【正文】 提示客戶輸入口令后與商家服務(wù)器交換“握手”消息，確認(rèn)客戶、商家均為合法，初始化支付請求和支付響應(yīng)。(3) 客戶的電子錢包形成一個包含購買訂單、支付命令(內(nèi)含加密了的客戶信用卡號碼)的報文發(fā)送給商家。(4) 商家POS軟件生成授權(quán)請求報文(內(nèi)含客戶的支付命令)，發(fā)給收單銀行的支付網(wǎng)關(guān)。(5) 支付網(wǎng)關(guān)在確認(rèn)客戶信用卡沒有超過透支額度的情況下，向商家發(fā)送一個授權(quán)響應(yīng)報文。(6) 商家向客戶的電子錢包發(fā)送一個購買響應(yīng)報文，交易結(jié)束，客戶等待商家送貨上1. 什么是防火墻，為什么需要有防火墻？防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間，限制Internet用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問Internet的權(quán)限。換言之，一個防火墻在一個被認(rèn)為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個被認(rèn)為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是Internet)之間提供一個封鎖工具。如果沒有防火墻，則整個內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個主機(jī)，因此，所有的主機(jī)都必須達(dá)到一致的高度安全水平，這在實際操作時非常困難。而防火墻被設(shè)計為只運(yùn)行專用的訪問控制軟件的設(shè)備，沒有其他的服務(wù)，因此也就意味著相對少一些缺陷和安全漏洞，這就使得安全管理變得更為方便，易于控制，也會使內(nèi)部網(wǎng)絡(luò)更加安全。 防火墻所遵循的原則是在保證網(wǎng)絡(luò)暢通的情況下，盡可能保證內(nèi)部網(wǎng)絡(luò)的安全。它是一種被動的技術(shù)，是一種靜態(tài)安全部件。2. 防火墻應(yīng)滿足的基本條件是什么？作為網(wǎng)絡(luò)間實施網(wǎng)間訪問控制的一組組件的集合，防火墻應(yīng)滿足的基本條件如下：(1) 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻。(2) 只有符合安全策略的數(shù)據(jù)流才能通過防火墻。(3) 防火墻自身具有高可靠性，應(yīng)對滲透(Penetration)免疫，即它本身是不可被侵入的。3. 列舉防火墻的幾個基本功能？(1) 隔離不同的網(wǎng)絡(luò)，限制安全問題的擴(kuò)散，對安全集中管理，簡化了安全管理的復(fù)雜程度。(2) 防火墻可以方便地記錄網(wǎng)絡(luò)上的各種非法活動，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報警。(3) 防火墻可以作為部署NAT的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。(4) 防火墻是審計和記錄Internet使用費(fèi)用的一個最佳地點。(5) 防火墻也可以作為IPSec的平臺。(6) 內(nèi)容控制功能。根據(jù)數(shù)據(jù)內(nèi)容進(jìn)行控制，比如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內(nèi)部用戶訪問外部服務(wù)的圖片信息。只有代理服務(wù)器和先進(jìn)的過濾才能實現(xiàn)。 防火墻有哪些局限性？(1) 網(wǎng)絡(luò)上有些攻擊可以繞過防火墻（如撥號）。(2) 防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。(3) 防火墻不能對被病毒感染的程序和文件的傳輸提供保護(hù)。(4) 防火墻不能防范全新的網(wǎng)絡(luò)威脅。(5) 當(dāng)使用端到端的加密時，防火墻的作用會受到很大的限制。(6) 防火墻對用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點失效等問題。(7) 防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。有些表面無害的數(shù)據(jù)通過電子郵件或其他方式發(fā)送到主機(jī)上，一旦被執(zhí)行就形成攻擊（附件）。包過濾防火墻的過濾原理是什么？包過濾防火墻也稱分組過濾路由器，又叫網(wǎng)絡(luò)層防火墻，因為它是工作在網(wǎng)絡(luò)層。路由器便是一個網(wǎng)絡(luò)層防火墻，因為包過濾是路由器的固有屬性。它一般是通過檢查單個包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過，有靜態(tài)和動態(tài)兩種過濾方式。 這種防火墻可以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則（丟棄該包）。在制定數(shù)據(jù)包過濾規(guī)則時，一定要注意數(shù)據(jù)包是雙向的。狀態(tài)檢測防火墻的原理是什么，相對包過濾防火墻有什么優(yōu)點？狀態(tài)檢測又稱動態(tài)包過濾，所以狀態(tài)檢測防火墻又稱動態(tài)防火墻，最早由CheckPoint提出。狀態(tài)檢測是一種相當(dāng)于5層的過濾技術(shù)，既提供了比包過濾防火墻更高的安全性和更靈活的處理，也避免了應(yīng)用層網(wǎng)關(guān)的速度降低問題。要實現(xiàn)狀態(tài)檢測防火墻，最重要的是實現(xiàn)連接的跟蹤功能，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。防火墻應(yīng)當(dāng)包含關(guān)于包最近已經(jīng)通過它的“狀態(tài)信息”，以決定是否讓來自Internet的包通過或丟棄。應(yīng)用層網(wǎng)關(guān)的工作過程是什么？它有什么優(yōu)缺點？主要工作在應(yīng)用層，又稱為應(yīng)用層防火墻。它檢查進(jìn)出的數(shù)據(jù)包，通過自身復(fù)制傳遞數(shù)據(jù)，防止在受信主機(jī)與非受信主機(jī)間直接建立聯(lián)系。應(yīng)用層網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜的訪問控制，并做精細(xì)的注冊和審核。 基本工作過程是：當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。 常用的應(yīng)用層網(wǎng)關(guān)已有相應(yīng)的代理服務(wù)軟件，如HTTP、SMTP、FTP、Telnet等，但是對于新開發(fā)的應(yīng)用，尚沒有相應(yīng)的代理服務(wù)，它們將通過網(wǎng)絡(luò)層防火墻和一般的代理服務(wù)。 應(yīng)用層網(wǎng)關(guān)有較好的訪問控制能力，是目前最安全的防火墻技術(shù)。能夠提供內(nèi)容過濾、用戶認(rèn)證、頁面緩存和NAT等功能。但實現(xiàn)麻煩，有的應(yīng)用層網(wǎng)關(guān)缺乏“透明度”。應(yīng)用層網(wǎng)關(guān)每一種協(xié)議需要相應(yīng)的代理軟件，使用時工作量大，效率明顯不如網(wǎng)絡(luò)層防火墻。代理服務(wù)器有什么優(yōu)缺點？代理服務(wù)技術(shù)的優(yōu)點是：隱蔽內(nèi)部網(wǎng)絡(luò)拓?fù)湫畔?；網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實施更細(xì)粒度的訪問控制；較強(qiáng)的數(shù)據(jù)流監(jiān)控和報告功能。（主機(jī)認(rèn)證和用戶認(rèn)證）缺點是對每一類應(yīng)用都需要一個專門的代理，靈活性不夠；每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同，分析困難，因此實現(xiàn)困難。速度慢。 靜態(tài)包過濾和動態(tài)包過濾有什么不同？ 靜態(tài)包過濾在遇到利用動態(tài)端口的協(xié)議時會發(fā)生困難，如FTP，防火墻事先無法知道哪些端口需要打開，就需要將所有可能用到的端口打開，會給安全帶來不必要的隱患。 而狀態(tài)檢測通過檢查應(yīng)用程序信息(如FTP的PORT和PASV命令)，來判斷此端口是否需要臨時打開，而當(dāng)傳輸結(jié)束時，端口又馬上恢復(fù)為關(guān)閉狀態(tài)。1. 解釋VPN的基本概念。VPN是Virtual Private Network的縮寫，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。 Virtual是針對傳統(tǒng)的企業(yè)“專用網(wǎng)絡(luò)”而言的。VPN則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個邏輯上的專用通道，盡管沒有自己的專用線路，但它卻可以提供和專用網(wǎng)絡(luò)同樣的功能。 Private表示VPN是被特定企業(yè)或用戶私有的，公共網(wǎng)絡(luò)上只有經(jīng)過授權(quán)的用戶才可以使用。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，保證了傳輸內(nèi)容的完整性和機(jī)密性。2．簡述VPN使用了哪些主要技術(shù)。1）隧道（封裝）技術(shù)是目前實現(xiàn)不同VPN用戶業(yè)務(wù)區(qū)分的基本方式。一個VPN可抽象為一個沒有自環(huán)的連通圖，每個頂點代表一個VPN端點（用戶數(shù)據(jù)進(jìn)入或離開VPN的設(shè)備端口），相鄰頂點之間的邊表示連結(jié)這兩對應(yīng)端點的邏輯通道，即隧道。 隧道以疊加在IP主干網(wǎng)上的方式運(yùn)行。需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)一定的封裝處理，從信源的一個VPN端點進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN（物理上穿越不安全的互聯(lián)網(wǎng)），到達(dá)信宿的另一個VPN端點，再經(jīng)過相應(yīng)解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送的路徑，在中轉(zhuǎn)節(jié)點也不會解析原始數(shù)據(jù)）2）當(dāng)用戶數(shù)據(jù)需要跨越多個運(yùn)營商的網(wǎng)絡(luò)時，在連接兩個獨(dú)立網(wǎng)絡(luò)的節(jié)點該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝，可能會造成數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技術(shù)。目前主要的密鑰交換和管理標(biāo)準(zhǔn)有SKIP和ISAKMP（安全聯(lián)盟和密鑰管理協(xié)議）。3）對于支持遠(yuǎn)程接入或動態(tài)建立隧道的VPN，在隧道建立之前需要確認(rèn)訪問者身份，是否可以建立要求的隧道，若可以，系統(tǒng)還需根據(jù)訪問者身份實施資源訪問控制。這需要訪問者與設(shè)備的身份認(rèn)證技術(shù)和訪問控制技術(shù)。1 目標(biāo)探測和信息攫取 先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo)。1) 踩點（Footprinting） 黑客必須盡可能收集目標(biāo)系統(tǒng)安全狀況的各種信息。Whois數(shù)據(jù)庫查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息。此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔ⅰ?) 掃描（Scanning）在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統(tǒng)檢測等)確定哪些系統(tǒng)存活著、它們在監(jiān)聽哪些端口(以此來判斷它們在提供哪些服務(wù))，甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng)。3) 查點（Enumeration） 從系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名的過程稱為查點，這些信息很可能成為目標(biāo)系統(tǒng)的禍根。比如說，一旦查點查出一個有效用戶名或共享資源，攻擊者猜出對應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點通常就只是一個時間問題了。查點技巧差不多都是特定于操作系統(tǒng)的，因此要求使用前面步驟匯集的信息。 2 獲得訪問權(quán)（Gaining Access） 通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限。3 特權(quán)提升（Escalating Privilege） 在獲得一般賬戶后，黑客經(jīng)常會試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通?？梢圆捎妹艽a破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點等技術(shù)。4 竊?。⊿tealing） 對敏感數(shù)據(jù)進(jìn)行篡改、添加、刪除及復(fù)制（如Windows系統(tǒng)的注冊表、UNIX的rhost文件等）。5 掩蓋蹤跡（Covering Tracks） 此時最重要就隱藏自己蹤跡，以防被管理員發(fā)覺，比如清除日志記錄、使用rootkits等工具。6 創(chuàng)建后門（Creating Bookdoor） 在系統(tǒng)的不同部分布置陷阱和后門，以便入侵者在以后仍能從容獲得特權(quán)訪問。 入侵檢測與安全審計1. 什么是IDS，它有哪些基本功能？入侵檢測系統(tǒng)IDS，它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門。1）監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；2）核查系統(tǒng)配置和漏洞并提示管理員修補(bǔ)漏洞；3）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；4）識別已知的攻擊行為，統(tǒng)計分析異常行為；5）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。了解基本的計算機(jī)病毒防范措施。計算機(jī)病毒防范，是指通過建立合理的計算機(jī)病毒防范體系和制度，及時發(fā)現(xiàn)計算機(jī)病毒侵入，并采取有效的手段阻止計算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計算機(jī)系統(tǒng)和數(shù)據(jù)。 計算機(jī)病毒利用讀寫文件能進(jìn)行感染，利用駐留內(nèi)存、截取中斷向量等方式能進(jìn)行傳染和破壞。預(yù)防計算機(jī)病毒就是要監(jiān)視、跟蹤系統(tǒng)內(nèi)類似的操作，提供對系統(tǒng)的保護(hù)，最大限度地避免各種計算機(jī)病毒的傳染破壞。9．什么是病毒的特征代碼？它有什么作用？病毒的特征代碼是病毒程序編制者用來識別自己編寫程序的唯一代碼串。因此檢測病毒程序可利用病毒的特征代碼來檢測病毒，以防止病毒程序感染。10．什么是網(wǎng)絡(luò)蠕蟲？它的傳播途徑是什么？ 網(wǎng)絡(luò)蠕蟲是一種可以通過網(wǎng)絡(luò)（永久連接網(wǎng)絡(luò)或撥號網(wǎng)絡(luò)）進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得象計算機(jī)病毒或細(xì)菌。可以向系統(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動。普通計算機(jī)病毒需要在計算機(jī)的硬件或文件系統(tǒng)中繁殖，而典型的蠕蟲程序會在內(nèi)存中維持一個活動副本。蠕蟲是一個獨(dú)立運(yùn)行的程序，自身不改變其他的程序，但可以攜帶一個改變其他程序功能的病毒。