1.12 应用知识问题
网络安全体系结构
下列问题旨在测试你的网络安全实践知识,其中有些问题涉及到了本书后面章节的知识。你也许会发现每个问题的解答都不单一。在附录B中提供答案的目的是为了帮助读者巩固那些可以应用到自己网络中的概念。
(1)GeeWiz.com刚刚发布了一个已获专利的远程进程监视工具,它能够帮你管理在网络中任意服务器上所运行的进程。你会为购买它找到一个理由吗?
(2)你最近刚刚加盟了一家公司,该公司利用了一种远程访问产品使在家中和旅途中工作的员工能够访问园区网。由于该产品采用了加密技术,并通过一次性密码(One-Time-Password,OTP)认证机制(见第3章)来验证每个用户登录时的身份,因此公司对这种设计感到自信。应当这样吗?
(3)由于一些部门或团队总有新的在线需求,因此每天你会接到十几个修改防火墙配置的请求,要求你开放或关闭某些服务。你担心天天这样修改防火墙早晚会酿成大祸。你该怎么办?
(4)你的老板刚开完一个安全会议回来,他建议为了增强访问Web服务器的安全性,将所有内部Web服务器运行在TCP端口8080,而不要运行在TCP端口80,他认为这种做法有利于提高网络的安全性。你怎样回答?
(5)为什么远程访问网络需要进行用户认证不是一条公理?
(6)你应当关心你的服务提供商所实施的安全措施吗?
(7)假如有两台相同的主机连接到网络中。请根据安装在攻击者和主机之间保护措施,来判断哪台主机得到了更有效的保护,为什么?
攻击者>过滤路由器>防火墙>个人防火墙>主机1
攻击者>防火墙>主机IDS>主机2
(8)在阅读过本章的公理后,你认为“将部署网络安全当成整个网络部署的一部分”,存在什么主要的障碍?
(9)在“一切皆为目标”这一节,你看到了很多能够控制Web服务器的方法。现在通过实际操作,列出攻击者可能获得内部LAN访问的方法。
(10)在“一切皆为武器”一节,你看到了DHCP服务器是如何在网络中被当作武器来使用的。那么如果有人控制了你的Internet边界路由器,他/她都可能针对你的公司发起哪些攻击?
(11)在保护用户个人工作站时,怎样应用“设法简化操作”这条公理?