网络防火墙在哪：网络安全基础知识面试题库

2024-04-16 01:28:23 0 0

1 基于路由器的攻击手段

1.1 源IP地址欺骗式攻击

入侵者从外部传输一个伪装成来自内部主机的数据包（数据包的IP是内网的合法IP）

对策：丢弃所有来自路由器外端口，却使用内部源地址的数据包。

1.2 源路由攻击

入侵者让数据包循着一个不可预料的路径到达目的地，以逃避安全系统的审核.

对策：丢弃所有包含源路由选项的数据包。

1.2.1 源路由

数据包中列出自己所经过的路由。某些路由器可以使用数据包的反向路由来传送应答数据，一个攻击者可以假冒一个主机，并通过一个特殊的路径来获得某些被保护数据。

1.3 极小数据段攻击

利用IP分段的特性，构造一个极小的分段，并强行将TCP信息头分割成多个数据包段。通常设备只检查第一个数据包段。

对策：丢弃协议类型为TCP，且IP Fragment Offset标志为1的数据包（这意味着还有分片）。

2 RARP协议

RARP：Reverse Address Resolution Protocal，逆地址解析协议。

允许局域网的主机从网关服务器的ARP表或缓存上请求IP地址。MAC——>IP ，RARP协议广泛应用于无盘工作站引导时获取IP地址。

比如局域网中有一台主机只知道自己的物理地址而不知道自己的IP地址，那么可以通RARP协议发出征求自身IP地址的广播请求，然后由RARP服务器负责回答。

RARP协议工作流程：

（1）主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；

（2）本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；

（3）如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；

（4）如果不存在，RARP服务器对此不做任何的响应；

（5）源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。

3 自主访问控制

3.1 自主访问控制策略DAC

主体可以自主地将其拥有的对客体的访问权限全部或部分地分别授予其他主体，灵活性高。

访问权的授予是可以传递的，不能真正提供对信息流的保护。

3.2 强制访问控制策略MAC

系统强制将主体和客体分为不同安全等级，主体对客体的访问要严格遵守以下原则：

向下读取：主体的安全级别必须高于所读客体的安全级别（大佬可以看小弟写的东西）
向上访问：主体的安全级别必须低于所写客体的安全级别（小弟可以为大佬写东西）

3.3 基于角色的访问控制策略RBAC

系统的用户担任一定的角色（与特定岗位相关的一组权限集），当用户改变时只需要进行角色的撤销和重新分配即可。

4 电子邮件的安全协议，Pretty Good Privacy（PGP）P315-w

4.1 加密

用对称密码加密消息，用公钥密码加密会话密钥。利用伪随机数生成会话密钥（对称），加密压缩后的消息。利用接收者的公钥加密会话密钥。

4.2 解密

把二进制数据分为两个部分，经过加密的会话密钥K和经过压缩，加密的会话消息M。

会话密钥被接收者的公钥加密，需要其私钥进行解密。

4.2.1 私钥的解密密钥

口令+盐（伪随机数）拼接在一起，利用单向散列函数得到私钥，用其对会话密钥进行解密。

4.3 生成数字签名

口令+盐（伪随机数）拼接在一起，利用单向散列函数得到私钥的解密密钥，解密后得到发送者的私钥，然后对消息的散列值进行签名。

4.4 验证数字签名

利用发送者的公钥验证签名，得到发送者发送的散列值。
根据单向散列函数计算散列值，对比验证。

4.5 生成数字签名并加密

发送者口令+盐（伪随机数）拼接在一起，利用单向散列函数得到私钥的解密密钥，解密后得到发送者的私钥，然后对消息的散列值进行签名。

经过签名的散列值和消息拼接在一起。

利用伪随机数生成会话密钥（对称），加密压缩后的签名+消息。利用接收者的公钥加密会话密钥。

4.6 解密并验证数字签名

口令+盐（伪随机数）拼接在一起，利用单向散列函数得到私钥的解密秘钥，用对称密码解密得到接收者的私钥。

解密会话密钥，利用对称密码解密签名+消息。

利用发送者的公钥验证签名，并得到散列值。

对消息使用单向散列函数得到散列值，两者进行对比。

5 防火墙和非军事化区DMZ

5.1 按照工作层次分类

5.1.1.1 包过滤防火墙

key：提取包头信息——和访问控制规则一一比较

无法全面控制信息，不能很好地理解上下文环境和数据。
内外部直接交互数据，内部所有主机和路由器都可能被攻击。

5.1.1.2 状态监测防火墙

“状态检测”机制以流量为单位来对报文进行检测和转发。即对一条流量的第一个报文进行包过滤规则检查，并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发（或进行内容安全检测）还是丢弃。这个“状态”就是会话表项。

协议过滤和转发——登记、统计、分析形成日志

5.1.3 代理服务

作用：

1.提高访问速度。

由于**目标主机返回的数据会存放在代理服务器的硬盘中，因此下一次客户再访问相同的站点数据时，会直接从代理服务器的硬盘中读取，起到了缓存**的作用，尤其对于热门站点能明显提高请求速度。

2.防火墙的作用。

由于所有的客户机请求都必须通过代理服务器访问远程站点，因此可在代理服务器上设限，_过滤某些不安全信息_。

3.通过代理服务器访问不能访问的目标站点

互联网上有许多开发的代理服务器，客户机在访问受限时，可通过不受限的代理服务器访问目标站点

5.2 按结构分类

5.2.1 双宿主主机结构

双宿主主机有两个网络接口，一个接口与内部网络连接，另一个接口与外部网络连接。
内部网络之间不可直接通信。在主机中运行代理服务器，为内部用户提供某种特殊网络服务的桥接。

5.2.2 屏蔽主机体系结构

使用一个屏蔽路由器和一个堡垒主机构成防火墙。

堡垒主机是一种被加固的可以防御进攻的计算机，屏蔽路由器应保证所有的输入信息必须先送往堡垒主机，并且只接受来自堡垒主机的输出信息。

内部网络中的其他站点也********只能访问堡垒主机。

如果路由器被渗透，则堡垒主机将被穿过，整个网络将对入侵者开放。

5.2.3 屏蔽子网体系结构

屏蔽子网结构增加一个内部网与因特网隔离的周边网络（DMZ），从而进一步增强堡垒主机的安全性。

它使用周边网络隔离堡垒主机，能够削弱外部网络对堡垒主机的攻击

5.2.3.1 非军事化区(DMZ)

为了解决安装防火墙后**外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施**，如企业Web服务器、FTP服务器和论坛等。

另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，_对攻击者来说又多了一道关卡_。

5.7 防火墙和入侵检测系统

1）防火墙是位于两个**信任程度不同的网络之间的软件或硬件设备的组合，实质上是一种隔离控制技术**。

进行入侵检测的软件和硬件的组合便是入侵检测系统（intrusion detection system IDS），入侵检测(intrusion detection)是指“通过对**行为、安全日志、审计数据等信息进行操作，检测到对系统的闯入或闯入的企图**”。

2）防火墙对**内外网络的通信进行探测和分析，从而保证内部网络安全**；

入侵系统则是对**用户的系统的活动进行监测并分析，检查系统配置和操作系统日志管理。从而保证内部网络安全**。

3）防火墙是网络安全的**第一道防线**，入侵检测系统是网络安全的第二道防线。

关系：

入侵检测系统和防火墙都为网络安全服务，二者可以很好地互补，这种互补体现在静态和动态两个方面：

静态的方面是IDS可以通过了解防火墙的策略，对网络上的安全事件进行有效的**分析，从而实现准确地报警，减少误报。**
动态方面是当IDS发现攻击行为时，可以通知防火墙**对已经建立的连接进行有效的阻断**，同时通知防火墙修改策略，防止潜在的进一步攻击。

5.7.1 网络入侵检测系统NIDS

在网络上的某点被动监听原始流量。
通过对网络行为过程分析，检测入侵行为。

5.7.2 主机入侵检测系统HIDS

分析单个计算机上的审计数据（系统日志、应用程序日志）。
根据攻击对系统的影响来判断攻击事件。

5.7.3 混合分布式入侵检测系统

检测多个主机+多个网段进行关联和综合分析。
能够检测到来自不同主机和网段的分布式攻击，减轻集中处理带来的问题。

5.7.4 基于异常的入侵检测系统ADS

与可接受行为间的偏差。定义正常用户的特征，如果偏离过大则为不可接受行为（异常）。
漏报率低，误报率高。能有效检测未知入侵。

5.7.5 基于误用的入侵检测系统MDS

与不可接受行为间的匹配程度。建立不可接受行为的特征库，如果匹配则为不可接受行为。
漏报率高，误报率低。不能有效检测未知入侵。

6.信息隐藏的相关手段

6.1 文本信号中的信息隐藏

通过调整文本的行间距、字间距来隐藏信息。
利用载体生成技术，将一段要隐藏的机密信息通过一个文本生成器，产生一段有意义的文本。

6.2 在图像中的信息隐藏

用秘密信息比特换掉载体图像中不重要的部分，以达到对秘密信息进行编码的目的。

以位平面为代表的基于空间域信息隐藏技术具有容量大、处理简单的优点，但是隐藏信息抵抗各种处理（如滤波、压缩等）的能力比较弱。
DCT 域隐藏为代表的基于变换域隐藏的特点是，隐藏信息的安全性比较强，能够抵抗各种压缩处理，但是隐藏的数据容量有限。

6.3 视频的信息隐藏一般分为三种

在原始视频流中隐藏信息，可以直接使用静止图像的隐藏算法，但是处理的数据量很大，并且抵抗压缩的能力较弱。
在 MPEG2 视频压缩算法中嵌入隐藏算法，在压缩的同时进行信息隐藏。
在压缩后的视频信号中进行隐藏，这类算法对视频质量影响不大，稳健性好，但是可以隐藏的数据量不大。

7.数据库相关知识点

8.tcsec安全等级

8.1 TCB可信计算基

软硬件的集合体，处理主体S对客体O的存取，满足：

处理逐个存取
抗篡改——所以可信
结构易于分析和测试

通常为整个操作系统。

8.2 D 非安全保护类

此类保护是没有安全特点的

8.3 C1 自主安全保护

C1级系统必须有一个防止破坏的区域，能隔离用户与数据，是同一敏感性等级下处理数据的多用户环境。

最低的系统的要求：

1.应在数据处理系统(ADP)已命名的用户和客体之间定义和控制存取。

2.对用户进行核验——用户对TCP做出标识，TCP对其进行验证，该验证数据被保护。

3.维持自身的执行范围，保证免受外部干涉。

8.4 C2 可控安全保护

比C1级更精细的无条件存取控制，可通过注册程序、审计等使用户对他们的活动负责。在C1级的基础上提供控制以防止存取扩散。

提供识别ADP各个个体的能力。
提供将这种身份与该个体发生的所有可审计动作相联系的能力。

8.5 B1 标记强制安全保护

在C2级的基础上，必须提出安全策略模型的非正式阐述、数据标号、命名主体对客体强制性的存取控制，对输出信息必须有强制性的标号能力。

敏感性标号：代表一个客体的安全等级并描述该客体中数据的敏感性的一条信息，被用于强制性存取控制判断的基础。
强制性存取：在多级信道上输入/出一个客体时，该信道使用的协议应在敏感性标号（客体自带）和被发送、接收信息之间进行匹配。

8.6 B2 结构强制安全保护（最小权限原则）

TCB建立在对形式化安全模型的清晰定义上。将强制性存取扩展到全部的主体和客体，并提供了隐秘信道的安全问题。

系统中每个主体执行授权任务时，应被授予最小存取权。

安全策略：

终端交互对话期，TCB应将安全等级的各种变化立即通知用户。
终端用户能向TCB询问完整的敏感性标号。

8.7 B3 强制安全区域保护

TCB与用户间的可信通信路径，供TCB与用户建立可靠连接时使用。
能监控可审计事件的发生和积累，当有关指标超过阈值时，可以立刻通知安全管理员。并在事件积累下去时采取破坏最下的操作中值

A1 验证保护类

安全形式化验证方法，如：智能合约
强制+无条件有效控制系统中处理+存储的保密敏感信息。

超A1

9.APT攻击举例

APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。

(1)攻击者：拥有高********水平专业知识和丰富资源的敌对方。

(2)攻击目的：破坏某组织的关键********设施,或阻碍某项任务的正常进行

(3)攻击手段：利用_多种攻击_方式,通过在目标****_基础设施_上建立并扩展立足点来获取信息。****

(4)攻击过程：在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持********高水平的交互来达到攻击目的。

从本质上讲， APT攻击并没有任何崭新的攻击手段，比如0 Day，比如钓鱼邮件，比如社工，比如木马，比如DDOS，都是存在已久的攻击手段，它只是多种攻击手段的战术性综合利用而已。

0 Day：指系统商（比如微软）在知晓并发布相关补丁前就被某些人和组织掌握或公开的漏洞信息。

DDOS：攻击者事先设法得到互联网上的**大量主机的用户账号，然后攻击者设法秘密地在这些主机上安装从属程序（slave program）当攻击者发动攻击时，所有从属程序**在攻击者的主程序（master program）的控制下，在同一时刻向被攻击者发起DOS。

夜龙攻击：

该攻击的攻击过程是：

外网主机如Web服务器遭攻击成功，多半是被SQL注入攻击;——外服务器

被黑的Web服务器被作为跳板，对内网的其他服务器或PC进行扫描;——内服务器

内网机器如AD服务器或开发人员电脑遭攻击成功，多半是被密码暴力破解;——内部开发人员

被黑机器被植入恶意代码，多半被安装远端控制工具(RAT)，传回大量机敏文件(WORD、PPT、PDF等等)，包括所有会议记录与组织人事架构图;——远程控制+传回

更多内网机器遭入侵成功，多半为高阶主管点击了看似正常的邮件附件，却不知其中含有恶意代码。

10 网络安全策略举例

10.1 网络规划时的安全策略

明确网络安全策略的责任人和实施者。——谁负责？谁实施？
设置物理上和环境上的安全措施。——检查物理环境
网络和Internet间安装防火墙。——设置防火墙

10.2 网络管理员的安全策略

了解公共数据和机密数据。——明白不同数据的保密性要求
定期培训。——提升知识水平
确保服务器只能从新的windows操作系统启动。——老的存在漏洞

10.3 网络用户的安全策略

密码，定期设置。——定期改密
清楚自己私有数据的存储位置，知道如何备份恢复。
不在本地硬盘上共享文件。——不共享

11 osi表示层的作用

涉及正在传输数据的语法和语义；

将消息以合适电子传输的格式编码；

提供数据格式、变换和编码转换；

执行该层的数据压缩和加密；

从应用层接收消息，转换格式，并传送到会话层，该层常合并在应用层中。

12 操作系统中页表的作用

12.1 连续分配方式

单一连续：给进程分配固定大小的内存，可能用不完。
固定分区分配：将用户空间划分为大小各异的区域，划分后区域大小不变，特定进程放入特定区域。
动态分区分配：装入时再考虑。

12.2 非连续分配

12.3 逻辑地址如何转换到物理地址？

模块的起始地址+在这个模块上的偏移量

在页式管理中，页表的作用是实现从页号到物理块号的地址映射，存储页表的作用是记录内存页面的分配情况。

13 身份认证的方法举例

比如静态密码、生物识别、口令识别等等

（1）“挑战—应答”。“挑战—应答”认证机制中，通常用户携带一个相应的“挑战—应答”令牌。令牌内置种子密钥和加密算法。用户在访问系统时，服务器随机生成一个挑战并将挑战数发送给用户，用户将收到的挑战数手工输入到“挑战—应答”令牌中，“挑战—应答”令牌利用内置的种子密钥和加密算法计算出相应的应答数，将应答数上传给服务器，服务器根据存储的种子密钥副本和加密算法计算出相应的验证数，和用户上传的应答数进行比较来实施认证。

（2）时间同步。原理是基于动态令牌和动态口令验证服务器的时间比对，基于时间同步的令牌，一般每60 s产生一个新口令，要求服务器能够十分精确地保持正确的时钟，同时对其令牌的晶振频率有严格的要求，这种技术对应的终端是硬件令牌。目前，大多数银行登录系统采用这种动态令牌登录的方式，用户持有一个硬件动态令牌，登录到系统时需要输入当前的动态口令以便后台实现验证。近年来，基于智能手机的软件动态令牌逐渐受到青睐，用户通过在智能手机上安装专门的客户端软件并由该软件产生动态口令完成登录、交易支付过程。例如，“支付宝”APP便是一款携带动态令牌的手机客户端软件

14 ssl

作用举例：用户在使用浏览器发送信用卡数据，数据被SSL加密。

传统的协议栈：应用程序+TCP套接字+TCP+IP

加入SSL后：应用程序+SSL套接字+SSL子层+TCP套接字+TCP+IP

14.1 SSL提供的服务：

SSL服务器鉴别，允许用户核实服务器的身份。SSL的客户端通过验证来自服务器的证书，来鉴别服务器的真实身份，并获得服务器的公钥。
SSL客户鉴别，SSL的可选安全服务，允许服务器证实客户的身份。
加密的SSL会话，对客户和服务器之间的所有数据进行加密，并检测报文是否被篡改。

14.2 SSL工作的简要过程：

协商加密算法。
服务器鉴别。服务器B将自己的公钥和数字证书发给A。A使用CA的公钥对证书进行鉴别。
会话密钥计算。A生成秘密数，利用B的公钥加密后发给B，双方根据协商的算法产生共享的对称会话密钥。
安全数据传输。双方用会话密钥加密和解密它们之间传送的数据并验证其完整性。

15 SNMP协议

15.1 SNMP管理模型主要包括哪三部分？它们各自的作用是什么？

主要包括：管理进程、代理进程和管理信息库。

管理进程：

负责对网络中的设备和设施进行全面的管理和控制的软件，是网络管理中的主动实体。
它提供网络管理员与被管对象间的界面。
完成网络管理员指定的各项管理任务，可读取或改变被管对象的网络管理信息。

代理进程：

从MIB中读取各种变量值；
在MIB中修改各种变量值，充当管理系统和被管系统之间的信息中介
网络管理中的被动实体，相当于一个解释器和过滤器，将来自网络管理者的命令或信息的请求转换为设备特有的指令，完成管理进程下达的管理任务，并且以通知的形式向管理进程报告被管对象发生的一些重要事件

管理信息库：

用于记录网络中被管理对象的信息，它要与网络设备中的实际状态的参数保持一致。

15.2 SNMP主要包含什么功能？

读操作，检测被管对象的状态；

写操作，改变被管对象的状态。

通过探询来实现，即SNMP管理进程定时向被管理设备周期性地发送探询信息。

探询好处：

使得系统相对简单。
能够限制通过网络所产生的管理信息的通信量。

探询坏处：

不灵活，管理的设备数目不能太多。
开销较大。

当被管对象的代理检测到某些事件发生时，就检查其门限值，如果达到某值，才向管理进程报告。——自陷

自陷好处：

仅在严重事件发生时才发送陷阱。
陷阱信息很简单且所需字节数很少。

SNMP为何使用UDP？

**1、支持分布式网络管理。****支持一对一、一对多、多对一和多对多交互通信。
2、扩展了数据类型 3、可以实现大量数据的同时传输，提高了效率和性能。**UDP 的首部开销小，只有 8 个字节，TCP为20个字节。

16 windows安全机制

16.1 地址随机化：ASLR机制

借助ASLR，PE文件每次加载到内存的起始地址都会随机变化，并且每次运行程序时相应进程的栈以及堆的起始地址也会随机改变。也就是说，每次EXE文件运行时加载到进程内存的实际地址都不同，最初加载DLL文件时装载到内存中的实际地址也是不同的。用以防止恶意代码造成的缓冲区溢出。

微软采用这种方式加载PE文件是为了增加系统的安全性。大部分Windows OS安全漏洞（一般为缓冲区溢出）只出现在特定OS、特定模块、特定版本中。以这些漏洞为目标的漏洞利用代码（exploit code）中，特定内存地址以硬编码的形式编入（因为在以前的OS中，根据OS版本的不同，特定DLL总是会加载到固定地址）。因此，微软采用了这种ASLR技术，增加了恶意用户编写漏洞利用代码的难度，从而降低了利用OS安全漏洞破坏系统的风险

16.2 栈保护：GS

在编译时可以选择是否开启GS安全编译选项。这个操作会给每个函数增加一些额外的数据和操作，用于检测栈溢出。
在函数调用时，会在返回地址和EBP之前压入一个额外的Security Cookie。系统会比较栈中的这个值和原先存放在.data中的值做一个比较。如果两者不吻合，说法栈中发生了溢出。

弊端

难以防御基于函数指针，虚函数的攻击
难以防御异常处理的攻击
只是防御栈，对堆无能为力

17 系统登录口令的加密

MD5+盐：https://blog.csdn.net/y506798278/article/details/104169845?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161503759216780274136020%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=161503759216780274136020&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2_allbaidu_landing_v2~default-1-104169845.first_rank_v2_pc_rank_v29&utm_term=%E7%B3%BB%E7%BB%9F%E7%99%BB%E5%BD%95%E5%8F%A3%E4%BB%A4%E7%9A%84%E5%8A%A0%E5%AF%86

18 伪随机数

根据外部输入的种子生成序列，种子可以是传感器收集的热量、声音等信息。

线性同余法：A*种子+C mod M。知道ACM，即使不知道种子也可以预测出所有可能的输出。不具备不可预测性（不能根据前一个伪随机数得到下一个伪随机数）。

密码法：生成初始值，加密，再加1。攻击者只要不知道密钥就无法加密得到下一个伪随机数。

对伪随机数生成器的攻击：

需要将具备不可重现性的真随机数作为种子。

对随机数池进行攻击：

一堆真随机数。

19 P2DR

policy protection detection response

策略是基础，根据策略要指定保护、侦测和响应的细节。

20 网络窃密的手段

1 利用“木马”病毒窃密

一般来说，木马都有一个信息反馈机制。控制端上的控制端程序与木马端上的木马程序取得联系，并通过木马程序对木马段进行远程控制，此时攻击者就可以窃取计算机里的重要资料。

对策：个人用户在使用计算机存储个人重要信息时可采取使用加密软件对信息进行加密。

2 利用“摆渡”技术泄密

“摆渡”就是利用移动存储介质在不同计算机之间隐蔽传输数据信息的泄密技术。利用摆渡技术窃密主要是通过互联网使U盘感染摆渡程序。

对策：要规范U盘等移动存储介质的使用，从网上下载应采取单向导入的方式。

3 数据恢复技术窃密

窃密者提供高价回收政府单位或高新技术企业因损坏或者设备更新淘汰下来的计算机，收回去后利用掌握的恢复技术，将硬盘中残留的国家秘密信息或者企业商业秘密信息恢复，达到窃取目的。

对策：政府单位在淘汰计算机时必须按照国家规定将硬盘彻底的物理销毁。

数学部分

1 平稳过程和自相关函数

2