网络安全---复习题
网络安全技术复习题
网络安全技术复习题一、选择填空(A)1、下列协议是有连接。
A、TCPB、ICMPC、DNSD、UDP(B)2、下列加密算法中是对称加密算法。
A、RSAB、3DESC、RabinD、椭圆曲线(C)3、完整性服务提供信息的。
A、不可抵赖性B、机密性C、正确性D、可信性(B)4、防火墙是建立在内外网络边界上的。
A、路由设备B、过滤设备C、寻址设备D、扩展设备(B)5、数字签名要预先使用单向Hash函数进行处理的原因是。
A、多一道加密工序使得密文更难破译B、缩小签名密文的长度,加快数字签名和验证签名的运算速度C、提高密文的计算速度D、保证密文能正确地还原成明文(C)6、在网络通信中,纠检错功能是由OSI参考模型的实现的。
A、传输层B、网络层C、数据链路层D、会话层(D)7、网络安全是在分布网络环境中对提供安全保护。
A、信息载体B、信息的处理和传输C、信息的存储和访问D、以上皆是(C)8、当进行文本文件传输时,可能需要进行数据压缩,在OSI模型中,规定完成这一工作的是。
A、应用层B、会话层C、表示层D、传输层(A)9、IP v4地址是 B 位的。
A、32B、48C、64D、128(D)10、包过滤技术是防火墙在层中根据数据包头中包头信息有选择地实施允许通过或阻断。
A、物理层B、数据链路层C、传输层D、网络层(A)11、下列加密算法可以没有密钥的是。
A、不可逆加密B、可逆加密C、对称加密D、非对称加密(D)12、威胁是一个可能破坏信息系统环境安全的动作或事件,威胁包括()。
A、目标B、代理C、事件D、上面3项都是(C)13、对非军事区DMZ而言,正确的解释是。
A、DMZ是一个非真正可信的网络部分B、DMZ网络访问控制策略决定允许或禁止进入DMZ通信C、允许外部用户访问DMZ系统上合适的服务D、以上3项都是(D)14、包过滤技术是防火墙在层中根据数据包头中包头信息有选择地实施允许通过或阻断。
A、物理层B、数据链路层C、传输层D、网络层(B)15、数字签名要预先使用单向Hash函数进行处理的原因是。
网络安全复习题
一、选择题1、要启用文件和文件夹的审核,需要使用哪些工具()。
A、资源管理器B、安全模板C、审核策略D、账户策略2、以下不属于非对称密码算法的是()。
A、计算量大B、处理速度慢C、使用两个密码D、适合加密长数据3、针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是()防火墙的特点。
A、包过滤型B、应用级网关型C、复合型防火墙D、代理服务型4、为了防御网络监听,最常用的方法是()A、采用物理传输(非网络)B、信息加密C、无线网D、使用专线传输5、WINDOWS 2000主机推荐使用()格式A、NTFSB、FAT32C、FATD、LINUX6、基于网络层的攻击是()A、TCP会话拦截B、Ping of deathC、网络嗅探D、DNS欺骗7、Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止()A、木马;B、暴力攻击;C、IP欺骗;D、缓存溢出攻击8、CA指的是()A.证书授权B.加密认证C.虚拟专用网D.安全套接层9、()协议主要用于加密机制A、HTTPB、FTPC、TELNETD、SSL10、数字签名技术使用()进行签名。
A. 发送方的公钥B. 发送方的私钥C. 接收方的公钥D. 接收方的私钥11、TCP / IP 网络中提供可靠性传输的协议是()A. TCPB. IPC. UDPD. ICMP12、在公钥加密系统中使用的密钥对是()A、明文和密文B、个人密钥和私钥C、公钥和私钥D、发送方和接受方13、以下关于垃圾邮件泛滥原因的描述中,哪些是错误的?()A.SMTP没有对邮件加密的功能是导致垃圾邮件泛滥的主要原因B.早期的SMTP协议没有发件人认证的功能C.Internet分布式管理的性质,导致很难控制和管理D.网络上存在大量开放式的邮件中转服务器,导致垃圾邮件的来源难于追查14、入侵检测系统的第一步是:()A.信号分析B.信息收集C.数据包过滤D.数据包检查15、许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对于这一威胁,最可靠的解决方案是( )A. 安装防病毒软件B. 给系统安装最新的补丁C. 安装防火墙D. 安装入侵检测系统16、计算机及网络病毒感染系统时,一般是()感染系统的。
2023网络安全知识复习题库附答案
2023网络安全知识复习题库附答案一、单选题。
1、防御网络监听,最常用的方法是(B)oA、采用物理传输(非网络)B、信息加密C、无线网D、使用专线传输2、(八)不是网络信息系统脆弱性的不安全因素。
A、网络的开放性B、软件系统自身缺陷C、黑客攻击D、管理漏洞3、计算机会将系统中可使用内存减少,这体现了病毒的(B)A、传染性B、破坏性C、隐藏性D、潜伏性4、机密性服务提供信息的保密,机密性服务包括(D)。
A、文件机密性B、信息传输机密性C、通信流的机密性D、以上3项都是5、在网络安全中,在未经许可的情况下,对信息进行删除或修改,这是对(C)的攻击。
A、可用性B、保密性C、完整性D、真实性6、以下关于防火墙的设计原则说法正确的是:(C)A、不单单要提供防火墙的功能,还要尽量使用较大的组件B、保留尽可能多的服务和守护进程,从而能提供更多的网络服务C、一套防火墙就可以保护全部的网络7、在网络信息安全模型中,(八)是安全的基石,它是建立安全管理的标准和方法。
A、政策、法律、法规;B、授权D、审计和监控8、计算机网络中的安全是指(C)。
A、网络中设备设置环境的安全B、网络使用者的安全C、网络中信息的安全D、网络财产的安全9、从安全属性对各种网络攻击进行分类,截获攻击是针对(八)的攻击。
A、机密性B、可用性C、完整性D、真实性10、以下关于计算机病毒的特征说法正确的是:(C)A、计算机病毒只具有破坏性,没有其他特征B、计算机病毒具有破坏性,不具有传染性C、破坏性和传染性是计算机病毒的两大主要特征D、计算机病毒只具有传染性,不具有破坏性11、网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑(D)。
A、用户的方便性B、管理的复杂性C、对现有系统的影响及对不同平台的支持D、上面3项都是12、行为人有意制造和发布有害的、虚假的、过时的和无用的不良信息称为(八)。
A、信息污染B、网络垃圾C、网络谣言D、虚假信息13、安全基础设施的主要组成是(D)。
网络安全复习题
习题练习一、选择题1.在防火墙技术中,内网这一概念通常指的是( A )A.受信网络B.非受信网络C.防火墙内的网络D.互联网2.CA不能提供以下哪种证书? ( D )A.个人数字证书B.SSL服务器证书C.安全电子邮件证书D.SET服务器证书3.关于Diffie-Hellman算法描述正确的是( B )A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的4.以下哪一项不在证书数据的组成中? ( D )A.版本信息B.有效使用期限C.签名算法D.版权信息5.计算机病毒的特征之一是( B )A.非授权不可执行性B.非授权可执行性C.授权不可执行性D.授权可执行性6、拒绝服务攻击(A)。
A、用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击B、全称是Distributed Denial Of ServiceC、拒绝来自一个服务器所发送回应请求的指令D、入侵控制一个服务器后远程关机7、HTTP默认端口号为(B)。
A、21B、80C、8080D、238、网络监听是(B)。
A、远程观察一个用户的计算机B、监视网络的状态、传输的数据流C、监视PC系统的运行情况D、监视一个网站的发展方向9、下面不是采用对称加密算法的是(D)。
A、DESB、AESC、IDEAD、RSA10、在公开密钥体制中,加密密钥即(D)。
A、解密密钥B、私密密钥C、私有密钥D、公开密钥11、DES算法的入口参数有3个:Key、Data和Mode。
其中Key的实际长度为(D)位,是DES算法的工作密钥。
A、64B、7C、8D、5612、数字签名功能不包括(B)。
A.防止发送方的抵赖行为 B.接收方身份确认C.发送方身份确认 D.保证数据的完整性13、目前无线局域网主要以(B)作传输媒介。
A.短波 B.微波 C.激光 D.红外线14、防火墙能够(A)。
A.防范通过它的恶意连接 B.防范恶意的知情者C.防备新的网络安全问题D.完全防止传送己被病毒感染的软件和文件15. 特洛伊木马攻击的威胁类型属于【B】。
计算机网络安全复习题
一.单项选择题(每题2分,共30分)1.安全性攻击分为被动攻击和主动攻击,其中的被动攻击包括:A. 假冒、重放、篡改消息、拒绝服务B. 假冒、重放、篡改消息、信息收集C. 信息收集、流量分析D. 假冒、重放、流量分析、拒绝服务2.以下算法中属于非对称算法的是()A. DESB. 三重DESC. AESD. RSA算法3.凯撒密码实际上就是:A.现代密码B.移位密码C.多表替代密码D.单表替代密码4.散列函数是:A. 输入可变长度的消息明文,输出固定长度的散列码B. 输入可变长度的消息明文,输出可变长度的散列码C. 输入固定长度的消息明文,输出可变长度的散列码D. 输入固定长度的消息明文,输出固定长度的散列码5.加密工具PGP是:A. 只能运行在Windows操作系统B. 一个完整的安全电子邮件(协议)软件包C. 提供了保密性、认证、数字签名功能,但不提供压缩和分段功能D. 提供了压缩和分段功能,但不提供保密性、认证、数字签名功能指的是:A. 虚拟专用网B.加密认证C.证书授权机构D.安全套接层8.对于数字签名,下面说法正确的是:A. 数字签名机制可以使用对称或非对称密码算法B. 数字签名不是对数据单元所作的密码变换C. 数字签名技术不能用来提供诸如抗抵赖与鉴别等安全服务D. 数字签名可以是附加在数据单元上的一些数据9.以下关于计算机病毒的特征说法正确的是:A.计算机病毒只具有破坏性,没有其他特征B.计算机病毒具有破坏性,不具有传染性C.破坏性和传染性是计算机病毒的两大主要特征D.计算机病毒只具有传染性,不具有破坏性10.加密技术不能实现:A.数据信息的完整性B.基于密码技术的身份认证C.机密文件加密D.基于IP头信息的包过滤11. 数据信息是否被篡改由哪项技术来判断:A. 数据完整性控制技术B. 身份识别技术C. 访问控制技术D. 入侵检测技术12.以下关于对称密钥加密说法正确的是:A.加密方和解密方可以使用不同的算法B.加密密钥和解密密钥可以是不同的C.加密密钥和解密密钥必须是相同的D.密钥的管理非常简单13.在以下人为的恶意攻击行为中,属于被动攻击的是A.数据篡改及破坏B. 数据窃听C. 数据流分析D. 以上都是15. 在非对称密钥密码体制中,加、解密双方的密钥:A. 双方拥有相同的密钥B. 双方各自拥有不同的密钥C. 双方的密钥可相同也可不同D. 双方的密钥可随意改变二.填空题(每空1分,共15分)1.移位和置换是密码技术的基础,如果采用移位算法,密钥K=3,则ACF经过加密转换之后的密文是:__________。
《网络安全》复习题
《网络安全》复习题一、单选题1。
()是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统.A.网络B.互联网C。
局域网D.数据答案:A2.《网络安全法》第五十九条规定,网络运营者不履行网络安全保护义务的,最多处以()罚款。
A.五万元B。
十万元C。
五十万元D。
一百万元答案:B3。
《网络安全法》立法的首要目的是()。
A。
保障网络安全B。
维护网络空间主权和国家安全、社会公共利益C.保护公民、法人和其他组织的合法权益D.促进经济社会信息化健康发展答案:A4。
信息安全实施细则中,物理与环境安全中最重要的因素是()。
A.人身安全B。
财产安全C.信息安全D.设备安全答案:A5。
信息安全管理针对的对象是().A.组织的金融资产B。
组织的信息资产C.组织的人员资产D。
组织的实物资产答案:B6。
《网络安全法》的第一条讲的是( )。
A.法律调整范围B。
立法目的C。
国家网络安全战略D.国家维护网络安全的主要任务答案:B7.下列说法中,不符合《网络安全法》立法过程特点的是().A。
全国人大常委会主导B.各部门支持协作C。
闭门造车D。
社会各方面共同参与答案:C8.在确定信息安全管理标准时,更侧重于机械化和绝对化方式的国家是().A。
德国B。
法国C.意大利D。
美国答案:D9。
在泽莱尼的著作中,与人工智能1。
0相对应的是()。
A.数字B.数据C。
知识D.才智答案:C10.联合国在1990年颁布的个人信息保护方面的立法是( )。
A.《隐私保护与个人数据跨国流通指南》B。
《个人资料自动化处理之个人保护公约》C.《自动化资料档案中个人资料处理准则》D.《联邦个人数据保护法》答案:C11.()是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
A.网络B.互联网C。
局域网D.数据答案:A12。
《网络安全法》的第一条讲的是( )。
网络安全复习题最终版
一、填空题1. 计算机网络的安全是指 ( C )。
A. 网络中设备设置环境的安全B. 网络使用者的安全C. 网络中信息的安全D. 网络的财产安全 2.以下(D )不是保证网络安全的要素。
A. 信息的保密性B. 发送信息的不可否认性C. 数据交换的完整性D. 数据存储的唯一性 3. 信息不泄漏给非授权的用户、实体或过程,指的是信息 ( A ) 的特性。
A. 保密性B. 完整性C. 可用性D. 可控性4.拒绝服务攻击 ( A )A. 用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击B. 全称是 Distributed Denial Of ServiceC. 拒绝来自一个服务器所发送回应请求的指令 D .入侵控制一个服务器后远程关机 5. 当感觉到操作系统运行速度明显减慢,打开任务管理器后发现 CPU 的使用率达到100%寸,最有可能受到(B )攻击。
A. 特洛伊木马B. 拒绝服务C. 欺骗D. 中间人攻击6.对于发弹端口型的木马, ( D ) 主动打开端口,并处于监听状态。
I.木马的客户端n .木马的服务器端rn .第三服务器A. IB. nC. 皿D. I 或皿 7. DDos 攻击破坏了 ( A )。
A. 可用性B. 保密性C. 完整性D. 真实性 8. 在网络攻击活动中,死亡之 PING 是(A )类的攻击程序。
A. 拒绝服务B.字典攻击C.网络监听D.病毒22. ( B )不是防火墙的功能。
A. 过滤进出网络的数据包 B. 保护存储数据安全 C.封堵某些禁止的访问行为 D.记录通过防火墙的信息内容和活动23.防火墙技术可分为 ( D )等 3 大类型。
A. 包过滤、入侵检测和数据加密B. 包过滤、入侵检测和应用代理C. 包过滤、数据代理和入侵检测D. 包过滤、状态检测和应用代理 24.有一个主机专门被用作内部网络和外部网络的分界线。
该主机有两块网卡,分别连接两个网络。
网络安全复习题
复习题1、《中华人民共和国网络安全法》正式实施的日期是哪一天?A 2017年7月1日B 2017年6月1日C 2016年7月1日D 2016年10月1日(正确答案:B)2、信息安全领域内最关键和最薄弱的环节是______。
A.技术B.策略C.管理制度D.人(正确答案:D)3、伊朗震网病毒发生在哪一年?A 2005年B 2009年C 2010年D 2015年(正确答案:C)4、以下哪个类别属于工控信息安全产业防护类产品?A边界安全B终端安全C监测审计D以上都是(正确答案:D)5、《工业控制系统信息安全防护指南》是在哪一年发布的?A 2009年B 2013年C 2016年D 2017年(正确答案:C)6、《工业控制系统信息安全事件应急管理工作指南》是在什么时间发布的?A 2009年5月B 2013年7月C 2016年10月D 2017年6月(正确答案:D)7、“工业控制系统信息安全技术国家工程实验室”正式挂牌时间是哪一天?A 2014年12月1日B 2009年7月1日C 2015年12月1日D 2016年12月1日(正确答案:A)8、“工业控制系统信息安全技术国家工程实验室航天工业联合实验室”是在哪一年挂牌成立的?A 2009年B 2013年C 2016年D 2017年(正确答案:C)9、“工业控制系统信息安全技术国家工程实验室”的承建单位是哪家机构?A CEC中国电子B电子六所C和利时集团D电子一所(正确答案:B)10、电子六所自主知识产权的国产PLC的中文名称是什么?A突破B国盾C超御D铁卫(正确答案:C)11、“网络空间安全”是否已经成为国家一级学科?A是的B还不是C不太可能D明年有可能(正确答案:A)12、中国电子信息产业集团有限公司第六研究所(又名华北计算机系统工程研究所,简称电子六所)成立于哪一年?A 1955年B 1976年C 1989年D 1965年(正确答案:D)13、“工业控制系统信息安全技术国家工程实验室核电分部”挂牌的准确时间是哪一天?A 2016年1月12日B 2017年1月12日C 2018年1月12日D 2015年1月12日(正确答案:C)14、据工业信息安全产业发展联盟测算,2017年我国工业信息安全市场规模有多大?A 10亿元人民币B 5.57亿元人民币C 6.25亿元人民币D 15亿元人民币(正确答案:B)15、下面哪家企业不提供工业防火墙产品?A威努特B绿盟C天地和兴D华创网安(正确答案:D)16、下面哪家企业提供工业防病毒软件产品?A启明星辰B威努特C网藤科技D安点科技(正确答案:C)17、下面哪家公司不属于终端安全应用白名单技术供应商?A绿盟B威努特C天地和兴D 360企业安全(正确答案:A)18、下面哪家企业提供工业安全审计平台?A威努特B绿盟C海天炜业D力控华康(正确答案:A)19、下面哪家企业被称之为工控信息安全领域的“黄浦军校”?A威努特B匡恩网络科技C 360企业D安点科技(正确答案:B)20、网络关键设备和网络安全专用产品安全认证实验室共有几家?A 3家B 6家C 8家D 10家(正确答案:C)21、作为典型的工控安全事件,乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击,导致大规模停电,请问这一事件发生在哪一年?A 2016年B 2013年C 2010年D 2015年(正确答案:D)22、因为内部员工操作失误导致了美国Hatch核电厂自动停机事件,请问这一事件发生在哪一年?A 2012年B 2018年C 2008年D 2009年(正确答案:C)23、前工程师VitekBoden因不满工作续约被拒而蓄意报复,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,请问这一事件发生在哪一年?A 2000年B 2002年C 2014年D 2016年(正确答案:A)24、以下哪家工控信息安全企业还没有上市?A启明星辰B卫士通C北信源D威努特(正确答案:D)25、根据国际电工委员会制定的工业控制编程语言标准(IEC1131-3),PLC有五种标准编程语言,请问下面哪一种语言不属于此类?A梯形图语言(LD)B指令表语言(IL)C PHP语言D功能模块语言(FBD)(正确答案:C)26、国家信息安全漏洞共享平台是重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
综述1.OSI安全体系结构主要包括哪些内容,及OSI网络层次、安全机制和安全服务之间的逻辑关系。
OSI安全体系结构主要包括网络安全机制和网络安全服务两方面的内容,并给出了OSI网络层次、安全机制和安全服务之间的逻辑关系。
网络安全服务有5项:鉴别服务、访问控制服务、数据完整性服务、数据保密性服务和非否认服务。
网络安全机制有8项:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。
2.列举并解释ISO/OSI中定义的5种标准的安全服务。
(1)鉴别用于鉴别实体的身份和对身份的证实,包括对等实体鉴别和数据原发鉴别两种。
(2)访问控制提供对越权使用资源的防御措施。
(3)数据机密性针对信息泄露而采取的防御措施。
分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。
(4)数据完整性防止非法篡改信息,如修改、复制、插入和删除等。
分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。
(5)抗否认是针对对方否认的防范措施,用来证实发生过的操作。
包括有数据原发证明的抗否认和有交付证明的抗否认两种。
3. 了解ISO/OSI中定义的8种特定的安全机制以及各种安全机制和安全服务的关系。
安全服务可以单个使用,也可以组合起来使用,上述的安全服务可以借助以下的安全机制来实现:(1)加密机制:借助各种加密算法对存储和传输的数据进行加密;(2)数字签名:使用私钥签名,公钥进行证实;(3)访问控制机制:根据访问者的身份和有关信息,决定实体的访问权限;(4)数据完整性机制:判断信息在传输过程中是否被篡改过;(5)鉴别交换机制:用来实现对等实体的鉴别;(6)通信业务填充机制:通过填充冗余的业务流量来防止攻击者对流量进行分析;(7)路由选择控制机制:防止不利的信息通过路由,如使用网络层防火墙;(8)公证机制:由第三方参与数字签名,它基于通信双方对第三方都绝对相信。
4.网络安全攻击可分为哪两种?简述其内容。
被动攻击两种形式是消息内容泄漏和流量分析。
被动攻击非常难被检测,因为他们根本不改变数据。
一般对这种攻击的重点都是防范而不是检测。
可采用加密的方案来实现。
主动攻击包含数据流的改写和错误数据流的添加,它可以分为4类:假冒、重放、改写消息、拒绝服务四种。
假冒:发生在一个实体假冒另一个不同实体的场合。
重放:被动获取数据单元并按照它之前的顺序重新传输,以此来产生一个非授权的效应。
改写消息:是指合法消息的部分被篡改,或者消息被延迟、被重排、从而产生非授权效应。
拒绝服务:可以阴止或禁止对通信设备的正常使用和管理。
另一种形式是使网络瘫换或消息过载从而丧失网络性能TCP/IP1.了解常用的利用网络层和传输层协议漏洞进行攻击的方法,即相应的防范措施。
2. 重放(Replay)攻击在消息没有时间戳的情况下,攻击者利用身份认证机制中的漏洞先把别人有用的消息记录下来,过一段时间后再发送出去。
3. 会话劫持(Session Hijacking)所谓会话劫持,就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是在数据流里注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成交由黑客中转。
这种攻击方式可认为是黑客入侵的第四步工作——真正的攻击中的一种。
防火墙1. 什么是防火墙,为什么需要有防火墙?防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。
换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。
如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机,因此,所有的主机都必须达到一致的高度安全水平,这在实际操作时非常困难。
而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控制,也会使内部网络更加安全。
防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。
它是一种被动的技术,是一种静态安全部件。
2. 防火墙应满足的基本条件是什么?作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。
(2) 只有符合安全策略的数据流才能通过防火墙。
(3) 防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它本身是不可被侵入的。
3.防火墙有哪些局限性?(1) 防火墙对不通过它的连接无能为力,如拨号上网等。
(2) 防火墙不能防范来自内部网络的攻击。
(3) 不能防止传送已感染病毒的软件或文件。
(4) 作为一种被动的防护手段,防火墙不能自动防范因特网上不断出现的新的威胁和攻击。
(5) 当使用端到端的加密时,防火墙的作用会受到很大的限制。
(6) 防火墙对用户不完全透明,可能带来传输延迟、瓶颈以及单点失效等问题。
(7) 防火墙不能防止数据驱动式攻击。
有些表面无害的数据通过电子邮件或其他方式发送到主机上,一旦被执行就形成攻击(附件)。
(8) 为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便。
5. 包过滤防火墙的过滤原理是什么?包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,因为它是工作在网络层。
路由器便是一个网络层防火墙,因为包过滤是路由器的固有属性。
它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。
这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。
包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。
如果没有一条规则能符合,防火墙就会使用默认规则(丢弃该包)。
在制定数据包过滤规则时,一定要注意数据包是双向的。
6.列举出静态包过滤的过滤的几个判断依据。
静态包过滤的判断依据有(只考虑IP包):•数据包协议类型TCP、UDP、ICMP、IGMP 等。
•源/目的IP地址。
•源/目的端口FTP、HTTP、DNS等。
• IP选项:源路由、记录路由等。
• TCP选项SYN、ACK、FIN、RST等。
•其他协议选项ICMP ECHO、ICMP REPLY等。
•数据包流向in或out。
•数据包流经网络接口eth0、ethl。
7.防火墙的结构屏蔽主机体系结构:由包过滤路由器+堡垒主机构成⏹包过滤路由器–配置在内部网和外部网之间–设立过滤规则–保证外部系统对内部网络的操作只能经过堡垒主机▪堡垒主机–配置在内部网络上–运行网关软件–是外部网络主机连接到内部网络主机的桥梁–需要拥有高等级的安全屏蔽子网体系结构:●在内部网络和外部网络之间建立一个被隔离的子网屏蔽子网结构它是在屏蔽主机结构的基础上添加额外的安全层,即通过添加周边网络(即屏蔽子网)更进一步地把内部网络与外部网络隔离开 由两个路由器和一个堡垒主机组成,用两台路由器将这个子网分别与内部网络和外部网络分开内部网络和外部网络均可访问被屏蔽的子网,但禁止它们穿过被屏蔽子网通信对称加密和消息机密性1.什么是对称密码体制?什么是非对称密码体制?什么是分组密码?什么是流密码?1)对称密码体制(Symmetric System, One-key System, Private-key System)加密密钥和解密密钥相同,或者一个密钥可以从另一个导出,能加密就能解密,加密能力和解密能力是结合在一起的,开放性差。
实例:DES。
2)非对称密码体制(Asymmetric System, Two-key System, Public-key System).加密密钥和解密密钥不相同,从一个密钥导出另一个密钥是计算上不可行的,加密能力和解密能力是分开的,开放性好。
实例:RSA。
3)分组密码:是在密钥控制下,一次变换一个明文分组的密码体制。
(1) 要求:分组长度足够大,以防穷举明文空间攻击。
密钥量应足够大,以防穷举密钥空间攻击。
算法足够复杂,攻击者除了用穷举法之外,找不到其他简洁的数学破译方法。
(2) 基本方法:替换substitution―为2k个可能的输入确定一个k位的输出。
变位 transposition-对输入的比特重新排列,得到新的输出。
将两者结合,对每一块分组基于密钥替换一次,再变位一次,构成一轮;重复多次构成循环,这个循环的正向进行或反向进行则构成了加密和解密。
实例:DES4)流密码:是将明文划分成字符(如单个字母),或其编码的基本单元(如0, 1 数字),字符分别与密钥流作用进行加密,解密时以同步产生的同样的密钥流实现。
流密码强度完全依赖于密钥序列的随机性和不可预测性;核心问题是密钥流生成器的设计;保持收发两端密钥流的精确同步是实现可靠解密的关键技术。
2. 对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法3. 什么是加密过程中的雪崩效应?雪崩效应(Avalanche Effect)是指明文或密钥的一比特的变化,引起密文许多比特的改变。
如果变化太小,就可能找到一种方法减小有待搜索的明文和密文空间的大小。
4. DES和AES算法原理。
消息认证和非对称加密1、列举消息认证的三种方法:利用常规加密的消息认证、消息认证码MAC、单向散列函数2、什么是MAC一种认证技术。
利用私钥产出一小块数据,并将其附到消息上。
这种技术称为消息验证码。
3. MD5,SHA-1算法原理。
4、公钥加密系统的基本组成元素是什么?明文,加密算法,公钥和私钥,密文,解密算法5. RSA、DSS算法原理。
6、列举并简要说明公钥加密系统的三种应用:加密/解密,数字签名,密钥交换7.什么是数字签名?有哪些基本的数字签名方法?1)数字签名的简单定义:数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文,作为相应明文的签名,使明文信息的接收者能够验证信息确实来自合法用户,以及确认信息发送者身份。
对数字签名的基本要求:签名接收者能容易地验证签字者对消息所做的数字签名;任何人,包括签名接收者,都不能伪造签名者的签字;发生争议时,可由第三方解决争议。
2)数字签名基本分类:直接数字签名。
直接数字签名仅涉及通信方(信源、信宿),假定信宿知道信源的公开密钥,数字签名通过信源对整个报文用私有密钥加密,或对报文的摘要加密来实现。
弱点在于方案的有效性依赖于信源私有密钥的安全性。
需仲裁的数字签名。
直接数字签名的问题可以通过仲裁解决,签名方的签名报文首先送给仲裁者,仲裁者对报文和签名进行测试以检验出处和内容,然后注上日期和仲裁说明后发给接收方。