1、网络安全:1、 描述五种基本安全技术的方法和作用。 (第一章)防火墙:它有三种工作方式:使用一个过滤器来检查数据包的来源和目的地;根据系统管理员的规定来接收和拒绝数据包;在网络层对数据包进行模式检查;它采用各种安全策略,制定相应规则,对通过它的数据包逐一检查,判断它是否满足过滤规则,根据规则的先后顺序比较后,决定是转发还是丢弃数据包,从而保护网络的安全。作用:作 为 内 部 网 络 与 外 部 公 共 网 络 之 间 的 第 一 道 屏 障 , 它位 于 企 业 或 网 络 群 体 计 算 机 与 外 界 通 道 的 边 界 , 限 制 着 外 界 用 户对 内 部 网 络 的 访 问 以 及
2、 管 理 内 部 用 户 访 问 外 界 网 络 的 权 限 。 它 可以 根 据 网 络 传 输 的 类 型 决 定 IP 包 是 否 可 以 进 出 企 业 网 、 防 止 非授 权 用 户 访 问 企 业 内 部 、 允 许 使 用 授 权 机 器 的 用 户 远 程 访 问 企 业内 部 、 管 理 企 业 内 部 人 员 对 internet 的 访 问 。 防 火 墙 能 够 保 护 内部 网 络 不 受 外 界 的 攻 击 , 是 保 护 网 络 免 遭 黑 客 袭 击 的 有 效 手 段 。加 密 技 术加 密 是 在 用 户 的 发 送 端 采 用 算 法 将 普 通 的 文
3、 本 信 息 与 一 串 数字 ( 密 钥 ) 的 结 合 , 产 生 不 可 理 解 的 密 文 , 在 接 收 端 采 用 相 应 的密 钥 对 数 据 进 行 编 码 和 解 码 的 一 种 技 术 。作 用 : 它 能 够 有 效 的 防 止 信 息 的 泄 露 , 保 护 网 络 数 据 传 输 的安 全 , 保 证 网 络 的 信 息 通 讯 安 全 。身 份 认 证 技 术方法:基于用户知道什么(秘密,如口令、个人身份证号码)的身份认证,基于用户拥有什么(令牌,如 ATM 卡或智能卡等)的身份认证,基于用户是谁(生物特征,如声音识别、手写识别或指纹识别等)的身份认证。作用:身份认
4、证是安全防御的第一道防线,能够防止非授权用户或进程进入计算机系统,是黑客攻击的第一关,因此能够有效防范黑客入侵。数字签名方法:将原文用对称密钥加密传输,而将对称密钥用收方公钥加密发送给对方。接收方收到电子信封时,用自己的私钥解密信封,取出对称密钥解密得原文。作用:能验证出文件的原文在传输过程中有无变动,保 证 信 息传 输 的 完 整 性 、 发 送 者 的 身 份 认 证 、 防 止 交 易 中 的 抵 赖 发 生 。 由于 对 数 据 进 行 了 加 密 , 对 敏 感 数 据 起 到 了 保 密 作 用 。内 容 检 查方 法 : 利 用 防 火 墙 、 反 病 毒 软 件 等 对 用
5、户 数 据 文 件 等 内 容 进行 检 查 , 及 时 发 现 网 络 威 胁 。作 用 : 在 用 户 如 下 载 等 进 行 数 据 交 流 时 , 能 够 有 效 监 测 和 及时 发 现 病 毒 , 起 到 病 毒 防 范 作 用 。2、 描述替代密码和置换密码所使用的加密方法。替 代 密 码 是 指 先 建 立 一 个 替 换 表 , 加 密 时 将 需 要 加 密 的 明 文 依 次通 过 查 表 , 替 换 为 相 应 的 字 符 , 明 文 字 符 被 逐 个 替 换 后 , 生 成 无任 何 意 义 的 字 符 串 , 即 密 文 , 替 代 密 码 的 密 钥 就 是 其
6、 替 换 表 。有 三 种 类 型 的 替 代 密 码 : 单 表 替 代 密 码 、 多 表 替 代 密 码 和 多 字 母替 代 密 码 。 置 换 密 码 中 , 明 文 和 密 文 的 字 母 保 持 相 同 , 但 顺 序 打乱 了 。 在 简 单 的 纵 行 置 换 密 码 中 , 明 文 以 固 定 的 宽 度 水 平 地 写 在一 张 图 表 纸 上 , 密 文 按 垂 直 方 向 读 出 ; 解 密 就 是 将 密 文 按 相 同 的宽 度 垂 直 地 写 在 图 表 纸 上 , 然 后 水 平 的 读 出 明 文 。3、 描述 D-H 算法的过程与作用。过程:1、双方协商采
7、用某个素数 p 及其本原根 a;2、Alice 产生一个随机数 x,计算 X=ax 次方 mod p,把 X 发送给 Bob;3、Bob 产生一个随机数 y,计算 Y=ay 次方 mod p,把 Y 发送给Alice;4、Alice 计算 K=Yx 次方 mod p; 5、Bob 计算 K=Xy 次方mod p。作用:密钥交换4、 描述 PGP 系统的过程与作用。PGP(Pretty Good Privacy):基于 RSA 与 IDEA 的开源的加密邮件软件发送方生成新的 IDEA 密钥 k(对称) 用对方 RSA 公钥加密 k,用 k 加密邮件信息 m,一起发送接收方用本方 RSA 私钥解
8、密得到 k用 k 解密邮件信息5、 描述同步洪水攻击(SYN FLOOD)的目的、所利用的协议机制和攻击方法。6.同步洪水:方法和目的 IP 攻击利用机制:三次握手协议实现的漏洞主机接收到 SYN 请求时,必须在侦听队列中对此连接请求保持 75 秒的跟踪;由于资源有限,主机能够打开的连接数有限。方法:攻击者向主机发送多个 SYN 请求,且 不应答对其返回的SYN+ACK 包,使其侦听队列被阻塞,从而拒绝接受其它新的连接请求,直到部分打开的连接完成或者超时。目的:使目标主机无法对正常的连接请求进行应答。防范:缩短 SYN timeout 时间,设置 SYN cookie,负反馈策略,退让策略等等
9、。6、 描述 Smurf 攻击的目的、所利用的协议机制和攻击方法。ICMP Smurf 攻击目的:使大量通信充斥目标系统,发生 DoS(拒绝服务)利用机制:广播机制和 ICMP 响应优先机制方法:攻击者伪装成目标主机(IP 地址欺骗) ,向一个具有大量主机的广播地址(称为反弹站点)发送一个欺骗性 ping 分组(源地址就是攻击者希望攻击的系统),使广播地址网段中的所有主机都向目标主机发送 echo 响应,导致 目标系统被大量的 echo 信息吞没,阻止了该系统为正常请求提供服务。解决:1、阻塞源头,禁止非法地址出网;2、反弹站点过滤全部入网 echo 请求;3、反弹站点限制使用广播地址;4、目
10、标主机外围设备记录出网 ping 请求,阻塞不配对应答进入。7、 比较 IPSec 的两种操作模式的异同(保护对象、安全技术、实施要求等) 。IP sec 提供了两种操作模式传输模式和隧道模式。传输模式保护的是 IP 有效负载,隧道模式保护的是整个 IP 包。传输模式容易遭到某些通信量分析攻击,而隧道模式可以防止通信量分析攻击。传输模式只能用于源和目的系统都可以理解 IPSec 协议的情况下,隧道模式的优点在于不用修改现有网络结构中的主机、服务器、PC上的操作系统或者任何应用程序就可以实现 IPSec.8、 描述状态检测防火墙的思想与方法。状态包检测型防火墙:基于包过滤技术,状态包检测模式增加
11、了包和包之间的安全上下文检查,利用连接的状态信息做出决策(网络层) ;包在发送前,先在检测模块中检测,其信息保留在为评价后续连接企图的动态状态表(库)中,为后续连接的处理策略提供处理依据;允许直接连接内部、外部主机系统;效率提高:工作在协议栈的较低层,一旦一个连接在防火墙中建立起来就不再对该连接进行更多的处理。状态包检测防火墙的安全比应用级代理要低。9、 描述 X.509 强认证程序的实现机制。强认证:公正的第三者或认证机构(CA)数字证书4.数字证书的使用用户使用数字证书的方法:自动下载证书,安装证书用户在进行需要使用证书的网上操作时,必须准备好装有证书的存储介质。如果用户是在自己的计算机上
12、进行操作,操作前必须先安装 CA 根证书。一般所访问的系统如果需要使用数字证书会自动弹出提示框要求安装根证书,用户直接选择确认即可;当然也可以直接登陆 CA 中心的网站,下载安装根证书。操作时,一般系统会 自动提示用户出示数字证书或者插入证书介质(IC 卡或 Key) ,用户插入证书介质后系统将要求用户输入密码口令,此时用户需要输入申请证书时获得的密码信 封中的密码,密码验证正确后系统将自动调用数字证书进行相关操作。使用后,用户应记住取出证书介质,并妥善保管。当然,根据不同系统数字证书会有不同的使 用方式,但系统一般会有明确提示,用户使用起来都较为方便。客户机使用数字证书的方法: 单向认证:I
13、、 发送方 A 产生不重复的数字 rA 用以 抵御重放攻击、防止伪造II、 发送方 A 将加密处理过的信息(包括 rA)送至接收方 BIII、 B 对 A 的信息进行验证,通过 CA 获取 A 的公玥进行验证。 双向认证在上面 I、II、III 后IV、 收方 B 产生不重复的数字 rB 用以抵御重放攻击、防止伪造V、 收方 B 将加密处理过的信息(包括 rA、rB)送至发送方 AVI、 发送方 A 以 B 的公钥对 B 的数字签名进行验证 三向认证I 到 VI 基本类似VII、 送方 A 检查收到的不重复数字 rA 与步骤 I 所产生的不重复数字是否相同VIII、 送方 A 将识别数据 ArB,B送回 BIX、 收方 B 以 A 的公钥检查数据的完整性,检查收到的不重复数字 rB 与步骤 V 所产生的不重复数字是否相同
