防火墙及入侵检测复习题13

复习题

一、填空

1.启明星辰安全网关可以在三种模式下工作：路由模式、透明模式以及混杂模式以适应不同的应用场景。

2.防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

3.IPsec使用传输模式和隧道模式保护通信数据.

4.屏蔽子网是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内网和外网分开。

5.POP3协议在TCP的端口上等待客户连接请求。

6.访问控制列表的配种方式：一种为允许所有流量包，接受受信任的I P 包，拒绝其他所有的IP包；另一种为拒绝所有流量包，拒绝不受信任的IP包，接受其他所有的IP 包。

7.IPSec包含两个主要协议：封装安全负载协议esp和身份认证头协议All。

8.L2TP是L2F和PPTP的结合，支持单用户多隧道同时传输.

9.在Cisco IOS中，网络地址的辨别和匹配并不是通过子网掩码，而是通过翻转验码。

10.SSL协议是在传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

1.所谓入侵，是指任何试图危及计算机资源的完整性、机密性或可用性的行为.

12.通用入侵检测框架把一个入侵检测系统划分成4个相对独立的功能模块：事件产生器、事件分析器、相应单元和事件数据库。

13.DNS欺骗是通过破坏被攻击主机上的映射表，或破坏一个域名服务器来伪造1P地址和域名的映射，从而冒充其他主机。

14.传输模式IPSEC虚拟专用网，发送者将数据加密，数据的接收方实现信息的解密，在整个传输过程中都能保证信息的安全性。

15.地址翻译技术主要有静态翻译、动态翻译和端口翻译三种工作方式、

16.按数据检测方法分类，入侵检测技术可分为基于误用检测的IDS和基于异常检测的

IDS两类，模型匹配检测属于误用检测的IDS 。

17.检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报；检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。

18.拒绝服务攻击企图通过使你的服务计算机崩溃或者把它压垮来阻止为你提供服务，是一种较常见的攻击行为。

二、名词解释

I.NP：网络处理器

2 .位转发率：每秒中转发的位数

3.吞吐量：是指在没有帧丢失的情况下，设备能够接受的最大速率。

4.延时：指测试数据帧最后一个比特到达后第一个比特从另一端离开的间隔

5.丢包率：指测试中所丢失数据包数量占所发送数据组的比率。

6.误用检测：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵

7.虚警检测系统在检测时把系统的正常行为判定为入侵行为的错误

8.VPN:虚拟专用网络

9.PKI:公钥基础设施。PKI是一种遵摘标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

10.IPSEC :网络协议安全

II.NAT:网络地址转换

12.IDS:入侵检测系统

13.异常检测：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵

14.误报率：把系统正常行为判定为错误的概率。

15.漏报率：把某些入侵行为判定为正常行为的概率

三、简答

1.地址转换的优点？

解决地址紧张，保护内网

2.简述包过滤、应用代理、状态检测防火墙的区别？

包过滤和状态检测防火墙安全性弱，而应用代理防火墙安全性强。

3.简述P2DR安全模型思想？

是在整体的安全策略的控制和指导下在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反应将系统调整到相对安全和风险最低的状态。

4.简述防火墙的优缺点。

优点：1）元许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络；2）保护网络中脆弱的服务；3）可以监视网络的安全性，并产生报警；4）集中安全H 5）可以作为部署NAT的逻辑地址；6 ）增强保密性、强化私有权7 ）可以审计和记录Internet使用量；

8）可以向客户发布信息。

缺点：限制有用的网络服务；无法防护内网用户的攻击；不能防范不通过它的连接；不能完全防范病毒传播；不能防备数据驱动型的攻击；不能防备新的网络安全问题

5.IPSEC用密码技术从哪些方面保证数据的安全？

数据源身份验证，数据加密

6.什么是私有地址，共有多少个私有地址空间，请列举出来。

10. 0. 0< 0-10. 255.255.255

172. 16. 0. 0-172. 16. 31. 255. 255

192. 168. 0. 0-192. 168. 255. 255

7.为什么需要入侵检测系统？

入侵行为日益严重：攻击工具唾手可得；入侵教程隨处可见

内部的非法访问：内部网的攻击占总的攻击事件的70%以上；

没有监测的内部网是内部人员的“自由王国”；

边界防御的局限：防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击，防火墙不能防止Internet上下载被病毒感染的程序

8.問述入侵检测的任务。

入侵检测的作用：监控网络和系统;发现入侵企图或异常现象；实时报警;主动响应；审计跟踪9.分别叙述误用检测与异常检测原理？

误用检测把非正常数据建立特征库进行匹配

异常检测把正常的数据建立模型，不同的都是入侵

10.简述AH和ESP的区别.

1.AH没有ESP的加密特性

2.AH的身份验证是对整个数据包做出的，包括IP头部，ESP是对部分数据包做身份验证，

不包括IP头部分。

11.入侵检测系统的常见部署方式。

共享模式、交换模式、隐蔽模式、Tap模式和In-line模式。

12.简述防火墙常见的系统结构及其特点。

1.双宿主网关（堡垒主机）可以转发应用程序，提供服务

2.屏蔽主机网关，易于实现，安全性好，应用广泛

3.屏蔽子网，在因特网之间建立一个被隔绝的子网，用两个数据包过滤路由器将一个子网分别与因特网与因特网隔开

四、配置

1 .将内网用户通过地址转换，使得他们能够访问外网。

2.通过网址过滤，禁止内网用户上游戏网站，如冊w. 17171 com,能正常访问其它合法网站…

1.进入系统管理》网络，配置接IP地址

2.进入WEB过滤器》网络过滤》新建，打开定义被过滤网址对象名祢

3.单击新建按钮，定义要过滤的网址

4.回到添加网址条目界面，单击0K按钮，WEB过滤器定义完毕