計算機網絡安全期末考試試題A最新文檔

計算機網絡安全期末考試試題A最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）

一選擇題（本大題共10小題，每小題2分，共20分）計算機網絡安全期末考試試題A最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）1、數據容錯是用來解決信息【】A可靠性B可用性C可控性D保密性2、防止信息非法讀取的特性是【】A保密性B完整性C有效性D可控性3、下列加密協(xié)議屬于非對稱加密的是【】ARSABDESC3DESDAES4、3DES加密協(xié)議密鑰是（）位【】A128B56C64D10245、下面哪條指令具有顯示網絡狀態(tài)功能【】ANETSTATBPINGCTRACERTDNET6、下列不是身份認證的是【】A訪問控制B智能卡C數學證書D口令7、PPDR安全模型不包括【】A策略B身份認證C保護D檢測E響應8、端口80提供的服務是【】ADNSBWWWCFTPDBBS9、安全掃描器是用來掃描系統(tǒng)【】A數據B漏洞C入侵D使用10、NAT技術的主要作用是【】A網絡地址轉換B加密C代理D重定向得分評卷人答案一:選擇題AAAAAABBBA二名詞解釋1通過捕獲數據包來發(fā)現(xiàn)入侵的行為2加密與解密的密碼相同3通過消耗目標系統(tǒng)資源使目標系統(tǒng)不能正常服務4分時連接內外網來實現(xiàn)安全數據傳輸的技術5未經對方許可,郵件內容與接收沒有任何關系的郵件.三簡答題（共20分）1長度娛樂城開戶定期換口令不要用易猜的字符串2安全拓撲結構加密3權限認證過濾4備份容錯四論述題1內網易接近,內網易了解結構2制度\法律五設計題1服務器:漏洞訪問控制客戶機:漏洞2加密訪問控制防惡意軟件防火墻一名詞解釋（本大題共5小題，每小題4分，共20分）1、入侵檢測通過捕獲數據包來發(fā)現(xiàn)入侵的行為2對稱加密加密與解密的密碼相同3拒絕服務通過消耗目標系統(tǒng)資源使目標系統(tǒng)不能正常服務4、物理隔離分時連接內外網來實現(xiàn)安全數據傳輸的技術5垃圾郵件未經對方許可,郵件內容與接收沒有任何關系的郵件得分評卷人三簡答題（本大題共4小題，每小題5分，共20分）口令管理的策略有哪些？長度定期換口令不要用易猜的字符串如何防范網絡監(jiān)聽?安全拓撲結構加密Windows操作系統(tǒng)的安全技術有哪些？權限認證過濾提高數據完整性的方法有哪些?備份容錯得分評卷人四、論述題（本大題共2小題，每小題5分，共10分）1、網絡安全風險來源于內網和外網，內網的風險占80%，外網的風險占20%，所以網絡安全防御的重點是內網。你如何理解這句話？內網易接近,內網易了解結構2、如何理解網絡安全管理要“以人為本”，重點是管好人。制度\法律得分評卷人五、設計題（本大題共6小題，每小題5分，共30分）某公司網絡拓樸圖如下，請你運用學過的知識為該企業(yè)設計安全方案。請你為企業(yè)制定安全策略?(5分)服務器:漏洞訪問控制客戶機:漏洞該企業(yè)可以采用哪些安全技術？其作用是什么？（10分）加密訪問控制防惡意軟件防火墻如果采用防火墻來保護服務器，請問防火墻應如何布置？（5分）4如何布置入侵檢測系統(tǒng)(5分)5如何布置網絡病毒系統(tǒng).(5分)6如果服務器與客戶端都是WINDOWS系統(tǒng),應如何加固系統(tǒng)?選擇題1．通過獲得Root/administrator密碼以及權限進行非法系統(tǒng)操作，這屬于那一種攻擊手段？A．暴力攻擊B．電子欺騙C．權限提升D．系統(tǒng)重啟攻擊2．以下不屬于防火墻NAT地址轉換優(yōu)點的是A。實現(xiàn)IP地址復用，節(jié)約寶貴的地址資源B。地址轉換過程對用戶透明C。網絡監(jiān)控難度加大D?？蓪崿F(xiàn)對內部服務器的負載均衡3。內部服務器和NATinbound共同使用，應配置何種NAT？A．基于源地址的NATB．基于目的地址的NATC．雙向NATD．基于源IP地址和端口的NAT4．以下哪一種加密算法不屬于對稱加密算法:（)A．ECCB．3DESC．IDEAD．DES5．下列屬于多通道協(xié)議的是A．FTPB．HTTPC．SNMPD．TELNET6.以下哪種VPN最適合出差人員訪問公司內部網絡 A。IPSecVPNB.GREVPNC.L2fVPND。L2tpVPN7．下列哪項不是數字簽名的主要功能?A。防抵賴B.完整性檢驗C.身份認證D。數據加密8．以下不屬于防火墻默認安全區(qū)域的是A。trustB.untrustC.LocalD。Default9.華為防火墻定義ACL時默認步長是A.2B.5C。810．用戶收到一封可疑電子郵件，要求用戶提供銀行賬戶和密碼，這屬于那一種攻擊手段？A．緩沖區(qū)溢出B．DDOSC．釣魚攻擊D．暗門攻擊二、判斷題1.反子網掩碼和子網掩碼的格式相似，但取值含義不同:1表示對應的IP地址位需要比較，0表示對應IP地址為忽略比較。(X)2.擴展訪問控制列表是訪問控制列表應用范圍最廣的一類，在華為防火墻ACL中，擴展訪問控制列表范圍為3000-3099。（X）3。OSI七層模型中，傳輸層數據稱為段（Segment），主要是用來建立主機端到端連接,包括TCP和UDP連接.（√）4.在配置域間缺省包過濾規(guī)則時，zone1和zone2的順序是隨意的。（√）5.路由器收到數據文件時，若沒有匹配到具體的路由表時，可按照默認路由表進行轉發(fā)。（√)6.IPV6使用128bit的IP地址，能滿足未來很多年的IP地址需求，是代替IPV4的最終方案。（√)7.當配置NAT地址轉換是使用了Address—group1沒有加no-pat這個命令意味著使用的是NAPT的轉換方式(√）8。inbound方向的NAT使用一個外部地址來代表內部地址，用于隱藏外網服務器的實際IP地址。（X）9.防火墻中不存在兩個具有相同安全級別的安全區(qū)域。(√）10.非對稱密鑰算法的優(yōu)點是密鑰安全性高，缺點是密鑰分發(fā)問題。（X）三、簡答題1．什么是Outbound方向NAT，其轉換方式有哪幾種？出方向是指數據由高安全級別的安全區(qū)域向低安全級別安全區(qū)域傳輸的方向。三種轉換方式:一對一地址轉換多對多地址轉換多對一地址轉換2．請簡要描述常見的網絡安全攻擊方式有哪些,并簡要描述其防范方式1、數據嗅探防范方式:1.驗證2.改變網絡結構3。反嗅探工具4。加密2、非法使用防范方式：1.過濾2。驗證3。加密4.關閉服務和端口3、信息篡改防范方式：1。明文加密2。數據摘要3.數字簽名4、拒絕服務防范方式：1。屏蔽IP2.流量控制3.協(xié)議防范4。偵測5.策略5、社會工程防范方式：1.技術層面2.管理層面6、BUG和病毒防范方式:1.補丁2.定時掃描3。審計4.終端保護3．簡述ACL與ASPF的區(qū)別與聯(lián)系ACLASPF配置較繁瑣簡單設計實現(xiàn)簡單復雜對系統(tǒng)性能影響速度快消耗部分系統(tǒng)資源多通道協(xié)議的支持不支持支持安全性低高4。防火墻的工作模式主要有哪幾種，特點是什么1、路由模式特點：如果防火墻通過網絡層對外連接（接口具有IP地址），則防火墻工作在路由模式2、透明模式特點：如果防火墻通過數據鏈路層對外連接（接口無IP地址),則認為防火墻工作在透明模式3、混合模式如果防火墻既存在工作在路由模式接口(接口具有IP地址），又存在工作在透明模式的接口（接口無IP地址）,則認為防火墻工作在混合模式.5。請列舉出二層VPN和三層VPN區(qū)別是什么，并分別列舉哪些屬于二層VPN，哪些屬于三層VPN區(qū)別：二層VPN工作在協(xié)議棧的數據鏈路層，三層VPN工作在協(xié)議棧的網絡層二層VPN：PPTP（點到點隧道協(xié)議)、L2F（二層轉發(fā)協(xié)議）、L2TP（二層隧道協(xié)議）三層VPN：GREVPN、IPSecVPN6．訪問控制列表作用及分類在防火墻應用中,訪問控制列表是對經過防火墻的數據流進行網絡安全訪問的基本手段,決定了后續(xù)的應用數據流是否被處理.訪問控制列表根據通過報文的源地址、目的地址、端口號、上層協(xié)議等信息組合定義網絡中的數據流。分類:標準訪問控制列表ACL2000-2999擴展訪問控制列表ACL3000—3999四．配置題1、實驗四:配置防火墻WEB管理實驗步驟1：把Ethernet1/0/0接口加入VLAN，并將VLAN接口加入安全區(qū)域.#輸入用戶名admin＃輸入密碼Admin@123#切換語言模式為中文模式〈USG2100>language—modechinese〈USG2100>system-view#創(chuàng)建編號為5的VLAN。［USG2100］vlan5[USG2100-vlan5］quit＃配置Ethernet1/0/0的鏈路類型并加入VLAN。[USG2100］interfaceEthernet1/0/0[USG2100—Ethernet1/0/0]portaccessvlan5[USG2100-Ethernet1/0/0]quit#創(chuàng)建VLAN5所對應的三層接口Vlanif5，并配置Vlanif5的IP地址，配置VLAN接口.[USG2100]interfacevlanif5［USG2100-Vlanif5]ipaddress129。9.0。18924［USG2100-Vlanif5]quit＃配置Vlanif5加入Trust區(qū)域。[USG2100]firewallzonetrust[USG2100—zone-trust］addinterfaceVlanif5［USG2100-zone-trust]quit步驟2:配置域間過濾規(guī)則。［USG2100]acl2001[USG2100-acl-basic—2001］rulepermitsource129.9.0。1890.0。0.0［USG2100-acl—basic—2001]quit［USG2100］acl2002[USG2100-acl-basic—2002］rulepermitsource129。9。0。1010.0。0。0［USG2100-acl—basic—2002］quit[USG2100］firewallinterzonetrustlocal[USG2100-interzone-local-trust］aspfpacket—filter2001outbound［USG2100—interzone—local—trust]aspfpacket—filter2002inbound步驟3：啟用Web管理功能（默認情況下是打開的）。[USG2100］web-managerenable步驟4:配置Web用戶.［USG2100］aaa[USG2100-aaa］local-userXunfangpasswordsimpleXunfang123[USG2100-aaa］local-userXunfangservice—typeweb[USG2100-aaa]local—userXunfanglevel3[USG2100-aaa]quit步驟5:配置PC的IP地址.將終端PC的IP地址設置為:129.9。0.101，俺碼設為：255。255。255.0.2、實驗七:配置IPSECVPN步驟1：配置USG2100A#輸入用戶名admin#輸入密碼Admin@123＃切換語言模式為中文模式〈USG2100>language—modechinese＃進入系統(tǒng)視圖。<USG2100>system-view＃配置本端設備的名稱.［USG2100]sysnameUSG2100A＃創(chuàng)建編號為5的VLAN。[USG2100A］vlan5[USG2100A—vlan5］quit#配置Ethernet1/0/0的鏈路類型并加入VLAN。［USG2100A]interfaceEthernet1/0/0[USG2100A-Ethernet1/0/0］portaccessvlan5[USG2100A—Ethernet1/0/0]quit#創(chuàng)建VLAN5所對應的三層接口Vlanif5，并配置Vlanif5的IP地址.配置VLAN接口。［USG2100A］interfacevlanif5[USG2100A—Vlanif5］ipaddress200。39。1。124＃配置Vlanif5加入Trust區(qū)域。[USG2100A]firewallzonetrust[USG2100A-zone—trust]addinterfaceVlanif5［USG2100A—zone-trust]quit＃進入Ethernet0/0/0視圖.［USG2100A］interfaceEthernet0/0/0#配置Ethernet0/0/0的IP地址。[USG2100A-Ethernet0/0/0]ipaddress202。39.160.124#退回系統(tǒng)視圖.[USG2100A-Ethernet0/0/0]quit＃進入Untrust區(qū)域視圖。［USG2100A]firewallzoneuntrust＃配置Ethernet0/0/0加入Untrust區(qū)域。［USG2100A—zone-untrust]addinterfaceEthernet0/0/0#退回系統(tǒng)視圖。[USG2100A-zone-untrust]quit＃配置到達對端防火墻202.39。160。3/24和Host2的靜態(tài)路由。#配置ACL規(guī)則,允許Host1所在網段的主機訪問Host2所在網段的主機。[USG2100A]acl3000[USG2100A—acl-adv-3000]rulepermitipsource200。39.1。055destination172.70。2.00.0。0.255#退回系統(tǒng)視圖。［USG2100A—acl-adv-3000]quit＃配置ACL規(guī)則，允許Host2所在網段的主機訪問。[USG2100A］acl3001［USG2100A—acl-adv—3001]rulepermitipsource0.0。0.255＃退回系統(tǒng)視圖。［USG2100A—acl-adv-3001]quit＃進入Trust和Untrust域間視圖。［USG2100A]firewallinterzonetrustuntrust#配置域間包過濾規(guī)則。[USG2100A-interzone-trust-untrust]aspfpacket-filter3000outbound［USG2100A—interzone—trust-untrust］aspfpacket-filter3001inbound#退回系統(tǒng)視圖。［USG2100A-interzone—trust-untrust］quit＃配置域間缺省包過濾規(guī)則。[USG2100A]firewallpacket—filterdefaultpermitall＃說明：配置所有安全區(qū)域間缺省過濾規(guī)則為允許,使其能夠協(xié)商SA。#配置名為tran1的IPSec提議。[USG2100A］ipsecproposaltran1#配置安全協(xié)議。[USG2100A—ipsec—proposal—tran1］transformesp＃配置ESP協(xié)議的認證算法。［USG2100A-ipsec-proposal—tran1]espauthentication-algorithmmd5＃配置ESP協(xié)議的加密算法。［USG2100A—ipsec-proposal-tran1］espencryption—algorithmdes#退回系統(tǒng)視圖。[USG2100A—ipsec—proposal-tran1]quit＃創(chuàng)建IKE提議10。［USG2100A]ikeproposal10#配置使用pre—shared—key驗證方法.［USG2100A—ike-proposal-10]authentication-methodpre—share#配置使用MD5驗證算法.[USG2100A—ike—proposal—10］authentication—algorithmmd5#配置ISAKMPSA的生存周期為5000秒。[USG2100A-ike—proposal-10］saduration5000＃退回系統(tǒng)視圖。［USG2100A—ike—proposal—10]quit＃進入IKEPeer視圖.［USG2100A］ikepeera#引用IKE安全提議.［USG2100A—ike—peer—a]ike-proposal10＃配置隧道對端IP地址.＃配置驗證字為“abcde”。[USG2100A-ike—peer-a］pre-shared-keyabcde#說明：驗證字的配置需要與對端設備相同。#退回系統(tǒng)視圖。［USG2100A—ike-peer-a]quit#創(chuàng)建安全策略。［USG2100A］ipsecpolicymap110isakmp#引用ike—peera.［USG2100A-ipsec—policy—isakmp—map1—10]ike-peera＃引用名為tran1的安全提議。[USG2100A-ipsec—policy-isakmp-map1-10]proposaltran1#引用組號為3000的ACL.[USG2100A-ipsec-policy-isakmp-map1—10］securityacl3000#退回系統(tǒng)視圖。［USG2100A—ipsec—policy-isakmp—map1-10]quit＃進入以太網接口視圖.[USG2100A］interfaceEthernet0/0/0＃引用IPSec策略。[USG2100A-Ethernet0/0/0]ipsecpolicymap1［USG2100A-Ethernet0/0/0］quit步驟2:配置USG2100B＃輸入用戶名admin＃輸入密碼Admin＠123#切換語言模式為中文模式language—modechinese#進入系統(tǒng)視圖。<USG2100〉system—view#配置本端設備的名稱。[USG2100]sysnameUSG2100B#創(chuàng)建編號為5的VLAN。[USG2100B］vlan5[USG2100B-vlan5]quit#配置Ethernet1/0/0的鏈路類型并加入VLAN。[USG2100B］interfaceEthernet1/0/0[USG2100B—Ethernet1/0/0]portaccessvlan5［USG2100B-Ethernet1/0/0］quit#創(chuàng)建VLAN5所對應的三層接口Vlanif5,并配置Vlanif5的IP地址。配置VLAN接口.[USG2100B］interfacevlanif5［USG2100B-Vlanif5]ipaddress24#配置Vlanif5加入Trust區(qū)域.[USG2100B]firewallzonetrust[USG2100B—zone—trust]addinterfaceVlanif5［USG2100B-zone-trust］quit＃配置Ethernet0/0/0的IP地址。［USG2100B］interfaceEthernet0/0/0[USG2100B—Ethernet0/0/0］ipaddress24＃進入Untrust區(qū)域視圖。[USG2100B］firewallzoneuntrust＃配置Ethernet0/0/0加入Untrust區(qū)域。[USG2100B-zone-untrust］addinterfaceEthernet0/0/0#退回系統(tǒng)視圖。[USG2100B—zone—untrust］quit＃配置到達對端防火墻/24和Host1的靜態(tài)路由.#配置ACL規(guī)則,允許Host2所在網段的主機訪問Host1所在網段的主機。[USG2100B］acl3000［USG2100B-acl—adv-3000］rulepermitipsource172.70。2。00。0。0.255destination200.39。1.00。0。0.255＃退回系統(tǒng)視圖。[USG2100B—acl—adv-3000］quit＃配置ACL規(guī)則，允許Host1所在網段的主機訪問。[USG2100B]acl3001[USG2100B—acl—adv—3001］rulepermitipsource200。39。1.00。0。0。255＃退回系統(tǒng)視圖.［USG2100B—acl-adv-3001]quit#進入Trust和Untrust域間視圖。[USG2100B］firewallinterzonetrustuntrust＃配置域間包過濾規(guī)則。［USG2100B-interzone—trust—untrust］aspfpacket-filter3000outbound[USG2100B-interzone-trust—untrust］aspfpacket—filter3001inbound＃退回系統(tǒng)視圖。[USG2100B-interzone—trust-untrust］quit#配置域間缺省包過濾規(guī)則.［USG2100B]firewallpacket-filterdefaultpermitall＃說明：配置所有安全區(qū)域間缺省過濾規(guī)則為允許，使其能夠協(xié)商SA。#創(chuàng)建名為tran1的IPSec提議。[USG2100B］ipsecproposaltran1#配置安全協(xié)議.［USG2100B-ipsec-proposal—tran1］transformesp＃配置ESP協(xié)議認證算法。[USG2100B—ipsec—proposal-tran1]espauthentication-algorithmmd5＃配置ESP協(xié)議加密算法.［USG2100B-ipsec—proposal—tran1］espencryption—algorithmdes＃退回系統(tǒng)視圖。[USG2100B-ipsec—proposal-tran1]quit＃創(chuàng)建號碼為10的IKE提議。[USG2100B]ikeproposal10＃配置使用pre-sharedkey驗證方法。[USG2100B-ike—proposal—10］authentication-methodpre-share＃配置采用MD5驗證算法。［USG2100B-ike—proposal—10]authentication-algorithmmd5＃配置ISAKMPSA生存周期為5000秒.[USG2100B—ike-proposal-10]saduration5000#退回系統(tǒng)視圖。[USG2100B-ike—proposal—10]quit＃創(chuàng)建名為a的IKEPeer。[USG2100B］ikepeera#引用IKE提議.［USG2100B—ike—peer-a］ike-proposal10#配置對端IP地址。［USG2100B—ike—peer—a］remote—address202。39。160.1＃配置驗證字為“abcde”.［USG2100B—ike-peer—a］pre—shared—keyabcde＃說明：驗證字的配置需要與對端設備相同。＃退回系統(tǒng)視圖。[USG2100B-ike—peer-a]quit＃創(chuàng)建IPSec策略。[USG2100B］ipsecpolicymap110isakmp#引用IKEPeer。［USG2100B—ipsec—policy—isakmp—map1—10］ike—peera＃引用IPSec提議。[USG2100B-ipsec—policy-isakmp-map1-10］proposaltran1＃引用組號為3000的ACL.［USG2100B—ipsec—policy-isakmp-map1—10］securityacl3000＃退回系統(tǒng)視圖。[USG2100B-ipsec-policy-isakmp—map1—10］quit＃進入以太網接口視圖。［USG2100B］interfaceEthernet0/0/0#引用IPSec策略。［USG2100B-Ethernet0/0/0］ipsecpolicymap1#退回系統(tǒng)視圖。［USG2100B—Ethernet0/0/0]quit3、實驗八：配置防火墻GRE隧道步驟1：配置USG2100A#輸入用戶名admin＃輸入密碼Admin＠123＃切換語言模式為中文模式〈USG2100>language-modechinese＃進入系統(tǒng)視圖。<USG2100>system—view＃配置本端設備的名稱。[USG2100］sysnameUSG2100A#配置Ethernet0/0/0的IP地址.［USG2100A]interfaceEthernet0/0/0［USG2100A—Ethernet0/0/0]ipaddress192.13。2.124[USG2100A-Ethernet0/0/0］quit#創(chuàng)建編號為5的VLAN。[USG2100A]vlan5[USG2100A—vlan5]quit＃配置Ethernet1/0/0的鏈路類型并加入VLAN.［USG2100A］interfaceEthernet1/0/0［USG2100A-Ethernet1/0/0]portaccessvlan5［USG2100A-Ethernet1/0/0]quit＃創(chuàng)建VLAN5所對應的三層接口Vlanif5，并配置Vlanif5的IP地址。配置VLAN接口.［USG2100A]interfacevlanif5［USG2100A—Vlanif5］ipaddress200。39.1.124[USG2100A—Vlanif5]quit＃創(chuàng)建Tunnel1接口。[USG2100A]interfacetunnel1＃配置Tunnel1接口的IP地址。［USG2100A—Tunnel1］ipaddress10。1。2。124#配置Tunnel封裝模式。[USG2100A—Tunnel1]tunnel-protocolgre#配置Tunnel1接口的源地址（USG2100A的Ethernet0/0/0的IP地址）.[USG2100A-Tunnel1］source192.13。2。1#配置Tunnel1接口的目的地址（USG2100B的Ethernet0/0/0的IP地址）.［USG2100A—Tunnel1]destination192。13。2。3#退回系統(tǒng)視圖。［USG2100A—Tunnel1］quit#配置從USG2100A經過Tunnel1接口到Group2的靜態(tài)路由。[USG2100A]iproute-static172.70。2.0255。255。255。0tunnel1#配置Vlanif5加入Trust區(qū)域。[USG2100A］firewallzonetrust［USG2100A-zone—trust］addinterfaceVlanif5［USG2100A—zone-trust]quit＃進入Untrust區(qū)域視圖.［USG2100A］firewallzoneuntrust#配置Ethernet0/0/0加入Untrust區(qū)域。[USG2100A—zone—untrust］addinterfaceEthernet0/0/0#配置Tunnel1加入Untrust區(qū)域。[USG2100A-zone—untrust］addinterfaceTunnel1＃退回系統(tǒng)視圖.[USG2100A-zone-untrust]quit＃配置域間缺省包過濾規(guī)則.[USG2100A］firewallpacket—filterdefaultpermitall步驟2：配置USG2100B#輸入用戶名admin＃輸入密碼Admin＠123#切換語言模式為中文模式<USG2100〉language-modechinese#進入系統(tǒng)試圖。<USG2100〉system-view＃配置本端設備的名稱.[USG2100］sysnameUSG2100B＃配置Ethernet0/0/0的IP地址。[USG2100B]interfaceEthernet0/0/0[USG2100B-Ethernet0/0/0］ipaddress24［USG2100B-Ethernet0/0/0]quit＃創(chuàng)建編號為5的VLAN.[USG2100B]vlan5［USG2100B-vlan5］quit#配置Ethernet1/0/0的鏈路類型并加入VLAN.[USG2100B]interfaceEthernet1/0/0[USG2100B—Ethernet1/0/0]portaccessvlan5［USG2100B—Ethernet1/0/0]quit#創(chuàng)建VLAN5所對應的三層接口Vlanif5，并配置Vlanif5的IP地址。配置VLAN接口.[USG2100B]interfacevlanif5[USG2100B—Vlanif5］ipaddress24[USG2100B-Vlanif5]quit＃創(chuàng)建Tunnel2接口。[USG2100B]interfacetunnel2＃配置Tunnel2接口的IP地址。[USG2100B-Tunnel2]ipaddress10。1.2。224＃配置Tunnel封裝模式。[USG2100B—Tunnel2]tunnel-protocolgre＃配置Tunnel2接口的源地址（Ethernet0/0/0的IP地址）。[USG2100B—Tunnel2］source192。13。2.3#配置Tunnel2接口的目的地址（USG2100A的Ethernet0/0/0的IP地址）。[USG2100B—Tunnel2］destination192。13.2。1＃退回系統(tǒng)視圖［USG2100B—Tunnel2]quit＃配置從USG2100B經過Tunnel2接口到Group1的靜態(tài)路由。[USG2100B]iproute-static200.39.1。0255。255.255.0tunnel2＃進入Trust區(qū)域視圖。[USG2100B]firewallzonetrust＃配置Vlanif5加入Trust區(qū)域。［USG2100B—zone—trust]addinterfaceVlanif5[USG2100B-zone—trust]quit＃進入Untrust區(qū)域。[USG2100B]firewallzoneuntrust＃配置Ethernet0/0/0加入Untrust區(qū)域。[USG2100B—zone-untrust]addinterfaceEthernet0/0/0＃配置Tunnel2加入Untrust區(qū)域。［USG2100B—zone—untrust］addinterfaceTunnel2#退回系統(tǒng)視圖。[USG2100B—zone—untrust]quit#配置域間缺省包過濾規(guī)則。［USG2100B］firewallpacket—filterdefaultpermitall實驗十一:配置L2TPVPN步驟1：LAC側的配置#輸入用戶名admin＃輸入密碼Admin@123#切換語言模式為中文模式<USG2130〉language—modechinese#進入系統(tǒng)視圖。〈USG2130>system-view#配置本端設備的名稱。［USG2130]sysnameLAC＃配置Ethernet0/0/0的IP地址.［LAC]interfaceEthernet0/0/0［LAC—Ethernet0/0/0］ipaddress2.2。2。116［LAC—Ethernet0/0/0］quit＃創(chuàng)建編號為5的VLAN.［LAC]vlan5[LAC—vlan5]quit#配置Ethernet1/0/0的鏈路類型并加入VLAN5.［LAC]interfaceEthernet1/0/0［LAC-Ethernet1/0/0］portaccessvlan5[LAC—Ethernet1/0/0]quit#創(chuàng)建VLAN5所對應的三層接口Vlanif5，并配置Vlanif5的IP地址。［LAC]interfacevlanif5[LAC-Vlanif5］ipaddress24[LAC-Vlanif5]quit＃配置Vlanif5加入Trust區(qū)域.［LAC］firewallzonetrust［LAC-zone—trust］addinterfaceVlanif5［LAC—zone—trust］quit#進入Untrust區(qū)域視圖.［LAC]firewallzoneuntrust#配置Ethernet0/0/0加入Untrust區(qū)域.[LAC—zone-untrust］addinterfaceEthernet0/0/0＃退回系統(tǒng)視圖。[LAC—zone-untrust]quit＃配置缺省路由。［LAC]iproute-static0.0。0.00.0。0。02。2.2。22.2。2。2為LAC的下一跳設備的IP地址.#創(chuàng)建虛擬接口模板。［LAC]interfaceVirtual-Template1＃配置PPP認證方式.（配置的時候會有個提示:請確認對端設備已具備相應的PPP協(xié)議？[Y/N],這里選Y。)［LAC-Virtual-Template1]pppauthentication-modechap#退回系統(tǒng)視圖。［LAC-Virtual-Template1］quit#進入Vlanif5視圖。[LAC］interfaceVlanif5#配置接口綁定虛擬接口模板。［LAC-Vlanif5]pppoe-serverbindvirtual-template1虛擬接口模板可以與LAC的任一接口綁定.＃退回系統(tǒng)視圖。[LAC—Vlanif5]quit＃進入Untrust區(qū)域視圖.［LAC]firewallzoneuntrust#配置虛擬接口模板加入Untrust區(qū)域。［LAC-zone—untrust］addinterfaceVirtual-Template1＃退回系統(tǒng)視圖。[LAC-zone—untrust］quit#使能L2TP功能。[LAC］l2tpenable#配置用戶名帶域名的后綴分隔符。［LAC］l2tpdomainsuffix—separator＠＃創(chuàng)建L2TP組。[LAC］l2tp—group1＃配置L2TP隧道LNS端IP地址。[LAC—l2tp1]startl2tpip2。2。2.2fullusernamevpnuser@domain1A．USG2130缺省需要進行隧道的認證。如果沒有配置undotunnelauthentication命令，需要配置tunnelpassword命令.B．LAC端配置的隧道驗證時的密碼需要與LNS端的配置保持一致。＃啟動L2TP隧道認證.［LAC-l2tp1]tunnelauthentication＃配置L2TP隧道認證密碼。［LAC—l2tp1]tunnelpasswordsimpleHello123#配置隧道本端名稱。[LAC—l2tp1]tunnelnamelac＃退回系統(tǒng)視圖.[LAC—l2tp1]quit#進入AAA視圖.［LAC］aaa#創(chuàng)建名稱為domain1的域。[LAC-aaa]domaindomain1＃退回AAA視圖。[LAC—aaa—domain-domain1］quit#配置本地用戶和密碼。［LAC-aaa]local—uservpnuser＠domain1passwordsimpleVPNuser123＃退回系統(tǒng)視圖。[LAC-aaa]quit＃配置域間缺省包過濾規(guī)則。［LAC］firewallpacket—filterdefaultpermitinterzoneuntrustlocal[LAC］firewallpacket-filterdefaultpermitinterzonetrustuntrust由于LAC需要與LNS設備進行PPP協(xié)商，也需要傳輸PC的連接請求,故配置上述域間的缺省包過濾規(guī)則。步驟2：LNS側的配置＃輸入用戶名admin#輸入密碼Admin@123＃切換語言模式為中文模式<USG2130〉language-modechinese＃進入系統(tǒng)視圖。<USG2130>system—view＃配置本端設備的名稱。［USG2130］sysnameLNS＃配置Ethernet0/0/0的IP地址。［LNS]interfaceEthernet0/0/0［LNS—Ethernet0/0/0］ipaddress2.2.2。216［LNS-Ethernet0/0/0］quit＃創(chuàng)建編號為5的VLAN.[LNS]vlan5[LNS—vlan5］quit＃配置Ethernet1/0/0的鏈路類型并加入VLAN5.[LNS］interfaceEthernet1/0/0[LNS-Ethernet1/0/0]portaccessvlan5［LNS—Ethernet1/0/0］quit＃創(chuàng)建VLAN5所對應的三層接口Vlanif5，并配置Vlanif5的IP地址。[LNS］interfacevlanif5［LNS-Vlanif5］ipaddress172.70。2.124［LNS-Vlanif5］quit#配置Vlanif5加入Trust區(qū)域。［LNS］firewallzonetrust[LNS—zone-trust]addinterfaceVlanif5［LNS—zone—trust］quit#進入Untrust區(qū)域視圖。［LNS］firewallzoneuntrust#配置Ethernet0/0/0加入Untrust區(qū)域。[LNS-zone-untrust］addinterfaceEthernet0/0/0#退回系統(tǒng)視圖。［LNS-zone—untrust]quit#配置缺省路由。3。3.3。10為LNS的下一跳設備的IP地址。＃創(chuàng)建虛擬接口模板.［LNS]interfaceVirtual-Template1#配置虛擬接口模板的IP地址。[LNS—Virtual-Template1]ipaddress10。1。1。124配置虛擬接口模板的IP地址為LNS側的必配項.＃配置PPP認證方式。[LNS—Virtual-Template1]pppauthentication-modechap＃配置為對端接口分配IP地址池中的地址.[LNS—Virtual-Template1］remoteaddresspool1此處引用的地址池號需要與AAA視圖下的相對應。否則LNS無法為PC分配地址。＃退回系統(tǒng)視圖.［LNS—Virtual-Template1]quit＃進入Untrust區(qū)域視圖。[LNS］firewallzoneuntrust#配置虛擬接口模板加入Untrust區(qū)域。［LNS—zone—untrust］addinterfaceVirtual-Template1虛擬接口模板可以加入LNS的任一安全區(qū)域，但為LNS側的必配項。#退回系統(tǒng)視圖.[LNS—zone-untrust］quit#使能L2TP功能.[LNS]l2tpenable＃配置用戶名帶域名的后綴分隔符。［LNS］l2tpdomainsuffix-separator@＃配置L2TP組。［LNS］l2tp-group1#指定接受呼叫時隧道對端的名稱及所使用的Virtual—Template。［LNS—l2tp1］allowl2tpvirtual-template1＃使能L2TP隧道認證。［LNS-l2tp1］tunnelauthentication＃配置L2TP隧道認證密碼.［LNS-l2tp1]tunnelpasswordsimpleHello123A．USG2130缺省需要進行隧道的認證。如果沒有配置undotunnelauthentication命令,需要配置tunnelpassword命令。B．LNS端配置的隧道驗證時的密碼需要與LAC端的配置保持一致。#配置隧道本端名稱。［LNS—l2tp1］tunnelnamelns＃退回系統(tǒng)視圖。[LNS—l2tp1］quit＃進入AAA視圖.［LNS]aaa#創(chuàng)建本地用戶名和密碼。[LNS-aaa］local—uservpnuser＠domain1passwordsimpleVPNuser123＃創(chuàng)建名稱為domain1的域。［LNS—aaa］domaindomain1#配置公共IP地址池。［LNS—aaa-domain—domain1］ippool110。1。1.210.1。1。100＃退回AAA視圖。[LNS—aaa—domain—domain1］quit＃退回系統(tǒng)視圖。［LNS-aaa］quit#配置域間缺省包過濾規(guī)則。[LNS］firewallpacket—filterdefaultpermitinterzonelocaluntrust由于LNS需要給PC分配IP地址，此時不能配置確切的ACL及域間規(guī)則.同時，需要打開Local和Untrust域間的缺省過濾規(guī)則。［LNS］firewallpacket-filterdefaultpermitinterzonetrustuntrust期末考試復習1、考試形式：閉卷2、考試時間：2小時3、試卷題型及分數分配：6種題型，共100分。（1）單項選擇題：1分/題X20題=20分；（2）填空題：1分/空X10空=10分；（3）判斷題：1分/題X10題=10分；（4）名詞解釋：5分/題X4題=20分；（5）簡答題：8分/題X3題=24分；（6）論述題：16分/題X1題=16分。4、考試范圍第一章：網絡技術基礎（1）計算機網絡的分類計算機網絡可分為局域網、廣域網和城域網?！窬钟蚓W：局域網(LocalAreaNetwork，簡稱LAN)是將較小地理區(qū)域內的計算機或數據終端設備連接在一起的通信網絡。局域網覆蓋的地理范圍比較小，它常用于組建一個企業(yè)、校園、樓宇和辦公室內的計算機網絡?！駨V域網：廣域網(WideAreaNetwork，簡稱WAN)是在一個廣闊的地理區(qū)域內進行數據、語音、圖像等信息傳輸的通信網絡。廣域網覆蓋的地理區(qū)域較大，它可以覆蓋一個城市、一個國家、一個洲乃至整個地球。廣域網覆蓋的范圍比局域網（LAN）和城域網（MAN）都廣。廣域網的通信子網主要使用分組交換技術。廣域網的通信子網可以利用公用分組交換網、衛(wèi)星通信網和無線分組交換網，它將分布在不同地區(qū)的局域網或計算機系統(tǒng)互連起來，達到資源共享的目的。如互聯(lián)網是世界范圍內最大的廣域網。城域網：城域網(MetropolitanAreaNetwork，簡稱MAN)是介于局域網和廣域網之間的一種高速網絡，它的覆蓋范圍在一個城市內。屬寬帶局域網。由于采用具有有源交換元件的局域網技術，網中傳輸時延較小，它的傳輸媒介主要采用光纜，傳輸速率在l00兆比特/秒以上。DNS服務器的概念DNS服務器是計算機域名系統(tǒng)(DomainNameSystem或DomainNameService)的縮寫，它是由解析器和域名服務器組成的。域名服務器是指保存有該網絡中所有主機的域名和對應IP地址，并具有將域名轉換為IP地址功能的服務器。其中域名必須對應一個IP地址，而IP地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結構。域名服務器為客戶機/服務器模式中的服務器方，它主要有兩種形式：主服務器和轉發(fā)服務器。將域名映射為IP地址的過程就稱為“域名解析”。（3）TCP/IP協(xié)議的概念及各層的功能。TCP/IP協(xié)議TCP/IP是TransmissionControlProtocol/InternetProtocol（傳輸控制協(xié)議/互聯(lián)網協(xié)議）的縮寫。美國國防部高級研究計劃局DARPA為了實現(xiàn)異種網絡之間的互連與互通，大力資助互聯(lián)網技術的開發(fā)，于1977年到1979年間推出目前形式的TCP/IP體系結構和協(xié)議。在1980年左右，ARPA開始將ARPANET上的所有機器轉向TCP/IP協(xié)議，并以ARPANET為主干建立了Internet。TCP/IP也是一個分層的網絡協(xié)議，不過它與OSI模型所分的層次有所不同。TCP/IP從底至頂分為網絡接口層、網絡層、傳輸層、應用層等4個層次?！窬W絡接口層：這是TCP/IP協(xié)議的最低一層，包括有多種邏輯鏈路控制和媒體訪問協(xié)議。網絡接口層的功能是接收IP數據報并通過特定的網絡進行傳輸，或從網絡上接收物理幀，抽取出IP數據報并轉交給網際層?！窬W絡層（IP層）：該層包括以下協(xié)議：IP（/InternetProtocol，網際協(xié)議）、ICMP（InternetControlMessageProtocol，因特網控制報文協(xié)議）、ARP（AddressResolutionProtocol，地址解析協(xié)議）、RARP（ReverseAddressResolutionProtocol，反向地址解析協(xié)議）。該層負責相同或不同網絡中計算機之間的通信，主要處理數據報和路由。在IP層中，ARP協(xié)議用于將IP地址轉換成物理地址，RARP協(xié)議用于將物理地址轉換成IP地址，ICMP協(xié)議用于報告差錯和傳送控制信息。IP協(xié)議在TCP/IP協(xié)議組中處于核心地位?！駛鬏攲樱涸搶犹峁㏕CP（傳輸控制協(xié)議）和UDP（UserDatagramProtocol，用戶數據報協(xié)議）兩個協(xié)議，它們都建立在IP協(xié)議(網絡協(xié)議)的基礎上，其中TCP提供可靠的面向連接服務，UDP提供簡單的無連接服務。傳輸層提供端到端，即應用程序之間的通信，主要功能是數據格式化、數據確認和丟失重傳等?！駪脤樱篢CP/IP協(xié)議的應用層相當于OSI模型的會話層、表示層和應用層，它向用戶提供一組常用的應用層協(xié)議，其中包括：Telnet（遠程登錄）、SMTP（簡單郵件傳輸協(xié)議）、DNS（域名系統(tǒng)）等。此外，在應用層中還包含有用戶應用程序，它們均是建立在TCP/IP協(xié)議組之上的專用程序。第二章：網絡安全概述（1）網絡安全的定義，會從用戶和運營商（管理者）的角度解釋什么是網絡安全。網絡安全從其本質來講就是網絡上的信息安全。他涉及的領域相當廣泛。這是因為目前的公用通信網絡中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性和可控性的相關技術和理論，都是網絡安全的研究領域。網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。從用戶的角度來說，他們希望涉及到個人隱私和商業(yè)利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段對用戶的利益和隱私造成損害和侵犯。同時他們希望當用戶的信息保存在某個計算機系統(tǒng)上時，不受其他非法用戶的非授權訪問和破壞。從網絡運營商和管理者的角度來說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務和網絡資源的非法占用和非法控制等威脅，制止和防御網絡“黑客”的攻擊。因此，人們在不同的網絡環(huán)境和網絡應用中對網絡安全的理解是不同的。網絡安全有哪些安全屬性，各個安全屬性是如何定義的。網絡安全的屬性●機密性：機密性是指保證信息與信息系統(tǒng)不被非授權者所獲取與使用，主要防范措施是密碼技術。在網絡系統(tǒng)的各個層次上有不同的機密性及相應的防范措施。在物理層，要保證系統(tǒng)實體不以電磁的方式(電磁輻射、電磁泄漏)向外泄漏信息，主要的防范措施是電磁屏蔽技術、加密干擾技術等。在運行層面，要保障系統(tǒng)依據授權提供服務，使系統(tǒng)任何時候不被非授權人所使用，對黑客入侵、口令攻擊、用戶權限非法提升、資源非法使用等采取漏洞掃描、隔離、防火墻、訪問控制、入侵檢測、審計取證等防范措施。這類屬性有時也稱為可控性。在數據處理、傳輸層面，要保證數據在傳輸、存儲過程中不被非法獲取、解析，主要防范措施是數據加密技術?！裢暾裕和暾允侵感畔⑹钦鎸嵖尚诺?，其發(fā)布者不被冒充，來源不被偽造，內容不被篡改，主要防范措施是校驗與認證技術。在運行層面，要保證數據在傳輸、存儲等過程中不被非法修改，防范措施是對數據的截獲、篡改與再送采取完整性標識的生成與檢驗技術。要保證數據的發(fā)送源頭不被偽造，對冒充信息發(fā)布者的身份、虛假信息發(fā)布來源采取身份認證技術、路由認證技術，這類屬性也可稱為真實性?！窨捎眯裕嚎捎眯允侵副ＷC信息與信息系統(tǒng)可被授權人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運行狀態(tài)之下。在物理層，要保證信息系統(tǒng)在惡劣的工作環(huán)境下能正常運行，主要防范措施是對電磁炸彈、信號插入采取抗干擾技術、加固技術等。在運行層面，要保證系統(tǒng)時刻能為授權人提供服務，對網絡被阻塞、系統(tǒng)資源超負荷消耗、病毒、黑客等導致系統(tǒng)崩潰或死機等情況采取過載保護、防范拒絕服務攻擊、生存技術等防范措施。保證系統(tǒng)的可用性，使得發(fā)布者無法否認所發(fā)布的信息內容，接收者無法否認所接收的信息內容，對數據抵賴采取數字簽名防范措施，這類屬性也稱為抗否認性。從上面的分析可以看出，維護信息載體的安全與維護信息自身的安全兩個方面都含有機密性、完整性、可用性這些重要屬性。GB17859把計算機信息系統(tǒng)的安全保護能力劃分的5個等級。我國的GB17859中，去掉了這兩個級別，對其他5個級別也賦予了新意。C1、C2、B1、B2、B34、考試范圍第三章：主機網絡安全及訪問控制安全（1）主機網絡安全的概念。計算機安全分為兩部分，一個是主機安全，一個是網絡安全。主機安全主要是考慮保護合法用戶對于授權資源的使用，防止非法入侵者對于系統(tǒng)資源的侵占與破壞。其最常用的辦法是利用操作系統(tǒng)的功能，如Unix的用戶認證、文件訪問權限控制、帳號審計等。網絡安全主要考慮的是網絡上主機之間的訪問控制，防止來自外部網絡的入侵，保護數據在網上傳輸時不被泄密和修改。其最常用的方法是防火墻、加密等。主機網絡安全技術是一種主動防御的安全技術，它結合網絡訪問的網絡特性和操作系統(tǒng)特性來設置安全策略，可以根據網絡訪問的訪問者及訪問發(fā)生的時間、地點和行為來決定是否允許訪問繼續(xù)進行，實現(xiàn)對于同一用戶在不同的場所擁有不同的權限，從而保證合法用戶的權限不被非法侵占。訪問控制的兩種類型。（系統(tǒng)、網絡）入侵檢測系統(tǒng)通常分為基于主機和基于網絡兩類?；谥鳈C入侵檢測的主要特征是使用主機傳感器監(jiān)控本系統(tǒng)的信息。這種技術可以用于分布式、加密、交換的環(huán)境中監(jiān)控，把特定的問題同特定的用戶聯(lián)系起來。它能夠實時監(jiān)視可疑的連接，檢查系統(tǒng)日志，監(jiān)視非法訪問和典型應用。它還可針對不同操作系統(tǒng)的特點判斷應用層的入侵事件，對系統(tǒng)屬性、文件屬性、敏感數據、攻擊進程結果進行監(jiān)控。它能夠精確地判斷入侵事件，并對入侵事件迅速做出反應，結合主機上的包過濾功能模塊切斷來自可疑地址的網絡連接。基于網絡的入侵檢測主要特征是網絡監(jiān)控傳感器監(jiān)控包監(jiān)聽器收集的信息。它使用原始的網絡包作為數據源，它將網絡數據中檢測主機的網卡設為混雜模式，該主機實時接收和分析網絡中流動的數據包，從而檢測是否存在入侵行為，但它不能審查加密數據流的內容，對高速網絡不是特別有效。掌握基于角色的訪問控制模型，會畫出RBAC96模型圖?；诮巧脑L問控制(Role-BasedAccessControl,RBAC)的基本思想就是根據安全策略劃分出不同的角色,資源訪問許可被封裝在角色中,用戶被指派到角色,用戶通過角色間接地訪問資源。b.RBAC的最大優(yōu)點在于它能夠靈活表達和實現(xiàn)組織的安全政策,使管理員從訪問控制底層的具體實現(xiàn)機制中脫離出來,十分接近日常的組織管理規(guī)則。RBAC被認為是一種更普遍適用的訪問控制模型,可以有效地表達和鞏固特定事務的安全策略,有效緩解傳統(tǒng)安全管理處理瓶頸問題。c.角色與組的差別:●角色既是用戶的集合,又是操作許可的集合;組通常是作為用戶的集合,而不是操作許可的集合?！窠巧潜磉_組織安全策略的部件,屬于安全策略,抽象級高;組是機制,是實現(xiàn)工具,抽象級低。兩者是策略與實現(xiàn)機理的關系。RBAC96模型第四章：密碼技術（1）比較對稱式密碼體制和非對稱密碼體制。對稱密碼技術就是加密密鑰和解密密鑰相同的這類密碼體制，它采用的解密算法是加密算法的逆運算。該體制的特點是在保密通信系統(tǒng)發(fā)送者和接收者之間的密鑰必須安全傳送，而雙方通信所用的秘密密鑰必須妥善保管。對稱密碼技術的安全性依賴于以下兩個因素：第一，加密算法必須是足夠強的，僅僅基于密文本身去解密信息在實踐上是不可能的；第二，加密方法的安全性依賴于密鑰的秘密性，而不是算法的秘密性。因此，沒有必要確保算法的秘密性，而需要的是保證密鑰的秘密性。目前計算機網絡主要采用兩種密碼體制:對稱密鑰體制和非對稱密鑰體制。對稱密鑰體制的加密密鑰和解密密鑰是相同的,只要知道加密密鑰就能推算出解密密鑰,通信雙方分別持有加密密鑰和解密密鑰。在使用對稱密碼技術進行秘密通信時，任意兩個不同用戶之間都應該使用互不相同的密鑰。如果一個網絡中有n個用戶，他們之間可能會進行秘密通信，這時網絡中共需n(n—1)/2個密鑰(其中每個用戶都需要保存n—1個密鑰)這樣巨大的密鑰量給密鑰分配和密鑰管理都帶來了極大的困難。公鑰密碼體制的概念，會畫出公鑰密碼技術示意圖，分析公鑰密碼體制的優(yōu)缺點。采用非對稱密碼技術的每個用戶都有一對密鑰：一個是可以公開的(稱為加密密鑰或公鑰)，可以像號碼一樣進行注冊公布；另一個則是秘密的(稱為秘密密鑰或解密密鑰或私鑰，它由用戶嚴格保密保存)。它的主要特點是將加密和解密能力分開，因而可以實現(xiàn)多個用戶加密的信息只能由一個用戶解讀，或由一個用戶加密的信息而多個用戶可以解讀。前者可以用于公共網絡中實現(xiàn)通信保密，而后者可以用于實現(xiàn)對用戶的認證。下圖是公鑰密碼技術示意圖。在圖4-4中，E(eB，m)表示使用用戶B的公開密鑰eB對明文m進行加密，D(dB，c)表示使用用戶B自己保存的秘密密鑰dB對密文c進行解密。4、考試范圍第四章：密碼技術（3）知道對稱密碼體制常用算法（置換、DES、3DES）、非對稱密碼體制常用算法（RSA）。置換法凱撒算法的推廣是移動Ｋ位。單純移動Ｋ位的置換算法很容易被破譯，比較好的置換算法是進行映像。例如，將26個字母映像到另外26個特定字母中，如下表所示,利用置換發(fā)可將attack加密，變換為QZZQEA。加密算法要達到的目的（通常稱為DES密碼算法要求）主要為以下四點：①提供高質量的數據保護，防止數據未經授權的泄露和未被察覺的修改。②具有相當高的復雜性，使得破譯的開銷超過可能獲得的利益，同時又要便于理解和掌握。③DES密碼體制的安全性應該不依賴于算法的保密，其安全性僅以加密密鑰的保密為基礎。④實現(xiàn)經濟，運行有效，并且適用于多種完全不同的應用。DES主要采用替換和移位的方法加密。DES算法的入口參數有三個：Key、Data、Mode。其中Key為8個字節(jié)共64位，是DES算法的工作密鑰；Data也為8個字節(jié)64位，是要被加密或被解密的數據；Mode為DES的工作方式，有兩種：加密或解密。DES算法是這樣工作的：如Mode為加密，則用Key去把數據Data進行加密，生成Data的密碼形式（64位）作為DES的輸出結果；如Mode為解密，則用Key去把密碼形式的數據Data解密，還原為Data的明碼形式（64位）作為DES的輸出結果。在通信網絡的兩端，雙方約定一致的Key，在通信的源點用Key對核心數據進行DES加密，然后以密碼形式在公共通信網（如網）中傳輸到通信網絡的終點，數據到達目的地后，用同樣的Key對密碼數據進行解密，便再現(xiàn)了明碼形式的核心數據。這樣，便保證了核心數據（如PIN、MAC等）在公共通信網中傳輸的安全性和可靠性。DES技術特點：●分組加密算法：明文和密文為64位分組長度；●對稱算法：加密和解密除密鑰編排不同外，使用同一算法；●DES的安全性不依賴于算法的保密，安全性僅以加密密鑰的保密為基礎；●密鑰可為任意的56位數，具有復雜性，使得破譯的開銷超過可能獲得的利益；●采用替代和置換的組合，共16輪；●只使用了標準的算術和邏輯運算，易于實現(xiàn)IDEA算法中明文和密文的分組長度都是64位，密鑰長128位，該算法既可用于加密，也可用于解密。設計原則采用的是基于“相異代數群上的混合運算”的設計思想，3個不同的代數群(異或、模216加和模216+1乘)進行混合運算，所有這些運算(僅有運算，沒有位的置換)都在16位子分組上進行，無論用硬件還是軟件實現(xiàn)，都非常容易(對16位微處理器尤其有效)類似于DES，IDEA算法也是一種數據塊加密算法，它設計了一系列加密輪次，每輪加密都使用從完整的加密密鑰中生成的一個子密鑰。與DES的不同處在于，它采用軟件實現(xiàn)和采用硬件實現(xiàn)同樣快速。在公鑰密碼體制中，RSA是一個較為完善的公鑰密碼算法，不僅能夠同時用于加密和數字簽名，而且易于理解和操作，是被廣泛研究的公鑰密碼算法，從提出到現(xiàn)在20多年，經歷了各種攻擊的考驗，逐漸為人們所接受，被普遍認為是目前最優(yōu)秀的公鑰密碼算法之一。RSA的安全性依賴于大整數的因子分解難度。RSA是基于大整數難分解的公鑰密碼技術。RSA是基于這樣一個十分簡單的數論事實而設計的：將兩個大的素數相乘十分容易，但想分解它們是十分困難的，因此將乘積公開作為加密密鑰?；诖笳麛捣纸獾墓€密碼體制的安全性主要依賴于大整數(大合數)的難分解問題。目前較好的大整數分解算法包括：二次篩選法(QadraticSieve，QS)、橢圓曲線法(EllipticCurveMethod，ECM)、pollard的蒙特卡羅算法(pollard’sMonteCarloAlgorithm)、數域篩選法(NumberFieldSieve，NES)等。最好的分解算法是NFS(數域篩選法)，若B為實現(xiàn)者，則RSA算法的實現(xiàn)步驟如下：①B尋找兩個大素數p和q。②B計算出n=pq和Φ(n)=（p-1）（q-1）。③B選擇一個隨機數e(0<e<j(n))，滿足（e,Φ(n)）=1。④B使用歐幾里得擴展算法計算d=e-1modΦ(n)。⑤B在目標中公開n和e作為他的公開密鑰，保密p、q和d。三種可能攻擊RSA算法的方法是：①強行攻擊：這包含對所有的私有密鑰都進行嘗試；②數學攻擊：有幾種方法，實際上都等效于對兩個素數乘積的因子分解；③定時攻擊：這依賴于解密算法的運行時間。a.產生密鑰很麻煩，受到素數產生技術的限制，因而難以做到一次一密。b.分組長度太大，為保證安全性，n至少也要600bits以上，使運算代價很高，尤其是速度較慢，較對稱密碼算法慢幾個數量級；且隨著大數分解技術的發(fā)展，這個長度還在增加，不利于數據格式的標準化。

用RSA或其它公開密匙密碼算法進行數字簽名的最大方便是沒有密匙分配問題（網絡越復雜、網絡用戶越多，其優(yōu)點越明顯）知道網絡加密的三種方法。（鏈路、節(jié)點、端到端）一般的網絡數據加密可以在通信的三個層次來實現(xiàn):鏈路加密、節(jié)點加密和端到端加密。數據加密是通過加密機構把各種原始的數字信號（明文），經某種特定的加密算法變換成與明文完全不同的數字信號，即密文的過程。網絡節(jié)點間通信的信息是指用戶之間要交換的數據、文件（稱作報文）和消息頭部（稱為報頭）。一般情況下，報頭包含路徑選擇信息及對報文的說明，如指定的終點、報文順序號、報文的識別號、報文的分類、報文的格式等。鏈路加密是指在鏈路上傳輸的數據是加密的，而在節(jié)點中的信息是以明文的形式出現(xiàn)。鏈路加密是最常用的一種加密方式，它僅是在物理層前的數據鏈路層對傳輸數據進行加密。優(yōu)點：由于在每一個中間傳輸節(jié)點消息均被解密后重新進行加密，因此，包括路由信息在內的鏈路上的所有數據均以密文形式出現(xiàn)。這樣，鏈路加密就掩蓋了被傳輸消息的源點與終點缺點：①鏈路加密通常用在點對點的同步或異步線路上，它要求先對在鏈路兩端的加密設備進行同步，然后使用一種鏈模式對鏈路上傳輸的數據進行加密。這就影響了網絡的性能和可管理性。②在一個網絡節(jié)點，鏈路加密僅在通信鏈路上提供安全性，消息以明文形式存在，因此所有節(jié)點在物理上必須是安全的，否則就會泄漏明文內容。然而保證每一個節(jié)點的安全性需要較高的費用，為每一個節(jié)點提供加密硬件設備和一個安全的物理環(huán)境所需要的費用由以下幾部分組成：保護節(jié)點物理安全的雇員開銷，為確保安全策略和程序的正確執(zhí)行而進行審計時的費用，以及為防止安全性被破壞時帶來損失而參加保險的費用。③在傳統(tǒng)的加密算法中，用于解密消息的密鑰與用于加密的密鑰是相同的，該密鑰必須被秘密保存，并按一定規(guī)則進行變化。這樣，密鑰分配在鏈路加密系統(tǒng)中就成了一個問題，因為每一個節(jié)點必須存儲與其相連接的所有鏈路的加密密鑰，這就需要對密鑰進行物理傳送或者建立專用網絡設施。而網絡節(jié)點地理分布的廣闊性使得這一過程變得復雜，同時增加了密鑰連續(xù)分配時的費用。盡管節(jié)點加密能給網絡數據提供較高的安全性，但它在操作方式上與鏈路加密是類似的:兩者均在通信鏈路上為傳輸的消息提供安全性；都在中間節(jié)點先對消息進行解密，然后進行加密。因為要對所有傳輸的數據進行加密，所以加密過程對用戶是透明的。節(jié)點加密要求報頭和路由信息以明文形式傳輸端對端加密提供傳輸一端到另一端的全程保密。數據在通過各節(jié)點傳輸時一起對數據進行保護,數據只在終點才進行解密,在整個傳輸過程中是以一個確定的密鑰和算法進行加密的(見圖2),在中間節(jié)點或與它們有關的安全模塊內,永遠不會以明碼的形式出現(xiàn)。加密可通過在用戶和主機之間加硬件來實現(xiàn),也可通過主機計算機軟件實現(xiàn)。