(1)防火墙对企业内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行。(1分)
(2)防火墙能防止非授权用户进入内部网络。(1分) (3)防火墙可以方便地监视网络的安全性并报警。(1分)
(4)可以作为部署网络地址转换(Network Address Translation )的地点,利用NAT 技术,可以缓解地址空间的短缺,隐藏内部网的结构。(1分)
(5)利用防火墙对内部网络的划分,可以实现重点网段的分离,从而限制问题的扩散。 (6)由于所有的访问都经过防火墙,防火墙是审计和记录网络的访问和使用的最佳地方。 TCP/IP的分层结构以及它与OSI七层模型的对应关系。 TCP/IP层次划分 OSI层次划分 应用层 应用层 表示层(1分) 传输层 会话层 传输层(1分)
网络层 网络层(1分) 数据链路层 链路层 物理层(2分)
简述拒绝服务攻击的概念和原理。
拒绝服务攻击的概念:广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。(3分) 拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务。 简述SSL安全协议的概念及功能。 SSL全称是:Secure Socket Layer (安全套接层) (1分)。在客户和服务器两实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息伪造,通过在两个实体之间建立一个共享的秘密,SSL提供保密性,服务器认证和可选的客户端认证(2分)。其安全通道是透明的,工作在传输层之上,应用层之下,做到与应用层协议无关,几乎所有基于TCP的协议稍加改动就可以在SSL上运行(2分)。 (1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙;(1分)(2)只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;(1分)(3)防火墙本身不受各种攻击的影响;(1分)(4)使用目前新的信息安全技术,如一次口令技术、智能卡等(1分);(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。(1分) ARP的工作过程: (1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。
ARP欺骗:ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。 (4分) 简述包过滤型防火墙的概念、优缺点和应用场合。
包过滤型防火墙的概念: 包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。(2分) 包过滤型防火墙的优缺点: 包过滤防火墙的优点:处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训,也不必在每台主机上安装特定的软件。(4分) 包过滤防火墙的缺点:维护比较困难;只能阻止外部主机伪装成内部主机的IP欺骗;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。(4分)
1、在如图所示的网络中,要求允许网段3的所有机器能登录Internet,但只能浏览WWW;要求网段2中的192.168.1.4~192.168.1.7这四台主机可以向internet提供WWW、SMTP和FTP服务,其余主机不能被Internet访问,试进行访问控制配置。
1、答:
Access –list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www|http|80 Access –list 101 permit tcp any 192.168.1.4 0.0.0.3 eq www|http|80
Access –list 101 permit tcp any 192.168.1.4 0.0.0.3 eq smtp|25(1分) Access –list 101 permit tcp any 192.168.1.4 0.0.0.3 eq ftp|21(1分) Interface ethernet 1(1分) Ip access-group 101 in(1分) Interface serial10
Ip access-group 101 in(1分)
2、阅读下列说明,回答问题1 至问题6,将解答填入答题纸对应的解答栏内。【说明】某公司的业务员甲与客户乙通过Internet交换商业电子邮件。为保障邮件内容的安全,采用安全电子邮件技术对邮件内容进行加密和数字签名。安全电子邮件技术的实现原理如图4-1所示。
【问题1】(2分) 为图4-1中(1)~(4)处选择合适的答案。(1)~(4)的备选答案如下: A. DES 算法 B. MD5 算法 C. 会话密钥 D. 数字证书 E. 甲的公钥 F. 甲的私钥 G. 乙的公钥 H. 乙的私钥 D ;(2) B ;(3) f ;(4) e 【问题2】(2分) 以下关于报文摘要的说法中正确的有___(5)_、___(6)__。(5)和(6)的备选答案如下:A. 不同的邮件很可能生成相同的摘要 B. 由邮件计算出其摘要的时间非常短C. 由邮件计算出其摘要的时间非常长 D. 摘要的长度比输入邮件的长度长E. 不同输入邮件计算出的摘要长度相同 F. 仅根据摘要很容易还原出原邮件 (5) b ;(6) e 【问题3】(2分)甲使用Outlook Express撰写发送给乙的邮件,他应该使用___(7)___的数字证书来添加数字签名,而使用 ___(8)___的数字证书来对
邮件加密。 (7)和(8)的备选答案如下: A. 甲 B. 乙 C. 第三方 D. CA 认证中心 (7) a ;(8) b 【问题4】(2分) 乙收到了地址为甲的含数字签
名的邮件,他可以通过验证数字签名来确认的信息有___(9)___、___(10)___。(9)和(10)的备选答案如下: A. 邮件在传送过程中是否加密 B. 邮件中是否含病毒 C. 邮件是否被篡改 D. 邮件的发送者是否是甲(9) c ;(10) d
企业在网络安全方面一般会提出哪几方面的要求?
一般企业在设计一个系统的网络安全是一般会提以下要求:安全性(系统安全,硬件软件数据安全等);可控性和可管理性;系统的可用性;可持续发展;合法性等。
4、在校园的局域网中捕获到一个以太网帧,此帧的全部数据如下图所示,请对照相关协议的数据结构图,回答以下问题:
(1)此帧的用途和目的是什么?地址解析协议的ARP查询
(2)此帧的目的物理地址是 ff:ff:ff:ff:ff:ff 它属于 广播 地址。 (3)此帧的源物理地址是 00:16:76:0e:b8:76 。 (4)此帧属于以太网帧,还是IEEE802.3帧?为什么?
因为类型字段0806表示ARP协议,它大于0600,所以属于以太网,版本II。 (5)此帧中封装的上层协议是什么?ARP协议
5、在校园的局域网中捕获到一个以太网帧,此帧的全部数据如下图所示,请对照相关协议的数据结构图,回答以下问题:
(1)、它的目的IP地址是 10.0.26.1 ,它属于 (广播、单播)地址。
(2)、它的源IP地址是 10.0.26.12 ,它属于 (公网、私网)IP地址。 (3)、此帧中有没有填充字段?在什么情况下需要进行填充?
有,填充了18字节的0,这是为了保证CSMA/CD“载波侦听/多路访问/冲突检测”协议的正确实施,即以太网的最短帧长必须大于64字节。
(4)、如果有一台网络计算机对此帧收到此帧后发出响应,响应中应当包含什么内容? 即ARP响应,其中应当包含被查询主机的MAC地址和IP地址 校园VPN技术要求包括哪些方面?
身份验证;加密保护;方便安全的管理;DHCP支持;多种用户环境支持;VPN星状互联;本地网和VPN网络智能判断;连通性要求;应用范围广;符合国家的法律法规安全要求;系统可以升级等。
利用所给资源:外部路由器,内部路由器,子网络,堡垒主机设计一个防火墙。说明:各资源不允许合并要求:(1)将各资源连接构成防火墙(2)指出此防火墙属于防火墙体系结构中哪一种(3)说明防火墙各设备的主要作用 网络信息数据分析题:(1)下图是一台计算机访问一个Web网站时的数据包序列。分析图中数据简要回答以下问题:
A.客户机的IP地址是 192.168.0.103 ,它属于(公网,私网)地址。 B.Web服务器的IP地址是 202.203.208.32 ,它属于(公网,私网)地址。
C.客户机访问服务器使用的传输层协议是 TCP ,应用层协议的版本号是 HTTP/1.1 。 D.客户机向服务器请求建立TCP连接的数据包的号数是 1 。
E.客户机向服务器发送用户名和口令进行请求登录的数据包的号数是 4 。 G.服务器对客户机的响应报文中,代码200的含义是 请求被成功接受 。 H.在TCP的6比特的控制字段中:
[SYN]的含义是 请求建立TCP连接 。[SYN, ACK]的含义是 可以建立连接 。
[ACK]的含义是 确认 。[FIN, ACK]的含义是 同意结束 , [FIN]的含义是 结束, 。 9、(略)可以从管理方面和技术方面来管理。漏洞扫描(1分),入侵检测(1分),防火墙(1分),杀毒软件(1分),数据加密(1分)。管理方面(1分)。
10.数字签名是笔迹签名的模拟。数字签名是一种包括防止源点或终点否认的认证技术。(1分)具有如下三个性质:
(1)接收者能够核实发送者身份;(正身)(1分) (2)发送者事后不能抵赖发送的内容;(不可抵赖)(1分) (3)接收者不能伪造这样的消息。(不能伪造)(1分) 对称密钥数字签名:如图(4分)
公开密钥数字签名:如图 11. 解:因为n=119 (*此种大数求余,可用碾除法。) 可选取p和q是素数且n=p*q,则p=7,q=11,z=(p-1)*(q-1)=96 e*d=1(mod z)即7d=1(mod 96),且d与z互质,则d=55 则得私钥(55,119)(3分) 由C=Me(mod n)=197(mod119)=6(2分只要过程) 若C=10,则M=Cd(mod n)=1055(mod 119)=4(2分) 12. ARP的工作过程: (1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。(3分) ARP欺骗: ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。 (4分)
1、答:
Access –list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www|http|80(1分) Access –list 101 permit tcp any 192.168.1.4 0.0.0.3 eq www|http|80(1分) Access –list 101 permit tcp any 192.168.1.4 0.0.0.3 eq smtp|25(1分) Access –list 101 permit tcp any 192.168.1.4 0.0.0.3 eq ftp|21(1分) Interface ethernet 1(1分) Ip access-group 101 in(1分) Interface serial10
Ip access-group 101 in(1分) 2、
(1)D(2)B(3)F(4)E(2分)
(5)B(6)E(7)A(8)B(9)C(10)D(每个1分,共6分)
3、一般企业在设计一个系统的网络安全是一般会提以下要求:安全性(系统安全,硬件软件数据安全等);可控性和可管理性;系统的可用性;可持续发展;合法性等。(7分) 4、答:(1)地址解析协议的ARP查询(1分)(2)ff:ff:ff:ff:ff:ff、广播(2分) (3)00:16:76:0e:b8:76(1分)(4)因为类型字段0806表示ARP协议,它大于0600,所以
属于以太网,版本II。(2分) (5)ARP协议(1分) 5、(1)10.0.26.1、单播(2分) (2)10.0.26.12、私网(2分)
(3)答:有,填充了18字节的0,这是为了保证CSMA/CD“载波侦听/多路访问/冲突检测”协议的正确实施,即以太网的最短帧长必须大于64字节。(2分)
(4) 答:即ARP响应,其中应当包含被查询主机的MAC地址和IP地址,参看教材82页。(1分) 6、校园VPN的主要技术要求:
身份验证;加密保护;方便安全的管理;DHCP支持;多种用户环境支持;VPN星状互联;本地网和VPN网络智能判断;连通性要求;应用范围广;符合国家的法律法规安全要求;系统可以升级等。(答对一个知识点1分)
7、答:a.将各资源连接构成防火墙的结构如下所示:(1分)b.此防火墙属于“子网过滤体系结构”的防火墙。(1分)c.子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网络,一个位于参数网络与内部网络之间,另一个位于参数网络与外部网络之间。(1分)参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙,参数网络就能在入侵者与内部网之间再提供一层保护。堡垒主机:为内部服务请求进行代理(1分)内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。它完成防火墙的大部分包过滤工作。外部路由器:主要是对参数网络上的主机提供保护,并阻断来自外部网上伪造内部网源地址进来的任何数据包。(1分) 8、A.客户机的IP地址是 192.168.0.103 ,它属于(公网,私网)地址。 B.Web服务器的IP地址是 202.203.208.32 ,它属于(公网,私网)地址。
C.客户机访问服务器使用的传输层协议是 TCP ,应用层协议的版本号是 HTTP/1.1 。 D.客户机向服务器请求建立TCP连接的数据包的号数是 1 。
E.客户机向服务器发送用户名和口令进行请求登录的数据包的号数是 4 。 G.服务器对客户机的响应报文中,代码200的含义是 请求被成功接受 。 H.在TCP的6比特的控制字段中: [SYN]的含义是 请求建立TCP连接 。[SYN, ACK]的含义是 可以建立连接 。 [ACK]的含义是 确认 。[FIN, ACK]的含义是 同意结束 , [FIN]的含义是 结束, 。 9、(略)可以从管理方面和技术方面来管理。漏洞扫描(1分),入侵检测(1分),防火墙(1分),杀毒软件(1分),数据加密(1分)。管理方面(1分)。
10.数字签名是笔迹签名的模拟。数字签名是一种包括防止源点或终点否认的认证技术。(1分)具有如下三个性质:
(1)接收者能够核实发送者身份;(正身)(1分) (2)发送者事后不能抵赖发送的内容;(不可抵赖)(1分) (3)接收者不能伪造这样的消息。(不能伪造)(1分) 对称密钥数字签名:如图(4分)
公开密钥数字签名:如图 11. 解:因为n=119 (*此种大数求余,可用碾除法。) 可选取p和q是素数且n=p*q,则p=7,q=11,z=(p-1)*(q-1)=96 e*d=1(mod z)即7d=1(mod 96),且d与z互质,则d=55
则得私钥(55,119)(3分) 由C=Me(mod n)=197(mod119)=6(2分只要过程) 若C=10,则M=Cd(mod n)=1055(mod 119)=4(2分) 12. ARP的工作过程: (1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。(3分) ARP欺骗: ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。
网络安全与管理-试题
