網絡安全技術

1. 什麼是訪問控制策略？什麼是強制訪問策略？什麼是自主訪問策略？
   訪問控制策略隸屬於系統級安全策略，它迫使計算機系統和網絡自動的執行授權。
   強制訪問策略由安全域中的權威機構強制實施，任何人都不能迴避。
   自主訪問策略由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體，這種控制方式是自主的。
   
   
   

2. 主動攻擊和被動攻擊有何區別？請舉例說明。
   被動攻擊試圖獲得或利用系統的信息，但不會對系統資源造成破壞，特性是對所傳輸的信息進行竊聽和檢測，如信息泄漏和流量分析。而主動攻擊則不同，他試圖破壞系統的資源，惡意篡改數據流或僞造數據等攻擊，影響系統的正常工作，如拒絕服務攻擊、重放攻擊。
   

3. 在TCP連接建立的三步握手階段，攻擊者爲什麼可以成功實施SYN Flood攻擊？在實際中，如何防範此類攻擊？
   TCP是一個面向連接的協議，即在數據傳輸之前首先要建立連接，然後傳輸數據，當數據傳輸完畢後釋放所建立的連接。攻擊者不斷向服務器的監聽端口發送建立TCP連接的請求SYN數據包，但收到服務器的SYN包後卻不恢復ACK確認信息，每次操作都會是服務器端保留一個半開放的連接，當這些半開放的連接填滿服務器的連接隊列時，服務器便不再接收後續的任何連接請求。
   防範：在服務器前段部署相應的網絡安全設備（如防火牆）對SYN Flood攻擊進行數據包過濾。
   
   

4. 爲什麼路由協議不能抵禦路由欺騙攻擊？如何設置路由抵禦這一攻擊？
   高層的TCP和UDP服務在接收數據報時，通常假設數據報中的源地址是有效的。但事實上，IP層不能保證IP數據報一定是從源地址發送的。任意一臺主機都可以發送具有任意源地址的IP數據報。攻擊者可以僞裝成另一個網絡主機，發送含有僞造源地址的數據包以欺騙接收者。
   通過源地址鑑別機制加以防禦。
   
   

5. 通過DNS劫持會對目標系統產生什麼樣的影響？應該如何避免？
   通過劫持了DNS服務器，通過某些手段取得某域名的解析記錄控制權，進而修改此域名的解析結果，導致對該域名的訪問原IP地址轉入到修改後的指定IP，其結果就是對特定的網址不能訪問或訪問的是假網址。避免DNS劫持:暴露的主機不要採用基於名稱的認證；不要把祕密的信息放在主機名中；進行數字簽名。
   

6. 黑客爲什麼可以成功實施ARP欺騙攻擊？在實際中如何防止ARP欺騙攻擊？
   攻擊者只要能把他的主機成功插入某個網段，這臺主機就能夠接受到所在網段的ARP請求分組，從而獲知該網段上主機IP和MAC地址的對應關係，就可以監測流量、獲取密碼和其他涉密信息。
   防範：在交換機上配置80.21x協議，即基於端口的訪問控制協議，建立靜態ARP表。
   
   

7. 數字證書的典型內容是什麼？
   數字證書的概念:一個用戶的身份與其所持有的公鑰的結合，由一個可信任的權威機構CA來證實用戶的身份，然後由該機構對該用戶身份及對應公鑰相結合的證書進行數字簽名，以證明其證書的有效性。
   主題名、序號、起始日期、終止日期、簽發者名、公鑰。
   
   

8. 簡述交叉證書的作用。
   採用交叉證書，減少了單個CA的服務對象，同時確保CA可獨立運作，同時使不同PKI域的CA和最終用戶可以互動。交叉CA是對等CA簽發，建立的是非層次信任路徑。
   

9. 爲什麼要自簽名證書？
   根CA是驗證鏈的最後一環，根CA自動作爲可信任CA，根CA證書爲自簽證書，即根CA對自己的簽名證書。
   自簽名證書根CA對自己的證書籤名，使其作爲一個可信任有效的CA。
   
   

10. 簡述撤銷證書的原因。
    數字證書持有者報告該證書中指定公鑰對應的私鑰被盜，CA發現簽發數字證書時出錯，證書持有者離職。
    

11. 攻擊者A創建了一個證書，放置一個真實的組織名(假設爲銀行B)及攻擊者自己的公鑰。你在不知道是攻擊者在發送的情形下，得到了該證書，誤認爲該證書來自銀行B。請問如何防止該問題的產生?
    數字簽名
    

12. 網絡加密有哪幾種方式？請比較他們的優缺點。
    答:網絡加密的方式有4種分別是鏈路加密、節點加密、端到端加密、混合加密。
    鏈路加密的優點:
    (1) 加密對用戶是透明的，通過鏈路發送的任何信息在發送前都先被加密。
    (2)每個鏈路只需要一對密鑰。
    (3)提供了信號流安全機制。
    缺點:數據在中間結點以明文形式出現，維護結點安全性的代價較高。
    節點加密的優點:
    (1) 消息的加、解密在安全模塊中進行，這使消息內容不會被泄密
    (2)加密對用戶透明
    缺點:
    (1)某些信息(如報頭和路由信息)必須以明文形式傳輸
    (2)因爲所有節點都必須有密鑰，密鑰分發和管理變的困難
    端到端加密的優點:
    (1)對兩個終端之間的整個通信線路進行加密
    (2)只需要2臺加密機，1臺在發端，1臺在收端
    (3)從發端到收端的傳輸過程中，報文始終以密文存在
    (4)消息報頭(源/目的地址)不能加密，以明文傳送
    (5)比鏈路和節點加密更安全可靠，更容易設計和維護
    缺點:不能防止業務流分析攻擊。
    混合加密的是鏈路和端到端混合加密組成。
    優點:
    從成本、靈活性和安全性來看，一般端到端加密方式較有吸引力。對於某些遠程機構，鏈路加密可能更爲合適。
    缺點：
    信息的安全設計較複雜。
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    

13. 請分析比較硬件加密與軟件加密的優缺點
    硬件加密
    優點：加密速度快、硬件安全性好、硬件易於安裝、
    軟件加密
    優點：任何加密算法都可用軟件實現，靈活、輕便。
    缺點：速度慢、佔用計算和存儲資源，且易被移植
    
    
    
    
    

14. 密鑰有哪些種類？他們各自的用途是什麼？請簡述他們之間的關係。
    基本密鑰：由用戶專用的密鑰。
    會話密鑰：兩個用戶在一次通話或交換數據時所用的密鑰。
    密鑰加密密鑰：用於對傳送的會話或文件密鑰進行加密時採用的密鑰。
    主機主密鑰：對密鑰加密密鑰進行加密的密鑰。
    密鑰的層次：基本密鑰->主機主密鑰->密鑰加密密鑰->會話密鑰
    
    
    
    
    

15. 802.11i採用的TKIP針對WEP做了哪些改進？
    使用消息認證碼以抵禦消息僞造攻擊
    使用擴展的48b初始化向量好IV順序規則抵禦消息重放攻擊
    對各數據包採用不同的密鑰加密以彌補密鑰的脆弱性
    使用密鑰更新體制，提供新鮮的加密和認證密鑰，以預防針對密鑰重用的攻擊。
    
    
    
    

16. 防火牆必須同時兼有路由器的功能嗎？爲什麼？
    防火牆的防火牆技術的功能主要在於及時發現並處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網絡安全當中的各項操作實施記錄與檢測，以確保計算機網絡運行的安全性，不是必須同時兼有路由器的功能。
    

17. 簡述靜態包過濾、動態包過濾防火牆的工作原理與區別。
    靜態包過濾：採用一組過濾規則對每個數據包進行檢查，然後根據檢查結果確定是轉發、拒絕還是丟棄該數據包，其過濾規則基於IP和TCP/UDP頭中的幾個字段。
    動態包過濾：動態包過濾防火牆需要對已建連接和規則表進行動態維護，因此是動態的和有狀態的
    區別：動態包過濾對外出數據包進行身份記錄，便於下次讓具有相同連接的數據包通過，動態包過濾防火牆具有狀態感知能力。
    
    
    

18. 狀態監測防火牆與應用級網關有何不同？簡述狀態檢測防火牆的優缺點。
    狀態監測防火牆
    優點：
    具備動態包過濾防火所有優點，同時具有更高的安全性
    沒有打破客戶/服務器模型
    提供集成的動態包過濾功能
    速度快
    缺點：採用單線程進程對防火牆性能有很大影響
    僅能提供較低水平的安全性
    不能滿足當今網絡對高併發連接數量的要求
    與應用級網關的不同：應用級網關是運行於連接內部網絡與外部網絡的主機（堡壘主機）上的一種應用，是一種比較高級的防火牆技術。現在大多數狀態檢查防火牆只工作在網絡層，且只作爲動態包過濾器對進出網絡的數據進行過濾。
    
    
    
    
    
    
    
    
    
    

19. 防火牆有什麼侷限性？
    僅採用防火牆不能給整個網絡提供全局的安全性，對於防禦內部的攻擊，防火牆顯得無能爲力，同樣對於那些繞過讓防火牆的連接，防火牆毫無用武之地。
    

20. IPsec有哪兩種工作模式？如何通過數據包格式區分這兩種工作模式？
    無論是加密還是認證，IPSec都有兩種工作模式：傳輸模式和隧道模式
    採用傳輸模式時，IPSec只對IP數據包的淨荷進行加密或認證，裝數據包繼續使用原IP頭部，只對部分域進行修改
    採用隧道模式時，IPSec對整個IP數據包進行加密或認證，產生一個新的IP頭，IPSec頭被放在新IP頭和原IP數據包之間，組成一新IP頭
    
    
    

21. 你認爲IPsec VPN能代替SSL VPN嗎？ SSL VPN 能代替IPSec VPN嗎？爲什麼？
    IPSec VPN主要提供LAN-to-LAN的隧道安全連接，在爲企業高級用戶提供遠程訪問及爲企業提供LAN-to-LAN隧道連接方面，IPSec 具有無可比擬的優勢，IPSec VPN廠商開始研究讓 IPSec VPN兼容TLS VPN，以增強可用性。則IPSec VPN的擴展性將大大加強
    SSL VPN最大優點是用戶不需要安裝和配置客戶端軟件，由於SSL協議允許使用數字簽名和證書，所以它可以提供強大的認證功能。
    
    

22. 什麼是一次性口令？實現一次性口令有哪幾種方案？請簡述他們的工作原理。
    一次性口令指只能使用一次的密碼，通過某種運算使每次用戶使用的密碼各不相同。
    方案：
    （1）挑戰響應機制：用戶要求登錄時，服務器產生一個隨機數（挑戰信息）發給用戶，用戶用某種單向函數將這個隨機數進行雜湊後，轉換成一個密碼，併發送給服務器，服務器用同樣的方法進行驗算即可驗證擁擠身份的合法性。
    （2）口令序列機制：
    （3）時間同步機制：當用戶需要身份認證時，令牌會提取當前時間與密鑰一起作爲雜湊算法的輸入得出口令，由於時間在不斷變化，口令也不會重複
    （4）事件同步機制：基於事件同步的令牌將不斷變化的計數器作爲不確定因素，從而產生一次性口令
    
    
    
    
    
    

23. 什麼是異常檢測？基於異常檢測原理的入侵檢測方法有哪些？
    異常檢測技術又稱爲基於行爲的入侵檢測技術，通過總結正常操作應具有的特徵（用戶輪廓）用來識別主機和網絡中的異常行爲。該技術假設攻擊與正常合法的活動有明顯的差異。
    入侵檢測方法：
    統計異常檢測方法
    特徵選擇異常檢測方法
    基於貝葉斯推理異常檢測方法
    基於貝葉斯網絡異常檢測方法
    基於模式預測異常檢測方法
    
    
    
    
    
    
    

24. 什麼是誤用檢測？基於誤用檢測原理的入侵檢測方法有哪些？
    誤用檢測技術又稱爲基於知識的入侵檢測技術。該技術假設所有入侵行爲和手段（及其變形）都能表達爲一種模式或特徵。
    入侵檢測方法：
    基於條件的概率誤用檢測方法
    基於專家系統誤用檢測方法
    基於狀態遷移分析誤用檢測方法
    基於鍵盤監控誤用檢測方法
    基於模型誤用檢測方法
    
    
    
    
    
    
    

25. 簡述NIDS和HIDS的區別
    NIDS：數據來源於網絡上的數據流，能夠截獲網絡中的數據包，提取其特徵並與知識庫中已知的攻擊簽名進行比較，從而達到檢測的目的。優點是偵測速度快、隱蔽性好、不易受到攻擊。
    HIDS：數據來源於主機系統，通常是系統日誌和審計記錄。通過對系統日誌和審計記錄的不斷監控和分析來發現攻擊後的誤操作。優點是針對不同操作系統捕獲應用層入侵，通常被安裝在被保護的主機上。