入 D、以上都不对48、你所使用的系统为UNIX，你通过umask命令求出当前用户的umask值为0023，请问该用户在新建一

14、文件夹，具体有什么样的权限？（A ）A、当前用户读、写和执行，当前组读取和执行，其它用户和组只读B、当前用户读、写，当前组读取，其它用户和组不能访问C、当前用户读、写，当前组读取和执行，其它用户和组只读D、当前用户读、写和执行，当前组读取和写入，其它用户和组只读49、作为一个管理员，把系统资源分为三个级别是有必要的，以下关于级别1的说法正确的是？（A ）A、对于那些运行至关重要的系统，如，电子商务公司的用户帐号数据库B、对于那些必须的但对于日常工作不是至关重要的系统C、本地电脑即级别1D、以上说法均不正确50、以下关于window NT 4.0的服务包的说法正确的是？（C ）A、sp5包含了s

15、p6的所有内容B、sp6包含了sp5的所有内容C、sp6不包含sp5的某些内容D、sp6不包含sp4的某些内容51、你有一个共享文件夹，你将它的NTFS权限设置为sam用户可以修改，共享权限设置为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有什么样的权限？（A ）A、读取 B、写入C、修改 D、完全控制52、SSL安全套接字协议所使用的端口是：（B ）A、80 B、443C、1433 D、338953、Window2000域或默认的身份验证协议是：（B ）A、HTML B、Kerberos V5C、TCP/IP D、Apptalk54、在Linux下umask模式的八进制位6

16、代表：（C ）A、拒绝访问 B、写入C、读取和写入 D、读取、写入和执行55、你是一个公司的网络管理员，你经常在远程不同的地点管理你的网络（如家里），你公司使用win2000操作系统，你为了方便远程管理，在一台服务器上安装并启用了终端服务。最近，你发现你的服务器有被控制的迹象，经过你的检查，你发现你的服务器上多了一个不熟悉的帐户，你将其删除，但第二天却总是有同样的事发生，你应该如何解决这个问题？（C ）A、停用终端服务B、添加防火墙规则，除了你自己家里的IP地址，拒绝所有3389的端口连入C、打安全补丁sp4D、启用帐户审核事件，然后查其来源，予以追究56、以下不属于win2000中的ipse

17、c过滤行为的是：（D ）A、允许 B、阻塞C、协商 D、证书57、以下关于对称加密算法RC4的说法正确的是：（B ）A、它的密钥长度可以从零到无限大B、在美国一般密钥长度是128位，向外出口时限制到40位C、RC4算法弥补了RC5算法的一些漏洞D、最多可以支持40位的密钥58、你配置UNIX下的Ipchains防火墙，你要添加一条规则到指定的chain后面，你应该使用参数：（A ）A、A B、DC、S D、INPUT59、最有效的保护E-mail的方法是使用加密签字，如( B )，来验证E-mail信息。通过验证E-mail信息，可以保证信息确实来自发信人，并保证在传输过程没有被修改。A、Di

18、ffie-HellmanB、Pretty Good Privacy（PGP）C、Key Distribution Center（KDC）D、IDEA60、黑客要想控制某些用户，需要把木马程序安装到用户的机器中，实际上安装的是（B）A、木马的控制端程序B、木马的服务器端程序C、不用安装D、控制端、服务端程序都必需安装61、下列不属于包过滤检查的是（D）A、源地址和目标地址B、源端口和目标端口C、协议D、数据包的内容62、代理服务作为防火墙技术主要在OSI的哪一层实现（A）A、数据链路层B、网络层C、表示层D、应用层63、加密在网络上的作用就是防止有价值的信息在网上被( D本题答案说法不一个人认为

19、是D)。A、拦截和破坏B、拦截和窃取C、篡改和损坏D、篡改和窃取64、按照可信计算机评估标准，安全等级满足C2级要求的操作系统是（D）A、DOSB、Windows XPC、Windows NT D、Unix65、下面关于口令的安全描述中错误的是（B和D说的都不是很正确。）A、口令要定期更换B、口令越长越安全C、容易记忆的口令不安全D、口令中使用的字符越多越不容易被猜中66、不对称加密通信中的用户认证是通过（B）确定的A、数字签名B、数字证书C、消息文摘D、公私钥关系67、对于IP欺骗攻击，过滤路由器不能防范的是( D ) 。A伪装成内部主机的外部IP欺骗B外部主机的IP欺骗C伪装成外部可信任主

20、机的IP欺骗D内部主机对外部网络的IP地址欺骗68RSA加密算法不具有的优点是（D）A可借助CA中心发放密钥，确保密钥发放的安全方便B可进行用户认证C可进行信息认证D运行速度快，可用于大批量数据加密69PGP加密软件采用的加密算法（C）ADESBRSAC背包算法DIDEA70以下说法正确的是（D）A木马不像病毒那样有破坏性B木马不像病毒那样能够自我复制C木马不像病毒那样是独立运行的程序D木马与病毒都是独立运行的程序71使用防病毒软件时，一般要求用户每隔2周进行升级，这样做的目的是（C）A对付最新的病毒，因此需要下载最新的程序B程序中有错误，所以要不断升级，消除程序中的BUGC新的病毒在不断出现

21、，因此需要用及时更新病毒的特征码资料库D以上说法的都不对72防火墙的安全性角度，最好的防火墙结构类型是（D）A路由器型B服务器型C屏蔽主机结构D屏蔽子网结构二、填空题1、加密技术中加密算法有 对称性、非对称性 三种。2、以太网采用的介质访问控制方式是CSMA/CD。3、ARP协议的功能是将 IP 地址转换成 MAC 地址。4、C类IP地址能表示的主机数最大是 255 。5、IPV6采用 64 位地址。6、入侵检测的一般步骤有 信息收集 和 信息分析 。7、入侵检测中信息分析的三种技术手段是 模式匹配 ，统计分析和 完整性分析。8、入侵检测系统一般由 硬件 和 软件 共同组成。9、防火墙的实现方

22、式有 硬件 和 软件 两种。10、密码体制可分为 对称性密钥 和非对称性密钥 两种类型。11、在公开密钥体制中每个用户保存着一对密钥是 公开密钥 （PK）和 私人密钥（SK）。12、防火墙是位于两个 网络之间 ，一端是 内部网络 ，另一端是 外部网络 。13、防火墙系统的体系结构分为 双宿主机体系结构 、屏蔽主机体系结构 、屏蔽子网体系结构。14、安装的病毒防治软件应具备四个特性：集成性、单点管理、自动化、多层分布。15、目前流行的几个国产反病毒软件几乎占有了80%以上的国内市场，其中360、金山毒霸、瑞星、卡巴斯基、诺顿等五个产品更是颇具影响。16、在网络应用中一般采取两种加密形式：秘密秘钥

23、和公开密钥。17、防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。18、网络安全机制包括加密、访问控制、数据完整性、数字签名、交换鉴别、公正、流量填充和路由控制机制。19、病毒的发展经历了三个阶段：DOS时代、Windows时代、Internet时代。20、病毒的特点包括：传染性、破坏性、隐蔽性、潜伏性、不可预见性。21、计算机病毒一般可以分成系统引导病毒、文件性病毒、复合性病毒、宏病毒四种主要类别。22、 计算机病毒的结构一般由引导部分、传染部分、表现部分三部分组成。23、在网络环境中，计算机病毒具有如下四大特点传染方式多、传播速度快、清除

24、难度大、破坏性强。24网络反病毒技术的三个特点：安全度取决于“木桶理论”、网络病毒实时监测技术应符合“最小占用”原则、兼容性是网络防毒的重点与难点。25第一代防火墙技术使用的是在IP层实现的报文过滤技术。26防火墙的功能特点为为：保护那些易受攻击的服务、控制对特殊站点的访问、集中化的安全管理、对网络访问进行记录和统计。27防火墙的安全性包括用户认证、域名服务、邮件处理、IP层的安全性、放火墙的IP安全性五个方面。28防火墙有三类：包过滤防火墙、代理服务器防火墙、状态监视器防火墙。29防火墙是具有某些特性的计算机硬件或软件。30进行网络监听的工具有多种，既可以是硬件也可以_软件_。31在运行TC

25、P/IP协议的网络系统，存在着欺骗攻击、否认服务、拒绝服务、数据截取、数据篡改五种类型的威胁和攻击。32安全漏洞存在不同的类型，包括允许拒绝服务的漏洞；允许有限权限的本地用户未经授权提高其权限的漏洞；允许外来团体未经授权访问网络的漏洞。33加密也可以提高终端和网络通信安全，有链接加密、节点加密、首尾加密三种方法加密传输数据。三、判断题：1、计算网络安全的本质是网络上的信息安全。（）2、在同一端点每层可和任意其它层通信，这是TCP/IP层次结构的重要原则之一。（）3、A类IP地址的最高位数为1。（）4、每台计算机可以有多个IP地址。（）5、正常的TCP连接建立过程是一个所谓“三次握手”过程。（）

26、6、IPV4采用32位地址，所以其可用地址总数为2554个。（）7、入侵检测的信息分析方法中模式匹配法的优点是能检测到从未出现过的黑客攻击手段。（）8、入侵检测系统有基于网络和基于主机两种类型。（）9、严格地说，“木马”程序是一种计算机网络恶意代码。（）10、数据管理员有权增加、删除组和用户。（）11、计算机的逻辑安全需要用口令字、文件许可、查帐等方法来实现。（）12、代码炸弹不会像病毒那样四处传播。（）13、网络物理威胁中的身份识别错误与身份鉴别威胁具有同样意义。（）14、WinServer部分程序，如身份认证和把操作者张号与管理员帐号分开的功能，达到B2级要求。（）15、计算机网络通信安全

27、即数据在网络中的传输过程的安全，是指如何保证信息在网络传输过程中不被泄露与不被攻击的安全。（）16、通信数据加密与文件加密是同一个概念。（）17、RAS可以提供回呼安全机制，即允许计算机用户建立从RAS客户到RAS服务器之间的初始连接。（）18、设置非常安全的站点，可以避免被破坏。（）19、微软的浏览器IE70已经避免了所有的可能的漏洞，所以最安全，应用最多。（）20、DES密码体制中加密和解密用的是相同的算法，加密和解密时所采用的密钥也是相同的。（）21、Winzip是一种备份工具。（）22、RSA密码体制只能用于数据加密和解密，不能用于数字签名。（）23、只要公钥的长度选取为大于129位，

28、那么RSA加密就绝对安全。（）24、病毒的传染性也称为自我复制和可传播性，这是计算机病毒的本质特征。（）25、病毒放火墙能够对计算机病毒起到“过滤”作用。（）26、宏病毒只有Word宏病毒。（）27、电子邮件病毒不具有自我复制和传播的特性。（）28、所谓网络监听就是获取在网络上。（）29、网络监听不会影响进行监听的机器的响应速度。（）30、扫描器是自动检测远程或本地主机安全性漏洞的程序包。（）四、简答题1、什么是网络黑客？一类专门利用计算机犯 罪的人，即那凭借其自己所掌握 的计算机技术，专门破坏计算机系 统和网络系统，窃取政治，军事，商业秘密，或者转移资金帐户，窃 取金钱，以及不露声色地捉弄他

29、人，秘密进行计算机犯罪的人。2、概述网络黑客攻击方法？口令入侵、特洛伊木马、监听法、E-mail技术、病毒技术、隐藏技术3、简述防范网络黑客防措施。 选用安全的口令口令不得以明文方式存放在系统中建立帐号锁定机制 实施存取控制确保数据的安全4什么是网络病毒？ 网络病毒的来源有哪些？如何防止病毒？(1)网络病毒是一种新型病毒，它的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。(2) 邮件附件、E-mail 、Web服务器、文件共享(3) 不要随便下载文件，如必要，下载后应立即进行病毒检测。对接收的包含Word文档的电子邮件，应立即用能清除“宏病毒”的软件予以检测，或者

30、是用Word打开文档，选择“取消宏”或“不打开”按钮。5网络安全的含义是什么？网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。6、 威胁网络安全的因素有哪些？(1)操作系统的脆弱性(2) 计算机系统的脆弱性(3) 协议安全的脆弱性(4) 数据库管理系统安全的脆弱性(5) 人为的因素(6) 各种外部威胁7、 什么是防火墙?防火墙能防病毒吗？(1)防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机

31、制，也就是提供可控的过滤网络通信，只允许授权的通信。(2)防火墙可以防病毒，但不能防所有的病毒。8、 怎样通过防火墙进行数据包过滤？防火墙通常是一个具备包过滤功能的简单路由器，支持因特网安全。这是使因特网联接更加安全的一种简单方法，因为包过滤是路由器的固有属性。包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。9、威胁网络安全

32、的因素有哪些？(1)操作系统的脆弱性(2) 计算机系统的脆弱性(3) 协议安全的脆弱性(4) 数据库管理系统安全的脆弱性(5) 人为的因素(6) 各种外部威胁10、简述网络安全的解决方案。(1)信息包筛选(2)应用中继器 (3)保密与确认11、什么是防火墙，为什么需要有防火墙？防火墙是一种装置，它是由软件/硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之，一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。如

33、果没有防火墙，则整个内部网络的安全性完全依赖于每个主机，因此，所有的主机都必须达到一致的高度安全水平，这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备，没有其他的服务，因此也就意味着相对少一些缺陷和安全漏洞，这就使得安全管理变得更为方便，易于控制，也会使内部网络更加安全。防火墙所遵循的原则是在保证网络畅通的情况下，尽可能保证内部网络的安全。它是一种被动的技术，是一种静态安全部件。12、防火墙应满足的基本条件是什么？作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件如下：(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。(2) 只有符合安全策略的数据

34、流才能通过防火墙。(3) 防火墙自身具有高可靠性，应对渗透(Penetration)免疫，即它本身是不可被侵入的。13、列举防火墙的几个基本功能？(1) 隔离不同的网络，限制安全问题的扩散，对安全集中管理，简化了安全管理的复杂程度。(2) 防火墙可以方便地记录网络上的各种非法活动，监视网络的安全性，遇到紧急情况报警。(3) 防火墙可以作为部署NAT的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。(4) 防火墙是审计和记录Internet使用费用的一个最佳地点。(5) 防火墙也可以作为IPSec的平台。(6) 内容控

35、制功能。根据数据内容进行控制，比如防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。14、防火墙有哪些局限性？(1) 网络上有些攻击可以绕过防火墙（如拨号）。(2) 防火墙不能防范来自内部网络的攻击。(3) 防火墙不能对被病毒感染的程序和文件的传输提供保护。(4) 防火墙不能防范全新的网络威胁。(5) 当使用端到端的加密时，防火墙的作用会受到很大的限制。(6) 防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。(7) 防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机上，一旦被执行就

36、形成攻击（附件）。15、包过滤防火墙的过滤原理是什么？包过滤防火墙也称分组过滤路由器，又叫网络层防火墙，因为它是工作在网络层。路由器便是一个网络层防火墙，因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则（丢弃该包）。在制定数据包过滤规则时，一定要注意数据包是双向

37、的。16、列举出静态包过滤的过滤的几个判断依据。静态包过滤的判断依据有（只考虑IP包）： 数据包协议类型TCP、UDP、ICMP、IGMP等。 源/目的IP地址。 源/目的端口FTP、HTTP、DNS等。 IP选项：源路由、记录路由等。 TCP选项SYN、ACK、FIN、RST等。 其他协议选项ICMP ECHO、ICMP REPLY等。 数据包流向in或out。 数据包流经网络接口eth0、ethl。17、状态检测防火墙的原理是什么，相对包过滤防火墙有什么优点？状态检测又称动态包过滤，所以状态检测防火墙又称动态防火墙，最早由CheckPoint提出。状态检测是一种相当于4、5层的过滤技术，既

38、提供了比包过滤防火墙更高的安全性和更灵活的处理，也避免了应用层网关的速度降低问题。要实现状态检测防火墙，最重要的是实现连接的跟踪功能，并且根据需要可动态地在过滤规则中增加或更新条目。防火墙应当包含关于包最近已经通过它的“状态信息”，以决定是否让来自Internet的包通过或丢弃。18、应用层网关的工作过程是什么？它有什么优缺点？主要工作在应用层，又称为应用层防火墙。它检查进出的数据包，通过自身复制传递数据，防止在受信主机与非受信主机间直接建立联系。应用层网关能够理解应用层上的协议，能够做复杂的访问控制，并做精细的注册和审核。基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代

39、理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。常用的应用层网关已有相应的代理服务软件，如HTTP、SMTP、FTP、Telnet等，但是对于新开发的应用，尚没有相应的代理服务，它们将通过网络层防火墙和一般的代理服务。应用层网关有较好的访问控制能力，是目前最安全的防火墙技术。能够提供内容过滤、用户认证、页面缓存和NAT等功能。但实现麻烦，有的应用层网关缺乏“透明度”。应用层网关每一种协议需要相应的代理软件，使用时工作量大，效率明显不如网络层防火墙。19、代理服务器有什么优缺点？代理服务技术的优点是：隐蔽内部网络拓扑信息；网关理解应用协议，可以实施更细粒

40、度的访问控制；较强的数据流监控和报告功能。（主机认证和用户认证）缺点是对每一类应用都需要一个专门的代理，灵活性不够；每一种网络应用服务的安全问题各不相同，分析困难，因此实现困难。速度慢。20、什么是堡垒主机，它有什么功能？堡垒主机(Bastion Host) 的硬件是一台普通的主机（其操作系统要求可靠性好、可配置性好），它使用软件配置应用网关程序，从而具有强大而完备的功能。它是内部网络和Internet之间的通信桥梁，它中继（不允许转发）所有的网络通信服务，并具有认证、访问控制、日志记录、审计监控等功能。它作为内部网络上外界惟一可以访问的点，在整个防火墙系统中起着重要的作用，是整个系统的关键点

41、。21、什么是双宿主机模式，如何提高它的安全性？双宿主主机模式是最简单的一种防火墙体系结构，该模式是围绕着至少具有两个网络接口的堡垒主机构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信（不能直接转发）。双宿主主机可以通过代理或让用户直接到其上注册来提供很高程度的网络控制。由于双宿主机直接暴露在外部网络中，如果入侵者得到了双宿主主机的访问权（使其成为一个路由器），内部网络就会被入侵，所以为了保证内部网的安全，双宿主主机首先要禁止网络层的路由功能，还应具有强大的身份认证系统，尽量减少防火墙上用户的账户数。22、屏蔽子网模式相对屏蔽主机模式有什么优点？描述DMZ的基本

42、性质和功能。屏蔽子网模式增加了一个把内部网与互联网隔离的周边网络(也称为非军事区DMZ)，从而进一步实现屏蔽主机的安全性，通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。在DMZ中堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。对于选定的可以向Internet开放的各种网络应用，也可以将该应用服务器放在DMZ上。有两个屏蔽路由器，分别位于DMZ与内部网之间、DMZ与外部网之间，攻击者要攻入这种结构的内部网络，必须通过两个路由器，因而不存在危害内部网的单一入口点。即使非法攻击者侵入堡垒主机，它仍将必须通过内部路由器。这种结构安全性好，只有当三个安全单元被破坏后，网络才被暴

43、露，但是成本也很昂贵。23、边界防火墙有哪些缺陷？分布式防火墙的组成是什么，它有哪些优势？首先是结构性限制。随着企业业务规模的扩大，数据信息的增长，使得企业网的边界已成为一个逻辑边界的概念，物理的边界日趋模糊，因此边界防火墙的应用受到越来越多的结构性限制。其次是内部威胁。当攻击来自信任的地带时，边界防火墙自然无法抵御，被攻击在所难免。最后是效率和故障。边界防火墙把检查机制集中在网络边界处的单点上，一旦被攻克，整个内部网络将完全暴露在外部攻击者面前。分布式防火墙是三部分组成的立体防护系统：（1）网络防火墙(Network Firewall)：它承担着传统边界防火墙看守大门的职责；（2）主机防火墙

44、(Host Firewall)：它解决了边界防火墙不能很好解决的问题(例如来自内部的攻击和结构限制等)；（3）集中管理(Central Management)：它解决了由分布技术而带来的管理问题。分布式防火墙的优势主要有：(1) 保证系统的安全性。分布式防火墙技术增加了针对主机的入侵检测和防护功能，加强了对来自于内部的攻击的防范，对用户网络环境可以实施全方位的安全策略，并提供了多层次立体的防范体系。(2) 保证系统性能稳定高效。消除了结构性瓶颈问题，提高了系统整体安全性能。(3) 保证系统的扩展性。伴随网络系统扩充，分布式防火墙技术可为安全防护提供强大的扩充能力。24、静态包过滤和动态包过滤有

45、什么不同？静态包过滤在遇到利用动态端口的协议时会发生困难，如FTP，防火墙事先无法知道哪些端口需要打开，就需要将所有可能用到的端口打开，会给安全带来不必要的隐患。而状态检测通过检查应用程序信息(如FTP的PORT和PASV命令)，来判断此端口是否需要临时打开，而当传输结束时，端口又马上恢复为关闭状态。23、请解释5种“窃取机密攻击”方式的含义。（1）网络踩点（Footprinting）攻击者事先汇集目标的信息，通常采用Whois、Finger、Nslookup、Ping等工具获得目标的一些信息，如域名、IP地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵所做的第一步工作。（2）扫描攻击（

46、Scanning）这里的扫描主要指端口扫描，通常采用Nmap等各种端口扫描工具，可以获得目标计算机的一些有用信息，比如机器上打开了哪些端口，这样就知道开设了哪些网络服务。黑客就可以利用这些服务的漏洞，进行进一步的入侵。这往往是黑客入侵所做的第二步工作。（3）协议栈指纹（Stack Fingerprinting）鉴别（也称操作系统探测）黑客对目标主机发出探测包，由于不同OS厂商的IP协议栈实现之间存在许多细微差别，因此每种OS都有其独特的响应方法，黑客经常能够确定目标主机所运行的OS。这往往也可以看作是扫描阶段的一部分工作。（4）信息流嗅探（Sniffering）通过在共享局域网中将某主机网卡设

47、置成混杂（Promiscuous）模式，或在各种局域网中某主机使用ARP欺骗，该主机就会接收所有经过的数据包。基于这样的原理，黑客可以使用一个嗅探器（软件或硬件）对网络信息流进行监视，从而收集到帐号和口令等信息。这是黑客入侵的第三步工作。（5）会话劫持（Session Hijacking）所谓会话劫持，就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。这种攻击方式可认为是黑客入侵的第四步工作真正的攻击中的一种。24、请解释5种“非法访问”攻击方式的含义。（1）口令破解攻击者可以通过获取口令文件然后

48、运用口令破解工具进行字典攻击或暴力攻击来获得口令，也可通过猜测或窃听等方式获取口令，从而进入系统进行非法访问，选择安全的口令非常重要。这也是黑客入侵中真正攻击方式的一种。（2) IP欺骗攻击者可通过伪装成被信任源IP地址等方式来骗取目标主机的信任，这主要针对Linux、UNIX下建立起IP地址信任关系的主机实施欺骗。这也是黑客入侵中真正攻击方式的一种。（3) DNS欺骗当DNS服务器向另一个DNS服务器发送某个解析请求（由域名解析出IP地址）时，因为不进行身份验证，这样黑客就可以冒充被请求方，向请求方返回一个被篡改了的应答（IP地址），将用户引向黑客设定的主机。这也是黑客入侵中真正攻击方式的一

49、种。（4) 重放（Replay）攻击在消息没有时间戳的情况下，攻击者利用身份认证机制中的漏洞先把别人有用的消息记录下来，过一段时间后再发送出去。（5) 特洛伊木马（Trojan Horse）把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，而一旦用户触发正常程序，黑客代码同时被激活，这些代码往往能完成黑客早已指定的任务（如监听某个不常用端口，假冒登录界面获取帐号和口令等）。25、请解释下列各种“恶意攻击DoS”的方式：Ping of Death、Teardrop、 SYN Flood、 Land Attack、 Smurf Attack、 DDoS攻击（1）Ping of

50、Death在早期操作系统TCP/IP协议栈实现中，对单个IP报文的处理过程中通常是设置有一定大小的缓冲区（65535Byte），以应付IP分片的情况。接收数据包时，网络层协议要对IP分片进行重组。但如果重组后的数据报文长度超过了IP报文缓冲区的上限时，就会出现溢出现象，导致TCP/IP协议栈的崩溃。（2）泪滴（Teardrop）协议栈在处理IP分片时，要对收到的相同ID的分片进行重组，这时免不了出现一些重叠现象，分片重组程序要对此进行处理。对一个分片的标识，可以用offset表示其在整个包中的开始偏移，用end表示其结束偏移。对于其他一些重叠情况，分片重组程序都能很好地处理，但对于一种特殊情况

51、，分片重组程序就会出现致命失误，即第二个分片的位置整个包含在第一个分片之内。分片重组程序中，当发现offset2小于end1时，会将offset2调整到和end1相同，然后更改len2：len2=end2-offset2，在这里，分片重组程序想当然地认为分片2的末尾偏移肯定是大于其起始偏移的，但在这种情况下，分片2的新长度len2变成了一个负值，这在随后的处理过程中将会产生致命的操作失误。（3）SYN Flood一个正常的TCP连接，需要经过三次握手过程才能真正建立。但是如果客户端不按常规办事（假定源IP根本就是一个不会产生响应的虚假地址），并不向服务器最终返回三次握手所必须的ACK包，这种情况下服务器对于未完成连接队列中的每个连接表项都设置一个超时定时器，一旦超时时间到，则丢弃该表项。但黑客并不会只发送一次这样的SYN包，如果他源源不断发送，每个SYN包的源IP都是随机产生的一些虚假地址（导致受害者不可能再进行IP过滤或追查攻击源），受害