当前位置：首页 > article >正文

网络安全期末复习

article 2024/11/27 19:51:09

第1章网络安全概括

（1）用户模式切换到系统配置模式（enable）。

（2）显示当前位置的设置信息，很方便了解系统设置（show running-config）。

（3）显示端口的相关信息（show interfaces）。

（4）当进入了一个端口后，使用shutdown可以关闭该端口

（interface [interface-name] + shutdown）。

（5）执行与命令相反的操作，如undo shutdown是开启该端（no shutdown）。

（6）退出当前状态（exit）。

（7）更改设备的名称（hostname [new-name]）。

（8）创建汇聚端口1（若已创建则是进入）（interface port-channel 1）。

（9）(进入千兆以太网)端口1的设置状态（configure terminal）。

（10）允许发送bpdu信息（spanning-tree bpdufilter enable）。

（11）设置ip地址，24代表24位网络号（ip address [ip-address] 24）。

（12）进入vlan 10的配置状态（vlan 10 + configure terminal）。

第2章网络攻击与防范

（1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（ C ）。

A．机密性 B．完整性 C．可用性 D．可控性

（2）有意避开系统访问控制机制，对网络设备及资源进行非正常使用属于（ B ）。

A．破环数据完整性 B．非授权访问 C．信息泄漏 D．拒绝服务攻击

（3）( A )利用以太网的特点，将设备网卡设置为“混杂模式”，从而能够接受到整个以太网内的网络数据信息。

A．嗅探程序 B．木马程序 C．拒绝服务攻击 D．缓冲区溢出攻击

（4）字典攻击被用于( B )。

A．用户欺骗 B．远程登录 C．网络嗅探 D．破解密码

（5）ARP属于( A )协议。

A．网络层 B．数据链路层 C．传输层 D．以上都不是

（6）使用FTP协议进行文件下载时（ A ）。

A．包括用户名和口令在内，所有传输的数据都不会被自动加密

B．包括用户名和口令在内，所有传输的数据都会被自动加密

C．用户名和口令是加密传输的，而其它数据则以文明方式传输

D．用户名和口令是不加密传输的，其它数据则以加密传输的

（7）在下面4种病毒中，( C )可以远程控制网络中的计算机。

A．worm.Sasser.f B．Win32.CIH

C．Trojan.qq3344 D．Macro.Melissa

（1）在以太网中，所有的通信都是(广播)的。

（2）网卡一般有4种接收模式：广播模式、(组播模式)、(直接模式)、(混杂模式)。

（3）Sniffer的中文意思是(嗅探器)。

（4）(DOS)攻击是指故意攻击网络协议实现的缺陷，或直接通过野蛮手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃。

（5）完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。中了木马就是指安装了木马的(客户端)程序。

综合应用题

木马发作时，计算机网络连接正常却无法打开网页。由于ARP木马发出大量欺骗数据包，导致网络用户上网不稳定，甚至网络短时瘫痪。根据要求，回答问题1至问题4，并把答案填入下表对应的位置。

【问题1】

ARP木马利用（ C 1 ）协议设计之初没有任何验证功能这一漏洞而实施破坏。

（1）A．ICMP B．RARP C．ARP D．以上都是

【问题2】

在以太网中，源主机以（ C 2 ）方式向网络发送含有目的主机IP地址的ARP请求包；目的主机或另一个代表该主机的系统，以（ A 3 ）方式返回一个含有目的主机IP地址及其MAC地址对的应答包。源主机将这个地址对缓存起来，以节约不必要的ARP通信开销。ARP协议（ B 4 ）必须在接收到ARP请求后才可以发送应答包。

备选答案：

（2）A．单播 B．多播 C．广播 D．任意播

（3）A．单播 B．多播 C．广播 D．任意播

（4）A．规定 B．没有规定

【问题3】

ARP木马利用感染主机向网络发送大量虚假ARP报文，主机（ B 5）导致网络访问不稳定。例如：向被攻击主机发送的虚假ARP报文中，目的IP地址为（ A 6）。目的MAC地址为（ D 7）。这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器，并抓包截取用户口令信息。

备选答案：

（5）A．只有感染ARP木马时才会 B．没有感染ARP木马时也有可能

C．感染ARP木马时一定会 D．感染ARP木马时一定不会

（6）A．网关IP地址 B．感染木马的主机IP地址

C．网络广播IP地址 D．被攻击主机IP地址

（7）A．网关MAC地址 B．被攻击主机MAC地址

　　C．网络广播MAC地址 D．感染木马的主机MAC地址

【问题4】

网络正常时，运行如下命令，可以查看主机ARP缓存中的IP地址及其对应的MAC地址。

C:\> ARP（ D 8 ）

备选答案：

（8）A．-s B．-d C．-all D．-a

假设在某主机运行上述命令后，显示如下图中所示信息：

图2.54 查看主机ARP缓存

00-10-db-92-aa-30是正确的MAC地址，在网络感染ARP木马时，运行上述命令可能显示如下图中所示信息：

　　　　　　　　　　　　　　　　　　图2.55 查看感染木马后的主机ARP缓存

【问题4】

当发现主机ARP缓存中的MAC地址不正确时，可以执行如下命令清除ARP缓存：

C:\> ARP（ B 9 ）

备选答案：

（9）A．-s B．-d C．-all D．-a

之后，重新绑定MAC地址，命令如下：

C:\> ARP -s（ A 10 ）（ C 11 ）

（10）A．172.30.0.1 B．172.30.1.13

C．00-10-db-92-aa-30 D．00-10-db-92-00-31

（11）A．172.30.0.1 B．172.30.1.13

C．00-10-db-92-aa-30 D．00-10-db-92-00-31

第3章加密技术

1. 选择题

（1）就目前计算机设备的计算能力而言，数据加密标准DES不能抵抗对密钥的穷举搜索攻击，其原因是（ B ）

A．DES算法是公开的　　B．DES的密钥较短

C．DES除了其中S盒是非线性变换外，其余变换均为线性变换 D．DES算法简单

（2）数字签名可以做到（ C ）。

A．防止窃听　　B．防止接收方的抵赖和发送方伪造

C．防止发送方的抵赖和接收方伪造 D．防止窃听者攻击

（3）下列关于PGP(Pretty Good Privacy)的说法中不正确的是（ c ）。

A．PGP可用于电子邮件，也可以用于文件存储

B．PGP可选用MD5和SHA两种Hash算法

C．PGP采用了ZIP数据压缩算法

D．PGP不可使用IDEA加密算法

（4）为了保障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法（ ① C ），所以特别适合对大量的数据进行加密。DES实际的密钥长度是（ ② A ）位。

① A．比非对称密码算法更安全 B．比非对称密码算法密钥长度更长

C．比非对称密码算法效率更高 D．还能同时用于身份认证

② A．56 B．64 C．128 D．256

（5）使用TELNET协议进行远程管理时，（ A ）。

A．包括用户名和口令在内，所有传输的数据都不会被自动加密

B．包括用户名和口令在内，所有传输的数据都会被自动加密

C．用户名和口令是加密传输的，而其它数据则以文明方式传输

D．用户名和口令是不加密传输的，其它数据则以加密传输的

（6）以下不属于对称密码算法的是( D )。

A．IDEA 　　 B．RC 　 C．DES 　　　 D．RSA

（7）以下算法中属于非对称算法的是（ B ）。

A．Hash算法 B．RSA算法 C．IDEA D．三重DES

（8）以下不属于公钥管理的方法有（ D ）。

A．公开发布 B．公用目录表 C．公钥管理机构 D．数据加密

（9）以下不属于非对称密码算法特点的是（ C ）。

A．计算量大 B．处理速度慢 C．使用两个密码 D．适合加密长数据

（10）假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于（ A ）。

A. 对称加密技术 B. 分组密码技术

C.公钥加密技术 D.单向散列函数密码技术

（11）DES属于（ A ）。

A. 对称密码体制 B.凯撒密码体制 C.非对称密码体制 D.公钥密码体制

（12）第一个实用的、迄今为止应用最广的公钥密码体制是(A )。

A.RSA B.Elgamal C.ECC D.NTRU

2. 填空题

（1）（哈希函数）的重要性在于赋予给消息M唯一的“指纹”，其主要作用于验证消息M的完整性。

（2）非对称加密算法有两把密钥，一把称为私钥、另一把称为（公钥）。

（3）IDEA是目前公开的最好和最安全的分组密码算法之一，它采用（128）位密钥对数据进行加密。

（4）RSA算法的安全是基于（大素数）分解的难度。

（5）（隔离）技术是指一种将内部网络与外部网络隔离的技术，以防止外部用户对内部用户进行攻击。

（6）MD5把可变长度的消息哈希成（128）位固定长度的值。

（7）DES算法加密过程中输入的明文长度是（64）位，整个加密过程需经过（16）轮的子变换。

（8）在密码学中通常将源消息称为（明文）,将加密后的消息称为（密文）。这个变换处理过程称为（加密）过程，它的逆过程称为（解密）过程。

3. 简答题

（1）对称加密算法与非对称加密算法有哪些优缺点？

对称加密算法的优点是加密解密速度快，适用于大量数据加密；缺点是密钥传输不安全，需要提前共享密钥。非对称加密算法的优点是密钥不需要共享，安全性高；缺点是加密解密速度慢，不适合大量数据加密。

（2）如何验证数据完整性？

数据完整性可以通过散列函数实现验证。发送方使用散列函数对数据进行计算，生成一个摘要值，并将此值一起发送给接收方。接收方再次对数据进行计算，比对计算出的摘要值与发送方发来的是否相同，以此验证数据是否完整。

（3）散列算法有何特点？

散列算法的特点是对相同的输入产生固定长度的输出，且不同的输入产生不同的输出。散列算法具有抗碰撞（collision resistance）和不可逆（one-way）等特性，广泛应用于数字签名、消息认证码等领域。

（4）简要说明DES加密算法的关键步骤？

DES加密算法的关键步骤包括：初始置换（IP置换）、16个轮函数（包括Feistel函数、S盒替代、P盒置换等操作）、末置换（FP置换）。其中，轮函数是DES算法的核心部分，它使用了密钥的不同子集进行加密操作。

（5）什么情况下需要数字签名？简述数字签名的算法？

数字签名通常用于保证消息的真实性、完整性和不可否认性。常用的数字签名算法包括RSA、DSA等。数字签名的基本流程包括：发送方使用哈希函数计算消息的摘要，再使用私钥加密该摘要生成数字签名；接收方使用相同的哈希函数计算消息的摘要，并使用发送方公钥解密数字签名得到另一个摘要值，两者比对以验证消息的真实性和完整性。

（6）什么是身份认证？用哪些方法可以实现？

身份认证是确认用户身份的过程，可以通过密码、生物特征、智能卡、数字证书等多种方式实现。其中，密码和生物特征属于单因素认证，数字证书则为双因素认证，智能卡则可实现多因素认证。

（7）RSA算法的基本原理和主要步骤是什么？

RSA算法的基本原理是基于大数分解难题（即将一个大的合数分解成质数的乘积），其主要步骤包括：

（1）密钥生成——选择两个大质数p和q，计算n=pq和φ(n)=(p-1)(q-1)，选取一个与φ(n)互质的整数e作为公钥，计算d=e^-1 mod φ(n)作为私钥。

（2）加密——将明文m使用公钥进行加密，得到密文c=cipher^e mod n。

（3）解密——将密文c使用私钥进行解密，得到明文m=c^d mod n。

综合应用题

（1）WYL公司的业务员甲与客户乙通过Internet交换商业电子邮件。为保障邮件内容的安全，采用安全电子邮件技术对邮件内容进行加密和数字签名。安全电子邮件技术的实现原理如图3.31所示。根据要求，回答问题1至问题4，并把答案填入下表对应的位置。

（1）	（2）	（3）	（4）	（5）	（6）	（7）	（8）	（9）	（10）
C	B	F	E	B	E	A	B	C	D

图3.31 安全电子邮件技术的实现原理

【问题1】

给图3.31中（1）～（4）处选择合适的答案。（1）～（4）的备选答案如下：

　　A．DES算法　 B．MD5算法　 C．会话密钥　 D．数字证书　

　　E．甲的共钥　 F．甲的私钥　 G．乙的共钥　 H．乙的私钥　

【问题2】

以下关于报文摘要的说法中正确的有（5）、（6）。（5）和（6）的备选答案如下：

　　A．不同的邮件很可能生成相同的摘要

　　B．由邮件计算出其摘要的时间非常短

　　C．由邮件计算出其摘要的时间非常长

　　D．摘要的长度比输入邮件的长度长

　　E．不同输入邮件计算出的摘要长度相同

　　F．仅根据摘要很容易还原出原邮件

【问题3】

甲使用Outlook Express撰写发送给乙的邮件，他应该使用（7）的数字证书来添加数字签名，而使用（8）的数字证书来对邮件加密。（7）和（8）的备选答案如下：

　　A．甲　 B．乙　

　　C．第三方　 D．CA认证中心　

【问题4】

乙收到了地址为甲的含数字签名的邮件，他可以通过验证数字签名来确认的信息有（9）、（10）。（9）和（10）的备选答案如下：

　　A．邮件在传送过程中是否加密 B．邮件中是否含病毒

　　C．邮件是否被篡改 D．邮件的发送者是否是甲

（2）凯撒密码明文字母表：ABCDEFGHIJKLMNOPQRSTUVWXYZ。请问它的密文密码表是什么？

凯撒密码是一种简单的替换密码，其密文密码表可以通过将明文字母表进行偏移得到。具体而言，将明文字母表中的每个字母按照顺序向右移动固定的位数（偏移量），就可以得到相应的密文密码表。例如，如果偏移量为3，则明文字母表ABCDEFGHIJKLMNOPQRSTUVWXYZ对应的密文密码表为DEFGHIJKLMNOPQRSTUVWXYZABC。

（3）利用列置换密码算法，密钥用对换表示为o=(245)，加密xiandaimimaxue，请写出解密过程。

　　把明文xiandaimimaxue按照5个字符一组进行排列，得到如下矩阵：

　　x i a n d

　　a i m a x

　　u e

　　然后，按照密钥规则对每一列进行置换操作，即把第2、4、5列分别替换成原来的第4、1、2列。得到密文如下：

　　d i x n a

　　m i a a i

　　e u

　　接下来，根据密钥规则进行列逆置换操作，即把密文中的第4、1、2列再次分别替换成原来的第2、4、5列。得到还原后的明文如下：

　　x i a n d

　　a i m a x

　　u e

　　因此，通过利用列置换密码算法和密钥"o=(245)"，可以对明文xiandaimimaxue进行加密和解密操作，得到密文dixnaaimaiue和原始明文xiandaimimaxue。

第4章防火墙技术

1. 单项选择题

（1）一般而言，Internet防火墙建立在一个网络的( A )。

　　A．内部网络与外部网络的交叉点

　　B．每个子网的内部

　　C．部分内部网络与外部网络的结合合

　　D．内部子网之间传送信息的中枢

（2）下面关于防火墙的说法中，正确的是( C )。

　　A．防火墙可以解决来自内部网络的攻击

　　B．防火墙可以防止受病毒感染的文件的传输

　　C．防火墙会削弱计算机网络系统的性能

　　D．防火墙可以防止错误配置引起的安全威胁

（3）包过滤防火墙工作在( C )。

　　A．物理层 B．数据链路层

　　C．网络层 D．会话层

（4）关于防火墙和IDS，下列哪个说法是正确的？( C )

　　A. 防火墙属于旁路设备，用于进行细粒度的检测

　　B. IDS属于直路设备，无法做深度检测

　　C. 防火墙无法检测内部人员的恶意操作或误操作

　　D. IDS不能与防火墙进行联动

（5）WYL公司申请到5个IP地址，要使公司的20台主机都能联到Internet上，他需要使用阴防火墙的哪个功能( B )。

　　A．假冒IP地址的侦测 B．网络地址转换技术

　　C．内容检查技术 D．基于地址的身份认证

（6）网络攻击主要分为单包攻击和流量型攻击两大类，单包攻击包括扫描窥探攻击、畸形报文攻击和特殊报文攻击。（）

　　A. 对 B. 错

（7）关于防火墙的描述不正确的是（ D ）。

　　A．防火墙不能防止内部攻击。

　　B．如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。

　　C．防火墙是IDS的有利补充。

　　D．防火墙既可以防止外部用户攻击，也可以防止内部用户攻击。

（8）包过滤是有选择地址让数包在内部与外部主机之间进行交换，根据安全规则有选择的路由某些数据包。下面不有进行包过滤的设备是( C )。

　　A．路由器　B．一台独立的主机

　　C．二层交换机 D．网桥

（9）包过滤是有选择地让数据包在内部与外部主机之间进行交换，根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备是（ D ）。

　　A．路由器　 B．主机

　　C．三层交换机 D．网桥

（10）默认情况下，防火墙有4个安全区域，且不能修改安全级别（）

　　A．正确 B. 错误

2. 简答题

（1）防火墙的两条默认准则是什么？

　　答：一切未被允许的就是禁止的；一切未被禁止的就是允许的。

（2）防火墙技术可以分为哪些基本类型？各有何优缺点？

　　答：包过滤防火墙、代理防火墙、状态检测防火墙。

　　　　包过滤的优缺点：

　　　　优点：一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。

　　　　缺点：不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。

　　　　代理防火墙的优缺点：

　　　　优点：采用代理机制工作，内外部通信需要经过代理服务器审核，可以实现更高级的数据检测过程。

　　　　缺点：①处理速度比较慢，能够处理的并发数比较少；②升级困难

　　　　状态检测防火墙的优缺点：

　　　　优点：①安全性好；②性能高效；③扩展性好；④配置方便，应用范围广。

　　　　缺点：①回程数据包可以直接放行，不需要设定额外的规则；② 流量只检测第一个报文，后续的报文命中会话直接转发，后续包处理速度快。

（3）防火墙产品的主要功能是什么？

　　答：①网络安全的屏障，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

　　　　②强化网络安全策略；通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。

　　　　③监控审计。

　　　　④防止内部信息的泄露；通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

　　　　⑤日志记录与事件通知。

（4）简述一下在一台初始化配置的防火墙上配置安全策略的步骤？

　　答：①将管理员PC网口与设备的管理口（MEth 0/0/0或GigabitEthernet 0/0/0）通过网线直连或者通过二层交换机相连。

　　　　②将管理员PC的IP地址设置为192.168.0.2～192.168.0.254范围内的IP地址。

　　　　③在管理员PC的浏览器中输入地址：https://192.168.0.1:8443。输入地址登录后，浏览器会给出证书不安全的告警提示，选择继续浏览。

　　　　④如果是首次登录设备，弹出创建管理员帐号界面。输入用户名、密码、确认密码，然后单击“创建”。

　　　　⑤帐号创建成功，在弹出的提示框中单击“确定”。

　　　　⑥进入登录界面，输入已经创建的用户名、密码登录设备，单击“登录”。

　　　　⑦新帐号首次登录，系统弹出修改初始化密码界面。输入当前密码、新密码、确认密码，单击“确定”。

　　　　⑧重新进入登录界面，输入帐号和新密码，单击“登录”。

第5章计算机病毒及其防治

1. 单项选择题

（1）计算机病毒是（ D ）。

　　A．编制有错误的计算机程序

　　B．设计不完善的计算机程序

　　C．已被破坏的计算机程序

　　D．以危害系统为目的的特殊的计算机程序

（2）以下关于计算机病毒的特征说法正确的是（ C ）。

　　A．计算机病毒只具有破坏性，没有其他特征

　　B．计算机病毒具有破坏性，不具有传染性

　　C．破坏性和传染性是计算机病毒的两大主要特征

　　D．计算机病毒只具有传染性，不具有破坏性

（3）计算机病毒是一段可运行的程序，它一般（ A ）保存在磁盘中。

　　A．作为一个文件

　　B．作为一段数据

　　C．不作为单独文件

　　D．作为一段资料

（4）下列措施中，（ C ）不是减少病毒的传染和造成的损失的好办法。

　　A．重要的文件要及时、定期备份，使备份能反映出系统的最新状态

　　B．外来的文件要经过病毒检测才能使用，不要使用盗版软件

　　C．不与外界进行任何交流，所有软件都自行开发

　　D．定期用抗病毒软件对系统进行查毒、杀毒

（5）下列关于计算机病毒的说法中，正确的有：计算机病毒（ D ）。

　　A．是磁盘发霉后产生的一种会破坏计算机的微生物

　　B．是患有传染病的操作者传染给计算机，影响计算机正常运行

　　C．有故障的计算机自己产生的、可以影响计算机正常运行的程序

　　D．人为制造出来的、干扰计算机正常工作的程序

（6）计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。此特征为计算机病毒的( B )。

　　A．潜伏性　　　 B．传染性　　　

　　C．欺骗性　　　 D．持久性

（7）计算机病毒的主要危害有（ B ）。

　　A．损坏计算机的外观 B．干扰计算机的正常运行

　　C．影响操作者的健康 D．使计算机腐烂

2. 填空题

（1）Office中的Word、Excel、PowerPoint、Viso等很容易感染（宏）病毒。

（2）（计算机病毒）是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

（3）冲击波和震荡波都是属于（蠕虫）病毒。

第6章 Windows2012操作系统安全

1. 单项选择题

（1）下列哪个不属于NTFS权限（ C ）

　　A.创建 B.读取

　　C.修改 D.写入

（2）通过使用（ A ）可以更改显示器的属性。

　　A.控制面板　B.MMC

　　C.事件查看器 D.计算机管理

（3）在Windows中用户来组织和操作文件及目录的工具是（ A ）

　　A.资源管理器 B.开始菜单

　　C.应用程序 D.控制面板

2. 填空题

（1）Windows Server 2012中用户类型分为两种，一种是内置的账户，另一种是管理员自己创建的（本地用户）。

（2）Windows Server 2012中内置的账户有Guest与（Administrator）。

（3）（超级管理员）账户就是名称与默认管理员账户名称（Administrator）类似或完全相同，而权限却极低的用户账户。

（4）共享权限是基于（文件夹）的，也就是说你只能够在文件夹上设置共享权限，不可能在文件上设置共享权限；NTFS权限是基于（NTFS分区）的，你既可以在文件夹上设置也可以在文件上设置。

（5）默认共享包含所有分区，这是非常危险的。取消默认共享一般是通过（ DOS窗口）工具对其修改。

（6）帐户策略包括两方面设置，密码策略和（账户策略）策略。

（7）Windows的（防火墙）能够严格控制外部进入服务器和从服务器流出的网络流量。

3. 简答题

（1）简要说明系统管理员应该从哪些方面加强Windows Server 2012的用户安全。

　　答：①通过SCW配置安全策略；②数据存取权限的控制；③基于账户、端口、服务等限制。

（2）简要说明共享权限与NTFS权限区别。

　　答：①共享权限是基于文件夹的,也就是说你只能够在文件夹上设置共享权限,不可能在文件上设置共享权限;NTFS权限是基于文件的,你既可以在文件夹上设置也可以在文件上设置.

　　　　②共享权限只有当用户通过网络访问共享文件夹时才起作用,如果用户是本地登录计算机则共享权限不起作用;NTFS权限无论用户是通过网络还是本地登录使用文件都会起作用,只不过当用户通过网络访问文　　件时它会与共享权限联合起作用,规则是取最严格的权限设置. 比如：共享权限为只读，NTFS权限是写入，那么最终权限是完全拒绝。这是因为这两个权限的组合权限是两个权限的交集。

　　　　③共享权限与文件操作系统无关,只要设置共享就能够应用共享权限;NTFS权限必须是NTFS文件系统,否则不起作用。

（3）简要说明EFS的加密文件系统的过程。

　　答：在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (File Encryption Key，文件加密钥匙)，然后利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。

（4）如何使用防火墙做到只允许外面的用户访问服务器的Web服务？

　　答：创建一个外部网络来允许外部客户使用ISA防火墙的Web代理服务。虽然默认的外部网络不能启用Web代理服务，但是你可以自行创建一个外部网络，在网络的地址范围中包含ISA防火墙的外部IP地址和需要访问ISA防火墙的Web代理服务的外部客户的IP地址，然后创建允许需要访问代理的外部客户访问的访问规则。只是这样必须要求ISA防火墙的外部网络适配器上配置了默认网关（外部网络适配器是默认网络出口）。

（5）可以从哪些方面使用本地组策略增强系统安全性。

　　答：使用高级功能防火墙；配置本地组策略增强系统安全性；在网络上加固系统安全。

第7章 Linux 操作系统安全

1. 单项选择题

（1）SSL指的是（ B ）。

　　A．加密认证协议 B．安全套接层协议

　　C．授权认证协议 D．安全通道协议

（2）以下不属于GPG加密算法特点的是( B )。

　　A．计算量大　 B．处理速度慢

　　C．使用两个密码 D．适合加密长数据

（3）GPG可以实现数字签名，以下关于数字签名说法正确的是（ D ）。

　　A．数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息

　　B．数字签名能够解决数据的加密传输，即安全传输问题

　　C．数字签名一般采用对称加密机制

　　D．数字签名能够解决篡改、伪造等安全性问题

（4）CA指的是（ A ）。

　　A．证书授权 B．加密认证

　　C．虚拟专用网 D．安全套接层

（5） HTTPS 是一种安全的 HTTP 协议，它使用（① B ）来保证信息安全，使用（ ② A ）来发送和接收报文。

（ ① ）

　　A．IPSec B．SSL

　　C．SET D．SSH

（ ② ）

　　A．TCP 的 443 端口 B．DP 的 443 端口

　　C．TCP 的 80 端口 D ．UDP 的 80 端口

（6）把SELinux设置为容许状态的命令为（ A ）。

　　A. setenforce 0 B. setenforce 1

　　C.gentenforce 0 D. gentenforce 1

2. 填空题

（1）SELinux的模式有disable、( permissive )、( enforcing )三种。

（2）当不使用LUKS技术加密的磁盘的时候，先( 格式化 )磁盘，再锁定磁盘。

（3）GPG加密文件使用的现在加密体制的( AES )加密算法。

（4）( Tripwire )是通过生成一个数据库文件来验证系统的文件有没有被用户或黑客所修改过。

（5）HTTPS能实现web服务器与客户机之间数据包的加密，以及( 验证 )Web服务器的身份。

3.实训题目

WYL公司现在想对现有的RHEL服务器做一些Selinux的配置跟设置，你作为该公司的IT，请根据以下需求完成操作。

1、查看http端口的信息。

semanage port -l |

2、允许web服务在85端口上执行。

semanage port -a -t http_port_t -p tcp 85

3、删除tcp的85端口。

semanage port -d -t http_port_t -p tcp 80

4、临时开启Selinux。

setenforce 1

5、永久关闭Selinux。

将/etc/selinux/config 文件中的 SELINUX=enforcing 改为 SELINUX=disabled，然后重启服务器。

第8章 VPN技术

1. 单项选择题

（1）以下关于VPN说法正确的是（ B ）。

A．VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路

B．VPN指的是用户通过公用网络建立的临时的、安全的连接

C．VPN不能做到信息认证和身份认证

D．VPN只能提供身份认证、不能提供加密数据的功能

（2）IPSec不可以做到（ D ）。

A．认证 B．完整性检查

C．加密 D．签发证书

（3）IPSec是( B )VPN协议标准。

A．第一层 B．第二层

C．第三层 D．第四层

（4）IPSec在任何通信开始之前，要在两个VPN结点或网关之间协商建立（ D ）。

A．IP地址 B．协议类型

C．端口 D．安全联盟

（5）（ A ）是IPSec规定的一种用来自动管理SA的协议，包括建立、协商、修改和删除SA等。

A．IKE B．AH

C．ESP D．SSL

（6）下列关于IPSec说法错误的是哪项？

A. 传输模式下，ESP不对IP数据包头进行验证

B. AH只能验证数据报文不能对其进行加密

C. ESP可以支持NAT穿越

D. AH协议使用3DES算法进行数据验证

（7）以下不提供加密功能的VPN封装协议有哪些？（多选）

A. ESP B. AH

C. L2TP D. GRE

（8）下列哪些命令不属于IPSec故障排错时常用的命令？

A. display ipsec statistics

B. display ipsec session

C. display ike sa

D. display ipsec sa

2. 简答题

（1）什么是VPN？

答：VPN的英文全称是“Virtual Private Network”，即虚拟专用网络。虚拟专用网络是将不同地域的企业私有网络，通过公用网络连接在一起，如同在不同地域之间为企业架设了专线一样，也就是说VPN的核心就是在利用公共网络建立虚拟私有网。

（2）VPN有哪两大类型，分别适应哪些场合。

答：按照业务用途来划分和按照工作层次来划分。

①站点到站点的VPN。用于局域网和局域网之间建立连接。

②个人到站点的VPN。用于客户端和企业内网之间建立连接。

（3）支持VPN主要协议有哪些。

答：L2TP、IPSec、GR协议、MPLS协议。

（4）IPSec协议包含的各个协议之间有什么关系？

答：IPSec有隧道和传送两种工作方式。在隧道方式中，用户的整个IP数据包被用来计算AH或ESP头，且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中；在传送方式中，只是传输层数据被用来计算AH或ESP头，AH或ESP头和被加密的传输层数据被放置在原IP包头后面。

（5）IKE的作用是什么？SA的作用是什么？

答：为IPSec提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPSec的使用和管理，大大简化IPSec的配置和维护工作。

可以在不安全的网络上安全的分发密钥，验证身份，建立IPSec安全联盟。

（6）请简述一下建立IPSec VPN 的步骤。

答：①配置FW1和FW2的各接口IP地址和所属安全区域。②FW1和FW2配置到达对端的默认路由。③定义需要保护的数据流，使用ACL进行流量抓取。④配置IKE安全协议。⑤配置IKE对等体。⑥配置IPSec安全协议。⑦配置IPSec策略。⑧在对应接口上应用IPSec安全策略。⑨配置FW1和FW2安全策略，放行指定的内网网段进行报文交互。⑩测试IKE的建立和报文传输是否有加密

第9章 Web 应用防火墙

1. 简答题

（1）Web 应用防火墙系统有哪些基本功能？

答：①审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。

　　②访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

　　③架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

　　④WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。

（2）常见的Web攻击手段有哪些？

答：XSS 攻击、CSRF 攻击、SQL 注入攻击、DDos 攻击、文件漏洞攻击。

（3）Web 应用防火墙的部署模式有哪几种？它们之间有什么区别？

答：透明模式、路由模式、混合模式三种。

　　如果防火墙以第三层对外连接（接口具有IP 地址），则认为防火墙工作在路由模式下；