網(wǎng)絡(luò)安全(第二版)課后習(xí)題答案

1、.word格式,第一章1-5： CDDCA第二章1-5： BDBAC第四章1-5： DCCBB第五章6-10： BCAAC6-10： ADDEC6-啕 CADDA專業(yè).專注16-20： BDDBC 21-25： DCBCC1-5： CBMC 6-10： ABDBA 11-15： ADBED第六章第六章Internet安全體系結(jié)構(gòu)之一1 .列出物理網(wǎng)風(fēng)險(xiǎn)的4種類型.答：L竊聽:2.回答（重放卜3,插入二生拒絕服務(wù).2 .什么是身份鑒別棧？答；身份鑒別棧是一個(gè)051棧，它位于網(wǎng)絡(luò)用戶的0亂棧的前面，管理網(wǎng)絡(luò)的身份鑒別&3，列出對(duì)有線物理網(wǎng)攻擊的5種類型“答：L連接破壞；工干擾；爾偵插4.插入攻擊，

2、5.回答口4 .有哪幾種動(dòng)態(tài)LAN鏈接的身份鑒別方法？答：L Modem身份鑒別憑證；工呼叫者ID； 3.自動(dòng)回暗 包生成安全動(dòng)態(tài)鏈接“5 .列出無線網(wǎng)的各種風(fēng)險(xiǎn).替I L分擔(dān)嗅測(cè);2,服務(wù)窠標(biāo)識(shí)SSID信息;3.假冒;4寄生者；5.直接安全漏洞電6 WEP是一種高強(qiáng)度安全方法嗎？為什么？答:是.WEP能主動(dòng)阻止連接，可以確定意圖，如果攻擊者解密和訪問一個(gè)有WEP的網(wǎng)絡(luò)， 就很清楚地暴露其有意攻擊的意圖口 WEF是通用的，幾乎所有無線網(wǎng)絡(luò)路由器都支持WEP, 并且相互兼容，7 .什么是數(shù)據(jù)鏈路的隨意模式？答；正常模式下.網(wǎng)絡(luò)尋址機(jī)制也就是MAC）能阻止上一面的堆棧層接收非指向該結(jié)點(diǎn)的數(shù) 據(jù)。然

3、而很多網(wǎng)絡(luò)接口支持無地址過謔，運(yùn)行在隨意模式的站點(diǎn)能接收所有報(bào)文幀，而不只 是指向該結(jié)點(diǎn)的幀.隨意模式允許攻擊者接收所有來自網(wǎng)絡(luò)的數(shù)據(jù).&列出各種緩解數(shù)據(jù)跳路層風(fēng)險(xiǎn)的方法。答；1,硬編碼；2,數(shù)據(jù)鏈路身份鑒別；3.高層身份鑒別；4,分析器和工具。9.試述CHAP的功能、特點(diǎn)和局限性.答：CHAP使用共享密鑰對(duì)初始網(wǎng)絡(luò)連接進(jìn)行身份鑒別，提供了 一種方法對(duì)崢結(jié)點(diǎn)進(jìn)行身 份鑒別，但是在連接建立后不執(zhí)行任何驗(yàn)證或加密。CHAP使用一個(gè)更紅雜的底統(tǒng)，它是基 于密鑰交換和共享密鑰，身份鑒別相當(dāng)安全，可用于易受竊聽攻擊的網(wǎng)絡(luò).CHAP具有網(wǎng)限性口首先，只是在啟動(dòng)連接時(shí)進(jìn)行身份鑒別之后PPP不提供安全，某 些

4、攻擊者具有在身份鑒別后攔截連接進(jìn)行竊聽的能力。再次假如竊聽者捕獲到兩個(gè)不長(zhǎng)的隨 機(jī)數(shù)的協(xié)商那么,對(duì)蠻力攻擊，哈希函數(shù)可能易受攻擊.10. ARP為什么會(huì)受損T ARP受損后有何影響？如何能緩解ARP受損？答：ARP表包含一個(gè)臨時(shí)的緩存，以存儲(chǔ)最近看到的MAC地址。有一個(gè)新的IP地址（或MAC 地址）要查找時(shí)，才需要ARF分組。當(dāng)一個(gè)無效的或不經(jīng)意的差錯(cuò)進(jìn)入ARP表，這個(gè)緩沖就 會(huì)使系統(tǒng)的ARP受損.ARP受損后影響；資源攻擊、DoS攻擊和MitM攻擊。緩解ARP受損方法；硬編碼ARP表、ARP過期、名濾ARP網(wǎng)答以及鎖住ARP表.1L基于路由器的攻擊有哪JL種？路由表淹沒后有哪幾種結(jié)果？答！基

5、于路由器的攻擊：直接攻擊、表中毒、表淹沒、度暈攻擊、路由器環(huán)路攻擊，路由表淹沒后的結(jié)果；忽略新的路由、清除老的路由或清除最壞的路由，12 0SI網(wǎng)絡(luò)層是否定義地址的身份鑒別和驗(yàn)證?基乎數(shù)字和名字的地址機(jī)制容易受到何種 地址攻擊？答；否；基于數(shù)字和名字的地址機(jī)制容易受到假地址和攔截的攻擊口13 .什么是分段機(jī)制的主要危險(xiǎn)?假如分段組裝超時(shí)值設(shè)置過低會(huì)有什么后果？答：丟失分段和組裝數(shù)據(jù)的容謊.分段超時(shí)值設(shè)置過低的話會(huì)使大的分組分段傳輸時(shí)有些分段永未給傳遞。14 .網(wǎng)絡(luò)層提供哪些QoS功能?ms攻擊有哪些？答：網(wǎng)絡(luò)層提供建立和釋放網(wǎng)絡(luò)連接的功能，也保證相同的結(jié)點(diǎn)間建立多個(gè)連接，而不會(huì)產(chǎn) 生通信干擾。

6、連接管理包括傳遞連接和面向連接的各種服務(wù),QoS攻擊主要有；Ping攻擊、Smurf攻擊（比Ping攻擊厲害，15 .網(wǎng)絡(luò)層有哪些安全風(fēng)險(xiǎn)？網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)緩解方法有哪些?它們有哪些局限性？ 答：竊聽、偽裝以及插入攻擊.緩解方法有：安全協(xié)議；網(wǎng)絡(luò)不兼容能力,體系結(jié)構(gòu)；安全過濾,防火墻和出口過濾.局限性;L安全辦議工雖然能檢測(cè)某些數(shù)據(jù)差錯(cuò)，但對(duì)檢測(cè)攻擊者沒有多大用處.2,網(wǎng)絡(luò)不兼容能力；雖然Ipv6支持?jǐn)?shù)據(jù)加密，但很多高層協(xié)議和應(yīng)用不支持Ipv6.3,體系結(jié)構(gòu),敵意的網(wǎng)格層通信能夠進(jìn)入數(shù)據(jù)轉(zhuǎn)路隧道，和正常的網(wǎng)格層通信一梯得到 允許和保護(hù),04 .安全過濾；這種方法是在模糊安全的水平.5 .防火墻過

7、濾出口它并不能阻止來自源點(diǎn)偽裝的網(wǎng)絡(luò).16 .什么是1P的安全風(fēng)險(xiǎn)？答；地址沖突r IP攔截、回答攻擊、分組風(fēng)暴、分段攻擊及轉(zhuǎn)換通道。17 .比較各種IP安全可選方案的優(yōu)峽點(diǎn).IPSec和的IPv6的異同是什么？ 答，優(yōu)缺點(diǎn)，1,禁用ICMP： ICMP提供測(cè)試、流控和差錯(cuò),處理，但并不提供網(wǎng)絡(luò)路由的基本功能：Z非路由地址：采用非路由網(wǎng)絡(luò)地址,使攻擊者不能直接訪問被保護(hù)的主機(jī)；3.網(wǎng)絡(luò)地址轉(zhuǎn)換NAR NAT服務(wù)器提供兩個(gè)安全效果，匿名和隱私，攻擊者不能連接到 內(nèi)部主機(jī)二4,反向NAT： NAT最大的缺點(diǎn)是不能作為一個(gè)主機(jī)，反向NAT（郡AT）提供從NAT服務(wù)器 的外部端口到專用網(wǎng)上的IP地址和

8、內(nèi)部端口的靜態(tài)映射：5. IP過渡,過濾器的規(guī)則能限制基于特定主機(jī)、子網(wǎng)或服務(wù)類型（TCP、UDP或TCMP）的 分組二6. 出LI過濾士 一方面提供了最大的安全以防外部的攻擊者，另 方面對(duì)內(nèi)部用戶提供了 最大的方便，但允許在內(nèi)部網(wǎng)絡(luò)的攻擊者對(duì)外部資源進(jìn)行攻擊；7. IPSec；高層協(xié)議不許提供自己的加密，也無需修改就可用IPSecr這使IPS“成為 安全連接和VPN的理想解決方案:8. IPv6；擴(kuò)大地址空間，支持踹由組播和廣播分組，在網(wǎng)絡(luò)層身份騾別和加密連接的功 能，提供了完整的VPK解決方案。IPSec和的IPv6的異同工從安全方面看，IPv6和IPS本質(zhì)上是相同的，兩者都提供強(qiáng)的身份鑒

9、別，加密和VPN 支持.隊(duì)可行性方面看，從IPv4轉(zhuǎn)換到IPv6,路由器和網(wǎng)絡(luò)設(shè)備必須更新以支持【Pv6協(xié)議，第七章第七章Internet安全體系結(jié)構(gòu)之二1 .傳輸層仃哪些風(fēng)險(xiǎn)？試比較一個(gè)端口和多個(gè)端口以及靜態(tài)端口和動(dòng)態(tài)端口的風(fēng)險(xiǎn).答：傳輸層風(fēng)險(xiǎn)包括傳輸層攔截、端口掃錨、信息泄露口一個(gè)端口和多個(gè)端口的比較，減少堵點(diǎn)的端口數(shù)，能減少攻擊因素&加固的服務(wù)器將開放的端口數(shù)減少到只有基本服 務(wù). 一般來說，少量端口打開的系統(tǒng)更安全.但某些服務(wù)支持多路端口，或基于服務(wù)的需求 打開新的端口，這樣將帶來風(fēng)險(xiǎn)。靜態(tài)端口：和動(dòng)態(tài)端口的比較：遠(yuǎn)程客戶連接到服務(wù)器需要兩個(gè)條件；服務(wù)器的網(wǎng)絡(luò)地址、傳輸協(xié)議及端口口客戶

10、招動(dòng) 服務(wù)器連接時(shí)，通常連接到服務(wù)器的眾所周知的端口.某些高層協(xié)議不使鬻固定端口號(hào)，不 用單個(gè)端口于全部通信，控制服務(wù)使用眾所周知端口，數(shù)據(jù)傳輸則用動(dòng)態(tài)端LL動(dòng)態(tài)端口會(huì) 引起不安全的風(fēng)險(xiǎn)，因?yàn)榇蠓秶亩丝诒仨毝伎稍L問網(wǎng)絡(luò)“2 .哪些TCP信息的類型可用來取別操作系統(tǒng)框架？答：1.初始窗口大小之TCP選項(xiàng): 3.序列號(hào)；4.客戶端口號(hào)；5.重試， h ts e I t e r r r , ir t t ru e r- p f iii丸假如客戶到服務(wù)耦的連接被攔截,會(huì)引起什么后果？答:TCP客戶接到一個(gè)連接結(jié)束或TCP超時(shí)，同時(shí)服務(wù)券沒有注意到攻擊者已經(jīng)替換了沒有 登記注冊(cè)的客戶.4.列出5種方法

11、來緩解TCP攻擊的威脅.答；L改變系統(tǒng)框架；2.阻斷攻擊指向；3,識(shí)別網(wǎng)絡(luò)設(shè)備:4.狀態(tài)分組檢就；5.入侵標(biāo)測(cè)系統(tǒng)(IDS)； G入侵陰御系統(tǒng)(IPS)； 7.利用高層協(xié)議鑒別通信以及檢測(cè)可能的攻擊，5,什么技.術(shù)可用來減少IP, TCP和UDP的攻擊指向？答；S&L SOCKS,安全 RPJ6. D、S協(xié)議是不安全的，它存在哪些安全風(fēng)險(xiǎn)？有哪些緩解這類風(fēng)險(xiǎn)的方法？答之直接風(fēng)險(xiǎn);1.無身份鑒別的響應(yīng)：2.DNS緩存受損；3. ID盲目攻擊：電破坪DNS分組.技術(shù)風(fēng)險(xiǎn)：LDNS域攔截: 2.DYS服務(wù)器攔截；3.更新持續(xù)時(shí)冏5 4.動(dòng)態(tài)DNS,社會(huì)風(fēng)險(xiǎn)：L相似的主機(jī)名；2.自動(dòng)名字實(shí)現(xiàn)工社會(huì)工程

12、t 4.域更新.緩解方法，1 .直接峨脅緩解.包括補(bǔ)丁，內(nèi)部和外部域分JE限制域的轉(zhuǎn)換，鑒別域的轉(zhuǎn)換，有 限的緩沖間隔，拒絕不匹配的回答h工技術(shù)威脅的緩解,包括(加固服務(wù)器，防火墻3.偵察城脅的援解，包恬(限制提供DRS信息，限制域轉(zhuǎn)換，限制請(qǐng)求，去除反向去找， 去除額外信息，分開內(nèi)部和外部域，隱藏版本卜4,社會(huì)威脅覆解，包括(監(jiān)控相似域，鎖住域，使用書一效聯(lián)系，不間斷支持，自己主持上屯社會(huì)威脅緩解，包括監(jiān)控相似域，鎖住域，使用有數(shù)聯(lián)系，不間斷支持，自己主持北5 .優(yōu)化師S閩置f6 .確定可信的回答n7 .哪些風(fēng)險(xiǎn)是由于必3配也不當(dāng)引起的？有哪些援解這類風(fēng)險(xiǎn)的方法？答：技術(shù)風(fēng)險(xiǎn)是基于配困的問題

13、匚技術(shù)風(fēng)險(xiǎn)包括；DXS域攔截, DXS服務(wù)器攔截、更新持續(xù) 時(shí)間、動(dòng)態(tài)DNSn緩解方法，加固服務(wù)器、防火墻。8 .哪些方法可緩解對(duì)D格的偵察威脅？簾限制提供DNS信息：限制域轉(zhuǎn)換；限制請(qǐng)求：去除反向或找事分開內(nèi)部和外部域；去除 額外信息；隱藏版本U現(xiàn)什么是SMTP通信的四類直接威脅？答；L偽裝接頭及垃圾郵件；工中繼和攔截：3.訓(xùn)TP和DN8 4,低層協(xié)議，10.哪些是攻擊CRL的方法？答；1.主機(jī)名求解攻擊；工主機(jī)偽裝:3.統(tǒng)一資源標(biāo)識(shí)符（lrRD偽裝;4.叫切和拼接：5.濫用查詢；6. SQL插入；7.跨站腳本J I JC III. Vj L J II10,哪些是攻擊URL的方法？答: L主

14、機(jī)名求解攻擊；工主機(jī)偽裝：3.統(tǒng)一資源標(biāo)識(shí)符（URI）偽裝14.剪切和拼接15. 濫用查詢；6. SQL插入；7.跨站腳本.11,常見的HTTP風(fēng)險(xiǎn)有哪些？答，L無身份鑒別的客戶；2.無身份鑒別的服務(wù)器&客戶端隱私:4.信息泄露；5.服務(wù)器 定位輪廓；區(qū)訪問操作系統(tǒng)：7.不安全的應(yīng)用程序：也低層協(xié)議.12. HTTP客戶端和服務(wù)器通常會(huì)泄露哪些信息？答，I. HTTP請(qǐng)求報(bào)頭通常泄露隆b瀏覽器的類型，包括版本和操作系統(tǒng)事2. HTTP回答報(bào)頭常常包含服務(wù)器類型、版本以及支持的插件（plug-in）t3. HTTP回答的信息包括一個(gè)時(shí)間戳，通過時(shí)間戳可以識(shí)別數(shù)據(jù)時(shí)靜態(tài)的來自文件） 還是動(dòng)態(tài)的（來

15、自應(yīng)用程序）；4. HTTP的時(shí)區(qū)和HTTP的本地語(yǔ)言，可用于定位服務(wù)器的地址位置.13. 55L產(chǎn)生會(huì)話密鑰的方式是什么？答；著服務(wù)器要求驗(yàn)證客戶端，則客戶端先發(fā)送Ortificate消息，然后產(chǎn)生會(huì)話密鑰，并用服務(wù)器的公鑰加密，封裝在口1的康電建融依1他電消息中發(fā)送給服務(wù)器.補(bǔ)充：5見產(chǎn)生會(huì)話密鑰的方式是.A.從密鑰管理數(shù)據(jù)庫(kù)中請(qǐng)求獲得心B.每一臺(tái)客戶機(jī)分配一個(gè)密鑰的方式C.隨機(jī)由客戶機(jī)產(chǎn)生并加密后通知服務(wù)器D.由服務(wù)器產(chǎn)生并分配給客戶機(jī)根據(jù)R5A/DH密鑰交換+PK1系統(tǒng)的原理，選C 口14.傳輸層保護(hù)的網(wǎng)絡(luò)采用的主要技術(shù)是建立在什么基礎(chǔ)上的？答工TCP/IP協(xié)議本身非常簡(jiǎn)單，沒有加密、

16、身份鑒別等安全特性，要向上層提供安全通信 機(jī)制就必須在TCP之上建立一個(gè)安全通信層次，傳輸層安全技術(shù)有SSL, SOCKS和安全RPC. 最常用的是安全套接字層SSL,它提供了進(jìn)程到進(jìn)程的安全服務(wù)和加密傳相信道+ （網(wǎng)絡(luò)層 安全機(jī)制提供的是主機(jī)到主機(jī)的）第八章第八章防火墻1.什么是防火墻?防火墻的功能有哪些？答；防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的， 而外部網(wǎng)絡(luò)（通常是被認(rèn)為是不安全和不可信賴的口防火墻是在被保護(hù)網(wǎng)絡(luò)和非 信任網(wǎng)絡(luò)之間進(jìn)行訪問控制的一個(gè)或者一組訪問控制部件.防止不希望的、未經(jīng)授權(quán)的通信 進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政

17、策.防火墻功能,1，訪問控制功能;2,內(nèi)容控制功能；工全面的日志功能；4.集中管理功能;5 .自身的安全和可用性;6,流量控制:7, NAT （ Network Address Translation,網(wǎng)鮮地址 轉(zhuǎn)換）：8. VPN （ Virtual Private Network,虛擬專用網(wǎng)）?6 .防火墻的體系結(jié)構(gòu)有哪幾種？答：1,雙宿主主機(jī)體系結(jié)構(gòu):2.被濟(jì)蔽主機(jī)體系結(jié)構(gòu);3,被屏蔽f網(wǎng)體系結(jié)構(gòu)。7 .艇里主機(jī)的構(gòu)建原則是什么？答：1.選擇適合的操作系統(tǒng)；2.堡壘主機(jī)的安裝位置：3.堡叁主機(jī)提供的服務(wù)；4.保護(hù)系統(tǒng) H.如5.監(jiān)測(cè)和備份，上.I工過濾規(guī)則如何制定？答：過濾規(guī)則制定的策略

18、包括：按地址過濾、按服務(wù)過濾、對(duì)數(shù)據(jù)包做日志記錄.建立數(shù)據(jù)包過濾規(guī)則需按如下步驟工1 .建立安全策略,2 .將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式t 工用防火墻提供的過濾規(guī)則重寫遮泣表達(dá)式并設(shè)置。5 .堡壘主機(jī)的日志如何保護(hù)？答;作為個(gè)安全性舉足輕重的主機(jī)，基壘主機(jī)必須有完整的日志系統(tǒng)，必須對(duì)系統(tǒng)日志進(jìn) 行保護(hù).當(dāng)有黑客入侵到現(xiàn)室主機(jī)時(shí)，系統(tǒng)日志是記錄當(dāng)時(shí)現(xiàn)場(chǎng)的主要機(jī)制，所以妥善保存日志 很重要，存放系統(tǒng)日志主要考慮：方便性,要將它存放在易于操作的地方,安全性;要便非 相關(guān)用戶無法操作到閆志文件。為此，同時(shí)存放日志文件的兩個(gè)拷貝，方便性拷貝：是監(jiān)視 系統(tǒng)日常運(yùn)行的基礎(chǔ)；安全性拷貝在發(fā)生事故

19、重建堡壘主機(jī)時(shí)使用。6 .堡型主機(jī)如何管理？答：1.選擇適合的操作系統(tǒng)，2.堡皇主機(jī)的安裝位置，3.堡壘主機(jī)提供的服務(wù)14.保護(hù)系統(tǒng) 日志：5.監(jiān)測(cè)和備份.工代理是如何工作的？答:代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序；這些程序接受用 戶對(duì)Inwr3t服務(wù)器的請(qǐng)求（如FTK TEn敢，并按照一定的安全策略將它們轉(zhuǎn)發(fā)到實(shí)際 的服務(wù)中口代理提供代替連接并且充當(dāng)服務(wù)器網(wǎng)關(guān).亂狀態(tài)檢測(cè)是如何工作的？答:通過狀態(tài)檢測(cè)，可實(shí)現(xiàn)比簡(jiǎn)單包過濾防火墻更去汕更大的安全性.當(dāng)防火墻接收到初始化TCP連接的SYN包時(shí)，要對(duì)這個(gè)帶有SYN的數(shù)據(jù)包進(jìn)行安全規(guī)則 檢查.將該數(shù)據(jù)包在安全規(guī)則里一次比較，

20、如果在檢杳了所有的規(guī)則后，該數(shù)據(jù)包都沒有被 接受，那么拒絕此次連接.如果該包接受，那么本次會(huì)話的連接信息被添加到狀態(tài)監(jiān)測(cè)表里. 對(duì)于隨后的數(shù)據(jù)包，就將包信息和該狀態(tài)檢測(cè)表中記錄的連接內(nèi)容進(jìn)行比較，如果會(huì)話是在 狀態(tài)表內(nèi)，而且該數(shù)據(jù)包狀態(tài)正確，則接受.否則丟棄.9 .復(fù)雜協(xié)議是如何進(jìn)行狀態(tài)檢測(cè)的？答；狀態(tài)檢測(cè)防火墻的理論基礎(chǔ)是使用客戶機(jī)/服務(wù)器模式進(jìn)行的連接具有連接狀態(tài)，防火 墻作為連接雙方的旁觀者:就可以判斷出連接雙方目前處于何種狀態(tài).一旦發(fā)現(xiàn)所發(fā)送 的包和狀態(tài)不符，就可以認(rèn)為是狀態(tài)異常的包進(jìn)行拒絕,而不必在對(duì)IP噩址或者TCP端口 進(jìn)行檢青；對(duì)于其他非連接協(xié)議，防火墻也建立連接來進(jìn)行跟蹤，知

21、識(shí)連接信息中的超時(shí)時(shí) 間要比TCP短得多口10 .狀態(tài)檢測(cè)有哪些弱點(diǎn)？答:包過濾防火墻得以進(jìn)行正常工作的一切依據(jù)都在于過濾規(guī)則的實(shí)施，但又不能滿足卷立 精細(xì)規(guī)則的要求，并不能分析痣級(jí)協(xié)議中的數(shù)據(jù)。應(yīng)用網(wǎng)絡(luò)美防火墻的每個(gè)連接都必須建立 在為之創(chuàng)建的有一套復(fù)雜的協(xié)議分析機(jī)制的代理程序進(jìn)程上，這會(huì)導(dǎo)致數(shù)據(jù)延遲的現(xiàn)象.狀態(tài)檢測(cè)防火墻雖然繼承了包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)，克服了它們的缺 點(diǎn)，但它仍只是檢測(cè)數(shù)據(jù)包的第三層信息，無法徹底的識(shí)別數(shù)據(jù)包中大量的坨圾郵件、廣告 以及木馬程序等等.包過濾防火墻和網(wǎng)關(guān)代理防火墻以及狀態(tài)檢測(cè)防火墻都有固有的無法克服的缺陷，不能 滿足用戶對(duì)于安全性的不斷的要求，于

22、是深度包檢到防火崎技術(shù)被提出了.第九章1-5； ABBAD6. VPN分為幾種類型？各種類型有何特點(diǎn)？答：VPN 有 3 種類型：Access VIW （遠(yuǎn)程訪問 VFk Intranet VI!N1企業(yè)內(nèi)部 VPN）. Extranet VPN1企業(yè)擴(kuò)展VPN磬1. Access VPNAccess VPN即所謂的移動(dòng)VPN,適用于企業(yè)內(nèi)部人員流動(dòng)頻繁或遠(yuǎn)程辦公的情況.Access VPN通過撥入當(dāng)?shù)氐腡W進(jìn)入Internet再連接企業(yè)的VPN網(wǎng)關(guān)，在用戶和VPN網(wǎng)美之間建 立一個(gè)安全的“隧道）通過該隧道安全地訪問遠(yuǎn)程的內(nèi)部網(wǎng)。2. Intranet VPN如果要進(jìn)行企業(yè)內(nèi)部異地分支機(jī)構(gòu)的互

23、聯(lián)，可以使用Ihlran PN方式,這是所謂的 網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN. IntranetVPN在異地兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個(gè)加密的VPN隧道，兩 端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隆道安全地進(jìn)行通信，就好像和本地網(wǎng)絡(luò)通信一樣.3. Extranet VPN如果一個(gè)企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，可以使用 Extranet VPNa Extranet VPN其實(shí)也是一種網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的叫叫 與Intranet VPhl不同的是， 它需要在不同企業(yè)的內(nèi)部網(wǎng)絡(luò)之間組建，需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配 置口7+ PPTP和L2Tp有何區(qū)別？C答:L PPTP要求互聯(lián)網(wǎng)格為IP網(wǎng)結(jié),12Tp只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接0 L2TP可以在IP C使用UDP）、幀中維永久虛擬電躥（PVCs）. X. 25虛擬電路CVC?；駻TMVCs 網(wǎng)絡(luò)上使用。2. PPTP只能在兩端點(diǎn)間建立單一隧道a L2Tp支持在兩端點(diǎn)間使用多隧道.3. L2TP可以提供包頭壓縮-當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷占用4個(gè)字節(jié)，而PPTF協(xié)議下要 占用6個(gè)字節(jié).4. L2TP可以提供隧道驗(yàn)證,而PPTP則不支持隧道驗(yàn)證口但是當(dāng)L2Tp或PPTP與IPS也 共同使用時(shí)，可以由IPSM提供隧道驗(yàn)證，而不需要在第二層協(xié)議上驗(yàn)證隧道.8. GRE協(xié)議有何優(yōu)缺點(diǎn)？答