1 / 9东 北 大 学 继 续 教 育 学 院网络安全技术 复习题 一、选择题（A）1、下列 协议是有连接。A、TCP B、ICMP C、DNS D、UDP（B）2、下列加密算法中 是对称加密算法 。A、RSA B、3DES C、Rabin D、椭圆曲线（C）3、完整性服务提供信息的 。A、不可抵赖性 B、机密性 C、正确性 D、可信性（B）4、防火墙是建立在内外网络边界上的 。A、路由设备 B、过滤设备 C、寻址设备 D、扩展设备（B）5、数字签名要预先使用单向 Hash 函数进行处理的原因是 。A、多一道加密工序使得密文更难破译B、缩小签名密文的长度，加快数字签名和验证签名的运算速度C、提高密文的计算速度D、保证密文能正确地还原成明文（C）6、在网络通信中，纠检错功能是由 OSI 参考模型的 实现的。 A、传输层 B、网络层 C、数据链路层 D、会话层（D）7、网络安全是在分布网络环境中对 提供安全保护。 A、信息载体 B、信息的处理和传输 C、信息的存储和访问 D、以上皆是课程名称: 网络安全技术 2 / 9（C）8、当进行文本文件传输时，可能需要进行数据压缩，在 OSI 模型中，规定完成这一工作的是 。 A、应用层 B、会话层 C、表示层 D、传输层（A）9、IP v4 地址是 B 位的。 A、32 B、48 C、64 D、128（D）10、包过滤技术是防火墙在 层中根据数据包头中包头信息有选择地实施允许通过或阻断。A、物理层 B、数据链路层 C、传输层 D、网络层（A）11、下列加密算法可以没有密钥的是 。A、不可逆加密 B、可逆加密 C、对称加密 D、非对称加密（D）12、威胁是一个可能破坏信息系统环境安全的动作或事件，威胁包括（）。A、目标 B、 代理 C、 事件 D、上面 3 项都是（C）13、对非军事区 DMZ 而言，正确的解释是 。A、DMZ 是一个非真正可信的网络部分B、DMZ 网络访问控制策略决定允许或禁止进入 DMZ 通信C、允许外部用户访问 DMZ 系统上合适的服务D、以上 3 项都是（D）14、包过滤技术是防火墙在 层中根据数据包头中包头信息有选择地实施允许通过或阻断。A、物理层 B、数据链路层 C、传输层 D、网络层（B）15、数字签名要预先使用单向 Hash 函数进行处理的原因是 。A、多一道加密工序使得密文更难破译课程名称: 网络安全技术 3 / 9B、缩小签名密文的长度，加快数字签名和验证签名的运算速度C、提高密文的计算速度D、保证密文能正确地还原成明文（A）16、防火墙一般被安置在被保护网络的（ ） 。A 边界 B 外部 C 内部 D 以上皆可（B）17、（ ）是可以在 DMZ 中放置的系统。A 邮件系统 B. Web 服务器 C 控制系统 D 以上皆可（ D ）16.（ ）属于端口扫描。A. TCP SYN 扫描B. TCP ACK 扫描C. TCP FIN 扫描D.以上皆是( B )17.SSL 产生会话密钥的方式是( )。A 从密钥管理数据库中请求获得B 随机由客户机产生并加密后通知服务器C 由服务器产生并分配给客户机D 每一台客户机分配一个密钥的方式（ A ）18.通常所说的移动 VPN 是指（ ）。A. Access VPNB. Intranet VPNC. Extranet VPND.以上皆不是"（ C ）19.（ ）协议必须提供验证服务。课程名称: 网络安全技术 4 / 9A. GREB. ESPC. AHD.以上皆是（ D ）20.会话劫持的根源在于 TCP 协议中对（ ）的处理。 A 数据包的包头B 数据包C 数据流D 分组二、判断题1.正确使用机密性服务可以防止非授权用户访问信息。 T2.PKI 是对称加密系统在实际中的较好应用。 F3.表示层本身不提供按全服务，但其提供的设施可支持应用层向应用程序提供安全服务。 F4.外部网络能与双重宿主主机通信，内部网络不能与双重宿主主机通信。 F5.在 L2F 中，隧道的配置和建立对用户是完全透明的，L2F 没有确定的客户方。T6. IPSec（IP Security）是一种由 IETF 设计的端到端的确保 IP 层通信安全的机制。 T7.拒绝服务攻击最主要的目的是造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。 T8.入侵检测系统具有访问控制的能力。 F课程名称: 网络安全技术 5 / 99 计算机病毒不需要宿主，而蠕虫需要。 F10.计算机病毒只能防，不能治。 F三、简答题1、为使防火墙起到安全防护的作用，必要的保证措施是什么？参考答案：(1) 所有进出被保护网络的通信必须经过防火墙。(2) 所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权。(3) 防火墙本身是不可被侵入的。2、简述 IPSec 的功能。参考答案： (1) 作为一个隧道协议实现了 VPN 通信IPSec 协议作为第三层隧道协议，可以在 IP 层创建一个安全的隧道，是两个异地的私有网络连接起来，或者使公网上的计算机可以远程访问企业的私有网络。(2) 保证数据来源的可靠。(3) 保证数据完整性。课程名称: 网络安全技术 6 / 9(4) 保证数据的机密性。3、简述 SYN 泛洪原理。（1）利用 TCP 连接的三次握手过程中的资源不平衡性。 （2）发动 SYN 攻击时，攻击者会发送一个从系统 A 到系统 B 的 SYN 分组，不过他用一个不存在的系统伪装源地址。 （3）系统 B 试图发送 SYN/ACK 分组到这个欺骗地址。（4）由于响应的系统并不存在，因此 B 系统就无法收到响应的 RST 分组或ACK 分组，直到连接超时。（5）由于连接队列的容量通常很小，攻击者通常只需要 10 秒钟发送若干SYN 分组就能够完全禁止某个特定的端口，造成相对应的服务无法对正常的请求进行响应。四、论述题1、什么是入侵检测系统，分析入侵检测系统的优点和局限。参考答案：入侵检测 IDS（Intrusion Detection System）是从计算机网络或计算机系统中的若干关键点课程名称: 网络安全技术 7 / 9搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。优点：（1）检测准确度较高；（2）可以检测到没有明显行为特征的入侵；（3）能够对不同的操作系统进行有针对性的检测；（4）成本较低；（5）不会因网络流量影响性能；（6）适于加密和交换环境。缺点：（1）实时性较差； （2）无法检测数据包的全部； （3）检测效果取决于日志系统； （4）占用主机资源； （5）隐蔽性较差； （6）如果入侵者能够修改校验和，这种入侵检测系统将无法起到预期的作用。课程名称: 网络安全技术 8 / 92、VPN 第二层协议中的 PPTP 和 L2TP 有那些不同？参考答案：PPTP 和 L2TP 都使用 PPP 协议对数据进行封装，然后添加附加包头用于数据在互联网的传输。两个协议很相似，也有不同：(1) PPTP 要求互联网络为 IP 网络，L2TP 只要求隧道媒介提供面向数据包的点对点的连接。(2) PPTP 只能两端点间建立单一隧道。L2TP 支持在两端点间使用隧道。使用 L2TP，用户可以针对不同的服务质量创建不同的隧道。(3) L2TP 可以提供包头压缩。L2TP 可以提供隧道认证，而 PPTP 则不支持隧道认证。但是当 L2TP 或 PPTP与 IPSec 共同使用时，可以由 IPSec 提供隧道认证，而不需要在第二层协议上验证隧道。3、论述网络中常见的攻击技术以及针对这些攻击的解决方案。参考答案：(1) 协议漏洞渗透，主要有会话监听与劫持、地址欺骗。解决方案：采用防火墙、入侵检测系统等联动机制。课程名称: 网络安全技术 9 / 9(2) 密码分析还原，主要有密码还原和密码猜测。解决方案：采用强度高的加密算法，是密码强度足够强。(3) 应用漏洞分析与渗透，主要包括服务流程漏洞和边界条件漏洞。解决方案：及时下载程序的最新补丁，在程序开发设计时采用安全的开发和实际方法。(4) 社会工程学，主要有物理分析和心理分析。解决方案：进行必要的信息安全教育和培训。(5) 拒绝服务攻击。解决方案：采用防火墙、入侵检测系统等联动机制。(6) 病毒或后门攻击。解决方案：病毒防火墙和杀毒软件。课程名称: 网络安全技术