『壹』 虛擬網路是什麼啊
虛擬網路是一種包含至少部分是虛擬網路鏈接的計算機網路。
虛擬網路鏈接是在兩個計算設備間不包含物理連接,而是通過網路虛擬化來實現。
兩種最常見的虛擬網路形式為基於協議的虛擬網路(如VLAN、VPN和VPLS等)和基於虛擬設備(如在hypervisor內部的網路連接虛擬機)的虛擬網路。
虛擬網路分類
1、VLAN
VLAN(Virtual Local Area Network)建立在交換技術的基礎上,將網路結點按工作性質與需要劃分成若干個「邏輯工作組」,一個「邏輯工作組」即一個虛擬網路。
VLAN的實現技術有四種:用交換機埠(Port)號定義虛擬網路、用MAC地址定義虛擬網路、IP廣播組定義虛擬網路、用網路層地址定義虛擬網路。「邏輯工作組」的劃分與管理由軟體來實現。
2、VPN
VPN(Virtual Private Network ,簡稱VPN)是指在共用網路上建立專用網路的技術。之所以稱為虛擬網主要是因為整個VPN網路的任意兩個結點之間的連接並沒有傳統專網建設所需的點到點的物理鏈路,而是架構在公用網路服務商ISP所提供的網路平台之上的邏輯網路。
用戶的數據是通過ISP在公共網路(Internet)中建立的邏輯隧道(Tunnel),即點到點的虛擬專線進行傳輸的。通過相應的加密和認證技術來保證用戶內部網路數據在公網上安全傳輸,從而真正實現網路數據的專有性。
『貳』 虛擬機的三種網路模式(橋接,NAT,Host-only)
橋接網路是指本地物理網卡和虛擬網卡通過VMnet0虛擬交換機進行橋接,虛擬網卡和物理網卡在網路拓撲圖上處於同等地位,那麼虛擬網卡和物理網卡就相當於處於同一個網段,虛擬交換機就相當於一台現實網路中的交換機,所以兩個網卡的ip地址需要設置為同一個網段。
由於橋接模式下虛擬機和宿主機在網路中處於同等地位,所以當區域網中其他PC想要訪問虛擬機時,那麼就要選擇橋接模式。
例如,宿舍里有一個路由器,路由的lanip為192.168.1.1,子網掩碼為255.255.255.0。同時,宿舍里還有三台PC,它們的是自動獲取ip,假設三台pc的ip為:
pc1: 192.168.1.100 pc2: 192.168.101 pc3: 192.168.102
那麼虛擬機可以設置的地址為192.168.1.2 -- 192.168.1.99和192.168.1.103 -- 192.268.1.204。可以將虛擬機的ip地址設置為:192.168.1.98,這樣,區域網中的其他pc就可以通過這個ip訪問此虛擬機了。如果虛擬機還需要上網,那麼還需要配置虛擬機的路由地址:192.168.1.1,再為虛擬機配置一個dns伺服器,可以設置為google的dns伺服器:8.8.8.8,然後,虛擬機就可以上網了。
NAT模式中,就是讓虛擬機藉助NAT(網路地址轉換)功能,通過宿主機器所在的網路來訪問公網。
NAT模式中,虛擬機的網卡和物理網卡的網路,不在同一個網路,虛擬機的網卡,是在vmware提供的一個虛擬網路。
NAT和橋接的比較:
1.由於NAT的網路在vmware提供的一個虛擬網路里,所以區域網其他主機是無法訪問虛擬機的,而宿主機可以訪問虛擬機,虛擬機可以訪問區域網的所有主機,因為真實的區域網相對於NAT的虛擬網路,就是NAT的虛擬網路網;
2.橋接模式和NAT模式都可以訪問外網,多個虛擬機之間都可以相互訪問橡搭肢。
如果你建一個虛擬機,只是給自己用,不需要給區域網其他人用,那麼可以選擇NAT,畢竟NAT模式下的虛擬系統的TCP/IP配置信息是由VMnet8(NAT)虛擬網路的DHCP(自動分配ip)伺服器提供的,只要虛擬機的網路配置是DHCP,那麼你不需要進行任何其他的配置,只需要宿主機器能訪問互聯網即可,就可以讓虛擬機聯網了。
如果你想建立多個虛擬機集群,而宿主機可能是一個筆記本,ip不固定。這種應用場景,我們需要採用nat模式了。但是,虛擬機之間是需要互相訪問的,默認採用DHCP,梁世虛擬機每次重啟,ip都有可能差生變化,所以我們需要手工設置虛擬機的ip地址(通過查看子網ip以及子網掩碼來設置虛擬機ip同時設置路由地址即網關IP,至於dns可以設置為8.8.8.8)。
在Host-Only模式下,虛擬網路是一個全封閉的網路,它唯一能夠訪問的就是主機。其實Host-Only網路和NAT網路很相似,不同的地方就是Host-Only網路沒有NAT服務,所以虛擬網路不能連接到Internet。主機和虛擬機之間的通信是通過VMware Network Adepter VMnet1虛擬網卡來實現的。
Host-Only的宗旨就是建立一個與外界隔絕的內部網路,來提高內網的安全性。這個功能或許對普通用戶來說沒有多大意義,但大型服務商會常常利用這個功能。
在虛擬機的3中網路模式中,NAT模式是最簡單的,基本不需要手動配置IP地址等相關參數。至於枝姿橋接模式則需要額外的IP地址,如果是在內網環境中還很容易,如果是ADSL寬頻就比較麻煩了,ISP一般是不會大方的多提供一個公網IP的。
參考文章地址: 實例講解虛擬機3種網路模式(橋接、nat、Host-only) - ggjucheng - 博客園
『叄』 虛擬機的主要網路設置方式 有圖最好
VMWare提供了三種工作模式,它們是bridged(橋接模式)、NAT(網路地址轉換模式)和host-only(主機模式)。要想在網路管理和維護中合理應用它們,你就應該先了解一下這三種工作模式。
1.bridged(橋接模式)
在這種模式下,VMWare虛擬出來的操作系統就像是區域網中的一台獨立的主機,它可以訪問網內任何一台機器。在橋接模式下,你需要手工為虛擬 系統配置IP地址、子網掩碼,而且還要和宿主機器處於同一網段,這樣虛擬系統才能和宿主機器進行通信。同時,由於這個虛擬系統是區域網中的一個獨立的主機 系統,那麼就可以手工配置它的TCP/IP配置信息,以實現通過區域網的網關或路由器訪問互聯網。
使用橋接模式的虛擬系統和宿主機器的關系,就像連接在同一個Hub上的兩台電腦。想讓它們相互通訊,你就需要為虛擬系統配置IP地址和子網掩碼,否則就無法通信。
如果你想利用VMWare在區域網內新建一個虛擬伺服器,為區域網用戶提供網路服務,就應該選擇橋接模式。
2.host-only(主機模式)
在某些特殊的網路調試環境中,要求將真實環境和虛擬環境隔離開,這時你就可採用host-only模式。在host-only模式中,所有的虛擬系統是可以相互通信的,但虛擬系統和真實的網路是被隔離開的。
提示:在host-only模式下,虛擬系統和宿主機器系統是可以相互通信的,相當於這兩台機器通過雙絞線互連。
在host-only模式下,虛擬系統的TCP/IP配置信息(如IP地址、網關地址、DNS伺服器等),都是由VMnet1(host-only)虛擬網路的DHCP伺服器來動態分配的。
如果你想利用VMWare創建一個與網內其他機器相隔離的虛擬系統,進行某些特殊的網路調試工作,可以選擇host-only模式。
3.NAT(網路地址轉換模式)
使用NAT模式,就是讓虛擬系統藉助NAT(網路地址轉換)功能,通過宿主機器所在的網路來訪問公網。也就是說,使用NAT模式可以實現在虛擬 系統里訪問互聯網。NAT模式下的虛擬系統的TCP/IP配置信息是由VMnet8(NAT)虛擬網路的DHCP伺服器提供的,無法進行手工修改,因此虛 擬系統也就無法和本區域網中的其他真實主機進行通訊。採用NAT模式最大的優勢是虛擬系統接入互聯網非常簡單,你不需要進行任何其他的配置,只需要宿主機 器能訪問互聯網即可。
如果你想利用VMWare安裝一個新的虛擬系統,在虛擬系統中不用進行任何手工配置就能直接訪問互聯網,建議你採用NAT模式。
提示:以上所提到的NAT模式下的VMnet8虛擬網路,host-only模式下的VMnet1虛擬網路,以及bridged模式下的 VMnet0虛擬網路,都是由VMWare虛擬機自動配置而生成的,不需要用戶自行設置。VMnet8和VMnet1提供DHCP服務,VMnet0虛擬 網路則不提供
提到VMware大家就想起了虛擬機技術,虛擬機技術在最近的幾年中得到了廣泛的發展,一些大型網路服務商都開始採用虛擬機技術,不僅節省了投資成本,更節約了能源的消耗。
我們知道VMware也分幾種版本,普通用戶最常用的就是Workstation,但是不管使用哪種版本,我們都能發現在安裝過程中讓我們選擇網路模式。在默認情況下會選中橋接模式,但有用戶會問其他模式是干什麼用的?有時候選擇了其他模式之後就不能上網了。今天小編就和大家一起探討一下VMware 3種網路模式的功能和通信規則。
『肆』 vm或者vbox虛擬機在 win10 帶網路的安全模式下如何正常運行
安全模式下只會載入必要的服務、動態鏈接庫,也因此被叫做安全模式
我很想知道是哪種特殊需求?
我很懷疑是由於你理解的偏差造成的
『伍』 網路資源的安全模式有哪兩種
安全模式是以最小的設備驅動程序和服務來啟動Windows,使得開機啟動的病毒和以喊裂服務模式載入的病毒,以及其它導致錯誤的軟體,驅動不被載入,用於修復系統或者助於殺毒軟體殺除宴滲擾開機常駐內存的頑固木馬病毒。
帶網路連接的安全模式在安全模式的基礎上載入了網路所需的驅動程晌旦序,這樣,在一個干擾最小的環境下可以最大發揮殺毒軟體的功效,因為有網路,所以可以在線更新病毒庫或在線尋找驅動等等,或用於判斷網路故障.
『陸』 vmware提供了幾種不同的虛擬網路適配器類型分別適應於什麼環境
官方文檔後大概這幾類,:
Vlance :其實就是AMD PCNet系列,型號為AMD 79C970 PCnet32- LANCE NIC
VMXNET :VMware自己開發的適用於虛擬環境的虛擬NIC
Flexible :啟動時智能在前兩者選擇最佳NIC,默認
E1000 :Intel 82545EM Gigabit Ethernet NIC
E1000e :Intel 82574 Gigabit Ethernet NIC
VMXNET 2 (Enhanced):VMXNET改進版
VMXNET 3:VMXNET2改進卜宏版
這個毋庸置疑選擇VMXNET系列最好,當然也Guest需要Vmware Tools的支持。這里補充一點,網路適配器類型的選擇只針對Vmware Server級別的產品如ESX等,像Vmware Palyer,甚至大家常用的VMware Workstation中都無法通過界面選擇網路適配器類型,但可以通過修改.vmx配置文件達到同樣告哪目的,
打開.vmx文件添加
ethernet0.virtualDev = "vmxnet3"
value is "vlance" or "e1000" or "vmxnet" or "vmxnet3"
VMware的網路類型和內核驅動和Vbox相同
same Vbox
配置參數
www.2cto.com
.vmx文件中可以通過一系列參數微調你的虛擬NIC,如緩沖區大小:
ethernet0.numRecvBuffers = 128
ethernet0.numXmitBuffers = 64
3.總結
虛擬機的網路適配器都是依靠CPU去模擬,還沒有類似像顯卡那樣利用硬體加速的技術,因此一方面通過使用為虛擬環境特殊優化過的Paravirtualized(准虛擬化)硬體驅動,另一方面通過使用如Bridged(橋接)模式,配置優化參數型友冊等方法將大部分網路IO交給物理NIC,減少CPU中斷,來達到虛擬網路環境優化的目的。
『柒』 虛擬防火牆服務有哪四種不同的執行模式
防火牆在實際的部署過程中主要有三種模式可供選擇,這三種模式分別是:基於TCP/IP協議三層的NAT模式;
基於TCP/IP協議三層的路由模式;
基於二層協議的透明模式。
1、NAT模式
當Juniper防火牆入口介面(「內網埠」)處於NAT模式時,防火牆將通往Untrust區(外網或者公網)的IP數據包包頭中的兩個組件進行轉換:源IP地址和源埠號。
防火牆使用Untrust區(外網或者公網)介面的IP地址替換始發端主機的源IP地址;同時使用由防火牆生成的任意埠號替換源埠號。
NAT模式應用的環境特徵:
注冊IP地址(公網IP地址)的數量不足;
內部網路使用大量的非注冊IP地址(私網IP
地址)需要合法訪問Internet;
內部網路中有需要外顯並對外提供服務的伺服器。
2、Route-路由模式
當Juniper防火牆喚猜孫介面配置為路由模式時,防火牆在不同安全區間(例如:Trust/Utrust/DMZ)轉發信息流時IP數據包包頭中的源地址和埠號保持不變(除非明確採用了地址翻譯策略)。與NAT模式下不同,防火牆介面都處於路由模式時,防火牆不會自動實施地址翻譯;與透明模式下不同,當防火牆介面都處於路由模式時,其所有介面都處於不同的子網中。
路由模式應用的環境特徵:
防火牆完全在內網中部署應用;
NAT模式下的所有環境;
需要復雜的地址翻譯。
3、透明模式
當Juniper防火牆介面處於「透明」模式時,防火牆將過濾通過的IP數據包,但不會修改IP數據包包頭中的任何信息。防火牆的作用更像是處於同一VLAN的2層交換機或者橋接器,防火牆對於用戶來說是透明的。
透明模式是一種保護內部網路從不可信源接收信和鏈息流的方便手段。使用透兆差明模式有以下優點:
不需要修改現有網路規劃及配置;
不需要實施地址翻譯;
可以允許動態路由協議、Vlantrunking的數據包通過。
希望這個回答對你有幫助
『捌』 虛擬現實技術有哪幾大分類
VR涉及學科眾多,應用領域廣泛,系統種類繁雜,這是由其研究對象、研究目標和應用需求決定的。從不同角度出發,可對VR系統做出不同分類。
1、根據沉浸式體驗角度分類
沉浸式體驗分為非互動式體驗、人——虛擬環境互動式體驗和群體——虛擬環境互動式體驗等幾類。該角度強調用戶與設備的交互體驗,相比之下,非互動式體驗中的用戶更為被動,所體驗內容均為提前規劃好的,即便允許用戶在一定程度上引導場景數據的調度,也仍沒有實質性交互行為,如場景漫遊等,用戶幾乎全程無事可做;而在人——虛擬環境互動式體驗系統中,用戶則可用過諸如數據手套,數字手術刀等的設備與虛擬環境進行交互,如駕駛戰斗機模擬器等,此時的用戶可感知虛擬環境的變化,進而也就能產生在相應現實世界中可能產生的各種感受。 如果將該套系統網路化、多機化,使多個用戶共享一套虛擬環境賀弊,便得到群體—虛擬環境互動式體驗系統,如大型網路交互游戲等,此時的VR系統與真實世界無甚差異。
2、寬拍高根據系統功能角度分類
系統功能分為規劃設計、展示娛樂、訓練演練等幾類。規劃設計系統可用於新設施的實驗驗證,可大幅縮短研發時長,降低設計成本,提高設計效率,城市排水、社區規劃等領域均可使用,如VR模擬給排水系慎尺統,可大幅減少原本需用於實驗驗證的經費;展示娛樂類系統適用於提供給用戶逼真的觀賞體驗,如數字博物館,大型3D互動式游戲,影視製作等,如VR技術早在70年代便被Disney用於拍攝特效電影;訓練演練類系統則可應用於各種危險環境及一些難以獲得操作對象或實操成本極高的領域,如外科手術訓練、空間站維修訓練等。
『玖』 虛擬化的分類
1、按應用分類
A、操作系統虛擬化——Vmware的vSphere、workstation;微軟的Windows Server with Hyper-v、Virtual PC;IBM的Power VM、zVM;Citrix的Xen
B、應用程序虛擬化——微軟的APP-V;Citrix的Xen APP等
C、桌面虛擬化——微軟的MED-V、VDI;Citrix的Xen Desktop;Vmware的 Vmware view;IBM的Virtual Infrastructure Access等
D、存儲虛擬化、網路孝攔虛擬化等
2、按照應用模式分類
A、一對多:其中將一個物理伺服器劃分為多個虛擬伺服器。這是典型的伺服器整合模式。
B、多對一:其中整合了多個虛擬伺服器,並將它們作為一個資源池。這是典型的網格計算模式。
C:多對多:將前兩種模式結合在一起。
3、按硬體資源調用模式分類
A、全虛擬化——虛擬操作系統與底層硬體完全隔離,由中間的Hypervisor層轉化虛擬客戶操作系統對底層硬體的調用代碼,全虛擬化無需更改客戶端操作系統,兼容性好。典型代表是VMare WorkStation、ESX Server早期版本、Microsoft Vitrual Server
B、半虛擬化——在虛擬客戶操作系統中加入特定的虛擬化指令,通過這些指令可以直接通過Hypervisor層調用硬體資源,免除有hypervisor層轉換指令的性能開銷。半虛擬化的典型代表Microsoft Hyper-V;Vmware的vSphere
C、硬體輔助虛擬化——在CPU中加入了新的指令集和處理器運行模式,完成虛擬操作系統對硬體資源的直接調用。典型技術是Intel VT、AMD-V
4、按運行平台分類
A、X86平台——由於X86體系結構伺服器的蓬勃發展,基於X86體系的虛擬化技術也有了很大的進步,目前比較流行的基於X86體系的虛擬廠商有VMware Microsoft、Citrix、IBM System x系列伺服器
B、非X86平台——非X86平台配念的虛巧賣胡擬化鼻祖是IBM公司,早在20世紀60年代,IBM就在大型機上實現了虛擬化的商用,目前IBM的虛擬化技術包括大型機的System z系列伺服器,中小企業應用的System p系列伺服器;HP 的虛擬伺服器環境(virtual Server Environment,VSE)以及虛擬 vPar、nPartition 和 Integrity 虛擬機(IVM);Sun的SPARC平台的xVM等,這些都是非X86平台虛擬化的重要力量。
『拾』 誰有關於網路安全地資料啊
網路安全復習資料
第1-2章
1、 計算機網路定義(P1)
答:凡將地理位置不同的具有獨立功能的計算機系統通過學習設備和通信線路連接起來,在網路軟體支持下進行數據通信,資源共享和協同工作的系統。
2、 網路安全的五個屬性(P2)
答:1、可用性。 可用性是指得到授權的屍體在需要時可以使用所需要的網路資源和服務。
2、機密性。 機密性是指網路中的信息不被非授權實體(包括用戶和進程等)獲取與使用。
3、完整性。 完整性是指網路真實可信性,即網路中的信息不會被偶然或者蓄意地進行刪除、修改、偽造、插入等破壞,保證授權用戶得到的信息是真實的。
4、可靠性。 可靠性是指系統在規定的條件下和規定的時間內,完成規定功能的概率。
5、不可抵賴性。 不可抵賴性也稱為不可否認性。是指通信的雙方在通信過程中,對於自己所發送或接受的消息不可抵賴。
3、 網路安全威脅定義(P2)
答:所謂網路安全威脅是指某個實體(人、時間、程序等)對某一網路資源的機密性、完整性、可用性及可靠性等可能造成的危害。
4、 哪種威脅是被動威脅(P3)
答:被動威脅只對信息進行監聽,而不對其修改和破壞。
5、 安全威脅的主要表現形式(P4)
答:授權侵犯:為某一特定目標的被授權使用某個系統的人,將該系統用作其他未授權的目的。
旁路控制:攻擊者發掘系統的缺陷或佔全弱點,從而滲入系統。
拒絕服務:合法訪問被無條件拒絕和推遲。
竊聽:在監視通信的過程中獲得信息。
電磁泄露:信息泄露給未授權實體。
完整性破壞:對數據的未授權創建、修改或破壞造成數據一致性損害。
假冒:一個實體假裝成另外一個實體。
物理入侵:入侵者繞過物理控制而獲得對系統的訪問權。
重放:出於非法目的而重新發送截獲的合法通信數據的拷貝。
否認:參與通信的一方時候都認曾經發生過此次通信。
資源耗盡:某一資源被故意超負荷使用,導致其他用戶的服務被中斷。
業務流分析:通過對業務流模式進行觀察(有、無、數量、方向、頻率),而使信息泄露給未授權實體。
特洛伊木馬:含有覺察不出或無害程序段的軟體,當他被運行時,會損害用戶的安全。
陷門:在某個系統或文件中預先設置的「機關」,使得當提供特定的輸入時,允許違反安全策略。
人員疏忽:一個授權的人出於某種動機或由於粗心講信息泄露給未授權的人。
6、 什麼是重放(P4)
答:出於非法目的而重新發送截獲的合法通信數據的拷貝。
7、 什麼是陷門(P4)
答:在某個系統或文件中預先設置的「機關」,使得當提供特定的輸入時,允許違反安全策略。
8、 網路安全策略包括哪4方面(P6)
答:物理安全策略、訪問控制策略、信息加密策略、安全管理策略。
9、 安全訪問策略就是一組用於確認主體是否對客體具有訪問許可權的規則。
10、 P2DR模型的4部分,它的基本思想(P8)
答:P2DR模型包括4個主要部分,分別是:Policy—策略,Protection—保護,Detection—檢測,Response—響應。
P2DR模型的基本思想是:一個系統的安全應該在一個統一的安全策略的控制和指導下,綜合運用各種安全技術(如防火牆、操作系統身份認證、加密等手段)對系統進行保護,同時利用檢測工具(如漏洞評估、入侵檢測等系統)來監視和評估系統的安全狀態,並通過適當的響應機制來將系統調整到相對「最安全」和「風險最低」的狀態。
11、 PDRR模型的4部分(P10)
答:Protection(防護)、Detection(檢測)、Response(響應)、Recovery(恢復)。
12、 TCP/IP參考模型,各層的名稱、作用、主要協議(P16)
答:TCP/IP參考模型共有四層,從上至下分別為:應用層、傳輸層、網路層及網路介面層。
(1)、應用層:大致對應OSI的表示層、會話層、應用層,是TCP/IP模型的最上層,是面向用戶的各種應用軟體,是用戶訪問網路的界面,包括一些想用戶提供的常用應用程序,如電子郵件、Web瀏覽器、文件傳輸、遠程登錄等,也包括用戶在傳輸層智商建立的自己應用程序。
(2)、傳輸層:對應OSI的傳輸層。負責實現源主機和目的主機上的實體之間的通信。它提供了兩種服務:一種是可靠的、面向連接的服務(TCP協議);一種是無連接的數據報服務(UDP協議)。為了實現可靠傳輸,要在會話時建立連接,對數據進行校驗和手法確認,通信完成後再拆除連接。
(3)、網路層:對應OSI的網路層,負責數據包的路由選擇功能,保證數據包能順利到達指定的目的地。一個報文的不同分組可能通過不同的路徑到達目的地,因此要對報文分組加一個順序標識符,以使目標主機接受到所有分組後,可以按序號將分組裝配起來,恢復原報文。
(4)、網路介面層:大致對應OSI的數據鏈路層和物理層,是TCP/IP模型的最低層。它負責接受IP數據包並通過網路傳輸介質發送數據包。
13、 常用網路服務有哪些,它們的作用。(P35)
答:(1)、Telnet:Telnet是一種網際網路遠程終端訪問服務。它能夠以字元方式模仿遠程終端,登錄遠程伺服器,訪問伺服器上的資源。
(2)、FTP:文件傳輸協議FTP的主要作用就是讓用戶連接上一個遠程計算機(這些計算機上運行著FTP伺服器程序)查看遠程計算機有哪些文件,然後把文件從遠程計算機上下載到本地計算機,或把本地計算機的文件上傳到遠程計算機去。
(3)、E-Mail:它為用戶提供有好的互動式界面,方便用戶編輯、閱讀、處理信件。
(4)、WWW:用戶通過瀏覽器可以方便地訪問Web上眾多的網頁,網頁包含了文本、圖片、語音、視頻等各種文件。
(5)、DNS:用於實現域名的解析,即尋找Internet域名並將它轉化為IP地址。
14、 安全訪問策略就是一組用於確認主體是否對客體具有訪問許可權的規則。
答:
15、 IP頭結構(P31)
答:IP頭+數據,IP頭有一個20位元組的固定長度部分和一個可選任意長度部分。
16、 TCP頭結構(P33)
答:埠源,目的埠,順序號,確認號,頭長度
17、 ping 指令的功能(P41)
答:ping命令用來檢測當前主機與目的主機之間的連通情況,它通過從當前主機向目的主機發送ICMP包,並接受應答信息來確定兩台計算機之間的網路是否連通,並可顯示ICMP包到達對方的時間。當網路運行中出現故障時,利用這個實用程序來預測故障和確定故障源是非常有效的。
18、 ftp命令中上傳和下載指令分別是什麼。(P48)
答:put:上傳文件到遠程伺服器。
get:下載文件到本地機器。
19、 怎麼利用Tracert指令來確定從一個主機到其他主機的路由。(P44)
答:通過向目標發送不同IP生存時間值的ICMP數據包,Tracert診斷程序確定到目標所採取的路由。
第3-4章
20、 什麼是基於密鑰的演算法(P52)
答:密碼體制的加密、解密演算法是公開的,演算法的可變參數(密鑰)是保密的,密碼系統的安全性僅依賴於密鑰的安全性,這樣的演算法稱為基於密鑰的演算法。
21、 什麼是對稱加密演算法、非對稱加密演算法(P54)
答:對稱加密演算法(Synmetric Algorithm),也稱為傳統密碼演算法,其加密密鑰與解密密鑰相同或很容易相互推算出來,因此也稱之為秘密密鑰演算法或單鑰演算法。
非對稱演算法(Asynmetric Algorithm)也稱公開密鑰演算法(Public Key Algorithm),是Whifield Diffie和Martin Hellman於1976年發明的,Ralph Merkle 也獨立提出了此概念。
22、 對DES、三重DES進行窮舉攻擊,各需要多少次。(P68)
答: 2的112平方 和2的64平方 (數學表達方式)
23、 給定p、q、e、M,設計一個RSA演算法,求公鑰、私鑰,並利用RSA進行加密和解密(P74)
答:公鑰:n=P*q e=(p-1)(q-1)私鑰d:e『e右上角有個-1』((mod(p-1)(q-1)))加密c=m『右上角有e』(mod n) 解密 m=c『右上角有d』(mod n)
24、 使用對稱加密和仲裁者實現數字簽名的步驟(P87)
答:A用Kac加密准備發給B的消息M,並將之發給仲裁者,仲裁者用Kac解密消息,仲裁者把這個解密的消息及自己的證明S用Kac加密,仲裁者把加密消息給B,B用於仲裁者共享的密鑰Kac解密收到的消息,就可以看到來自於A的消息M來自仲裁者的證明S。
25、 使用公開密鑰體制進行數字簽名的步驟(P88)
答:A用他的私人密鑰加密消息,從而對文件簽名;A將簽名的消息發送給B;B用A的公開密鑰解消息,從而驗證簽名。
26、 使用公開密鑰體制與單向散列函數進行數字簽名的步驟(P89)
答:A使消息M通過單向散列函數H,產生散列值,即消息的指紋或稱消息驗證碼,A使用私人密鑰對散列值進行加密,形成數字簽名S,A把消息與數字簽名一起發給B,B收到消息和簽名後,用A的公開密鑰解密數字簽名S,再用同樣的演算法對消息運算生成算列值,B把自己生成的算列值域解密的數字簽名相比較。看是否匹配,從而驗證簽名。
27、 Kerberos定義。(P89)
答:Kerberos是為了TCP/IP網路設計的基於對稱密碼體系的可信第三方鑒別協議,負責在網路上進行可信仲裁及會話密鑰的分配。
28、 PKI定義(P91)
答:PLI就是一個用公鑰概念和技術實現的,為網路的數據和其他資源提供具有普適性安全服務的安全基礎設施。所有提供公鑰加密和數字簽名服務的系統都可以叫做PKI系統。
第5-7章
29、 Windows 2000 身份認證的兩個過程是(P106)
答:互動式登錄和網路身份認證。
30、 Windows 2000中用戶證書主要用於驗證消息發送者的SID(P107)
31、 Windows 2000安全系統支持Kerberos V5、安全套接字層/傳輸層安全(SSL/TLS)和NTLM三種身份認證機制(P107)
32、 Windows 2000提供哪些功能確保設備驅動程序和系統文件保持數字簽名狀態(P109)
答:Windows文件保護,系統文件檢查程序,文件簽名驗證。
33、 WINDOWS主機推薦使用的文件系統格式是NTFS
34、 使用文件加密系統對文件進行解密的步驟。(P113)
答:要解密一個文件,首先要對文件加密密鑰進行解密,當用戶的私鑰與這個公鑰匹配時,文件加密密鑰進行解密,用戶並不是唯一能對文件加密密鑰進行解密的人,當文件加密密鑰被解密後,可以被用戶或恢復代理用於文件資料的解密。
35、 常見的Web服務安全威脅有哪些(P128)
答:(1)、電子欺騙:是指以未經授權的方式模擬用戶或進程。
(2)、篡改:是指在未經授權的情況下更改或刪除資源。
(3)、否認:否認威脅是指隱藏攻擊的證據。
(4)、信息泄露:僅指偷竊或泄露應該保密的信息。
(5)、拒絕服務:「拒絕服務」攻擊是指故意導致應用程序的可用性降低。
(6)、特權升級:是指使用惡意手段獲取比正常分配的許可權更多的許可權。
36、 CGI提供了動態服務,可以在用戶和Web伺服器之間互動式通信(P129)
37、 JavaScript存在的5個主要的安全漏洞。(P131)
答:(1)、JavaScript可以欺騙用戶,將用戶的本地硬碟上的文件上載到Intemet上的任意主機。
(2)、JavaScript能獲得用戶本地硬碟上的目錄列表,這既代表了對隱私的侵犯又代表了安全風險。
(3)、JavaScript能監視用戶某時間內訪問的所有網頁,捕捉URL並將它們傳到Internet上的某台主機中。
(4)、JavaScript能夠觸發Netscape Navigator送出電子郵件信息而不需經過用戶允許。
(5)、嵌入網頁的JavaScript代碼是功蓋的,缺乏安全保密功能。
38、 什麼是Cookies,使用Cookies有什麼安全隱患。(P132)
答:Cookies是Netscape公司開發的一種機制,用來改善HTTP協議的無狀態性。
39、 IIS的安全配置主要包括哪幾個內容(P133)
答:(1)、刪除不必要的虛擬目錄。
(2)、刪除危險的IIS組件。
(3)、為IIS中的文件分類設置許可權。
(4)、刪除不必要的應用程序映射。
(5)、保護日誌安全。
40、 SSL結構,包括SSL協議的層次,主要作用(P142)
答:SSL協議位於TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。SSL協議可分為兩層: SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。 SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密演算法、交換加密密鑰等。 SSL協議提供的服務主要有: 1)認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器; 2)加密數據以防止數據中途被竊取; 3)維護數據的完整性,確保數據在傳輸過程中不被改變。
41、 SSL會話通過握手協議來創建(P143)
42、 什麼是SET,它主要提供哪三種服務(P153)
答:SET本身不是支付系統,而使一個安全協議和規范的集合,是使用戶能夠在網路上以一種安全的方式應用信用卡支付的基礎設施。
主要提供的三種服務:(1)、在參與交易的各方之間提供安全的通信通道。
(2)、使用X.509v3證書為用戶提供一種信任機制。
(3)、保護隱私信息,這些信息只有在必要的時間和地點才可以由當事人雙方使用。
43、 SET的參與者(P154)
答:(1)、持卡人(顧客)。 (2)、商家。 (3)、發卡機構。 (4)、代理商。 (5)、支付網關。 (6)、證書權威。
44、 SET協議使用SHA-1散列碼和RSA數字簽名來提供消息完整性(P154)
45、 SET協議使用X.509v3和RSA數字簽名來提供持卡人賬戶認證(P154)
46、 雙重簽名機制的主要特點:雙重簽名機制可以巧妙的把發送給不同接受者的兩條消息聯系起來,而又很好的保護了消費者的隱私(P155)
47、 電子郵件不是一種「端到端」的服務,而是被稱為「存儲轉發」服務。(P157)
48、 郵件網關的功能(P158)
答:(1)、預防功能。能夠保護機密信息,防止郵件泄密造成公司的損失,用戶可以理由郵件的接收者、發送者、標題、附件和正文來定製郵件的屬性。
(2)、監控功能。快速識別和監控無規則的郵件,減少公司員工不恰當使用E-mail,防止垃圾郵件阻塞郵件伺服器。
(3)、跟蹤功能。軟體可以跟蹤公司的重要郵件,它可以按接收者、發送者、標題、附件和日期搜索。郵件伺服器可以作為郵件資料庫,可以打開郵件附件也可以存儲到磁碟上。
(4)、郵件備份。可以根據日期和文件做郵件備份,並且可以輸出到便利的存儲器上整理歸檔。如果郵件伺服器出現問題,則郵件備份系統可以維持普通的郵件功能防止丟失郵件。
49、 根據用途,郵件網關可分為哪三種(P158)
答:根據郵件網關的用途可將其分成:普通郵件網關、郵件過濾網關和反垃圾郵件網關。
50、 SMTP協議與POP3協議的區別:SMTP協議用於郵件伺服器之間傳送郵件,POP3協議用於用戶從郵件伺服器上把郵件存儲到本地主機。(P159)
答:
51、 什麼是電子郵件「欺騙」(P161)
答:電子郵件欺騙是在電子郵件中改變名字,使之看起來是從某地或某人發出來的行為。
52、 進行電子郵件欺騙的三種基本方法(P161)
答:(1)、相似的電子郵件地址;
(2)、修改郵件客戶;
(3)、遠程登錄到25埠。
53、 PGP通過使用加密簽字實現安全E-mai(P166)
54、 PGP的三個主要功能(P166)
答:(1)、使用強大的IDEA加密演算法對存儲在計算機上的文件加密。經加密的文件只能由知道密鑰的人解密閱讀。
(2)、使用公開密鑰加密技術對電子郵件進行加密。經加密的電子郵件只有收件人本人才能解密閱讀。
(3)、使用公開密鑰加密技術對文件或電子郵件做數字簽名,鑒定人可以用起草人的公開密鑰鑒別真偽。
第8-10章
55、 防火牆定義(P179)
答:網路術語中所說的防火牆(Firewall)是指隔離在內部網路與外部網路之間的一道防禦系統,它能擋住來自外部網路的攻擊和入侵,保障內部網路的安全。
56、 什麼是數據驅動攻擊(P180)
答:入侵者把一些具有破壞性的數據藏匿在普通數據中傳送到Internet主機上,當這些數據被激活時就會發生數據驅動攻擊。
57、 防火牆的功能(P181)
答:(1)、可以限制未授權用戶進入內部網路,過濾掉不安全服務和非法用戶。
(2)、防止入侵者接近內部網路的防禦設施,對網路攻擊進行檢測和告警。
(3)、限制內部用戶訪問特殊站點。
(4)、記錄通過防火牆的信息內容和活動,為監視Internet安全提供方便。
58、 防火牆應的特性(P181)
答:(1)、所有在內部網路和外部網路之間傳輸的數據都必須通過防火牆。
(2)、只有被授權的合法數據,即防火牆安全策略允許的數據,可以通過防火牆。
(3)、防火牆本身具有預防入侵的功能,不受各種攻擊的影響。
(4)、人機界面良好,用戶配置實用方便,易管理。系統管理員可以方便地對防火牆進行設置,對Internet的訪問者、被訪問者、訪問協議以及訪問方式進行控制。
59、 防火牆的缺點(P182)
答:(1)、不能防範惡意的內部用戶。
(2)、不能防範不通過防火牆的連接。
(3)、不能防範全部的威脅。
(4)、防火牆不能防範病毒。
60、 防火牆技術主要有包過濾防火牆和代理伺服器(P182)
61、 包過濾防火牆的定義(P182)
答:包過濾防火牆又稱網路層防火牆,它對進出內部網路的所有信息進行分析,並按照一定的信息過濾規則對信息進行限制,允許授權信息通過,拒絕非授權信息通過。
62、 包過濾的定義(P183)
答:包過濾(Packet Filtering)急速在網路層中對數據包實施有選擇的通過,依據系統事先設定好的過濾規則,檢查數據流中的每個包,根據包頭信息來確定是否允許數據包通過,拒絕發送可疑的包。
63、 包過濾防火牆的優點(P183)
答:(1)、一個屏蔽路由器能保護整個網路。
(2)、包過濾對用戶透明。
(3)、屏蔽路由器速度快、效率高。
64、 包過濾型防火牆工作在網路層(P183)
65、 三種常見的防火牆體系結構(P187)
答:(1)、雙重宿主主機結構。 (2)、屏蔽主機結構。 (3)、屏蔽子網結構。
66、 屏蔽主機結構由什麼組成(P188)
答:屏蔽主機結構需要配備一台堡壘主機和一個有過濾功能的屏蔽路由器。
67、 分布式防火牆的優點(P192)
答:(1)、增強的系統安全性。
(2)、提高了系統性能。
(3)、系統的擴展性。
(4)、應用更為廣泛,支持VPN通信。
68、 病毒的定義(P199)
答:計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。
69、 病毒的生命周期(P200)
答:隱藏階段、觸發階段、執行階段。
70、 病毒的特徵(P201)
答:(1)、傳染性:傳染性是病毒的基本特徵。
(2)、破壞性:所有的計算機病毒都是一種可執行程序,而這一執行程序又不然要運行,所以對系統來講,病毒都存在一個共同的危害,即佔用系統資源、降低計算機系統的工作效率。
(3)、潛伏性:一個編制精巧的計算機病毒程序,進入系統之後一般不會馬上發作,可以在幾周或者幾個月內隱藏在合法文件中,對其他系統進行傳染,而不被人發現。
(4)、可執行性:計算機病毒與其他合法程序一樣,是一段可執行性程序,但常常不是一個完整的程序,而使寄生在其他可執行程序中的一段代碼。
(5)、可觸發性:病毒因某個時間或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。
(6)、隱蔽性:病毒一般是具有很高編程技巧、短小精悍的程序。如果不經過代碼分析,感染了病毒的程序與正常程序是不容易區別的。
71、 病毒的分類,蠕蟲病毒屬於一種網路病毒,CIH屬於文件型病毒(P202)
72、 病毒的主要傳播途徑(P203)
答:(1)、通過移動儲存設備來傳播。
(2)、網路傳播。
(3)、無線傳播。
73、 蠕蟲病毒的基本程序結構包括哪些模塊(P209)
答:(1)、傳播模塊:負責蠕蟲的傳播。傳播模塊又可以分為三個基本模塊:掃描模塊、攻擊模塊和復制模塊。
(2)、隱藏模塊:侵入主機後,隱藏蠕蟲程序,防止被用戶發現。
(3)、目的功能模塊:實現對計算機的控制、監視或破壞等功能。
74、 木馬(通過植入用戶的計算機,獲取系統中的有用數據)、蠕蟲(P208)、網頁病毒(P203)各有什麼特點即它們各自定義。
答:木馬:通過植入用戶的計算機,獲取系統中的有用數據。
蠕蟲:是一種通過網路傳播的惡性病毒。
網頁病毒:也稱網頁惡意代碼,是指網頁中JavaApplet,JavaScript或者ActiveX設計的非法惡意程序。
第11-12章
75、 獲取口令的常用方法(P225)
答:(1)、通過網路監聽非法得到用戶口令。
(2)、口令的窮舉攻擊。
(3)、利用系統管理員的失誤。
76、 埠掃描器通常分為哪三類(P227)
答:資料庫安全掃描器、操作系統安全掃描器和網路安全掃描器。
77、 埠掃描技術包括(P228)
答:(1)、TCPconnect()掃描。
(2)、TCP SYN掃描。
(3)、TCP FIN掃描。
(4)、IP段掃描。
(5)、TCP反向ident掃描。
(6)、FTP返回攻擊。
(7)、UDP ICMP埠不能到達掃描。
(8)、ICMP echo掃描。
78、 如何發現Sniffer(P230)
答:(1)、網路通信掉包率特別高。
(2)、網路寬頻出現異常。
(3)、對於懷疑運行監聽程序的主機,用正確的IP地址和錯誤的物理地址去PING,正常的機器不接收錯誤的物理地址,出於監聽狀態的機器能接收,這種方法依賴系統的IPSTACK,對有些系統可能行不通。
(4)、往網上發送大量包含不存在的物理地址的包,由於監聽程序要處理這些包,將導致性能下降,通過比較前後該機器的性能(Icmp Echo Delay等方法)加以判斷。
(5)、另外,目前也有許多探測sniffer的應用程序可以用來幫助探測sniffer,如ISS的anti-Sniffer、Sentinel、Lopht的Antisniff等。
79、 防禦網路監聽的方法(P231)
答:(1)、從邏輯上火物理上對網路分段。
(2)、以交換式集線器代替共享式集線器。
(3)、使用加密技術。
(4)、劃分VLAN。
80、 什麼是拒絕服務攻擊(P233)
答:拒絕服務攻擊是指一個用戶占據了大量的共享資源,使系統沒有剩餘的資源給其他用戶提供服務的一種攻擊方式。
81、 分布式拒絕服務攻擊體系包括哪三層(P234)
答:(1)、攻擊者:攻擊者所用的計算機是攻擊主控台,可以是網路上的任何一台主機,甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程,它向主控端發送攻擊命令。
(2)、主控端:主控端是攻擊者非法入侵並控制的一些主機,這些主機還分別控制大量 的代理主機。主控端主機的上面安裝了特定的程序,因此它們可以接受攻擊者發來的特殊指令,並且可以把這些命令發送到代理主機上。
(3)、代理端:代理端同樣也是攻擊者入侵並控制的一批主機,在它們上面運行攻擊器程序,接受和運行主控端發來的命令。代理端主機是攻擊的執行者,由它向受害者主機實際發起進攻。
82、 木馬入侵原理(P236)
配置木馬,傳播木馬,運行木馬,信息泄露,建立連接,遠程式控制制。
83、 入侵檢測定義(P241)
答:入侵檢測(Intrusion Detection),顧名思義,即是對入侵行為的發覺。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統(Intrusion Detection System,IDS)。
84、 入侵檢測過程包括信息收集和信號分析(P243)
85、 入侵檢測過程中的三種信號分析方法(P243)
答:(1)、模式匹配的方法:模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。這種分析方法也稱為誤用檢測。
(2)、統計分析的方法:統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統一描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。
(3)、完整性分析的方法:完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性的變化。
86、 按照數據來源,入侵檢測系統可分為哪三種(P244)
答:(1)、基於主機的入侵檢測系統。
(2)、基於網路的入侵檢測系統。
(3)、採用上述兩種數據來源的分布式的入侵檢測系統。
87、 什麼是模式匹配方法(P244)
答:模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。這種分析方法也稱為誤用檢測。
88、 基於網路的入侵檢測系統的組成(P246)
答:網路安全資料庫,安全配置機構,探測器,分析引擎。
89、 網路管理有哪五大功能(P258)
答:配置管理(Configuration Management)、性能管理(Performance Management)、故障管理(Fault Management)、計費管理(Accounting Management)、安全管理(Security Management)。
90、 OSI系統的管理結構(P262)
答:管理系統中的代理實現被管理對象的訪問,被管理對象資源的感念性存儲稱為管理信息庫,管理者和代理之間使用OSI通信協議再進行通信,其中CMIP是網路管理的應用層協議,在OSI網路管理中起關鍵作用
91、 TCP/IP網路中應用最為廣泛的網路管理協議是SNMP。(P264)
92、 網路管理體系結構的三種模型(P293)
答:集中式體系結果、分層式體系結構、分布式體系結構。