上傳人：q***

認(rèn)證信息

認(rèn)證類型：個人認(rèn)證

認(rèn)證主體：宋**（實(shí)名認(rèn)證）

IP屬地：山東

IP屬地：山東 上傳時間：2024-10-22 格式：DOCX 頁數(shù)：16 大小：22.80KB 積分：20 舉報 版權(quán)申訴

《計算機(jī)網(wǎng)絡(luò)安全防護(hù)》習(xí)題參考答案第1章練習(xí)與思考1VMwareWorkstation，windowsserverwin1，2003、2008、2012、2016等。安裝完成后，做第一個快照。方法如下：1）安裝VMwareWorkstation，步驟如下：(1)windowsVMwareWorkstation安裝包。(2)(3)出現(xiàn)“許可證”按鈕時，點(diǎn)擊“許可證”按鈕，輸入軟件的產(chǎn)品許可證密鑰。(4)點(diǎn)擊“完成”按鈕。2)VMwareWorkstationwindowsServer2008(1)“VMwareWorkstationProVMwareWorkstatio。然后，點(diǎn)擊“創(chuàng)建新的虛擬機(jī)”按鈕。接著，選擇“典型”選項。(2)在安裝來源選項中，選擇“安裝程序光盤映像文件（iso）(M)”選項，windowsserver2008(3)windowsserver2008administrator(4)windowsD:win2008-1，用于存儲新建的虛擬機(jī)。(5)Vmware“win2008-1D:\win2008-140G(6)Wmwareworkstationwindowsserver2008。等待一段時間后，安裝成功。3)為新安裝好的windowsserver2008創(chuàng)建快照(1)啟動Vmware后，點(diǎn)擊“管理此虛擬機(jī)的快照”按鈕。(2)點(diǎn)擊“拍攝快照”按鈕。(3)給新快照命名，然后點(diǎn)擊“拍攝快照”按鈕。此時，快照拍攝成功。2、克隆練習(xí)。以win1為母盤，用鏈接克隆的方式克隆出兩臺新的虛擬機(jī)win2、win3，并剔除它們的SID，生成新的SID。完成后，各做一個快照。參考答案：1)選擇克隆的起始狀態(tài)。2)確保轉(zhuǎn)到的狀態(tài)是關(guān)機(jī)狀態(tài)，如果是開機(jī)狀態(tài)，將其關(guān)機(jī)。3)C，點(diǎn)擊下一步。4)選擇“創(chuàng)建鏈接克隆”。5)將虛擬機(jī)名稱更改為“win26)切換到新克隆出來的虛擬機(jī)win2，然后點(diǎn)擊“開啟此虛擬機(jī)”按鈕。7)將虛擬機(jī)win2剔除舊的SID，生成新的SID。方法如下：(1)在虛擬機(jī) win2 上，打開資源管理器，進(jìn)入文件夾C:\Windows\System32\sysprep，雙擊運(yùn)行sysprep.exe。(2)勾選其中的“通用”選項，點(diǎn)擊“確定”按鈕，系統(tǒng)就開始執(zhí)行剔除SID的操作了。剔除完SID后，系統(tǒng)會重新啟動，啟動完后，登錄進(jìn)入虛擬機(jī)win2。8)為win2拍攝快照。9）win3，SID，生SID。完成后，做一個快照。3、分別為win1、win2、win3配置IP地址，并連接到Vmnet1虛擬交換機(jī)上，通過ping命令測試是否互通。參考答案：1）將win1、win2、win3都連接到虛擬交換機(jī)Vmnet1。win1win2win3IP、，子網(wǎng)掩碼都為：。3）通過ping命令測試能互通。4VMwareWorkstationKaliLinux2018toorIPVMnet1，win1ping，測試連通性。參考答案：1）在VMwareWorkstation上，安裝KaliLinux。2）KaliLinuxroot，toorIP（1）編輯interfaces配置文件：root@kali:~#vim/etc/network/interfaces（2）輸入以下內(nèi)容：autoeth0ifaceeth0inetstaticaddress1netmaskgateway54（3）存盤退出：!wq4)輸入以下命令重啟網(wǎng)卡，使剛才的配置生效:#/etc/init.d/networkingrestart#ifconfig //eth0#ifdowneth0 eth0#ifconfig //eth0#ifupeth0 eth0#ifconfig //eth05）將網(wǎng)卡連接到VMnet1，與win1進(jìn)行ping測試，可以ping通。5、安裝EVE-NG，規(guī)劃搭建由交換機(jī)、路由器、電腦組成的一個網(wǎng)絡(luò)，為路IPIP1）安裝EVE-NG，2）搭建由交換機(jī)、路由器、電腦組成的一個網(wǎng)絡(luò).4）為路由器配置IP地址，為電腦配置IP地址和缺省網(wǎng)關(guān)，5）測試全網(wǎng)的連通性，可以互通。6.“EVE-NGtelnetSSHSSH參考答案：1)配置R1的配置：IPdomainnameCryptokeygeneratersamodulus1024Usernameuser2password123linevty04loginlocalR2連接R1：ssh-luser22）抓包驗證，可以看到，抓到的是亂碼。第2章練習(xí)與思考1.分別用圖形界面和命令為防火墻的接口配置地址，為接口命名，設(shè)置安全級別。參考答案：1）圖形界面配置：在ASAv的圖形配置界面中，點(diǎn)擊”Configuraiton”,選中其中的“DeviceSetu“IntefaceSetting“Interfaces“Edit“InterfaceNam”項輸入“SecurityLevel”項輸入安全級別，勾選上“EnableInterfac“IPAddress”項配置接口地址,”SubnetMask”項選擇子網(wǎng)掩碼，點(diǎn)擊“OK”按鈕，點(diǎn)擊“Apply”按鈕，完成配置。2）以外部接口為例，命令行界面配置如下：ciscoasa(config)#intg0/2ciscoasa(config-if)#nameifOutsideciscoasa(config-if)#security-level100ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshu2.規(guī)劃和搭建有一臺防火墻、兩臺路由器的網(wǎng)絡(luò)環(huán)境，配置靜態(tài)路由和動態(tài)路由，查看路由表。參考答案：1）靜態(tài)路由的配置為防火墻的內(nèi)網(wǎng)接口配靜態(tài)路由，也可用命令實(shí)現(xiàn)，命令如下：ciscoasa(config)#routeInside為內(nèi)網(wǎng)路由器配置默認(rèn)路由，指向防火墻。Inside(config)#iproute542）動態(tài)路由的配置為防火墻的DMZ接口配OSPF動態(tài)路由，命令如下：ciscoasa(config)#routerospf1ciscoasa(config-router)#router-id54ciscoasa(config-router)#networkarea0在DMZ的路由器上，配置OSPF動態(tài)路由，命令如下：R_DMZ(config)#routerospf1R_DMZ(config-router)#router-idR_DMZ(config-router)#network55area0R_DMZ(config-router)#network55area03.telnet、SSH、ASDMtelnet（1）允許內(nèi)網(wǎng)用戶通過telnet訪問管理ASAv防火墻。在防火墻上，輸入如下命令：ciscoasa(config)#telnet00Inside（2）telnet（不使用用戶名，能telnet到防火墻。在防火墻上，輸入如下命令：ciscoasa(config)#passwd123（3）Insidetelnet123，成功連接到防火墻上。（4）ASAtelnetciscoasa(config)#aaaauthenticationtelnetconsoleLOCAL（5）Insidetelnetuser1，cisco，可成功連接到防火墻上。使用ssh訪問管理ASAv防火墻telnettelnettelnettelnetsshSSHSSH2）通過ssh網(wǎng)管防火墻（1）sshASAvciscoasa(config)#ssh00Insideciscoasa(config)#ssh00Outside（2）在本地配置用戶名及密碼，要求通過本地用戶名及密碼驗證后，才能訪問防火墻，并驗證效果。ciscoasa(config)#usernameuser1passwordciscoprivilege15ciscoasa(config)#aaaauthenticationsshconsoleLOCAL（3）在內(nèi)網(wǎng)路由器上，輸入以下命令進(jìn)行測試：Inside#ssh-luser154Password: //cisco（4）如果測試時連接不上，可重新生成密鑰對，方法如下：ciscoasa(config)#cryptokeygeneratersamodulus768（5）在外網(wǎng)路由器上，輸入以下命令進(jìn)行測試：Outside#ssh-luser154Password: //cisco3）通過ASDM網(wǎng)管防火墻（1）激活https，命令如下：ciscoasa(config)#httpserverenable（2）MGMTASAvciscoasa(config)#httpMgmt（3）在客戶機(jī)win7上，安裝32位的java運(yùn)行環(huán)境jre-8u101-windows-i586。（454InstallASDMLauncher”“InstallASDMLauncher”按鈕。（5）安裝成功后，雙擊桌面的“CiscoASDM-IDMLauncher”圖標(biāo)。4.配置Policy-map控制穿越防火墻的流量。允許從內(nèi)ping外。參考答案：執(zhí)行以下命令：ciscoasa(config)#policy-mapglobal_policyciscoasa(config-pmap)#classinspection_defaultciscoasa(config-pmap-c)#inspecticmp就可以實(shí)現(xiàn)從內(nèi)網(wǎng)穿越防火墻，ping通外網(wǎng)了。5.IPping。參考答案：的ASAACLpingDMZWEBWEBKaliLinuxDenyIPteardropfragment(size208,offset400)from0to2）防范淚滴攻擊，方法是ASAIP)#fragmentchain1。然后IPechoreplyshowlogging，查看到結(jié)果如下：%ASA-4-209005:DiscardIPfragmentsetwithmorethan1elements:src=0,dest,protoICMP,id100?？梢钥吹剑说谝粋€分片，后續(xù)分片都被丟棄了。pingIDSOutsideciscoasa(config)#ipauditnameattack_idsattackactionalarmresetciscoasa(config)#ipauditinterfaceOutsideattack_ids然后在外網(wǎng)的KaliLinux主機(jī)上新建和執(zhí)行死亡之ping攻擊腳本。同時在R_DMZg0/1ICMP在防火墻上查看日志。ciscoasa(config)#showlogging可以看到下列信息：%ASA-4-400025:IDS:2154ICMPpingofdeathfrom0tooninterfaceOutside，ASAvIDSping該攻擊。6.分析教材案例中，禁止內(nèi)網(wǎng)所有主機(jī)訪問網(wǎng)站的各語句的作用。參考答案：access-listfilter2extendedpermittcpanyanyeqwwwclass-mapclass3matchaccess-listfilter2//class3用于匹配訪問網(wǎng)站的流量regexurl2"\.game\.com"http://正則表達(dá)式url2用于匹配“.”class-maptypeinspecthttpmatch-allclass4matchrequestheaderhostregexurl2//class4用于匹配以“.”結(jié)尾的網(wǎng)站policy-maptypeinspecthttppolicy3classclass4drop-connectionlog//policy3的作用是對于符合class4條件的網(wǎng)站，即以“.”結(jié)尾的網(wǎng)站，拒絕其連接并做日志記錄policy-mappolicy2classclass3inspecthttppolicy3//對于符合class3條件的主機(jī)，即訪問網(wǎng)站的主機(jī)，調(diào)用policy3，即若訪問的網(wǎng)站以“.”結(jié)尾，則拒絕其連接并做日志記錄service-policypolicy2interfaceInside//將policy2應(yīng)用到Inside接口上第3章練習(xí)與思考1.簡述常見的數(shù)據(jù)加密算法有哪些，各有什么優(yōu)缺點(diǎn)？參考答案：分為對稱加密算法和非對稱加密算法。各自的優(yōu)點(diǎn)：對稱加密算法的加解密速度較快，非對稱加密算法的加解密速度較慢。各自的缺點(diǎn)：所有用這個對稱密鑰加密的密文了。2.3“yellow”2）解密“hybub”參考答案：明文abcdefghijklmnopqrstuvwxyz密文defghijklmnopqrstuvwxyzabc1）加密“pencil”得：shqflo加密“yellow”得：bhoorz2）解密“hyhub”得：every3.ApocalypsoDESDES-EEE2k3,k2，進(jìn)行三次加密。密鑰K1、K3為：overseas。密鑰K2為：seabeach。1）請加密“football2）請解密：“6DCB88AE9DA58FB093A4A084C58EA386CD6BD779C389D87DC76ED171C18AA88DA2B98CB788CE74”。參考答案：1）加密“football”得：5FFF471F3D1D31053BEF55E968D877CC63C68ADA6EC067FD5DCD72CC61D66FC772D966F849FE502）解密“6DCB88AE9DA58FB093A4A084C58EA386CD6BD779C389D87DC76ED171C18AA88DA2B98CB788CE74”得：mypencil4.使用RSA-Tool工具軟件，輸入兩個素數(shù)，一個公鑰，計算出私鑰。并以參考答案：使用RSA-Tool工具軟件：1）輸入素數(shù)：7和172（13（7-1（17-1）=96，公鑰需要與96互素，所以選用一個與96互素的數(shù)作為公鑰，這里選擇13。3）點(diǎn)擊計算按鈕，計算出：循環(huán)周期是119，私鑰是37。4）公鑰加密數(shù)據(jù)10、并用私鑰解密的過程：（1013）模除（119）=45（4537）模除（119）=105）10、并用公鑰解密的過程：（1037）模除（119）=108（10813）模除（119）=105.HASHHASHHASH出一臺路由器并運(yùn)行，然后切換到路由器的特權(quán)模式，運(yùn)行命令：verify/md5system:running-config，running-confighashhash值是否有變化。參考答案：HASHMD5SHAHASH值，可以查看當(dāng)前文件或配置是否有變化。下面通過改變路由器的配置，查看配置文件的HASH值是否有變化：1）在路由器的特權(quán)模式，運(yùn)行查看當(dāng)前配置文件hash值的命令：Router#verify/md5system:running-config.MD5ofsystem:running-configDone!verify/md5(system:running-config)=8a849b6b3a6f00dddeb69a4ecd236d7d2）下面將路由器改名，并在改名后，再次計算路由器當(dāng)前配置文件的hash值：Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostRouter(config)#hostnameR1R1(config)#exitR1#verify/md5system:running-config.MD5ofsystem:running-configDone!verify/md5(system:running-config)=2e68ddf89cca092acedd864c0733a1ea通過比較，可以看到路由器當(dāng)前配置文件的hash值已改變。6.使用PGP軟件，分別為張三、李四、王五生成密鑰對。并實(shí)現(xiàn)：1）張三加密、李四解密、王五無法解密。具體請參考課本案例。7.PGP1）運(yùn)行windows虛擬機(jī)PC1、PC2、PC3；2）PC1winwebmail,提供郵件服務(wù)；3PC1winwebmailuser1@user2@、user3@；4PC1PC2PC3outlookexpressuser1@、user2@、user3@，PGP彈出“發(fā)現(xiàn)郵件賬號”時，選擇“否，不5）PC1上，user1@user2@、user3@，PC2PC3，user2、user36）PC1上，user1@user2@、user3@，user2PC2user2，PC3user3無法接收和讀取內(nèi)容；7）PC1上，user1@user2@、user3@，user1PC2PC3user2user3user1PC1user2@user3@,用user2user1PC2user2user1PC3user3第4