计算机网络安全教程(第三版)课后简答题答案大全[6-12章]

第 6 章网络后门与网络隐身

第 7 章恶意代码分析与防治

第 8 章操作系统安全基础

第 9 章密码学与信息加密

第 10 章防火墙与入侵检测

第 11 章 IP安全与Web安全

第 12 章网络安全方案设计

链接：计算机网络安全教程(第三版)课后简答题答案大全[1-5章]

第 6 章网络后门与网络隐身

1、留后门的原则是什么？
答：
只要是能不通过正常登录进入系统的途径都称为网络后门，后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，就是让管理员看了感觉不到有任何特别的地方。

2、如何留后门程序？列举三种后门程序，并阐述原理及如何防御
答：
网络攻击经过踩点、扫描、入侵以后，如果攻击成功，一般就可以拿到管理员密码或者得到管理员权限。
第一， Login 后门。在 Unix 里，login 程序通常用来对 telnet 来的用户进行口令验证。入侵者获取 login。c 的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何账号，甚至是root。由于后门口令是在用户真实登录并被日志记录到 utmp 和 wtmp 前产生一个访问的，所以入侵者可以登录获取 shell 却不会暴露该账号。管理员注意到这种后门后，便用“ strings”命令搜索 login 程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使 strings 命令失效。所以更多的管理员是用 MD5 校验和检测这种后门的。
第二，线程插入后门。这种后门在运行时没有进程，所有网络操作均播入到其他应用程序的进程中完成。也就是说，即使受控制端安装的防火墙拥有“应用程序访问权限”的功能，也不能对这样的后门进行有效的警告和拦截，也就使对方的防火墙形同虚设！这种后门本身的功能比较强大，是现在非常主流的一种，对它的查杀比较困难，很让防护的人头疼。
第三，网页后门。网页后门其实就是一段网页代码，主要以 ASP和 PHP 代码为主。由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。防御后门的方法主要有：建立良好的安全习惯，关闭或删除系统中不需要的服务，经常升级安全补丁，设置复杂的密码，迅速隔离受感染的计算机，经常了解一些反病毒资讯，安装专业的防毒软件进行全面监控等。

3、简述终端服务的功能，如何连接到终端服务器上？如何开启对方的终端服务？
答：
终端服务是 Windows 操作系统自带的，可以通过图形界面远程操纵服务器。
可通过以下三种方式连接到终端服务器上：
第一，利用 Windows 2000 自带的终端服务工具 mstsc.exe。该工具中只需设置要连接主机的 IP 地址和连接桌面的分辨率即可。
第二，使用 Windows XP 自带的终端服务连接器 mstsc.exe。它的界面比较简单，只要输入对方主机的 IP 地址就可以了。
第三，使用 Web 方式连接，该工具包含几个文件，需要将这些文件配置到 IIS 的站点中去。
假设对方不仅没有开启终端服务，而且没有安装终端服务所需要的软件，使用工具软件 djxyxs.exe 可以给对方安装并开启该服务。

4、简述木马由来，并简述木马和后门的区别。
答：
“木马”一词来自于“特洛伊木马”，英文名称为 Trojan Horse。传说希腊人围攻特洛伊城，久久不能攻克，后来军师想出了一个特洛伊木马计，让士兵藏在巨大的特洛伊木马中，部队假装撤退而将特洛伊木马丢弃在特洛伊城下，让敌人将其作为战利品拖入城中，到了夜里，特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来，与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似，故而得名。本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登录对方的主机。

5、简述网络代理跳板的功能。
答：
网络代理跳板作用如下：当从本地入侵其他主机时，本地 IP 会暴露给对方。通过将某一台主机设置为代理，通过该主机再入侵其他主机，这样就会留下代理的 IP 地址而有效地保护自己的安全。本地计算机通过两级代理入侵某一台主机，这样在被入侵的主机上，就不会留下自己的信息。可以选择更多的代理级别，但是考虑到网络带宽的问题，一般选择两到三级代理比较合适。

6、系统日志有哪些？如何清楚这些日志？
答：
系统日志包括 IIS 日志，应用程序日志、安全日志和系统日志等。
清除日志最简单的方法是直接到该目录下删除这些文件夹，但是文件全部删除以后，一定会引起管理员的怀疑。一般入侵的过程是短暂的，只会保存到一个 Log 文件，只要在该 Log 文件删除所有自己的记录就可以了。
使用工具软件 CleanIISLog.exe 可以删除 IIS 日志。使用工具软件 clearel.exe可以方便地清除系统日志，首先将该文件上载到对方主机，然后删除这 3 种主机日志。清除命令有 4 种：Clearel System，Clearel Security，Clearel Application 和 Clearel All 。

7、在目标计算机上种植“冰河”程序，并设置“冰河”的服务端口是“8999” , HA
密码是“0987654321”

首先将win32.exe文件在远程计算机上执行后，通过Y_Clinet.exe文件来控制远程服务器。然后在冰河界面处设置端口为8999。选择菜单栏“设置”下的菜单项“配置服务器程序”，将访问口令设置为0987654321.

冰河木马监听服务端：https://blog.csdn.net/weixin_41705627/article/details/106103879

第 7 章恶意代码分析与防治

1、简述研究恶意代码的必要性。
答：
在 Internet 安全事件中，恶意代码造成的经济损失占有最大的比例。如今，恶意代码已成为信息战、网络战的重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。

2、简述恶意代码长期存在的原因。
答：
在信息系统的层次结构中，包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免，直接导致了恶意代码的必然存在。

3、恶意代码是如何定义，可以分成哪几类？
答：
恶意代码的定义随着计算机网络技术的发展逐渐丰富， Grimes 将恶意代码定义为，经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。
它可以分成以下几种类型：计算机病毒 (Computer Virus) 、蠕虫 (Worms)、特洛伊木马 (Trojan Horse)、逻辑炸弹 (Logic Bombs) 、病菌(Bacteria)、用户级 RootKit 、核心级 RootKit 、脚本恶意代码 (Malicious Scripts)和恶意 ActiveX 控件。

4、图示恶意代码攻击机制
答：
恶意代码的整个作用过程分为 6 个部分：
①侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多，如：从互联网下载的程序本身就可能含有恶意代码；接收已经感染恶意代码的电子邮件；从光盘或软盘往系统上安装软件；黑客或者攻击者故意将恶意代码植入系统等。
②维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
③隐蔽策略。为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
④潜伏。恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。
⑤破坏。恶意代码的本质具有破坏性，其目的是造成信息丢失、泄密，破坏系统完整性等。
⑥重复①至⑤对新的目标实施攻击过程。恶意代码的攻击模型如下图所示。

5、简述恶意代码的生存技术是如何实现的。
答：
恶意代码生存技术通过以下 4 个方面实现：反跟踪技术、加密技术、模糊变换技术和自动生产技术。
（1）反跟踪技术。恶意代码采用反跟踪技术可以提高自身的伪装能力和防破译能力，增加检测与清除恶意代码的难度。目前常用的反跟踪技术有两类：反动态跟踪技术和反静态分析技术。
（2）加密技术。加密技术是恶意代码自我保护的一种手段，加密技术和反跟踪技术的配合使用，使得分析者无法正常调试和阅读恶意代码，不知道恶意代码的工作原理，也无法抽取特征串。从加密的内容上划分，加密手段分为信息加密、数据加密和程序代码加密三种。
（3）模糊变换技术。利用模糊变换技术，恶意代码每感染一个客体对象时，潜入宿主程序的代码互不相同。同一种恶意代码具有多个不同样本，几乎没有稳定代码，采用基于特征的检测工具一般不能识别它们。随着这类恶意代码的增多，不但使得病毒检测和防御软件的编写变得更加困难，而且还会增加反病毒软件的误报率。
（4）自动生产技术。恶意代码自动生产技术是针对人工分析技术的。“计算机病毒生成器 ”，使对计算机病毒一无所知的用户，也能组合出算法不同、功能各异的计算机病毒。“ 多态性发生器’可将普通病毒编译成复杂多变的多态性病毒。多态变换弓|擎可以使程序代码本身发生变化，并保持原有功能。

6、简述恶意代码如何实现攻击技术。
答：常见的攻击技术包括：进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。
（1）进程注入技术。当前操作系统中都有系统服务和网络服务，它们都在系统启动时自动加载。进程注入技术就是将这些与服务相关的可执行代码作为载体，恶意代码程序将自身嵌入到这些可执行代码之中，实现自身隐藏和启动的目的。
（2）三线程技术。在Windows操作系统中引入了线程的概念，一个进程可以同时拥有多个并发线程。三线程技术就是指一个恶意代码进程同时开启了三个线程，其中一个为主线程，负责远程控制的工作。另外两个辅助线程是监视线程和守护线程，监视线程负责检查恶意代码程序是否被删除或被停止自启动。
（3）端口利用技术。端口复用技术，系指重复利用系统网络打开的端口(如25、 80、 135和 139等常用端口)传送数据，这样既可以欺骗防火墙，又可以少开新端口。端口复用是在（4）超级管理技术。一些恶意代码还具有攻击反恶意代码软件的能力。为了对抗反恶意代码软件，恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，使反恶意代码软件无法正常运行。
（5）端口反向连接技术。防火墙对于外部网络进入内部网络的数据流有严格的访问控制策略，但对于从内网到外网的数据却疏于防范。端口反向连接技术，系指令恶意代码攻击的服务端(被控制端)主动连接客户端(控制端)
（6）缓冲区溢出攻击技术。缓冲区溢出漏洞攻击占远程网络攻击的80%，这种攻击可以使一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权，代表了一类严重的安全威胁。恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码，攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而获得被攻击主机的控制权。

7、简述恶意代码如何实现隐藏技术。
答：
隐藏通常包括本地隐藏和通信隐藏，其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐藏。
本地隐蔽是指为了防止本地系统管理人员觉察而采取的隐蔽手段。隐蔽手段主要有三类:
（1）一类方法是将恶意代码隐蔽(附着、捆绑或替换)在合法程序中，可以避过简单管理命令的检查;
（2）另一类方法是如果恶意代码能够修改或替换相应的管理命令，也就是把相应管理命令恶意代码化，使相应的输出信息经过处理以后再显示给用户，就可以很容易地达到蒙骗管理人员，隐蔽恶意代码自身的目的;
（3）还有一类方法是分析管理命令的检查执行机制，利用管理命令本身的弱点巧妙地避过管理命令，可以达到既不修改管理命令，又达到隐蔽的目的。从上述隐蔽方法看来，恶意代码植入的位置越靠近操作系统低层越不容易被检测出来，对系统安全构成的威胁也就越大。
使用加密算法对所传输的内容进行加密能够隐蔽通信内容。隐蔽通信内容虽然可以保护通信内容，但无法隐蔽通信状态，因此传输信道的隐蔽也具有重要的意义。对传输信道的隐蔽主要采用隐蔽通道技术。隐蔽通道是允许进程违反系统安全策略传输信息的通道。

8、简述蠕虫的功能结构。
答：网络蠕虫的功能模块可以分为主题功能模块和辅助功能模块。实现了主题功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫则具有更强的生存能力和破坏能力。

9、简述目前恶意代码的防范方法。
答：目前，恶意代码防范方法主要分为两方面：基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。基于主机的恶意代码防范方法主要包括：基于特征的扫描技术、校验和、沙箱技术和安全操作系统对恶意代码的防范，等等；基于网络的恶意代码防范方法包括：恶意代码检测防御和恶意代码预警。其中常见的恶意代码检测防御包括：基于 GrIDS 的恶意代码检测、基于 PLD 硬件的检测防御、基于 HoneyPot 的检测防御和基于 CCDC 的检测防御。

第 8 章操作系统安全基础

1、简述操作系统账号密码的重要性。有几种方法可以保护密码不被破解或者被盗取？
答：
操作系统账号密码的安全是很重要的，在个人计算机上也许不觉得，但如果计算机有很重要的文件，或者一些很有价值的账号密码，一旦被黑客盗取，那么就会造成重要信息的泄露，大则损失是无法计算的。有时还会威胁到国家的安全和利益。一般的黑客攻击都是扫描你的管理员账户的密码是否为空，而我们所做的 XP 等系统默认的管理员账户 administrator 为空，安全方面除了一般必要的不要让别人知道你的密码以外，你可以采用密码策略
（1）让一些不必要或不要让人知道你的密码
（2）使用相对安全的密码，比如数字和字母、符号相结合的，这样不容易破解。
（3）启动管理员密码锁定策略，例如输入错误三次则锁定管理员账户。
（4）给管理员账户变身，也就是说，把管理员账号 administrator改个名字或者禁用管理员密码，新建一个账户加入管理员组

2、简述审核策略、密码策略和账户策略的含义，以及这些策略如何保护操作系统不被入侵。
答：
（1）审核策略，是 windows 中本地安全策略的一部分，它是一个维护系统安全性的工具，允许跟踪用户的活动和 windows 系统的活动。在计算机中设置了审核策略，就可以监控成功或失败的事件。在设置审核事件时， windows 将事件执行的情况纪录到安全日志中，安全日志中的每一个审核条目都包含三个方面的内容：执行动作的用户，事件发生的时间及成功与否。对文件和文件夹访问的审核，首先要求审核的对象必须位于 NTFS 分区之上，其次必须为对象访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。
（2）密码策略，即用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。密码策略也可以在指定的计算机上用 “本地安全策略” 来设定，同时也可在网络中特定的组织单元通过组策略进行设定的。
（3）在 Windows 2000 域中，账户策略是通过域的组策略设置和强制执行的。在其它GPO 中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策略。账户策略中包括密码策略、账户锁定策略和 kerberos策略的安全设置。

3、如何关闭不需要的端口和服务
用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。用记事本打开该文件

设置本机开放的端口和服务，在IP地址设置窗口中单击“高级”按钮，设置IP的高级属性。

在出现的“高级TCP/IP设置”对话框中选择“选项”选项卡，选择“TCP/IP筛选”，单击“属性”按钮，设置TCP/IP筛选。

设置完毕，一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。

4、简述安全操作系统的机制。

安全操作系统的机制主要包括以下几个方面：
选择性访问控制：操作系统应该允许用户通过用户名和密码的组合以及物理限制来控制对计算机的访问。对于目录或文件级别的访问，则可以由用户和组策略来控制。
内存管理与对象重用：系统中的内存管理器必须能够隔离每个不同进程所使用的内存。在进程终止且内存将被重用之前，必须将其中的内容清空。
审计能力：安全系统应该具备审计能力，便于检测其完整性，并可追踪任何可能的安全破坏活动。
加密数据传输：数据传输的加密可以保证在网络传输时捕获的信息不能被未经认证的代理访问，对窃听和篡改具有强大的保护作用。
加密文件系统：对文件系统的加密可以保证文件只能被具有访问权的用户访问。
安全进程间通信机制：进程间通信也是给系统安全带来威胁的关键原因，应对进程间通信机制进行必要的安全检查。
操作系统安全设计：操作系统的安全性贯穿整个操作系统的设计和结构中，因此在设计操作系统时应多方面考虑安全性要求，例如采用最小权限、经济机制、开放式设计和完整性等标准。

第 9 章密码学与信息加密

1、密码学包含哪些概念？有什么功能？
答：
密码学（Cryptology）是研究信息系统安全保密的科学，密码编码学（Cryptography）主要研究对信息进行编码，实现对信息的隐藏。密码分析学（Cryptanalytics）主要研究加密消息的破译或消息的伪造。
密码学主要包含以下几个概念：
1）密码学的目标：保护数据的保密性、完整性和真实性。保密性就是对数据进行加密，使非法用户无法读懂数据信息，而合法用户可以应用密钥读取信息。完整性是对数据完整性的鉴别，以确定数据是否被非法纂改，保证合法用户得到正确、完整的信息。真实性是数据来源的真实性、数据本身真实性的鉴别，可以保证合法用户不被欺骗。
2）消息的加密与解密：消息被称为明文，用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。
3）密码学的功能：提供除机密性外，密码学还提供鉴别、完整性和抗抵赖性等重要功能。这些功能是通过计算机进行社会交流至关重要的需求。
鉴别：消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。
完整性：消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息。
抗抵赖性：发送消息者事后不可能虚假地否认他发送的消息。
4）密码算法和密钥：
密码算法也叫密码函数，是用于加密和解密的数学函数。通常情况下，有两个相关的函数：一个用做加密，另一个用做解密。
密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的数据。基于密钥的算法通常有两类：对称算法和公开密钥算法。
对称密钥加密，又称公钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。
非对称密钥加密，又称私钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。私钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。

2、简述对称加密算法的基本原理。
答：
对称算法有时又称为传统密码算法，加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加解密的密钥是相同的。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。对称算法的加密和解密表示为：
EK（M）=C
DK（C）=M

3、利用对称加密算法对“1234567”进行加密，并进行解密。（上机完成）
答：（略）

4、简述公开密钥算法的基本原理。
答：
公开密钥算法，加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。
公开密钥K1加密表示为：EK1（M）=C。公开密钥和私人密钥是不同的，用相应的私人密钥K2解密可表示为：DK2（C）=M。

5、利用公开密钥算法对“1234567”进行加密，并进行解密。（上机完成）
答：（略）

6、比较对称加密算法和公开密钥算法，分析它们的异同。
答：
通过比较第2、4对称密钥和公开密钥两种算法的基本原理，我们不难看出二者有以下异同点：
1）相同点：二者都采用密钥加密解密。
2）不同点：
对称密钥加密的加密密钥和解密密钥是同一个密钥，收信方想解读密文必须拥有发信方的密钥，密钥是非公开的。对称密钥得法具有算法公开、计算量小、加密速度快、加密效率高等特点，但是对称密钥算法安全性过于依赖密钥，导致密钥管理负担重、成本高，在分布式网络系统中使用较为困难。
公开密钥算法有两个密钥，一个密钥值用来加密消息，另一个密钥值用来解密消息。这两个密钥值在同一个过程中生成，称为密钥对。用来加密消息的密钥称为公钥，用来解密消息的密钥称为私钥。用公钥加密的消息只能用与之对应的私钥来解密，私钥除了持有者外无人知道，而公钥却可通过非安全管道来发送或在目录中发布，这使得公开密钥算法可广泛应用于分布式系统中。非对称加密体系不要求通信双方事先传递密钥或有任何约定就能完成保密通信，并且密钥管理方便，可实现防止假冒和抵赖，因此，更适合网络通信中的保密通信要求。公开密钥算法比对称加密算法慢数千倍，但在保护通信安全方面，公开密钥算法却具有对称密码难以企及的优势。
恺撒密码的加密方法是把a变成D，b变成E，c换成F，依次类推，z换成C。这样明文和密文的字母就建立一一对应的关系。加密原理其实就是：对明文加上了一个偏移值29，即“a”对应的ASCII码位97，“D”对应的ASCII码为68，相减得到29。

7、编写程序1：实现恺撒密码加密单词“julus”。（上机完成）

8、编写程序2：实现解密，将程序1得到的密文进行解密。（上机完成）
答：（略）

9、简述PGP加密技术的应用。
答：
PGP（Pretty Good Privacy）加密技术是一个基于RSA公钥加密体系的邮件加密软件，提出了公共钥匙或不对称文件的加密技术。
PGP加密技术的创始人是美国的Phil Zimmermann。他创造性地把RSA公钥体系和传统加密体系结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计，因此PGP成为目前几乎最流行的公钥加密软件包。
由于RSA算法计算量极大，在速度上不适合加密大量数据，所以PGP实际上用来加密的不是RSA本身，而是采用传统加密算法IDEA，IDEA加解密的速度比RSA快得多。PGP随机生成一个密钥，用IDEA算法对明文加密，然后用RSA算法对密钥加密。收件人同样是用RSA解出随机密钥，再用IEDA解出原文。这样的链式加密既有RSA算法的保密性和认证性（Authentication），又保持了IDEA算法速度快的优势。

第 10 章防火墙与入侵检测

1、什么是防火墙？古时候的防火墙和目前通常说的防火墙有什么联系和区别？
答：
防火墙的本义原指古代人们的房屋之间修建的墙，这道墙可以防止火灾发生时蔓延到别的房屋。现今防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。可见，不管古代和今天的防火墙，在安全意义上都是在防范某种特定的风险。

2、简述防火墙的分类，并说明分组过滤防火墙的基本原理。
答：
常见的防火墙有3种类型：分组过滤防火墙，应用代理防火墙，状态检测防火墙。
分组过滤防火墙基本原理如下：
数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃。
分组过滤防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议（TCP，UDP或ICMP）、TCP、UDP目的端口和ICMP消息类型等。如果包的信息匹配所允许的数据包，那么该数据包便会按照路由表中的信息被转发。如果不匹配规则，用户配置的默认参数会决定是转发还是丢弃数据包。

3、常见防火墙模型有哪些？比较它们的优缺点。
答：
常见防火墙系统一般按照4种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。
（1）筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破，那么内部网络将变得十分危险。该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能。
（2）单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，它实现了网络层安全（包过滤）和应用层安全（代理服务）。单宿主堡垒主机在内部网络和外部网络之间，具有防御进攻的功能，通常充当网关服务。优点是安全性比较高，但是增加了成本开销和降低了系统性能，并且对内部计算机用户也会产生影响。
（3）双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口，但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行使所有去往内部网络的信息必须经过堡垒主机。双宿主堡垒主机是惟一能从外部网上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁，所以一般禁止用户注册到堡垒主机。
（4）屏蔽子网模型用了两个包过滤路由器和一个堡垒主机，它是最安全的防火墙系统之一，因为在定义了“中立区”（Demilitarized Zone，DMZ）网络后，它支持网络层和应用层安全功能。

4、编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台计算机访问某主机（IP为172.18.25.109）的终端服务（TCP端口3389）。
答：
规则集如下：

第1条规则：主机172.18.25.110可以以任何端口访问任何主机172.18.25.109的3389端口，基于TCP协议的数据包都允许通过。第2条规则：任何主机的端口访问主机172.18.25.109的任何端口，基于TCP协议的数据包都禁止通过。

5、使用Winroute实现第4题的规则。（上机完成）
答：（略）

6、简述创建防火墙的基本步骤及每一步的注意点。
答：
成功创建一个防火墙系统一般需要6个步骤：制定安全策略，搭建安全体系结构，制定规则次序，落实规则集，注意更换控制和做好审计工作。
（1）制定安全策略。防火墙和防火墙规则集只是安全策略的技术实现。在建立规则集之前，必须首先理解安全策略。安全策略一般由管理人员制定，实际的安全策略会特别复杂。在实际应用中，需要根据公司的实际情况制定详细的安全策略。
（2）搭建安全体系结构。作为一个安全管理员，需要将安全策略转化为安全体系结构。
（3）制定规则次序。在建立规则集时，需要注意规则的次序，哪条规则放在哪条之前是非常关键的。同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。
（4）落实规则集。选择好素材后就可以建立规则集。一个典型的防火墙的规则集合包括12个方面，在此不详述。
（5）注意更换控制。当规则组织好后，应该写上注释并经常更新，注释可以帮助理解每一条规则做什么。对规则理解得越好，错误配置的可能性就越小。对那些有多重防火墙管理员的大机构来说，建议当规则被修改时，把规则更改者的名字、规则变更的日期和时间、规则变更的原因等信息加入注释中，这可以帮助管理员跟踪谁修改了哪条规则及修改的原因。
（6）建立好规则集后，检测是否可以安全地工作是关键的一步。防火墙实际上是一种隔离内外网的工具。在Internet中，很容易犯一些配置上的错误。通过建立一个可靠的、简单的规则集，可以在防火墙之后创建一个更安全的网络环境。需要注意的是：规则越简单越好。网络的头号敌人是错误配置，尽量保持规则集简洁和简短，因为规则越多，就越可能犯错误，规则越少，理解和维护就越容易。一个好的准则是最好不要超过30条，一旦规则超过50条，就会以失败而告终。

7、什么是入侵检测系统？简述入侵检测系统目前面临的挑战。
答：
入侵检测系统（Intrusion Detection System，IDS）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有：主机与入侵检测系统缺乏共享数据的机制、缺乏集中协调的机制、缺乏揣摩数据在一段时间内变化的能力、缺乏有效的跟踪分析。另外攻击可以来自四方八面，特别是技术高超、由一群人组织策划的攻击。攻击者要花费长时间准备及在全球性发动攻击。时至今日，找出这样复杂的攻击也是一件难事。有着不同种类漏洞的广泛分布异构计算机系统，使入侵检测系统很难对付，尤其是这样的系统有大量未经处理的流动数据，而实体之间又缺乏通信及信任机制。

8、简述入侵检测常用的4种方法。
答：
常用的方法有3种：静态配置分析、异常性检测方法，基于行为的检测方法和文件完整性检查。
（1）静态配置分析。静态配置分析通过检查系统的配置（如系统文件的内容）来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（如系统配置信息）。采用静态分析方法是因为入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。另外，系统在遭受攻击后，入侵者也可能在系统中安装一些安全性后门以便于以后对系统的进一步攻击。对系统的配置信息进行静态分析，可及早发现系统中潜在的安全性问题，并采取相应的措施来补救。但这种方法需要对系统的缺陷尽可能的了解；否则，入侵者只需要简单地利用那些系统安全系统未知的缺陷就可以避开检测系统。
（2）异常性检测方法。异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。基于用户特征轮廓的入侵检测系统模型的基本思想是：通过对系统审计数据的分析建立起系统主体（单个用户、一组用户、主机甚至是系统中的某个关键的程序和文件等）的正常行为特征轮廓，检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。特征轮廓是借助主体登录的时间、登录的位置、CPU的使用时间及文件的存取等属性来描述它的正常行为特征。当主体的行为特征改变时，对应的特征轮廓也相应改变。
（3）基于行为的检测方法。基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。
（4）文件完整性检查。文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

9、编写程序实现每10秒检查一次与端口关联的应用程序。（上机完成）
答：（略）

10、简述入侵检测的步骤及每一步的工作要点。
答：
入侵检测的3个步骤：信息收集、数据分析和响应。
1）信息收集。收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性。
2）数据分析。数据分析是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能的高低。根据数据分析的不同方式可将入侵检测系统分为异常（Anomaly）入侵检测与滥用（Misuse）入侵检测两类。攻击技术是不断发展的，在其攻击模式添加到模式库以前，新类型的攻击就可能会对系统造成很大的危害。所以，入侵检测系统只有同时使用这两种入侵检测技术，才能避免不足。这两种方法通常与人工智能相结合，以使入侵检测系统有自学习的能力。
3）响应。数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应，而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。
（1）将分析结果记录在日志文件中，并产生相应的报告。
（2）触发警报，如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件，等等。
（3）修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接或更改防火墙配置等。

11、对某一台装有入侵检测工具的计算机进行扫描、攻击等实验，查看入侵检测系统的反应，并编写实验报告。（上机完成）
答：（略）

第 11 章 IP安全与Web安全

1、说明IP安全的必要性。
答：
大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX和NETBEUA等），这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构，除了数据链路层外，TCP/IP的所有协议的数据都是以IP数据报的形式传输的，目前占统治地位的是IPv4。IPv4在设计之初没有考虑安全性，IP包本身并不具备任何安全特性，导致在网络上传输的数据很容易受到各式各样的攻击：比如伪造IP包地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容等。因此，通信双方不能保证收到IP数据报的真实性。所以说，IP安全具有很大的必要性。

2、简述IP安全的作用方式。
答：
IPSec是IPv6的一个组成部分，是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。IPSec定义了一种标准的、健壮的以及包容广泛的机制，可用它为IP以及上层协议（比如TCP或者UDP）提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA和AES等确保通信双方的机密性。
IPSec的实现方式有两种：传输模式和隧道模式，都可用于保护通信。

传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。当数据包从传输层传送给网络层时，AH和ESP会进行拦截，在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时，应该先应用ESP，再应用AH。

隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。将整个IP数据包进行封装（称为内部IP头），然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入一个IPSec头。

3、图示验证头AH和封装安全有效载荷ESP的结构。
答：
第一，验证头AH。AH为IP报文提高能够数据完整性校验和身份验证，还具备可选择的重放攻击保护，但不提供数据加密保护。AH不对受保护的IP数据报的任何部分进行加密，除此之外，AH具有ESP的所有其他功能。AH的协议分配数为51，AH和ESP同时保护数据，在顺序上，AH在ESP之后。

第二，封装安全有效载荷ESP。ESP为IP报文提供数据完整性校验、身份验证、数据加密以及重放攻击保护等。除了AH提供的所有服务外，还提供机密性服务。ESP可在传输模式以及隧道模式下使用。ESP头可以位于IP头与上层协议之间，或者用它封装整个IP数据报。ESP协议分配数为50。

4、简述IKE协议的组成以及两个阶段。
答：
整个IKE协议规范主要由3个文档定义：RFC2407、RFC2408和RFC2409。RFC2407定义了因特网IP安全解释域。RFC2408描述了因特网安全关联和密钥管理协议（Internet Security Association and Key Manangement Protocol，KSAKMP）。RFC2409描述了IKE协议如何利用Oakley，SKEME和ISAKMP进行安全关联的协商。
IKE基于两个阶段的ISAKMP来建立安全关联SA，第一阶段建立IKE SA，第二阶段利用IKE SA建立IPSec的SA。对于第一阶段，IKE交换基于两种模式：主模式（Main Mode）和野蛮模式（Aggressive Mode）。主模式是一种身份保护交换，野蛮模式基于ISAKMP的野蛮交换方法。在第二阶段中，IKE提供一种快速交换（Quick Mode），作用是为除IKE之外的协议协商安全服务。

5、说明Web安全性中网络层、传输层和应用层安全性的实现机制。
答：
第一，网络层。网络层上，虽然IP包本身不具备任何安全特性，很容易被修改、伪造、查看和重播，但是IPSec可提供端到端的安全性机制，可在网络层上对数据包进行安全处理。IPSec可以在路由器、防火墙、主机和通信链路上配置，实现端到端的安全、虚拟专用网络和安全隧道技术等。
第二，传输层。在TCP传输层之上实现数据的安全传输是另一种安全解决方案，安全套接层SSL和TLS（Transport Layer Security）通常工作在TCP层之上，可以为更高层协议提供安全服务。
第三，应用层。将安全服务直接嵌入在应用程序中，从而在应用层实现通信安全。如SET（Secure Electronic Transaction，安全电子交易）是一种安全交易协议，S/MIME、PGP是用于安全电子邮件的一种标准。它们都可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务。

6、图示SSL的体系结构。
答：
SSL协议的目标就是在通信双方利用加密的SSL信道建立安全的连接。它不是一个单独的协议，而是两层协议

SSL记录协议（Record Protocol）为各种高层协议提供了基本的安全服务。通常超文本传输协议可以在SSL的上层实现。有3个高层协议分别作为SSL的一部分：握手协议（Hankshake Protocol）、更改密码规则协议（Change Cipher Spec Protocol）和警告协议（Alert Protocol）。这些SSL特定的协议可以管理SSL的交换。
记录协议和握手协议是SSL协议体系中两个主要的协议。记录协议确定数据安全传输的模式，握手协议用于客户机和服务器建立起安全连接之前交换一系列信息的安全信道，这些安全信息主要包括：（1）客户机确定服务器的身份；（2）允许客户机和服务器选择双方共同支持的一系列加密算法；（3）服务器确定客户机的身份（可选）；（4）通过非对称密码技术产生双方共同的密钥；（5）建立SSL的加密安全通道。

6、从OpenSSL网站下载最新的软件包，配置并实现SSL功能。
答：（略）

第 12 章网络安全方案设计

1、设计网络安全方案需要注意哪些地方？
答：
设计网络安全方案需要注意以下几个方面。
（1）对于一名从事网络安全的人来说，网络必须有一个整体、动态的安全概念。设计人员只有对安全技术了解得很深，对产品、对用户所在领域了解得很深，写出来的方案才能接近用户的要求。
（2）一份好的网络安全解决方案，不仅仅要考虑到技术，还要考虑到策略和管理。技术是关键，策略是核心，管理是保证。在方案中，始终要体现出这三方面的关系。
（3）在设计网络安全方案时，一定要了解用户实际网络系统环境，对当前可能遇到的安全风险和威胁做一个量化和评估，这样才能写出一份客观的解决方案。
（4）在设计方案时，动态安全是一个很重要的概念，在设计方案时，不仅要考虑到现在的情况，也要考虑到将来的情况，用一种动态的方式来考虑，做到项目的实施既能考虑到现在的情况，也能很好地适应以后网络系统的升级，留一个比较好的升级接口。
（5）网络没有绝对的安全，只有相对的安全。在设计网络安全方案时，必须清楚这一点，以一种客观的态度来写，不夸大也不缩小，写得实实在在，让人信服接受。
（6）在网络安全中，动态性和相对性非常重要，可以从系统、人和管理三个方面来理解。系统是基础、人是核心，管理是保证。从项目实施上来讲，这三个方面是项目质量的保证。

2、如何评价一份网络安全的质量？
答：
一份网络安全方案需要从以下8个方面来把握。
（1）体现惟一性，由于安全的复杂性和特殊性，惟一性是评估安全方案最重要的一个标准。实际中，每一个特定网络都是惟一的，需要根据实际情况来处理。
（2）对安全技术和安全风险有一个综合把握和理解，包括现在和将来可能出现的所有情况。
（3）对用户的网络系统可能遇到的安全风险和安全威胁，结合现有的安全技术和安全风险，要有一个合适、中肯的评估，不能夸大，也不能缩小。
（4）对症下药，用相应的安全产品、安全技术和管理手段，降低用户的网络系统当前可能遇到的风险和威胁，消除风险和威胁的根源，增强整个网络系统抵抗风险和威胁的能力，增强系统本身的免疫力。
（5）方案中要体现出对用户的服务支持，这是很重要的一部分。因为产品和技术，都将会体现在服务中，服务用来保证质量、提高质量。
（6）在设计方案时，要明白网络系统安全是一个动态的、整体的、专业的工程，不能一步到位解决用户所有的问题。
（7）方案出来后，要不断与用户进行沟通，能够及时得到他们对网络系统在安全方面的要求、期望和所遇到的问题。
（8）方案中所涉及的产品和技术，都要经得起验证、推敲和实施，要有理论根据，也要有实际基础。
将上面的8点融会贯通，经过不断地学习和经验积累，一定能写出一份很实用、很中肯的安全项目方案。一份很好的解决方案要求的是技术面要广要综合，不仅是技术好。

3、网络安全方案框架包含哪些内容？编写时需要注意什么？
答：
总体上说，一份安全解决方案的框架涉及6大方面，可以根据用户的实际需求进行取舍。
（1）概要安全风险分析。对当前的安全风险和安全威胁作一个概括和分析，最好能够突出用户所在的行业，并结合其业务的特点、网络环境和应用系统等。同时，要有针对性，如政府行业、电力行业、金融行业等，要体现很强的行业特点，使人信服和接受。
（2）实际安全风险分析。实际安全风险分析一般从4个方面进行分析：网络的风险和威胁分析，系统的风险和威胁分析，应用的分析和威胁分析，对网络、系统和应用的风险及威胁的具体实际的详细分析。
（3）网络系统的安全原则。安全原则体现在5个方面：动态性、惟一性、整体性、专业性和严密性。
（4）安全产品。常用的安全产品有5种：防火墙、防病毒、身份认证、传输加密和入侵检测。结合用户的网络、系统和应用的实际情况，对安全产品和安全技术作比较和分析，分析要客观、结果要中肯，帮助用户选择最能解决他们所遇到问题的产品，不要求新、求好和求大。
（5）风险评估。风险评估是工具和技术的结合，通过这两个方面的结合，给用户一种很实际的感觉，使用户感到这样做过以后，会对他们的网络产生一个很大的影响。
（6）安全服务。安全服务不是产品化的东西，而是通过技术向用户提供的持久支持。对于不断更新的安全技术、安全风险和安全威胁，安全服务的作用变得越来越重要。

4、进行社会调查，结合实际编写一份完整的网络安全解决方案。（课程设计）
略