【文章內(nèi)容簡(jiǎn)介】 址和主機(jī)　　1網(wǎng)絡(luò)地址轉(zhuǎn)換或NAT　　1安全邊界1透明地　　1UDP；簡(jiǎn)單的　　1過濾器；限制器；分析器過濾原則；阻塞；轉(zhuǎn)發(fā)　2數(shù)據(jù)單元或域的完整性；數(shù)據(jù)單元或域的序列的完整性2黑客的攻擊；計(jì)算機(jī)病毒；拒絕服務(wù)訪問攻擊2用生物識(shí)別技術(shù)進(jìn)行鑒別；用所知道的事進(jìn)行鑒別；使用用戶擁有的物品進(jìn)行鑒別2以備份和運(yùn)行日志為基礎(chǔ)的恢復(fù)技術(shù)　　2內(nèi)部網(wǎng)；路由器；堡壘主機(jī)2代理服務(wù)　　2雙重宿主主機(jī)　　2包過濾規(guī)則　　2兩個(gè)網(wǎng)絡(luò)接口客戶程序（3）判斷題１、錯(cuò)?。病?duì)?。?、對(duì)?。?、對(duì)?。?、對(duì)?。?、錯(cuò)　７、錯(cuò)?。?、錯(cuò)?。?、對(duì)１０、錯(cuò)?。保?、對(duì)?。保?、對(duì)?。保?、對(duì)?。保?、對(duì)?。保?、對(duì)　１６、錯(cuò)１７、對(duì)?。保?、錯(cuò)　１９、對(duì)?。玻?、錯(cuò)?。玻?、對(duì)?。玻?、對(duì)?。玻?、對(duì)?。玻?、對(duì)２５、錯(cuò)?。玻?、對(duì)　２７、對(duì)　２８、對(duì)　２９、錯(cuò)　　３０、對(duì)（4）簡(jiǎn)答題計(jì)算機(jī)網(wǎng)絡(luò)安全的主要措施有預(yù)防、檢測(cè)和恢復(fù)三類。1）預(yù)防。是一種行之有效的、積極主動(dòng)的安全措施，它可以排除各種預(yù)先能想到的威脅。2）檢測(cè)。也是一種積極主動(dòng)的安全措施，它可預(yù)防那些較為隱蔽的威脅。3）恢復(fù)。是一種消極的安全措施，它是在受到威脅后采取的補(bǔ)救措施。計(jì)算機(jī)信息安全技術(shù)的基本策略有哪些？1)操作系統(tǒng)的安全更新　2)應(yīng)用程序的安全更新　　3)合理設(shè)置網(wǎng)絡(luò)4)監(jiān)聽與入侵檢測(cè)　　5)審計(jì)與記賬　　6)人員問題　　7)事故響應(yīng)策略對(duì)木馬的防治要制定出一個(gè)有效的策略，通常可以采用如下幾個(gè)步驟：1）不要輕易地下載、運(yùn)行不安全的程序。2）定期對(duì)系統(tǒng)進(jìn)行掃描。可以采用專用的木馬防治工具，如木馬克星。這是一款國(guó)產(chǎn)的軟件，可以查殺5021種國(guó)際木馬，112種電子郵件木馬，保證查殺冰河類文件關(guān)聯(lián)木馬，OICQ類寄生木馬，ICMP類幽靈木馬，網(wǎng)絡(luò)神偷類反彈木馬。TrojanHunter也是一個(gè)很好的選擇。3）使用防火墻。對(duì)現(xiàn)有硬盤的掃描是不夠的，應(yīng)該從根本上制止木馬的入侵。使用專用的防火墻可以在木馬試圖連接到網(wǎng)絡(luò)時(shí)就可以將其屏蔽。木馬克星和TrojanHunter都可以起到防火墻的屏蔽作用，當(dāng)然也可以使用Norton Internet Security。入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的發(fā)現(xiàn)。它從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。負(fù)責(zé)入侵的軟/硬件組合體稱為入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)是根據(jù)入侵行為與正常訪問行為的差別來識(shí)別入侵的，根據(jù)入侵識(shí)別采用的原理不同，可以分為異常檢測(cè)、誤用檢測(cè)和特征檢測(cè)3種。數(shù)字簽名機(jī)制需要確定兩個(gè)過程：一個(gè)是對(duì)數(shù)據(jù)單元簽名；另一個(gè)是驗(yàn)證簽過名的數(shù)據(jù)單元。第一個(gè)過程中的所有規(guī)程和信息是公開的，但是不能夠由它們推斷出該簽名者的私有信息。這個(gè)私有信息是被用來驗(yàn)證數(shù)據(jù)單元的。簽名機(jī)制的本質(zhì)特征是：該簽名只有使用簽名者的私有信息才能產(chǎn)生出來。因而當(dāng)答名得到驗(yàn)證后，它能夠在事后的任何時(shí)候向第三方（如法官或仲裁人）證明：只有那個(gè)私有信息的唯一擁有者才能產(chǎn)生這個(gè)簽名。Web的安全體系結(jié)構(gòu)非常復(fù)雜，主要包括以下幾個(gè)方面：1）客戶端軟件（即Web瀏覽器軟件）的安全；2）運(yùn)行瀏覽器的計(jì)算機(jī)設(shè)備及其操作系統(tǒng)的安全（主機(jī)系統(tǒng)的安全）；3）客戶端的局域網(wǎng)（LAN）；　　4）Internet；　　5）服務(wù)器端的局域網(wǎng)（LAN）；6）服務(wù)器端的計(jì)算機(jī)設(shè)備及操作系統(tǒng)的安全（主機(jī)系統(tǒng)的安全）；7）服務(wù)器上的Web服務(wù)器軟件。在分析Web服務(wù)器的安全懷時(shí)，要充分考慮上述影響Web服務(wù)器安全性的幾個(gè)方面，其中安全性最差的將決定Web服務(wù)器的安全級(jí)別。影響Web安全的最直接的因素，主要是Web服務(wù)器軟件及支撐服務(wù)器運(yùn)行的操作系統(tǒng)的安全。網(wǎng)絡(luò)監(jiān)聽的基本原理是什么？ 網(wǎng)絡(luò)監(jiān)聽是基于共享式以太網(wǎng)通信環(huán)境，共享式以太網(wǎng)的通信是基于廣播的，在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問到物理媒體上的數(shù)據(jù)，而每一個(gè)接口都有一個(gè)唯一的硬件地址MAC地址，一般來說一個(gè)網(wǎng)絡(luò)接口可以響應(yīng)兩種數(shù)據(jù)幀，一個(gè)是廣播幀，另一個(gè)是目標(biāo)地址于自己MAC地址相匹配的幀，但是如果網(wǎng)卡的工作模式處于“混雜模式”，那么它將接受一切通過它的數(shù)據(jù)，而不管數(shù)據(jù)是否是傳給它的，那么接受的所有數(shù)據(jù)幀都將交給上層協(xié)議軟件處理，這構(gòu)成了“網(wǎng)絡(luò)監(jiān)聽”。防范網(wǎng)絡(luò)監(jiān)聽：1) 從邏輯或物理上對(duì)網(wǎng)絡(luò)分段2) 以交換式集線器代替共享式集線器3) 使用加密技術(shù)4) 劃分VLAN簡(jiǎn)述VPN工作過程①. 客戶機(jī)向VPN服務(wù)器發(fā)出請(qǐng)求②. VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的用戶身份驗(yàn)證響應(yīng)信息發(fā)送到VPN服務(wù)器③. VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果帳戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限；如果該用戶具有遠(yuǎn)程訪問權(quán)限，VPN服務(wù)器接收此連接④. 最后VPN服務(wù)器將在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器共享密鑰用于數(shù)據(jù)加密，然后通過VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。（5）論述題(1)外部網(wǎng)絡(luò)的設(shè)置外部網(wǎng)絡(luò)是連接內(nèi)部網(wǎng)絡(luò)與Internet的通道，也是抵御攻擊和端口掃描的首要屏障。用戶可能會(huì)通過撥號(hào)、遠(yuǎn)程網(wǎng)絡(luò)或其他的方式連接到外部網(wǎng)絡(luò)。圖1給出了外部網(wǎng)絡(luò)設(shè)置的一個(gè)例子，它包含如下的幾個(gè)服務(wù)器：l 防火墻：該防火墻具有狀態(tài)包過濾功能，能有效阻止諸如死亡之Ping、包洪水等攻擊，也可以防止Nmap等工具的端口掃描；l 撥入服務(wù)器：對(duì)遠(yuǎn)程的撥號(hào)連接進(jìn)行處理；l AAA服務(wù)器：對(duì)遠(yuǎn)程用戶的訪問進(jìn)行認(rèn)證、授權(quán)與記賬；l 入侵檢測(cè)服務(wù)器：檢測(cè)是否有入侵。 外部網(wǎng)絡(luò)設(shè)置舉例(2)內(nèi)部網(wǎng)絡(luò)的設(shè)置內(nèi)部網(wǎng)絡(luò)主要用于企業(yè)內(nèi)部的數(shù)據(jù)訪問，但也不能忽視了其安全性。圖2給出了一個(gè)內(nèi)部網(wǎng)絡(luò)設(shè)置的例子，采用分段的方式將內(nèi)部網(wǎng)絡(luò)劃分成不同的子網(wǎng)：l 域名服務(wù)器；l 入侵檢測(cè)服務(wù)器；l 郵件服務(wù)器；l 數(shù)據(jù)庫服務(wù)器；l Syslog服務(wù)器：用于記錄日志信息；l AAA服務(wù)器。 內(nèi)部網(wǎng)絡(luò)設(shè)置舉例(3)有效隔離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)間還要架設(shè)一個(gè)防火墻作為代理服務(wù)，用于內(nèi)、外網(wǎng)的銜接，如圖3所示。 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接模擬試題二網(wǎng)絡(luò)安全與技術(shù)試題及參考答案一、選擇題，共15 題。（1） 這個(gè)IP地址所屬的類別是 a。 A. A類， B. B類， C. C類， D. D類（2）在下列數(shù)中，一個(gè)B類子網(wǎng)掩碼允許有的數(shù)字是c 個(gè)1，且其余位都為0。 A. 9， B. 14，C. 17，D. 3（3）如果一個(gè)A類地址的子網(wǎng)掩碼中有14個(gè)1，它能確定c 個(gè)子網(wǎng)。 A. 32， B. 8，C. 64，（4）路由器在兩個(gè)網(wǎng)段之間轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，讀取其中的 a地址來確定下一跳的轉(zhuǎn)發(fā)路徑。 A. IP， B. MAC，C. 源，D. ARP（5）IP包在網(wǎng)絡(luò)上傳輸時(shí)若出現(xiàn)差錯(cuò)，差錯(cuò)報(bào)告被封裝到ICMP分組傳送給a 。 ， ，C. 一個(gè)路由器。（6）UDP、TCP和SCTP都是 d層協(xié)議。 A. 物理， B. 數(shù)據(jù)鏈路，C. 網(wǎng)絡(luò)，（7）UDP需要使用 a地址，來給相應(yīng)的應(yīng)用程序發(fā)送用戶數(shù)據(jù)報(bào)。 A. 端口， B. 應(yīng)用程序，C. 因特網(wǎng)， （8）IP負(fù)責(zé) a之間的通信，它使用 d地址進(jìn)行尋址；A. 主機(jī)到主機(jī)； B. 進(jìn)程到進(jìn)程； C. 物理； D. IP（9）TCP負(fù)責(zé) b之間的通信，它使用 c地址進(jìn)行尋址。 A. 主機(jī)到主機(jī)； B. 進(jìn)程到進(jìn)程； C. 端口號(hào)； D. IP（10） 地址唯一地標(biāo)識(shí)一個(gè)正在運(yùn)行的應(yīng)用程序，它由 地址的組合構(gòu)成。 A. IP， B. 傳輸層協(xié)議，C. 網(wǎng)卡的MAC，E. 端口號(hào)（11）面向連接的并發(fā)服務(wù)器使用 d端口號(hào)進(jìn)行網(wǎng)絡(luò)通信服務(wù)。 A. 臨時(shí)， B. 公認(rèn)，C. 主動(dòng)， D.（A）和（B）（12）在電子郵件地址 macke@ 中，域名部分是 b A. macke，B. ，C. macke@，D.(A)和（B）（13）電子郵件客戶端通常需要用 a協(xié)議來發(fā)送郵件。 A. 僅SMTP， ， C. SMTP和POP， （14）TCP不適合于傳輸實(shí)時(shí)通信數(shù)據(jù)，是因?yàn)閏 。 A. 沒有提供時(shí)間戳，，（15）下列關(guān)于IPv4地址的描述中哪些是錯(cuò)誤的？df A．IP地址的總長(zhǎng)度為32位 B．每一個(gè)IP地址都由網(wǎng)絡(luò)地址和主機(jī)地址組成 C．D類地址屬于組播地址D．一個(gè)C類地址擁有8位主機(jī)地址，可給256臺(tái)主機(jī)分配地址 E．所有的A類地址的首位一定是“0” F．A類地址擁有最多的網(wǎng)絡(luò)數(shù) 正確答案：（D）、（F） 解析：IPv4地址是一組32位的二進(jìn)制數(shù)字，通常用點(diǎn)分十進(jìn)制表示。IPv4地址分為A、B、C、D和E五類，A類地址的首位總為“0”，B類地址的前兩位總為“10”，C地址的前三位總為“110”，D類地址的前四位總為“1110”，E類地址的前五位總為“11110”。每個(gè)IPv4地址都由網(wǎng)絡(luò)地址和主機(jī)地址兩部分組成。A類地址將前1個(gè)8位二進(jìn)制數(shù)組用作網(wǎng)絡(luò)地址，后3個(gè)8位二進(jìn)制數(shù)組用作主機(jī)地址，因此網(wǎng)絡(luò)數(shù)目最少，主機(jī)數(shù)目最多。C類地址將前3個(gè)8位二進(jìn)制數(shù)組用作網(wǎng)絡(luò)地址，后1個(gè)8位二進(jìn)制數(shù)組用作主機(jī)地址，因此網(wǎng)絡(luò)數(shù)目最多，主機(jī)數(shù)目最少。由于全“0”和全“1”的主機(jī)地址是無效的，因此C類地址只有（28－2）= 254個(gè)可分配的主機(jī)地址。而D類地址用于IP組播。綜上所述，答案（D）和（F）對(duì)IPv4地址的描述是錯(cuò)誤的。（15）在OSI參考模型的描述中，下列說法中不正確的是 c A．OSI參考模型定義了開放系統(tǒng)的層次結(jié)構(gòu) B．OSI參考模型是一個(gè)在制定標(biāo)準(zhǔn)時(shí)使用的概念性的框架 C．OSI參考模型的每層可以使用上層提供的服務(wù) D．OSI參考模型是開放系統(tǒng)互聯(lián)參考模型（16）在應(yīng)用層協(xié)議中，b 既可使用傳輸層的TCP協(xié)議，又可用UDP協(xié)議。 （17）在OSI參考模型中，同一結(jié)點(diǎn)內(nèi)相鄰層之間通過a 來進(jìn)行通信。 A．接口 B．進(jìn)程 C．協(xié)議 D．應(yīng)用程序（18）OSI參考模型的數(shù)據(jù)鏈路層的功能包括a 。 A．保證數(shù)據(jù)幀傳輸?shù)恼_順序、無差錯(cuò)和完整性 B．提供用戶與傳輸網(wǎng)絡(luò)之間的接口 C．控制報(bào)文通過網(wǎng)絡(luò)的路由選擇 D．處理信號(hào)通過物理介質(zhì)的傳輸（19）100Mbps快速以太網(wǎng)與10Mbps傳統(tǒng)以太網(wǎng)的幀結(jié)構(gòu)c 。 A．完全不同 B．幀頭控制字節(jié)不同C．完全相同 D．可以相同也可以不同（20）c 的物理層標(biāo)準(zhǔn)要求使用非屏蔽雙絞線。 A．10 BASE2 B．10 BASE5 C．100BASETX D．100 BASEFX（21）當(dāng)一個(gè)以太網(wǎng)中的一臺(tái)源主機(jī)要發(fā)送數(shù)據(jù)給位于另一個(gè)網(wǎng)絡(luò)中的一臺(tái)目的主機(jī)時(shí)，以太幀頭部的目的地址是b ，IP包頭部的目的地址必須是d 。 A．路由器的IP地址 B．路由器的MAC地址 C．目的主機(jī)的MAC地址 D．目的主機(jī)的IP地址 （22）當(dāng)一個(gè)發(fā)往目的主機(jī)的IP包經(jīng)過多個(gè)路由器轉(zhuǎn)發(fā)時(shí)，以下哪種情況正確地描述了包內(nèi)IP地址的變化？d 。A. 當(dāng)IP包在每跳段中傳輸時(shí)，目的地址改為下個(gè)路由器的IP地址。 B. 當(dāng)一個(gè)路由器將IP包發(fā)送到廣域網(wǎng)WAN時(shí)，目的IP地址經(jīng)常變化。 C. 目的IP地址將永遠(yuǎn)是第一個(gè)路由器的IP地址。 D. 目的IP地址固定不變。 （23）以下哪個(gè)協(xié)議被用于動(dòng)態(tài)分配本地網(wǎng)絡(luò)內(nèi)的IP地址？1