网络安全与管理技术

[b]网络安全与管理技术 [/b]

网络安全基本要素（保密性；完整性；可用性；可鉴别性；不可否认性）

信息泄露与篡改（截获信息；窃听信息；篡改信息；伪造信息）

网络攻击（服务攻击与非服务攻击）

服务攻击：指对网络提供各种服务的服务器发起攻击，造成网络拒绝服务，表现在消耗带宽，消耗计算资源，使系统和应用崩溃

SYN 攻击时一种典型的拒绝服务攻击

非服务攻击：不针对某项应用服务，而是针对网络层等低协议进行的 源路由攻击和地址欺骗都属于这一类 非服务攻击更为隐蔽，是种更为危险的攻击手段

非授权访问以及网络病毒

目前 70%的病毒发生在网络上

设计一个网络安全方案时 需要完成四个基本任务

（1） 设计一个算法，执行安全相关的转换

（2） 生成该算法的秘密信息（如密匙）

（3） 研制秘密信息的分发与共享的方法

（4） 设定两个责任者使用的协议，利用算法和秘密信息取得安全服务

P2DR 安全模型

包括 ：策略防护检测 响应

数据备份：

完全备份：恢复速度最快 空间使用最多 备份速度最慢

增量备份：恢复速度最慢 空间使用最少 备份速度最快、

差异备份：中间性能

冷备份： 又叫离线备份 恢复时间长 投资少

热备份 又称在线备份 很大的问题是数据的有效性和完整性

加密技术： 密码学包括密码编码学与密码分析学 密码体制是密码学研究的主要内容

现在密码学基本原则：一切密码属于密匙之中。在设计加密系统时，加密算法是 可以公开的，真正需要保密的是密钥

猜测每 10 的六次方个密钥要用 1 微秒的时间

数据加密标准 DES 是最典型的对称加密算法，采用 64 位密钥长度，8 位用于奇偶校验，用户使用其中的 56 位 非对称加密技术：对信息加密解密使用不同的密钥，用来加密的密钥是可以公开 的，解密的密钥是用来保密的，又称公钥加密技术

计算机病毒的主要特征：非授权可执行性；隐蔽性；传染性；潜伏性；

计算机病毒分类:寄生方式（引导型，文件型，复合型） 按破坏性（良性，恶性）

网络病毒特征：传播方式多样，传播速度更快；影响面更广；破坏性更强；难以控制和根治；编写方式多样，病毒变种多，智能化，混合病毒

恶意代码： 蠕虫（计算机蠕虫是一个自我包含的程序或程序集，能够传播自身并拷贝自身） 分为宿主计算机蠕虫和网络蠕虫

木马（木马是没有自我复制功能的恶意程序） 木马传播途径：电子邮件，软件下载，通过会话软件

根据防火墙的实现技术：可以将防火墙分为包过滤路由器，应用级网关，应用代理和状态检测等

目前市场上的主流防火墙，一般都是状态检测防火墙

防火墙系统结构分为：包过滤路由器结构；双宿主主机结构；屏蔽主机结构；屏蔽子网结构

防火墙配置：

Pix525(config)#nameif ethernet0 outside security0

Pix525(config)#nameif ethernet1 inside security100

Pix525(config)#nameif dmz security50

Pix525(config)#interface ethernet0 auto

Pix525(config)#interface ethernet1 100full

Pix525(config)#ip address outside 202.113.79.1 255.255.255.240

Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

指定内网访问外网的主机，与 global 一起使用

Pix525(config)#nat (inside) 1 192.168.0.1 255.255.255.0

inside 是默认的内网接口名字 1 是 id

Pix525(config)#global(outside) 1 202.113.79.1-202.113.79.14

定义可分配的全局 ip 地址

设置指向内网和外网的静态路由 Pix525(config)#route outside 0 0 210.81.20.1 1

格式：if _name 0 0 ip metric

outside 是接口名字 ip 是路由网关 1 是跳数（默认是 1）

Pix525(config)#static(inside,outside) 202.113.79.4 192.168.0.4 建立静态映射

Pix525(config)#conduit permit tcp host 192.168.0.4 eq www any

格式：Conduit permit tcp ip 端口 外部 ip

deny udp any

icmp host+ip

Pix525(config)#fixup protocol http 80

Pix525(config)#no fixup protocol smtp

启动 http 协议 指定 80 禁止 smtp

---------------------------

网络安全技术

一、选择题

1．以下哪项不是网络防攻击技术需要研究的问题 。

A）网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？

B）如何及时检测并报告网络被攻击？

C）如何采取相应的网络安全策略与网络安全防护体系？

D）网络通过什么协议实现相互交流?

2．信息从源节点到目的节点传输过程中，中途被攻击者非法截取并进行修改，因而在目的节点接收到的为虚假信息。这是对信息 的攻击。

A）可用性 B）保密性 C）完整性 D）真实性

3． 研究是试图破译算法和密钥。

A）密码学 B）密码编码学 C）密码分析学 D）密码设计学

4．以下 项不是设计网络安全方案时的内容。

A）设计一个算法，执行信息安全相关的转换 B）生成算法密钥并研制密钥分发和共享的方法

C）选择信息传送通道 D）设定两个责任者使用的协议，利用算法和秘密信息取得安全服务

5．可信计算机系统评估准则TCSEC将计算机系统安全等级分为4类7个等级，分别是D、C1、C2、B1、B2、B3 与A1。其中， 属于强制性安全保护类型，即用户不能分配权 限，只有网络管理员可以为用户分配权限。

A）A类 B）B类 C）C类 D）D类

6．以下有关数据备份的说法中，正确的是 。

A）备份模式可以分为物理备份和逻辑备份

B）物理备份是“基于文件的备份”

C）逻辑备份是“基于块的备份”

D）物理备份备份速度较慢，因为在对非连续存储在磁盘上的文件进行备份时需要额外的查找工作

7．以下有关数据备份的说法中，错误的是 。

A）完全备份、差异备份及增量备份中，差异备份的备份速度最快。

B）增量备份的文件依赖于前次备份的文件，一环扣一环，任何一盘出问题都将导致备份系统失调，因此可靠性差

C）冷备份和热备份时，系统都可以接收用户更新的数据。

D）同物理备份相比，逻辑备份的性能较

8．OSI（Open System Interconnection）安全体系方案X.800将安全性攻击分为两类，即被动攻击和主动攻击。主动攻击包括篡改数据流或伪造数据流，这种攻击试图改变系统资源或影响系统运行。下列攻击方式中不属于主动攻击的是 。

A）伪装 B）消息泄露 C）重放 D）拒绝服务

9．公开密钥密码体制中， 是保密的。

A）加密算法 B）解密算法 C）加密密钥 D）解密密钥

10．以下有关计算机病毒的说法中，正确的是 。

A）计算机病毒是一些人为编制的程序

B）计算机病毒具有隐蔽性、传染性、潜伏性、破坏性、可触发性等特征。

C）计算机病毒就是网络病毒

D）良性病毒只扩散和感染，降低系统工作效率，并不彻底破坏系统和数据

11． 没有自我复制功能。

A）特洛伊木马 B）蠕虫 C）细菌

12． 属于恶性病毒，一旦发作，就会破坏系统和数据，甚至造成计算机瘫痪。）

A）小球病毒 B）扬基病毒 C）1575/1591病毒 D）星期五病毒

13．以下哪项不是网络病毒的特点 。

A）传播方式多样，传播速度快。可执行程序、脚本文件、电子邮件、页面等都可能携带计算机病毒。

B）编写方式多样，病毒变种多。

C）常用到隐形技术、反跟踪技术、加密技术、自变异技术、自我保护技术等，从而更加智能化、隐蔽化。

D）通过网络传播病毒，感染个人电脑

14．以下有关防火墙作用的说法中错误的是 。

A）集合网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制功能。

B）检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包

C）执行安全策略，限制所有不符合安全策略要求的数据包通过

D）具有防攻击能力，保证自身的安全性

15．通常将防火墙的系统结构分为包过滤路由器结构、 、屏蔽主机结构和屏蔽子网结构。

A）应用网关结构 B）双宿主主机结构 C）堡垒主机结构 D）双屏蔽网结构

二、填空题

1．网络系统安全包括5个基本要素：保密性、完整性、可用性、 【1】 与不可否认性。

可鉴别性

2．网络系统安全的完整性包括数据完整性和 【2】 完整性。系统

3．服务攻击（application dependent attack）：对网络提供某种服务的 【3】 发起攻击，造成该网络的“拒绝服务”，使网络工作不正常。SYN攻击是一种典型的非服务攻击。非服务攻击（application independent attack）：不针对某项具体应用服务，而是基于网络层等低层 【4】 而进行的，使得网络通信设备工作严重阻塞或瘫痪。源路由攻击和地址欺骗都属于这一类。 服务器 协议

4．网络安全模型的P2DR模型中，核心是 【5】 。 策略

5．冷备份又称为　【6】　，即备份时服务器不接收来自数据的更新；热备份又称为 【7】 ，或数据复制，或同步数据备份，即可以备份更细的数据。 离线备份 在线备份

三、分析题

1．阅读【说明】，回答问题。

【说明】　某单位在部署计算机网络时采用了一款硬件防火墙，该防火墙带有三个以太网络接口，其网络拓扑如图10-22所示。



　　　　　　　　　　　　　　　　　　　　　　图10-22

【问题1】防火墙包过滤规则的默认策略为拒绝，下表给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器，为表10-4中（1）~（4）空缺处选择正确答案。

（1）备选答案：A）允许　　 　B）拒绝

（2）备选答案：A）192.168.1.0/24　　　B）211.156.169.6/30 　　　C）202.117.118.23/24

（3）备选答案：A）TCP　　　 B）UDP 　　 　 C）.ICMP

（4）备选答案：A） E3->E2 　 B） E1->E3　 　　C） E1->E2

表10-4

序号	策略	源地址	源端口	目的地址	目的端口	协议	方向
1	（1）	（2）	Any	202.117.118.23	80	（3）	（4）

【问题2】内部网络经由防火墙采用NAT方式与外部网络通信，为表10-5中（5）-（7）空缺处选择正确答案。

表10-5

源地址	源端口	目的地址	协议	转换接口	转换后地址
	192.168.1.0/24	Any	（5）	Any	（6）	（7）

（5） 备选答案：A）192.168.1.0/24　　　 B）any　　　　　　　　　C）202.117.118.23/24

（6） 备选答案：A） E1 　　　　　　　B）E2 　　　　　　　　　C）E3

（7） 备选答案：A）192.168.1.1　　　 B） 210.156.169.6　　　 C） 211.156.169.6

【问题3】

图中 （8） 适合设置为DMZ区。

（8） 备选答案：A）区域A 　　　 　B）区域B　　　　 C）区域C

【问题4】

防火墙上的配置信息如图2-2所示。要求启动HTTP代理服务，通过HTTP缓存提高浏览速度，代理服务端口为3128，要使主机PC1使用HTTP代理服务，其中“地址”栏中的内容应填写为 （9）192.168.1.1 ，“端口”栏中内容应填写为 3128（10） 。

图10-23

【问题5】

NAT和HTTP代理分别工作在 （11） 和 （12） 。

（11）备选答案：A）网络层 　　 　B）应用层 　　　 C）服务层

（12）备选答案：A）网络层 　　 　 B）应用层 　　 　C）服务层

-----------------------------------------------------------------------------------------------------------------

网络管理技术

一、选择题

1．网络管理系统的组成不包括 。

A）管理进程 B）被管对象 C）网络管理协议 D）应用代理

2．以下有关CMIP的说法中正确的是 。

A）OSI管理模型中管理站和代理通过CMIP交换管理信息

B）CMIP采用简单的变量表示管理对象

C）CMIP建立在无连接传输协议的基础上

D）CMIP的变量能够传递信息，但不能完成网络管理任务

3．以下有关SNMP管理模型的说法中正确的是 。

A）SNMP的管理模型是基于Client/Server模式的

B）SNMP在每层都有管理实体

C）每个代理只能设置一个团体

D）一个管理站可以控制着多个代理

4．SNMP中用于管理站向代理查询被管对象设备上的MIB库数据的操作是 。

A）Get B）Set C）Trap D）Inform

5．以下 项不是SNMP模型的优点。

A）简单，易于在各种网络中实现 B）广泛支持

C）操作原语简捷 D）面向对象，支持分布式管理

6．以下有关CMIP模型特点的描述中，错误的是 。

A）CMIP是完全独立于下层的应用层协议

B）CIMP安全性高，拥有验证、访问控制和安全日志

C）CMIP主要是基于轮询方式获得信息

D）CMIP占用资源过多，MIB过于复杂

7．以下有关ICMP的描述中，错误的是 。

A）ICMP本身是网络层的一个协议

B）ICMP既能报告差错，也能纠正错误

C）ICMP并不能保证所有的IP数据报都能够传输到目的主机

D）ICMP的消息共有18种类型

8．用于通告网络拥塞的ICMP报文是 。

A）目标不可达 B）超时 C）源抑制 D）数据参数错误

9．以下不属于ICMP主要功能的是 。

A）通告网络错误 B）修复网络错误 C）路由器重定向 D）获取通信子网掩码

10．某校园网用户无法访问外部站点210.102.58.74，管理人员在windows操作系统下可以使用 判断故障发生在校园网内还是校园网外。

A）ping 210.102.58.74 B）tracert 210.102.58.74

C）netstat 210.102.58.74 D）arp 210.102.58.74

11．使用traceroute命令测试网络可以

A）检验链路协议是否运行正常 B）检验目标网络是否在路由表中

C）检验应用程序是否正常 D）显示分组到达目标经过的各个路由器

12．以下有关Windows 2003用户管理的说法中，错误的是 。

A）Windows 2003中可以使用图形化界面的管理工具实现用户管理

B）Windows2003中有两种用户：本地用户和域用户

C）“Active Directory用户和计算机”是在配置为域控制器的计算机上安装的目录管理工具

D）本地用户可以访问整个域中的资源，但不可以修改。

13．通信协议失配、操作系统版本失配等网络故障属于以下哪种故障类型 。

A）主机故障 B）网络设备故障 C）通信线路故障 D）软件故障

14．以下有关网络故障检测与处理方法的说法中，错误的是 。

A）当多个网络故障同时出现时，应将其按影响程度排序，影响程度高的优先处理

B）应收集故障现象、用户报告、设备与系统运行日志、网络管理系统提供的数据与报告等故障信息

C）故障测试过程中，可采用替代法，不需要备份配置信息。

D）故障排除后，应做好记录

15．以下有关漏洞扫描技术的说法中，错误的是 。

A）漏洞扫描技术是检测系统安全管理脆弱性的一种安全技术

B）漏洞扫描器通常分为基于主机和基于网络的两种扫描器

C）通常，漏洞扫描工具完成的功能包括：扫描、生成报告、分析并提出建议、以及数据处理等。

D）漏洞扫描工具能实时监视网络上的入侵

二、填空题

1．目前，网络管理模型主要有 【1】 管理模型和 【2】 管理模型。 OSI SNMP

2．网络管理中安全管理指建立规则，防止网络遭受有意或无意的破坏，同时防止对于敏感资源的未经授权的访问。包括：建立访问权限和访问控制；建立 【3】 ；发出警告；产生安全报告等。 安全审计

3．OSI管理模型中，管理站和代理通过 【4】 相互交换管理信息。OSI模型中，每一层都定义有相应的管理功能，它们是由 【5】 来完成。系统管理应用进程SMAP通过 【6】 与管理信息库和各层的管理系统相联系。 CMIP 层管理实体 系统管理接口

4．公共管理信息协议CMIP规定了管理站与代理之间的通信机制。它们之间的信息交换通过发送 【7】 完成。通信方式主要有 【8】 和 【9】 两种。 PDU 轮询 事件报告

5．MIB-2库中的管理对象可以分为两大类：标量对象和 【10】 。表对象

三、分析题

1．阅读说明，回答问题。

【说明】网络管理是通过某种方式对网络进行管理，使网络能正常高速地运行，当网络出现故障时，能及时报告和处理，并协调、保持网络的高效运行。网络管理功能可分为配置管理、 性能管理、记账管理、故障管理和安全管理五部分。

【问题1】网络管理系统有哪几部分组成？

管理进程、被管对象、代理进程、网络管理协议和管理信息库

【问题2】配置管理的含义是什么？

置管理监控网络及其各个设备的配置信息，包括整个网络的拓扑结构、各个设备与链路的互联情况、每台设备的硬件、软件配置数据、资源的规划与分配。

【问题3】当网络出现故障时，可用来预测故障和确定故障地点的命令是什么？ Ping

【问题4】Windows2003提供了很多图形化界面的网络管理工具，其中，可用于性能管理，可提供有关操作系统特定组件和用于搜集性能数据所使用的服务器 程序所使用资源的详细数据的是什么？ 系统监视器

2．阅读说明，回答问题

【说明】SNMP与CMIP是网络界最主要的两种网络管理协议。在未来的网络管理中,究竟哪一种将占据优势,一直是业界争论的话题。总的来说,SNMP和CMIP两种协议是同大于异。 两者的管理目标、基本组成部分都基本相同。但是，也有不同之处。

【问题1】两者有何不同？

SNMP与CMIP的不同点：

（1）SNMP适用性广，在小规模时优势更明显，多用于计算机网络管理；CMIP适用于大型系统，多用于电信网络管理。

（2）SNMP基于轮询方式获得信息；CMIP采用报告方式

（3）SNMP是基于无连接的UDP；CMIP使用面向连接的传输

（4）SMIP采用简单的变量表示管理对象；CMIP采用面向对象的信息建模方式。

【问题2】SNMPv1采用何种安全机制？

SNMPv1采用了“团体”的字段作为管理进程和代理进程的鉴别密码，只有具有相应的“团体”，才有访问权限，这种方式只是简单的明文交换方式

【问题3】Cisco路由器中，网络设备上利用SNMP命令设置时，在某个接口的配置模式下，指定当接口断开或连接时要向管理站发出通知的命令格式是什么？

（if-config）#snmp trap link-status