【文章內(nèi)容簡(jiǎn)介】 同的服務(wù)器、4）代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制、5）代理不能改進(jìn)底層協(xié)議的安全性。應(yīng)用層網(wǎng)關(guān)（Application Level Gateways）防火墻是傳統(tǒng)代理型防火墻，它的核心技術(shù)就是代理服務(wù)器技術(shù)，它是基于軟件的，通常安裝在專用工作站系統(tǒng)上。優(yōu)點(diǎn)：應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全，這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。缺點(diǎn)：代理防火墻的最大缺點(diǎn)就是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，（比如要求達(dá)到75M~100Mbps時(shí)）代理防火墻就會(huì)成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。電路層網(wǎng)關(guān)防火墻，另一種類型的代理技術(shù)稱為電路層網(wǎng)關(guān)（Circuit Level Gateway）或TCP通道（TCP Tunnels）。在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)的一個(gè)更加靈活方法。它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，一般采用自適應(yīng)代理技術(shù)，也稱為自適應(yīng)代理防火墻。在電路層網(wǎng)關(guān)中，需要安裝特殊的客戶機(jī)軟件。它結(jié)合了應(yīng)用層網(wǎng)關(guān)型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。36　防火墻的主要技術(shù)及實(shí)現(xiàn)方式有哪些？防火墻的安全技術(shù)包括包過濾技術(shù)、代理、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等多種技術(shù)。應(yīng)用防火墻的設(shè)計(jì)實(shí)現(xiàn)方式主要有：應(yīng)用網(wǎng)關(guān)代理、回路級(jí)代理服務(wù)器、代管服務(wù)器、IP通道（IP Tunnels）、隔離域名服務(wù)器（Split Domain Name Sever）、郵件轉(zhuǎn)發(fā)技術(shù)（Mail Forwarding）。37　防火墻的常見體系結(jié)構(gòu)有哪幾種？一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器，它通過對(duì)每一個(gè)到來的IP包依據(jù)一組規(guī)則進(jìn)行檢查來判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，屏蔽路由器的優(yōu)點(diǎn)是簡(jiǎn)單和低（硬件）成本。其缺點(diǎn)在于正確建立包過濾規(guī)則比較困難，屏蔽路由器的管理成本高，缺乏用戶級(jí)身份認(rèn)證等。代理服務(wù)器是防火墻系統(tǒng)中的一個(gè)服務(wù)器進(jìn)程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。由于對(duì)更高安全性的要求，屏蔽路由器和代理服務(wù)器通常組合在一起構(gòu)成混合系統(tǒng)，形成復(fù)合型防火墻產(chǎn)品。38　屏蔽路由器防火墻和屏蔽主機(jī)網(wǎng)關(guān)防火墻各是如何實(shí)現(xiàn)的？屏蔽路由器（Screening Router）又叫包過濾路由器，是最簡(jiǎn)單、最常見的防火墻，屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。除具有路由功能外，再裝上包過濾軟件，利用包過濾規(guī)則完成基本的防火墻功能。屏蔽路由器可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽主機(jī)網(wǎng)關(guān)（Screened Gateway）由屏蔽路由器和應(yīng)用網(wǎng)關(guān)組成，屏蔽路由器的作用是包過濾，應(yīng)用網(wǎng)關(guān)的作用是代理服務(wù)，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立了兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾），又實(shí)現(xiàn)了應(yīng)用層安全（代理服務(wù)）。屏蔽主機(jī)網(wǎng)關(guān)很容易實(shí)現(xiàn)：在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)的交匯點(diǎn)，安裝一臺(tái)屏蔽路由器，同時(shí)在內(nèi)部網(wǎng)絡(luò)上安裝一個(gè)堡壘主機(jī)（應(yīng)用層網(wǎng)關(guān)）即可，屏蔽主機(jī)網(wǎng)關(guān)防火墻具有雙重保護(hù)，比雙縮主機(jī)網(wǎng)關(guān)防火墻更靈活，安全性更高。39　簡(jiǎn)述分布式防火墻的體系結(jié)構(gòu)、主要特點(diǎn)。分布式防火墻的體系結(jié)構(gòu)包含如下三個(gè)部分：1．網(wǎng)絡(luò)防火墻、2．主機(jī)防火墻、3．中心管理。分布式防火墻具有以下幾個(gè)主要特點(diǎn)：1．主機(jī)駐留、2．嵌入操作系統(tǒng)內(nèi)核、3．類似于個(gè)人防火墻、4．適用于服務(wù)器托管。310 分布式防火墻的優(yōu)勢(shì)主要體現(xiàn)在哪幾個(gè)方面？分布式防火墻的優(yōu)勢(shì)主要體現(xiàn)在如下幾個(gè)方面：（1）增強(qiáng)系統(tǒng)的安全性：增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)內(nèi)部攻擊的防范，可以實(shí)施全方位的安全策略。（2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。（3）系統(tǒng)的擴(kuò)展性：分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。（4）實(shí)施主機(jī)策略：對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。（5）應(yīng)用更為廣泛，支持VPN通信。習(xí)題四41 攻擊者常用的攻擊工具有哪些？攻擊者常用的攻擊工具有：（1）DOS攻擊工具、（2）木馬程序、（3）分布式工具。42 簡(jiǎn)述口令入侵的原理。所謂口令入侵是指使用某些合法用戶的賬號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的賬號(hào)，然后再進(jìn)行合法用戶口令的破譯。43 簡(jiǎn)述網(wǎng)絡(luò)攻擊的步驟。畫出黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的典型流程。攻擊者在一次攻擊過程中的通常做法是：首先隱藏位置，接著網(wǎng)絡(luò)探測(cè)和資料收集、對(duì)系統(tǒng)弱點(diǎn)進(jìn)行挖掘、獲得系統(tǒng)控制權(quán)、隱藏行蹤，最后實(shí)施攻擊、開辟后門等七個(gè)步驟。黑客攻擊企業(yè)內(nèi)部局域網(wǎng)的典型流程如下：44 攻擊者隱藏自己的行蹤時(shí)通常采用哪些技術(shù)？攻擊者隱藏自己的行蹤通常要用到如下技術(shù)：1）連接隱藏，如冒充其他用戶、修改 LOGNAME環(huán)境變量、修改utmp日志文件、使用IP SPOOF技術(shù)等；2）進(jìn)程隱藏，如使用重定向技術(shù)減少PS給出的信息量、用特洛伊木馬代替PS程序等；3）篡改日志文件中的審計(jì)信息；4）改變系統(tǒng)時(shí)間，造成日志文件數(shù)據(jù)紊亂，以迷惑系統(tǒng)管理員。45 簡(jiǎn)述網(wǎng)絡(luò)攻擊的防范措施。網(wǎng)絡(luò)攻擊的防范措施主要有：（1）提高安全意識(shí)；（2）使用能防病毒、防黑客的防火墻軟件；（3）設(shè)置代理服務(wù)器，隱藏自已的IP地址；（4）安裝過濾器路由器，防止IP欺騙；（5）建立完善的訪問控制策略；（6）采用加密技術(shù)；（7）做好備份工作。46 簡(jiǎn)述網(wǎng)絡(luò)攻擊的處理對(duì)策。網(wǎng)絡(luò)攻擊的處理對(duì)策：（1）發(fā)現(xiàn)攻擊者，借助下面一些途徑可以發(fā)現(xiàn)攻擊者。 1）攻擊者正在行動(dòng)時(shí)，捉住攻擊者；2）根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)以被入侵；3）其他站點(diǎn)的管理員那里收到郵件，稱從本站點(diǎn)有人對(duì)“他”的站點(diǎn)大肆活動(dòng)；4）根據(jù)網(wǎng)絡(luò)系統(tǒng)中一些奇怪的現(xiàn)象，發(fā)現(xiàn)攻擊者；5）經(jīng)常注意登錄文件并對(duì)可逆行為進(jìn)行快速檢查，檢查訪問及錯(cuò)誤登錄文件，檢查系統(tǒng)命令如login等的使用情況；6） 使用一些工具軟件可以幫助發(fā)現(xiàn)攻擊者。（2）處理原則：不要驚慌、記錄每一件事情，甚至包括日期和時(shí)間、估計(jì)形勢(shì)、采取相應(yīng)措施。（3）發(fā)現(xiàn)攻擊者后的處理對(duì)策發(fā)現(xiàn)攻擊者后，網(wǎng)絡(luò)管理員的主要目的不是抓住他們，而是應(yīng)把保護(hù)用戶、保護(hù)網(wǎng)絡(luò)系統(tǒng)的文件和資源放在首位。因此，可采取下面某些對(duì)策。1）不理睬；2）使用write或者talk工具詢問他們究竟想要做什么；3）跟蹤這個(gè)連接，找出攻擊者的來路和身份；4）這管理員可以使用一些工具來監(jiān)視攻擊者，觀察他們正在做什么；5）殺死這個(gè)進(jìn)程來切斷攻擊者與系統(tǒng)的連接；6）找出安全漏洞并修補(bǔ)漏洞，再恢復(fù)系統(tǒng)；7）最后，根據(jù)記錄的整個(gè)文件的發(fā)生發(fā)展過程，編檔保存，并從中吸取經(jīng)驗(yàn)教訓(xùn)。47 一個(gè)成功的入侵檢測(cè)系統(tǒng)至少要滿足哪5個(gè)要求？一個(gè)成功的入侵檢測(cè)系統(tǒng)至少要滿足以下5個(gè)要求：①實(shí)時(shí)性要求：如果攻擊或者攻擊的企圖能夠被盡快發(fā)現(xiàn)，就有可能查出攻擊者的位置，阻止進(jìn)一步的攻擊活動(dòng)，就有可能把破壞控制在最小限度，并記錄下攻擊過程，可作為證據(jù)回放。②可擴(kuò)展性要求：攻擊手段多而復(fù)雜，攻擊行為特征也各不相同。③適應(yīng)性要求：入侵檢測(cè)系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。④安全性與可用性要求：入侵檢測(cè)系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及安全隱患。⑤有效性要求：能夠證明根據(jù)某一設(shè)計(jì)所建立的入侵檢測(cè)系統(tǒng)是切實(shí)有效的。48 簡(jiǎn)述入侵檢測(cè)系統(tǒng)的組成、特點(diǎn)。入侵檢測(cè)系統(tǒng)通常由兩部分組成：傳感器（Sensor）與控制臺(tái)（Console）。傳感器負(fù)責(zé)采集數(shù)據(jù)（網(wǎng)絡(luò)包、系統(tǒng)日志等）、分析數(shù)據(jù)并生成安全事件?？刂婆_(tái)主要起到中央管理的作用，商品化的IDS通常提供圖形界面的控制臺(tái)。入侵檢測(cè)系統(tǒng)的主要特點(diǎn)如下：（1） 入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一（2） 入侵檢測(cè)是防火墻的合理補(bǔ)充 （3）入侵檢測(cè)系統(tǒng)是黑客的克星49 分別說明入侵檢測(cè)系統(tǒng)的通用模型和統(tǒng)一模型。通用模型采用的是一個(gè)混合結(jié)構(gòu)，包含了一個(gè)異常檢測(cè)器和一個(gè)專家系統(tǒng)，異常檢測(cè)器采用統(tǒng)計(jì)技術(shù)描述異常行為，專家系統(tǒng)采用基于規(guī)則的方法檢測(cè)己知的危害行為。異常檢測(cè)器對(duì)行為的漸變是自適應(yīng)的，因此引入專家系統(tǒng)能有效防止逐步改變的入侵行為，提高準(zhǔn)確率。該模型由以下6個(gè)主要部分構(gòu)成：（1）主體（Subjects）、（2）對(duì)象（Objets）、（3）審計(jì)記錄（Auditrecords）、（4）活動(dòng)簡(jiǎn)檔（ActivityProfile）、（5）異常記錄（AnomalyRecoal）、（6）活動(dòng)規(guī)則。入侵檢測(cè)系統(tǒng)統(tǒng)一模型由5個(gè)主要部分組成：（1）信息收集器、（2）分析器、（3）響應(yīng)、（4）數(shù)據(jù)庫(kù)、（5）目錄服務(wù)器。410 簡(jiǎn)述入侵檢測(cè)的過程。入侵檢測(cè)的過程：1． 入侵信息的收集：入侵檢測(cè)的第一步是信息收集，收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。2． 信號(hào)分析：對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過四種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析、專家系統(tǒng)和完整性分析。3．響應(yīng)：入侵檢測(cè)響應(yīng)方式分為被動(dòng)響應(yīng)和主動(dòng)響應(yīng)。411 什么是異常檢測(cè)、誤用檢測(cè)、特征檢測(cè)？異常檢測(cè)：基于異常的檢測(cè)技術(shù)有一個(gè)假設(shè)，就是入侵事件的行為不同于一般正常用戶或者系統(tǒng)的行為。通過多種方法可以建立正?；蛘哂行袨榈哪Ｐ?。入侵檢測(cè)系統(tǒng)在檢測(cè)的時(shí)候就把當(dāng)前行為和正常模型比較，如果比較結(jié)果有一定的偏離，則報(bào)警異常。誤用檢測(cè)：進(jìn)行誤用檢測(cè)的前提是所有的入侵行為都有可被檢測(cè)到的特征。誤用檢測(cè)系統(tǒng)提供攻擊特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。特征檢測(cè)：特征檢測(cè)關(guān)注的是系統(tǒng)本身的行為。定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓進(jìn)行比較，對(duì)未指明為正常行為的事件定義為入侵。412 基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS各有什么特點(diǎn)？基于主機(jī)的IDS的特點(diǎn)：1）主要優(yōu)點(diǎn)：①確定攻擊是否成功；②能夠檢查到基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)檢查不出的攻擊；③能夠監(jiān)視特定的系統(tǒng)活動(dòng)；④適用被加密的和交換的環(huán)境；⑤近于實(shí)時(shí)的檢測(cè)和響應(yīng)；⑥不要求額外的硬件設(shè)備；⑦低廉的成本。2）主要弱點(diǎn)：①基于主機(jī)的IDS安裝在需要保護(hù)的設(shè)備上，如當(dāng)一個(gè)數(shù)據(jù)庫(kù)服務(wù)器要保護(hù)時(shí)，就要在服務(wù)器本身上安裝入侵檢測(cè)系統(tǒng)，這會(huì)降低應(yīng)用系統(tǒng)的效率；②基于主機(jī)的IDS依賴于服務(wù)器固有的日志與監(jiān)視能力；③全面部署基于主機(jī)的IDS代價(jià)較大，用戶很難將所有主機(jī)用基于主機(jī)的IDS保護(hù)起來，只能選擇保護(hù)部分重要主機(jī)；④基于主機(jī)的IDS除了監(jiān)測(cè)自身的主機(jī)以外，根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況?；诰W(wǎng)絡(luò)的IDS的特點(diǎn)：1）主要優(yōu)點(diǎn)：①擁有成本較低；②檢測(cè)基于主機(jī)的IDS漏掉的攻擊；③攻擊者不易轉(zhuǎn)移證據(jù)；④實(shí)時(shí)檢測(cè)和響應(yīng)；⑤檢測(cè)未成功的攻擊和不良意圖；⑥操作系統(tǒng)無關(guān)性；⑦安裝簡(jiǎn)便。2）主要弱點(diǎn)：①監(jiān)測(cè)范圍的局限性；②基于網(wǎng)絡(luò)的IDS為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)；③基于網(wǎng)絡(luò)的IDS可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中，影響系統(tǒng)性能和響應(yīng)速度；④基于網(wǎng)絡(luò)的IDS處理加密的會(huì)話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個(gè)問題會(huì)越來越突出。413 你曾遇到過何種類型的網(wǎng)絡(luò)攻擊？采取了哪些措施保護(hù)你的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)？414 攻擊者入侵系統(tǒng)后通過更改系統(tǒng)中的可執(zhí)行文件、庫(kù)文件或日志文件來隱藏其活動(dòng)，如果你是系統(tǒng)安全管理員，你將通過何種方法檢測(cè)出這種活動(dòng)？415　系統(tǒng)恢復(fù)過程中應(yīng)對(duì)哪些遺留物進(jìn)行分析？系統(tǒng)恢復(fù)過程中對(duì)遺留物進(jìn)行分析： （1）檢查入侵者對(duì)系統(tǒng)軟件和配置文件的修改： 1）校驗(yàn)系統(tǒng)中所有的二進(jìn)制文件 2）校驗(yàn)系統(tǒng)配置文件 （2）檢查被修改的數(shù)據(jù) （3）檢查入侵者留下的工具和數(shù)據(jù) 1）網(wǎng)絡(luò)監(jiān)聽工具 2）特洛伊木馬程序 3）安全缺陷攻擊程序 4）后門 5）入侵者使用的其他工具 （4）檢查網(wǎng)絡(luò)監(jiān)聽工具416　簡(jiǎn)述系統(tǒng)的恢復(fù)過程。系統(tǒng)的恢復(fù)過程：1．切斷被入侵系統(tǒng)的入侵者訪問途徑；2．復(fù)制一份被侵入系統(tǒng)；3．入侵途徑分析；4．遺留物分析；5．檢查網(wǎng)絡(luò)上的其他系統(tǒng)和涉及到的運(yùn)送站點(diǎn)；6．評(píng)估入侵事件的影響，恢復(fù)系統(tǒng)。習(xí)題五51　簡(jiǎn)述訪問控制的三個(gè)要素、7種策略。訪問控制包括三個(gè)要素，即主體、客體和控制策略。具體的訪問控制策略有如下7種：（1）入網(wǎng)訪問控制、（2）網(wǎng)絡(luò)的權(quán)限控制、（3）目錄級(jí)安全控制、（4）屬性安全控制、（5）網(wǎng)絡(luò)服務(wù)器安全控制、（6）網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、（7）網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。52　簡(jiǎn)述訪問控制的內(nèi)容。訪問控制的實(shí)現(xiàn)首先要考慮對(duì)合法用戶進(jìn)行驗(yàn)證，然后是對(duì)控制策略的選用與管理，最后要對(duì)非法用戶或是越權(quán)操作進(jìn)行管理。所以，訪問控制包括認(rèn)證、控制策略實(shí)現(xiàn)和審計(jì)三個(gè)方面的內(nèi)容。53　簡(jiǎn)述自主訪問控制模型、強(qiáng)制訪問控制模型、基于角色的訪問控制模型。自主訪問控制模型（Discretionary Access Control Model，DAC Model）是根據(jù)自主訪問控制策略建立的一種模型，它基于對(duì)主體或主體所屬的主體組的識(shí)別來限制對(duì)客體的訪問，也就是由擁有資源的用戶自己來決定其他一個(gè)或一些主體可以在什么程度上訪問哪些資源。強(qiáng)制訪問控制模型（Mandatory Access Control Model，MAC Model）是一種多級(jí)訪問控制策略，它的主要特點(diǎn)是系統(tǒng)對(duì)主體和客體實(shí)行強(qiáng)制訪問控制：系統(tǒng)事先給所有的主體和客體指定不同的安全級(jí)別，比如絕密級(jí)、機(jī)密級(jí)、