【正文】 按照認(rèn)證協(xié)議所使用的密碼技術(shù)來(lái)分：基于對(duì)稱(chēng)密鑰密碼體制的認(rèn)證協(xié)議，基于公開(kāi)密鑰密碼體制的認(rèn)證協(xié)議。數(shù)字簽名：用數(shù)字代替手工簽名，用來(lái)證明消息發(fā)送者的身份和消息真實(shí)性的一種數(shù)據(jù)認(rèn)證方法。數(shù)字簽名和RSA101　名詞解釋?zhuān)赫J(rèn)證、身份認(rèn)證、時(shí)間戳、零知識(shí)證明、消息認(rèn)證、散列函數(shù)、數(shù)字簽名、DSS。RSA用到的是兩個(gè)非常大的質(zhì)數(shù)的乘積，用目前的計(jì)算機(jī)水平是無(wú)法分解的。其次，將經(jīng)過(guò)變換后得到數(shù)據(jù)分為左右等長(zhǎng)的兩部分，接著進(jìn)行循環(huán)左移。DES加密時(shí)把明文以64位為單位分成塊。（3）保護(hù)關(guān)鍵密鑰。 破譯方法有： （1）密鑰窮盡搜索，就是嘗試所有可能的密鑰組合，是破譯密文最簡(jiǎn)單的方法。用戶(hù)獲得特定角色后，系統(tǒng)依然可以按照自主訪(fǎng)問(wèn)控制或強(qiáng)制訪(fǎng)問(wèn)控制機(jī)制控制角色的訪(fǎng)問(wèn)能力。自主訪(fǎng)問(wèn)控制模型（Discretionary Access Control Model，DAC Model）是根據(jù)自主訪(fǎng)問(wèn)控制策略建立的一種模型，它基于對(duì)主體或主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的訪(fǎng)問(wèn)，也就是由擁有資源的用戶(hù)自己來(lái)決定其他一個(gè)或一些主體可以在什么程度上訪(fǎng)問(wèn)哪些資源。（5）應(yīng)用更為廣泛，支持VPN通信。屏蔽主機(jī)網(wǎng)關(guān)很容易實(shí)現(xiàn)：在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)的交匯點(diǎn)，安裝一臺(tái)屏蔽路由器，同時(shí)在內(nèi)部網(wǎng)絡(luò)上安裝一個(gè)堡壘主機(jī)（應(yīng)用層網(wǎng)關(guān)）即可，屏蔽主機(jī)網(wǎng)關(guān)防火墻具有雙重保護(hù)，比雙縮主機(jī)網(wǎng)關(guān)防火墻更靈活，安全性更高。其缺點(diǎn)在于正確建立包過(guò)濾規(guī)則比較困難，屏蔽路由器的管理成本高，缺乏用戶(hù)級(jí)身份認(rèn)證等。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，一般采用自適應(yīng)代理技術(shù)，也稱(chēng)為自適應(yīng)代理防火墻。代理技術(shù)的優(yōu)點(diǎn)：1）代理易于配置、2）代理能生成各項(xiàng)記錄、3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容、4）代理能過(guò)濾數(shù)據(jù)內(nèi)容、5）代理能為用戶(hù)提供透明的加密機(jī)制、6）代理可以方便地與其他安全手段集成。2）動(dòng)態(tài)包過(guò)濾。包過(guò)濾操作一般都是在選擇路由的同時(shí)在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇或過(guò)濾（通常是對(duì)從Internet進(jìn)入到內(nèi)部網(wǎng)絡(luò)的包進(jìn)行過(guò)濾）。無(wú)論何種類(lèi)型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。5. 數(shù)據(jù)源點(diǎn)鑒別服務(wù)。?1. 對(duì)等實(shí)體鑒別服務(wù)。3：可用性 可用性是指確保網(wǎng)絡(luò)合法用戶(hù)能夠按所獲授權(quán)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，同時(shí)防止對(duì)網(wǎng)絡(luò)非授權(quán)訪(fǎng)問(wèn)的性能。（4）分別用實(shí)例說(shuō)明網(wǎng)絡(luò)安全所提供的5種服務(wù)的用途：信息保密，信息的完整性確認(rèn)，身份認(rèn)證，防拒認(rèn)，網(wǎng)絡(luò)實(shí)體的認(rèn)證識(shí)別。（2）？與其他同類(lèi)系統(tǒng)相比，它的特點(diǎn)是什么。五、簡(jiǎn)答題。50．網(wǎng)絡(luò)管理協(xié)議：用于在網(wǎng)絡(luò)管理工作站上的管理程序和管理代理之間進(jìn)行信息交換的協(xié)議。46．網(wǎng)絡(luò)管理信息庫(kù)的作用是用于存儲(chǔ)被管理設(shè)備內(nèi)部對(duì)象、屬性和對(duì)應(yīng)值。在存放數(shù)據(jù)時(shí)，其將數(shù)據(jù)按磁盤(pán)的個(gè)數(shù)來(lái)進(jìn)行分塊，即把數(shù)據(jù)分成若干相等大小的小塊，并把它們寫(xiě)到陣列上不同的硬盤(pán)上，這種技術(shù)又稱(chēng)“Stripping”（即將數(shù)據(jù)條帶化），冗余，并行I/O，所以，在所有的級(jí)別中，RAID 0的速度是最快的的。34．按照分析方法（檢測(cè)方法）入侵檢測(cè)系統(tǒng)可分為異常檢測(cè)模型和誤用檢測(cè)模型。28．入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的發(fā)覺(jué)。23．DMZ一般稱(chēng)之為非軍事化區(qū)，對(duì)于防火墻的DMZ口所連接的部分，一般稱(chēng)這之為服務(wù)器群或服務(wù)器區(qū)，防火墻也可以進(jìn)行策略的檢查與控制，只允許對(duì)特定的服務(wù)端口的訪(fǎng)問(wèn)進(jìn)入，如只開(kāi)放Web服務(wù)則僅對(duì)內(nèi)部服務(wù)訪(fǎng)問(wèn)的目的端口為80時(shí)才允許。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。12．當(dāng)一個(gè)站點(diǎn)要求通過(guò)安全方式（利用數(shù)字證書(shū)）連接時(shí)，用戶(hù)就不能再在瀏覽器中輸入HTTP協(xié)議了，而要采用HTTPS協(xié)議進(jìn)行安全連接，這時(shí)所使用的端口也不是TCP的80，而是TCP的443。8．?dāng)?shù)字摘要采用單向Hash函數(shù)對(duì)信息進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要，并在傳輸信息時(shí)將之加入文件一同送給接收方；接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算得到另一個(gè)摘要；然后將自己運(yùn)算得到的摘要與發(fā)送過(guò)來(lái)的摘要進(jìn)行比較，如果一致說(shuō)明數(shù)據(jù)原文沒(méi)有被修改過(guò)。（每空1分，共15分）1．在進(jìn)行協(xié)議分析與入侵檢測(cè)時(shí)，網(wǎng)卡的工作模式應(yīng)處于混雜模式。因此建議在進(jìn)行遠(yuǎn)程設(shè)備管理時(shí)使用SSH協(xié)議。11．CA創(chuàng)建證書(shū)并在上面用自己的私鑰進(jìn)行數(shù)字簽名。17．GRE是一種隧道，它規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。20．遠(yuǎn)程接入VPN用于實(shí)現(xiàn)出差員工或家庭辦公用等移動(dòng)用戶(hù)安全訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)。例如H3C的路由器的防火墻功能是默認(rèn)允許，而思科的路由器的包過(guò)濾技術(shù)就是默認(rèn)拒絕。31．對(duì)收集到的信息的分析方法主要有：模式匹配、統(tǒng)計(jì)分析、完整性分析（往往用于事后分析）。38．當(dāng)U盤(pán)感染病毒后，其中的文件夾“CEY”被設(shè)置為系統(tǒng)隱藏了，此時(shí)可利用命令“attrib–s–h cey”，就可以將其系統(tǒng)隱藏屬性去除了。目前，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)服務(wù)業(yè)務(wù)種類(lèi)的增加，對(duì)AAA服務(wù)器的功能需求越來(lái)越多。48．SNMP網(wǎng)絡(luò)管理工作站收集數(shù)據(jù)的方法：輪詢(xún)的方法、中斷的方法、面向自陷的輪詢(xún)方法。網(wǎng)絡(luò)攻擊的步驟是：隱藏IP、信息收集、控制或破壞目標(biāo)系統(tǒng)、種植后門(mén)和在網(wǎng)絡(luò)中隱身。在安全電子交易SET中，持卡人購(gòu)物時(shí)需要向供貨商發(fā)送兩個(gè)信息：訂貨單信息OI和加密的支付卡信息PI。答：。為此要求網(wǎng)絡(luò)具有良好密碼體制、密鑰管理、傳輸加密保護(hù)、存儲(chǔ)加密保護(hù)、放電磁泄露等功能。為此要求網(wǎng)絡(luò)具有數(shù)字取證、證據(jù)保全等功能。作用防止未經(jīng)許可暴露網(wǎng)絡(luò)中數(shù)據(jù)的內(nèi)容。1. D檔位無(wú)保護(hù)檔級(jí)，是最安全等級(jí)的最低檔，只有一個(gè)級(jí)別，即D級(jí)；2. C級(jí)分為C1和C2兩個(gè)子級(jí)，C2比C1提供更多的保護(hù)；3. B級(jí)分為BB2和B3共3個(gè)子級(jí)，由低到高；4. A檔位驗(yàn)證保護(hù)檔級(jí)。未來(lái)防火墻技術(shù)會(huì)全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶(hù)的安全、數(shù)據(jù)的安全等五個(gè)方面。1）靜態(tài)包過(guò)濾。應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)有什么區(qū)別？當(dāng)代理服務(wù)器得到一個(gè)客戶(hù)的連接意圖時(shí)，它將核實(shí)客戶(hù)請(qǐng)求，并用特定的安全化的Proxy應(yīng)用程序來(lái)處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶(hù)。電路層網(wǎng)關(guān)防火墻，另一種類(lèi)型的代理技術(shù)稱(chēng)為電路層網(wǎng)關(guān)（Circuit Level Gateway）或TCP通道（TCP Tunnels）。37　防火墻的常見(jiàn)體系結(jié)構(gòu)有哪幾種？一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。除具有路由功能外，再裝上包過(guò)濾軟件，利用包過(guò)濾規(guī)則完成基本的防火墻功能。（2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能。訪(fǎng)問(wèn)控制的實(shí)現(xiàn)首先要考慮對(duì)合法用戶(hù)進(jìn)行驗(yàn)證，然后是對(duì)控制策略的選用與管理，最后要對(duì)非法用戶(hù)或是越權(quán)操作進(jìn)行管理。在基于角色的訪(fǎng)問(wèn)控制模式中