網(wǎng)絡(luò)安全技術(shù)簡(jiǎn)答題參考模板

1、第1章 網(wǎng)絡(luò)安全概述與環(huán)境配置1. 網(wǎng)絡(luò)攻擊和防御分別包括哪些內(nèi)容？答：攻擊技術(shù)主要包括以下幾個(gè)方面。（1）網(wǎng)絡(luò)監(jiān)聽(tīng)：自己不主動(dòng)去攻擊別人，而是在計(jì)算機(jī)上設(shè)置一個(gè)程序去監(jiān)聽(tīng)目標(biāo)計(jì)算機(jī)與其他計(jì)算機(jī)通信的數(shù)據(jù)。（2）網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計(jì)算機(jī)開(kāi)放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計(jì)算機(jī)做準(zhǔn)備。（3）網(wǎng)絡(luò)入侵：當(dāng)探測(cè)發(fā)現(xiàn)對(duì)方存在漏洞后，入侵到目標(biāo)計(jì)算機(jī)獲取信息。（4）網(wǎng)絡(luò)后門(mén)：成功入侵目標(biāo)計(jì)算機(jī)后，為了實(shí)現(xiàn)對(duì)“戰(zhàn)利品”的長(zhǎng)期控制，在目標(biāo)計(jì)算機(jī)中種植木馬等后門(mén)。（5）網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計(jì)算機(jī)后，將自己入侵的痕跡清除，從而防止被對(duì)方管理員發(fā)現(xiàn)。防御技術(shù)主要包括以下幾個(gè)方面。（1）安全操作

2、系統(tǒng)和操作系統(tǒng)的安全配置：操作系統(tǒng)是網(wǎng)絡(luò)安全的關(guān)鍵。（2）加密技術(shù)：為了防止被監(jiān)聽(tīng)和數(shù)據(jù)被盜取，將所有的數(shù)據(jù)進(jìn)行加密。（3）防火墻技術(shù)：利用防火墻，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行限制，從而防止被入侵。（4）入侵檢測(cè)：如果網(wǎng)絡(luò)防線最終被攻破，需要及時(shí)發(fā)出被入侵的警報(bào)。（5）網(wǎng)絡(luò)安全協(xié)議：保證傳輸?shù)臄?shù)據(jù)不被截獲和監(jiān)聽(tīng)。2. 從層次上，網(wǎng)絡(luò)安全可以分成哪幾層？每層有什么特點(diǎn)？答：從層次體系上，可以將網(wǎng)絡(luò)安全分成4個(gè)層次上的安全：物理安全，邏輯安全，操作系統(tǒng)安全和聯(lián)網(wǎng)安全。物理安全主要包括5個(gè)方面：防盜，防火，防靜電，防雷擊和防電磁泄漏。邏輯安全需要用口令、文件許可等方法來(lái)實(shí)現(xiàn)。操作系統(tǒng)安全，操作系統(tǒng)必須能區(qū)分用戶

3、，以便防止相互干擾。操作系統(tǒng)不允許一個(gè)用戶修改由另一個(gè)賬戶產(chǎn)生的數(shù)據(jù)。聯(lián)網(wǎng)安全通過(guò)訪問(wèn)控制服務(wù)和通信安全服務(wù)兩方面的安全服務(wù)來(lái)達(dá)到。（1）訪問(wèn)控制服務(wù)：用來(lái)保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。（2）通信安全服務(wù)：用來(lái)認(rèn)證數(shù)據(jù)機(jī)要性與完整性，以及各通信的可信賴性。（感覺(jué)如果說(shuō)是特點(diǎn)的話這樣回答有點(diǎn)別扭。）3. 為什么要研究網(wǎng)絡(luò)安全？答：網(wǎng)絡(luò)需要與外界聯(lián)系，同時(shí)也就受到許多方面的威脅：物理威脅、系統(tǒng)漏洞造成的威脅、身份鑒別威脅、線纜連接威脅和有害程序威脅等。（可詳細(xì)展開(kāi)）6. 網(wǎng)絡(luò)安全橙皮書(shū)是什么？包括哪些內(nèi)容？答：1 / 19網(wǎng)絡(luò)安全橙皮書(shū)是根據(jù)美國(guó)國(guó)防部開(kāi)發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)

4、準(zhǔn)則（Trusted Computer Standards Evaluation Criteria，TCSEC），1985年橙皮書(shū)成為美國(guó)國(guó)防部的標(biāo)準(zhǔn)，多年以來(lái)它一直是評(píng)估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)（如數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)）也一直用橙皮書(shū)來(lái)解釋評(píng)估。橙皮書(shū)把安全的級(jí)別從低到高分成4個(gè)類別：D類、C類、B類和A類，每類又分幾個(gè)級(jí)別，如表1-1所示。表1-1 安 全 級(jí) 別類 別級(jí) 別名 稱主 要 特 征DD低級(jí)保護(hù)沒(méi)有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力

5、B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證D級(jí)是最低的安全級(jí)別，擁有這個(gè)級(jí)別的操作系統(tǒng)就像一個(gè)門(mén)戶大開(kāi)的房子，任何人都可以自由進(jìn)出，是完全不可信任的。對(duì)于硬件來(lái)說(shuō)，沒(méi)有任何保護(hù)措施，操作系統(tǒng)容易受到損害，沒(méi)有系統(tǒng)訪問(wèn)限制和數(shù)據(jù)訪問(wèn)限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問(wèn)他人的數(shù)據(jù)文件。屬于這個(gè)級(jí)別的操作系統(tǒng)有DOS和Windows 98等。C1是C類的一個(gè)安全子級(jí)。C1又稱選擇性安全保護(hù)（Discretionary Security Protection）系統(tǒng)，它描述了一個(gè)典型的用在UNIX系統(tǒng)上安全級(jí)別。這種級(jí)別的系統(tǒng)對(duì)硬件又有某種程度的保護(hù)，

6、如用戶擁有注冊(cè)賬號(hào)和口令，系統(tǒng)通過(guò)賬號(hào)和口令來(lái)識(shí)別用戶是否合法，并決定用戶對(duì)程序和信息擁有什么樣的訪問(wèn)權(quán)，但硬件受到損害的可能性仍然存在。用戶擁有的訪問(wèn)權(quán)是指對(duì)文件和目標(biāo)的訪問(wèn)權(quán)。文件的擁有者和超級(jí)用戶可以改變文件的訪問(wèn)屬性，從而對(duì)不同的用戶授予不通的訪問(wèn)權(quán)限。C2級(jí)除了包含C1級(jí)的特征外，應(yīng)該具有訪問(wèn)控制環(huán)境（Controlled Access Environment）權(quán)力。該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或者訪問(wèn)某些文件的權(quán)限，而且還加入了身份認(rèn)證等級(jí)。另外，系統(tǒng)對(duì)發(fā)生的事情加以審計(jì)，并寫(xiě)入日志中，如什么時(shí)候開(kāi)機(jī)，哪個(gè)用戶在什么時(shí)候從什么地方登錄，等等，這樣通過(guò)查看日志，就可以發(fā)現(xiàn)入侵

7、的痕跡，如多次登錄失敗，也可以大致推測(cè)出可能有人想入侵系統(tǒng)。審計(jì)除了可以記錄下系統(tǒng)管理員執(zhí)行的活動(dòng)以外，還加入了身份認(rèn)證級(jí)別，這樣就可以知道誰(shuí)在執(zhí)行這些命令。審計(jì)的缺點(diǎn)在于它需要額外的處理時(shí)間和磁盤(pán)空間。使用附加身份驗(yàn)證就可以讓一個(gè)C2級(jí)系統(tǒng)用戶在不是超級(jí)用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級(jí)使系統(tǒng)管理員能夠給用戶分組，授予他們?cè)L問(wèn)某些程序的權(quán)限或訪問(wèn)特定的目錄。能夠達(dá)到C2級(jí)別的常見(jiàn)操作系統(tǒng)有如下幾種：（1）UNIX系統(tǒng)；（2）Novell 3.X或者更高版本；（3）Windows NT，Windows 2000和Windows 2003。B級(jí)中有三個(gè)級(jí)別，B1級(jí)即標(biāo)志安全保護(hù)（Labe

8、led Security Protection），是支持多級(jí)安全（例如：秘密和絕密）的第一個(gè)級(jí)別，這個(gè)級(jí)別說(shuō)明處于強(qiáng)制性訪問(wèn)控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。安全級(jí)別存在秘密和絕密級(jí)別，這種安全級(jí)別的計(jì)算機(jī)系統(tǒng)一般在政府機(jī)構(gòu)中，比如國(guó)防部和國(guó)家安全局的計(jì)算機(jī)系統(tǒng)。B2級(jí)，又叫結(jié)構(gòu)保護(hù)（Structured Protection）級(jí)別，它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備（磁盤(pán)、磁帶和終端）分配單個(gè)或者多個(gè)安全級(jí)別。B3級(jí)，又叫做安全域（Security Domain）級(jí)別，使用安裝硬件的方式來(lái)加強(qiáng)域的安全，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無(wú)授權(quán)訪問(wèn)或更改

9、其他安全域的對(duì)象。該級(jí)別也要求用戶通過(guò)一條可信任途徑連接到系統(tǒng)上。A級(jí)，又稱驗(yàn)證設(shè)計(jì)（Verified Design）級(jí)別，是當(dāng)前橙皮書(shū)的最高級(jí)別，它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過(guò)程。該級(jí)別包含較低級(jí)別的所有的安全特性。第2章 網(wǎng)絡(luò)安全協(xié)議基礎(chǔ)2. 簡(jiǎn)述TCP/IP協(xié)議族的基本結(jié)構(gòu)，并分析每層可能受到的威脅及如何防御答：TCP/IP協(xié)議族包括4個(gè)功能層，自頂向下分別為：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層。應(yīng)用層中很多應(yīng)用程序駐留并運(yùn)行在此層，并且依賴于底層的功能，使得該層是最難保護(hù)的一層。簡(jiǎn)單郵件傳輸協(xié)議（SMTP）容易受到的威脅是：郵件炸彈，病毒，匿名郵件和木馬等。保護(hù)措施是認(rèn)證、附件病

10、毒掃描和用戶安全意識(shí)教育。文件傳輸協(xié)議（FTP）容易受到的威脅是：明文傳輸、黑客惡意傳輸非法使用等。保護(hù)的措施是不許匿名登錄，單獨(dú)的服務(wù)器分區(qū)，禁止執(zhí)行程序等。超文本傳輸協(xié)議（HTTP）容易受到的威脅是：惡意程序（ActiveX控件，ASP程序和CGI程序等）。傳輸層可能受到的威脅是拒絕服務(wù)（DOS）和分布式拒絕（DDOS）服務(wù)的攻擊，其中包括TCP SYN淹沒(méi)攻擊、SSL中間人攻擊、Land攻擊、UDP淹沒(méi)攻擊、端口掃描攻擊等，保護(hù)措施是正確設(shè)置客戶端SSL，使用防火墻對(duì)來(lái)源不明的有害數(shù)據(jù)進(jìn)行過(guò)渡等。網(wǎng)絡(luò)層可能受到的威脅是IP欺騙攻擊，保護(hù)措施是使用防火墻過(guò)濾和打系統(tǒng)補(bǔ)丁。網(wǎng)絡(luò)接口層又可分為

11、數(shù)據(jù)鏈路層和物理層。數(shù)據(jù)鏈路層可能受到的威脅是內(nèi)容錄址存儲(chǔ)器表格淹沒(méi)、VLAN中繼、操縱生成樹(shù)協(xié)議、MAC地址欺騙、ARP攻擊、專用VLAN、DHCP耗竭等。保護(hù)措施是，在交換機(jī)上配置端口安全選項(xiàng)可以防止CAM表淹沒(méi)攻擊。正確配置VLAN可以防止VLAN中繼攻擊。使用根目錄保護(hù)和BPDU保護(hù)加強(qiáng)命令來(lái)保持網(wǎng)絡(luò)中主網(wǎng)橋的位置不發(fā)生改變，可防止操縱生成樹(shù)協(xié)議的攻擊，同時(shí)也可以強(qiáng)化生成樹(shù)協(xié)議的域邊界。使用端口安全命令可以防止MAC欺騙攻擊。對(duì)路由器端口訪問(wèn)控制列表（ACL）進(jìn)行設(shè)置可以防止專用VLAN攻擊。通過(guò)限制交換機(jī)端口的MAC地址的數(shù)目，防止CAM表淹沒(méi)的技術(shù)也可以防止DHCP耗竭。物理層可能

12、受到的威脅是未授權(quán)用戶的接入（內(nèi)部人員、外部人員）、物理盜竊、涉密信息被復(fù)制或破壞等等。保護(hù)措施主要體現(xiàn)在實(shí)時(shí)存檔和監(jiān)測(cè)網(wǎng)絡(luò)，提高通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)）、軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備）、防干擾能力，保證設(shè)備的運(yùn)行環(huán)境（溫度、濕度、煙塵），不間斷電源保障，等等。5. 簡(jiǎn)述常用的網(wǎng)絡(luò)服務(wù)及提供服務(wù)的默認(rèn)端口。答：常見(jiàn)服務(wù)及提供服務(wù)的默認(rèn)端口和對(duì)應(yīng)的協(xié)議如下表所示端 口協(xié) 議服 務(wù)21TCPFTP服務(wù)25TCPSMTP服務(wù)53TCP/UDPDNS服務(wù)80TCPWeb服務(wù)135TCPRPC服務(wù)137UDPNetBIOS域名服務(wù)138UDPNetBIOS數(shù)據(jù)報(bào)

13、服務(wù)139TCPNetBIOS會(huì)話服務(wù)443TCP基于SSL的HTTP服務(wù)445TCP/UDPMicrosoft SMB服務(wù)3389TCPWindows終端服務(wù)第4章 網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽(tīng)2. 黑客在進(jìn)攻的過(guò)程中需要經(jīng)過(guò)哪些步驟？目的是什么？答：黑客一次成攻的攻擊，可以歸納成基本的五個(gè)步驟：第一， 隱藏IP；第二， 踩點(diǎn)掃描；第三， 獲得系統(tǒng)或管理員權(quán)限；第四， 種植后門(mén)；第五， 在網(wǎng)絡(luò)中隱身。以上幾個(gè)步驟根據(jù)實(shí)際情況可以隨時(shí)調(diào)整。3. 簡(jiǎn)述黑客攻擊和網(wǎng)絡(luò)安全的關(guān)系。答：黑客攻擊和網(wǎng)絡(luò)安全是緊密結(jié)合在一起的，研究網(wǎng)絡(luò)安全不研究黑客攻擊技術(shù)等同于紙上談兵，研究攻擊技術(shù)不研究網(wǎng)絡(luò)安全等同于閉門(mén)造車。

14、某種意義上說(shuō)沒(méi)有攻擊就沒(méi)有安全，系統(tǒng)管理員可以利用常見(jiàn)的攻擊手段對(duì)系統(tǒng)進(jìn)行檢測(cè)，并對(duì)相關(guān)的漏洞采取措施。網(wǎng)絡(luò)攻擊有善意也有惡意的，善意的攻擊可以幫助系統(tǒng)管理員檢查系統(tǒng)漏洞，惡意的攻擊可以包括：為了私人恩怨而攻擊，為了商業(yè)或個(gè)人目的獲得秘密資料而攻擊，為了民族仇恨而攻擊，利用對(duì)方的系統(tǒng)資源滿足自己的需求、尋求刺激、給別人幫忙，以及一些無(wú)目的攻擊。4. 為什么需要網(wǎng)絡(luò)踩點(diǎn)？答：踩點(diǎn)就是通過(guò)各種途徑對(duì)所要攻擊的目標(biāo)進(jìn)行盡可能的了解。常見(jiàn)的踩點(diǎn)方法包括：在域名及其注冊(cè)機(jī)構(gòu)的查詢，公司性質(zhì)的了解，對(duì)主頁(yè)進(jìn)行分析，郵件地址的搜集和目標(biāo)IP地址范圍查詢。踩點(diǎn)的目的就是探察對(duì)方的各方面情況，確定攻擊的時(shí)機(jī)。摸

15、清對(duì)方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時(shí)刻，為下一步的入侵提供良好的策略。5. 掃描分成哪兩類？每類有什么特點(diǎn)？可以使用哪些工具進(jìn)行掃描、各有什么特點(diǎn)？答：掃描，一般分成兩種策略：一種是主動(dòng)式策略，另一種是被動(dòng)式策略。被動(dòng)式策略是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查，不會(huì)對(duì)系統(tǒng)造成破壞。主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞，但是可能會(huì)對(duì)系統(tǒng)造成破壞。常見(jiàn)的掃描工具包括：第一，系統(tǒng)自帶的掃描工具如windows和linux中的ping，linux中的namp。這類工具操作簡(jiǎn)單，大多工作在命

16、令行模式下。第二，開(kāi)源的和免費(fèi)的掃描工具如Nessus，X-scan，Netcat，X-port以及Google在2010年新推出的Skipfish等。這類掃描工具一般具有單一、獨(dú)特的功能，因此掃描速度極快、更新速度快、容易使用，由于其開(kāi)源、免費(fèi)的特點(diǎn)，使其具有更廣泛的影響力。第三，商用的掃描工具，如eEye公司的Retina，Network Associates的CyberCop Scanner以及Symantec 的NetRecon等?；旧洗蟛糠稚虡I(yè)掃描器都工作在黑盒模式，在這種模式下無(wú)法看到源代碼，以一個(gè)近似于滲透者或攻擊者的身份去看待需要評(píng)估的。在商業(yè)化應(yīng)用中，對(duì)誤報(bào)、漏報(bào)的容忍程度

17、比較低。商用掃描器在精確掃描之后，會(huì)給出一些建議和手段來(lái)屏蔽。最初是提供一些修補(bǔ)建議，這種方式對(duì)專業(yè)人員來(lái)說(shuō)有相當(dāng)價(jià)值，但對(duì)于一些較薄弱或者比較懶惰的用戶，修補(bǔ)建議的作用就被忽略了。在新一代的商用掃描器中，提出了修補(bǔ)聯(lián)動(dòng)的概念，通過(guò)發(fā)送注冊(cè)表去提示用戶，用戶雙擊注冊(cè)表，就可以導(dǎo)入需要修改、升級(jí)補(bǔ)丁的信息，并且還可以和WSUS進(jìn)行聯(lián)動(dòng)。這樣就可以基本上達(dá)到自動(dòng)化的修補(bǔ)。6. 網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的原理是什么？答：監(jiān)聽(tīng)器Sniffer的原理是：在局域網(wǎng)中與其他計(jì)算機(jī)進(jìn)行數(shù)據(jù)交換時(shí)，數(shù)據(jù)包發(fā)往所有的連在一起的主機(jī)，也就是廣播，在報(bào)頭中包含目的機(jī)的正確地址。因此只有與數(shù)據(jù)包中目的地址一致的那臺(tái)主機(jī)才會(huì)接收數(shù)據(jù)

18、包，其他的機(jī)器都會(huì)將包丟棄。但是，當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下時(shí)，無(wú)論接收到的數(shù)據(jù)包中目的地址是什么，主機(jī)都將其接收下來(lái)。然后對(duì)數(shù)據(jù)包進(jìn)行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。一臺(tái)計(jì)算機(jī)可以監(jiān)聽(tīng)同一網(wǎng)段所有的數(shù)據(jù)包，不能監(jiān)聽(tīng)不同網(wǎng)段的計(jì)算機(jī)傳輸?shù)男畔?。?章 網(wǎng)絡(luò)入侵1. 簡(jiǎn)述社會(huì)工程學(xué)攻擊的原理。答：社會(huì)工程是使用計(jì)謀和假情報(bào)去獲得密碼和其他敏感信息的科學(xué)。研究一個(gè)站點(diǎn)的策略，就是盡可能多地了解這個(gè)組織的個(gè)體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息。另一種社會(huì)工程的形式是黑客試圖通過(guò)混淆一個(gè)計(jì)算機(jī)系統(tǒng)去模擬一個(gè)合法用戶。3. 簡(jiǎn)述暴力攻擊的原理。暴力攻擊如何破解操作系統(tǒng)的用

19、戶密碼、如何破解郵箱密碼、如何破解Word文檔的密碼？針對(duì)暴力攻擊應(yīng)如何防御？答：暴力攻擊的原理：黑客使用枚舉的方法，使用運(yùn)算能力較強(qiáng)的計(jì)算機(jī)，嘗試每種可能的字符破解密碼，這些字符包括大小寫(xiě)、數(shù)字和通配符等。字典文件為暴力破解提供了一條捷徑，程序首先通過(guò)掃描得到系統(tǒng)的用戶，然后利用字典中每一個(gè)密碼來(lái)登錄系統(tǒng)，看是否成功，如果成功則顯示密碼。郵箱的密碼一般需要設(shè)置為8位以上，7位以下的密碼容易被破解。尤其7位全部是數(shù)字的密碼，更容易被破解。使用相應(yīng)暴力破解軟件可以每秒50到100個(gè)密碼的速度進(jìn)行匹配。破解Word文檔的密碼方法與破解郵箱密碼相似。進(jìn)行適宜的安全設(shè)置和策略，通過(guò)結(jié)合大小寫(xiě)字母、數(shù)字

20、和通配符組成健壯的密碼可以防御暴力攻擊。5. 簡(jiǎn)述緩沖區(qū)溢出攻擊的原理。答：當(dāng)目標(biāo)操作系統(tǒng)收到了超過(guò)了它的能接收的最大信息量時(shí)，將發(fā)生緩沖區(qū)溢出。這些多余的數(shù)據(jù)使程序的緩沖區(qū)溢出，然后覆蓋實(shí)際的程序數(shù)據(jù)。緩沖區(qū)溢出使目標(biāo)系統(tǒng)的程序被修改，經(jīng)過(guò)這種修改的結(jié)果將在系統(tǒng)上產(chǎn)生一個(gè)后門(mén)。最常見(jiàn)的手段是通過(guò)制造緩沖區(qū)溢出使程序運(yùn)行一個(gè)用戶shell，再通過(guò)shell執(zhí)行其他命令，如果該shell有管理員權(quán)限，就可以對(duì)系統(tǒng)進(jìn)行任意操作。6. 簡(jiǎn)述拒絕服務(wù)的種類與原理。答：DoS（Denial of Service，拒絕服務(wù)）攻擊，其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的DoS攻擊是計(jì)算機(jī)網(wǎng)絡(luò)

21、帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請(qǐng)求無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。9. 簡(jiǎn)述DDos的特點(diǎn)以及常用的攻擊手段，如何防范？答：分布式拒絕服務(wù)攻擊的特點(diǎn)是先使用一些典型的黑客入侵手段控制一些高帶寬的服務(wù)器，然后在這些服務(wù)器上安裝攻擊進(jìn)程，集數(shù)十臺(tái)，數(shù)百臺(tái)甚至上千臺(tái)機(jī)器的力量對(duì)單一攻擊目標(biāo)實(shí)施攻擊。在懸殊的帶寬力量對(duì)比下，被攻擊的主機(jī)會(huì)很快因不勝重負(fù)而癱瘓。分布式拒絕服務(wù)攻擊技術(shù)發(fā)展十分迅速，由于其隱蔽性和分布性很難被識(shí)別和防御。常用攻擊手段及防范措施如下：第一，破壞

22、物理設(shè)備。這些物理設(shè)備包括：計(jì)算機(jī)、路由器、電源、冷卻設(shè)備、網(wǎng)絡(luò)配線室等。防范這種破壞的主要措施有：例行檢查物理實(shí)體的安全；使用容錯(cuò)和冗余網(wǎng)絡(luò)硬件的方法，必要時(shí)迅速實(shí)現(xiàn)物理設(shè)備切換，從而保證提供正常的應(yīng)用服務(wù)。第二，破壞配置文件。錯(cuò)誤配置也會(huì)成為系統(tǒng)的安全隱患，這些錯(cuò)誤配置常常發(fā)生在硬件裝置、系統(tǒng)或應(yīng)用程序中。如果攻擊者侵入目標(biāo)系統(tǒng)，更改了某些配置信息，目標(biāo)系統(tǒng)很可能因配置不當(dāng)而無(wú)法繼續(xù)提供正常的服務(wù)。因此，管理員首先應(yīng)該正確設(shè)置系統(tǒng)及相關(guān)軟件的配置信息，并將這些敏感信息備份到軟盤(pán)等安全介質(zhì)上；利用Tripwire等工具的幫助及時(shí)發(fā)現(xiàn)配置文件的變化，并快速恢復(fù)這些配置信息保證系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)

23、行。第三，利用網(wǎng)絡(luò)協(xié)議或系統(tǒng)的設(shè)計(jì)弱點(diǎn)和實(shí)現(xiàn)漏洞。SYN flooding攻擊即是利用TCP/IP協(xié)議的設(shè)計(jì)弱點(diǎn)，即建立連接時(shí)的三次握手協(xié)議和該過(guò)程中資源的非對(duì)稱分配，及IP欺騙。若要從根本上克服這些弱點(diǎn)，需要重新設(shè)計(jì)協(xié)議層，加入更多的安全控制機(jī)制。若要在現(xiàn)有的網(wǎng)絡(luò)構(gòu)架中彌補(bǔ)這些弱點(diǎn)，可以采取上面介紹的半通明網(wǎng)關(guān)或主動(dòng)監(jiān)視技術(shù)。第四，消耗系統(tǒng)資源。系統(tǒng)資源包括CPU資源，內(nèi)存資源，磁盤(pán)空間，網(wǎng)絡(luò)帶寬等，攻擊者利用資源有限的特點(diǎn)，惡意消耗系統(tǒng)資源，使系統(tǒng)無(wú)法提供正常的服務(wù)。Smurf，DDoS等都屬于該類型。隨著攻擊技術(shù)的日新月異，智能型協(xié)作型的攻擊工具的不斷開(kāi)發(fā)，信息的可用性面臨著更為嚴(yán)峻的考

24、驗(yàn)。安全專家對(duì)此深感憂慮，因?yàn)橐坏┌l(fā)動(dòng)DDoS攻擊，目前沒(méi)有什么快速有效的解決辦法。 另外，全球網(wǎng)絡(luò)管理員要管理好自己的網(wǎng)絡(luò)，可以采取下面這些行之有效的防范措施：l1）及時(shí)地給系統(tǒng)打補(bǔ)丁，設(shè)置正確的安全策略；l2）定期檢查系統(tǒng)安全：檢查是否被安裝了DDoS攻擊程序，是否存在后門(mén)等；l3）建立資源分配模型，設(shè)置閾值，統(tǒng)計(jì)敏感資源的使用情況；l4）優(yōu)化路由器配置：（1）配置路由器的外網(wǎng)卡，丟棄那些來(lái)自外部網(wǎng)而源IP地址具有內(nèi)部網(wǎng)絡(luò)地址的包；（2）配置路由器的內(nèi)網(wǎng)卡，丟棄那些即將發(fā)到外部網(wǎng)而源IP地址不具有內(nèi)部網(wǎng)絡(luò)地址的包；（3）設(shè)置TCP攔截；（4）限制TCP連接超時(shí)閾值；（5）禁止IP廣播包流入

25、內(nèi)部網(wǎng)絡(luò)；（6）禁止外出的ICMP不可達(dá)消息；l5）由于攻擊者掩蓋行蹤的手段不斷加強(qiáng)，很難在系統(tǒng)級(jí)的日志文件中尋找到蛛絲馬跡。因此，第三方的日志分析系統(tǒng)能夠幫助管理員更容易地保留線索，順藤摸瓜，將肇事者繩之以法；l6）使用DNS來(lái)跟蹤匿名攻擊；l7）對(duì)于重要的WEB服務(wù)器，為一個(gè)域名建立多個(gè)鏡像主機(jī)。第6章 網(wǎng)絡(luò)后門(mén)與網(wǎng)絡(luò)隱身2. 如何留后門(mén)程序？列舉三種后門(mén)程序，并闡述原理及如何防御。答：網(wǎng)絡(luò)攻擊經(jīng)過(guò)踩點(diǎn)、掃描、入侵以后，如果攻擊成功，一般就可以拿到管理員密碼或者得到管理員權(quán)限。第一，Login后門(mén)。在Unix里，login程序通常用來(lái)對(duì)telnet來(lái)的用戶進(jìn)行口令驗(yàn)證。入侵者獲取login

26、。c的原代碼并修改，使它在比較輸入口令與存儲(chǔ)口令時(shí)先檢查后門(mén)口令。如果用戶敲入后門(mén)口令，它將忽視管理員設(shè)置的口令讓你長(zhǎng)驅(qū)直入。這將允許入侵者進(jìn)入任何賬號(hào)，甚至是root。由于后門(mén)口令是在用戶真實(shí)登錄并被日志記錄到utmp和wtmp前產(chǎn)生一個(gè)訪問(wèn)的，所以入侵者可以登錄獲取shell卻不會(huì)暴露該賬號(hào)。管理員注意到這種后門(mén)后，便用“strings”命令搜索login程序以尋找文本信息。許多情況下后門(mén)口令會(huì)原形畢露。入侵者就開(kāi)始加密或者更好的隱藏口令，使strings命令失效。所以更多的管理員是用MD5校驗(yàn)和檢測(cè)這種后門(mén)的。第二，線程插入后門(mén)。這種后門(mén)在運(yùn)行時(shí)沒(méi)有進(jìn)程，所有網(wǎng)絡(luò)操作均播入到其他應(yīng)用程序

27、的進(jìn)程中完成。也就是說(shuō)，即使受控制端安裝的防火墻擁有“應(yīng)用程序訪問(wèn)權(quán)限”的功能，也不能對(duì)這樣的后門(mén)進(jìn)行有效的警告和攔截，也就使對(duì)方的防火墻形同虛設(shè)！這種后門(mén)本身的功能比較強(qiáng)大，是現(xiàn)在非常主流的一種，對(duì)它的查殺比較困難，很讓防護(hù)的人頭疼。第三，網(wǎng)頁(yè)后門(mén)。網(wǎng)頁(yè)后門(mén)其實(shí)就是一段網(wǎng)頁(yè)代碼，主要以ASP和PHP代碼為主。由于這些代碼都運(yùn)行在服務(wù)器端，攻擊者通過(guò)這段精心設(shè)計(jì)的代碼，在服務(wù)器端進(jìn)行某些危險(xiǎn)的操作，獲得某些敏感的技術(shù)信息或者通過(guò)滲透，提權(quán)獲得服務(wù)器的控制權(quán)。并且這也是攻擊者控制服務(wù)器的一條通道，比一般的入侵更具有隱蔽性。防御后門(mén)的方法主要有：建立良好的安全習(xí)慣，關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)，經(jīng)

28、常升級(jí)安全補(bǔ)丁，設(shè)置復(fù)雜的密碼，迅速隔離受感染的計(jì)算機(jī)，經(jīng)常了解一些反病毒資訊，安裝專業(yè)的防毒軟件進(jìn)行全面監(jiān)控等。4. 簡(jiǎn)述木馬由來(lái)，并簡(jiǎn)述木馬和后門(mén)的區(qū)別。答：“木馬”一詞來(lái)自于“特洛伊木馬”，英文名稱為T(mén)rojan Horse。傳說(shuō)希臘人圍攻特洛伊城，久久不能攻克，后來(lái)軍師想出了一個(gè)特洛伊木馬計(jì)，讓士兵藏在巨大的特洛伊木馬中，部隊(duì)假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內(nèi)的士兵便趁著夜里敵人慶祝勝利、放松警惕的時(shí)候從特洛伊木馬里悄悄地爬出來(lái)，與城外的部隊(duì)里應(yīng)外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。本質(zhì)上，木馬和后門(mén)都

29、是提供網(wǎng)絡(luò)后門(mén)的功能，但是木馬的功能稍微強(qiáng)大一些，一般還有遠(yuǎn)程控制的功能，后門(mén)程序則功能比較單一，只是提供客戶端能夠登錄對(duì)方的主機(jī)。第7章 惡意代碼分析與防治2. 簡(jiǎn)述惡意代碼長(zhǎng)期存在的原因。答：在信息系統(tǒng)的層次結(jié)構(gòu)中，包括從底層的操作系統(tǒng)到上層的網(wǎng)絡(luò)應(yīng)用在內(nèi)的各個(gè)層次都存在著許多不可避免的安全問(wèn)題和安全脆弱性。而這些安全脆弱性的不可避免，直接導(dǎo)致了惡意代碼的必然存在。3. 惡意代碼是如何定義，可以分成哪幾類？答：惡意代碼的定義隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展逐漸豐富，Grimes 將惡意代碼定義為，經(jīng)過(guò)存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺(tái)計(jì)算機(jī)系統(tǒng)到另外一臺(tái)計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的程

30、序或代碼。它可以分成以下幾種類型：計(jì)算機(jī)病毒(Computer Virus)、蠕蟲(chóng)(Worms)、特洛伊木馬(Trojan Horse)、邏輯炸彈(Logic Bombs)、病菌(Bacteria)、用戶級(jí)RootKit、核心級(jí)RootKit、腳本惡意代碼(Malicious Scripts)和惡意ActiveX 控件。4. 說(shuō)明惡意代碼的作用機(jī)制的6個(gè)方面，并圖示惡意代碼攻擊模型。答：惡意代碼的整個(gè)作用過(guò)程分為6個(gè)部分：侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實(shí)現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；從光盤(pán)或軟盤(pán)往系統(tǒng)

31、上安裝軟件；黑客或者攻擊者故意將惡意代碼植入系統(tǒng)等。維持或提升現(xiàn)有特權(quán)。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程的合法權(quán)限才能完成。隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)侵入系統(tǒng)，惡意代碼可能會(huì)改名、刪除源文件或者修改系統(tǒng)的安全策略來(lái)隱藏自己。潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權(quán)限時(shí)，就發(fā)作并進(jìn)行破壞活動(dòng)。破壞。惡意代碼的本質(zhì)具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等。重復(fù)至對(duì)新的目標(biāo)實(shí)施攻擊過(guò)程。惡意代碼的攻擊模型如下圖所示。第8章 安全操作系統(tǒng)基礎(chǔ)1. 簡(jiǎn)述操作系統(tǒng)賬號(hào)密碼的重要性，有幾種方法可以保護(hù)密碼不被破解或者被盜?。看穑簶?biāo)識(shí)與鑒別是涉及系統(tǒng)和用戶的

32、一個(gè)過(guò)程，可將系統(tǒng)賬號(hào)密碼視為用戶標(biāo)識(shí)符及其鑒別。標(biāo)識(shí)就是系統(tǒng)要標(biāo)識(shí)用戶的身份，并為每個(gè)用戶取一個(gè)系統(tǒng)可以識(shí)別的內(nèi)部名稱用戶標(biāo)識(shí)符。用戶標(biāo)識(shí)符必須是惟一的且不能被偽造，防止一個(gè)用戶冒充另一個(gè)用戶。將用戶標(biāo)識(shí)符與用戶聯(lián)系的過(guò)程稱為鑒別，鑒別過(guò)程主要用以識(shí)別用戶的真實(shí)身份，鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息，并且這個(gè)信息是秘密的，任何其他用戶都不能擁有它。較安全的密碼應(yīng)是不小于6個(gè)字符并同時(shí)含有數(shù)字和字母的口令，并且限定一個(gè)口令的生存周期。另外生物技術(shù)是一種比較有前途的鑒別用戶身份的方法，如利用指紋、視網(wǎng)膜等，目前這種技術(shù)已取得了長(zhǎng)足進(jìn)展，逐步進(jìn)入了應(yīng)用階段。2. 簡(jiǎn)述審核策略、密

33、碼策略和賬戶策略的含義，以及這些策略如何保護(hù)操作系統(tǒng)不被入侵。答：審核策略：安全審核是Windows 2000最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變賬戶策略和未經(jīng)許可的文件訪問(wèn)等）入侵時(shí)，都會(huì)被安全審核記錄下來(lái)。密碼策略：密碼對(duì)系統(tǒng)安全非常重要，密碼策略用于保證密碼的安全性。其策略包括：“密碼復(fù)雜性要求”是要求設(shè)置的密碼必須是數(shù)字和字母的組合；“密碼長(zhǎng)度最小值”是要求密度長(zhǎng)度至少為6位；“密碼最長(zhǎng)存留期15天”是要求當(dāng)該密碼使用超過(guò)15天以后，就自動(dòng)要求用戶修改密碼；“強(qiáng)制密碼歷史”是要求當(dāng)前設(shè)置的密碼不能和前面5次的密碼相同。賬號(hào)策略：開(kāi)啟賬戶策略可以有效防

34、止字典式攻擊。賬號(hào)策略包括：復(fù)位賬戶鎖定計(jì)數(shù)器，賬戶鎖定時(shí)間，賬戶鎖定閾值等策略。如賬戶鎖定閾值等于5，賬戶鎖定時(shí)間等于30分鐘，則當(dāng)某一用戶連續(xù)嘗試5次登錄都失敗后將自動(dòng)鎖定該賬戶，30分鐘后自動(dòng)復(fù)位被鎖定的賬戶。第10章 防火墻與入侵檢測(cè)1. 什么是防火墻？古時(shí)候的防火墻和目前通常說(shuō)的防火墻有什么聯(lián)系和區(qū)別？答：防火墻的本義原指古代人們的房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生時(shí)蔓延到別的房屋?，F(xiàn)今防火墻不是指為了防火而造的墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域（Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全

35、區(qū)域（局域網(wǎng)）的連接，同時(shí)不會(huì)妨礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域的訪問(wèn)?？梢?jiàn)，不管古代和今天的防火墻，在安全意義上都是在防范某種特定的風(fēng)險(xiǎn)。2. 簡(jiǎn)述防火墻的分類，并說(shuō)明分組過(guò)濾防火墻的基本原理。答：常見(jiàn)的防火墻有3種類型：分組過(guò)濾防火墻，應(yīng)用代理防火墻，狀態(tài)檢測(cè)防火墻。分組過(guò)濾防火墻基本原理如下：數(shù)據(jù)包過(guò)濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來(lái)確定是否轉(zhuǎn)發(fā)或丟棄各個(gè)數(shù)據(jù)包。通常情況下，如果規(guī)則中沒(méi)有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄。分組過(guò)濾防火墻審查每個(gè)數(shù)據(jù)包以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過(guò)程的包頭信息。包頭信息中包括IP源地址、IP目的地址、內(nèi)部協(xié)議（T

36、CP，UDP或ICMP）、TCP、UDP目的端口和ICMP消息類型等。如果包的信息匹配所允許的數(shù)據(jù)包，那么該數(shù)據(jù)包便會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果不匹配規(guī)則，用戶配置的默認(rèn)參數(shù)會(huì)決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。3. 常見(jiàn)防火墻模型有哪些？比較它們的優(yōu)缺點(diǎn)。答：常見(jiàn)防火墻系統(tǒng)一般按照4種模型構(gòu)建：篩選路由器模型、單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型、雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)模型）和屏蔽子網(wǎng)模型。第一，篩選路由器模型是網(wǎng)絡(luò)的第一道防線，功能是實(shí)施包過(guò)濾。創(chuàng)建相應(yīng)的過(guò)濾策略時(shí)對(duì)工作人員的TCP/IP的知識(shí)有相當(dāng)?shù)囊?，如果篩選路由器被黑客攻破，那么內(nèi)部網(wǎng)絡(luò)將變得十分危險(xiǎn)。該防火墻不能夠隱藏內(nèi)部

37、網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。第二，單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型由包過(guò)濾路由器和堡壘主機(jī)組成。該防火墻系統(tǒng)提供的安全等級(jí)比包過(guò)濾防火墻系統(tǒng)要高，它實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。單宿主堡壘主機(jī)在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，具有防御進(jìn)攻的功能，通常充當(dāng)網(wǎng)關(guān)服務(wù)。優(yōu)點(diǎn)是安全性比較高，但是增加了成本開(kāi)銷和降低了系統(tǒng)性能，并且對(duì)內(nèi)部計(jì)算機(jī)用戶也會(huì)產(chǎn)生影響。第三，雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口，但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強(qiáng)行使所有去往內(nèi)部網(wǎng)絡(luò)的信息必須經(jīng)過(guò)堡壘主機(jī)。雙宿主堡

38、壘主機(jī)是惟一能從外部網(wǎng)上直接訪問(wèn)的內(nèi)部系統(tǒng)，所以有可能受到攻擊的主機(jī)就只有堡壘主機(jī)本身。但是，如果允許用戶注冊(cè)到堡壘主機(jī)，那么整個(gè)內(nèi)部網(wǎng)絡(luò)上的主機(jī)都會(huì)受到攻擊的威脅，所以一般禁止用戶注冊(cè)到堡壘主機(jī)。第四，屏蔽子網(wǎng)模型用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，它是最安全的防火墻系統(tǒng)之一，因?yàn)樵诙x了“中立區(qū)”（Demilitarized Zone，DMZ）網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。第11章 IP安全與Web安全1. 說(shuō)明IP安全的必要性。答：大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行多種網(wǎng)絡(luò)協(xié)議（TCP/IP、IPX/SPX和NETBEUA等），這些網(wǎng)絡(luò)協(xié)議并非為安全通信設(shè)計(jì)。而其IP協(xié)議維系著整個(gè)TCP/IP協(xié)

39、議的體系結(jié)構(gòu)，除了數(shù)據(jù)鏈路層外，TCP/IP的所有協(xié)議的數(shù)據(jù)都是以IP數(shù)據(jù)報(bào)的形式傳輸?shù)?，目前占統(tǒng)治地位的是IPv4。IPv4在設(shè)計(jì)之初沒(méi)有考慮安全性，IP包本身并不具備任何安全特性，導(dǎo)致在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)很容易受到各式各樣的攻擊：比如偽造IP包地址、修改其內(nèi)容、重播以前的包以及在傳輸途中攔截并查看包的內(nèi)容等。因此，通信雙方不能保證收到IP數(shù)據(jù)報(bào)的真實(shí)性。所以說(shuō)，IP安全具有很大的必要性。2. 簡(jiǎn)述IP安全的作用方式。答：IPSec是IPv6的一個(gè)組成部分，是IPv4的一個(gè)可選擴(kuò)展協(xié)議。IPSec彌補(bǔ)了IPv4在協(xié)議設(shè)計(jì)時(shí)缺乏安全性考慮的不足。IPSec定義了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制，可用它為IP以及上層協(xié)議（比如TCP或者UDP）提供安全保證。IPSec的目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全功能，在IP層實(shí)現(xiàn)多種安全服務(wù)，包括訪問(wèn)控制、數(shù)據(jù)完整性、機(jī)密性等。IPSec通過(guò)支持一系列加密算法如DES、三重DES、IDEA和AES等確保通信雙方的機(jī)密性