计算机网络安全试卷

1、一、填空题。（每空1分，共15分）.在进行合同分析与入侵检测时，网卡的工作模式应处于暹杂模式。. 一个正常的ARP恳求数据帧的二层头部中的目的MAC地址是： FFFFFFFFFFFFo.在一个正常的ARP恳求数据帧的三层头部（ARP局部），被查询 的目标设施的MAC地址求知，那么用全是FFFFFFFFFFFF的MAC地址表 示。.查看ARP缓存纪录的命令是更义工，清除ARP缓存纪录的命令是 arp-d,防范ARP攻击时要对网关的MAC与IP进行绑定的命令是 arp-So.在对网络设施进行远程管理时，网络管理员常常使用Telnet方 式，但是这种方式的连接存在平安问题是，用户名和密码是以明文 传

2、递的。因此建议在进行远程设施管理时使用SSH合同。.常见的加密方式有对称加密、非对称加密和不行逆加密，试分别 举例说出对称加密的常用算法是DES,非对称加密常用算法是RSA 不行逆加密（散列）常用算法是M!更。.对“CVIT”采纳恺撒加密算法，密钥为3,那么得出的密文是“FYLW”； 假如密钥为5,得出的密文是“皿”，这也就是说，相同加密算法 不同的密钥得出的密文是不同的。.数字摘要采纳单向Hash函数对信息进行某种变换运算得到固定 长度的摘要，并在传输信息时将之加入文件一同送给接收方；接收 方收到文件后，用相同的方法进行变换运算得到另一个摘要；然后 将自己运算得到的摘要与发送过来的摘要进行比

3、拟，假如全都说明 数据原文没有被修改过。这种方法可以验证数据的完整性。.关于对称密码术和非对称密码术的争论说明：前者具有加密速度 快、运行时占用资源少等特点，后者可以用于密钥交换，密钥管理 平安。一般来说，并不直接使用非对称加密算法加密明文，而仅用 它保护实际加密明文的对称密钥,即所谓的数字信封（Digital Envelope）技术。. CA的职能：证书发放、证书更新、证书撤销和证书验证。. CA创立证书并在上面用自己的私钥进行数字签名。由于CA在创 建证书过程中的角色很重要，因此它是PKT的核心。使用CA的公钥， 想要验证证书真实性的任何人只要校验CA的数字签名就能确定证书 内容的完整性和

4、真实性（更为重要的是确认了证书持有者的公钥和 身份）。.当一个站点要求通过平安方式（采用数字证书）连接时，用户 就不能再在扫瞄器中输入 合同了，而要采纳 S合同进行平 安连接，这时所使用的端口也不是TCP的80,而是TCP的”。. WIN2003的HS下建立的CA证书服务器，CA的IP地址为 192. 168. 1.2 , 那么证书申请的 URL 为 ： :/192. 168. 1. 2/Certsrv/|。. CA的中文名可译为：证书签发机构。. PKI的中文名可译为：公钥基础。. GRE（Generic Routing Encapsulation 中文名：通用路由封装）: 是对某些网络层合

5、同的数据报文进行封装，使这些被封装的数据报 文能够在另一个网络层合同中传输,GRE在IP合同中的合同号为以。. GRE是一种隧道,它规定了怎样用一种网络层合同去封装另一种 网络层合同的方法。但它并不是一种壬变的隧道方法。.隧道技术是一种通过使用互联网络的基础设施在网络之间传递 数据的方式。使用隧道传递的数据（或负载）可以是不同合同的数 据帧或包。隧道合同将这些其它合同的数据帧或包重新封装在新的 包头中发送。新的包头供应了信息，从而使封装的负载数据能够通 过互联网络传递。. VPN （Virtual Private Network中文名：虚拟专用网络）可以 实现不同网络的组件和资源之间的相互连接

6、。虚拟专用网络能够采 用Internet或其它公共互联网络的基础设施为用户创立隧道，并供 应与专用网络一样的王安和功能保障。.远程接入VPN用于实现出差员工或家庭办公用等移动用户平安 访问企业网络。. Internet VPN用于组建跨地区的企业总部与分支机构内部网络 的平安互联。. VPN采用隧道技术对原有合同进行重新封装，并供应加密、数据 验证、用户验证等一系列平安防护措施,保证了数据通过担忧全的 公共网络得到平安的传输。. DMZ 一般称之为非军事化区,对于防火墙的DMZ 口所连接的局部， 一般称这之为服务器群或服务器区，防火墙也可以进行策略的检查 与掌握，只允许对特定的服务端口的访问进

7、入，如只开放Web服务 那么仅对内部服务访问的目的端口为阻时才允许。.网络防火墙的工作任务主要是设置一个检查站，监翅、过滤和 检查全部流经的合同数据,并对其执行相应的平安策略，如阻挡合 同数据通过或禁止非法访问，能有效地过滤攻击流量。.网络层防火墙通过对流经的合同数据包的头部信息，如源地址、 目标地址、IP合同域、源端口和目标端口号等信息进行规定策略的 掌握，也可以猎取合同数据包头的一段数据。而应用层防火墙可以 对合同数据流进行全部的检查与分析，以确定其需执行策略的掌握。 26.不同公司的防火墙产品的缺省策略有所不同，有的公司的产品 默认拒绝，没有被允许的流量都要拒绝;也有公司的产口是默认允

8、许，没有被拒绝的流量都可以逋过。例如H3C的路由器的防火墙功 能是默认允许，而思科的路由器的包过滤技术就是默认拒绝。.硬件防火墙产品的选择的前提是要考虑企业网络的现有条件、 环境及需求，当然性能指标是要首先考虑的，主要的衡量指标包括 石吐量、转发率、延迟、缓冲力量和丢包率等。一般网络在选择时 多是从以下几个方面考虑：平安性、高效性、配置便利性与管理的 难易度等。.入侵检测（Intrusion Detection）是对入侵行为的觉察。它通 过从计算机网络或计算机系统的关键点收集信息并进行分析，从中 觉察网络或系统中是否有违反平安策略的行为和被攻击的迹象，对 系统的运行状态进行监视，觉察各种攻击企

9、图、攻击行为或者攻击 结果，以保证系统资源的机密性，完整性、和可用性。进行入侵检 测的软件与硬件的组合便是IDSo.作为防火墙的合理补充，入侵检测技术能够关心系统应付网络 攻击，扩展了系统管理员的平安管理力量（包括平安审计、监视、 攻击识别和响应）,提高了信息平安基础结构的完整性。.入侵检测系统包括三个功能部件：信息收集、信息分析，结果 处理。.对收集到的信息的分析方法主要有：模式匹配、统计分析、完 整性分析（往往用于事后分析）。.入侵检测性能关键参数:误报（false positive）、漏报（false negative）。.入侵检测系统依据数据来源：可分为主机型和网络型。.依据分析方法（

10、检测方法）入侵检测系统可分为特别检测模型 和误用检测模型。.部署隐蔽模式的入侵检测系统中，隐蔽模式是指把IDS Sensor 不设置IP地址，这样入侵者就很难查觉到有IDS的存在了。.要实现对网络中的数据包的抓取或入侵检测中收集信息、，就要 把网卡设置为混杂模式，一般要在Windows系统中安装winpcap,安 装后网卡即可捕获目的MAC不是自己的数据帧了。.我们我国正式公布实施的中华人民共和国计算机信息系统平 安保护条例其次十八条中明确指出：“计算机病毒，是指编制或 者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算 机使用，并能自我复制的一组计算机指令或者程序代码。”此定义 具有

11、法律性、权威性。.交族感染病毒后，其中的文件夹“CEY”被设置为系统隐蔽了， 此时可采用命令attrib-s-h cey” ,就可以将其系统隐蔽属性 去除了。. RAID,为 RAID-Redundant Array of Inexpensive/lndependent Disks的简称，中文为独立冗余磁盘阵列。. RAID 0是将多个磁盘并列起来，成为一个大磁盘。在存放数据 时，其将数据按磁盘的个数来进行分块，即把数据分成假设干相等大 小的小块，并把它们写到阵列上不同的硬盘上，这种技术又称 Stripping（即将数据条带化）,冗余，并行I/O,所以，在全 部的级别中，RAID 0的速度是最

12、快的的。. RAID 1至少要有两个（只能两个）硬盘才能组成，因此也称为 （Mirroring）方式。. RAID 5具有和RAID 0相近似的数据读取速度，只是多了一个校 验信息，写入数据的速度比对单个磁盘进行写入操作稍慢。同时由 于多个数据对应一个奇偶校验信息，RAID 5的磁盘空间采用率要比 RAID Ifi,存储本钱相对较低。. AAA （Authentication 认证/Authorization 授权/Accounting 审计）服务器是网络中特别董萋的设施，是网络应赢对数据、用 户进行掌握和管理的重要环节。目前，随着网络技术的进展和网络 服务业务种类的增加，对AAA服务器的功能

13、需求越来越多。. AAA功能一是这地（Authentication）,也就是区分用户；二是 （Authorization）,也就是掌握访问、供应业务；三是审计 （Accounting）,就是跟踪用户所使用网络资源，供应计费纪录。.国际标准化组织ISO对网络管理功能域定义了五方面功能：性 能管理、配置管理、计费管理、故障管理、平安管理。.网络管理信息库的作用是用于存储被管理设施内部对象、属性 和对应值。通过SNMP访问的管理信息保存在每个管理站和代理节点 的MIB中。管理信息包含有简洁层次的对象结构，每一个对象都代 表一个被管理资源的些属性。.网络管理A理作用.对来自管理站对被管理设施的信息查询

14、恳 求（Get Request）和设置恳求（Set Request）动作作出响应。网络管 理代理也可以异步施而智理工作站供应一些重要的非恳求信息，即 trap消息,用于主动报告被管理设施的运行状态等信息。. SNMP网络管理工作站收集数据的方法：转询的方法、中断的方 法、面对自陷的轮询方法。49.在采用SNMP合同对网络设施进行管理和信息收集时，由于管理 工作站与被管理工作站之间是通过共同体名来进行权限验证的。但 SNMPvl和SNMPv2的共同体名在设施生产时默认是Public和 Private,其中public是只读权限,private是读写权限,由于很多 设施都已经默认开启SNMP并采纳

15、这Public作为权限和身份认证，五、简答题。（每题5分，共15分）1、简述物理平安包括那些内容？答：物理平安包括防盗、防火、防静电、防雷击和防电磁泄漏等方 面的内容。2、简述防火墙有哪些基本功能？（写出五个功能）答：包过滤、远程管理、NAT技术、代理、MAC与IP地址的绑定、 二、表达回答题：（1）电子商务中平安电子交易SET系统的双重签名作用是什么？它 是怎样实现的？答：教材381页。在平安电子交易SET中，持卡人购物时需要向供 货商发送两个信息：订货单信息OI和加密的支付卡信息PI。其中 01是发给供货商的，而加密后的PI要经过供货商转交给支付网关银 行。同一交易的01和PI是相互关联的

16、，采用双重前面对二者的报 文摘要进行签名，可以分别向供货商和银行证明01和PI的真实性。（2）简述X.509的作用是什么？与其他同类系统相比，它的特点是 什么。答：教材353页，X.509是一个世界统一的公钥证书合同。它的作用 是：权威机构对证书持有者的公钥进行认证，对持卡人的身份进行 认证。它的使用不需要实时上网验证，可以脱离网络使用。学习情境1-任务1-基于Sniffer进行合同.模拟攻击分析（1/22） 计算机网络面临的平安威逼有哪些？答:1.主要威逼：计算机网络实风光临威逼（实体为网络中的关键设 施）；计算机网络系统面临威逼（典型平安威逼）；恶意程序的威逼 （如计算机病毒、网络蠕虫、间

17、谍软件、木马程序）；计算机网络威 逼有潜在对手和动机（恶意攻击/非恶意）典型的网络平安威逼：窃听、重传、伪造、篡造、非授权访问、拒 绝服务攻击、行为否认、旁路掌握、电磁/射频截获、人员疏忽。1.3计算机网络平安包括那两个方面硬平安与软平安1.6.简述计算机网络平安技术答：网络平安技术：物理平安措施、数据传输平安技术、内外网隔 离技术、入侵检测技术、访问掌握技术、审计技术、平安性检测技 术、防病毒技术、备份技术和终端平安技术。2.2网络平安有哪些需求？. 保密性保密性是指确保非授权用户不能获得网络信息资源的性能。为 此要求网络具有良好密码体制、密钥管理、传输加密保护、存储加 密保护、放电磁泄露等

18、功能。2：完整性完整性是指确保网络信息不被非法修改、删改或增加，以保证 信息正确、全都的性能。为此要求网络的软件、存储媒体，以及信 息传递与交换过程中都具有相应的功能。3：可用性可用性是指确保网络合法用户能够按所获授权访问网络资源， 同时防止对网络非授权访问的性能。为此要求网络具有身份识别、 访问掌握，以及对访问过程进行审计的功能。4：可控性可控性是指确保合法机构按所获授权能够对网络及其中的信息 与行为进行监控的性能。为此要求网络具有相应的多方面的功能。5： 真实性真实性又称不行抵赖性，是指确保接受到的信息不是假冒的， 而发信方无法否认所发信息的性能。为此要求网络具有数字取证、 证据保全等功能

19、。假如是攻击者也采用管理软件对网络中的被管理设施进行信息猎 取，那么网络设施的配置信息可能会被攻击者猎取。50.网络管理合同：用于在网络管理工作站上的管理程序和管理代 理之间进行信息交换的合同。通过在被管理设施上开启管理合同， 实现管理端与被管理端的通信。如SNMP就是网络管理合同的一种, 它是TCP/IP合同中的应用层合同。1、保证计算机网络的平安，就是要保护网络信息在存储和传输过程 中的可用性、机密性、完整性、可控性和不行抵赖性。2、信息平安的大致内容包括三局部：物理平安、网络平安和操作系 统平安。3、网络攻击的步骤是：隐蔽IP、信息收集、掌握或破坏目标系统、 种植后门和在网络中隐身。4、

20、防火墙一般部署在内部网络和外部网络之间。5、入侵检测系统一般由数据收集器、检测器、学问库和掌握器构成。流量掌握和统计分析、流量计费、VPN、限制同时上网人数、限制使 用时间、限制特定使用者才能发送E-mail,限制FTP只能下载文件 不能上传文件、堵塞Java、ActiveX控件等。3、简述无线局域网由那些硬件组成？答；无线局域网由无线网卡、AP、无线网桥、计算机和有关设施组 成。（3）简述RSA和DES加密算法在信息的保密性、完整性和抗拒认 方面的概念和特点。答：详见337页表10.2。RSA便于确认平安性，它使用一对公开密 钥和私有密钥，它的保密性取决于大素数的运算难度，与Hash报文 摘

21、要结合使用，实现对报文的完整性确认，以及防拒认，适合于对 小数据量报文的加密。而DES对通信数据是否已经被泄密确实认较困难，它的保密性 取决于对称密钥的平安性，通过对报文摘要的加密实现完整性确认, 在实现抗拒认方面较困难。（4）分别用实例说明网络平安所供应的5种服务的用途：信息保密, 信息的完整性确认，身份认证，防拒认，网络实体的认证识别。答：参看教材340页。网络平安体系结构的任务是什么？供应有关形成网络平安方案的方法和假设干必需遵循的思路、原那么和 标准。它给出关于网络平安服务和网络平安机制的一般描述方式， 以及各种平安服务与网络体系结构层次的对应关系。开放互联平安体系结构供应了哪几类平安

22、服务？对等实体鉴别服务。作用确保网络同一层连续两端的对等实体 身份真实、合法。访问掌握服务。作用防止未经许可的用户访问0SI网络的资源。数据保密服务。作用防止未经许可暴露网络中数据的内容。数据完整性服务。作用确保接收端收到的信息与发送端发出的信息完全全都，防止在网络中传输的数据因网络服务质量不良 而造成错误或丧失，并防止其受到非法实体进行的篡改、删除、 等 击 。数据源点鉴别服务。作用由0SI体系结构的第N层向其上一层 即第（N+1）层供应关于数据来源为一对等（N+1）层实体的鉴 别。抗抵赖性服务。作用防止数据的发送者否认曾经发送过该数据或数据中的内容，防止数据的接收者否认曾经收到过该数据或

23、数据中的内容。说明开放系统互联平安体系结构的平安机制？为了实现6种平安服务，ISO 7408-2中制定了支持平安服务的8种平 安机制，它们分别是：加密机制（Enciphrement Mechanisms）数字签名机制（Digital Signature Mechanisms）访问掌握机制（Access Control Mechanisms）数据完整性机制（Data Integrity Mechanisms）鉴别交换机制（Authentication Mechanisms）通信业务填充机制（Traffic Padding Mechanisms）路由掌握机制（Routing Control Mec

24、hanisms）公证机制（Notarization Mechanisms）2.9美国NCSC的“可信计算机系统评估标准”将计算机系统的平 安等级分为哪些档和等级？1983年美国国防部提出了一套可信计算机系统评估标准（TCSEC,Trusted Computer System Evaluation Criteria）,将计算机系统的可信程 度，即平安等级划分为D、C、B、A四类8级，由低到高。D档位无保护档级，是最平安等级的最低档，只有一个级别， 即D级；C级分为C1和C2两个子级，C2比C1供应更多的保护；B级分为Bl、B2和B3共3个子级，由低到高；A档位验证保护档级。分为两个平安等级，为A

25、1级和超A1级； 每级包括它下级的全部特性，从最简洁的系统平安特性直到最高级 的计算机平安模型技术，不同计算机信息系统可以依据需要和可能 选用不同平安保密强度的不同标准。防火墙3-2设置防火墙目的是什么？防火墙的功能和局限性各有哪些？ 通常应用防火墙的目的有以下几个方面：限制他人进入内部网络； 过滤掉担忧全的服务和非法用户；防止入侵者接近用户的防范设施； 限定人们访问特别站点；为监视局域网平安供应便利。无论何种类型防火墙，从总体上看，都应具有以下五大基本功能： 过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁 止的业务；纪录通过防火墙的信息内容和活动；对网络攻击的检测 和告警。防火墙

26、的主要功能就是掌握对受保护网络的非法访问，它 通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部 网的拓扑结构，另一方面对内屏蔽外部危急站点，用以防范外对内、 内对外的非法访问。防火墙的局限性：1.防火墙防外不防内、2.网络应用受到结构性 限制、3.防火墙难于管理和配置，易造成平安漏洞、4.效率较低、 故障率高、5.很难为用户在防火墙内外供应全都的平安策略、6.防 火墙只实现了粗粒度的访问掌握。3-3简述防火墙的进展动态和趋势。防火墙技术进展动态和趋势：（1）优良的性能、（2）可扩展的结构 和功能、（3）简化的安装与管理、（4）主动过滤、（5）防病毒与防 黑客。看来防火墙技术会全面考虑

27、网络的平安、操作系统的平安、应用程 序的平安、用户的平安、数据的平安等五个方面。3-4试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有 什么区分？数据包过滤（Packet Filtering）技术是防火墙为系统供应平安保障的 主要技术，它通过设施对进出网络的数据流进行有选择地掌握与操 作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行 选择或过滤（通常是对从Internet进入到内部网络的包进行过滤）。 选择的依据是系统内设置的过滤规律，被称为访问掌握表（Access Controllable）或规章表。规章表指定允许哪些类型的数据包可以流 入或流出内部网络。包过滤的优点：1）不

28、用改动应用程序、2） 一个过滤路由器能帮助 保护整个网络、3）数据包过滤对用户透亮、4）过滤路由器速度快、效率高。包过滤的缺点：1）不能彻底防止地址哄骗、2） 一些应用合同不适 合于数据包过滤、3）正常的数据包过滤路由器无法执行某些平安策 略、4）平安性较差、5）数据包工具存在很多局限性。1）静态包过滤。一般防火墙的包过滤的过滤规章是在启动时配置好 的，只有系统管理员才可以修改，是静态存在的，称为静态规章。 采用静态包过滤规章建立的防火墙就叫静态包过滤防火墙，这种类 型的防火墙依据定义好的过滤规章审查每个数据包，即与规章表进 行比拟，以便确定其是否与某一条包过滤规章匹配。2）动态包过滤。采纳这

29、种技术的防火墙对通过其建立的每一个连接 都进行跟踪，并且依据需要可动态地在过滤规章中增加或更新条目。 即采纳了基于连接状态的检查和动态设置包过滤规章的方法，将属 于同一连接的全部包作为一个整体的数据流看待，通过规章表与连 接状态表的共同协作进行检查。动态过滤规章技术避开了静态包过滤所具有的问题，使防火墙弥补 了很多担忧全的隐患，在最大程度上降低了黑客攻击的胜利率，从 而大大提高了系统的性能和平安性。3-5试述代理防火墙的原理及特点。应用层网关和电路层网关有什 么区分？当代理服务器得到一个客户的连接意图时，它将核实客户恳求，并 用特定的平安化的Proxy应用程序来处理连接恳求，将处理后的恳求 传

30、递到真实的服务器上，然后接受服务器应答，并做进一步处理后， 将答复交给发出恳求的最终客户。代理防火墙工作于应用层，且针 对特定的应用层合同。代理防火墙通过编程来弄清用户应用层的流 量，并能在用户层和应用合同层间供应访问掌握；而且，还可用来 保持一个全部应用程序使用的纪录。代理技术的优点：1）代理易于配置、2）代理能生成各项纪录、3） 代理能敏捷、完全地掌握进出流量、内容、4）代理能过滤数据内容、 5）代理能为用户供应透亮的加密机制、6）代理可以便利地与其他平安手段集成。代理技术的缺点：1）代理速度较路由器慢、2）代理对用户不透 亮 、3）对于每项服务代理可能要求不同的服务器、4）代理服 务不能

31、保证免受全部合同弱点的限制、5）代理不能改进底层合同的平 安性。应用层网关（Application Level Gateways）防火墙是传统代理型防火 墙，它的核心技术就是代理服务器技术，它是基于软件的，通常安 装在专用工作站系统上。优点：应用层网关防火墙最突出的优点就 是平安，这种类型的防火墙被网络平安专家和媒体公认为是最平安 的防火墙。缺点：代理防火墙的最大缺点就是速度相比照拟慢，当 用户对内外网络网关的吞吐量要求比拟高时，（比方要求到达 75M-100Mbps时D代理防火墙就会成为内外网络之间的瓶颈。电路层网关防火墙，另一种类型的代理技术称为电路层网关（Circuit Level Ga

32、teway）或TCP通道（TCP Tunnels）o在电路层网关中，包被 提交用户应用层处理。电路层网关是建立应用层网关的一个更加敏 捷方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的 防火墙技术，一般采纳自适应代理技术，也称为自适应代理防火墙。 在电路层网关中，需要安装特别的客户机软件。它结合了应用层网 关型防火墙的平安性和包过滤防火墙的高速度等优点，在毫不损失 平安性的基础之上将代理型防火墙的性能提高10倍以上。3-6防火墙的主要技术及实现方式有哪些？防火墙的平安技术包括包过滤技术、代理、网络地址转换（NAT）等多种技 术。应用防火墙的设计实现方式主要有：应用网关代理、回路级代理服

33、 务器、代管服务器、IP通道（IPTunnels）、隔离域名月艮务器（Split Domain Name Sever） 邮件转发技术（Mail Forwarding）。3-7防火墙的常见体系结构有哪几种？一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包 依据一组规章进行检查来推断是否对之进行转发。屏蔽路由器从包 头取得信息，屏蔽路由器的优点是简洁和低（硬件）本钱。其缺点 在于正确建立包过滤规章比拟困难，屏蔽路由器的管理本钱高，缺 乏用户级身份认证等。代理服务器是防火墙系统中的一个服务器进程，它能够代替网络用 户完成特定的TCP/IP

34、功能。一个代理服务器本质上是一个应用层的 网关，一个为特定网络应用而连接两个网络的网关。由于对更高平 安性的要求，屏蔽路由器和代理服务器通常组合在一起构成混合系 统，形成复合型防火墙产品。3-8屏蔽路由器防火墙和屏蔽主机网关防火墙各是如何实现的？ 屏蔽路由器（Screening Router）又叫包过滤路由器，是最简洁、最 常见的防火墙，屏蔽路由器作为内外连接的唯一通道，要求全部的 报文都必需在此通过检查。除具有路由功能外，再装上包过滤软件， 采用包过滤规章完成基本的防火墙功能。屏蔽路由器可以由厂家特 地生产的路由器实现，也可以用主机来实现。屏蔽主机网关（Screened Gateway）由屏

35、蔽路由器和应用网关组成， 屏蔽路由器的作用是包过滤，应用网关的作用是代理服务，即在内 部网络和外部网络之间建立了两道平安屏障，既实现了网络层平安 （包过滤），又实现了应用层平安（代理服务）。屏蔽主机网关很简 洁实现：在内部网络与因特网的交汇点，安装一台屏蔽路由器，同 时在内部网络上安装一个堡垒主机（应用层网关）即可，屏蔽主机 网名防火墙具有双重保护，比双缩主机网关防火墙更敏捷，平安性 更高。3-9简述分布式防火墙的体系结构、主要特点。分布式防火墙的体系结构包含如下三个局部：L网络防火墙、2.主 机防火墙、3.中心管理。分布式防火墙具有以下儿个主要特点：1.主机驻留、2.嵌入操作 系统内核、3.

36、类似于个人防火墙、4.适用于服务器托管。3-10分布式防火墙的优势主要表达在哪几个方面？分布式防火墙的优势主要表达在如下几个方面：（1）增加系统的平安性：增加了针对主机的入侵检测和防护功能， 加强了对内部攻击的防范，可以实施全方位的平安策略。（2）提高了系统性能：消退了结构性瓶颈问题，提高了系统性能。（3）系统的扩展性：分布式防火墙随系统扩充供应了平安防护无限 扩充的力量。（4）实施主机策略：对网络中的各节点可以起到更平安的防护。（5）应用更为广泛，支持VPN通信。访问掌握5-1简述访问掌握的三个要素、7种策略。访问掌握包括三个要素，即主体、客体和掌握策略。详细的访问掌握策略有如下7种：（1）

37、入网访问掌握、（2）网络的 权限掌握、（3）名目级平安掌握、（4）属性平安掌握、（5）网络服 务器平安掌握、（6）网络监测和锁定掌握、（7）网络端口和节点的 平安掌握。5-2简述访问掌握的内容。访问掌握的实现首先要考虑对合法用户进行验证，然后是对掌握策 略的选用与管理，最终要对非法用户或是越权操作进行管理。所以, 访问掌握包括认证、掌握策略实现和审计三个方面的内容。5-3简述自主访问掌握模型、强制访问掌握模型、基于角色的访问 掌握模型。自主访问掌握模型（Discretionary Access Control Model, DAC Model） 是依据自主访问掌握策略建立的一种模型，它基于对主

38、体或主体所 属的主体组的识别来限制对客体的访问，也就是由拥有资源的用户 自己来打算其他一个或一些主体可以在什么程度上访问哪些资源。 强制访问掌握模型（Mandatory Access Control Model, MAC Model） 是一种多级访问掌握策略，它的主要特点是系统对主体和客体实行 强制访问掌握：系统事先给全部的主体和客体指定不同的平安级别, 比方绝密级、机密级、隐秘级和无密级。在实施访问掌握时，系统 先对主体和客体的平安级别进行比拟，再打算主体能否访问该客体。 所以，不同级别的主体对不同级别的客体的访问是在强制的平安策 略下实现的。基于角色的访问掌握模式（Role Based A

39、ccess Control Model, RBAC Model）就是为克服自主访问掌握模型和强制访问掌握模型中存在的 问题而提出来的。在基于角色的访问掌握模式中，用户不是自始至 终以同样的注册身份和权限访问系统，而是以肯定的角色访问，不 同的角色被给予不同的访问权限。系统的访问掌握机制只看到角色, 而看不到用户。用户在访问系统前，经过角色认证而充当相应的角 色。用户获得特定角色后，系统依旧可以依据自主访问掌握或强制 访问掌握机制掌握角色的访问力量。5-4试述访问掌握的平安策略以及实施原那么。访问掌握的平安策略有以下两种实现方式：基于身份的平安策略和 基于规章的平安策略。这两种平安策略建立的基础

40、都是授权行为。 就其形式而言，基于身份的平安策略等同于DAC平安策略，基于规 章的平安策略等同于MAC平安策略。实施原那么有如下三点：（1）最小特权原那么、（2）最小泄漏原那么、（3） 多级平安策略。9-5 明文是 “The ChangSha HuNan Computer College”，用列变 位法加密后，密文是什么？设密钥数字为5,补充字符为Q,进行加密后密文为： TaanuoehnHCtlQeguoelQCSNmreQhhapCgQo9-8简述密码的破译方法和防止密码被破译的措施。破译方法有：（1）密钥穷尽搜寻，就是尝试全部可能的密钥组合，是破译密 文最简洁的方法。（2）密码分析，常见

41、的密码分析方法有：a明文的破译方法，在这种方法中，密码分析员把握了一段明 文和对应的密文，目的是觉察加密的密钥。b选定明文的破译方法，在这种方法中，密码分析员设法让对手加 密一段分析员选定的明文，并获得加密后的结果，目的是确定加密 的密钥。（3）其他破译方法，例如可以哄骗用户，套出密钥；在用户输 入密钥时，应用各种技术手段，“窥视”或“偷窃”密钥内容；采用 加密系统实现中的缺陷或漏洞；对用户使用的加密系统偷梁换柱； 从用户工作生活环境的其他来源获得未加密的保密信息：让口令的 另一方透露密钥或信息；威逼用户交出密钥等等。防止破译的方法有：（1）强壮的加密算法。一个好的加密算法往往只有用穷举法才能

42、得 到密钥，所以只要密钥足够长就会很平安。（2）动态会话密钥。每次会话的密钥不同。（3）保护关键密钥。定期变换加密会话的密钥。9-9试述DES算法的加密过程。DES算法的加密过程如下：将64位明文数据用初始变换IP置换，得 到一个乱序的64位明文，然后分成左右等长的、各32位的两个分 组，分别记为Lo和飞。接着在48位的子密钥&、心、K16分别 作用下，进行16轮完全类似的乘积变换（迭代）运算，第i轮的乘 积变换（迭代）运算得到L和R,最终一轮（第16轮）的乘积变换（迭代）运算得到L6和R16,需将其左右交换位置，得到64位数据 R16L16O最终再用初始逆变换1尸进行置换，产生64位密文数据

43、。 9-10简述DES算法中的乘积变换（迭代）过程。DES算法的核心局部是迭代运算。DES加密时把明文以64位为单位 分成块。64位的明文数据经初始变换后进入加密迭代运算：每轮开 头时将输入的64位数据分成左、右长度相等的两半，右半局部原封 不动地作为本轮输出数据的左半局部，即下一轮迭代输入数据的左 半局部；同时对右半局部进行一系列的变换：先用轮函数f作用于右 半局部，然后将所得结果（32位数据）与输入数据的左半局部进行 逐位异或，最终将所得数据作为本轮输出的64位数据的右半局部。 9-11简述DES算法中轮函数f的组成及作用过程。轮函数的功能是将32位的输入转化为32位的输出。为了将32位的

44、 右半局部与56位的密钥相结合，需要进行两个变换：通过重复某些 位将32位的右半局部扩展为48位，而56位密钥那么通过选择其中的 某些位那么削减至48位。轮函数f由扩展置换运算E、与子密钥K的 规律异或运算、选择压缩运算、以及置换P组成。9-12简述DES算法中子密钥的生成流程。DES算法中子密钥的生成流程如下：首先，用子密钥换位表对给定的密钥数据进行变换作用：去掉其中 的奇偶校验位，并对剩下的、实际有效的密钥进行重新排序。其次，将经过变换后得到数据分为左右等长的两局部，接着进 行循环左移。再次，用子密钥换位表对每轮数据进行变换作用：选择性地去 掉其中局部数据，同时对剩下的数据进行重新排序，作为本轮迭代 的子率初C最终进行逆初始变换。9-13详述RSA算法的演算过程及其平安性。RSA算法的演算过程如下：（1）密钥配制过程，密钥配制过程就是设计出公开密钥PK与隐秘密 钥S