網(wǎng)絡(luò)安全技術(shù)簡答題

第1章網(wǎng)絡(luò)安全概述與環(huán)境配置網(wǎng)絡(luò)攻擊和防御分別包括哪些容？答：攻擊技術(shù)主要包括以下幾個方面。（1）網(wǎng)絡(luò)監(jiān)聽：自己不主動去攻擊別人，而是在計(jì)算機(jī)上設(shè)置一個程序去監(jiān)聽目標(biāo)計(jì)算機(jī)與其他計(jì)算機(jī)通信的數(shù)據(jù)。（2）網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計(jì)算機(jī)開放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計(jì)算機(jī)做準(zhǔn)備。（3）網(wǎng)絡(luò)入侵：當(dāng)探測發(fā)現(xiàn)對方存在漏洞后，入侵到目標(biāo)計(jì)算機(jī)獲取信息。（4）網(wǎng)絡(luò)后門：成功入侵目標(biāo)計(jì)算機(jī)后，為了實(shí)現(xiàn)對“戰(zhàn)利品”的長期控制，在目標(biāo)計(jì)算機(jī)中種植木馬等后門。（5）網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計(jì)算機(jī)后，將自己入侵的痕跡清除，從而防止被對方管理員發(fā)現(xiàn)。防御技術(shù)主要包括以下幾個方面。（1）安全操作系統(tǒng)和操作系統(tǒng)的安全配置：操作系統(tǒng)是網(wǎng)絡(luò)安全的關(guān)鍵。（2）加密技術(shù)：為了防止被監(jiān)聽和數(shù)據(jù)被盜取，將所有的數(shù)據(jù)進(jìn)行加密。（3）防火墻技術(shù)：利用防火墻，對傳輸?shù)臄?shù)據(jù)進(jìn)行限制，從而防止被入侵。（4）入侵檢測：如果網(wǎng)絡(luò)防線最終被攻破，需要及時發(fā)出被入侵的警報(bào)。5）網(wǎng)絡(luò)安全協(xié)議：保證傳輸?shù)臄?shù)據(jù)不被截獲和監(jiān)聽。從層次上，網(wǎng)絡(luò)安全可以分成哪幾層？每層有什么特點(diǎn)？答：從層次體系上，可以將網(wǎng)絡(luò)安全分成4個層次上的安全：物理安全，邏輯安全，操作系統(tǒng)安全和聯(lián)網(wǎng)安全。物理安全主要包括5個方面：防盜，防火，防靜電，防雷擊和防電磁泄漏。邏輯安全需要用口令、文件許可等方法來實(shí)現(xiàn)。操作系統(tǒng)安全，操作系統(tǒng)必須能區(qū)分用戶，以便防止相互干擾。操作系統(tǒng)不允許一個用戶修改由另一個賬戶產(chǎn)生的數(shù)據(jù)。聯(lián)網(wǎng)安全通過訪問控制服務(wù)和通信安全服務(wù)兩方面的安全服務(wù)來達(dá)到。（ 1）訪問控制服務(wù)：用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。（ 2）通信安全服務(wù)：用來認(rèn)證數(shù)據(jù)機(jī)要性與完整性，以及各通信的可信賴性。（感覺如果說是特點(diǎn)的話這樣回答有點(diǎn)別扭。。 ）為什么要研究網(wǎng)絡(luò)安全？答：網(wǎng)絡(luò)需要與外界聯(lián)系，同時也就受到許多方面的威脅：物理威脅、系統(tǒng)漏洞造成的威脅、身份鑒別威脅、線纜連接威脅和有害程序威脅等。（可詳細(xì)展開）6.網(wǎng)絡(luò)安全橙皮書是什么？包括哪些容？答：網(wǎng)絡(luò)安全橙皮書是根據(jù)美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評價準(zhǔn)則（TrustedComputerStandardsEvaluationCriteria ，TCSEC），1985年橙皮書成為美國國防部的標(biāo)準(zhǔn)，多年以來它一直是評估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)（如數(shù)據(jù)庫和網(wǎng)絡(luò)）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別，如表1-1所示。表1-1安全級別類 另y級 另y名 稱主要特征DD低級保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲控制C2受控存儲控制單獨(dú)的可查性，安全標(biāo)識BB1標(biāo)識的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級描述和驗(yàn)證D級是最低的安全級別，擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子，任何人都可以自由進(jìn)出，是完全不可信任的。對于硬件來說，沒有任何保護(hù)措施，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問他人的數(shù)據(jù)文件。屬于這個級別的操作系統(tǒng)有 DOS和Windows98等。C1是C類的一個安全子級。 C1又稱選擇性安全保護(hù)（DiscretionarySecurityProtection）系統(tǒng)，它描述了一個典型的用在 UNIX系統(tǒng)上安全級別。這種級別的系統(tǒng)對硬件又有某種程度的保護(hù)，如用戶擁有注冊賬號和口令，系統(tǒng)通過賬號和口令來識別用戶是否合法，并決定用戶對程序和信息擁有什么樣的訪問權(quán)，但硬件受到損害的可能性仍然存在。用戶擁有的訪問權(quán)是指對文件和目標(biāo)的訪問權(quán)。 文件的擁有者和超級用戶可以改變文件的訪問屬性，從而對不同的用戶授予不通的訪問權(quán)限。Controlled AccessC2級除了包含C1級的特征外，應(yīng)該具有訪問控制環(huán)境（Controlled AccessEnvironment）權(quán)力。該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或者訪問某些文件的權(quán)限，而且還加入了身份認(rèn)證等級。另外，系統(tǒng)對發(fā)生的事情加以審計(jì)，并寫入日志中，如什么時候開機(jī)，哪個用戶在什么時候從什么地方登錄，等等，這樣通過查看日志，就可以發(fā)現(xiàn)入侵的痕跡，如多次登錄失敗，也可以大致推測出可能有人想入侵系統(tǒng)。審計(jì)除了可以記錄下系統(tǒng)管理員執(zhí)行的活動以外，還加入了身份認(rèn)證級別，這樣就可以知道誰在執(zhí)行這些命令。審計(jì)的缺點(diǎn)在于它需要額外的處理時間和磁盤空間。使用附加身份驗(yàn)證就可以讓一個C2級系統(tǒng)用戶在不是超級用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級使系統(tǒng)管理員能夠給用戶分組，授予他們訪問某些程序的權(quán)限或訪問特定的目錄。能夠達(dá)到C2級別的常見操作系統(tǒng)有如下幾種：（1）UNIX系統(tǒng)；（2）Novell3.X或者更高版本；（3）WindowsNT，Windows2000和Windows2003。B級中有三個級別，B1級即標(biāo)志安全保護(hù)（LabeledSecurityProtection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處于強(qiáng)制性訪問控制之下的對象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。安全級別存在秘密和絕密級別，這種安全級別的計(jì)算機(jī)系統(tǒng)一般在政府機(jī)構(gòu)中，比如國防部和國家安全局的計(jì)算機(jī)系統(tǒng)。B2級，又叫結(jié)構(gòu)保護(hù)（StructuredProtection）級別，它要求計(jì)算機(jī)系統(tǒng)中所有的對象都要加上標(biāo)簽，而且給設(shè)備（磁盤、磁帶和終端）分配單個或者多個安全級別。B3級，又叫做安全域（SecurityDomain）級別，使用安裝硬件的方式來加強(qiáng)域的安全，例如，存管理硬件用于保護(hù)安全域免遭無授權(quán)訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。A級，又稱驗(yàn)證設(shè)計(jì)（VerifiedDesign）級別，是當(dāng)前橙皮書的最高級別，它包含了一個嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。該級別包含較低級別的所有的安全特性。第2章網(wǎng)絡(luò)安全協(xié)議基礎(chǔ)簡述TCP/IP協(xié)議族的基本結(jié)構(gòu)，并分析每層可能受到的威脅及如何防御答：TCP/IP協(xié)議族包括4個功能層，自頂向下分別為：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層。應(yīng)用層中很多應(yīng)用程序駐留并運(yùn)行在此層，并且依賴于底層的功能，使得該層是最難保護(hù)的一層。簡單傳輸協(xié)議（SMTP）容易受到的威脅是：炸彈，病毒，匿名和木馬等。保護(hù)措施是認(rèn)證、附件病毒掃描和用戶安全意識教育。文件傳輸協(xié)議（ FTP）容易受到的威脅是：明文傳輸、黑客惡意傳輸非法使用等。保護(hù)的措施是不許匿名登錄，單獨(dú)的服務(wù)器分區(qū)，禁止執(zhí)行程序等。超文本傳輸協(xié)議（HTTP）容易受到的威脅是：惡意程序（ActiveX控件，ASP程序和CGI程序等）。傳輸層可能受到的威脅是拒絕服務(wù)（DOS）和分布式拒絕（DDOS）服務(wù)的攻擊，其中包括TCPSYN淹沒攻擊、SSL中間人攻擊、Land攻擊、UDP淹沒攻擊、端口掃描攻擊等，保護(hù)措施是正確設(shè)置客戶端 SSL,使用防火墻對來源不明的有害數(shù)據(jù)進(jìn)行過渡等。網(wǎng)絡(luò)層可能受到的威脅是IP欺騙攻擊，保護(hù)措施是使用防火墻過濾和打系統(tǒng)補(bǔ)丁。網(wǎng)絡(luò)接口層又可分為數(shù)據(jù)鏈路層和物理層。數(shù)據(jù)鏈路層可能受到的威脅是容錄址存儲器表格淹沒、 VLAN中繼、操縱生成樹協(xié)議、MAC地址欺騙、ARP攻擊、專用VLAN、DHCP耗竭等。保護(hù)措施是，在交換機(jī)上配置端口安全選項(xiàng)可以防止CAM表淹沒攻擊。正確配置VLAN可以防止VLAN中繼攻擊。使用根目錄保護(hù)和BPDU保護(hù)加強(qiáng)命令來保持網(wǎng)絡(luò)中主網(wǎng)橋的位置不發(fā)生改變， 可防止操縱生成樹協(xié)議的攻擊，同時也可以強(qiáng)化生成樹協(xié)議的域邊界。使用端口安全命令可以防止MAC欺騙攻擊。對路由器端口訪問控制列表（ACL）進(jìn)行設(shè)置可以防止專用VLAN攻擊。通過限制交換機(jī)端口的MAC地址的數(shù)目，防止CAM表淹沒的技術(shù)也可以防止DHCP耗竭。物理層可能受到的威脅是未授權(quán)用戶的接入（部人員、外部人員）、物理盜竊、涉密信息被復(fù)制或破壞等等。保護(hù)措施主要體現(xiàn)在實(shí)時存檔和監(jiān)測網(wǎng)絡(luò)，提高通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)）、軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備）、防干擾能力，保證設(shè)備的運(yùn)行環(huán)境（溫度、濕度、煙塵），不間斷電源保障，等5.簡述常用的網(wǎng)絡(luò)服務(wù)及提供服務(wù)的默認(rèn)端口答：常見服務(wù)及提供服務(wù)的默認(rèn)端口和對應(yīng)的協(xié)議如下表所示端 口協(xié) 議服 務(wù)21TCPFTP服務(wù)25TCPSMTP服務(wù)53TCP/UDPDNS服務(wù)80TCPWeb服務(wù)135TCPRPC服務(wù)137UDPNetBIOS域名服務(wù)138UDPNetBIOS數(shù)據(jù)報(bào)服務(wù)139TCPNetBIOS會話服務(wù)443TCP基于SSL的HTTP服務(wù)445TCP/UDPMicrosoftSMB服務(wù)3389TCPWindows終端服務(wù)第4章網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽黑客在進(jìn)攻的過程中需要經(jīng)過哪些步驟？目的是什么？答：黑客一次成攻的攻擊，可以歸納成基本的五個步驟：第一，隱藏IP；第二，踩點(diǎn)掃描；第三，獲得系統(tǒng)或管理員權(quán)限；第四，種植后門；第五，在網(wǎng)絡(luò)中隱身。以上幾個步驟根據(jù)實(shí)際情況可以隨時調(diào)整。簡述黑客攻擊和網(wǎng)絡(luò)安全的關(guān)系。答：黑客攻擊和網(wǎng)絡(luò)安全是緊密結(jié)合在一起的， 研究網(wǎng)絡(luò)安全不研究黑客攻擊