計算機網絡安全技術操作指南與試題集含答案一、網絡安全技術操作指南（一）防火墻規(guī)則配置（以Linuxiptables為例）1.查看當前規(guī)則：執(zhí)行`iptablesLnv`命令，顯示當前過濾表的鏈策略及規(guī)則詳情，重點關注INPUT、OUTPUT、FORWARD鏈的默認策略（默認DROP或ACCEPT）。2.添加基礎訪問規(guī)則：若需允許SSH遠程管理，執(zhí)行`iptablesAINPUTptcpdport22jACCEPT`；允許HTTP/HTTPS對外服務，執(zhí)行`iptablesAINPUTptcpdport80jACCEPT`和`iptablesAINPUTptcpdport443jACCEPT`。3.阻止特定IP訪問：若需禁止IP00訪問本機80端口，執(zhí)行`iptablesAINPUTs00ptcpdport80jDROP`。4.保存規(guī)則持久化：執(zhí)行`iptablessave>/etc/iptables.rules`保存當前規(guī)則；在`/etc/rc.local`中添加`iptablesrestore</etc/iptables.rules`（或通過systemd服務配置），確保重啟后規(guī)則生效。注意事項：操作前備份現有規(guī)則（`iptablessave>backup.rules`）；避免因規(guī)則順序導致允許規(guī)則被后續(xù)DROP規(guī)則覆蓋；遠程操作時保留SSH端口訪問，防止鎖定自身。（二）入侵檢測系統(tǒng)（IDS）部署（以Snort為例）1.安裝與初始化：下載Snort源碼（如snort2.9.19.tar.gz），安裝依賴（`sudoaptinstalllibpcapdevlibpcre3devzlib1gdev`），編譯安裝（`./configureenablesourcefire&&make&&sudomakeinstall`）。2.配置文件調整：修改`/etc/snort/snort.conf`，設置網絡接口（`ipvarHOME_NET[/24]`）、規(guī)則路徑（`include$RULE_PATH/local.rules`）、日志目錄（`outputlog_tcpdump:/var/log/snort`）。3.自定義規(guī)則編寫：在`local.rules`中添加檢測SQL注入的規(guī)則：`alerttcp$EXTERNAL_NETany>$HOME_NET80(msg:"PossibleSQLInjection";content:"'OR1=1";http_uri;sid:100001;rev:1;)`該規(guī)則監(jiān)測外部網絡對內部80端口的HTTP請求，若URI中包含`'OR1=1`則觸發(fā)警報。4.啟動與監(jiān)控：執(zhí)行`snortieth0c/etc/snort/snort.confl/var/log/snort`啟動Snort，實時監(jiān)控eth0接口流量；查看`/var/log/snort/alert`文件，分析觸發(fā)的警報事件。（三）漏洞掃描與修復（以Nessus為例）1.安裝與初始化：下載Nessus社區(qū)版安裝包（如nessus10.6.2debian10_amd64.deb），執(zhí)行`dpkginessus.deb`安裝；啟動服務（`systemctlstartnessusd`），訪問`https://localhost:8834`完成初始化，創(chuàng)建管理員賬戶并激活許可證。2.掃描策略配置：新建掃描任務，選擇“BasicNetworkScan”策略；設置目標IP范圍（如54），啟用“Scanallports”和“VulnerabilityAssessment”；調整掃描強度（低強度適合生產環(huán)境，高強度檢測更全面）。3.執(zhí)行與分析報告：啟動掃描后，等待任務完成；查看報告中的“HighRisk”漏洞（如CVE202321839（ApacheLog4jRCE）），修復建議包括升級軟件版本、關閉不必要服務、應用廠商補丁。4.漏洞驗證：對高風險漏洞，通過手動驗證（如使用Metasploit模塊）確認是否可利用，避免誤報。（四）加密通信配置（以NginxHTTPS為例）1.提供SSL證書：使用OpenSSL提供自簽名證書（測試環(huán)境）：`opensslreqx509newkeyrsa:4096keyout/etc/nginx/ssl/server.keyout/etc/nginx/ssl/server.crtdays365nodessubj"/CN=localhost"`生產環(huán)境需向CA機構申請正式證書（如Let’sEncrypt的Certbot自動簽發(fā)）。2.Nginx配置調整：編輯`/etc/nginx/sitesavailable/default`，在server塊中添加HTTPS配置：```nginxlisten443ssl;ssl_certificate/etc/nginx/ssl/server.crt;ssl_certificate_key/etc/nginx/ssl/server.key;ssl_protocolsTLSv1.2TLSv1.3;ssl_ciphers'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256';ssl_prefer_server_cipherson;```3.測試與生效：執(zhí)行`nginxt`檢查配置語法；若通過，執(zhí)行`systemctlreloadnginx`應用配置；使用`sstlnp|grep:443`確認443端口已監(jiān)聽。二、網絡安全技術試題與答案（一）選擇題（每題2分，共20分）1.以下屬于網絡層安全協議的是（）A.SSLB.IPsecC.TLSD.HTTPS答案：B2.SQL注入攻擊主要利用的是（）A.數據庫應用邏輯漏洞B.網絡傳輸層缺陷C.操作系統(tǒng)權限錯誤D.物理線路故障答案：A3.非對稱加密算法的典型代表是（）A.AESB.DESC.RSAD.SHA256答案：C4.以下哪種攻擊屬于拒絕服務（DoS）攻擊？（）A.跨站腳本（XSS）B.端口掃描C.SYN洪水D.密碼破解答案：C5.WPA3相比WPA2的主要改進是（）A.使用WEP加密B.支持SAE防暴力破解C.僅支持TKIPD.取消PSK模式答案：B6.防火墻的默認策略應設置為（）A.允許所有B.拒絕所有C.僅允許HTTP/HTTPSD.僅拒絕ICMP答案：B7.哈希函數的主要特性是（）A.可逆性B.輸入長度固定C.碰撞抵抗D.密鑰依賴答案：C8.IDS（入侵檢測系統(tǒng)）的核心功能是（）A.阻止攻擊B.檢測并記錄攻擊C.修復系統(tǒng)漏洞D.加密網絡流量答案：B9.以下哪項是應用層協議？（）A.TCPB.UDPC.HTTPD.IP答案：C10.防范暴力破解的有效措施是（）A.關閉防火墻B.啟用賬戶鎖定策略C.使用弱密碼D.不安裝殺毒軟件答案：B（二）判斷題（每題2分，共10分）1.防火墻可以完全阻止所有網絡攻擊。（）答案：×（防火墻無法防御內部攻擊或未知漏洞利用）2.IDS是入侵防御系統(tǒng)，可主動阻斷攻擊。（）答案：×（IDS是檢測，IPS是防御）3.哈希函數的輸出長度與輸入長度無關。（）答案：√（如SHA256輸出固定256位）4.WPA2使用PSK模式時，密碼長度不影響安全性。（）答案：×（密碼長度越長，暴力破解難度越高）5.漏洞掃描工具能直接修復系統(tǒng)漏洞。（）答案：×（僅檢測，修復需手動打補丁或配置）（三）簡答題（每題5分，共20分）1.簡述TCP三次握手過程及其在安全中的意義。答案：三次握手步驟：①客戶端發(fā)送SYN包（SEQ=x）；②服務端回復SYN+ACK包（SEQ=y,ACK=x+1）；③客戶端發(fā)送ACK包（SEQ=x+1,ACK=y+1）。安全意義：防止SYN洪水攻擊（通過限制半連接數、啟用SYNCookie）；確認通信雙方的收發(fā)包能力；建立可靠連接基礎。2.列舉三種防范XSS攻擊的措施。答案：①輸入驗證：對用戶輸入的特殊字符（如<、>、script）進行過濾或轉義；②輸出編碼：在HTML、JavaScript上下文中對動態(tài)內容進行編碼（如HTML轉義為<）；③啟用CSP（內容安全策略）頭，限制腳本來源。3.簡述NAT（網絡地址轉換）的安全作用。答案：NAT通過將內部私有IP轉換為公網IP，隱藏內部網絡結構，外部主機無法直接訪問內部設備的真實IP；減少公網IP消耗；可結合防火墻規(guī)則進一步限制入站流量，降低暴露面。4.說明對稱加密與非對稱加密的區(qū)別及典型應用場景。答案：區(qū)別：對稱加密使用相同密鑰（如AES），加解密速度快但密鑰分發(fā)困難；非對稱加密使用公私鑰對（如RSA），加解密速度慢但解決了密鑰分發(fā)問題。應用場景：對稱加密用于大量數據加密（如文件傳輸）；非對稱加密用于密鑰交換（如TLS握手）或數字簽名（如代碼簽名）。（四）操作題（每題10分，共30分）1.用iptables配置禁止IP00訪問本機22端口（SSH）。答案：執(zhí)行命令：`iptablesAINPUTs00ptcpdport22jDROP`。2.編寫一條Snort規(guī)則，檢測HTTP請求中包含“cmd=shell”的惡意參數（目標端口80，源地址不限）。答案：規(guī)則示例：`alerttcpanyany>any80(msg:"Ma