练习题参考答案1.docx

1、练习题参考答案1一、选择题每空2分，共20分） 1、D2、C3、D4、C5、B6、B7、D8、C9、ABC10.B二、多项选择题每小题4分，共20分）1BCD 2.ACD 3.ABCD4.ABCD5.BC三、 简答题每题5分，共40分）1. 简要说明包过滤型防火墙优缺点。优点：工作在传输层下，对数据包本身包头字段进行过滤，性价比很高；缺点：过滤判断条件有限，安全性不高；过滤规则数目的增加会影响防火墙的性能；很难对用户身份进行验证；对安全管理人员的素质要求高。2. 简要说明包过滤型防火墙和代理型防火墙的区别。包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此

2、速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。3. 防火墙的不足之处有哪些？限制网络服务；对内部用户防范不足；不能防范旁路连接；不适合进行病毒检测；无法防范数据驱动型攻击；无法防范所有威胁；配置问题；无法防范内部人员泄密；速度问题；单失效点问题4. 包过滤技术防火墙过滤规则要检测哪些主要字段信息？源地址；源端口号；目的地址；目的端口号；协议标志；过滤方式等5. 请画出屏蔽主机防火墙的结构示意图。6. 欺骗攻击主要

3、有哪些方法？IP地址欺骗、路由欺骗、DNS欺骗、Web欺骗7. 结合实际谈谈入侵行为的一般过程。1 确定攻击目标2 实施攻击3 攻击后处理四、论述题每题10分，共20分）1. 简要说明基于主机的入侵检测的优点有哪些？1 能够检测所有的系统行为，可以精确监控针对主机的攻击过程2 不需要额外的硬件来支持3 能够适合加密的环境4 网络无关性8. 简要说明基于主机的入侵检测的缺点有哪些？1 不具有平台无关性，可移植性差2 检测手段较多时会影响安装主机的性能3 维护和管理工作复杂4 无法判断网络的入侵行为2. 比较异常检测和滥用检测的区别。滥用入侵检测根据已知的攻击行为建立异常行为模型，然后将用户行为与

4、之进行匹配，成功意味着又一次确定的攻击行为发生。该技术就有较好的确定解释能力，可以得到较高的检测准确度和较低的误警率。但是，只能检测已知的攻击行为，对已已知攻击的变形或者新型的攻击行为将无法进行检测。异常入侵检测则是试图建立用户后者系统的正常行为模型，任何超过该模型允许阈值的事件都被认为是可以的。这种技术的好处是能够检测到位置的攻击，攻击可能无法明确指出是何种类型的攻击。但是这种方法往往不能反映计算机系统的复杂的动态本质，很难进行建模操作。两种方法各自特点决定了他们具有相当的互补性，可以将两种方法结合起来，提高安全性。一选择题每空2分，共20分） 1C 2D3D 4D5A6D7B 8D9C10

5、B二多项选择题每小题4分，共20分）1 ABD 2 ABC3 ACD4 BCD5 ABCD 三 简答题每题5分，共40分）说明堡垒主机的设计原则并简要解释。论述题）最小服务原则；预防原则；主要类型；系统需求；部署位置简要说明防火墙的设计原则。拒绝访问一切未予特学的服务；允许一切未被特别拒绝的服务简要说明代理型防火墙优缺点。优点：工作在应用层，可以以进行深层的内容进行控制；阻断了内联网络和外联网络的链接，实现了内外网的相互屏蔽，避免了数据驱动类型的攻击。缺点：代理型防火墙速度相对较慢，当网关吞吐量较大时，防火墙就会成为瓶颈。说明双宿主网关的优点有哪些？无需管理和维护账户数据库，降低了入侵攻击风险

6、；具有良好的可扩展性；屏蔽了内联网络主机组织了信息泄露现象的发生。请画出双宿主网关防火墙的结构示意图。欺骗攻击主要有哪些方法？IP地址欺骗、路由欺骗、DNS欺骗、Web欺骗简要说明VPN技术的工作原理。VPN的原理是在两台直接与不安全的公网相连的计算机之间建立一条穿过公网的虚拟的安全的专用通道。经过打包、公网传输和解包的过程。一般通信内容需要加密和解密。说明高效、成功的VPN的有哪些特点。具备完善的安全保障机制具备用户可接受的服务质量保证总成本低可扩充性、安全性和灵活性管理便捷四、论述题每题10分，共20分）1说明屏蔽子网的优点。内联网络实现了与外联网络的隔离，内部结构无法探测，外联网络只能知

7、道外部路由器和费军事区的寻在，而不知道内部路由器的存在，也就无法探测内部路由器后面的内联网络了，只一点对于防止入侵者知道内联网络的内联网络的拓扑结构和主机地址分配及活动情况尤为重要。内联网络安全防护严密。入侵者必须攻破外部路由器、堡垒主机和内部路由器之后才能进入内联网络。因为使用了内部路由器和外部路由器所以降低了堡垒主机处理的负载量，减轻了堡垒主机的压力，增强了堡垒主机的可靠性和安全性。非军事区的划分将姜用户网络的信息流量明确分为不同的等级，通过内部路由器的隔离作用，机密信息收到了严密的保护，减少了信息泄露现象的发生。2防火墙的好处有哪些？1.防火墙允许网络管理员定义一个“检查点”来防止非法用

8、户进人内联网络，并抵抗各种攻击。网络的安全性在防火墙上得到加固，而不是增加受保护网络内部主机的负担。 2.防火墙通过过滤存在安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。只有经过选择的网络服务才能通过防火墙，脆弱的服务只能在系统整体安全策略的控制下，在受保护网络的内部实现。 3.防火墙可以增强受保护节点的保密性，强化私有权.防火墙可以阻断某些提供主机信息的服务。如Finger和DNS等，使得外部主机无法获取这些有利于攻击的信息。 4.防火墙有能力较梢确地控制对内部子系统的访问。防火墙可以设置成允许外联网络访问内联网络的某些子系统.而不允许访间其他的子系统。这有效地增加了内联网络不同子系统的

9、封闭性，使得系统核体安全策略的实施更加细致、深人。 5.防火墙境系统具有集中安全性。若受保护网络的所有或者大部分安全程序集中地放置在防火墙上，而非分散到受保护网络中的各台主机上，则安全监控的范围会更集中，监控行为更易于实现，安全成本也会更便宜。 6.在防火墙上可以很方便地监视网络的通信流，并产生告警信息。正如前面所描述的.网络面临的问题不是是否会受到攻击，而是什么时候受到攻击，因此对通信流的监控是一项需要持之以恒的、耐心的工作。 7.安全审计和管理是网络安全研究的重要课题，而防火墙恰恰是审计和记录网络行为最佳的地方。因为所有的网络访问流都要经过防火墙，所以网络管理员可以在防火墙上记录、分析网络

10、行为，并以此检验安全策略的执行情况或者改进安全策略， 8.防火墙不但是网络安全的检查点，它还可以作为向用户发布信息的地点.即防火墙系统可以包括www服务器和FTP服务器等设备，并且允许外部主机进行访问。 9.最根本的是，防火墙为系统整体安全策略的执行提供了重要的实施平台。如果没有防火墙，那么系统整体安全策略的实施多半靠的是用户的自觉性和内联网络中各台主机的安全性。一、选择题每空2分，共20分） 1C2D3C4A5B6D7B8A9D10B二多项选择题每小题4分，共20分）1 ABCD2 ABC3 ABD4 ABCD5 BCD三 简答题每题5分，共40分）简要说明防火墙的设计原则。拒绝访问一切未予

11、特许的服务；允许一切未被特别拒绝的服务防火墙的理论特性有哪些？创建阻塞点、强化网络安全策略，提供集成功能、实现网络隔离、记录和审计内联网络和外联网络之间的活动、自身具有非常墙的抵御攻击的能力简要说明防火墙的规则特点。规则是保护内部信息资源的策略的实现和延伸；规则必须与访问活动紧密相关；规则必须稳妥可靠切合实际在安全和利用资源之间取得较为平衡的政策；可以实施各种不同的服务访问策略。请说明过滤路由器的缺点。配置复杂维护困难；数据包本身检测，智能检测部分攻击行为；无法防范数据驱动型攻击；只能对数据包的各字段进行检查，无法确定数据包的发送者的真实性。请解释屏蔽主机的缺点。主要缺点是堡垒主机和内联网络主

12、机放置在一起，他们之间没有一道安全隔离屏障。如果堡垒主机北宫皮，那么内联网络将全部暴露在攻击者面前。此外虽然过滤路由器的安全性比多重宿主主机要高，但是只进行简单的包过滤规则，因此入侵者有多种手段对过滤路由器进行破坏。一旦路由表被修改，则堡垒主机被旁路，堡垒主机的大理服务器就没有用了，所有内联网络向外联网络发出的请求都会通过被破坏的过滤路由器直接发到外联网络，内联网络就没有秘密可言了，内联网络的安全性都维系在一张相对脆弱的路由表上，这是一个比较严重的问题。防火墙的主要性能指标有哪些。可靠性 可用性可扩展性可审计性可管理性成本耗费欺骗攻击主要有哪些方法？IP地址欺骗、路由欺骗、DNS欺骗、Web欺

13、骗请画出三叉非军事区防火墙的结构示意图。四论述题每题10分，共20分）1说明屏蔽主机和屏蔽子网的区别和联系。屏蔽主机由包过滤器和堡垒主机组成。1、堡垒主机在网络内部，通过防火墙的过滤使得这个主机是唯一可从外部到达的主机。2、实现了应用层和网络层的安全，比单独的包过滤或应用网关代理更安全。3、过滤路由器是否配置正确是这种防火墙安全的关键。屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机，在内个网络之间建立了被隔离的子网，称作周边网。将堡垒主机、WEB服务器、E-MAIL服务器放在被屏蔽的子网内，外部、内部都可以访问。但禁止他们通过屏蔽子网通信。如果堡垒主机被控制，内部网络仍然受内部包过滤路由器保

14、护。 这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。试论述防火墙的不足之处主要有哪些？ 2说明什么是滥用入侵检测。滥用入侵检测通过对现有的各种攻击手段进行分析，找到能够代表该攻击的行为的特征集合。对当前数据的处理就是与这些特征集合进行匹配，如果成功匹配则说明发生了依次确定的攻击。滥用入

15、侵检测可以实现的基础是现有已知攻击手段，都能够根据近攻击条件、动作排列及相应事件之间的关系变化进行明确描述，即攻击行为的特征能够被提取。每种攻击行为都有明确的特征描述，所以滥用检测的准确度很高。但是，滥用检测系统依赖性较强，平台无关性较差，难于移植。而且对已多种已知攻击模式特征的提取和维护工作量非常大，此外滥用检测只能根据已有的数据进行判断，不能检测新的或变异的攻击行为。最后，滥用检测无法识别内部用户发起的攻击行为。试论述计算机系统面临的威胁行为主要有哪些？一选择题每空2分，共20分） 1C 2、B3B4C5C6D7A8D9C10C二多项选择题每小题4分，共20分）1 ABC 2 ACD3BD

16、 4AB5AD三、 简答题每题5分，共40分）简要说明包过滤技术的优点。简单快速；对用户是透明的；检查规则简单效率高等；简要说明状态检测技术的缺点。工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高；检测内容多，对防火墙的性能提出来更高的要求。防火墙代理技术的优点有哪些？提供了高速缓存，提高了网络性能；屏蔽了内联网络，组织了内网探测活动；禁止了直接连接，减少了直接攻击的风险；应用层上过滤，实现有效过滤；提供了用户身份认证手段，加强了安全性；连接基于服务而不是物理连接，不易受Ip地址欺骗攻击；应用层工作，提供了详细的日志和分析功能；过滤规则比包过滤防火墙规则简单。说明双宿主网关的缺点

17、有哪些？主机本身成为安全焦点，安全配置重要而复杂；代理服务组件增多会影响系统整体性能瓶颈；单台主机会带来单失效点的问题；灵活性差如果没有某项代理组建，用户无法使用该服务。请画出三叉非军事区防火墙的结构示意图。拒绝服务攻击有哪些方法？服务请求超载、SYN洪水、报文超载简要说明基于网络的入侵检测的缺点有哪些？不在通信的端点，无法像进行网络通讯的主机那样处理全部网络协议层次的数据对于现在越来越流行的加密传输很难进行处理对于交换网络的支持不足面临处理能力的问题容易受到拒绝服务攻击很难进行复杂攻击的检测结合实际谈谈入侵检测系统的性能指标有哪些？有效性指标攻击检测率、攻击误警率、可信度）可用性指标检测延迟

18、、系统开销、吞吐量、每秒抓包数、每秒网络连接监控数、每秒事件处理数）安全性指标对于攻击的抵抗能力、数据通信机制的可靠性）四、论述题每题10分，共20分）1简要说明屏蔽主机的工作原理。SHFScreened Host Firewall ） 屏蔽主机防火墙采用一个包滤路由器与外部网连接，用一个堡垒主机安装在内部网络上，起着代理服务器的作用，是外部网络所能到达的惟一节点，以此来确保内部网络不受外部未授权用户的攻击，达到内部网络安全保密的目的。在屏蔽主机防火墙的网络安全方案中，一个数据包过滤路由器与因特网相连，同时，一个双端主机Dual Homed Host, DHH）安装在内部网络中。通常情况下，在

19、网络路由器上设立过滤原则，使这个双端主机成为在因特网上所有其他节点所能到达的惟一节点。这样就确保了内部网络不能受到任何未被授权的外部用户的攻击。试论述防火墙的不足之处主要有哪些？ 2防火墙的好处有哪些？1.防火墙允许网络管理员定义一个“检查点”来防止非法用户进人内联网络，并抵抗各种攻击。网络的安全性在防火墙上得到加固，而不是增加受保护网络内部主机的负担。 2.防火墙通过过滤存在安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。只有经过选择的网络服务才能通过防火墙，脆弱的服务只能在系统整体安全策略的控制下，在受保护网络的内部实现。 3.防火墙可以增强受保护节点的保密性，强化私有权.防火墙可以阻断

20、某些提供主机信息的服务。如Finger和DNS等，使得外部主机无法获取这些有利于攻击的信息。 4.防火墙有能力较梢确地控制对内部子系统的访问。防火墙可以设置成允许外联网络访问内联网络的某些子系统.而不允许访间其他的子系统。这有效地增加了内联网络不同子系统的封闭性，使得系统核体安全策略的实施更加细致、深人。 5.防火墙境系统具有集中安全性。若受保护网络的所有或者大部分安全程序集中地放置在防火墙上，而非分散到受保护网络中的各台主机上，则安全监控的范围会更集中，监控行为更易于实现，安全成本也会更便宜。 6.在防火墙上可以很方便地监视网络的通信流，并产生告警信息。正如前面所描述的.网络面临的问题不是是

21、否会受到攻击，而是什么时候受到攻击，因此对通信流的监控是一项需要持之以恒的、耐心的工作。 7.安全审计和管理是网络安全研究的重要课题，而防火墙恰恰是审计和记录网络行为最佳的地方。因为所有的网络访问流都要经过防火墙，所以网络管理员可以在防火墙上记录、分析网络行为，并以此检验安全策略的执行情况或者改进安全策略， 8.防火墙不但是网络安全的检查点，它还可以作为向用户发布信息的地点.即防火墙系统可以包括www服务器和FTP服务器等设备，并且允许外部主机进行访问。 9.最根本的是，防火墙为系统整体安全策略的执行提供了重要的实施平台。如果没有防火墙，那么系统整体安全策略的实施多半靠的是用户的自觉性和内联网

22、络中各台主机的安全性。试论述计算机系统面临的威胁行为主要一选择题每空2分，共20分） 1A 2A 3A 4A 5B 6C7B 8C9A10A 二多项选择题每小题4分，共20分）1 AB 2 ABD3ABC4 ABD 5 ABCD 三 简答题每题5分，共40分）防火墙采用的主要技术有哪些？包过滤型防火墙；代理型防火墙简要说明包过滤型防火墙和代理型防火墙的区别。包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能

23、够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。简要说明包过滤技术的优点。简单快速；对用户是透明的；检查规则简单效率高等；请简要说明状态检测技术的基本原理。状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。请解释屏蔽主机的优点。屏蔽主机是一种结合了包过滤和代理两张不同机制的防火墙，它能够提

24、供比单纯的过滤路由器和多重宿主主机更高的安全性。任何攻击者都需要攻破包过滤和代理两道防线才能进入到内联网络，增加了攻击者的难度。屏蔽主机支持多种功能的网络服务的深层过滤，并具有相当的可扩展性。因为堡垒主机的采用代理防火墙技术，所以服务器只需要添加代理服务器组件即可。屏蔽主机系统本身是可靠地、稳固的。不同于多重宿主主机，直接面对对外网络的并不是堡垒主机而是路由器。所以简单配置的路由器要比保护一台主机要容易得多。请画出屏蔽子网防火墙的结构示意图。请说明深度过滤技术的基本特征。正常化、双向负载检测、应用层加密解密、协议一致性结合实际谈谈入侵行为的一般过程。确定攻击目标、实施攻击、攻击后处理四论述题每

25、题10分，共20分）1请详细比较说明IPSEC VPN和MPLS VPN。1、安全性方面IPSec VPN是在IP层上实现了加密、认证、访问控制等多种安全技术，极大地提高了TCP/IP 的安全性。MPLS VPN在安全性能方面是它劣势，MPLS VPN必须依赖路由协议来准确地传播可达性信息，完成与标记分发相关的工作。因此MPLS对路由协议的依赖性要高于IP网络2、网络服务质量QoS）方面MPLS VPN是建立在骨干网之上，在网络服务质量方面具有最好的效果，MPLS可以指定数据包传送的先后顺序，使用标记交换，网络路由器只需要判别标记后即可进行转送处理，在根本程度上改变了传统IP网络逐跳路由、IG

26、P路由汇聚、路由表过长、尽力传送等问题。IPSec VPN保证的是端点到端点的网络传输通道的安全，端点处的加密和解密需要另外的硬件和软件处理能力，而这将增加用户和性能的开销。因为协议需要在报前添加自己的数据报，如果新生成的数据报的长度超过网络的最大可传输单元）的长度，该数据报将被分割成多个数据报，增加不必要的网络延迟时间。3、应用领域和便捷性方面IPSec VPN需要安装客户端才能使用，IPSec VPN的连接性会受到网络地址转换的影响，同时需要先完成客户端配置才能建立通信信道MPLS VPN配置完成后，内网用户如同在同一网络中，无需安装客户端软件，可以说对用户的要求为零。MPLS VPN可以

27、实现所有基于IP的应用，同时因为它具有很好的QoS，因此可以运行语音、视频等远程通信等服务。4、扩展性方面MPLS VPN提供商可简单地将MPLS VPN配置成全网状结构，企业只需将用户端路由器CE）与运营商核心路由器PE）以各种方式相连，CE上不需做复杂配置，也不需要很高的硬件配置。IPSec VPN技术本身的特性决定了它通常不能支持复杂的网络，这是因为它们需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN 在部署时，要考虑企业全网的拓扑结构，如果增添新的设备，往往要改变网络结构，从而造成IPSec VPN 的可扩展性比较差。5、经济性方面IPSec VPN在每增加一个需要访问的分支

28、，就需要添加一个硬件设备。对一个成长型的公司来说，随着IT建设规模的扩大，要不断购买新的设备来满足需要。MPLS VPN尽管比租用专线可以较大地节省成本，但需要一次性项目费、VPLS资源费以及本地接入费用等。综合来看，成本是大于IPSec VPN和SSL VPN。2说明屏蔽子网的优点。内联网络实现了与外联网络的隔离，内部结构无法探测，外联网络只能知道外部路由器和费军事区的寻在，而不知道内部路由器的存在，也就无法探测内部路由器后面的内联网络了，只一点对于防止入侵者知道内联网络的内联网络的拓扑结构和主机地址分配及活动情况尤为重要。内联网络安全防护严密。入侵者必须攻破外部路由器、堡垒主机和内部路由器

29、之后才能进入内联网络。因为使用了内部路由器和外部路由器所以降低了堡垒主机处理的负载量，减轻了堡垒主机的压力，增强了堡垒主机的可靠性和安全性。非军事区的划分将用户网络的信息流量明确分为不同的等级，通过内部路由器的隔离作用，机密信息收到了严密的保护，减少了信息泄露现象的发生。一、选择题每空2分，共20分） 1C 2D 3D4D5A 6D 7B8D 9C 10B二多项选择题每小题4分，共20分）1BCD2ACD3ABCD 4 ABCD5 ABCD三、 简答题每题5分，共40分）简要说明防火墙的设计原则。拒绝访问一切未予特学的服务；允许一切未被特别拒绝的服务简要说明包过滤型防火墙优缺点。优点：工作在传

30、输层下，对数据包本身包头字段进行过滤，性价比很高；缺点：过滤判断条件有限，安全性不高；过滤规则数目的增加会影响防火墙的性能；很难对用户身份进行验证；对安全管理人员的素质要求高。包过滤技术防火墙过滤规则要检测哪些主要字段信息？源地址；源端口号；目的地址；目的端口号；协议标志；过滤方式等简要说明什么是深度状态检测。深度检测防火墙，将状态检测和应用防火墙技术结合在一起，以处理应用程序的流量，防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能，深度检测防火墙能够对数据流量迅速完成网络层级别的分析，并做出访问控制决；对于允许的数据流，根据应用层级别的信息，对负载做出进一步的决策。深度检测防火墙深入

31、分析了TCP或UDP数据包的内容，以便对负载有个总的认识。状态检测防火墙是目前使用最广泛的防火墙，用来防护黑客攻击。但是，随着专门针对应用层的Web攻击现象的增多，在攻击防护中，状态检测防火墙的有效性越来越低。简要说明状态检测技术的优点。安全性比静态包过滤高，可以阻断更多的复杂攻击行为可以通过分析打开相应的端口而不是一刀切；提升了防火墙的性能，后续数据包不需要检测，只需要快速通过。说明双宿主主机的优点有哪些？作为内外网的唯一接口，易于实现网络安全策略；使用堡垒主机实现，成本较低。请画出屏蔽主机防火墙的结构示意图。请说出防火墙的知名厂商有那几个？至少5个）CiscoFortinetWatchGuard安氏天融信东软Juniper/Netscreen四、论述题每题10分，共20分）1简要说明