1、DNS缓存中毒：DNS为了提高查询效率，采用了缓存机制，把用户查询过的最新记录存放在缓存中，并设置生存周期（Time To Live，TTL）。在记录没有超过TTL之前，DNS缓存中的记录一旦被客户端查询，DNS服务器（包括各级名字服务器）将把缓存区中的记录直接返回给客户端，而不需要进行逐级查询，提高了查询速率。（2分）DNS缓存中毒利用了DNS缓存机制，在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录。由于DNS服务器之间会进行记录的同步复制，所以在TTL内，缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器，导致更多的DNS服务器中毒。（2分）

2．机密性、完整性、可用性、可控性

机密性是确保信息不暴露给未经授权的人或应用进程（1分）；完整性是指只有得到允许的人或应用进程才能修改数据，并且能够判别出数据是否已被更改（1分）；可用性是指只有得到授权的用户在需要时才可以访问数据，即使在网络被攻击时也不能阻碍授权用户对网络的使用（1分）；可控性是指能够对授权范围内的信息流向和行为方式进行控制（1分）。

3．PMI：PMI（授权管理基础设施）是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离，由IETF提出的一种标准。PMI的最终目标就是提供一种有效的体系结构来管理用户的属性。PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理（2分）。同PKI相比，两者主要区别在于PKI证明用户是谁，而PMI证明这个用户有什么权限、能干什么。PMI需要PKI为其提供身份认证。PMI实际提出了一个新的信息保护基础设施，能够与PKI紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行系统的定义和描述，完整地提供授权服务所需过程。（2分）

4．防火墙：防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合（2分），通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。

5．VPN：VPN（虚拟专用网）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接（2分）。从VPN的定义来看，其中“虚拟”是指用户不需要建立自己专用的物理线路，而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道，并实现与专用数据通道相同的通信功能；“专用网络”是指这一虚拟出来的网络并不是任何连接在公共网络上的用户都能够使用的，而是只有经过授权的用户才可以使用。同时，该通道内传输的数据经过了加密和认证，从而保证了传输内容的完整性和机密性。（2分）

6．DDoS攻击：DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令，一般是采用一对一方式。DDOS是在DOS基础上利用一批受控制的主机向一台主机发起攻击，其攻击强度和造成的威胁要比DOS严重的的。

五、简答题（每小题10分，共20分）

66．简述ARP欺骗的实现原理及主要防范方法

由于ARP协议在设计中存在的主动发送ARP报文的漏洞，使得主机可以发送虚假的ARP请求报文或响应报文，报文中的源IP地址和源MAC地址均可以进行伪造（2分）。在局域网中，即可以伪造成某一台主机（如服务器）的IP地址和MAC地址的组合，也可以伪造成网关的IP地址和MAC地址的组合，ARP即可以针对主机，也可以针对交换机等网络设备（2分），等等。

目前，绝大部分ARP欺骗是为了扰乱局域网中合法主机中保存的ARP表，使得网络中的合法主机无法正常通信或通信不正常，如表示为计算机无法上网或上网时断时续等。（2分）

针对主机的ARP欺骗的解决方法：主机中静态ARP缓存表中的记录是永久性的，用户可以使用TCP/IP工具来创建和修改，如Windows操作系统自带的ARP工具，利用“arp-s网关IP地址网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态（static）。（2分）

针对交换机的ARP欺骗的解决方法：在交换机上防范ARP欺骗的方法与在计算机上防范ARP欺骗的方法基本相同，还是使用将下连设备的MAC地址与交换机端口进行一一绑定的方法来实现。（2分）

67．如下图所示，简述包过滤防火墙的工作原理及应用特点。

包过滤（Packet Filter）是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息（如协议、服务类型等），确定是否允许该数据包通过防火墙（2分）。

包过滤防火墙中的安全访问策略（过滤规则）是网络管理员事先设置好的，主要通过对进入防火墙的数据包的源IP地址、目的IP地址、协议及端口进行设置，决定是否允许数据包通过防火墙。（2分）

如图所示，当网络管理员在防火墙上设置了过滤规则后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。（2分）

包过滤防火墙主要特点：过滤规则表需要事先进行人工设置，规则表中的条目根据用户的安全要求来定；防火墙在进行检查时，首先从过滤规则表中的第1个条目开始逐条进行，所以过滤规则表中条目的先后顺序非常重要；由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。但包过滤防火墙无法识别基于应用层的恶意入侵。另外，包过滤防火墙不能识别IP地址的欺骗，内部非授权的用户可以通过伪装成为合法IP地址的使用者来访问外部网络，同样外部被限制的主机也可以通过使用合法的IP地址来欺骗防火墙进入内部网络。（4分）

3．根据实际应用，以个人防火墙为主，简述防火墙的主要功能及应用特点

防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。（2分）

个人防火墙是一套安装在个人计算机上的软件系统，它能够监视计算机的通信状况，一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接，以此实现对个人计算机上重要数据的安全保护。（2分）

个人防火墙是在企业防火墙的基础上发展起来，个人防火墙采用的技术也与企业防火墙基本相同，但在规则的设置、防火墙的管理等方面进行了简化，使非专业的普通用户能够容易地安装和使用。（2分）

为了防止安全威胁对个人计算机产生的破坏，个人防火墙产品应提供以下的主要功能。防止Internet上用户的攻击、阻断木马及其他恶意软件的攻击、为移动计算机提供安全保护、与其他安全产品进行集成。（4分）

6．如图所示，描述DDoS攻击的实现方法。

DDoS攻击是利用一批受控制的主机向一台主机发起攻击，其攻击的强度和造成的威胁要比DoS攻击严重得多，当然其破坏性也要强得多。（2分）

在整个DDoS攻击过程中，共有四部分组成：攻击者、主控端、代理服务器和被攻击者，其中每一个组成在攻击中扮演的角色不同。

（1）攻击者。攻击者是指在整个DDoS攻击中的主控台，它负责向主控端发送攻击命令。与DoS攻击略有不同，DDoS攻击中的攻击者对计算机的配置和网络带宽的要求并不高，只要能够向主控端正常发送攻击命令即可。（2分）

（2）主控端。主控端是攻击者非法侵入并控制的一些主机，通过这些主机再分别控制大量的代理服务器。攻击者首先需要入侵主控端，在获得对主控端的写入权限后，在主控端主机上安装特定的程序，该程序能够接受攻击者发来的特殊指令，并且可以把这些命令发送到代理服务器上。（2分）

（3）代理服务器。代理服务器同样也是攻击者侵入并控制的一批主机，同时攻击者也需要在入侵这些主机并获得对这些主机的写入权限后，在上面安装并运行攻击器程序，接受和运行主控端发来的命令。代理服务器是攻击的直接执行者，真正向被攻击主机发送攻击。（2分）

（4）被攻击者。是DDoS攻击的直接受害者，目前多为一些大型企业的网站或数据库系统。（2分）

4．简述L2TP协议操作过程

（1）用户通过PSTN,ISDN等拨号方式连接到本地接入服务器LAC，LAC

接收呼叫并进行基本的辨别。

（2）当用户被确认为合法用户时就建立一个通向LNS的拨号VPN通道。

（3）位于内部网络中的安全认证服务器拨号用户的身份进行鉴别。

（4）LNS与远程用户交换PPP信息。

（5）端到端的数据从拨号用户到LNS。

7．简述IPSec隧道处理流程