網(wǎng)絡(luò)安全技術(shù)與實(shí)踐

PAGEPAGE1網(wǎng)絡(luò)安全期末復(fù)習(xí)第一章引言一、填空題1、信息安全的3個(gè)基本目標(biāo)是：保密性、完整性和可用性。此外，還有一個(gè)不可忽視的目標(biāo)是：合法使用。2、網(wǎng)絡(luò)中存在的4種基本安全威脅有：信息泄漏、完整性破壞、拒絕服務(wù)和非法使用。3、訪問控制策略可以劃分為：強(qiáng)制性訪問控制策略和自主性訪問控制策略。4、安全性攻擊可以劃分為：被動(dòng)攻擊和主動(dòng)攻擊。5、X.800定義的5類安全服務(wù)是：認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性。6、X.800定義的8種特定的安全機(jī)制是：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交換、流量填充、路由控制和公證。7、X.800定義的5種普遍的安全機(jī)制是：可信功能度、安全標(biāo)志、事件檢測(cè)、安全審計(jì)跟蹤和安全恢復(fù)。二、思考題2、基本的安全威脅有哪些？主要的滲入類型威脅是什么？主要的植入類型威脅時(shí)什么？請(qǐng)列出幾種最主要的威脅。答：基本的安全威脅有：信息泄露、完整性破壞、拒絕服務(wù)、非法使用。主要的滲入類型威脅有：假冒、旁路、授權(quán)侵犯。主要的植入威脅有：特洛伊木馬

、陷門最主要安全威脅：（1）授權(quán)侵犯（2）假冒攻擊（3）旁路控制（4）特洛伊木馬或陷阱（5）媒體廢棄物（出現(xiàn)的頻率有高到低）4.什么是安全策略？安全策略有幾個(gè)不同的等級(jí)？

答：安全策略：是指在某個(gè)安全區(qū)域內(nèi)，施加給所有與安全相關(guān)活動(dòng)的一套規(guī)則。安全策略的等級(jí)：1安全策略目標(biāo)；2機(jī)構(gòu)安全策略；3系統(tǒng)安全策略。

6.主動(dòng)攻擊和被動(dòng)攻擊的區(qū)別是什么？請(qǐng)舉例說明。

答：區(qū)別：被動(dòng)攻擊時(shí)系統(tǒng)的操作和狀態(tài)不會(huì)改變，因此被動(dòng)攻擊主要威脅信息的保密性。主動(dòng)攻擊則意在篡改或者偽造信息、也可以是改變系統(tǒng)的狀態(tài)和操作，因此主動(dòng)攻擊主要威脅信息的完整性、可用性和真實(shí)性。主動(dòng)攻擊的例子：偽裝攻擊、重放攻擊、消息篡改、拒絕服務(wù)。

被動(dòng)攻擊的例子：消息泄漏、流量分析。9、請(qǐng)畫出一個(gè)通用的網(wǎng)絡(luò)安全模式，并說明每個(gè)功能實(shí)體的作用。網(wǎng)絡(luò)安全模式如下：網(wǎng)絡(luò)安全模型由六個(gè)功能實(shí)體組成：消息的發(fā)送方（信源）、消息的接收方（信宿）、安全變換、信息通道、可信的第三方和攻擊者。第二章低層協(xié)議的安全性一、填空題1、主機(jī)的IPv4的長(zhǎng)度為32b，主機(jī)的MAC地址長(zhǎng)度為48b。IPv6的地址長(zhǎng)度為128b。2、ARP的主要功能是將IP地址轉(zhuǎn)換成為物理地址3、NAT的主要功能是實(shí)現(xiàn)網(wǎng)絡(luò)地址和IP地址之間的轉(zhuǎn)換，它解決了IPv4地址短缺的問題。4、DNS服務(wù)使用53號(hào)端口，它用來實(shí)現(xiàn)域名到IP地址或IP地址到域名的映射。二、思考題1、簡(jiǎn)述以太網(wǎng)上一次TCP會(huì)話所經(jīng)歷的步驟和涉及的協(xié)議。答：步驟：開放TCP連接是一個(gè)3步握手過程：在服務(wù)器收到初始的SYN數(shù)據(jù)包后，該連接處于半開放狀態(tài)。此后，服務(wù)器返回自己的序號(hào)，并等待確認(rèn)。最后，客戶機(jī)發(fā)送第3個(gè)數(shù)據(jù)包使TCP連接開放，在客戶機(jī)和服務(wù)器之間建立連接。協(xié)議:路由協(xié)議、Internet協(xié)議、TCP/IP協(xié)議2、在TCP連接建立的3步握手階段，攻擊者為什么可以成功實(shí)施SYNFlood攻擊？在實(shí)際中，如何防范此類攻擊？答：當(dāng)TCP處于半開放狀態(tài)時(shí)，攻擊者可以成功利用SYNFlood對(duì)服務(wù)器發(fā)動(dòng)攻擊。攻擊者使用第一個(gè)數(shù)據(jù)包對(duì)服務(wù)器進(jìn)行大流量沖擊，使服務(wù)器一直處于半開放連接狀態(tài)，導(dǎo)致服務(wù)器無法實(shí)現(xiàn)3步握手協(xié)議。防范SYNFlood攻擊，一類是通過防火墻、路由器等過濾網(wǎng)關(guān)防護(hù)；另一類是通過加固TCP/IP協(xié)議棧防范。4、為什么UDP比BGP的主要區(qū)別。答：由于UDP自身缺少流控制特性，所以采用UDP進(jìn)行大流量的數(shù)據(jù)傳輸時(shí)，就可能造成堵塞主機(jī)或路由器，并導(dǎo)致大量的數(shù)據(jù)包丟失；UDP沒有電路概念，所以發(fā)往給定端口的數(shù)據(jù)包都被發(fā)送給同一個(gè)進(jìn)程，而忽略了源地址和源端口號(hào)；UDP沒有交換握手信息和序號(hào)的過程，所以采用UDP欺騙要比使用TCP更容易。9、通過DNS劫持會(huì)對(duì)目標(biāo)系統(tǒng)產(chǎn)生什么樣的影響？如何避免？答：通過劫持了DNS服務(wù)器，通過某些手段取得某域名的解析記錄控制權(quán)，進(jìn)而修改此域名的解析結(jié)果，導(dǎo)致對(duì)該域名的訪問由原IP地址轉(zhuǎn)入到修改后的指定IP，其結(jié)果就是對(duì)特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址。避免DNS劫持:暴露的主機(jī)不要采用基于名稱的認(rèn)證；不要把秘密的信息放在主機(jī)名中；進(jìn)行數(shù)字簽名14、判斷下列情況是否可能存在？為什么？（1）通過ICMP數(shù)據(jù)包封裝數(shù)據(jù)，與遠(yuǎn)程主機(jī)進(jìn)行類似UDP的通信。（2）通過特意構(gòu)造的TCP數(shù)據(jù)包，中斷兩臺(tái)機(jī)器之間指定的一個(gè)TCP會(huì)話。答：（1）不存在。TCP/UDP是傳輸層（四層）的協(xié)議，只能為其上層提供服務(wù)，而ICMP是網(wǎng)絡(luò)互聯(lián)層（三層）的協(xié)議，怎么可能反過來用四層協(xié)議來為比它還低層的數(shù)據(jù)包來服務(wù)呢。（2）如果攻擊者能夠預(yù)測(cè)目標(biāo)主機(jī)選擇的起始序號(hào)，他就可能欺騙該目標(biāo)主機(jī)，使目標(biāo)主機(jī)相信自己正在與一臺(tái)可信的主機(jī)會(huì)話。第4章單（私）鑰加密體制一、填空題1、密碼體制的語法定義由以下六部分構(gòu)成：明文消息空間、密文消息空間、加密密鑰空間、密鑰生成算法、加密算法、解密算法。2、單（私）鑰加密體制的特點(diǎn)是：通信雙方采用的密鑰相同所以人們通常也稱其為對(duì)稱加密體制。第9章數(shù)字證書與公鑰基礎(chǔ)設(shè)施一、選擇題1．?dāng)?shù)字證書將用戶與其B相聯(lián)系。A.私鑰B.公鑰C.護(hù)照D.駕照2．用戶的B不能出現(xiàn)在數(shù)字證書中。A.公鑰B.私鑰C.組織名D.人名3.A可以簽發(fā)數(shù)字證書。A．CAB.政府C.小店主D.銀行4．D標(biāo)準(zhǔn)定義數(shù)字證書結(jié)構(gòu)。A.X.500B.TCP/IPC.ASN.1D.X.5095．RAA簽發(fā)數(shù)字證書。A.可以B.不必C.必須D.不能6．CA使用D簽名數(shù)字證書。A.用戶的公鑰B.用戶的私鑰C.自己的公鑰D.自己的私鑰7.要解決信任問題，需使用C。A.公鑰B.自簽名證書C.數(shù)字證書D.數(shù)字簽名8.CRL是C的。A.聯(lián)機(jī)B.聯(lián)機(jī)和脫機(jī)C.脫機(jī)D.未定義9.OCSP是A的。A.聯(lián)機(jī)B.聯(lián)機(jī)和脫機(jī)C.脫機(jī)D.未定義10.最高權(quán)威的CA稱為C。A.RCAB.RAC.SOAD.ARA二、思考題1、數(shù)字證書的典型內(nèi)容什么？答：數(shù)字證書的概念：一個(gè)用戶的身份與其所持有的公鑰的結(jié)合，由一個(gè)可信任的權(quán)威機(jī)構(gòu)CA來證實(shí)用戶的身份，然后由該機(jī)構(gòu)對(duì)該用戶身份及對(duì)應(yīng)公鑰相結(jié)合的證書進(jìn)行數(shù)字簽名，以證明其證書的有效性。一般包括：證書的版本信息；證書的序列號(hào)，每個(gè)證書都有一個(gè)唯一的證書序列號(hào)；（3）證書所使用的簽名算法；（4）證書的發(fā)型機(jī)構(gòu)名稱；（5）證書的有效期；（6）證書所有人名稱；（7）證書所有人的公開密鑰；（8）證書發(fā)行者對(duì)證書的簽名；4、簡(jiǎn)述撤銷數(shù)字證書的原因？答：(1)數(shù)字證書持有者報(bào)告該證書中指定公鑰對(duì)應(yīng)的私鑰被破解（被盜）；(2)CA發(fā)現(xiàn)簽發(fā)數(shù)字證書是出錯(cuò)；(3)證書持有者離職，而證書為其在職期間簽發(fā)的。10、攻擊者A創(chuàng)建了一個(gè)證書，放置一個(gè)真實(shí)的組織名（假設(shè)為銀行B）及攻擊者自己的公鑰。你在不知道是攻擊者在發(fā)送的情形下，得到了該證書，誤認(rèn)為該證書來自銀行B。請(qǐng)問如何防止該問題的產(chǎn)生？答：第10章網(wǎng)絡(luò)加密與密鑰管理一、填空題1、網(wǎng)絡(luò)加密方式有4種，它們分別是鏈路加密、節(jié)點(diǎn)加密、端到端加密和混合加密。2、在通信網(wǎng)的數(shù)據(jù)加密中，密鑰可分為基本密鑰、會(huì)話密鑰、密鑰加密密鑰、主機(jī)主密鑰。3、密鑰分配的基本方法有利用安全信道實(shí)現(xiàn)密鑰傳輸、利用雙鑰體制建立安全信道傳遞和利用特定的物理現(xiàn)象實(shí)現(xiàn)密鑰傳遞等4、在網(wǎng)絡(luò)中，可信第三方TTP的角色可以由密鑰服務(wù)器、密鑰管理設(shè)備、密鑰查閱服務(wù)和時(shí)戳代理等來承擔(dān)（請(qǐng)任意舉出4個(gè)例子）5、按照協(xié)議的功能分類，密碼協(xié)議可以分為認(rèn)證建立協(xié)議、密鑰建立協(xié)議、認(rèn)證的密鑰建立協(xié)議。6、Diffie-Hellman密鑰交換協(xié)議不能抵抗中間人的攻擊7、Kerberos提供AA.加密B.SSOC.遠(yuǎn)程登錄D.本地登陸8、在Kerberos中，允許用戶訪問不同應(yīng)用程序或服務(wù)器的服務(wù)器稱為AA.ASB.TGTC.TGSD.文件服務(wù)器9、在Kerberos中，C與系統(tǒng)中的每個(gè)用戶共享唯一一個(gè)口令。A.ASB.TGTC.TGSD.文件服務(wù)器二、思考題1、網(wǎng)絡(luò)加密有哪幾種方式？請(qǐng)比較它們的優(yōu)缺點(diǎn)。答：網(wǎng)絡(luò)加密的方式有4種分別是鏈路加密、節(jié)點(diǎn)加密、端到端加密、混合加密。鏈路加密的優(yōu)點(diǎn)：(1)加密對(duì)用戶是透明的，通過鏈路發(fā)送的任何信息在發(fā)送前都先被加密。(2)每個(gè)鏈路只需要一對(duì)密鑰。(3)提供了信號(hào)流安全機(jī)制。缺點(diǎn)：數(shù)據(jù)在中間結(jié)點(diǎn)以明文形式出現(xiàn)，維護(hù)結(jié)點(diǎn)安全性的代價(jià)較高。節(jié)點(diǎn)加密的優(yōu)點(diǎn)：（1）消息的加、解密在安全模塊中進(jìn)行，這使消息內(nèi)容不會(huì)被泄密加密對(duì)用戶透明缺點(diǎn)：（1）某些信息（如報(bào)頭和路由信息）必須以明文形式傳輸（2）因?yàn)樗泄?jié)點(diǎn)都必須有密鑰，密鑰分發(fā)和管理變的困難端到端加密的優(yōu)點(diǎn)：①對(duì)兩個(gè)終端之間的整個(gè)通信線路進(jìn)行加密②只需要2臺(tái)加密機(jī)，1臺(tái)在發(fā)端，1臺(tái)在收端③從發(fā)端到收端的傳輸過程中，報(bào)文始終以密文存在④消息報(bào)頭（源/目的地址）不能加密，以明文傳送⑤只需要2臺(tái)加密機(jī)，1臺(tái)在發(fā)端，1臺(tái)在收端⑥從發(fā)端到收端的傳輸過程中，報(bào)文始終以密文存在⑦比鏈路和節(jié)點(diǎn)加密更安全可靠，更容易設(shè)計(jì)和維護(hù)缺點(diǎn)：不能防止業(yè)務(wù)流分析攻擊。混合加密的是鏈路和端到端混合加密組成。優(yōu)點(diǎn)：從成本、靈活性和安全性來看，一般端到端加密方式較有吸引力。對(duì)于某些遠(yuǎn)程機(jī)構(gòu)，鏈路加密可能更為合適。缺點(diǎn)信息的安全設(shè)計(jì)較復(fù)雜。4、密鑰有哪些種類？它們各自的用途是什么？請(qǐng)簡(jiǎn)述它們之間的關(guān)系？答：種類：1、基本密鑰或稱初始密鑰其用途是與會(huì)話密鑰一起去啟動(dòng)和控制某種算法所構(gòu)造的密鑰產(chǎn)生器，產(chǎn)生用于加密數(shù)據(jù)的密鑰流。2、會(huì)話密鑰其用途是使人們可以不必繁瑣的更換基本密鑰，有利于密鑰的安全和管理。3、密鑰加密密鑰用途是用于對(duì)傳送的會(huì)話或文件密鑰進(jìn)行加密時(shí)采用的密鑰，也成為次主密鑰、輔助密鑰或密鑰傳送密鑰。4、主機(jī)主密鑰作用是對(duì)密鑰加密密鑰進(jìn)行加密的密鑰，存儲(chǔ)于主機(jī)處理器中。5、雙鑰體制下的公開鑰和秘密鑰、簽名密鑰、證實(shí)密鑰。關(guān)系如圖：7、密鑰分配的基本模式有哪些？（a）點(diǎn)對(duì)點(diǎn)密鑰分配：由A直接將密鑰送給B，利用A與B的共享基本密鑰加密實(shí)現(xiàn)。（b）密鑰分配中心（KDC）：A向KDC請(qǐng)求發(fā)送與B通信用的密鑰，KDC生成k傳給A,并通過A轉(zhuǎn)遞給B，利用A與KDC和B與KDC的共享密鑰實(shí)現(xiàn)。（c）密鑰傳遞中心（KTC）：A與KTC，B與KTC有共享基本密鑰。11、在密碼系統(tǒng)中，密鑰是如何進(jìn)行保護(hù)、存儲(chǔ)和備份的？密鑰的保護(hù)：將密鑰按類型分成不同的等級(jí)。大量的數(shù)據(jù)通過少量的動(dòng)態(tài)產(chǎn)生的初級(jí)密鑰來保護(hù)。初級(jí)密鑰用更少量的、相對(duì)不變的二級(jí)密鑰或主密鑰KM0來保護(hù)。二級(jí)密鑰用主機(jī)主密鑰KM1,KM2來保護(hù)。少量的主密鑰以明文形式存儲(chǔ)在專用的密碼裝置中，其余的密鑰以密文形式存儲(chǔ)在專用密碼裝置以外。這樣，就把保護(hù)大量數(shù)據(jù)的問題簡(jiǎn)化為保護(hù)和使用少量數(shù)據(jù)的問題。密鑰的存儲(chǔ)：密鑰在多數(shù)時(shí)間處于靜態(tài)，因此對(duì)密鑰的保存是密鑰管理重要內(nèi)容。密鑰可以作為一個(gè)整體進(jìn)行保存，也可化為部分進(jìn)行保存。密鑰的硬件存儲(chǔ)；使用門限方案的密鑰保存；公鑰在公用媒體中存儲(chǔ)。密鑰的備份：交給安全人員放在安全的地方保管；采用共享密鑰協(xié)議。第12章防火墻技術(shù)一、填空題防火墻應(yīng)位于___C_A、公司網(wǎng)絡(luò)內(nèi)部B、公司網(wǎng)絡(luò)外部C、公司網(wǎng)絡(luò)與外部網(wǎng)絡(luò)D、都不對(duì)應(yīng)用網(wǎng)關(guān)的安全性__B__包過濾防火墻。不如B、超過C、等于D、都不對(duì)防火墻可以分為靜態(tài)包過濾、動(dòng)態(tài)包過濾、電路級(jí)網(wǎng)關(guān)、應(yīng)用級(jí)網(wǎng)關(guān)、狀態(tài)檢查包過濾、切換代理和空氣隙7種類型。靜態(tài)包過濾防火墻工作于OSI模型的網(wǎng)絡(luò)層上，他對(duì)數(shù)據(jù)包的某些特定域進(jìn)行檢查，這些特定域包括：數(shù)據(jù)源地址、目的地址、應(yīng)用或協(xié)議、源端口號(hào)、目的端口號(hào)。動(dòng)態(tài)包過濾防火墻工作于OSI模型的網(wǎng)絡(luò)層上，他對(duì)數(shù)據(jù)包的某些特定域進(jìn)行檢查，這些特定域包括數(shù)據(jù)源地址、目的地址、應(yīng)用或協(xié)議、源端口號(hào)、目的端口號(hào)。電路級(jí)網(wǎng)關(guān)工作于OSI模型的會(huì)話層上，它檢查數(shù)據(jù)包中的數(shù)據(jù)分別為源地址、目的地址、應(yīng)用或協(xié)議、源端口號(hào)、目的端口號(hào)和握手信息及序列號(hào)。應(yīng)用級(jí)網(wǎng)關(guān)工作于OSI模型的應(yīng)用層上，它可以對(duì)整個(gè)數(shù)據(jù)包進(jìn)行檢查，因此其安全性最高。狀態(tài)檢測(cè)防火墻工作于OSI模型的網(wǎng)絡(luò)層上，所以在理論上具有很高的安全性，但是現(xiàn)有的大多數(shù)狀態(tài)檢測(cè)防火墻只工作于網(wǎng)絡(luò)層上，因此其安全性與包過濾防火墻相當(dāng)。切換代理在連接建立階段工作于OSI模型的會(huì)話層上，當(dāng)連接建立完成值后，再切換到動(dòng)態(tài)包過濾模式，即工作于OSI模型的網(wǎng)絡(luò)層上?？諝庀斗阑饓σ卜Q作安全網(wǎng)閘，它在外網(wǎng)和內(nèi)網(wǎng)之間實(shí)現(xiàn)了真正的隔離。二、思考題1.防火墻一般有幾個(gè)接口？什么是防火墻的非軍事區(qū)（DMZ）？它的作用是什么？答：防火墻一般有3個(gè)或3個(gè)以上的接口。網(wǎng)關(guān)所在的網(wǎng)絡(luò)稱為‘非軍事區(qū)’（DZM）。網(wǎng)關(guān)的作用是提供中繼服務(wù)，以補(bǔ)償過濾器帶來的影響。2.為什么防火墻要具有NAT功能？在NAT中為什么要記錄端口號(hào)？答：使用NAT的防火墻具有另一個(gè)優(yōu)點(diǎn)，它可以隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，這在某種程度上提升了網(wǎng)絡(luò)的安全性。在NAT中記錄端口號(hào)是因?yàn)樵趯?shí)現(xiàn)端口地址轉(zhuǎn)換功能時(shí)，兩次NAT的數(shù)據(jù)包通過端口號(hào)加以區(qū)分。9.應(yīng)用級(jí)網(wǎng)關(guān)與電路級(jí)網(wǎng)關(guān)有何不同？簡(jiǎn)述應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)缺點(diǎn)。答：與電路級(jí)網(wǎng)關(guān)不同的是應(yīng)用級(jí)網(wǎng)關(guān)必須針對(duì)每個(gè)特定的服務(wù)運(yùn)行一個(gè)特定的代理，它只能對(duì)特定服務(wù)所生成的數(shù)據(jù)包進(jìn)行傳遞和過濾。應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)點(diǎn)：1、在已有的安全模型中安全性較高2、具有強(qiáng)大的認(rèn)證功能3、具有超強(qiáng)的日志功能4、應(yīng)用級(jí)網(wǎng)關(guān)防火墻的規(guī)則配置比較簡(jiǎn)單缺點(diǎn)：1、靈活性差2、配置復(fù)雜3、性能不高14.防火墻有什么局限性？答：防火墻是Internet安全的最基本組成部分，但對(duì)于內(nèi)部攻擊以及繞過防火墻的連接卻無能為力，另外，攻擊者可能利用防火墻為某些業(yè)務(wù)提供的特殊通道對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊，注入病毒或木馬。15.軟件防火墻與硬件防火墻之間的區(qū)別是什么？答：軟件防火墻是利用CPU的運(yùn)算能力進(jìn)行數(shù)據(jù)處理，而硬件防火墻使用專用的芯片級(jí)處理機(jī)制。第13章入侵檢測(cè)系統(tǒng)一、填空題1、根據(jù)數(shù)據(jù)源的來源不同，IDS可分為基于網(wǎng)絡(luò)NID3、基于主機(jī)HIDS和兩種都有DIDS種類型。2、一個(gè)通用的IDS模型主要由數(shù)據(jù)收集、檢測(cè)器、知識(shí)庫和控制器4部分組成。3、入侵檢測(cè)分為3個(gè)步驟，分別為信息收集、數(shù)據(jù)分析和響應(yīng)。4、一個(gè)NIDS的功能結(jié)構(gòu)上至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理4部分功能5、DIDS通常由數(shù)據(jù)采集構(gòu)建、通信傳輸構(gòu)建、入侵檢測(cè)分析、應(yīng)急處理的構(gòu)建和用戶管理構(gòu)建5個(gè)構(gòu)建組成。6、IDS控制臺(tái)主要由日志檢索、探測(cè)器管理、規(guī)則管理、日志報(bào)表和用戶管理5個(gè)功能模塊構(gòu)成。7、HIDS常安裝于被保護(hù)的主機(jī)，NIDS常安裝于網(wǎng)絡(luò)入口處。8、潛在人侵者的可以通過檢查蜜罐日志來獲取。9、吸引潛在攻擊者陷阱為蜜罐。二、思考題2、入侵檢測(cè)系統(tǒng)按照功能可分為哪幾類,有哪些主要功能?答：功能構(gòu)成包含：事件提取、入侵分析、入侵響應(yīng)、遠(yuǎn)程管理4個(gè)部分功能網(wǎng)絡(luò)流量的跟蹤與分析功能已知攻擊特征的識(shí)別功能異常行為的分析、統(tǒng)計(jì)與響應(yīng)功能特征庫的在線和離線升級(jí)功能數(shù)據(jù)文件的完整性檢查功能自定義的響應(yīng)功能系統(tǒng)漏洞的預(yù)報(bào)警功能IDS探測(cè)器集中管理功能3、一個(gè)好的IDS應(yīng)該滿足哪些基本特征？答：1、可以使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更2、能給網(wǎng)絡(luò)安全策略的制定提供依據(jù)3、它應(yīng)該管理、配置簡(jiǎn)單，即使非專業(yè)人員也非常容易使用4、入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變5、入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后會(huì)及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警。6、什么是異常檢測(cè)，基于異常檢測(cè)原理的入侵檢測(cè)方法有哪些？答：異常檢測(cè)技術(shù)又稱為基于行為的入侵檢測(cè)技術(shù)，用來識(shí)別主機(jī)或網(wǎng)絡(luò)中的異常行為。通過收集操作活動(dòng)的歷史數(shù)據(jù)，建立代表主機(jī)、用戶或網(wǎng)絡(luò)連接的正常行為描述，判斷是否發(fā)生入侵。統(tǒng)計(jì)異常檢測(cè)方法特征選擇異常檢測(cè)方法基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法基于貝葉斯推理異常檢測(cè)方法基于模式預(yù)測(cè)異常檢測(cè)方法7、什么是誤用檢測(cè)，基于誤用檢測(cè)原理的入侵檢測(cè)方法有哪些？答：誤用檢測(cè)技術(shù)又稱為基于知識(shí)的檢測(cè)技術(shù)。它通過對(duì)已知的入侵行為和手段進(jìn)行分析，提取檢測(cè)特征，構(gòu)建攻擊模式或攻擊簽名，判斷入侵行為。1、基于條件的概率誤用檢測(cè)方法2、基于專家系統(tǒng)誤用檢測(cè)方法3、基于狀態(tài)遷移分析誤用檢測(cè)方法4、基于鍵盤監(jiān)控誤用檢測(cè)方法5、基于模型誤用檢測(cè)方法10、蜜網(wǎng)和蜜罐的作用是什么，它們?cè)跈z測(cè)入侵方面有什么優(yōu)勢(shì)？蜜罐的作用:1、把潛在入侵者的注意力從關(guān)鍵系統(tǒng)移開2、收集入侵者的動(dòng)作信息3、設(shè)法讓攻擊者停留一段時(shí)間，使管理員能檢測(cè)到它并采取相應(yīng)的措施。蜜網(wǎng)的作用：1、蜜網(wǎng)在確保不被入侵者發(fā)現(xiàn)誘騙的前提下，盡可能多地捕獲攻擊行為信息，2、Honeynet向Internet發(fā)起的連接進(jìn)行跟蹤，一旦Honeynet達(dá)到了規(guī)定的向外的連接數(shù)，防火墻將阻斷任何后續(xù)的連接，并且及時(shí)向系統(tǒng)管理員發(fā)出警告信息3、IDS在數(shù)據(jù)鏈路層對(duì)蜜網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行監(jiān)控，分析和抓取以便將來能夠重現(xiàn)攻擊行為，同時(shí)在發(fā)現(xiàn)可疑舉動(dòng)時(shí)報(bào)警。蜜罐和蜜網(wǎng)能從現(xiàn)存的各種威脅中提取有用的信息，發(fā)現(xiàn)新型的攻擊工具，確定攻擊模式并研究攻擊者的攻擊動(dòng)機(jī)，從而確定更好的對(duì)策。第14章VPN技術(shù)一、填空題1、根據(jù)訪問方法的不同，VPN可以分為遠(yuǎn)程訪問VPN和網(wǎng)關(guān)-網(wǎng)關(guān)VPN兩種類型。2、VNP的關(guān)鍵技術(shù)包括隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)和訪問控制等。第2層隧道協(xié)議主要有PPTP、L2F和L2TP3個(gè)協(xié)議。第3層隧道協(xié)議主要有IPSec、GRE和MPLS3個(gè)協(xié)議。IPSec的主要功能是實(shí)現(xiàn)加密、認(rèn)證和密鑰交換，這3個(gè)功能分別由AH、ESP和IKE3個(gè)協(xié)議來實(shí)現(xiàn)IPSecVPN主要由管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加/解密模塊和數(shù)據(jù)分組封裝/分解模塊5個(gè)模塊組成。IPSec在OSI參考模型的C層提供安全性。A.應(yīng)用B.傳輸C.網(wǎng)絡(luò)D.數(shù)據(jù)鏈路ISAKMP/Oakley與D相關(guān)。A.SSLB.SETC.SHTTPD.IPSecIPSec中的加密是由D完成的。A.AHB.TCP/IPC.IKED.ESP在A情況下，IP頭才需要加密。A.信道模式B.傳輸模式C.信道模式和傳輸模式D、無模式第一章引言1、網(wǎng)絡(luò)安全的基本目標(biāo)：保密性、完整性、可用性、合法使用2、計(jì)算機(jī)病毒的發(fā)展態(tài)勢(shì)：1）、計(jì)算機(jī)病毒層出不窮2）、黑客攻勢(shì)逐年攀升3）、系統(tǒng)存在安全漏洞4）、各國軍方加緊信息戰(zhàn)研究3、典型的安全威脅：假冒攻擊/冒充攻擊、截獲、竊聽、篡改、消息重發(fā)/重放攻擊、拒絕服務(wù)攻擊DOS、DDOS（各定義詳見課本）4、防止重放攻擊的方法：時(shí)間戳、序號(hào)、提問與應(yīng)答。5、防范口令攻擊的方法、暴力破解、字典攻擊：阻止選擇低級(jí)口令；對(duì)口令文件嚴(yán)格保護(hù)。要徹底解決口令機(jī)制的弊端是使用基于令牌的機(jī)制，轉(zhuǎn)而使用基于令牌的機(jī)制。如果暫時(shí)不能做到，起碼要使用一次性口令方案。7、認(rèn)證：認(rèn)證服務(wù)與保證通信的真實(shí)性有關(guān).在單條消息下,如一條警告或報(bào)警信號(hào)認(rèn)證服務(wù)是向接收方保證信息來自所聲稱的發(fā)送方.對(duì)于正在進(jìn)行的交互,如終端和主機(jī)連接,就設(shè)計(jì)兩個(gè)方面的問題:首先,在連接的初始化階段,認(rèn)證服務(wù)保證兩個(gè)實(shí)體是可信的,也就是說,每個(gè)實(shí)體都是它們所聲稱的實(shí)體;其次,認(rèn)證服務(wù)必須保證該連接不受第三方的干擾,例如,第三方能夠偽裝成兩個(gè)合法實(shí)體中的一方,進(jìn)行非授權(quán)的傳輸或接收.兩個(gè)特殊的認(rèn)證服務(wù):同等實(shí)體認(rèn)證、數(shù)據(jù)源認(rèn)證.認(rèn)證機(jī)制的失效易導(dǎo)致服務(wù)器被攻擊者欺騙。被破壞的主機(jī)不會(huì)進(jìn)行安全加密，因此對(duì)源主機(jī)采用密碼認(rèn)證的方式無用。通過修改認(rèn)證方案消除其缺陷，完全可以挫敗這種類型的攻擊。8、網(wǎng)絡(luò)安全的模型及說明（詳見課本）第二章底層協(xié)議的安全性9、IP協(xié)議的安全缺陷：1）IP協(xié)議不能保證數(shù)據(jù)就是從數(shù)據(jù)包中給定的源地址發(fā)出的，你絕對(duì)不能靠對(duì)源地址的有效性檢驗(yàn)來判斷數(shù)據(jù)包的好壞；2）攻擊者可以發(fā)送含有偽造返回地址的數(shù)據(jù)包，這種攻擊叫做IP欺騙攻擊；3）當(dāng)路由器遇到大數(shù)據(jù)流量的情況下，可能在沒有任何提示的情況下丟掉一些數(shù)據(jù)包；4）大數(shù)據(jù)包可能在中間節(jié)點(diǎn)上被分拆成小數(shù)據(jù)包。通過向包過濾器注入大量病態(tài)的小數(shù)據(jù)包，可以對(duì)包過濾器造成破壞；10、ARP功能：以太網(wǎng)發(fā)送的是48位以太地址的數(shù)據(jù)包；IP驅(qū)動(dòng)程序必須將32位IP目標(biāo)地址轉(zhuǎn)換成48位地址；兩類地址存在靜態(tài)或算法上的影射；ARP用來確定兩者之間的影射關(guān)系。ARP欺騙：一臺(tái)不可信賴的計(jì)算機(jī)會(huì)發(fā)出假冒的ARP查詢或應(yīng)答信息，并將所有流向它的數(shù)據(jù)流轉(zhuǎn)移。這樣，它就可以偽裝成某臺(tái)機(jī)器，或修改數(shù)據(jù)流。這種攻擊叫做ARP欺騙攻擊11、ICMP泛洪攻擊：黑客能夠用ICMP對(duì)消息進(jìn)行重定向。只要黑客能夠篡改你到達(dá)目的地的正確路由，他就有可能攻破你的計(jì)算機(jī)。一般來說，重定向消息應(yīng)該僅由主機(jī)執(zhí)行，而不是由路由器來執(zhí)行。僅當(dāng)消息直接來自路由器時(shí)，才由路由器執(zhí)行重定向。然而，有時(shí)網(wǎng)管員有可能使用ICMP創(chuàng)建通往目的地的新路由。這種非常不謹(jǐn)慎的行為最終會(huì)導(dǎo)致非常嚴(yán)重的網(wǎng)絡(luò)安全問題。12、TCP連接的三次握手過程：用三次握手建立TCP連接，如圖所示：A的TCP向B發(fā)出連接請(qǐng)求報(bào)文段，其首部中的同步位SYN=1，并選擇序號(hào)seq=x，表明傳送數(shù)據(jù)時(shí)的第一個(gè)數(shù)據(jù)字節(jié)的序號(hào)是x。B的TCP收到連接請(qǐng)求報(bào)文段后，如同意，則發(fā)回確認(rèn)。B在確認(rèn)報(bào)文段中應(yīng)使SYN=1，使ACK=1，其確認(rèn)號(hào)ack=x+1，自己選擇的序號(hào)seq=y。A收到此報(bào)文段后向B給出確認(rèn)，其ACK=1，確認(rèn)號(hào)ack==y+1。A的TCP通知上層應(yīng)用進(jìn)程，連接已經(jīng)建立。B的TCP收到主機(jī)A的確認(rèn)后，也通知其上層應(yīng)用進(jìn)程：TCP連接已經(jīng)建立。PAGEPAGE1613、TCPSYN洪泛攻擊：攻擊者利用TCP連接的半開放狀態(tài)發(fā)動(dòng)攻擊。攻擊者使用第一個(gè)數(shù)據(jù)包對(duì)服務(wù)器進(jìn)行大流量沖擊，使服務(wù)器一直處于半開放連接狀態(tài)，從而無法完成3步握手協(xié)議。14、DHCP、DNS服務(wù)器功能：域名DHCP用來分配IP地址，并提供啟動(dòng)計(jì)算機(jī)（或喚醒一個(gè)新網(wǎng)絡(luò)）的其他信息，它是BOOTP的擴(kuò)展。域名系統(tǒng)DNS是一個(gè)分布式數(shù)據(jù)庫系統(tǒng)，用來實(shí)現(xiàn)“域名—IP地址”，或“IP地址—域名”的影射。15、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT：NAT的主要作用是解決當(dāng)前IPv4地址空間缺乏的問題。從概念上講，NAT非常簡(jiǎn)單：它們監(jiān)聽使用了所謂專用地址空間的內(nèi)部接口，并對(duì)外出的數(shù)據(jù)包重寫其源地址和端口號(hào)。外出數(shù)據(jù)包的源地址使用了ISP為外部接口分配的Internet靜態(tài)IP地址。對(duì)于返回的數(shù)據(jù)包，它們執(zhí)行相反的操作。NAT存在的價(jià)值在于IPv4的短缺。協(xié)議的復(fù)雜性使NAT變得很不可靠。在這種情況下，我們?cè)诰W(wǎng)絡(luò)中必須使用真正意義的防火墻，并希望IPv6的應(yīng)用盡快得到普及。第二部分密碼學(xué)16、密碼體制構(gòu)成的五個(gè)要素：明文空間M、密文空間C、密鑰空間K、加密算法E、解密算法D。17、雙鑰密碼體制的基本概念及各自的密鑰的功能和作用：基本概念是公鑰密碼技術(shù)又稱非對(duì)稱密碼技術(shù)或雙鑰密碼技術(shù)，其加密和解密數(shù)據(jù)使用不同的密鑰。公開密鑰(public-key)，可以被任何人知道，用于加密或驗(yàn)證簽名。私鑰(private-key)，只能被消息的接收者或簽名者知道，用于解密或簽名。18、數(shù)字簽名的基本概念：收方能夠確認(rèn)或證實(shí)發(fā)方的簽名，但不能偽造，簡(jiǎn)記為R1-條件；發(fā)方發(fā)出簽名的消息給收方后，就不能再否認(rèn)他所簽發(fā)的消息，簡(jiǎn)記為S-條件；收方對(duì)已收到的簽名消息不能否認(rèn)，即有收?qǐng)?bào)認(rèn)證，簡(jiǎn)記為R2-條件；第三者可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過程，簡(jiǎn)記為T-條件。第九章公鑰基礎(chǔ)設(shè)施19、PKI定義及主要任務(wù)1）定義：PKI公鑰基礎(chǔ)設(shè)施，是一種遵循標(biāo)準(zhǔn)的利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。其目的是解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全服務(wù)。2）主要任務(wù)：確立可信任的數(shù)字身份。20、PKI體系組成部分：證書機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)、證書發(fā)布庫、密鑰備份與恢復(fù)、證書撤銷、PKI應(yīng)用接口21、CA系統(tǒng)功能：證書生成、證書頒布、證書撤銷、證書更新、證書歸檔、CA自身管理、日志審計(jì)、密鑰恢復(fù)。22、RA系統(tǒng)功能：填寫用戶注冊(cè)信息、提交用戶注冊(cè)信息、審核、發(fā)送生成證書申請(qǐng)、發(fā)放證書、登記黑名單、證書撤銷列表管理、日志審計(jì)、自身安全保證.23、證書發(fā)布庫的作用：用于集中存放CA頒發(fā)證書和證書撤銷列表；支持分布式存放，以提高查詢效率；LDAP目錄服務(wù)支持分布式存放，是大規(guī)模PKI系統(tǒng)成功實(shí)施的關(guān)鍵，也是創(chuàng)建高效的認(rèn)證機(jī)構(gòu)的關(guān)鍵技術(shù)24、PKI提供的主要服務(wù)：認(rèn)證服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)保密性服務(wù)、不可否認(rèn)服務(wù)、、公證服務(wù)。25、數(shù)字證書的典型內(nèi)容：證書擁有者的姓名、證書擁有者的公鑰、公鑰的有限期、頒發(fā)數(shù)字證書的單位、頒發(fā)數(shù)字證書單位的數(shù)字簽名、數(shù)字證書的序列號(hào)26、SSL工作層次、協(xié)議構(gòu)成及功能：（詳見課件“PKI補(bǔ)充材料.PPT”）1）工作層次：介于TCP/IP模型應(yīng)用層與傳輸層之間2）協(xié)議分成兩部分：SSL握手協(xié)議:通信雙方互相驗(yàn)證身份、以及安全協(xié)商會(huì)話密鑰SSL記錄協(xié)議:定義了傳輸?shù)母袷?對(duì)上層傳來的數(shù)據(jù)加密后傳輸.3）功能：a鑒別機(jī)制：確保網(wǎng)站的合法性；b保護(hù)隱私：采用加密機(jī)制；c信息完整性：確保傳輸?shù)男畔⒉槐淮鄹?27、數(shù)字證書的驗(yàn)證方法RA驗(yàn)證用戶材料，以明確是否接受用戶注冊(cè)。檢查私鑰的擁有證明（POP，Proofofpossession）。RA要求用戶采用私鑰對(duì)證書簽名請(qǐng)求進(jìn)行數(shù)字簽名。RA生成隨機(jī)數(shù)挑戰(zhàn)信息，用該用戶公鑰加密，并將加密后的挑戰(zhàn)值發(fā)送給用戶。若用戶能用其私鑰解密，則驗(yàn)證通過。RA將數(shù)字證書采用用戶公鑰加密后，發(fā)送給用戶。用戶需要用與公鑰匹配的私鑰解密方可取得明文證書。28、數(shù)字證書撤銷的原因及方法1）原因：a）數(shù)字證書持有者報(bào)告該證書中指定公鑰對(duì)應(yīng)的私鑰被破解（被盜）；b）CA發(fā)現(xiàn)簽發(fā)數(shù)字證書時(shí)出錯(cuò)；c）證書持有者離職，而證書為其在職期間簽發(fā)的。2）方法：發(fā)生第一種情形需由證書持有者進(jìn)行證書撤銷申請(qǐng)；發(fā)生第二種情形時(shí)，CA啟動(dòng)證書撤銷；發(fā)生第三種情形時(shí)需由組織提出證書撤銷申請(qǐng)。29、PMI的定義、PMI與PKI的關(guān)系定義：權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施，是屬性證書、屬性權(quán)威、屬性證書框架等部件的集合體，用來實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。第十章網(wǎng)絡(luò)加密與密鑰管理30、網(wǎng)絡(luò)加密方式及特點(diǎn)1）鏈路加密：a）不同結(jié)點(diǎn)對(duì)之間的密碼機(jī)和密鑰不一定相同；b）在每個(gè)中間節(jié)點(diǎn)上，消息先解密，后加密；c）報(bào)文和報(bào)頭可同時(shí)進(jìn)行加密；d）在結(jié)點(diǎn)內(nèi)部，消息以明文的方式存在；e）在鏈路加密中，密鑰分配存在困難；f）隨著結(jié)點(diǎn)增多，保密機(jī)的需求數(shù)量很大。2）節(jié)點(diǎn)加密：a)在中間節(jié)點(diǎn)先對(duì)消息進(jìn)行解密，然后進(jìn)行加密吧b)在通信鏈路上所 傳輸?shù)南槊芪?；c)加密過程對(duì)用戶是透明；d)消息在節(jié)點(diǎn)以明文形式存在； e)加解密過程在結(jié)點(diǎn)上的一個(gè)安全模塊中進(jìn)行；f)要求報(bào)頭和路由信息以明文 形式傳送。3）端到端加密：a）對(duì)兩個(gè)終端之間的整個(gè)通信線路進(jìn)行加密；b）只需要2臺(tái)加密機(jī)，1臺(tái)在發(fā)端，1臺(tái)在收端；c）從發(fā)端到收端的傳輸過程中，報(bào)文始終以密文存在；d）消息報(bào)頭（源/目的地址）不能加密，以明文傳送；e)只需要2臺(tái)加密機(jī)，1臺(tái)在發(fā)端，1臺(tái)在收端；f)從發(fā)端到收端的傳輸過程中，報(bào)文始終以密文存在；g)比鏈路和節(jié)點(diǎn)加密更安全可靠，更容易設(shè)計(jì)和維護(hù)。4）混合加密:鏈路加密+端到端加密31、軟件加密和硬件的特點(diǎn)：1）硬件加密的特點(diǎn):加密速度快、硬件安全性好、硬件易于安裝。2）軟件加密的特點(diǎn):速度慢、靈活、輕便、可安裝于多種機(jī)器上、可將幾個(gè)軟件組合成一個(gè)系統(tǒng).。32、文件刪除方法：真正從存儲(chǔ)器中消除所存儲(chǔ)的內(nèi)容需用物理上的重復(fù)寫入方法。33、密鑰管理的功能及目的：A）密鑰管理是處理密鑰從產(chǎn)生到最終銷毀的整個(gè)過程中的有關(guān)問題，包括系統(tǒng)的初始化及密鑰的產(chǎn)生、存儲(chǔ)、備份/恢復(fù)、裝入、分配、保護(hù)、更新、控制、丟失、撤銷和銷毀等內(nèi)容。B）目的：是維持系統(tǒng)中各實(shí)體之間的密鑰關(guān)系，以抗擊各種可能的威脅，如：1）密鑰的泄露2）密鑰或公開鑰的確證性的喪失，確證性包括共享或關(guān)于一個(gè)密鑰的實(shí)體身份的知識(shí)或可證性。3）密鑰或公開鑰未經(jīng)授權(quán)使用，如使用失效的密鑰或違例使用密鑰。34、密鑰的種類及各類密鑰的有效期1）基本密鑰：是由用戶選定或由系統(tǒng)分配給他的、可在較長(zhǎng)時(shí)間）內(nèi)由一對(duì)用戶所專用的秘密鑰。記為kp2）會(huì)話密鑰：兩個(gè)通信終端用戶在一次通話或交換數(shù)據(jù)時(shí)所用的密鑰。記為ks3）密鑰加密密鑰：用于對(duì)所傳送的會(huì)話或文件密鑰進(jìn)行加密的密鑰，也稱次主密鑰。記為ke4）主機(jī)密鑰：它是對(duì)密鑰加密鑰進(jìn)行加密的密鑰，存儲(chǔ)于主機(jī)處理器中。記為km5）數(shù)據(jù)加密密鑰：也稱為工作密鑰。6）在雙鑰體制下,有公鑰和私鑰、簽名密鑰和證實(shí)密鑰之分密鑰的分級(jí)保護(hù)管理法：如圖所示，從圖中可以清楚看出各類密鑰的作用和相互關(guān)系。由此可見，大量數(shù)據(jù)可以通過少量動(dòng)態(tài)產(chǎn)生的數(shù)據(jù)加密密鑰（初級(jí)密鑰）進(jìn)行保護(hù)；而數(shù)據(jù)加密密鑰又可由少量的、相對(duì)不變（使用期較長(zhǎng)）的密鑰（二級(jí)）或主機(jī)主密鑰0來保護(hù)；其他主機(jī)主密鑰（1和2）用來保護(hù)三級(jí)密鑰。這樣，只有極少數(shù)密鑰以明文形式存儲(chǔ)在有嚴(yán)密物理保護(hù)的主機(jī)密碼器件中，其他密鑰則以加密后的密文形式存于密碼器之外的存儲(chǔ)器中，因而大大簡(jiǎn)化了密鑰管理，并改了密鑰的安全性。36、將密鑰按類型分成不同的等級(jí)。1）大量的數(shù)據(jù)通過少量的動(dòng)態(tài)產(chǎn)生的初級(jí)密鑰來保護(hù)。2）初級(jí)密鑰用更少量的、相對(duì)不變的二級(jí)密鑰或主密鑰KM0來保護(hù)。3）二級(jí)密鑰用主機(jī)主密鑰KM1,KM2來保護(hù)。4）少量的主密鑰以明文形式存儲(chǔ)在專用的密碼裝置中，其余的密鑰以密文形式存儲(chǔ)在專用密碼裝置以外。這樣，就把保護(hù)大量數(shù)據(jù)的問題簡(jiǎn)化為保護(hù)和使用少量數(shù)據(jù)的問題。（實(shí)際上保護(hù)一個(gè)密鑰，因?yàn)镵M1,KM2是由KM0派生而來。）實(shí)現(xiàn)秘密信息共享的3個(gè)基本方法1)利用安全信道實(shí)現(xiàn)密鑰傳遞2）利用雙鑰體制建立安全信息傳遞3）利用特定物理現(xiàn)象實(shí)現(xiàn)密鑰傳遞。38、密鑰生存期的4個(gè)階段1）預(yù)運(yùn)行階段,此時(shí)密鑰尚不能正常使用2）運(yùn)行階段,密鑰正常使用3）后運(yùn)行階段,密鑰不再提供正常使用,但為了特殊目的可以在脫機(jī)下接入4）報(bào)廢階段,將有關(guān)被吊銷密鑰從所有記錄中山區(qū),這類密鑰不可能再用第十二章防火墻技術(shù)39、防火墻工作原理：防火墻是由軟件和硬件組成的系統(tǒng)，它處于安全的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間，根據(jù)由系統(tǒng)管理員設(shè)置的訪問控制規(guī)則，對(duì)數(shù)據(jù)流進(jìn)行過濾。40、防火墻對(duì)數(shù)據(jù)流的3種處理方式：a允許數(shù)據(jù)流通過；b拒絕數(shù)據(jù)流通過，并向發(fā)送者回復(fù)一條消息，提示發(fā)送者該數(shù)據(jù)流已被拒；c將數(shù)據(jù)流丟棄，不對(duì)這些數(shù)據(jù)包進(jìn)行任何處理，也不會(huì)向發(fā)送者發(fā)送任何提示信息。41、防火墻的要求及基本目標(biāo)：所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須經(jīng)過防火墻；只允許經(jīng)過授權(quán)的數(shù)據(jù)流通過防火墻；防火墻自身對(duì)入侵是免疫的。42、防火墻的OSI模型工作層次及特點(diǎn)防火墻通常建立在TCP/IP模型基礎(chǔ)上，OSI模型與TCP/IP模型之間并不存在一一對(duì)應(yīng)的關(guān)系。43、防火墻的NAT功能：隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，提升網(wǎng)絡(luò)安全性。44、靜態(tài)包過濾防火墻、動(dòng)態(tài)包過濾防火墻的主要區(qū)別1）靜態(tài)包過濾：使用分組報(bào)頭中存儲(chǔ)的信息控制網(wǎng)絡(luò)傳輸。當(dāng)過濾設(shè)備接收到分組時(shí)，把報(bào)頭中存儲(chǔ)的數(shù)據(jù)屬性與訪問控制策略對(duì)比（稱為訪問控制表或ACL），根據(jù)對(duì)比結(jié)果的不同，決定該傳輸是被丟棄還是允許通過。2）動(dòng)態(tài)包過濾：通過包的屬性和維護(hù)一份連接表來監(jiān)視通信會(huì)話的狀態(tài)而不是簡(jiǎn)單依靠標(biāo)志的設(shè)置。針對(duì)傳輸層的，所以選擇動(dòng)態(tài)包過濾時(shí)，要保證防火墻可以維護(hù)用戶將要使用的所有傳輸?shù)臓顟B(tài)，如TCP，UDP，ICMP等。45、狀態(tài)檢測(cè)防火墻的原理及安全性分析1）狀態(tài)檢測(cè)防火墻的原理：通信信息：防火墻的檢測(cè)模塊位于操作系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層之下，能在數(shù)據(jù)包到達(dá)網(wǎng)關(guān)操作系統(tǒng)之前對(duì)它們進(jìn)行分析；通信狀態(tài)：狀態(tài)檢測(cè)防火墻在狀態(tài)表中保存以前的通信信息，記錄從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息；應(yīng)用狀態(tài)：能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用；能從應(yīng)用程序中收集狀態(tài)信息并存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測(cè)策略；操作信息：狀態(tài)監(jiān)測(cè)技術(shù)采用強(qiáng)大的面向?qū)ο蟮姆椒ǎ?）安全性分析：優(yōu)點(diǎn)：具備動(dòng)態(tài)包過濾所有優(yōu)點(diǎn)，同時(shí)具有更高的安全性；沒有打破客戶/服務(wù)器模型；提供集成的動(dòng)態(tài)包過濾功能；運(yùn)行速度更快。缺點(diǎn)：采用單線程進(jìn)程，對(duì)防火墻性能產(chǎn)生很大影響；沒有打破客戶/服務(wù)器結(jié)構(gòu)，會(huì)產(chǎn)生不可接受的安全風(fēng)險(xiǎn)；不能滿足對(duì)高并發(fā)連接數(shù)量的要求；僅能提供較低水平的安全性。46、分布式防火墻系統(tǒng)組成：網(wǎng)絡(luò)防火墻；主機(jī)防火墻；中心管理。47、防火墻未來的發(fā)展方向：智能化；高速度；并行體系結(jié)構(gòu)；多功能；專業(yè)化；防病毒。48、防火墻的部署位置：部署在內(nèi)網(wǎng)與接進(jìn)的外網(wǎng)之間。49、防火墻的安全域和非安全域。（詳見課件“防火墻（一）.PPT”）另外：防火墻包過濾規(guī)則的設(shè)置（詳見課件“防火墻（二）.PPT”補(bǔ)充內(nèi)容）第十三章入侵檢測(cè)系統(tǒng)50、入侵檢測(cè)的概念、IDS工作原理：IDS不間斷的從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)上收集信息，進(jìn)行集中或分布式的分析，判斷來自網(wǎng)絡(luò)和外部的入侵企圖，并實(shí)時(shí)發(fā)出報(bào)警。51、IDS信息收集的來源：基于主機(jī)、基于網(wǎng)絡(luò)、混合型。52、信息分析：模式匹配、統(tǒng)計(jì)分析53、IDS的異常檢測(cè)和誤用檢測(cè)：異常檢測(cè)：收集操作活動(dòng)的歷史數(shù)據(jù)，建立代表主機(jī)、用戶或網(wǎng)絡(luò)連接的正常行為描述，判斷是否發(fā)生入侵。誤用檢測(cè)：對(duì)已知的入侵行為和手段進(jìn)行分析，提取檢測(cè)特征，構(gòu)建攻擊模式或攻擊簽名，判斷入侵行為。54、入侵檢測(cè)的3個(gè)基本步驟：入侵信息的收集、信號(hào)分析、入侵檢測(cè)響應(yīng)方式55、NIDS：檢測(cè)內(nèi)容：包頭信息和有效數(shù)據(jù)部分。56、HIDS：檢測(cè)內(nèi)容：系統(tǒng)調(diào)用、端口調(diào)用、審計(jì)記錄、系統(tǒng)日志、應(yīng)用日志。蜜罐技術(shù)：是一種被偵聽、被攻擊或已經(jīng)被入侵的資源。57、IPS的特點(diǎn)（詳見課課本）第十四章虛擬專網(wǎng)58、虛擬專網(wǎng)定義：是指物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)連接成邏輯上的虛擬子網(wǎng)，并采用認(rèn)證、訪問控制、保密性、數(shù)據(jù)完整性等在公用網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)的技術(shù)，使得數(shù)據(jù)通過安全的“加密通道”在公用網(wǎng)絡(luò)中傳輸。59、VPN的引入的原因及特點(diǎn)：費(fèi)用低、安全保障、服務(wù)質(zhì)量保證、可擴(kuò)充性和靈活性、可管理性60、VPN的關(guān)鍵技術(shù)：隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)、訪問控制、Qos技術(shù)61、VPN的隧道協(xié)議種類及各協(xié)議的功能、特點(diǎn)：62、安全協(xié)議：就是構(gòu)建隧道的“隧道協(xié)議