网络安全(第六章)

第六章网络后门与网络隐身1. 留后门的原则是什么？答：后门的好坏取决于被管理员发现的概率，留后门的原则就是不容易被发现，让管理员看了没有感觉、没有任何特别的地方。

2. 如何留后门程序？列举三种后门程序，并阐述原理及如何防御。

答：网络攻击经过踩点、扫描、入侵以后，如果攻击成功，一般就可以拿到管理员密码或者得到管理员权限。

第一，Login后门。

在Unix里，login程序通常用来对telnet来的用户进行口令验证。

入侵者获取login。

c的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。

如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入。

这将允许入侵者进入任何账号，甚至是root。

由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的，所以入侵者可以登录获取shell却不会暴露该账号。

管理员注意到这种后门后，便用“strings”命令搜索login程序以寻找文本信息。

许多情况下后门口令会原形毕露。

入侵者就开始加密或者更好的隐藏口令，使strings命令失效。

所以更多的管理员是用MD5校验和检测这种后门的。

第二，线程插入后门。

这种后门在运行时没有进程，所有网络操作均播入到其他应用程序的进程中完成。

也就是说，即使受控制端安装的防火墙拥有“应用程序访问权限”的功能，也不能对这样的后门进行有效的警告和拦截，也就使对方的防火墙形同虚设！这种后门本身的功能比较强大，是现在非常主流的一种，对它的查杀比较困难，很让防护的人头疼。

第三，网页后门。

网页后门其实就是一段网页代码，主要以ASP和PHP代码为主。

由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。

并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。

防御后门的方法主要有：建立良好的安全习惯，关闭或删除系统中不需要的服务，经常升级安全补丁，设置复杂的密码，迅速隔离受感染的计算机，经常了解一些反病毒资讯，安装专业的防毒软件进行全面监控等。

第六章防火墙我们可以通过很多网络工具，设备和策略来保护不可信任的网络。

其中防火墙是运用非常广泛和效果最好的选择。

它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。

从而降低网络的整体风险。

防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。

绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。

防火墙一般有三个特性：A．所有的通信都经过防火墙B．防火墙只放行经过授权的网络流量C．防火墙能经受的住对其本身的攻击我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。

所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。

为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。

遗憾的是很多系统在缺省情况下都是脆弱的。

最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。

如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。

做好了这些，我们也可以非常自信的说，Windows足够安全。

也可以抵挡住网络上肆无忌惮的攻击。

但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。

对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。

”如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。

2第六章 网 络 篇6.1 家庭网络与办公网络1.如何将笔记本电脑(笔记本电脑)从工作区带回家里并访问 Internet ？如果仅需要在家里使用 Internet ，请将工作区的笔记本电脑连接到家庭网络。

●连接到以太网家庭网络的步骤：将以太网电缆的一端插入笔记本电脑中，将另一端插入集线器、交换机或路由器中。

您应该可以立即访问 Internet 。

●连接到无线家庭网络的步骤： ⑴打开笔记本电脑。

⑵单击打开“控制面板”中“网络和共享中心”的“连接到网络”。

如图6-1所示。

图6-1 网络和共享中心⑶在列表中选择您的家庭无线网络，然后键入网络安全密钥（如果需要）。

您应该连接到了无线网络并可以访问 Internet 。

注意：您的笔记本电脑必须具有无线网络适配器。

如果家庭网络是无线网络，则建议使用网络安全密钥。

否则您的笔记本电脑可能会面临黑客或恶意软件进行未经授权的访问危险。

2.如何用笔记本电脑(笔记本电脑)使用家庭网络中的打印机？●检查打印机是否共享或设置打印机共享的步骤：⑴登录到家庭网络中连接该打印机的计算机。

⑵单击“开始”按钮 ，然后单击“控制面板”。

⑶在“硬件和声音”下，单击“打印机”。

⑷右键单击要共享的打印机，然后单击“共享”。

如果打印机已共享，则“共享这台打印机”将被选中。

如果该项未被选中，请单击“共享这台打印机”，然后单击“确定”。

注意：Windows Vista Starter 中不包括共享打印机功能，若要使用共享打印机，需要将打印机添加到笔记本电脑上。

●添加打印机的步骤：⑴单击打开“控制面板”中的“添加打印机”。

⑵选中“添加网络、无线或 Bluetooth 打印机”，然后按照安装向导中的步骤进行操作。

3.如何用笔记本电脑(笔记本电脑)访问家庭网络中的共享文件和文件夹？您可以使用以下两种方式共享文件和文件夹：通过简单文件共享 — 将文件和文件夹置于网络上的一个公用共享文件夹中，或使用就地文件共享 — 标记每个文件或文件夹，而不必将每个文件或文件夹从当前位置进行移动，即可进行共享。

一、单选题**1. 计算机网络是按照（）相互通信的。

A.网络协议B. 信息交换方式C. 传输装置D. 分类标准答案A*2.建立计算机网络的最主要的目的是（）。

A. 提高内存容量B. 提高计算精度C. 提高运算速度D. 共享资源答案D*3．要浏览Internet网页，需要知道（）。

A. 网页制作的过程B. 网页设计的风格C. 网页的作者D. 网页的URL地址答案D**4．OSI参考模型是国际标准化组织制定的模型，把计算机之间的通信分成（）个互相连接的协议层A. 6B. 7C. 5D. 8答案B**5. 电子邮件地址有两部分组成。

即：用户名@（）。

A. 邮件服务器名B. 设备名C. 匿名D. 文件名答案A***6．以下为互联网中正确IP地址的是（）。

A. 128.128.1B. 0.0.1.259C. 255.255.258.359D. 128.127.0.1答案D**7．所谓加密是指将一个信息经过（）及加密函数转换，变成无意义的密文，而接受方则将此密文经过解密函数，（）还原成明文。

A. 解密钥匙、解密钥匙B. 解密钥匙、加密钥匙C. 加密钥匙、解密钥匙D. 加密钥匙、加密钥匙答案C**8．下列对Internet说法错误的是（）。

A. 客户机上运行的是WWW浏览器B. 服务器上运行的是Web文件C. 客户机上运行的是Web服务程序D. 服务器上运行的是Web服务程序答案C*9．Internet采用的通信协议是（）。

A. TCP/IPB. FTPC. WWWD. SPX/IP答案A**10．下面关于Internet网上的计算机地址的叙述，错误的是（）。

A. Internet网上的域名是唯一的，不能同时分配给两台计算机B. Internet网上的IP地址是唯一的，不能同时分配给两台计算机C. Internet网上的计算机地址用域名或IP地址表示D. Internet网上的所有计算机的域名的长度是固定相同的答案D*11．接入Internet的主要方式有（）。

15. 可以将外部可访问的服务器放置在内部保护网络中。

16. 在一个有多个防火墙存在的环境中，每个连接两个防火墙的计算机或网络都是DMZ。

17. 入侵检测技术是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。

18. 主动响应和被动响应是相互对立的，不能同时采用。

19. 异常入侵检测的前提条件是入侵性活动集作为异常活动集的子集，而理想状况是异常活动集与入侵性活动集相等。

20. 针对人侵者采取措施是主动响应中最好的响应措施。

21. 在早期大多数的入侵检测系统中，入侵响应都属于被动响应。

22. 性能“瓶颈”是当前入侵防御系统面临的一个挑战。

23. 漏报率，是指系统把正常行为作为入侵攻击而进行报警的概率。

24. 与入侵检测系统不同，入侵防御系统采用在线(inline)方式运行。

25. 蜜罐技术是一种被动响应措施。

26. 企业应考虑综合使用基于网络的入侵检测系统和基于主机的入侵检测系统来保护企业网络。

在进行分阶段部署时，首先部署基于网络的入侵检测系统，因为它通常最容易安装和维护，接下来部署基于主机的入侵检测系统来保护至关重要的服务器。

27. 入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。

28. 使用误用检测技术的入侵检测系统很难检测到新的攻击行为和原有攻击行为的变种。

29. 在早期用集线器(hub)作为连接设备的网络中使用的基于网络的入侵检测系统，在交换网络中不做任何改变，一样可以用来监听整个子网。

30. 可以通过技术手段，一次性弥补所有的安全漏洞。

31. 漏洞只可能存在于操作系统中，数据库等其他软件系统不会存在漏洞。

32. 防火墙中不可能存在漏洞。

33. 基于主机的漏洞扫描不需要有主机的管理员权限。

34. 半连接扫描也需要完成TCP协议的三次握手过程。

35. 使用漏洞库匹配的方法进行扫描，可以发现所有的漏洞。

36. 所有的漏洞都是可以通过打补丁来弥补的。

37. 通过网络扫描，可以判断目标主机的操作系统类型。

⼤连理⼯⼤学（城市学院）⽹络安全技术期末知识点第六章第六章：防⽕墙技术⼀．防⽕墙的发展历程1.防⽕墙概述在信任⽹络与⾮信任⽹络之间，通过预定义的安全策略，对内外⽹通信强制实施访问控制的安全应⽤设备。

.防⽕墙的功能：实现内部⽹与internet的隔离；不同安全级别内部⽹之间的隔离。

防⽕墙的功能（1）防⽕墙是⽹络安全的屏障（2）防⽕墙可以强化⽹络安全策略（3）对⽹络存取和访问进⾏监控审计（4）防⽌内部信息的外泄防⽕墙的基本特性（1）内部⽹络和外部⽹络之间的所有⽹络数据流都必须经过防⽕墙（2）只有符合安全策略的数据流才能通过防⽕墙（3）防⽕墙⾃⾝应具有⾮常强的抗攻击免疫⼒常⽤概念外部⽹络（外⽹）：防⽕墙之外的⽹络，⼀般为Internet，默认为风险区域。

内部⽹络（内⽹）：防⽕墙之内的⽹络，⼀般为局域⽹，默认为安全区域。

⾮军事化区（DMZ）：为了配置管理⽅便，内⽹中需要向外⽹提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部⽹络之间⼀个单独的⽹段，这个⽹段便是⾮军事化区。

包过滤，也被称为数据包过滤，是在⽹络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、⽬标地址以及端⼝等信息来确定是否允许数据包通过。

代理服务器，是指代表内部⽹络⽤户向外部⽹络中的服务器进⾏连接请求的程序DMZ简介DMZ⽹络访问控制策略（1）内⽹可以访问外⽹，内⽹的⽤户显然需要⾃由地访问外⽹。

在这⼀策略中，防⽕墙需要进⾏源地址转换。

（2）内⽹可以访问DMZ，此策略是为了⽅便内⽹⽤户使⽤和管理DMZ中的服务器。

（3）外⽹不能访问内⽹，很显然，内⽹中存放的是公司内部数据，这些数据不允许外⽹的⽤户进⾏访问。

（4）外⽹可以访问DMZ，DMZ中的服务器本⾝就是要给外界提供服务的，所以外⽹必须可以访问DMZ。

同时，外⽹访问DMZ需要由防⽕墙完成对外地址到服务器实际地址的转换。