发布时间 : 星期六 文章网络安全技术与实践第二版课后答案更新完毕开始阅读
答:与电路级网关不同的是应用级网关必须针对每个特定的服务运行一个特定的代理,它只能对特定服务所生成的数据包进行传递和过滤。 应用级网关的优点:1、在已有的安全模型中安全性较高
2、具有强大的认证功能 3、具有超强的日志功能
4、应用级网关防火墙的规则配置比较简单 缺点:1、灵活性差 2、配置复杂 3、性能不高
14.防火墙有什么局限性?
答:防火墙是Internet安全的最基本组成部分,但对于内部攻击以及绕过防火墙的连接却无能为力,另外,攻击者可能利用防火墙为某些业务提供的特殊通道对内部网络发起攻击,注入病毒或木马。
15.软件防火墙与硬件防火墙之间的区别是什么? 答:软件防火墙是利用CPU的运算能力进行数据处理,而硬件防火墙使用专用的芯片级处理机制。
第13章 入侵检测系统
一、填空题
1、根据数据源的来源不同,IDS可分为 基于网络NID3 、 基于主机HIDS和两种都有DIDS种类型。
2、一个通用的IDS模型主要由数据收集、 检测器、知识库和控制器 4部分组成。
3、入侵检测分为3个步骤,分别为信息收集、 数据分析 和 响应 。
4、一个NIDS的功能结构上至少包含 事件提取、入侵分析、入侵响应和远程管理4部分功能
5、DIDS通常由 数据采集构建 、通信传输构建、入侵检测分析、应急处理的构建和 用户管理构建5个构建组成。
6、IDS控制台主要由 日志检索、探测器管理、规则管理、日志报表和用户管理5个功能模块构成。
7、HIDS常安装于被保护的主机,NIDS常安装于 网络 入口处。 8、潜在人侵者的可以通过检查蜜罐日志来获取。 9、吸引潜在攻击者陷阱为蜜罐。
二、思考题
2、入侵检测系统按照功能可分为哪几类,有哪些主要功能?
答:功能构成包含:事件提取、入侵分析、入侵响应、远程管理4个部分功能
9
1、网络流量的跟踪与分析功能 2、已知攻击特征的识别功能
3、异常行为的分析、统计与响应功能 4、特征库的在线和离线升级功能 5、数据文件的完整性检查功能 6、自定义的响应功能 7、系统漏洞的预报警功能 8、IDS探测器集中管理功能
3、一个好的IDS应该满足哪些基本特征?
答:1、可以使系统管理员时刻了解网络系统的任何变更
2、能给网络安全策略的制定提供依据
3、它应该管理、配置简单,即使非专业人员也非常容易使用 4、入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变 5、入侵检测系统在发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警。
6、什么是异常检测,基于异常检测原理的入侵检测方法有哪些?
答:异常检测技术又称为基于行为的入侵检测技术,用来识别主机或网络中的异常行为。通过收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。 1、统计异常检测方法 2、特征选择异常检测方法
3、基于贝叶斯网络异常检测方法 4、基于贝叶斯推理异常检测方法 5、基于模式预测异常检测方法
7、什么是误用检测,基于误用检测原理的入侵检测方法有哪些?
答:误用检测技术又称为基于知识的检测技术。它通过对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。 1、基于条件的概率误用检测方法 2、基于专家系统误用检测方法 3、基于状态迁移分析误用检测方法 4、基于键盘监控误用检测方法 5、基于模型误用检测方法
10、蜜网和蜜罐的作用是什么,它们在检测入侵方面有什么优势?
蜜罐的作用:1、把潜在入侵者的注意力从关键系统移开2、收集入侵者的动作信息3、设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。
10
蜜网的作用:1、蜜网在确保不被入侵者发现诱骗的前提下,尽可能多地捕获攻击行为信息,2、Honeynet向Internet发起的连接进行跟踪,一旦Honeynet达到了规定的向外的连接数,防火墙将阻断任何后续的连接,并且及时向系统管理员发出警告信息3、IDS在数据链路层对蜜网中的网络数据流进行监控,分析和抓取以便将来能够重现攻击行为,同时在发现可疑举动时报警。
蜜罐和蜜网能从现存的各种威胁中提取有用的信息,发现新型的攻击工具,确定攻击模式并研究攻击者的攻击动机,从而确定更好的对策。
第14章 VPN技术
一、填空题
1、根据访问方法的不同,VPN可以分为远程访问VPN和网关-网关VPN两种类型。
2、VNP的关键技术包括 隧道技术 、 加/解密技术 、 密钥管理技术 、 身份认证技术 和 访问控制 等。
3、第2层隧道协议主要有PPTP、L2F 和L2TP 3个协议。 4、第3层隧道协议主要有IPSec 、GRE 和 MPLS 3个协议。 5、IPSec的主要功能是实现加密、认证和密钥交换,这3个功能分别由 AH 、 ESP 和 IKE 3个协议来实现 6、IPSec VPN主要由 管理模块 、密钥分配和生成模块 、 身份认证模块 、 数据加/解密模块 和 数据分组封装/分解模块 5个模块组成。 7、IPSec在OSI参考模型的 C 层提供安全性。 A.应用 B.传输 C.网络 D.数据链路 8、ISAKMP/Oakley与 D 相关。
A.SSL B.SET C.SHTTP D.IPSec 9、IPSec中的加密是由 D 完成的。
A.AH B.TCP/IP C.IKE D.ESP 10、在 A 情况下,IP头才需要加密。
A.信道模式 B.传输模式 C.信道模式和传输模式 D、无模式
第一章 引言
1、网络安全的基本目标:保密性、完整性、可用性、合法使用 2、计算机病毒的发展态势:1)、计算机病毒层出不穷2)、黑客攻势逐年攀升3)、系统存在安全漏洞4)、各国军方加紧信息战研究
3、典型的安全威胁:假冒攻击/冒充攻击、截获、窃听、篡改、消息重发/重放攻击、拒绝服务攻击DOS、DDOS(各定义详见课本)
4、防止重放攻击的方法:时间戳、序号、提问与应答。
5、防范口令攻击的方法、暴力破解、字典攻击:阻止选择低级口令;对口令文件严格保
11
护。要彻底解决口令机制的弊端是使用基于令牌的机制,转而使用基于令牌的机制。如果暂时不能做到,起码要使用一次性口令方案。
7、认证:认证服务与保证通信的真实性有关.在单条消息下,如一条警告或报警信号认证服务是向接收方保证信息来自所声称的发送方.对于正在进行的交互,如终端和主机连接,就设计两个方面的问题:首先,在连接的初始化阶段,认证服务保证两个实体是可信的,也就是说,每个实体都是它们所声称的实体;其次,认证服务必须保证该连接不受第三方的干扰,例如,第三方能够伪装成两个合法实体中的一方,进行非授权的传输或接收.两个特殊的认证服务:同等实体认证、数据源认证.
认证机制的失效易导致服务器被攻击者欺骗。
被破坏的主机不会进行安全加密,因此对源主机采用密码认证的方式无用。 通过修改认证方案消除其缺陷,完全可以挫败这种类型的攻击。 8、网络安全的模型及说明(详见课本)
第二章 底层协议的安全性
9、IP协议的安全缺陷:1)IP协议不能保证数据就是从数据包中给定的源地址发出的,
你绝对不能靠对源地址的有效性检验来判断数据包的好坏;
2)攻击者可以发送含有伪造返回地址的数据包,这种攻击叫做IP欺骗攻击;
3)当路由器遇到大数据流量的情况下,可能在没有任何提示的情况下丢掉一些数据包; 4)大数据包可能在中间节点上被分拆成小数据包。通过向包过滤器注入大量病态的小数据包,可以对包过滤器造成破坏;
10、ARP功能:以太网发送的是48位以太地址的数据包;IP驱动程序必须将32位IP目标地址转换成48位地址;两类地址存在静态或算法上的影射;ARP用来确定两者之间的影射关系。
ARP欺骗:一台不可信赖的计算机会发出假冒的ARP查询或应答信息,并将所有流向它的数据流转移。这样,它就可以伪装成某台机器,或修改数据流。这种攻击叫做ARP欺骗攻击
12