1、什么是防火墙？什么是堡垒主机？什么是 DMZ？

• 防火墙：部署于两个网络之间，通过预设策略强制实施访问控制的系统或系统组，用于隔离信任网络与非信任网络，过滤流量并阻断非法通信。
• 堡垒主机：专门加固的安全节点计算机，作为网络间通信的唯一入口 / 出口，切断直接连接，所有跨网络通信必须经过该主机，强化边界防护。
• DMZ（非军事区）：位于内部网络与外部网络之间的隔离子网，用于部署允许外部访问的服务（如 Web、邮件服务器），形成 “中间地带”，减少直接攻击对内部网络的威胁。

2、网络安全的本质是什么？

网络安全的核心是信息安全，即保护网络中信息的保密性（防止未授权访问）、完整性（防止篡改）和可用性（确保合法用户正常使用）。涵盖物理安全、网络系统安全、数据安全、内容安全及基础设施安全等多层防护体系。

3、计算机网络安全所面临的威胁分为哪几类？从人的角度，威胁网络安全的因素有哪些？

• 威胁分类：
  1. 信息威胁：针对数据的窃取、篡改、破坏等（如窃听、数据篡改）。
  2. 设备威胁：针对网络硬件或系统的攻击（如拒绝服务攻击、硬件破坏）。
• 人为因素：
  1. 无意失误：配置错误、密码泄露、操作疏忽等。
  2. 恶意攻击：主动攻击（如篡改数据、植入恶意软件）和被动攻击（如监听、流量分析）。
  3. 软件漏洞与后门：未修复的系统漏洞、开发者预留的后门程序被滥用。

4、网络攻击和防御分别包括哪些内容？

• 网络攻击：
  扫描探测（如端口扫描、漏洞扫描）、监听窃密（如 ARP 欺骗、流量嗅探）、入侵渗透（如缓冲区溢出、SQL 注入）、后门植入（如木马、远程控制）、隐身逃避（如 rootkit、跳板攻击）。
• 网络防御：
  系统安全配置（如补丁管理、权限控制）、加密技术（如 SSL/TLS、数据加密）、防火墙部署（包过滤、代理服务）、入侵检测与响应（IDS/IPS）、安全审计与访问控制。

5、分析 TCP／IP 协议，说明各层可能受到的威胁及防御方法。

• 网络层（IP 层）：
  • 威胁：IP 欺骗、ICMP 攻击（如 ping 洪水）、路由劫持。
  • 防御：防火墙过滤异常 IP 包、启用 IP 源路由验证、部署抗 DDoS 设备。
• 传输层（TCP/UDP 层）：
  • 威胁：TCP SYN 洪水攻击、UDP 端口泛洪、会话劫持。
  • 防御：TCP 握手优化（如 SYN Cookie）、会话认证、状态检测防火墙。
• 应用层：
  • 威胁：恶意软件（病毒、木马）、应用漏洞攻击（如 SQL 注入、缓冲区溢出）。
  • 防御：输入验证、漏洞补丁、应用代理防火墙、病毒扫描。

6、请分析网络安全的层次体系

网络安全分为四层体系：

1. 物理安全：保护硬件设备（如服务器、线缆）免受物理破坏或窃听（如机房门禁、电磁屏蔽）。
2. 逻辑安全：通过访问控制、加密技术保护数据在传输和存储中的安全性（如 ACL、VPN）。
3. 操作系统安全：加固系统内核、修复漏洞、限制用户权限，防止恶意程序入侵（如最小化安装、安全配置基线）。
4. 联网安全：在网络边界和内部实施流量监控、攻击检测，构建安全通信环境（如防火墙、IDS、安全域划分）。

7、请分析信息安全的层次体系

信息安全从底层到应用层分为五层：

1. 密码算法安全：基础加密技术（如 AES、RSA）确保数据机密性和完整性。
2. 安全协议安全：通信协议（如 SSL/TLS、IPSec）保障数据传输安全，防止中间人攻击。
3. 网络安全：通过边界防护、入侵检测等技术保护网络基础设施免受攻击。
4. 系统安全：操作系统和应用程序的安全配置，抵御漏洞利用和恶意代码执行。
5. 应用安全：针对具体业务逻辑的安全设计（如身份认证、权限管理、输入过滤）。

8、简述端口扫描技术的原理

端口扫描通过向目标主机的 TCP/UDP 端口发送特定探测包（如 SYN、ACK、FIN 包），根据目标响应判断端口状态（开放、关闭、过滤）。例如：

• TCP SYN 扫描：发送 SYN 包，若返回 SYN/ACK 则端口开放，返回 RST 则关闭。
• UDP 扫描：发送 UDP 包，若返回 ICMP 不可达则端口关闭，无响应可能开放或过滤。
  通过分析端口状态，可识别目标主机运行的服务及潜在漏洞，为渗透攻击提供信息。

9、缓冲区溢出攻击的原理是什么？

缓冲区溢出利用程序内存分配机制的缺陷，向缓冲区写入超过其容量的数据，导致溢出数据覆盖相邻内存空间（如函数返回地址、栈帧）。攻击者通过精心构造溢出数据，篡改程序执行流程，使其跳转到恶意代码（如 shellcode），从而获取系统控制权。常见场景包括栈溢出、堆溢出，可导致远程代码执行、权限提升等高危后果。

10、列举后门的三种程序，并阐述其原理和防御方法。

1. 远程控制木马（如 RAT）：
   • 原理：植入恶意程序，监听特定端口，接收攻击者指令，实现文件操作、屏幕监控等功能。
   • 防御：安装杀毒软件、禁用不明端口、定期扫描进程。
2. 隐藏账户（如注册表后门）：
   • 原理：通过修改注册表创建隐藏管理员账户，绕过正常用户管理界面，长期保留访问权限。
   • 防御：定期检查用户列表、监控注册表关键路径（如 SAM 数据库）。
3. Webshell（如 PHP 后门）：
   • 原理：上传恶意脚本到 Web 服务器，通过 HTTP 请求执行系统命令，控制服务器权限。
   • 防御：限制文件上传权限、启用 Web 应用防火墙（WAF）、扫描可疑文件。

11、简述一次成功的攻击，可分为哪几个步骤？

1. 隐藏身份：通过代理、VPN 或跳板机掩盖真实 IP，避免溯源。
2. 信息收集（踩点扫描）：利用扫描工具获取目标网络架构、开放端口、漏洞信息。
3. 突破防线：通过漏洞利用、弱密码爆破等手段获取账户权限（如普通用户→管理员）。
4. 权限维持：植入后门程序（如木马、隐藏账户），确保长期控制。
5. 数据窃取与破坏：窃取敏感数据或破坏系统，最后清除日志、隐藏痕迹以逃避检测。

12、简述 SQL 注入漏洞的原理

SQL 注入利用 Web 应用对用户输入过滤不足的缺陷，将恶意 SQL 语句插入输入参数（如表单、URL 参数）。当应用拼接用户输入到数据库查询语句时，恶意代码被执行，导致：

• 数据泄露（如脱库攻击）；
• 数据篡改（如删除表、修改记录）；
• 服务器权限提升（通过执行操作系统命令）。
  例如，输入' OR 1=1--可绕过登录验证，直接获取管理员权限。

13、分析漏洞扫描存在的问题及如何解决

• 问题 1：规则库局限性
  • 规则库依赖已知漏洞，无法检测 0day 漏洞；规则定义不精准可能导致误报 / 漏报。
  • 解决：结合机器学习分析异常行为，支持用户自定义规则，定期更新漏洞库（联动 CVE 平台）。
• 问题 2：漏洞库信息不完整
  • 漏洞描述、修复方案不清晰，影响处置效率；多语言、多平台支持不足。
  • 解决：标准化漏洞信息格式（如使用 CVSS 评分），提供跨平台修复指南，开放 API 供第三方系统集成。

14、按照防火墙对内外来往数据的处理方法可分为哪两大类？分别论述其技术特点。

1. 包过滤防火墙（网络层 / 传输层）：
   • 特点：基于 IP 包头（源 / 目地址、端口、协议类型）匹配预设规则，决定是否放行或丢弃数据包。
   • 优势：处理效率高，支持大规模流量；
   • 局限：无法检测应用层内容，易受 IP 欺骗、碎片包攻击。
2. 应用代理防火墙（应用层）：
   • 特点：充当内外网通信的中介，代理服务器接收客户端请求，解析应用层协议（如 HTTP、FTP），验证后转发至目标服务器，完全阻断直接连接。
   • 优势：深度检测应用数据，支持细粒度访问控制（如用户身份验证、内容过滤）；
   • 局限：性能开销较大，需为每种应用定制代理模块。

15、什么是应用代理？代理服务有哪些优点？

• 应用代理（应用网关）：工作在应用层，作为内外网通信的中转站，通过代理程序解析和验证特定应用协议（如 HTTP、SMTP），代替客户端与服务器直接交互，实现流量监控与安全策略 enforcement。
• 优点：
  1. 透明性：用户无需修改配置，代理服务器模拟直接访问，简化使用体验。
  2. 深度日志与审计：基于应用层协议解析，可记录详细的访问行为（如用户操作、传输内容），便于安全审计和合规检查。
  3. 增强安全性：隔离内外网直接连接，过滤恶意数据（如 SQL 注入 payload），支持用户认证和访问控制，降低攻击面。