入侵检与防火墙技术.docx
《入侵检与防火墙技术.docx》由会员分享,可在线阅读,更多相关《入侵检与防火墙技术.docx(13页珍藏版)》请在冰豆网上搜索。
入侵检与防火墙技术
《入侵检测与防火墙技术》练习题
_______________专业___班学号_______________姓名______________
《入侵检测技术》部分
一、填空:
1.IDS按照功能可大致划分为____基于网络_______、____基于主机_______、____分布式入侵检测系统_______三类。
2.Snort运行在___Windows_______、____Unix______或______Linux______________操作系统上。
3.Snort的由____嗅探器_____、____数据包记录器______、__网络入侵检测系统________、__________基本模块组成。
4.Snort主要使用的数据库是___PostgreSQL_______、___MySQL_______或___unixODBC_______。
二、名词解释:
1.入侵检测:
是对入侵行为的检测。
它通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
2.预处理器:
是在真正的编译开始之前由编译器调用的独立程序。
预处理器可以删除注释、包含其他文件以及执行宏(宏macro是一段重复文字的简短描写)替代。
3.输出插件:
三、简答题:
1.怎么估算网络需要多少个IDS?
2.可以把日志记录到多个不同类型的数据库吗?
3.什么是Snort?
其有什么特性?
4.简述Snort是如何实现网络数据捕获的?
5.规则头包括哪几部分?
简述各部分的含义。
四、分析题:
(阅读以下说明,并回答问题)
1.如果用Ethereal嗅探器嗅探到Google搜索和应答的数据包结果如下图所示,那么请根据图中所示的结果回答以下问题。
问题:
(1)Ethereal最上方窗口的高亮部分代表什么?
中间窗口的高亮部分代表什么?
下方的窗口高亮又代表什么?
(2)请根据图中所示的结果编写一条规则以便使Snort能对Google搜索和应答做出“GoogleSearchQuery”的提示。
2.如果用Ethereal嗅探器嗅探到%3FWeb目录遍历攻击的数据包结果如下图所示,那么请根据图中所示的结果回答以下问题。
问题:
(1)Ethereal最上方窗口的高亮部分代表什么?
中间窗口的高亮部分代表什么?
下方的窗口高亮又代表什么?
(2)请根据图中所示的结果编写一条规则以便使Snort能对%3FWeb目录遍历攻击做出“%3FDirectoryTraversalAttack”的提示。
《防火墙技术》部分
一、填空:
1.网络安全性就是保护用户在网络上的__硬件______、__软件_____及__其中数据_____免遭别人在_未授权________情况下使用或访问。
2.防火墙产品大致分为3类,即____包过滤_________、_____代理服务器_______、____基于状态包过滤___________的防火墙。
3.防火墙设计主要有_____________、____________、_______________三种类型。
4.堡垒主机目前一般有__无路由双宿主主机___________、___牺牲主机_________、____内部堡垒主机___________三种类型。
5.理想的代理服务器应在_____________与_____________连接,但仅包含安全的命令和一些可变长度的送给服务器的用户数据,而且只用于内部客户到外部服务器上。
二、名词解释:
1.防火墙:
2.数据包过滤:
3.代理服务:
三、简答:
1.简述防火墙的优点和缺点。
2.画图说明防火墙体系结构中的双重宿主主机体系结构。
3.画图说明防火墙体系结构中的屏蔽子网体系结构。
4.简述如何建立堡垒主机。
5.简述代理服务的工作原理。
6.简述数据包过滤的工作原理。
7.画图说明使用TIS因特网防火墙工具包进行代理的工作过程。
8.画图说明使用SOCKS进行代理的工作过程。
真题模拟部分
1选择题
1、分析入侵检测系统的性能时,应考虑检测的是?
A.有效性B信息可信度C虚报率D分析效率、
2、性能测试与功能测试有所不同,因而测试的网络环境以()为主,这样可以尽可能增大网络流量,避免路由器等设备,对网络流量的约束。
A虚拟网B局域网C城域网D广域网
3.评价入侵检测系统性能的几个因素是()
A准确性b处理性能C完备性D容错性
4、()是测试软件的一个必不可少的功能,通过运行攻击来验证IDS是否能够检测到这些攻击。
A模拟攻击B实时攻击C评估D攻击签名
5、Winpcap包括()个部分。
A包过滤驱动程序,BPacket.dllCLibpcap.dllDWpcap.dll
6、.若要进行协议分析就必须事先知道规则,规则头定义了规则触发时所要采用的动作()。
AalertBmogClogDpass
7、攻击的要素包括()
A攻击的主体B攻击的客体C攻击的过程D攻击的方式
8、攻击行为可分为()类
A、深度攻击B、结构化攻击C、内部攻击D、非结构化攻击
9、主动防御技术可分为()
A初级B中级C高级D特级
10、入侵检测过程,一般分为()这几个步骤。
A信息收集B信息处理C信息分析D结果处理
11、入侵检测系统得模型分别是()
A、Denning模型B、IDM模型C、SNMP—IDSM模型D、IDS模型
12、入侵检测系统通用模型包括()
A事件产生器B事件分析器C相应单元D事件数据库
13、按照数据源的不同,可以将入侵检测系统分为()
A基于主机B基于网络C基于环境D混合型
14、按IDS所采用的分析技术分类,从技术上一般可以分为
A正常入侵检测B非正常入侵检测C异常入侵检测D误用入侵检测
15、分布式入侵检测系统(DIDS)由()组成
A控制器B网络传感器C主机代理D局域网代理
16、探测法可以分为()基本步骤
A踩点B收集C扫描D查点
17、审计跟踪可以实现多种相关安全目标,包括个人职能()
A事件重建B事件跟踪C入侵检测D故障分析
18、根据安全审计系统的部署方式,安全审计系统可以分为()
A主机式B网络式C集中式D分布式
19、蜜罐的主要技术有()
A网络欺骗B主机漏洞C数据控制D数据捕获
20、当系统检测到入侵以后可以采取多种形式进行相应。
一般可以归为()类。
A自适应响应B主动相应C被动响应D入侵跟踪
21、自动恢复技术不包括以下()
A备份技术B恢复技术C日记记录D双宿主机
22、计算机取证的基本步骤不包括()
A保护可疑的电箱B保存证据C数据加密D分析证据
23、网络取证通常用于阐述对网络行为信息的收集、()
A保存B分析C审计D监控
24、网络入侵取证系统分为()
A日记生成模块B网络收集模块C证据分析模块D事件处理模块
25、CIDF所做的工作主要包括()。
AIDS的体系结构B通讯机制C规范语言DAPI
26、异常检测所面临的关键问题有()
A比较频率的选取B行为异常C阀值的选定D入侵性且异常E特征量的选择F非入侵性且异常
27、基于主机的入侵检测系统可分为:
A集中式B网络连接检测C分布式D主机文件检测E 数据采集 F 数据转换 G 数据管理
28、访问控制所要控制的行为主要包括:
A口令鉴别B读取数据C用户鉴别D运行可执行文件E发起网络连接F密码认证
29、访问控制策略主要有:
A自主访问控制B强制访问控制C行为访问控制D 基于角色的访问控制 E访问控制表
30、网络安全扫描的技术中的核心技术有:
A密码破解B漏洞探测C端口扫描D漏洞扫描E IP地址扫描F操作系统探测
31、对网络安全的威胁可分为:
A非蓄意的B蓄意的C外部的D内部的E 无意的
32、安全策略应当执行如下任务
A确定组织的安全对象B保护系统C确定网络基础结构D 监控行为 E 把要保护的资源写成文档
33、包过滤防火墙用来拒绝或允许数据包访问的标准是
A端口B物理地址C逻辑地址D协议E流量
34、PIX防火墙500系列中,为中小型商业网设计的是
APIX501BPIX506ECPIX515EDPIX525EPIX535
35、PIX防火墙支持基于CiscoIOS的命令集,并提供了以下的访问模式
A监视B配置C命令D特权E管理
36、PIX防火墙进入特权模式的指令是
AencrytedBenableChostnameDsetupEtime
37、重启防火墙的命令是
AshowBnameCreloadDclearEreset
38、指明硬件、设置硬件的速率和启用接口的命令是
AshutdownBnoshutdownCinterfaceDipaddressEnameif
39、nat(inside)110.0.0.0255.0.0.0语句的功能是
A阻止该网络的访问B允许该网络的进出C把该网络的出站连接进行地址转换D不进行网络的出站连接进行地址转换E没有该命令
40、关于global的描述正确的是
A使用nat就必须使用globalB两者任选其一C是用来定义转换的IP地址池D全局命令E路由命令
41、通过一地址为192.168.10.254的路由器所有的出站数据包,应该使用如下命令
Arouteoutside00192.168.10.254
Brouteinside00192.168.10.254
Croute(insideoutside)00192.168.10.254
Droute00192.168.10.254
Eroute192.168.10.25400
42、配置一台PIX防火墙作为DHCP服务器的命令集为
Aipaddress192.168.10.1
Bdhcpdaddress192.168.10.10—192.168.10.100inside
Cdhcpddns192.168.10.9
Ddhcpddomain
Edhcpdenableinside
43、下列关于PAT说法正确的是
APAT对所有的包使用相同的IP地址
BPAT必须与global一起使用
CPAT使用端口号来区分不用的主机
DPAT使用的端口号是随机的,且必须是大于1024
EPAT地址必须与外部接口地址相同
44、配置PIX防火墙来允许处于内部接口上的用户可以访问堡垒主机
Astatic(dmz,inside)192.168.1.11bastionhost
Bnat(inside,dmz)192.168.1.11
Cglobal(dmz)1172.16.1.20-172.16.1.254netmask255.255.255.0
Dpermit(dmz,inside)172.16.1.20-172.16.1.254netmask255.255.255.0
45、创建一个名为DMZ1的ACL并把它加载到DMZ接口的命令
Aaccess-groudDMZ1ininterfaceDMZ
Bipaddress192.168.1.254
Caccess-listDMZ1permittcp192.168.1.0255.255.255.0host192.168.0.1
Dnoshutdown
46、使用下列命令可以使内部主机192.168.10.111在连接到外部主机10.2.1.3时不经过NAT.
Anat(inside)100
Baccess-list1permitiphost192.168.10.11host10.2.1.3
Cglobal(inside)1192.168.10.1110.2.1.3
Dnat(inside)0access-list1
47、在PAT配置中,把内部接口192.168.10.254和外部接口192.168.0.2分配给一个ip地址192.168.0.1应使用下列命令
Aipaddressinside192.168.10.254255.255.255.0
Bnat(inside)0192.168.10.0255.255.255.0
Cipaddressoutside192.1668.0.2255.255.255.0
Dglobal(outside)0192.168.0.4netmask255.255.255.0
Erouteoutside00192.168.0.1
48、允许PINGPIX防火墙上接口,可以通过如下命令实现
Aaccess-list1permiticmpanyany
Bicmpdenyany
Cicmppermitanyunreachableoutside
Dshowicmp
Eclearicmp
49、启动FTP修正命令关闭21端口,设置2021端口的命令如下
Afilterprotocolftp2021
Bfixupprotocolftp2021
Cnoftpfixupprotocol
Dnofixupprotocolftp21
Efixupftp21
50、在攻击保护中,添加DNS保护的命令
AfixupDNS
BfixupprotocolDNS
CnofixupprotocolDNS
Dfixupprotocoldnsmaximun-lienght512
Dnofixupdns
2名词解释
一、安全审计
二、计算机取证
答:
计算机取证技术是一门计算机与法学的交叉科学。
它是指对计算机入侵,破坏,欺诈,攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式,进行识别,保存,分析和提交电子证据的过程。
计算机取证过程主要是围绕数字证据来进行的,因此,数据证据是计算机取证技术的核心。
计算机取证技术一般包括如下六个基本步骤:
1)保护可疑的电脑。
2)获取存储在可疑计算机上潜在的数字证据。
3)传输证据。
4)保存证据。
5)分析证据。
6)提交证据。
3、攻击签名
答:
4攻击防范技术
3简答题
论述基于网络的IDS的优缺点?
答:
缺点主要为:
IDS对数据的检测;对IDS自身攻击的防护。
由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作的很大负担,也意味着IDS对攻击活动检测的可靠性不高。
而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。
同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。
升级会员 