沐雪专业网站建设,大连企业制作网站,建设物流,做国外服务器网站文章目录 第一章 绪论✅ 单选题✅ 简答题6. 假定你是单位的安全主管#xff0c;为了提高单位的网络安全性#xff0c;在制定单位的安全保障方案时#xff0c;有哪些措施#xff08;包括技术和非技术的#xff09;#xff1f;9. 有人说只要我有足够多的钱#xff0c;就可… 文章目录 第一章 绪论✅ 单选题✅ 简答题6. 假定你是单位的安全主管为了提高单位的网络安全性在制定单位的安全保障方案时有哪些措施包括技术和非技术的9. 有人说只要我有足够多的钱就可以采购到自己想要的安全设备来保障本单位的网络安全不受攻击。你是否同意这一说法为什么 第五章 无线网络安全✅ 单选题 第六章 IP及路由安全不进 传输模式和隧道模式 AH 和 ESP⭐ AHAuthentication Header协议⭐ ESPEncapsulating Security Payload协议⭐ 总结 ✅ 单选题✅ 简答题2. 分析AH协议不能与NAT兼容的原因。6. IPsec体系结构文档中指出当两个传输模式SA被绑定在同一个端对端流中允许AH和ESP两种协议但认为只有先实施ESP协议再实施AH协议才合适。说明不推荐先实施AH协议再实施ESP协议的理由。7. 当仅采用ESP传输模式如果修改了IP包的首部IPsec是否能检测出来这种修改8. ESP传输模式下如果使用了加密为什么ESP首部SPI和序列号字段不在加密范围之内11. 简要论述“数字大炮”的攻击原理及防御措施。12. 简要论述在IPv4网络和IPv6网络中路由协议的安全机制和保护措施有什么不同。 第七章 传输层安全不进 SSL 体系结构⭐ SSL 握手协议⭐ SSL 密码变更规范协议⭐ SSL 警告协议⭐ SSL 记录协议 SSL的链式加密和数字信封⭐ 链式加密⭐ 数字信封⭐ 总结 ✅ 单选题✅ 简答题5. 在SSL和TLS中为什么需要一个独立的密码变更规格协议而不是在握手协议中包含一条密码变更规格消息10. 分析IPsec VPN和SSL/TLS VPN各自的优缺点以及相应的应用场合。11. 比较分析在网络层、传输层和应用层实现安全传输的优缺点。12. 论述SSL/TLS是如何应对Web应用面临的下述安全威胁的。 第九章 Web 应用安全不进❌ 构造 SQL 注入❌ 路由器间的 IPSec 配置、命令 ✅ 单选题✅ 简答题3. 如果你是一个Web应用程序员应该采取哪些措施以减少Web应用程序被SQL注入攻击的可能性9. 简述CSRF攻击与XSS攻击的区别与联系。15. 比较分析HTTPS与HTTP over QUIC。17. 小王出差 第十章 电子邮件安全✅ 单选题 第十一章 拒绝服务攻击及防御✅ 单选题 第十二章✅ 单选题 第一章 绪论
✅ 单选题 ✅ 简答题
6. 假定你是单位的安全主管为了提高单位的网络安全性在制定单位的安全保障方案时有哪些措施包括技术和非技术的
组织管理体系 组织机构人员编制职责分工教育培训 技术标准体系 技术法规标准和规范 技术防护体系 P2DR 模型涉及的各项技术边界部署防火墙内部安全 IDS网络隔离单机防护 个人防火墙杀毒软件关闭不必要的服务口令
9. 有人说只要我有足够多的钱就可以采购到自己想要的安全设备来保障本单位的网络安全不受攻击。你是否同意这一说法为什么
不同意。安全不仅仅是技术对应到安全设备上的问题还涉及人和管理。此外没有一种技 术能完全阻止所有攻击特别是一些未知攻击。
第五章 无线网络安全
✅ 单选题 第六章 IP及路由安全
不进 传输模式和隧道模式
传输模式和隧道模式的区别传输模式 SA隧道模式 SAAH对 IP 载荷和 IP 首部的选中部分、IPv6 的扩展首部进行认证对整个内部 IP 包内部首部和 IP 载荷和外部 IP 首部的选中部分、外部 IPv6 的扩展首部进行认证ESP对 IP 载荷和跟在 ESP 首部后面的任何 IPv6 扩展首部进行加密加密整个内部 IP 包AH ESP对 IP 载荷和 ESP 首部后面的任何 IPv6 扩展首部进行加密同时对 IP 载荷进行认证但不认证 IP 首部加密并认证整个内部 IP 包 AH 和 ESP
⭐ AHAuthentication Header协议
认证和完整性AH协议主要用于确保数据包的来源是可信的并且数据包在传输过程中没有被篡改。它通过对数据包的某些部分包括IP头和数据负载进行哈希运算生成一个认证数据Integrity Check Value, ICV并将其附加到数据包中。保护范围AH协议保护整个IP数据包的内容包括IP头和数据负载但不包括某些可变字段如TTL和Fragment Offset。
通俗解释
身份验证就像在信封上签名确保信是由特定的人发送的。完整性检查确保信封里的信件没有被篡改。
⭐ ESPEncapsulating Security Payload协议
加密和认证ESP协议不仅提供数据包的认证和完整性还提供数据加密。它对数据负载进行加密确保数据在传输过程中无法被窃取或篡改。ESP还可以对数据包的某些部分进行认证类似于AH协议。保护范围ESP协议主要保护数据负载和ESP头而不保护外部的IP头。
通俗解释
加密就像把信件放在一个上锁的盒子里只有收件人有钥匙能打开。身份验证和完整性检查确保信件是由特定的人发送的并且信件内容没有被篡改。
⭐ 总结
AH协议主要用于认证和完整性检查确保数据包的来源可信且未被篡改但不加密数据。 ESP协议提供数据加密、认证和完整性检查确保数据在传输过程中无法被窃取或篡改。 通过这两种协议IPsec可以在网络通信中提供更高的安全性。
✅ 单选题 ✅ 简答题
2. 分析AH协议不能与NAT兼容的原因。
被AH认证的区域是整个IP包可变字段除外包括IP包首部因此源IP地址和目的IP地址如果被修改就会被检测出来。但是如果该包在传输过程中经过NAT其源或目的IP地址将被改变将造成到达目的地址后的完整性验证失败。因此AH传输模式和NAT不能同时使用。
6. IPsec体系结构文档中指出当两个传输模式SA被绑定在同一个端对端流中允许AH和ESP两种协议但认为只有先实施ESP协议再实施AH协议才合适。说明不推荐先实施AH协议再实施ESP协议的理由。
主要是性能上的考虑由于解密处理需要大量占用CPU和内存在通过认证完整性验证后再进行解密处理会更好一些如果认证没有通过就不需要执行耗时的解密操作。
7. 当仅采用ESP传输模式如果修改了IP包的首部IPsec是否能检测出来这种修改
不能
8. ESP传输模式下如果使用了加密为什么ESP首部SPI和序列号字段不在加密范围之内
主要原因在于接收端需要SPI字段加上源IP地址、IPsec协议来唯一确定对应的SA利用该SA进行验证、解密等后续处理。如果 SPI 被加密了就无法找到对应的SA也就无法进行后续的验证、解密操作。对于序列号字段主要用于抗重放攻击不会泄露明文中的任何机密信息此外不加密序列号字段也使得一个包无需经过耗时的解密过程就可以判断包是否重复如果重复则直接丢弃节省了时间和资源。
11. 简要论述“数字大炮”的攻击原理及防御措施。 数字大炮的攻击原理 “数字大炮”是一种DDoS攻击攻击者利用大量受感染的设备僵尸网络同时向目标服务器发送大量请求导致服务器过载无法正常提供服务。 防御措施 流量监控和过滤实时监控和过滤异常流量。分布式防御使用CDN和负载均衡分散流量。带宽扩展增加服务器带宽容量。速率限制限制单个IP的请求速率。黑白名单阻止恶意IP允许可信IP。云防护服务使用专业DDoS防护服务如Cloudflare。
12. 简要论述在IPv4网络和IPv6网络中路由协议的安全机制和保护措施有什么不同。
IPv4 网络中路由协议的安全需要路由协议本身来完成IPv6网络中可以利用IPv6中的IPsec协议提供的认证和加密服务来保证其安全。
第七章 传输层安全
不进 SSL 体系结构 SSL记录协议层的作用是为高层协议提供基本的安全服务。SSL握手协议层的作用是协调客户和服务器的状态使双方能够达到状态的同步。
⭐ SSL 握手协议
用于建立安全连接协商加密算法、会话密钥和认证信息。
握手流程如下 书中配图 举个子
⭐ SSL 密码变更规范协议
通知对方将使用新的加密算法和密钥。
⭐ SSL 警告协议
传递警报信息指示错误或重要事件。
⭐ SSL 记录协议
负责数据分片、压缩、加密和完整性保护。 SSL的链式加密和数字信封
在SSL/TLS协议中链式加密和数字信封是与加密机制和密钥分发相关的两个概念尽管它们的实现方式不同核心目标是确保安全的数据传输。 ⭐ 链式加密
链式加密的核心理念是数据的加密具有前后依赖性
密码分组链接模式CBC模式
CBCCipher Block Chaining是一种常见的分组加密模式。每个明文块的加密依赖于前一个密文块和当前明文块。加密流程 第一个明文块与一个初始化向量IV进行异或运算。结果通过对称加密算法加密生成密文块。后续的明文块会与上一个密文块异或后再加密形成链式依赖。
特点
每个密文块不仅和当前明文相关也依赖于前面的密文。增加了安全性但必须确保初始向量IV的随机性和唯一性。 ⭐ 数字信封
数字信封是SSL/TLS协议中用于实现对称密钥安全分发的一种机制结合了对称加密和非对称加密技术。
流程 生成对称密钥 通常是随机生成的一个对称密钥用于后续的会话加密。 加密数据 使用该对称密钥如AES对数据进行加密加快传输速度。 加密对称密钥 使用接收方的公钥如RSA对对称密钥进行加密确保只有接收方拥有私钥能解密。 传输加密数据和加密后的对称密钥 加密数据和被加密的对称密钥共同传输接收方用私钥解密出对称密钥后再用它解密数据。
特点
结合了对称加密的高效性和非对称加密的安全性。避免了直接传输对称密钥的风险确保密钥分发安全。 ⭐ 总结
特性链式加密数字信封用途用于加密数据流通常是分组加密模式的一部分用于密钥的安全分发依赖性每个密文块依赖于前一个密文块对称加密依赖随机生成的会话密钥密钥由非对称加密保护技术基础对称加密对称加密 非对称加密SSL中应用场景提高传输数据的安全性确保会话密钥的安全分发
这两者在SSL/TLS协议中协同工作共同保证了数据传输的机密性和完整性。 ✅ 单选题 ✅ 简答题
5. 在SSL和TLS中为什么需要一个独立的密码变更规格协议而不是在握手协议中包含一条密码变更规格消息
为了保障SSL传输过程的安全性SSL协议要求客户端或服务器端每隔一段时间必须改变其加解密参数。
当某一方要改变其加解密参数时就发送一个简单的消息通知对方下一个要传送的数据将采用新的加解密参数也就是要求对方改变原来的安全参数。因此无论是从功能上还是从可扩展性来讲将其独立出来而不是作为握手协议的一部分更合适。
10. 分析IPsec VPN和SSL/TLS VPN各自的优缺点以及相应的应用场合。
对比方面IPsecVPNSSLVPN工作层级网络层直接运行在IP协议之上。应用层对HTTP流量进行加密。配置部署适用于站点到站点Site to Site需在每个站点部署VPN网关或远程用户安装专用VPN客户端配置复杂维护成本高。适用于客户端到站点Client to Site远程用户只需使用支持SSL的标准浏览器并安装指定插件即可访问通过数据中心部署VPN网关进行集中管理和维护配置简单维护成本低。安全性高安全性需专用客户端或网关设备用户访问受用户认证规则、安全策略规则或内容安全过滤的检查。安全性较低无需专用客户端或接入站点部署网关设备更容易受到安全威胁的影响。访问控制不能基于应用进行细粒度访问控制。灵活的精细化访问控制网络管理员可以根据不同的应用类型将网络资源划分为不同的资源类型每一类资源的访问权限都不一样。
11. 比较分析在网络层、传输层和应用层实现安全传输的优缺点。
实现层级优点网络层IPsec对终端用户和应用透明更具通用性。具有过滤功能只对被选中需要进行保护的流量进行认证和加密保护。传输层SSL/TLS充分利用传输层TCP协议的可靠性和流量控制功能简化协议设计。 兼具通用性和细粒度的安全需求。应用层针对应用的特定需求定制所需的安全服务。
12. 论述SSL/TLS是如何应对Web应用面临的下述安全威胁的。
1已知明文字典攻击许多消息中可能会包含可预测的明文如HTTP中的GET命令。攻击者首先构造一个包含各种可能的已知明文加密字典。然后截获加密消息并将包含已知明文的加密部分和字典中的密文进行比较。如果多次匹配成功就可以获得正确的密码。 使用128位密钥而不是40位密钥。使得明文字典必须足够大才行 2穷举密码分析攻击穷举传统加密算法的密钥空间。 使用的密钥长度大于40位~160位 3重放攻击重放先前的SSL握手消息。 使用现时Nonce 4中间人攻击在交换密钥时攻击者假冒服务器与客户端联系或假冒客户端与服务器联系。 用公钥证书进行身份认证 5密码监听监听HTTP或其他应用流量中的密码。 使用加密 6IP欺骗使用伪造的IP地址向目标主机发送数据。 攻击者必须有私钥和假冒的IP地址才行 第九章 Web 应用安全
不进
❌ 构造 SQL 注入
❌ 路由器间的 IPSec 配置、命令
✅ 单选题 ✅ 简答题
3. 如果你是一个Web应用程序员应该采取哪些措施以减少Web应用程序被SQL注入攻击的可能性
使用预编译语句避免动态拼接SQL确保参数化查询。对用户输入进行严格验证过滤危险字符。使用存储过程减少SQL暴露的风险。数据库账户应具备最小权限避免使用高权限账户。采用ORM框架自动生成安全的SQL语句。确保错误信息不暴露给用户防止泄露数据库结构。对输入进行适当的转义防止恶意字符进入SQL语句。定期进行安全审计和漏洞扫描及时发现潜在的安全问题。
9. 简述CSRF攻击与XSS攻击的区别与联系。
CSRF跨站请求伪造攻击是通过诱使用户点击恶意链接或提交恶意表单在用户不知情的情况下向受信任的网站发送请求执行未经授权的操作。XSS跨站脚本攻击攻击是通过将恶意脚本注入到网页中导致该脚本在其他用户浏览器中执行窃取敏感信息或执行恶意操作。区别CSRF利用用户的身份验证信息发起恶意请求而XSS通过在浏览器中执行恶意脚本来进行攻击。联系两者都可以用来攻击用户且攻击的目标往往是利用受信任网站执行不当操作。
15. 比较分析HTTPS与HTTP over QUIC。
特性HTTPSHTTP over QUIC协议基础基于 TLS 和 TCP基于 QUIC 和 UDP连接建立需要TCP三次握手 TLS握手通过QUIC的0-RTT和1-RTT加速连接建立传输效率因TCP重传机制丢包时效率较低基于UDP减少重传开销提高效率多路复用受TCP队头阻塞影响QUIC无队头阻塞流独立控制加密方式使用TLS协议进行加密QUIC内建TLS 1.3加密减少延迟适应性成熟稳定广泛支持新兴协议支持逐步增加但兼容性较低性能在高延迟或丢包环境下性能较差在高延迟或丢包环境下表现更优
总结HTTP over QUIC提供更高效的连接和传输尤其在不稳定的网络环境中表现更好但目前HTTPS仍是主流协议。
17. 小王出差
问小王某次出差住宿利用酒店提供的 Wi-Fi 来上网当他开始访问一个自己经常访问的网站时浏览器却弹出类似“您与该网站的连接不是私密连接存在安全隐患”将鼠标放在浏览器地址栏的证书风险处下拉显示“证书异常网站已被拦截之类的信息” 如 图 9-21 所示。浏览器提示用户“忽略警告继续访问”还是“关闭页面”。而自己平时在办公室访问该网站却没有出现该提示。请分析可能的原因。 答最可能的原因是酒店在监听用户的上网酒店使用自签名证书或浏览器不信任的CA颁发的证书作为中间人分别与浏览器与目标网站进行加密通信解密、加密用户浏览器与目标网站之间的通信。
第十章 电子邮件安全
✅ 单选题 第十一章 拒绝服务攻击及防御
✅ 单选题 第十二章
✅ 单选题
