《网络安全技术与实施(第三版)》课后参考答案

项目一ISO对OSI规定了哪五种级别的安全服务？答：认证安全服务、访问控制安全服务、数据保密性安全服务、数据完整性安全服务、防抵赖安全服务ISO7408-2制定了支持安全服务的八种安全机制，分别是什么？答：它们分别是加密机制、数字签名技术、访问控制技术、数据完整性机制、鉴别交换机制、通信业务填充机制、路由控制技术、公证机制网络安全具有哪四个方面的特点？答：保密性、完整性、可用性、可控性。一个完整的网络安全系统应具有哪六大功能？答：身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理项目二一、填空题UDP被设计成系统开销很小，而且没有连接建立过程的协议，因为UDP非常适用的应用是（查询响应）。管理员常用的网络命令PING基于的协议基础是（ICMP）。用来分配IP地址，并提供启动计算机等其他信息的协议是（DHCP）。用来保证IPv6与IPv4协议安全的是（IPSec）。ARP协议的功能是将（IP地址）转换成（MAC地址）。根据所使用通信协议的不同，端口扫描技术分为TCP端口扫描技术和（UDP端口扫描技术）。二、选择题1．ARP协议工作过程中，当一台主机A向另一台主机B发送ARP查询请求时，以太网帧封装的目的MAC地址是（D）。A.源主机A的MAC地址B.目标主机B的MAC地址C.任意地址：000000000000D.广播地址：FFFFFFFFFFFF2．在下面的命令中，用来检查通信对方当前状态的命令是（B）。A.telnetB.pingC.tcpdumpD.traceroute3．在进行协议分析时，为了捕获到网络有全部协议数据，可以在交换机上配置（A）功能。A.端口镜像B.VLANC.TrunkD.MAC地址绑定4．在进行协议分析时，为了捕获到流经网卡的全部协议数据，要使网卡工作在（C）模式下?。A.广播模式B.单播模式C.混杂模式D.多播模式5．在计算机中查看ARP缓存记录的命令是（A）。A.“arp-a”B.“arp-d”C.“netstat-an”D.“ipconfig/all”6．在计算机中清除ARP缓存记录的命令是（B）。A.“arp-a”B.“arp-d”C.“netstat-an”D.“ipconfig/all”7．一帧ARP协议数据中，如果其中显示操作代码（Opcode）值为1,表示此数据帧为ARP的（B）帧？A.单播帧B.应答帧C.多播帧D.请求帧项目三1．你想发现到达目标网络需要经过哪些路由器，你应该使用什么命令？（D）A.pingB.nslookupC.ipconfigD.tracert2．TELNET和FTP协议在进行连接时要用到用户名和密码，用户名和密码是以什么形式传输的？（C）A.对称加密B.加密C.明文D.不传输密码3．假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。这时你使用哪一种类型的进攻手段？（B）A.缓冲区溢出B.地址欺骗C.拒绝服务D.暴力攻击4．在进行协议分析时，为了捕获到网络有全部协议数据，可以在交换机上配置（A）功能。A.端口镜像B.VLANC.TrunkD.MAC地址绑定5.交换机SWA的端口E1/0/1连接有PC。如果想要使交换机通过802.1X协议对PC进行本地验证，则需要在交换机上配置哪些命令（ABCDE）？A.[SWA]dot1xB.[SWA]dot1xinterfaceethernet1/0/1C.[SWA]local-userlocaluserD.[SWA-luser-localuser]passwordsimplehelloE.[SWA-luser-localuser]service-typelan-access6.PCA、PCB分别与S3610交换机SWA的端口Ethernet1/0/2、Ethernet1/0/3相连，服务器与端口Ethernet1/0/1相连。如果使用端口隔离技术使PC间互相隔离，但PC都能够访问服务器，则需要在交换机上配置哪些命令（BCD）？A.[SWA]port-isolateenableB.[SWA-Ethernet1/0/2]port-isolateenableC.[SWA-Ethernet1/0/3]port-isolateenableD.[SWA-Ethernet1/0/1]port-isolateuplink-port项目四1．包过滤是有选择地让数据包在内部与外部主机之间进行交换，根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备是（D）A.交换机B.一台独立的主机C.路由器D.网桥2．以下不是HSRP（热备份路由器协议）的特点(D)A.能够保护第一跳路由器不出故障B.主动路由器出现故障将激活备份路由器取代主动路由器C.负责转发数据包的路由器称之为主动路由器D.HSRP运行在UDP上，采用端口号20853.一台MSR路由器通过S1/0接口连接Internet，GE0/0接口连接局域网主机，局域网主机所在网段为/8，在Internet上有一台IP地址为的FTP服务器。通过在路由器上配置IP地址和路由，目前局域网内的主机可以正常访问Internet(包括公网FTP服务器)，如今在路由器上增加如下配置：firewallenableaclnumber3000rule0denytcpsource0source-porteqftpdestination0然后将此ACL应用在GE0/0接口的inbound和outbound方向，那么这条ACL能实现下列哪些意图（D）？A.禁止源地址为的主机向目的主机发起FTP连接B.只禁止源地址为的主机到目的主机的端口为TCP21的FTP控制连接C.只禁止源地址为的主机到目的主机的端口为TCP20的FTP数据连接D.对从向发起的FTP连接没有任何限制作用4.客户的一台MSR路由通过广域网接口S1/0连接Internet，通过局域网接口GE0/0连接办公网络，目前办公网络用户可以正常访问Internet。在路由器上增加如下的ACL配置：firewallenablefirewalldefaultdeny#aclnumber3003rule0denyicmprule5permittcpdestination-porteq20#interfaceGigabitEthernet0/0firewallpacket-filter3000inboundfirewallpacket-filter3000outbound那么__A____。（选择一项或多项）A.办公网用户发起的到Internet的ICMP报文被该路由器禁止通过B.办公网用户发起的到达该路由器的FTP流量可以正常通过C.办公网用户发起的到达该路由器GE0/0的Telnet报文可以正常通过D.办公网用户发起的到Internet的FTP流量被允许通过该路由器，其他所有报文都被禁止通过该路由器5.在MSR路由器上可以为Telnet用户配置不同的优先级，关于此优先级的说法错误的是___CE___。（选择一项或多项）A.0为访问级B.1为监控级C.2为设备级D.3为管理级E.数值越小，用户的优先级越高F.数值越小，用户的优先级越低6.在路由器上配置好Telnet服务的相关配置后，从PC能够ping通路由器，但是Telnet路由器失败，PC一直显示正在连接到x.x.x.x，可能的原因是__CD____。（选择一项或多项）A.中间网络路由配置不对B.Telnet密码设置不正确C.路由器Telnet服务没有启动D.中间网络阻止了PC对路由器的TCP端口23发起连接7.某网络连接形如：HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连，各自的GE0/0接口分别连接客户端主机HostA和HostB。其中HostA的IP地址为/24，MSR-2的S0/0接口地址为/30，通过配置其他相关的IP地址和路由目前网络中HostA可以和HostB实现互通。如今客户要求不允许HostA通过地址Telnet登录到MSR-2。那么如下哪些配置可以满足此需求（AD）？A.在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的inbound方向：[MSR-1]firewallenable[MSR-1]aclnumber3000[MSR-1-acl-adv-3000]rule0denytcpsource55destinationdestination-porteqtelnetB.在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的outbound方向：[MSR-1]firewallenable[MSR-1]aclnumber3000[MSR-1-acl-adv-3000]rule0denytcpsource0destination0destination-porteqtelnetC.在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的inbound方向：[MSR-1]firewallenable[MSR-1]aclnumber3000[MSR-1-acl-adv-3000]rule0denytcpsource55destination0destination-porteqtelnetD.在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的outbound方向：[MSR-1]firewallenable[MSR-1]aclnumber3000[MSR-1-acl-adv-3000]rule0denytcpsource0destinationdestination-porteqtelnet8.某网络连接形如：HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB两台MSR路由器MSR1、MSR2通过各自的S1/0接口背靠背互连，各自的GigabitEthernet0/0接口分别连接客户端主机HostA和HostB。通过配置IP地址和路由目前网络中HostA可以和HostB实现互通。如今在MSR-2上增加了如下配置：firewallenableaclnumber3000rule0denytcpdestination-porteqtelnetinterfaceSerial1/0link-protocolpppipaddress52firewallpacket-filter3000inboundfirewallpacket-filter3000outboundinterfaceGigabitEthernet0/0ipaddress那么如下哪些说法是正确的（BD）？A.后配置的firewallpacket-filter3000outbound会取代firewallpacket-filter3000inbound命令B.在HostB上无法成功Telnet到MSR-1上C.在HostB上可以成功Telnet到MSR-1上D.最后配置的firewallpacket-filter3000outbound不会取代firewallpacket-filter3000inbound命令9.在无线网络中，当无法从物理上控制访问者的来源时，为安全考虑可选择下列哪些安全手段（ABCD）A.在AP上禁止ESSID广播B.配置MAC过滤C.对接入用户进行802.1x身份认证D.使用加密无线信道项目五一、填空题1.按照防火墙在网络协议进行过滤的层次不同，防火墙的主要类型有（包过滤防火墙）、（电路级网关防火墙）、（应用层网关防火墙）。2.防火墙的实现方式有（硬件）和（硬件）两种。3.防火墙是位于两个网络之间，一端是（内部网络），另一端是（外部网络）。4.防火墙系统的体系结构分为（双宿主机体系结构）、（屏蔽主机体系结构）、（屏蔽子网体系结构）。5.防火墙的技术包括四大类：（网络级防火墙）、（应用级网关）、（电路级网关）、（规则检查防火墙）。6.第一代防火墙技术使用的是在IP层实现的（报文过滤技术）。7.防火墙有三类：（包过滤防火墙）、（代理服务器防火墙）、（状态监视器防火墙）。8.DMZ一般称之为（非军事化区），对于防火墙的DMZ口所连接的部分，一般称这之为服务器群或服务器区，防火墙也可以进行策略的检查与控制，只允许对特定的服务端口的访问进入，如只开放Web服务则仅对内部服务访问的目的端口为（80）时才允许。9.网络防火墙的工作任务主要是设置一个检查站，（监视）、（过滤）和（检查）所有流经的协议数据，并对其执行相应的安全策略，如阻止协议数据通过或禁止非法访问，能有效地过滤攻击流量。10.网络层防火墙通过对流经的协议数据包的头部信息，如（源地址）、（目标地址）、（IP协议域）、（源端口）和（目标端口号）等信息进行规定策略的控制，也可以获取协议数据包头的一段数据。而应用层防火墙可以对协议数据流进行全部的检查与分析，以确定其需执行策略的控制。11.不同公司的防火墙产品的缺省策略有所不同，有的公司的产品默认拒绝，没有被允许的流量都要（拒绝）；也有公司的产口是默认允许，没有被拒绝的流量都可以（通过）。例如H3C的路由器的防火墙功能是默认允许，而思科的路由器的包过滤技术就是默认拒绝。12.硬件防火墙产品的选择的前提是要考虑企业网络的现有条件、环境及需求，当然性能指标是要首先考虑的，主要的衡量指标包括（吞吐量）、转发率、延迟、缓冲能力和丢包率等。一般网络在选择时多是从以下几个方面考虑：（安全性）、高效性、配置便利性与（管理的难易度）等。二、选择题1．以下设备中不可以作为VPN服务器的是（D）A.路由器B.防火墙C.PCD.交换机2．以下关于防火墙的设计原则说法正确的是（B）A.不单单要提供防火墙的功能，还要尽量使用较大的组件B.保持设计的简单性C.保留尽可能多的服务和守护进程，从而能提供更多的网络服务D.一套防火墙就可以保护全部的网络3．包过滤是有选择地让数据包在内部与外部主机之间进行交换，根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备是（A）A.交换机B.一台独立的主机C.路由器D.网桥4．防火墙中地址翻译NAT的主要作用是（C）A.提供代理服务B.进行入侵检测C.隐藏内部网络地址D.防止病毒入侵5．可以通过哪种安全产品划分网络结构，管理和控制内部和外部通讯（B）A.CA中心B.防火墙C.加密机D.防方病毒产品6．包过滤工作在OSI模型的哪一层？（D）A.表示层B.传输层C.数据链路层D.网络层7．为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是（C）A.IDSB.杀毒软件C.防火墙D.路由器项目六一、填空题1.在入侵检测系统中，不管使用什么操作系统，普遍利用对系统的各种事件、活动进行截获分析的是（勾子技术）。2.入侵检测系统一般由（软件）和（硬件）共同组成。3.IDS的物理实现不同，按检测的监控位置划分，入侵检测系统可分为基于（主机的入侵检测系统）、基于（网络的入侵检测系统）和分布式入侵检测系统。4.入侵检测系统需要解决两个问题，一是如何充分并可靠地提取描述行为特征的数据，二是如何根据特征数据，高效并准确地判定（入侵）。5.根据任务属性的不同，入侵检测系统功能结构可分为两部分：（中心检测平台）和代理服务器。6.入侵检测系统包括三个功能部件：（信息收集）、（信息分析）、（结果处理）。7.对收集到的信息的分析方法主要有：模式匹配、（统计分析）、完整性分析（往往用于事后分析）。8.入侵检测性能关键参数：（误报）(falsepositive)、漏报(falsenegative)。9.入侵检测系统按照数据来源：可分为（主机）型和（网络）型。10.按照分析方法（检测方法）入侵检测系统可分为异常检测模型和（误用）检测模型。11.要实现对网络中的数据包的抓取或入侵检测中收集信息，就要把网卡设置为混杂模式，一般要在Windows系统中安装（winpcap），安装后网卡即可捕获目的MAC不是自己的数据帧了。二、选择题1．以下哪一项不属于入侵检测系统的功能：(D)A.监视网络上的通信数据流B.捕捉可疑的网络活动C.提供安全审计报告D.过滤非法的数据包2．入侵检测系统的第一步是：(B)A.信号分析B.信息收集C.数据包过滤D.数据包检查3．入侵检测系统在进行信号分析时，一般通过三种常用的技术手段，以下哪一种不属于通常的三种技术手段：(C)A.模式匹配B.统计分析C.密文分析D.完整性分析4．以下哪一种方式是入侵检测系统所通常采用的：(A)A.基于网络的入侵检测B.基于IP的入侵检测C.基于服务的入侵检测D.基于域名的入侵检测5．以下哪一项属于基于主机的入侵检测方式的优势：(B)A.监视整个网段的通信B.适应交换和加密C.不要求在大量的主机上安装和管理软件D.具有更好的实时性6．能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是：(B)A.基于文件的入侵检测方式B.基于网络的入侵检测方式C.基于主机的入侵检测方式D.基于系统的入侵检测方式项目七一、选择题1．以下正确的是(B)A.只能在windows系统的pc中使用磁盘阵列B.磁盘阵列的的容错性是有限的C.小型企业不需要磁盘阵列技术D.磁盘阵列的技术已经达到完美2.WINDOWS主机推荐使用(A)格式。A、NTFSB、FAT32C、FATD、LINUX3.按照可信计算机评估标准，安全等级满足C2级要求的操作系统是(D)。A、DOSB、WindowsXPC、WindowsNTD、Unix4.windows中强制终止进程的命令是(C)。A.TasklistB.NetsatC.TaskkillD.Netshare二、问答题1.工作任务描述许多情况下升级时安装两块或多块硬盘，这时候用多块硬盘组成RAID性能将会有很大提升；在服务器上一般采用了RAID(RedundantArrayofInexpensiveDisks)技术，即“廉价冗余磁盘阵列”技术，在Windows2012自带的软RAID功能可以实现软不同级别RAID功能。试回答如下问题：（1）RAID0相当于在Windows2012下的条带卷，在存放数据时，其将数据按磁盘的个数来进行分块，即把数据分成若干相等大小的小块，并把它们写到阵列上不同的硬盘上，其读写速度是否得到提升，磁盘利用率是多少，是否有冗余？答：RAID0读写速度是最快的，利用率是100%，无冗余（2）RAID1相当于在Windows2012下的镜像卷，即每个工作盘都有一个镜像盘，每次写数据时必须同时写入镜像盘，读数据时只从工作盘读出，当一个磁盘失效，系统可以自动地交换到镜像磁盘上，而不需要重组失效的数据。其读取速度是否得到提升，磁盘利用率是多少，是否有冗余？答：速度无提升，利用率50%，100%备份（3）RAID5是一种旋转奇偶校验独立存取的阵列方式，它与RAID3，RAID4不同的是没有固定的校验盘，而是按某种规则把奇偶校验信息均匀地分布在阵列所属的硬盘上，所以在每块硬盘上，既有数据信息也有校验信息。其读取速度是否得到提升，4块磁盘实现RAID5的利用率是多少，是否有冗余，理论上可以允许几个故障磁盘？答：读写速度和RAID0相近，利用率比RAID1高，有冗余，理论上允许一个故障磁盘八、1.你是一企业网络管理员，你使用的防火墙在UNIX下的IPTABLES，你现在需要通过对防火墙的配置不允许这台主机登陆到你的服务器，你应该怎么设置防火墙规则？(B)A、iptables—Ainput—ptcp—s—source—port23—jDENYB、iptables—Ainput—ptcp—s—destination—port23—jDENYC、iptables—Ainput—ptcp—d—source—port23—jDENYD、iptables—Ainput—ptcp—d—destination—port23—jDENY2.你的window2000开启了远程登陆telnet，但你发现你的window98和unix计算机没有办法远程登陆，只有win2000的系统才能远程登陆，你应该怎么办？(D)A、重设防火墙规则B、检查入侵检测系统C、运用杀毒软件，查杀病毒D、将NTLM的值改为03.你所使用的系统为win2000，所有的分区均是NTFS的分区，C区的权限为everyone读取和运行，D区的权限为everyone完全控制，现在你将一名为test的文件夹，由C区移动到D区之后，test文件夹的权限为？(B)A、everyone读取和运行B、everyone完全控制C、everyone读取、运行、写入D、以上都不对4.你所使用的系统为UNIX，你通过umask命令求出当前用户的umask值为0023，请问该用户在新建一文件夹，具体有什么样的权限？(A)A、当前用户读、写和执行，当前组读取和执行，其它用户和组只读B、当前用户读、写，当前组读取，其它用户和组不能访问C、当前用户读、写，当前组读取和执行，其它用户和组只读D、当前用户读、写和执行，当前组读取和写入，其它用户和组只读项目九1.以下说法正确的是(D)。A．木马不像病毒那样有破坏性B．木马不像病毒那样能够自我复制C．木马不像病毒那样是独立运行的程序D．木马与病毒都是独立运行的程序2.使用防病毒软件时，一般要求用户每隔2周进行升级，这样做的目的是(C)。A．对付最新的病毒，因此需要下载最新的程序B．程序中有错误，所以要不断升级，消除程序中的BUGC．新的病毒在不断出现，因此需要用及时更新病毒的特征码资料库D．以上说法的都不对3.恶意代码是(D)A病毒***B广告***C间谍**D都是4.现代病毒木马融合了(D)新技术A.进程注入B.注册表隐藏C.漏洞扫描D.都是5.在计算机病毒检测手段中，下面关于特征代码法的表述，错误的是(D)。A.随着病毒种类增多，检测时间变长B.可以识别病毒名称C.误报率低D.可以检测出多态型病毒6.下面关于计算机病毒的说法中，错误的是(A)。A.计算机病毒只存在于文件中 B.计算机病毒具有传染性C.计算机病毒能自我复制 D.计算机病毒是一种人为编制的程序7.关于计算机病毒，下列说法错误的是(C)。A.计算机病毒是一个程序 B.计算机病毒具有传染性C.计算机病毒的运行不消耗CPU资源 D.病毒并不一定都具有破坏力8.病毒的运行特征和过程是(C)。A.入侵、运行、驻留、传播、激活、破坏B.传播、运行、驻留、激活、破坏、自毁C.入侵、运行、传播、扫描、窃取、破坏D.复制、运行、撤退、检查、记录、破坏9.以下方法中，不适用于检测计算机病毒的是(C)。A.特征代码法B.校验和法C.加密D.软件模拟法10.下列不属于行为监测法检测病毒的行为特征的是(D)。A.占有INT13HB.修改DOS系统内存总量C.病毒程序与宿主程序的切换 D.不使用INT13H11.计算机病毒从本质上说（B）。A.蛋白质B.程序代码C.应用程序D.硬件12.下列属于硬件病毒的是（C）。A.StoneB.MonkeyC.CIHD.冲击波项目十一、问答题1.如下图所示，是用SnifferPro软件捕获的一帧数据，试回答如下问题。（1）这个数据帧的传输层协议是什么？tcp（2）这个数据帧的目的端口号是什么，是哪种应用或服务的默认端口号？21（3）这个数据帧是哪个IP地址（源）向哪个IP地址（目的）发送的？向发送的（4）这个数据帧是TCP三次握手中的第几次？第一次这个数据包在传输层中的序列号是什么？4287719772.如上图所示，是用SnifferPro软件捕获的一帧数据，试回答如下问题。（1）发送这个数据帧的计算机的IP与MAC地址分别是什么？IP:MAC:005056C00001（2）根据IP头部信息可以看出这个数据帧的上层（传输层）协议是什么？tcp（3）这个数据包的TTL值是多少？128（4）根据这个数据帧的二层-链路控制层DLC的哪个标可以判断出三层的协议是IP协议？Ethertype=0800（5）这个数据帧的目的计算机的IP与MAC地址分别是什么？Ip:Mac:0011337799ab项目十一一、填空题加密也可以提高终端和网络通信安全，有（链接加密