信息安全試題

更新時(shí)間:2024-03-02 19:26:11 閱讀：評(píng)論：0

2024年3月2日發(fā)(作者：小學(xué)生畫畫大全)

信息安全試題

1：網(wǎng)絡(luò)安全的五種屬性，并解釋其含義：

保密性：Confidentiality 保密性是指保證信息不能被非授權(quán)訪問，即使非授權(quán)用戶得到信息也無法知曉信息內(nèi)容，因而不能使用。通常通過訪問控制阻止非授權(quán)用戶獲得機(jī)密信息，通過加密變換阻止非授權(quán)用戶獲知信息內(nèi)容。

完整性：Integrity完整性是指維護(hù)信息的一致性，即信息在生成、傳輸、存儲(chǔ)和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改。一般通過訪問控制阻止篡改行為，同時(shí)通過消息摘要算法來檢驗(yàn)信息是否被篡改。信息的完整性包括兩個(gè)方面：（1）數(shù)據(jù)完整性：數(shù)據(jù)沒有被未授權(quán)篡改或者損壞；（2）系統(tǒng)完整性：系統(tǒng)未被非法操縱，按既定的目標(biāo)運(yùn)行。

可用性：Availability可用性是指保障信息資源隨時(shí)可提供服務(wù)的能力特性，即授權(quán)用戶根據(jù)需要可以隨時(shí)訪問所需信息。可用性是信息資源服務(wù)功能和性能可靠性的度量，涉及到物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用和用戶等多方面的因素，是對(duì)信息網(wǎng)絡(luò)總體可靠性的要求。

可控性：確保個(gè)體的活動(dòng)可被跟蹤。

可靠性：即行為和結(jié)果的可靠性、一致性。

不可抵賴性：信息還要求真實(shí)性，即個(gè)體身份的認(rèn)證，適用于用戶、進(jìn)程、系統(tǒng)等；包括對(duì)等實(shí)體認(rèn)證和數(shù)據(jù)源點(diǎn)認(rèn)證；對(duì)等實(shí)體認(rèn)證是指網(wǎng)絡(luò)通信必須保證雙方或是多方間身份的相互確認(rèn)；數(shù)據(jù)源點(diǎn)（主機(jī)標(biāo)識(shí)）認(rèn)證是指在安全級(jí)別較高的網(wǎng)絡(luò)通信中需要對(duì)數(shù)據(jù)源點(diǎn)進(jìn)行認(rèn)證，以阻止各種惡意行為。

2：網(wǎng)絡(luò)安全服務(wù)包括哪些？

對(duì)等實(shí)體認(rèn)證服務(wù)：網(wǎng)絡(luò)通信必須保證雙方或多方間身份，特別對(duì)等實(shí)體身份的相互確認(rèn)，這是網(wǎng)絡(luò)間有效通信的前提；對(duì)等實(shí)體主要指用戶應(yīng)用實(shí)體；

數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)：高安全級(jí)別的網(wǎng)絡(luò)通信需要對(duì)數(shù)據(jù)源點(diǎn)進(jìn)行認(rèn)證，以阻止各種可能的惡意攻擊行為。這里，數(shù)據(jù)源點(diǎn)主要指主機(jī)標(biāo)識(shí)，

數(shù)據(jù)保密服務(wù)：信息不泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性；

數(shù)據(jù)完整性服務(wù)：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中不被修改、不被破壞和丟失的特性；

訪問控制服務(wù)：通信雙方應(yīng)該能夠?qū)νㄐ拧⑼ㄐ诺膬?nèi)容具有不同強(qiáng)度的控制能力，這是有效和高效通信的保障；

可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都是對(duì)可用性的攻擊。

3：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則將信息安全分為幾級(jí)，各級(jí)的主要特征。

分為7級(jí)

(最小保護(hù))D級(jí)：該級(jí)的計(jì)算機(jī)系統(tǒng)除了物理上的安全設(shè)施外沒有任何安全措施，任何人只要啟動(dòng)系統(tǒng)就可以訪問系統(tǒng)的資源和數(shù)據(jù)，如DOS，Windows的低版本和DBASE均是這一類(指不符合安全要求的系統(tǒng)，不能在多用戶環(huán)境中處理敏感信息)。

(自主保護(hù)類)C1級(jí)：具有自主訪問控制機(jī)制、用戶登錄時(shí)需要進(jìn)行身份鑒別。

(自主保護(hù)類)C2級(jí)：具有審計(jì)和驗(yàn)證機(jī)制((對(duì)TCB)可信計(jì)算機(jī)基進(jìn)行建立和維護(hù)操作，防止外部人員修改)。如多用戶的UNIX和ORACLE等系統(tǒng)大多具有C類的安全設(shè)施。

(強(qiáng)制安全保護(hù)類)B1級(jí)：引入強(qiáng)制訪問控制機(jī)制，能夠?qū)χ黧w和客體的安全標(biāo)記進(jìn)行管理。

B2級(jí)：具有形式化的安全模型，著重強(qiáng)調(diào)實(shí)際評(píng)價(jià)的手段，能夠?qū)﹄[通道進(jìn)行限制。(主要是對(duì)存儲(chǔ)隱通道)

B3級(jí)：具有硬件支持的安全域分離措施，從而保證安全域中軟件和硬件的完整性，提供可信通道。對(duì)時(shí)間隱通道的限制。

A1級(jí)：要求對(duì)安全模型作形式化的證明，對(duì)隱通道作形式化的分析，有可靠的發(fā)行安裝過程。

4：分組密碼與流密碼對(duì)稱密碼與非對(duì)稱密碼

按加密方式的不同可分為分組密碼與流密碼：

流密碼（Stream Cipher）（或稱序列密碼）和分組密碼（Block Cipher）

區(qū)別是：流密碼是將明文消息按字符逐位加密；分組密碼是將明文消息先進(jìn)行分組，再逐組加密。

按密鑰的特點(diǎn)分為對(duì)稱密碼和非對(duì)稱密碼：

對(duì)稱密碼體制（Symmetric Cryptosystem）：?jiǎn)舞€（One-Key）體制或私鑰（Private Key）體制或傳統(tǒng)密碼體制（Classical Cryptosystem）；加密解密密碼相同；密鑰必須保密存放；通信前，收發(fā)雙方必須實(shí)現(xiàn)密鑰共享；主要應(yīng)用于數(shù)據(jù)加解密、可以實(shí)現(xiàn)數(shù)據(jù)保密性、認(rèn)證等安全服務(wù)。

非對(duì)稱密碼體制（Asymmetric Cryptosystem）：雙鑰（Two-Key）或公鑰（Public Key）密碼體制。

加密解密密碼不同；私鑰保密存放，公鑰公開存放；通信前，收發(fā)雙方無需實(shí)現(xiàn)密鑰共享；可應(yīng)用于數(shù)據(jù)加解密、數(shù)字簽名、密鑰交換等方面，實(shí)現(xiàn)數(shù)據(jù)保密、認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性等安全服務(wù)。

5：保證密碼系統(tǒng)安全就是要保證密碼算法的安全性，這種說法是否錯(cuò)誤，并解釋。

說法錯(cuò)誤，系統(tǒng)的保密性不依賴于對(duì)加密體制或算法的保密，而僅依賴于密鑰的安全性。對(duì)于當(dāng)今的公開密碼系統(tǒng)，加密解密算法是公開的。

6：PKI，PKI的組成部分，各部分的作用。

PKI，Public Key Infrastructure是一個(gè)用公鑰概念與技術(shù)來實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。PKI公鑰基礎(chǔ)設(shè)施的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供數(shù)字簽名服務(wù)。是生成、管理、存儲(chǔ)、分發(fā)和吊銷基于公鑰密碼學(xué)的公鑰證書所需要的硬件、軟件、人員、策略和規(guī)程的總和。

完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口（API）等基本構(gòu)成部分；

認(rèn)證機(jī)構(gòu)（CA）：即數(shù)字證書的申請(qǐng)及簽發(fā)機(jī)關(guān)，CA必須具備權(quán)威性的特征；

數(shù)字證書庫：用于存儲(chǔ)已簽發(fā)的數(shù)字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰；

密鑰備份及恢復(fù)系統(tǒng)：如果用戶丟失了用于解密數(shù)據(jù)的密鑰，則數(shù)據(jù)將無法被解密，這將造成合法數(shù)據(jù)丟失。為避免這種情況，PKI提供備份與恢復(fù)密鑰的機(jī)制。但須注意，密鑰的備份與恢復(fù)必須由可信的機(jī)構(gòu)來完成。并且，密鑰備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰為確保其唯一性而不能夠作備份。

證書作廢系統(tǒng)：證書作廢處理系統(tǒng)是PKI的一個(gè)必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內(nèi)也可能需要作廢，原因可能是密鑰介質(zhì)丟失或用戶身份變更等。為實(shí)現(xiàn)這一點(diǎn),PKI必須提供作廢證書的一系列機(jī)制。

應(yīng)用接口（API）：PKI的價(jià)值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，因此一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保安全網(wǎng)絡(luò)環(huán)境的完整性和易用性。

7：CA之間的信任模型有哪幾個(gè)，分別描述。

單CA信任模型：整個(gè)PKI中只有一個(gè)CA，為所有的終端用戶簽發(fā)和管理證書，PKI中的所有終端用戶都信任這個(gè)CA。每個(gè)證書路徑都起始于改CA的公鑰，改CA的公鑰成為PKI系統(tǒng)中的唯一用戶信任錨。

優(yōu)點(diǎn)：容易實(shí)現(xiàn)，易于管理，只需要一個(gè)根CA，所有終端用戶就可以實(shí)現(xiàn)相互認(rèn)證；

缺點(diǎn)：不易擴(kuò)展到支持大量用戶或者不同的群體用戶。終端的用戶群體越大，支持所有的必要應(yīng)用就會(huì)越困難。

嚴(yán)格分級(jí)信任模型：以主從CA關(guān)系建立的分級(jí)PKI結(jié)構(gòu)，有一個(gè)根CA，根CA下有零層或多層子CA，根CA為子CA頒發(fā)證書，子CA為終端用戶頒發(fā)證書。終端進(jìn)行交互時(shí)，通過根CA來對(duì)對(duì)證書進(jìn)行有效性和真實(shí)性的認(rèn)證。信任關(guān)系是單向的，上級(jí)CA可以而且必須認(rèn)證下級(jí)CA，而下級(jí)不能認(rèn)證上級(jí)CA。

優(yōu)點(diǎn)：

增加新的信任域用戶比較容易；

證書由于單向性，容易擴(kuò)展，可生成從終端用戶到信任錨的簡(jiǎn)單明確路徑；

證書路徑相對(duì)較短；

證書短小、簡(jiǎn)單，用戶可以根據(jù)CA在PKI中的位置來確定證書的用途。

缺點(diǎn)：?jiǎn)蝹€(gè)CA的失敗會(huì)影響到整個(gè)PKI系統(tǒng)。與頂層的根CA距離越小，則造成的影響越大；

建造一個(gè)統(tǒng)一的根CA實(shí)現(xiàn)起來不太顯示。

網(wǎng)狀信任模型：

也成分布式信任模型，CA之間交叉認(rèn)證。將信任分散到兩個(gè)或者多個(gè)CA上。

優(yōu)點(diǎn)：具有較好的靈活性；從安全性削弱的CA中恢復(fù)相對(duì)容易，并且只是影響到相對(duì)較少的用戶；

增加新的信任域比較容易。

缺點(diǎn)：路徑發(fā)現(xiàn)比較困難；擴(kuò)展性差。

橋CA信任模型：

也稱中心輻射式信任模型，用于克服分級(jí)模型和網(wǎng)絡(luò)模型的缺點(diǎn)和連接不同的PKI體系。橋CA與不同的信任域建立對(duì)等的信任關(guān)系，允許用戶保持原有的信任域。這些關(guān)系被結(jié)合起來就形成了信任橋，使得來自不同的信任域用戶通過指定信任級(jí)別的橋CA相互作用。類似網(wǎng)絡(luò)中的HUB集線器。

優(yōu)點(diǎn)：

現(xiàn)實(shí)性強(qiáng)；分散化的特性比較準(zhǔn)確地代表了現(xiàn)實(shí)世界證書之間的交互關(guān)系

證書路徑較易發(fā)現(xiàn)；用戶只需要知道到橋的路徑就可以了

證書路徑較短；橋CA與網(wǎng)狀信任相比有更短的可信任路徑

WEB信任模型：

構(gòu)建在瀏覽器的基礎(chǔ)上，瀏覽器廠商在瀏覽器中內(nèi)置了多個(gè)根CA，每個(gè)根CA相互間是平行的，瀏覽器用戶信任這多個(gè)根CA并把這多個(gè)根CA作為自己的信任錨。各個(gè)嵌入的根CA并不是被瀏覽器廠商顯示認(rèn)證，而是物理地嵌入到軟件中來發(fā)布，作為對(duì)CA名字和它的密鑰的安全綁定。

優(yōu)點(diǎn)：方便簡(jiǎn)單，操作性強(qiáng)，對(duì)終端用戶的要求較低，用戶只需簡(jiǎn)單地信任嵌入的各個(gè)根ＣＡ。

缺點(diǎn)：安全性較差；若有一個(gè)根CA損壞，即使其他的根CA完好，安全性也將被破壞

根CA與終端用戶的信任關(guān)系模糊；終端用戶與嵌入的根CA間交互十分困難，終端用戶無法知道瀏覽器中嵌入了哪個(gè)根，根CA也無法知道它的依托方是誰。

擴(kuò)展性差。根CA預(yù)先安裝，難于擴(kuò)展

以用戶為中心的信任模型：

每個(gè)用戶都直接決定信賴和拒絕哪個(gè)證書，沒有可行的第三方作為CA，終端用戶就是自己的根CA；

優(yōu)點(diǎn)：安全性強(qiáng)；在高技術(shù)高利害關(guān)系的群體中比較占優(yōu)勢(shì)；

用戶可控性強(qiáng)：每個(gè)用戶可以決定是否信賴某個(gè)證書

缺點(diǎn)：使用范圍較窄；需要用戶有非常專業(yè)的安全知識(shí)

在公司、政府、金融機(jī)構(gòu)不適宜；在這些組織中需要有組織地方式控制公約的使用。

8：攻擊的步驟

進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工作，其主要工作流程是：收集情報(bào)，遠(yuǎn)程攻擊，清除日志，留下后門。

9:可以通過哪些方法搜集信息。

IP掃描端口掃描漏洞掃描操作系統(tǒng)掃描社會(huì)工程

10：操作系統(tǒng)的訪問控制方法

自主訪問控制（Discretionary Access Control）

基本思想：

對(duì)象（object）的創(chuàng)建者為其所有者（owner），可以完全控制該對(duì)象

對(duì)象所有者有權(quán)將對(duì)于該對(duì)象的訪問權(quán)限授予他人（grantee）

不同的DAC模型：

Strict DAC: grantee不能授權(quán)他人

Liberal DAC: grantee可以授權(quán)他人

根據(jù)grantee可以繼續(xù)授權(quán)的深度可以分為一級(jí)的和多級(jí)的

存在的問題：不易控制權(quán)限的傳遞；容易引起權(quán)限的級(jí)聯(lián)吊銷；

強(qiáng)制訪問控制（Mandatory Access Control）

強(qiáng)制訪問控制是系統(tǒng)獨(dú)立于用戶行為強(qiáng)制執(zhí)行訪問控制，它也提供了客體在主體之間共享的控制，但強(qiáng)制訪問控制機(jī)制是通過對(duì)主體和客體的安全級(jí)別進(jìn)行比較來確定授予還是拒絕用戶對(duì)資源的訪問，從而防止對(duì)信息的非法和越權(quán)訪問，保證信息的保密性。與自主訪問控制不同的是，強(qiáng)制訪問控制由安全管理員管理，由安全管理員根據(jù)一定的規(guī)則來設(shè)置，普通數(shù)據(jù)庫用戶不能改變他們的安全級(jí)別或?qū)ο蟮陌踩珜傩裕蛔灾髟L問控制盡管也作為系統(tǒng)安全策略的一部分，但主要由客體的擁有者管理基本假定，

主體和客體的安全標(biāo)記一旦指定，不再改變

存在的問題：僅有唯一的管理員，無法實(shí)現(xiàn)管理的分層關(guān)系復(fù)雜，不易實(shí)現(xiàn)

11：簡(jiǎn)述網(wǎng)絡(luò)嗅探的原理

以太網(wǎng)的數(shù)據(jù)傳輸是基于“共享”原理的：所有的同一本地網(wǎng)范圍內(nèi)的計(jì)算機(jī)共同接收到相同的數(shù)據(jù)包。這意味著計(jì)算機(jī)直接的通訊都是透明可見的。正常情況下，以太網(wǎng)卡都構(gòu)造了硬件的“過濾器”這個(gè)過濾器將忽略掉一切和自己無關(guān)的網(wǎng)絡(luò)信息。事實(shí)上是忽略掉了與自身MAC地址不符合的信息。嗅探程序正是利用了這個(gè)特點(diǎn)，它主動(dòng)的關(guān)閉了這個(gè)嗅探器，設(shè)置網(wǎng)卡為“混雜模式”。因此，嗅探程序就能夠接收到整個(gè)以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)信息，從而實(shí)現(xiàn)嗅探功能。

12：什么是網(wǎng)絡(luò)蠕蟲，描述其特征。

網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。

特征：具有病毒的特征，傳染性，隱蔽性，破壞性；

不利用文件寄生，可以主動(dòng)傳播，并且通過網(wǎng)絡(luò)可快速傳播，容易造成網(wǎng)絡(luò)擁塞；

具有智能化、自動(dòng)化和高技術(shù)化；

13：什么是木馬技術(shù)，木馬技術(shù)有哪些植入方式。

木馬本質(zhì)上是一個(gè)客戶端、服務(wù)器端的網(wǎng)絡(luò)軟件系統(tǒng)，包括主控端和被控端兩個(gè)程序，其中主控端安裝在攻擊者自己的計(jì)算機(jī)上，用于遠(yuǎn)程遙控被攻擊主機(jī)，被控端則通過各種隱秘手段植入到被攻擊者的計(jì)算機(jī)中，從而實(shí)現(xiàn)攻擊者的遠(yuǎn)程遙控。

木馬的植入是指木馬程序在被攻擊系統(tǒng)中被激活，自動(dòng)加載運(yùn)行的過程。常見的植入方式有：通過E-MAIL方式，軟件下載，利用共享和Autorun方式，通過網(wǎng)頁將木馬轉(zhuǎn)換為圖片格式，偽裝成應(yīng)用程序擴(kuò)展程序，利用WinRar制作自釋放文件，將木馬和其他文件捆綁在一起，基于DLL和遠(yuǎn)程線程插入。木馬的自動(dòng)運(yùn)行方式有：修改系統(tǒng)配置文件的自動(dòng)啟動(dòng)選項(xiàng)、加載自動(dòng)啟動(dòng)的注冊(cè)表項(xiàng)、修改文件關(guān)聯(lián)加載。

14：僵尸網(wǎng)絡(luò)的工作機(jī)制，并解釋其含義。

僵尸網(wǎng)絡(luò) Botnet 是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。

攻擊者在公共或者秘密設(shè)置的IRC聊天服務(wù)器中開辟私有聊天頻道作為控制頻道，僵尸程序中預(yù)先就包含了這些頻道信息，當(dāng)僵尸計(jì)算機(jī)運(yùn)行時(shí)，僵尸程序會(huì)自動(dòng)尋找和連接這些控制頻道，收取頻道中的消息。攻擊者則通過控制頻道向所有連線的僵尸程序發(fā)送指令。從而就可以發(fā)動(dòng)各種各樣的攻擊。攻擊機(jī)制如下圖所示：

15：什么是防火墻，解釋防火墻的基本功能，及其局限性。

概念：為了保護(hù)計(jì)算機(jī)系統(tǒng)免受外來的攻擊，在內(nèi)網(wǎng)與外網(wǎng)Internet之間設(shè)置了一個(gè)安全網(wǎng)關(guān)，在保持內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連通性的同時(shí)，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。

基本功能：

過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；

管理進(jìn)出網(wǎng)絡(luò)的訪問行為；

封堵某些禁止的業(yè)務(wù)；

記錄進(jìn)出網(wǎng)絡(luò)的信息和活動(dòng)；

對(duì)網(wǎng)絡(luò)的攻擊進(jìn)行將側(cè)和報(bào)警。

局限性：

使用不便，認(rèn)為防火墻給人虛假的安全感

對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點(diǎn)失效

無法防范通過防火墻以外途徑的攻擊；

不能防范來自內(nèi)部用戶的攻擊；

不能防止傳送已感染病毒的軟件或文件；

無法防止數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

16：簡(jiǎn)述包過濾防火墻，電路級(jí)網(wǎng)關(guān)防火墻和應(yīng)用級(jí)網(wǎng)關(guān)防火墻的工作原理。

包過濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。防火墻審查每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。包的進(jìn)入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。

優(yōu)點(diǎn)：速度快、性能高、對(duì)用戶透明

缺點(diǎn)：維護(hù)比較困難、安全性低、不提供有用的日志、不能根據(jù)狀態(tài)信息進(jìn)行有用的控制、不能處理網(wǎng)絡(luò)層以上的信息、無法對(duì)網(wǎng)絡(luò)上流的信息進(jìn)行有效地控制。

如圖：

電路級(jí)網(wǎng)關(guān)防火墻

電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會(huì)話是否合法，電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包。只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過濾。電路級(jí)網(wǎng)關(guān)首先從客戶端獲的一個(gè)TCP鏈接請(qǐng)求，認(rèn)證并授權(quán)該客戶端，并代表客戶端向源服務(wù)器建立TCP連接。如果成功建立好TCP連接，電路級(jí)網(wǎng)關(guān)則簡(jiǎn)單地在兩個(gè)連接之間傳遞數(shù)據(jù)。另外，電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：代理服務(wù)器。通過網(wǎng)絡(luò)地址轉(zhuǎn)移(NAT)將所有內(nèi)部網(wǎng)絡(luò)的IP地址映射到一個(gè)“安全”的網(wǎng)關(guān)IP地址，這個(gè)地址是由防火墻使用。最終，在設(shè)有電路級(jí)網(wǎng)關(guān)的網(wǎng)絡(luò)中，所有輸出地?cái)?shù)據(jù)包好像是直接由網(wǎng)關(guān)產(chǎn)生的，從而就避免了直接在受信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)間建立連接。對(duì)不信任網(wǎng)絡(luò)只知道電路級(jí)網(wǎng)關(guān)的地址，從而就可以避免對(duì)內(nèi)部服務(wù)器的直接攻擊。

應(yīng)用網(wǎng)關(guān)防火墻（Application GateWay Firewall）

應(yīng)用層網(wǎng)關(guān)防火墻檢查所有的應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策國(guó)策很難過，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)、服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)、服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每一個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或是一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每一個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則就不能使用該服務(wù)，因此應(yīng)用網(wǎng)關(guān)防火墻可伸縮性較差。

如圖：

17：防火墻的體系結(jié)構(gòu)有哪幾種，分別說明其特點(diǎn)。

屏蔽路由器

由但以分組的包過濾防火墻或狀態(tài)檢測(cè)型防火墻來實(shí)現(xiàn)。通常防火墻功能由路由器提供，改路由器在內(nèi)部網(wǎng)絡(luò)與Internet之間根據(jù)預(yù)先設(shè)置的規(guī)則對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行過濾。

特點(diǎn)：數(shù)據(jù)轉(zhuǎn)發(fā)速度快，網(wǎng)絡(luò)性能損失小，易于實(shí)現(xiàn)，費(fèi)用低

缺點(diǎn)：安全性較低，易被攻破。

雙重宿主主機(jī)體系結(jié)構(gòu)（Dual Home GateWay）

采用單一的代理服務(wù)器防火墻來實(shí)現(xiàn)，至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能從一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。受到保護(hù)的內(nèi)網(wǎng)與Internet之間不能直接建立連接，必須通過這種代理主機(jī)才可以。

特點(diǎn)：主機(jī)的安全至關(guān)重要，必須支持多用戶的訪問，性能很重要；

缺點(diǎn)：一旦雙重宿主主機(jī)被攻破，內(nèi)部網(wǎng)絡(luò)將會(huì)失去保護(hù)。

屏蔽主機(jī)體系結(jié)構(gòu)

采用雙重防火墻來實(shí)現(xiàn)，一個(gè)是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)絡(luò)的第一道安全防線，一個(gè)是堡壘主機(jī)，構(gòu)成內(nèi)部網(wǎng)絡(luò)的第二道安全防線，屏蔽路由器基于下列規(guī)則進(jìn)行屏蔽：堡壘主機(jī)是內(nèi)部網(wǎng)絡(luò)的唯一系統(tǒng)，允許外部網(wǎng)絡(luò)與堡壘主機(jī)建立聯(lián)系，并且只能通過與堡壘主機(jī)建立連接來訪問內(nèi)部網(wǎng)絡(luò)提供的服務(wù)。堡壘主機(jī)具有較高的安全級(jí)別。

特點(diǎn)：安全性更高雙重保護(hù)：實(shí)現(xiàn)網(wǎng)絡(luò)層安全、應(yīng)用層安全

缺點(diǎn)：屏蔽路由器是否安全配置至關(guān)重要，一旦屏蔽路由器被損害，堡壘主機(jī)將會(huì)被穿越，整個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)入侵者開放。

屏蔽子網(wǎng)體系結(jié)構(gòu)

屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽。外部路由器的作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的安全。內(nèi)部路由器：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害。

特點(diǎn)：有三重屏障，安全性更高，比較適合大型的網(wǎng)絡(luò)系統(tǒng)，成本也較高。

18：入侵檢測(cè)系統(tǒng)由哪些部分組成，各自的作用是什么？

事件產(chǎn)生器(Event Generators)

事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。是入侵檢測(cè)的第一步，采集的內(nèi)容包括系統(tǒng)日式、應(yīng)用程序日志、系統(tǒng)調(diào)用、網(wǎng)絡(luò)數(shù)據(jù)、用戶行為、其它IDS信息。

事件分析器(Event analyzers)

事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。分析是入侵檢測(cè)系統(tǒng)的核心。

響應(yīng)單元(Respon units)

響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，功能包括：告警和事件報(bào)告、終止進(jìn)程強(qiáng)制用戶退出、切斷網(wǎng)絡(luò)連接修改防火墻配置、災(zāi)難評(píng)估自動(dòng)恢復(fù)、查找定位攻擊者。

事件數(shù)據(jù)庫(Event databas)

事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡(jiǎn)單的文本文件。

19：根據(jù)數(shù)據(jù)的來源不同，入侵檢測(cè)系統(tǒng)可以分為哪些種類，各自有什么優(yōu)缺點(diǎn)？

基于主機(jī)的入侵檢測(cè)系統(tǒng)

概念：安裝在單個(gè)主機(jī)或服務(wù)器系統(tǒng)上，對(duì)針對(duì)主機(jī)或是服務(wù)器系統(tǒng)的入侵行為進(jìn)行檢測(cè)和響應(yīng)，對(duì)主機(jī)系統(tǒng)進(jìn)行全面保護(hù)的系統(tǒng)。

優(yōu)點(diǎn)：

性價(jià)比高：在主機(jī)數(shù)量較少的情況下比較適合；

監(jiān)控粒度更細(xì)、配置靈活、可用于加密的以及交換的環(huán)境；

可以確定攻擊是否成功；

對(duì)網(wǎng)絡(luò)流量不敏感；

不需增加額外的硬件設(shè)備；

缺點(diǎn)：

不適合大型的網(wǎng)絡(luò)中大量主機(jī)的檢測(cè)，偵測(cè)速度較慢，只能運(yùn)行于特定的操作系統(tǒng)中

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

概念：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)用原始的網(wǎng)絡(luò)包作為數(shù)據(jù)源，它將網(wǎng)絡(luò)數(shù)據(jù)中檢測(cè)主機(jī)的網(wǎng)卡設(shè)為混雜模式，該主機(jī)實(shí)時(shí)接收和分析網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)包，從而檢測(cè)是否存在入侵行為，基于網(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下的網(wǎng)絡(luò)適配器來實(shí)時(shí)檢測(cè)并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)他的攻擊辨識(shí)模塊通常使用四種常用技術(shù)來標(biāo)識(shí)攻擊標(biāo)志：模式、表達(dá)式或自己匹配；頻率或穿越閥值；低級(jí)時(shí)間的相關(guān)性；統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè)，一旦檢測(cè)到了攻擊行為，IDS響應(yīng)模塊就提供多種選項(xiàng)以通知，報(bào)警并對(duì)攻擊采取響應(yīng)的反應(yīng)，尤其適應(yīng)于大規(guī)模網(wǎng)絡(luò)的NIDS可擴(kuò)展體系結(jié)構(gòu)，知識(shí)處理過程和海量數(shù)據(jù)處理技術(shù)等。

優(yōu)點(diǎn)：視野更寬、隱蔽性好、攻擊者不易轉(zhuǎn)移證據(jù)；

偵測(cè)速度快通常能在秒級(jí)或是微秒級(jí)發(fā)現(xiàn)問題；

使用較少的監(jiān)測(cè)器使用一個(gè)監(jiān)測(cè)器就可以保護(hù)一個(gè)網(wǎng)段；

操作系統(tǒng)無關(guān)性；

占用資源少；

缺點(diǎn)：

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只能夠檢查它直接相連的網(wǎng)絡(luò)，不能監(jiān)測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包；

在使用交換以太網(wǎng)的環(huán)境中會(huì)出現(xiàn)監(jiān)測(cè)范圍的限制；

成本較高；

由于采用特征監(jiān)測(cè)的方法，可以監(jiān)測(cè)出一般的普通攻擊，但是很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算的攻擊檢測(cè)；

產(chǎn)生大量的數(shù)據(jù)分析流量；

難以監(jiān)測(cè)加密的會(huì)話過程；

協(xié)同能力較差；

由于各有優(yōu)缺點(diǎn)，所以采用兩者聯(lián)合的方式會(huì)達(dá)到更好的監(jiān)測(cè)效果。

20：簡(jiǎn)述入侵檢測(cè)IPS和IDS的區(qū)別，在網(wǎng)絡(luò)安全綜合方案中各發(fā)揮什么作用。

IDS 是一種入侵檢測(cè)系統(tǒng)，能夠發(fā)現(xiàn)攻擊者的攻擊行為和蹤跡，但是自身確是不作為，通過與防火墻等安全設(shè)備聯(lián)動(dòng)進(jìn)行防護(hù)。IPS則是一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng)，相當(dāng)于防火墻和IDS的結(jié)合，可以預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免造成任何損失，而非在入侵流量傳送時(shí)才發(fā)出警報(bào)。IPS檢測(cè)攻擊的方法也與IDS不同。一般來說，IPS系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。最主要的區(qū)別就是：IPS（Intrusion Prevention System）具有自動(dòng)攔截和在線運(yùn)行的能力。

在網(wǎng)絡(luò)安全綜合方案中各發(fā)揮的作用：

入侵檢測(cè)系統(tǒng)注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管。為了達(dá)到可以全面檢測(cè)網(wǎng)絡(luò)安全狀況的目的，入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點(diǎn)，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，即每子網(wǎng)部署一個(gè)入侵檢測(cè)分析引擎，并統(tǒng)一進(jìn)行引擎的策略管理以及事件分析，以達(dá)到掌控整個(gè)信息系統(tǒng)安全狀況的目的。入侵檢測(cè)系統(tǒng)的核心價(jià)值在于通過對(duì)全網(wǎng)信息的分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整。入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)。

入侵防御系統(tǒng)關(guān)注的是對(duì)入侵行為的控制。與防火墻類產(chǎn)品、入侵檢測(cè)產(chǎn)品可以實(shí)施的安全策略不同，入侵防御系統(tǒng)可以實(shí)施深層防御安全策略，即可以在應(yīng)用層檢測(cè)出攻擊并予以阻斷。而為了實(shí)現(xiàn)對(duì)外部攻擊的防御，入侵防御系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界。這樣所有來自外部的數(shù)據(jù)必須串行通過入侵防御系統(tǒng)，入侵防御系統(tǒng)即可實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來自外部的攻擊數(shù)據(jù)不能通過網(wǎng)絡(luò)邊界進(jìn)入網(wǎng)絡(luò)。而入侵防御系統(tǒng)的核心價(jià)值在于安全策略的實(shí)施對(duì)黑客行為的阻擊，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵。