西華大學(xué)網(wǎng)絡(luò)與信息安全復(fù)習(xí)

1、選擇題（不定項(xiàng)選擇10題，共20分）2、名詞解釋（5小題，共15分）3、簡(jiǎn)答題（5小題，共25分）4、實(shí)驗(yàn)題（40分）基于角色的CLI訪問提供的視圖。P28根視圖（Rootview）、CLI視圖（CLIview）、超級(jí)視圖（Superview）基于主機(jī)的IPS和基于網(wǎng)絡(luò)的IPS執(zhí)行的優(yōu)缺點(diǎn)。P95-98基于主機(jī)的IPS優(yōu)點(diǎn)：能夠監(jiān)視操作系統(tǒng)進(jìn)程并且保護(hù)重要的系統(tǒng)資源，包括一些只有在特殊主機(jī)上存在的文件。它使用行為分析和特征文件過(guò)濾，同時(shí)聯(lián)合防病毒軟件、網(wǎng)絡(luò)防火墻以及應(yīng)用防火墻的最佳特征，這些功能都打包在一起使用。缺點(diǎn)：1、不能提供完整的網(wǎng)絡(luò)視圖，它只檢查本地主機(jī)級(jí)的信息。它很難構(gòu)建實(shí)際的網(wǎng)絡(luò)全圖以及協(xié)調(diào)跨越整個(gè)網(wǎng)絡(luò)的事件。2、需要運(yùn)行在網(wǎng)絡(luò)中的每一個(gè)系統(tǒng)上。這久需要檢驗(yàn)是否對(duì)網(wǎng)絡(luò)中使用的所有不同操作系統(tǒng)予以支持?；诰W(wǎng)絡(luò)的IPS優(yōu)點(diǎn)：基于網(wǎng)絡(luò)的監(jiān)控系統(tǒng)可以很容易地發(fā)現(xiàn)跨越全網(wǎng)發(fā)生的攻擊。它可以清楚地顯示出被攻擊網(wǎng)絡(luò)的范圍。另外，因?yàn)楸O(jiān)視系統(tǒng)只檢查網(wǎng)絡(luò)上的流量，所以它不必支持在網(wǎng)絡(luò)上使用的每種操作系統(tǒng)的類型。缺點(diǎn)：如果網(wǎng)絡(luò)數(shù)據(jù)是加密的，對(duì)于網(wǎng)絡(luò)IPS來(lái)說(shuō)是根本看不到的，所以會(huì)允許攻擊進(jìn)入而不會(huì)被檢測(cè)到。了那個(gè)外一個(gè)問題是，IPS為了監(jiān)視目標(biāo)，沒有時(shí)間重組分片的流量。這最終會(huì)導(dǎo)致網(wǎng)絡(luò)的帶寬被大量占用，所以IPS很難放置在單一地點(diǎn)來(lái)成功地捕獲所有的流量。關(guān)系：HIPS檢查本地主機(jī)或者操作系統(tǒng)級(jí)別的信息，而網(wǎng)絡(luò)IPS檢查跨越網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，用來(lái)發(fā)現(xiàn)入侵行為的蛛絲馬跡。它們之間不是競(jìng)爭(zhēng)的關(guān)系，而是互相補(bǔ)充的關(guān)系，在提供端到端的安全網(wǎng)絡(luò)上需要同時(shí)部署它們。3、標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的配置。P61標(biāo)準(zhǔn)ACL：Router(config)#access-list{1-99}{permit|deny}source-addr[source-wildcard]擴(kuò)展ACL:Router(config)#access-list{100-199}{permit|deny}protocolsource-addr[source-wildcard]………[established]在IPsec框架中的五個(gè)組件。P171第一個(gè)組件表示IPsec協(xié)議?？梢赃x擇ESP或AH。第二個(gè)組件表示使用加密算法，例如：DES、3DES、AES、或SEAL所實(shí)現(xiàn)的保密類型。根據(jù)所需要的安全等級(jí)進(jìn)行選擇。第三個(gè)組件表示完整性，可以使用MD5或HA實(shí)現(xiàn)。第四個(gè)組件表示如何建立共享密鑰，有兩種方法：預(yù)共享或使用RSA的數(shù)字簽名。最后一個(gè)組件表示DH算法組。第二層的網(wǎng)絡(luò)攻擊。P120-121MAC地址欺騙攻擊、MAC地址表溢出攻擊、STP操縱攻擊、LAN風(fēng)暴攻擊、VLAN攻擊。防火墻類型，尤其是狀態(tài)防火墻和CBAC防火墻的特點(diǎn)、配置步驟、工作在哪幾層。P73防火墻類型：數(shù)據(jù)包過(guò)濾防火墻、狀態(tài)防火墻、應(yīng)用網(wǎng)關(guān)防火墻（代理防火墻）、地址翻譯防火墻、基于主機(jī)（服務(wù)器或個(gè)人電腦）的防火墻、透明防火墻、混合防火墻。狀態(tài)防火墻：監(jiān)視連接狀態(tài)，確定連接是處于初始化、數(shù)據(jù)傳輸或終止?fàn)顟B(tài)（工作在會(huì)話層）CBAC防火墻：流量過(guò)濾、流量檢測(cè)、入侵檢測(cè)及產(chǎn)生審計(jì)和警告信息（工作在應(yīng)用層）。AAA中TACACS+協(xié)議和RADIUS協(xié)議的異同，以及認(rèn)證的步驟。P48TACACS+的關(guān)鍵因素包括：不兼容TACACS和XTACACS。認(rèn)證和授權(quán)分離。加密所有通信使用TCP端口49RADIUS的關(guān)鍵因素包括：使用RADIUS代理服務(wù)器提供可擴(kuò)展性將RADIUS認(rèn)證和授權(quán)結(jié)合成一個(gè)過(guò)程只加密密碼使用UDP支持遠(yuǎn)程訪問技術(shù)、802.1X和SIPSDEEP105SecurityDeviceEventExchange(安全設(shè)備事件交換)它是一個(gè)應(yīng)用層通信協(xié)議，用于交換IPS客戶端與服務(wù)器端的消息。CiscoISR路由器的IPS警報(bào)交換機(jī)端口安全。P128SDM配置IKEp17912、CiscoIOS映像和配置文件的備份p29-3013、Cisco自防御網(wǎng)絡(luò)實(shí)現(xiàn)策略的原則14、DoS攻擊P13-14Dos(拒絕服務(wù))攻擊：是導(dǎo)致對(duì)用戶、設(shè)備或應(yīng)用程序的某種服務(wù)中斷的網(wǎng)絡(luò)攻擊。發(fā)生Dos攻擊的兩個(gè)原因：1、主機(jī)或應(yīng)用程序處理非預(yù)期狀況失敗。 2、網(wǎng)絡(luò)、主機(jī)或應(yīng)用程序不能處理量非常大得數(shù)據(jù)，如果處理會(huì)導(dǎo)致系統(tǒng)崩潰或變得極慢。三種常見的Dos攻擊：死亡偵測(cè)、放大攻擊、TCPSYNFlood15、獨(dú)立AAA認(rèn)證P44-47獨(dú)立AAA認(rèn)證應(yīng)配置于較小的網(wǎng)絡(luò)，它提供一種配置認(rèn)證的備份方法的途徑。配置查閱書16、IDS系統(tǒng)P94入侵檢測(cè)系統(tǒng)（IDS）被動(dòng)地監(jiān)測(cè)網(wǎng)絡(luò)上的流量。IDS采用流量復(fù)制方式的優(yōu)點(diǎn)是不會(huì)影響到轉(zhuǎn)發(fā)數(shù)據(jù)流的實(shí)際數(shù)據(jù)包流程；而缺點(diǎn)是IDS在做出停止攻擊的反應(yīng)前，惡意流量對(duì)于目標(biāo)系統(tǒng)的單包攻擊已經(jīng)發(fā)生了。IDS經(jīng)常需要其他網(wǎng)絡(luò)設(shè)備的協(xié)助，如：路由器和防火墻，來(lái)對(duì)攻擊做出反應(yīng)。IDS和IPS之間的最大區(qū)別是：IPS可以立即響應(yīng)并且不會(huì)允許惡意數(shù)據(jù)流通過(guò)；反之，IDS可能會(huì)在響應(yīng)之前允許惡意數(shù)據(jù)流通過(guò)。17、MAC地址欺騙攻擊P120MAC欺騙攻擊發(fā)生在一個(gè)攻擊者改變它的MAC地址為其他目標(biāo)主機(jī)的已知MAC地址。攻擊的主機(jī)隨后通過(guò)網(wǎng)絡(luò)發(fā)送帶有配置MAC地址的數(shù)據(jù)幀。當(dāng)交換機(jī)接收到該幀時(shí)，它會(huì)檢查源MAC地址，交換機(jī)將會(huì)覆蓋當(dāng)前的MAC地址表?xiàng)l目并且指定MAC地址到新的端口。然后它會(huì)自動(dòng)地把目的為正常目標(biāo)主機(jī)的數(shù)據(jù)幀轉(zhuǎn)發(fā)到攻擊的主機(jī)。18、VPNP166虛擬專用網(wǎng)絡(luò)（VPN），VPN使用虛擬連接將組織通過(guò)因特網(wǎng)路由到遠(yuǎn)程站點(diǎn)。VPN是一個(gè)其內(nèi)部訪問嚴(yán)格受控的通信環(huán)境，它允許在一個(gè)明確定義的利益群體內(nèi)對(duì)等連接。通過(guò)對(duì)VPN內(nèi)部的流量加密實(shí)現(xiàn)保密性。VPN的優(yōu)點(diǎn)：節(jié)省開支、安全性、課擴(kuò)展性、兼容寬帶技術(shù)。19、AAA授權(quán)P57授權(quán)關(guān)注允許和禁止經(jīng)過(guò)認(rèn)證用戶訪問網(wǎng)絡(luò)上的特定區(qū)域和程序。，它是控制用戶訪問特定服務(wù)的能力?？刂茖?duì)配置命令的訪問大大簡(jiǎn)化了大型企業(yè)網(wǎng)絡(luò)中基礎(chǔ)設(shè)施的安全性問題。20、ESPP174ESP通過(guò)加密載荷實(shí)現(xiàn)機(jī)密性，它支持多種對(duì)稱加密算法。它也能提供完整性和認(rèn)證。21、LAN風(fēng)暴攻擊P121LAN風(fēng)暴發(fā)生在當(dāng)數(shù)據(jù)包在LAN內(nèi)泛洪時(shí)，造成了過(guò)多的流量并且會(huì)破壞網(wǎng)絡(luò)性能。在協(xié)議棧中的錯(cuò)誤執(zhí)行、網(wǎng)絡(luò)配置中的過(guò)失或者用戶發(fā)起Dos攻擊可以導(dǎo)致風(fēng)暴。22、中間會(huì)合攻擊23、蠕蟲或病毒基本的攻擊階段。P8探測(cè)階段—識(shí)別易受攻擊的目標(biāo)，找到可以被破壞的計(jì)算機(jī)。穿透階段—傳送惡意代碼到易受攻擊的目標(biāo)，使目標(biāo)通過(guò)一個(gè)攻擊向量執(zhí)行惡意代碼。留存階段—當(dāng)攻擊成功地從內(nèi)存中發(fā)起后，代碼會(huì)盡力留存在目標(biāo)系統(tǒng)上，以確保即使系統(tǒng)重啟，攻擊代碼仍運(yùn)行并對(duì)攻擊者可利用。傳播階段—攻擊者通過(guò)尋找易受攻擊的鄰近機(jī)器試圖將攻擊延伸到其他目標(biāo)。癱瘓階段—對(duì)系統(tǒng)進(jìn)行實(shí)際破壞。24、網(wǎng)絡(luò)設(shè)備上配置安全的管理訪問時(shí)經(jīng)常需要設(shè)置密碼，設(shè)置密碼的要求P20（1）使用大于10個(gè)字符的密碼，越長(zhǎng)越好。（2）使密碼復(fù)雜一些，包括大寫字母、小寫字母、數(shù)字、字符和空格。（3）密碼要避免重復(fù)使用字典中的詞匯、字母或數(shù)字序列、用戶名等信息。（4）有意拼錯(cuò)密碼。（5）經(jīng)常改變密碼（6）不要將密碼寫下來(lái)并放在桌上或顯示器上這些很明顯的位置。25、動(dòng)態(tài)ACL的安全優(yōu)勢(shì)。P68（1）每個(gè)用戶的挑戰(zhàn)驗(yàn)證機(jī)制（2）大型網(wǎng)絡(luò)中管理的簡(jiǎn)單性（3）簡(jiǎn)化路由器對(duì)ACL的處理（4）降低網(wǎng)絡(luò)黑客對(duì)網(wǎng)絡(luò)的攻擊機(jī)會(huì)（5）在不損害其他安全配置的前提下，可以動(dòng)態(tài)的讓用戶穿越防火墻。26、簡(jiǎn)述基于蜜罐的檢測(cè)的工作原理P101基于蜜罐的檢測(cè)室使用一個(gè)虛假的服務(wù)器吸引攻擊。蜜罐方式的目的是把攻擊從真實(shí)的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)移。通過(guò)蜜罐服務(wù)器中不同類型的漏洞，管理員可以分析進(jìn)入的攻擊和惡意流量樣本的類型。隨后他們可以使用這個(gè)分析結(jié)果調(diào)整傳感器特征來(lái)檢測(cè)惡意流量的新類型。27、IKE協(xié)議的工作過(guò)程P176（1）兩IPsec對(duì)等體執(zhí)行SA的初始協(xié)商。階段1的基本目的是協(xié)商IKE策略集、認(rèn)證對(duì)等體，并在對(duì)等體之間建立一條安全通道。它可以使用主模式或主動(dòng)模式完成。（2）由IKE進(jìn)程ISAKMP代表IPsec進(jìn)行SA的協(xié)商?？梢酝ㄟ^(guò)快速模式協(xié)商。28、如何消除偵查攻擊P11（1）可以配置告警以檢測(cè)正在進(jìn)行的偵查攻擊，當(dāng)特定的參數(shù)超標(biāo)，這些告警就被觸發(fā)。（2）基于主機(jī)的入侵預(yù)防系統(tǒng)和獨(dú)立的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)也可以用來(lái)在偵查攻擊發(fā)生時(shí)發(fā)出通知。29、包過(guò)濾防火墻的缺點(diǎn)。（1）一些包過(guò)濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證。（2）規(guī)則表很快會(huì)變得很大而且復(fù)雜，規(guī)則很難測(cè)試。隨著表的增大和復(fù)雜性的增加，規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會(huì)增加。（3）這種防火墻最大的缺陷是它依賴一個(gè)單一的部件來(lái)保護(hù)系統(tǒng)。如果這個(gè)部件出現(xiàn)了問題，會(huì)使得網(wǎng)絡(luò)大門敞開，而用戶其至可能還不知道。（4）在一般情況下，如果外部用戶被允許訪問內(nèi)部主機(jī)，則它就可以訪問內(nèi)部網(wǎng)上的任何主機(jī)。(5)包過(guò)濾防火墻只能阻止一種類型的IP欺騙，即外部主機(jī)偽裝內(nèi)部主機(jī)的IP，對(duì)于外部主機(jī)偽裝外部主機(jī)的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。30、配置站點(diǎn)到站點(diǎn)的IPSecVPN需要完成哪五個(gè)任務(wù)？P178任務(wù)1：確保接口上配置的ACL兼容IPsec配置。VPN流量使用的接口上通常存在限制。任務(wù)2：創(chuàng)建一個(gè)ISAKMP策略來(lái)確定用于建立隧道的ISAKMP參數(shù)。任務(wù)3：定義IPsec變換集。變換集定義了IPsec隧道使用的參數(shù)。任務(wù)4：創(chuàng)建一條加密ACL。任務(wù)5：創(chuàng)建并應(yīng)用一個(gè)加密映射。任務(wù)1：配置R1上的控制臺(tái)訪問當(dāng)?shù)氐腁AA認(rèn)證第1步、測(cè)試連通性。.

從用戶A

ping

用戶B

從用戶A

ping

用戶C

從用戶B

ping

用戶C

第2步。R

1的配置本地用戶名

配置ADMIN1的用戶名和密碼admin1pa55

R1(config)#usernameAdmin1passwordadmin1pa55第3步。R

1的訪問控制臺(tái)上配置本地AAA認(rèn)證。

在R1上啟用AAA和配置控制臺(tái)登錄的AAA認(rèn)證使用本地?cái)?shù)據(jù)庫(kù)。

R1(config)#aaanew-modelR1(config)#aaaauthenticationlogindefaultlocal第4步。配置行控制臺(tái)，使用定義的AAA驗(yàn)證方法。

在R1上啟用AAA級(jí)和AAA認(rèn)證配置控制臺(tái)登錄使用默認(rèn)的方法列表。

R1(config)#lineconsole0R1(config-line)#loginauthenticationdefault第5步。驗(yàn)證AAA驗(yàn)證方法。

使用本地?cái)?shù)據(jù)庫(kù)驗(yàn)證用戶執(zhí)行登錄

R1(config-line)#end%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR1#exitR1con0isnowavailablePressRETURNtogetstarted.************AUTHORIZEDACCESSONLY*************UNAUTHORIZEDACCESSTOTHISDEVICEISPROHIBITED.UserAccessVerificationUsername:Admin1Password:admin1pa55R1>任務(wù)2：在R1上配置VTY線路的本地AAA認(rèn)證

第1步。在R1上為VTY線路配置可命名列表的AAA認(rèn)證方法。

配置命名列表稱為Telnet的登錄驗(yàn)證來(lái)登錄本地AAA。

R1(config)#aaaauthenticationloginTELNET-LOGINlocal第2步。使用定義的AAA認(rèn)證方法來(lái)配置VTY線路。

使用命名的AAA方法來(lái)配置VTY線路

R1(config)#linevty04R1(config-line)#loginauthenticationTELNET-LOGINR1(config-line)#end第3步。驗(yàn)證AAA認(rèn)證的方法。

驗(yàn)證Telnet配置。從用戶

A輸入命令提示符，遠(yuǎn)程登錄到R1

PC>telnet192.168.1.1************AUTHORIZEDACCESSONLY*************UNAUTHORIZEDACCESSTOTHISDEVICEISPROHIBITED.UserAccessVerificationUsername:Admin1Password:admin1pa55R1>任務(wù)3：在R2上使用TACACS+來(lái)配置基于服務(wù)器的AAA認(rèn)證

第1步：配置一個(gè)命名為admin的備份本地?cái)?shù)據(jù)庫(kù)的登記。

出于備份的目的，配置一個(gè)本地用戶Admin和對(duì)應(yīng)密碼adminpa55

R2(config)#usernameAdminpasswordadminpa55第2步：驗(yàn)證TACACS+服務(wù)器配置。

選擇TACACS

+服務(wù)器

從配置選項(xiàng)卡看，點(diǎn)擊AAA認(rèn)證和通知，出現(xiàn)一個(gè)針對(duì)R2的網(wǎng)絡(luò)認(rèn)證項(xiàng)和用戶設(shè)置項(xiàng)為Admin2的配置項(xiàng)。

第3步：在R2上具體配置TACACS+服務(wù)

在R2上配置AAA

認(rèn)證TACACS服務(wù)器的IP地址和密鑰。

R2(config)#tacacs-serverhost192.168.2.2R2(config)#tacacs-serverkeytacacspa55第4步：配置AAA登錄驗(yàn)證用于R

2上的控制臺(tái)訪問。在r2上啟用AAA，使用AAA

TACACS

+服務(wù)來(lái)配置所有登錄進(jìn)行的身份驗(yàn)證，如果不可用，則使用本地?cái)?shù)據(jù)庫(kù)。

R2(config)#aaanew-modelR2(config)#aaaauthenticationlogindefaultgrouptacacs+local第5步。配置行控制臺(tái)，使用定義的AAA認(rèn)證方法。

使用默認(rèn)的AAA驗(yàn)證方法來(lái)配置AAA認(rèn)證控制臺(tái)登錄。

R2(config)#lineconsole0R2(config-line)#loginauthenticationdefault第6步。驗(yàn)證AAA認(rèn)證方法。

使用的AAA

TACACS

+服務(wù)器驗(yàn)證用戶執(zhí)行的登錄

R2(config-line)#end%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR2#exitR2con0isnowavailablePressRETURNtogetstarted.************AUTHORIZEDACCESSONLY*************UNAUTHORIZEDACCESSTOTHISDEVICEISPROHIBITED.UserAccessVerificationUsername:Admin2Password:admin2pa55R2>任務(wù)4：在R3上使用RADIUS配置基于服務(wù)器的AAA認(rèn)證

第1步。配置一個(gè)名為admin的備份本地?cái)?shù)據(jù)庫(kù)中的項(xiàng)。

出于備份目的，配置管理和密碼為a

dminpa55的本地用戶名。

R3(config)#usernameAdminpasswordadminpa55第2步。驗(yàn)證RADIUS服務(wù)器的配置。

選擇RADIUS服務(wù)器。

從配置選項(xiàng)卡看，點(diǎn)擊AAA認(rèn)證和通知，出現(xiàn)一個(gè)針對(duì)R3的網(wǎng)絡(luò)認(rèn)證項(xiàng)和用戶設(shè)置項(xiàng)為Admin3的配置項(xiàng)。

第3步。在R

3上配置RADIUS服務(wù)器的細(xì)節(jié)。

在R3上配置AAA

RADIUS服務(wù)器的IP地址和密鑰。

R3(config)#radius-serverhost192.168.3.2R3(config)#radius-serverkeyradiuspa55第4步。在R3上配置控制臺(tái)訪問的AAA登錄驗(yàn)證。

在R3上啟用AAA，使用AAA

RADIUS

+服務(wù)來(lái)配置所有登錄進(jìn)行的身份驗(yàn)證，如果不可用，則使用本地?cái)?shù)據(jù)庫(kù)。

R3(config)#aaanew-modelR3(config)#aaaauthenticationlogin