網路安全技術

什么是訪問控制策略？什么是強制訪問策略？什么是自主訪問策略？
訪問控制策略隸屬于系統級安全策略，它迫使計算機系統和網路自動的執行授權，
強制訪問策略由安全域中的權威機構強制實施，任何人都不能回避，
自主訪問策略由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體，這種控制方式是自主的，

主動攻擊和被動攻擊有何區別？請舉例說明，
被動攻擊試圖獲得或利用系統的資訊，但不會對系統資源造成破壞，特性是對所傳輸的資訊進行竊聽和檢測，如資訊泄漏和流量分析，而主動攻擊則不同，他試圖破壞系統的資源，惡意篡改資料流或偽造資料等攻擊，影響系統的正常作業，如拒絕服務攻擊、重放攻擊，

在TCP連接建立的三步握手階段，攻擊者為什么可以成功實施SYN Flood攻擊？在實際中，如何防范此類攻擊？
TCP是一個面向連接的協議，即在資料傳輸之前首先要建立連接，然后傳輸資料，當資料傳輸完畢后釋放所建立的連接，攻擊者不斷向服務器的監聽埠發送建立TCP連接的請求SYN資料包，但收到服務器的SYN包后卻不恢復ACK確認資訊，每次操作都會是服務器端保留一個半開放的連接，當這些半開放的連接填滿服務器的連接佇列時，服務器便不再接收后續的任何連接請求，
防范：在服務器前段部署相應的網路安全設備（如防火墻）對SYN Flood攻擊進行資料包過濾，

為什么路由協議不能抵御路由欺騙攻擊？如何設定路由抵御這一攻擊？
高層的TCP和UDP服務在接收資料報時，通常假設資料報中的源地址是有效的，但事實上，IP層不能保證IP資料報一定是從源地址發送的，任意一臺主機都可以發送具有任意源地址的IP資料報，攻擊者可以偽裝成另一個網路主機，發送含有偽造源地址的資料包以欺騙接收者，
通過源地址鑒別機制加以防御，

通過DNS劫持會對目標系統產生什么樣的影響？應該如何避免？
通過劫持了DNS服務器，通過某些手段取得某域名的決議記錄控制權，進而修改此域名的決議結果，導致對該域名的訪問原IP地址轉入到修改后的指定IP，其結果就是對特定的網址不能訪問或訪問的是假網址，避免DNS劫持:暴露的主機不要采用基于名稱的認證；不要把秘密的資訊放在主機名中；進行數字簽名，

黑客為什么可以成功實施ARP欺騙攻擊？在實際中如何防止ARP欺騙攻擊？
攻擊者只要能把他的主機成功插入某個網段，這臺主機就能夠接受到所在網段的ARP請求分組，從而獲知該網段上主機IP和MAC地址的對應關系，就可以監測流量、獲取密碼和其他涉密資訊，
防范：在交換機上配置80.21x協議，即基于埠的訪問控制協議，建立靜態ARP表，

數字證書的典型內容是什么？
數字證書的概念:一個用戶的身份與其所持有的公鑰的結合，由一個可信任的權威機構CA來證實用戶的身份，然后由該機構對該用戶身份及對應公鑰相結合的證書進行數字簽名，以證明其證書的有效性，
主題名、序號、起始日期、終止日期、簽發者名、公鑰，

簡述交叉證書的作用，
采用交叉證書，減少了單個CA的服務物件，同時確保CA可獨立運作，同時使不同PKI域的CA和最終用戶可以互動，交叉CA是對等CA簽發，建立的是非層次信任路徑，

為什么要自簽名證書？
根CA是驗證鏈的最后一環，根CA自動作為可信任CA，根CA證書為自簽證書，即根CA對自己的簽名證書，
自簽名證書根CA對自己的證書簽名，使其作為一個可信任有效的CA，

簡述撤銷證書的原因，
數字證書持有者報告該證書中指定公鑰對應的私鑰被盜，CA發現簽發數字證書時出錯，證書持有者離職，

攻擊者A創建了一個證書，放置一個真實的組織名(假設為銀行B)及攻擊者自己的公鑰，你在不知道是攻擊者在發送的情形下，得到了該證書，誤認為該證書來自銀行B，請問如何防止該問題的產生?
數字簽名

網路加密有哪幾種方式？請比較他們的優缺點，
答:網路加密的方式有4種分別是鏈路加密、節點加密、端到端加密、混合加密，
鏈路加密的優點:
(1) 加密對用戶是透明的，通過鏈路發送的任何資訊在發送前都先被加密，
(2)每個鏈路只需要一對密鑰，
(3)提供了信號流安全機制，
缺點:資料在中間結點以明文形式出現，維護結點安全性的代價較高，
節點加密的優點:
(1) 訊息的加、解密在安全模塊中進行，這使訊息內容不會被泄密
(2)加密對用戶透明
缺點:
(1)某些資訊(如報頭和路由資訊)必須以明文形式傳輸
(2)因為所有節點都必須有密鑰，密鑰分發和管理變的困難
端到端加密的優點:
(1)對兩個終端之間的整個通信線路進行加密
(2)只需要2臺加密機，1臺在發端，1臺在收端
(3)從發端到收端的傳輸程序中，報文始終以密文存在
(4)訊息報頭(源/目的地址)不能加密，以明文傳送
(5)比鏈路和節點加密更安全可靠，更容易設計和維護
缺點:不能防止業務流分析攻擊，
混合加密的是鏈路和端到端混合加密組成，
優點:
從成本、靈活性和安全性來看，一般端到端加密方式較有吸引力，對于某些遠程機構，鏈路加密可能更為合適，
缺點：
資訊的安全設計較復雜，

請分析比較硬體加密與軟體加密的優缺點
硬體加密
優點：加密速度快、硬體安全性好、硬體易于安裝、
軟體加密
優點：任何加密演算法都可用軟體實作，靈活、輕便，
缺點：速度慢、占用計算和存盤資源，且易被移植

密鑰有哪些種類？他們各自的用途是什么？請簡述他們之間的關系，
基本密鑰：由用戶專用的密鑰，
會話密鑰：兩個用戶在一次通話或交換資料時所用的密鑰，
密鑰加密密鑰：用于對傳送的會話或檔案密鑰進行加密時采用的密鑰，
主機主密鑰：對密鑰加密密鑰進行加密的密鑰，
密鑰的層次：基本密鑰->主機主密鑰->密鑰加密密鑰->會話密鑰

802.11i采用的TKIP針對WEP做了哪些改進？
使用訊息認證碼以抵御訊息偽造攻擊
使用擴展的48b初始化向量好IV順序規則抵御訊息重放攻擊
對各資料包采用不同的密鑰加密以彌補密鑰的脆弱性
使用密鑰更新體制，提供新鮮的加密和認證密鑰，以預防針對密鑰重用的攻擊，

防火墻必須同時兼有路由器的功能嗎？為什么？
防火墻的防火墻技術的功能主要在于及時發現并處理計算機網路運行時可能存在的安全風險、資料傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網路安全當中的各項操作實施記錄與檢測，以確保計算機網路運行的安全性，不是必須同時兼有路由器的功能，

簡述靜態包過濾、動態包過濾防火墻的作業原理與區別，
靜態包過濾：采用一組過濾規則對每個資料包進行檢查，然后根據檢查結果確定是轉發、拒絕還是丟棄該資料包，其過濾規則基于IP和TCP/UDP頭中的幾個欄位，
動態包過濾：動態包過濾防火墻需要對已建連接和規則表進行動態維護，因此是動態的和有狀態的
區別：動態包過濾對外出資料包進行身份記錄，便于下次讓具有相同連接的資料包通過，動態包過濾防火墻具有狀態感知能力，

狀態監測防火墻與應用級網關有何不同？簡述狀態檢測防火墻的優缺點，
狀態監測防火墻
優點：
具備動態包過濾防火所有優點，同時具有更高的安全性
沒有打破客戶/服務器模型
提供集成的動態包過濾功能
速度快
缺點：采用單執行緒行程對防火墻性能有很大影響
僅能提供較低水平的安全性
不能滿足當今網路對高并發連接數量的要求
與應用級網關的不同：應用級網關是運行于連接內部網路與外部網路的主機（堡壘主機）上的一種應用，是一種比較高級的防火墻技術，現在大多數狀態檢查防火墻只作業在網路層，且只作為動態包過濾器對進出網路的資料進行過濾，

防火墻有什么局限性？
僅采用防火墻不能給整個網路提供全域的安全性，對于防御內部的攻擊，防火墻顯得無能為力，同樣對于那些繞過讓防火墻的連接，防火墻毫無用武之地，

IPsec有哪兩種作業模式？如何通過資料包格式區分這兩種作業模式？
無論是加密還是認證，IPSec都有兩種作業模式：傳輸模式和隧道模式
采用傳輸模式時，IPSec只對IP資料包的凈荷進行加密或認證，裝資料包繼續使用原IP頭部，只對部分域進行修改
采用隧道模式時，IPSec對整個IP資料包進行加密或認證，產生一個新的IP頭，IPSec頭被放在新IP頭和原IP資料包之間，組成一新IP頭

你認為IPsec VPN能代替SSL VPN嗎？ SSL VPN 能代替IPSec VPN嗎？為什么？
IPSec VPN主要提供LAN-to-LAN的隧道安全連接，在為企業高級用戶提供遠程訪問及為企業提供LAN-to-LAN隧道連接方面，IPSec 具有無可比擬的優勢，IPSec VPN廠商開始研究讓 IPSec VPN兼容TLS VPN，以增強可用性，則IPSec VPN的擴展性將大大加強
SSL VPN最大優點是用戶不需要安裝和配置客戶端軟體，由于SSL協議允許使用數字簽名和證書，所以它可以提供強大的認證功能，

什么是一次性口令？實作一次性口令有哪幾種方案？請簡述他們的作業原理，
一次性口令指只能使用一次的密碼，通過某種運算使每次用戶使用的密碼各不相同，
方案：
（1）挑戰回應機制：用戶要求登錄時，服務器產生一個亂數（挑戰資訊）發給用戶，用戶用某種單向函式將這個亂數進行雜湊后，轉換成一個密碼，并發送給服務器，服務器用同樣的方法進行驗算即可驗證擁擠身份的合法性，
（2）口令序列機制：
（3）時間同步機制：當用戶需要身份認證時，令牌會提取當前時間與密鑰一起作為雜湊演算法的輸入得出口令，由于時間在不斷變化，口令也不會重復
（4）事件同步機制：基于事件同步的令牌將不斷變化的計數器作為不確定因素，從而產生一次性口令

什么是例外檢測？基于例外檢測原理的入侵檢測方法有哪些？
例外檢測技術又稱為基于行為的入侵檢測技術，通過總結正常操作應具有的特征（用戶輪廓）用來識別主機和網路中的例外行為，該技術假設攻擊與正常合法的活動有明顯的差異，
入侵檢測方法：
統計例外檢測方法
特征選擇例外檢測方法
基于貝葉斯推理例外檢測方法
基于貝葉斯網路例外檢測方法
基于模式預測例外檢測方法

什么是誤用檢測？基于誤用檢測原理的入侵檢測方法有哪些？
誤用檢測技術又稱為基于知識的入侵檢測技術，該技術假設所有入侵行為和手段（及其變形）都能表達為一種模式或特征，
入侵檢測方法：
基于條件的概率誤用檢測方法
基于專家系統誤用檢測方法
基于狀態遷移分析誤用檢測方法
基于鍵盤監控誤用檢測方法
基于模型誤用檢測方法

簡述NIDS和HIDS的區別
NIDS：資料來源于網路上的資料流，能夠截獲網路中的資料包，提取其特征并與知識庫中已知的攻擊簽名進行比較，從而達到檢測的目的，優點是偵測速度快、隱蔽性好、不易受到攻擊，
HIDS：資料來源于主機系統，通常是系統日志和審計記錄，通過對系統日志和審計記錄的不斷監控和分析來發現攻擊后的誤操作，優點是針對不同作業系統捕獲應用層入侵，通常被安裝在被保護的主機上，