Linux网络管理及应用课后习题参考答案

答：入侵检测(intrusion detection)是使用自动化和智能化工具来实时检测入侵企图的一种操作；它是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统的应该具备以下功能： （1）监测并分析用户和系统的活动； （2）核查系统配置和漏洞；

（3）评估系统关键资源和数据文件的完整性； （4）识别已知的攻击行为； （5）统计分析异常行为；

（6）操作系统日志管理，并识别违反安全策略的用户活动。

第12章SSH服务器的配置与应用

1. 公钥加密的基本原理是什么？

答：非对称性算法使用一对密钥（即公开密钥Public Key和私有密钥Private Key）进行加密和解密。加密密钥和解密密钥是不同的，但它们是互补的，即使用公开密钥加密的信息只有私有密钥才能解密，而使用私有密钥加密的信息只有公开密钥才能解密。任何人都可以得到公开密钥，但私有密钥是有用户自己保管的，不能公开。

2. OpenSSH常用的加密算法有哪几种？

答：OpenSSH常用的加密算法有DES、RSA、3DES等 3．如何开启SSH服务？

答：Linux平台下都已经默认安装SSH服务并设定开机时启动SSH服务，所以我们可以直接就使用SSH服务了。另外，我们可以使用命令的方式来启动SSH服务。启动SSH服务的命令为：/etc/init.d/sshd start 或者service sshd start。

4．SSH的基本命令有哪些？

答：1、登录SSH服务器，命令格式：ssh [-l login_name] [hostname | user@hostname]； 2、SSH命令，命令格式如下：ssh [-l login_name] [hostname | user@hostname] [command]。

5. 如何使用SSH-FTP服务器？

答：我们通过使用 SFTP提供的命令来使用这个FTP服务器，也可以使用2.0.7版本以后的图形化FTP工具GFTP来访问它。登录SFTP服务器的过程和登录SSH服务器基本一样，只是要使用sftp命令。具体登录方式如下：

sftp hostname sftp user@hostname sftp －l user hostname

sftp连线成功之后会询问你密码，在你输入密码后，SFTP服务器会建立一个安全FTP会话。之后，SFTP在使用上和普通的FTP服务几乎一样。

6. 如何利用SSH的命令产生密钥对？

答：RedHat Linux 9默认使用的是SSH2和RSA。运行 ssh-keygen后，会自动生成一对密钥和公钥。这一对密钥和公钥默认状态保持在用户目录下的 .ssh/ 目录中，其中公钥是id_rsa.pub，密钥是id_rsa。

如果使用DSA，则运行ssh-keygen –t dsa命令后，生成的密钥和公钥对默认保存在用户目录的 .ssh 目录中，其中公钥是id_dsa.pub，密钥是id_dsa。

7. Putty软件的基本功能是什么？

答：Putty软件的基本功能主要是：（1）该软件为用户提供了一个进行远程登陆的工具；（2）该软件提供了一个通过加密技术进行保护的安全访问环境。

8. 如何使用Putty建立SSH隧道？

答：以建立一条正向隧道，连接到主机netedu上的8000端口为例：

首先，在netedu上执行下列命令：nc -l localhost 8080 这个命令打开8000端口，建立一个监听本地到端口 8000 的连接。

第二，在PuTTY的隧道配置面板上，在 Source port 项填写 8080，表示我们通过本地的 8080 端口来进入 SSH 隧道，

第三，在Destination 项填 127.0.0.1:8000，表示被登录的主机netedu访问该主机本地的 127.0.0.1:8000端口。

第四，在隧道方向上选择Local。

第五，登录到主机netedu后，SSH 隧道就建立好了。 9. Telnet和SSH服务有区别？

答：传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

SSH的英文全称是Secure SHell。通过使用SSH，可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。

10. 利用本章所介绍的内容，产生一对密钥，并使用密钥登录远程SSH服务器主机。 答：略。

第13章iptables防火墙与NAT服务器的配置与应用

1. 防火墙可以实现哪些功能？

答：防火墙通过对网络通信进行筛选屏蔽，将内部网络与外部网络分隔开来，从而增加内部网络的安全性和保护内部网络服务器

答：一般来说，防火墙具有以下几种功能：

（1）允许网络管理员定义一个中心点来防止非法用户进入内部网络。 （2）可以很方便地监视网络的安全性，并报警。

（3）可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

（4）是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

2. 简述包过滤防火墙的基本工作原理及其优缺点。

答：iptables通过审核数据包的源地址、目的地址、源地址端口号、目的地址端口号、数据包的顺序号、TCP先后顺序等信息和SYN、ACK、FIN、RST等数据包报头信息的状态来决定是否允许数据包通过防火墙。

（1）优点：价格较低 ,性能开销小，处理速度较快 。

（2）缺点：定义复杂，容易出现因配置不当带来问题,允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。

3. 说明iptables中的规则、链、表等概念的涵义。

答：规则（rules）：iptables规则就是iptables防火墙管理命令，用户通过这些命令执行防火墙策略并管理防火墙行为。

链（chain）：不同的规则针对不同的数据包，一般我们在审核特定的数据包时都会采用不止一条规则。这些针对特定数据包的一条或多条规则即构成了一条规则链（chains），也就是数据包在通过防火墙时需要通过的路径。

表（tables）：iptables的表（tables）提供某些特定的功能。iptables内置有三个表：filter表、nat表和mangle表。其中，filter表实现数据包过滤；nat表实现网络地址转换；mangle表实现数据包重构。

4. iptables对数据包的处理流程是怎样的？ 答：iptables对数据包的处理过程如下：

输入数据包首先进入prerouting链，内核分析数据包的目的IP地址，判断是否需要将数据包转发出去。

如果数据包的目的IP地址是本机的，数据包会来到input链，通过input链后，数据包可以由系统的进程接受它。本地进程发送的数据包需要通过output链后，到达postrouting链，由postrouting链负责输出。

如果数据包的目的IP地址不是本地的，在内核允许转发的情况下，数据包会到达forward链，通过forward链后再到达postrouting链，由postrouting链负责输出。

5. 什么是iptables的默认策略？

答：当数据包不符合规则链中的任一条规则时，iptables会根据该规则链预定义的默认策略处理数据包。一般采用的默认处理策略是将该数据包丢弃。

定义默认策略的命令语法如下：iptables [-t table] <-P> <链名>

6. 简述NAT的基本工作原理。

答：NAT（Network AddressTranslation，网络地址转换）是一种用另一个地址来替换IP数据包头部中的源地址或目的地址的技术。该技术使得在IP地址上完全将内部网络和外部网络隔离开来，使得内部网络的地址设置不再受到外部网络的限制。

NAT服务能够将一个地址域（如专业Intranet）映射到另一个地址域（如公用Internet）的标准方法。使用NAT服务，可以让一个内部IP地址域以一个公有IP地址出现在Internet上，NAT将内部网络中的所有主机地址转换成一个公用IP地址。对于使用NAT服务的网络，外部网络的主机对内部网络的主机的访问是受到严格限制的，无法直接获取内部网络的主机地址，能够起到维护内部网络安全的作用，故而NAT服务常常被结合到防火墙技术中。

7. 如何使用iptables配置NAT服务器？

答：转发和NAT在iptables中不同的，相互独立的。转发数据包的功能在filter表中通过使用FORWARD链完成，而对数据包进行NAT操作的功能则是在nat表中通过使用POSTROUTING、PREROUTING或OUTPUT规则链来完成的。转发是一个路由功能，FORWARD链是filter表的一部分。NAT是在nat表中定义的一个功能。NAT在路由功能的前后都是可以发生的。源地址NAT（SNAT）在数据包通过路由功能后应用于POSTROUTING规则链，SNAT也被应用于OUTPUT规则链来处理本地输出的数据包，在数据包被传送到路由功能之前目的地址NAT（DNAT）应用于PREROUTING规则链。filter表的OUTPUT链和nat表的OUTPUT链是不同的，两个互相独立、不相关的规则链。 在iptables转发规则链中，规则通常成对的定义，两个接口之间的每个方向上一个，使用这种状态模型可以通过允许所有状态为ESTABLISHED的规则合并成一对规则来掩盖它们。而在iptables NAT中，指定的是一个单一的规则。NAT映射表项在收到或发送交换的第一个数据包时被创建。NAT通过数据包的目的地址和端口来识别返回的响应，并且自动进行逆向处理。转发和NAT应用在数据包传输路径中使用的是不同的规则链，我们一共需要三个规则：转发规则对中的两条规则和一个NAT规则。

8. 添加一条iptables命令，禁止主机响应ping连接。 答：iptables -A INPUT -p icmp - -icmp-type 8 -i eth1 -j DROP

9. 添加一条iptables命令，禁止所有来自于192.168.12.10的数据包进入主机。 答：iptables – A INPUT -s 192.168.12.10 -j DROP

10. 在本机上利用iptables命令，建立一个NAT服务器，允许外部主机访问web服务。

答：iptables -A FORWARD -p tcp -i eth1 -o eth0 --dport 80 -j ACCEPT