【文章內(nèi)容簡介】 址和主機　　1網(wǎng)絡(luò)地址轉(zhuǎn)換或NAT　　1安全邊界1透明地　　1UDP；簡單的　　1過濾器；限制器；分析器過濾原則；阻塞；轉(zhuǎn)發(fā)　2數(shù)據(jù)單元或域的完整性；數(shù)據(jù)單元或域的序列的完整性2黑客的攻擊；計算機病毒；拒絕服務(wù)訪問攻擊2用生物識別技術(shù)進行鑒別；用所知道的事進行鑒別；使用用戶擁有的物品進行鑒別2以備份和運行日志為基礎(chǔ)的恢復(fù)技術(shù)　　2內(nèi)部網(wǎng)；路由器；堡壘主機2代理服務(wù)　　2雙重宿主主機　　2包過濾規(guī)則　　2兩個網(wǎng)絡(luò)接口客戶程序（3）判斷題１、錯　２、對?。场Α。础Α。?、對?。丁㈠e?。?、錯　８、錯?。埂Γ保?、錯?。保?、對?。保?、對?。保?、對?。保?、對　１５、對　１６、錯１７、對　１８、錯?。保?、對　２０、錯?。玻薄Α。玻病Α。玻?、對?。玻础Γ玻?、錯?。玻?、對　２７、對　２８、對?。玻埂㈠e　?。常?、對（4）簡答題計算機網(wǎng)絡(luò)安全的主要措施有預(yù)防、檢測和恢復(fù)三類。1）預(yù)防。是一種行之有效的、積極主動的安全措施，它可以排除各種預(yù)先能想到的威脅。2）檢測。也是一種積極主動的安全措施，它可預(yù)防那些較為隱蔽的威脅。3）恢復(fù)。是一種消極的安全措施，它是在受到威脅后采取的補救措施。計算機信息安全技術(shù)的基本策略有哪些？1)操作系統(tǒng)的安全更新　2)應(yīng)用程序的安全更新　　3)合理設(shè)置網(wǎng)絡(luò)4)監(jiān)聽與入侵檢測　　5)審計與記賬　　6)人員問題　　7)事故響應(yīng)策略對木馬的防治要制定出一個有效的策略，通?？梢圆捎萌缦聨讉€步驟：1）不要輕易地下載、運行不安全的程序。2）定期對系統(tǒng)進行掃描。可以采用專用的木馬防治工具，如木馬克星。這是一款國產(chǎn)的軟件，可以查殺5021種國際木馬，112種電子郵件木馬，保證查殺冰河類文件關(guān)聯(lián)木馬，OICQ類寄生木馬，ICMP類幽靈木馬，網(wǎng)絡(luò)神偷類反彈木馬。TrojanHunter也是一個很好的選擇。3）使用防火墻。對現(xiàn)有硬盤的掃描是不夠的，應(yīng)該從根本上制止木馬的入侵。使用專用的防火墻可以在木馬試圖連接到網(wǎng)絡(luò)時就可以將其屏蔽。木馬克星和TrojanHunter都可以起到防火墻的屏蔽作用，當(dāng)然也可以使用Norton Internet Security。入侵檢測（Intrusion Detection）是對入侵行為的發(fā)現(xiàn)。它從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。負(fù)責(zé)入侵的軟/硬件組合體稱為入侵檢測系統(tǒng)入侵檢測系統(tǒng)是根據(jù)入侵行為與正常訪問行為的差別來識別入侵的，根據(jù)入侵識別采用的原理不同，可以分為異常檢測、誤用檢測和特征檢測3種。數(shù)字簽名機制需要確定兩個過程：一個是對數(shù)據(jù)單元簽名；另一個是驗證簽過名的數(shù)據(jù)單元。第一個過程中的所有規(guī)程和信息是公開的，但是不能夠由它們推斷出該簽名者的私有信息。這個私有信息是被用來驗證數(shù)據(jù)單元的。簽名機制的本質(zhì)特征是：該簽名只有使用簽名者的私有信息才能產(chǎn)生出來。因而當(dāng)答名得到驗證后，它能夠在事后的任何時候向第三方（如法官或仲裁人）證明：只有那個私有信息的唯一擁有者才能產(chǎn)生這個簽名。Web的安全體系結(jié)構(gòu)非常復(fù)雜，主要包括以下幾個方面：1）客戶端軟件（即Web瀏覽器軟件）的安全；2）運行瀏覽器的計算機設(shè)備及其操作系統(tǒng)的安全（主機系統(tǒng)的安全）；3）客戶端的局域網(wǎng)（LAN）；　　4）Internet；　　5）服務(wù)器端的局域網(wǎng)（LAN）；6）服務(wù)器端的計算機設(shè)備及操作系統(tǒng)的安全（主機系統(tǒng)的安全）；7）服務(wù)器上的Web服務(wù)器軟件。在分析Web服務(wù)器的安全懷時，要充分考慮上述影響Web服務(wù)器安全性的幾個方面，其中安全性最差的將決定Web服務(wù)器的安全級別。影響Web安全的最直接的因素，主要是Web服務(wù)器軟件及支撐服務(wù)器運行的操作系統(tǒng)的安全。網(wǎng)絡(luò)監(jiān)聽的基本原理是什么？ 網(wǎng)絡(luò)監(jiān)聽是基于共享式以太網(wǎng)通信環(huán)境，共享式以太網(wǎng)的通信是基于廣播的，在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問到物理媒體上的數(shù)據(jù)，而每一個接口都有一個唯一的硬件地址MAC地址，一般來說一個網(wǎng)絡(luò)接口可以響應(yīng)兩種數(shù)據(jù)幀，一個是廣播幀，另一個是目標(biāo)地址于自己MAC地址相匹配的幀，但是如果網(wǎng)卡的工作模式處于“混雜模式”，那么它將接受一切通過它的數(shù)據(jù)，而不管數(shù)據(jù)是否是傳給它的，那么接受的所有數(shù)據(jù)幀都將交給上層協(xié)議軟件處理，這構(gòu)成了“網(wǎng)絡(luò)監(jiān)聽”。防范網(wǎng)絡(luò)監(jiān)聽：1) 從邏輯或物理上對網(wǎng)絡(luò)分段2) 以交換式集線器代替共享式集線器3) 使用加密技術(shù)4) 劃分VLAN簡述VPN工作過程①. 客戶機向VPN服務(wù)器發(fā)出請求②. VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的用戶身份驗證響應(yīng)信息發(fā)送到VPN服務(wù)器③. VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果帳戶有效，VPN服務(wù)器將檢查該用戶是否具有遠程訪問權(quán)限；如果該用戶具有遠程訪問權(quán)限，VPN服務(wù)器接收此連接④. 最后VPN服務(wù)器將在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器共享密鑰用于數(shù)據(jù)加密，然后通過VPN隧道技術(shù)進行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。（5）論述題(1)外部網(wǎng)絡(luò)的設(shè)置外部網(wǎng)絡(luò)是連接內(nèi)部網(wǎng)絡(luò)與Internet的通道，也是抵御攻擊和端口掃描的首要屏障。用戶可能會通過撥號、遠程網(wǎng)絡(luò)或其他的方式連接到外部網(wǎng)絡(luò)。圖1給出了外部網(wǎng)絡(luò)設(shè)置的一個例子，它包含如下的幾個服務(wù)器：l 防火墻：該防火墻具有狀態(tài)包過濾功能，能有效阻止諸如死亡之Ping、包洪水等攻擊，也可以防止Nmap等工具的端口掃描；l 撥入服務(wù)器：對遠程的撥號連接進行處理；l AAA服務(wù)器：對遠程用戶的訪問進行認(rèn)證、授權(quán)與記賬；l 入侵檢測服務(wù)器：檢測是否有入侵。 外部網(wǎng)絡(luò)設(shè)置舉例(2)內(nèi)部網(wǎng)絡(luò)的設(shè)置內(nèi)部網(wǎng)絡(luò)主要用于企業(yè)內(nèi)部的數(shù)據(jù)訪問，但也不能忽視了其安全性。圖2給出了一個內(nèi)部網(wǎng)絡(luò)設(shè)置的例子，采用分段的方式將內(nèi)部網(wǎng)絡(luò)劃分成不同的子網(wǎng)：l 域名服務(wù)器；l 入侵檢測服務(wù)器；l 郵件服務(wù)器；l 數(shù)據(jù)庫服務(wù)器；l Syslog服務(wù)器：用于記錄日志信息；l AAA服務(wù)器。 內(nèi)部網(wǎng)絡(luò)設(shè)置舉例(3)有效隔離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)間還要架設(shè)一個防火墻作為代理服務(wù)，用于內(nèi)、外網(wǎng)的銜接，如圖3所示。 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接模擬試題二網(wǎng)絡(luò)安全與技術(shù)試題及參考答案一、選擇題，共15 題。（1） 這個IP地址所屬的類別是 a。 A. A類， B. B類， C. C類， D. D類（2）在下列數(shù)中，一個B類子網(wǎng)掩碼允許有的數(shù)字是c 個1，且其余位都為0。 A. 9， B. 14，C. 17，D. 3（3）如果一個A類地址的子網(wǎng)掩碼中有14個1，它能確定c 個子網(wǎng)。 A. 32， B. 8，C. 64，（4）路由器在兩個網(wǎng)段之間轉(zhuǎn)發(fā)數(shù)據(jù)包時，讀取其中的 a地址來確定下一跳的轉(zhuǎn)發(fā)路徑。 A. IP， B. MAC，C. 源，D. ARP（5）IP包在網(wǎng)絡(luò)上傳輸時若出現(xiàn)差錯，差錯報告被封裝到ICMP分組傳送給a 。 ， ，C. 一個路由器。（6）UDP、TCP和SCTP都是 d層協(xié)議。 A. 物理， B. 數(shù)據(jù)鏈路，C. 網(wǎng)絡(luò)，（7）UDP需要使用 a地址，來給相應(yīng)的應(yīng)用程序發(fā)送用戶數(shù)據(jù)報。 A. 端口， B. 應(yīng)用程序，C. 因特網(wǎng)， （8）IP負(fù)責(zé) a之間的通信，它使用 d地址進行尋址；A. 主機到主機； B. 進程到進程； C. 物理； D. IP（9）TCP負(fù)責(zé) b之間的通信，它使用 c地址進行尋址。 A. 主機到主機； B. 進程到進程； C. 端口號； D. IP（10） 地址唯一地標(biāo)識一個正在運行的應(yīng)用程序，它由 地址的組合構(gòu)成。 A. IP， B. 傳輸層協(xié)議，C. 網(wǎng)卡的MAC，E. 端口號（11）面向連接的并發(fā)服務(wù)器使用 d端口號進行網(wǎng)絡(luò)通信服務(wù)。 A. 臨時， B. 公認(rèn)，C. 主動， D.（A）和（B）（12）在電子郵件地址 macke@ 中，域名部分是 b A. macke，B. ，C. macke@，D.(A)和（B）（13）電子郵件客戶端通常需要用 a協(xié)議來發(fā)送郵件。 A. 僅SMTP， ， C. SMTP和POP， （14）TCP不適合于傳輸實時通信數(shù)據(jù)，是因為c 。 A. 沒有提供時間戳，，（15）下列關(guān)于IPv4地址的描述中哪些是錯誤的？df A．IP地址的總長度為32位 B．每一個IP地址都由網(wǎng)絡(luò)地址和主機地址組成 C．D類地址屬于組播地址D．一個C類地址擁有8位主機地址，可給256臺主機分配地址 E．所有的A類地址的首位一定是“0” F．A類地址擁有最多的網(wǎng)絡(luò)數(shù) 正確答案：（D）、（F） 解析：IPv4地址是一組32位的二進制數(shù)字，通常用點分十進制表示。IPv4地址分為A、B、C、D和E五類，A類地址的首位總為“0”，B類地址的前兩位總為“10”，C地址的前三位總為“110”，D類地址的前四位總為“1110”，E類地址的前五位總為“11110”。每個IPv4地址都由網(wǎng)絡(luò)地址和主機地址兩部分組成。A類地址將前1個8位二進制數(shù)組用作網(wǎng)絡(luò)地址，后3個8位二進制數(shù)組用作主機地址，因此網(wǎng)絡(luò)數(shù)目最少，主機數(shù)目最多。C類地址將前3個8位二進制數(shù)組用作網(wǎng)絡(luò)地址，后1個8位二進制數(shù)組用作主機地址，因此網(wǎng)絡(luò)數(shù)目最多，主機數(shù)目最少。由于全“0”和全“1”的主機地址是無效的，因此C類地址只有（28－2）= 254個可分配的主機地址。而D類地址用于IP組播。綜上所述，答案（D）和（F）對IPv4地址的描述是錯誤的。（15）在OSI參考模型的描述中，下列說法中不正確的是 c A．OSI參考模型定義了開放系統(tǒng)的層次結(jié)構(gòu) B．OSI參考模型是一個在制定標(biāo)準(zhǔn)時使用的概念性的框架 C．OSI參考模型的每層可以使用上層提供的服務(wù) D．OSI參考模型是開放系統(tǒng)互聯(lián)參考模型（16）在應(yīng)用層協(xié)議中，b 既可使用傳輸層的TCP協(xié)議，又可用UDP協(xié)議。 （17）在OSI參考模型中，同一結(jié)點內(nèi)相鄰層之間通過a 來進行通信。 A．接口 B．進程 C．協(xié)議 D．應(yīng)用程序（18）OSI參考模型的數(shù)據(jù)鏈路層的功能包括a 。 A．保證數(shù)據(jù)幀傳輸?shù)恼_順序、無差錯和完整性 B．提供用戶與傳輸網(wǎng)絡(luò)之間的接口 C．控制報文通過網(wǎng)絡(luò)的路由選擇 D．處理信號通過物理介質(zhì)的傳輸（19）100Mbps快速以太網(wǎng)與10Mbps傳統(tǒng)以太網(wǎng)的幀結(jié)構(gòu)c 。 A．完全不同 B．幀頭控制字節(jié)不同C．完全相同 D．可以相同也可以不同（20）c 的物理層標(biāo)準(zhǔn)要求使用非屏蔽雙絞線。 A．10 BASE2 B．10 BASE5 C．100BASETX D．100 BASEFX（21）當(dāng)一個以太網(wǎng)中的一臺源主機要發(fā)送數(shù)據(jù)給位于另一個網(wǎng)絡(luò)中的一臺目的主機時，以太幀頭部的目的地址是b ，IP包頭部的目的地址必須是d 。 A．路由器的IP地址 B．路由器的MAC地址 C．目的主機的MAC地址 D．目的主機的IP地址 （22）當(dāng)一個發(fā)往目的主機的IP包經(jīng)過多個路由器轉(zhuǎn)發(fā)時，以下哪種情況正確地描述了包內(nèi)IP地址的變化？d 。A. 當(dāng)IP包在每跳段中傳輸時，目的地址改為下個路由器的IP地址。 B. 當(dāng)一個路由器將IP包發(fā)送到廣域網(wǎng)WAN時，目的IP地址經(jīng)常變化。 C. 目的IP地址將永遠是第一個路由器的IP地址。 D. 目的IP地址固定不變。 （23）以下哪個協(xié)議被用于動態(tài)分配本地網(wǎng)絡(luò)內(nèi)的IP地址？1