复习题一、填空1.启明星辰安全网关可以在三种模式下工作：路由模式、透明模式以及混杂模式以适应不同的应用场景。

2.防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

3.IPsec使用传输模式和隧道模式保护通信数据.4.屏蔽子网是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内网和外网分开。

5.POP3协议在TCP的端口上等待客户连接请求。

6.访问控制列表的配种方式：一种为允许所有流量包，接受受信任的I P 包，拒绝其他所有的IP包；另一种为拒绝所有流量包，拒绝不受信任的IP包，接受其他所有的IP 包。

7.IPSec包含两个主要协议：封装安全负载协议esp和身份认证头协议All。

8.L2TP是L2F和PPTP的结合，支持单用户多隧道同时传输.9.在Cisco IOS中，网络地址的辨别和匹配并不是通过子网掩码，而是通过翻转验码。

10.SSL协议是在传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

1.所谓入侵，是指任何试图危及计算机资源的完整性、机密性或可用性的行为.12.通用入侵检测框架把一个入侵检测系统划分成4个相对独立的功能模块：事件产生器、事件分析器、相应单元和事件数据库。

13.DNS欺骗是通过破坏被攻击主机上的映射表，或破坏一个域名服务器来伪造1P地址和域名的映射，从而冒充其他主机。

14.传输模式IPSEC虚拟专用网，发送者将数据加密，数据的接收方实现信息的解密，在整个传输过程中都能保证信息的安全性。

15.地址翻译技术主要有静态翻译、动态翻译和端口翻译三种工作方式、16.按数据检测方法分类，入侵检测技术可分为基于误用检测的IDS和基于异常检测的IDS两类，模型匹配检测属于误用检测的IDS 。

17.检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报；检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。

18.拒绝服务攻击企图通过使你的服务计算机崩溃或者把它压垮来阻止为你提供服务，是一种较常见的攻击行为。

二、名词解释I.NP：网络处理器2 .位转发率：每秒中转发的位数3.吞吐量：是指在没有帧丢失的情况下，设备能够接受的最大速率。

4.延时：指测试数据帧最后一个比特到达后第一个比特从另一端离开的间隔5.丢包率：指测试中所丢失数据包数量占所发送数据组的比率。

6.误用检测：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵7.虚警检测系统在检测时把系统的正常行为判定为入侵行为的错误8.VPN:虚拟专用网络9.PKI:公钥基础设施。

PKI是一种遵摘标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

10.IPSEC :网络协议安全II.NAT:网络地址转换12.IDS:入侵检测系统13.异常检测：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵14.误报率：把系统正常行为判定为错误的概率。

15.漏报率：把某些入侵行为判定为正常行为的概率三、简答1.地址转换的优点？解决地址紧张，保护内网2.简述包过滤、应用代理、状态检测防火墙的区别？包过滤和状态检测防火墙安全性弱，而应用代理防火墙安全性强。

3.简述P2DR安全模型思想？是在整体的安全策略的控制和指导下在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反应将系统调整到相对安全和风险最低的状态。

4.简述防火墙的优缺点。

优点：1）元许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络；2）保护网络中脆弱的服务；3）可以监视网络的安全性，并产生报警；4）集中安全H 5）可以作为部署NAT的逻辑地址；6 ）增强保密性、强化私有权7 ）可以审计和记录Internet使用量；8）可以向客户发布信息。

缺点：限制有用的网络服务；无法防护内网用户的攻击；不能防范不通过它的连接；不能完全防范病毒传播；不能防备数据驱动型的攻击；不能防备新的网络安全问题5.IPSEC用密码技术从哪些方面保证数据的安全？数据源身份验证，数据加密6.什么是私有地址，共有多少个私有地址空间，请列举出来。

10. 0. 0< 0-10. 255.255.255172. 16. 0. 0-172. 16. 31. 255. 255192. 168. 0. 0-192. 168. 255. 2557.为什么需要入侵检测系统？入侵行为日益严重：攻击工具唾手可得；入侵教程隨处可见内部的非法访问：内部网的攻击占总的攻击事件的70%以上；没有监测的内部网是内部人员的“自由王国”；边界防御的局限：防火墙不能防止通向站点的后门。

防火墙一般不提供对内部的保护。

防火墙无法防范数据驱动型的攻击，防火墙不能防止Internet上下载被病毒感染的程序8.問述入侵检测的任务。

入侵检测的作用：监控网络和系统;发现入侵企图或异常现象；实时报警;主动响应；审计跟踪9.分别叙述误用检测与异常检测原理？误用检测把非正常数据建立特征库进行匹配异常检测把正常的数据建立模型，不同的都是入侵10.简述AH和ESP的区别.1.AH没有ESP的加密特性2.AH的身份验证是对整个数据包做出的，包括IP头部，ESP是对部分数据包做身份验证，不包括IP头部分。

11.入侵检测系统的常见部署方式。

共享模式、交换模式、隐蔽模式、Tap模式和In-line模式。

12.简述防火墙常见的系统结构及其特点。

1.双宿主网关（堡垒主机）可以转发应用程序，提供服务2.屏蔽主机网关，易于实现，安全性好，应用广泛3.屏蔽子网，在因特网之间建立一个被隔绝的子网，用两个数据包过滤路由器将一个子网分别与因特网与因特网隔开四、配置1 .将内网用户通过地址转换，使得他们能够访问外网。

2.通过网址过滤，禁止内网用户上游戏网站，如冊w. 17171 com,能正常访问其它合法网站…1.进入系统管理》网络，配置接IP地址2.进入WEB过滤器》网络过滤》新建，打开定义被过滤网址对象名祢3.单击新建按钮，定义要过滤的网址4.回到添加网址条目界面，单击0K按钮，WEB过滤器定义完毕5.进入防火墙》保护内容表》新建，定义保护内容对象6.进入防火墙》策略，新建访问控制策略7.配置防火墙》路由，建立路由映射3.简要写出入侵检测系统的部署和配置。

五.选择题I.关于“攻击工具日益先进，攻击者需要的技能日趋下降”，不正确的观点是-------A.网络受到攻击的可能性将越来越大B.网络受到攻击的可能性将越来越小C.网络攻击无处不在D.网络风险日益严重2.保证网络安全的最主要因素是A.拥有最新的防毒防黑软件B.使用高档机器C.使用者的计算机安全素养D.安装多层防火墙3.安全漏洞产生的原因很多，其中口令过于简单，很容易被黑客猜中属于？A.系统和软件的设计存在缺陷，通信协议不完备B.技术实现不充分C.配置管理和使用不当也能产生安全涡洞D.以上都不正确4.有关对称密钥加密技术的说法，哪个是确切的？A.又称秘密密钥加密技术.收信方和发信方使用相同的密钥B.又称公开密钥加密，收信方和发信方使用的密钥互不相同C.又称秘密密钥加密技术，收信方和发信方使用不同的密钥D.又称公开密钥加密，收信方和发信方使用的密钥互不相同5.在使用者和各类系统资源间建立详细的授权映射，确保用户只能使用其授权范围内的资源，并i通过访问控制列表（ACL: Access Control List）来实现，这种技术叫做----------- ，A.资源使用授权B.身份认证C.数字签名D.包过滤E.以上都不正确6.为防止企业内部人员对网络进行攻击的最有效的手段是A.防火墙B. VPN （虛拟私用网）C.网络入侵监测D.加密E.漏洞评估7.首先根据被监测系统的正常行为定义出一个规律性的东西，称为“写照”，然后监测有没有明显偏离“写照”的行为。

这指的是入侵分析技术的A.签名分析法B.统计分析法C.数据完整性分析法D.以上都正确8.以下哪种方法主要通过查证文件或者对象是否被修改过，从而判断是否遭到入侵？A.签名分析法B.统计分析法C.数据完整性分析法D.以上都正确9.某入侵监测系统收集关于某个特定系统活动情况信息，该入侵监测系统属于哪种类型。

A.应用软件入侵监测系统B.主机人侵监测系统C.网络入侵监测系统D. 集成入侵监测系统E.以上都不正确10.关于网络入侵监测的主要优点，哪个不正确。

A.发现主机IDS系统看不到的攻击B.攻击者很难毁灭证据C.快速监测和响应D.独立于操作系统E. 监控特定的系统活动II.入侵监测系统对加密通信无能为力。

A.应用软件入侵监测系统B.主机入侵监测系统C.网络人侵监测系统D.集成入侵监测系统E.以上都不正确12.入侵防范技术是指------A.系统遇到进攻时设法把它化解掉，让网络和系统还能正常运转B.攻击展开的跟踪调查都是事后进行，经常是事后诸葛亮，适时性不好C.完全依赖于签名数椐库D.以上都不正确13.虚拟专用网（VPN）技术是指----A.在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播B.在公共网络中建立专用网络，数据通过安全的“加密管道”在私有网络中传播C.防止一切用户进入的硬件D.处理出入主机的邮件的服务器14.可被授权实体访问并按需求使用的特性，即当需要时能否存取和访问所需的信息的特性是指信息的？A.保密性B.完整性C.可用性D.可控性E.以上都正确15.在网络攻击的多种类型中，以遭受的资源目标不能继续正常提供服务的攻击形式属于哪一种？A.拒绝服务B.侵入攻击C.信息盗窃D.信息篡改E.以上都正确16.—般的数椐加密可以在通信的三个层次来实现:链路加密、节点加密、端到端加密。

其中在节点处信息以明文出现的是A.链路加密方式B.端对端加密方式C.节点加密D.都以明文出现E.都不以明文出现17.防火墙（firewall ）是指A.防止一切用户进入的硬件B.是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企北有关安全政策控制进出网络的访问行为C.记录所有访问信息的服务器D.处理出入主机的邮件的服务器18.以下哪种方法主要通过查证文件或者对象是否被修改过，从而判断是否遭到入侵？A.签名分析法B.统计分析法C.数据完整性分析法D.以上都正确19.关于主机入侵监测的主要缺点，哪个不正确。

A.看不到网络活动B.运行审计功能要占用额外资源C.主机监视感应器不通用D.管理和实施比较复杂E.对加密通信无能为力20.关于网络人侵监测的主要优点，哪个不正确。