計算機四級信息安全工程師備考知識

引導語：信息安全工程師主要從事與計算機信息安全方面的工作。以下是本站小編分享給大家的計算機四級信息安全工程師備考知識，歡迎閲讀學習!

一、什麼是三層交換，和路由的區別在那裏?

答案：

三層交換機和路由器都可工作在網絡的第三層，根據ip地址進行數據包的轉發(或交換)，原理上沒有太大的區別，這兩個名詞趨向於統一，我們可以認為三層交換機就是一個多端口的路由器。

但是傳統的路由器有3個特點：基於CPU的單步時鐘處理機制;能夠處理複雜的路由算法和協議;主要用於廣域網的低速數據鏈路

在第三層交換機中，與路由器有關的第三層路由硬件模塊也插接在高速背板/總線上，這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數據，從而突破了傳統的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。

對路由知識的掌握情況，對方提出了一個開放式的問題：簡單説明一下你所瞭解的路由協議。

路由可分為靜態&動態路由。靜態路由由管理員手動維護;動態路由由路由協議自動維護。

路由選擇算法的必要步驟：1、向其它路由器傳遞路由信息;2、接收其它路由器的路由信息;3、根據收到的路由信息計算出到每個目的網絡的最優路徑，並由此生成路由選擇表;4、根據網絡拓撲的變化及時的做出反應，調整路由生成新的路由選擇表，同時把拓撲變化以路由信息的形式向其它路由器宣告。

兩種主要算法：距離向量法(Distance Vector Routing)和鏈路狀態算法(Link-State Routing)。由此可分為距離矢量(如：RIP、IGRP、EIGRP)&鏈路狀態路由協議(如：OSPF、IS-IS)。

路由協議是路由器之間實現路由信息共享的一種機制，它允許路由器之間相互交換和維護各自的路由表。當一台路由器的'路由表由於某種原因發生變化時，它需要及時地將這一變化通知與之相連接的其他路由器，以保證數據的正確傳遞。路由協議不承擔網絡上終端用户之間的數據傳輸任務。

二、簡單説下OSPF的操作過程。

答案：

①路由器發送HELLO報文;②建立鄰接關係;③形成鏈路狀態④SPF算法算出最優路徑⑤形成路由表

OSPF路由協議的基本工作原理，DR、BDR的選舉過程，區域的作用及LSA的傳輸情況(注：對方對OSPF的相關知識提問較細，應着重掌握)。

特點：1、收斂速度快;2、支持無類別的路由表查詢、VLSM和超網技術;3、支持等代價的多路負載均衡;4、路由更新傳遞效率高(區域、組播更新、DR/BDR);5、根據鏈路的帶寬(cost)進行最優選路。

通過發關HELLO報文發現鄰居建立鄰接關係，通過泛洪LSA形成相同鏈路狀態數據庫，運用SPF算法生成路由表。

DR/BDR選舉：1、DR/BDR存在->不選舉;達到2-way狀態Priority不為0->選舉資格;3、先選BDR後DR;4、利用“優先級”“RouterID”進行判斷。

1、通過劃分區域可以減少路由器LSA DB，降低CPU、內存、與LSA泛洪帶來的開銷。2、可以將TOP變化限定在單個區域，加快收斂。

LSA1、LSA2只在始發區域傳輸;LSA3、LSA4由ABR始發，在OSPF域內傳輸;LSA5由ASBR始發在OSPF的AS內傳輸;LSA7只在NSSA內傳輸。

　三、OSPF有什麼優點?為什麼OSPF比RIP收斂快?

優點：

1、收斂速度快;2、支持無類別的路由表查詢、VLSM和超網技術;3、支持等代價的多路負載均衡;4、路由更新傳遞效率高(區域、組播更新、DR/BDR);5、根據鏈路的帶寬進行最優選路

採用了區域、組播更新、增量更新、30分鐘重發LSA

　四、RIP版本1跟版本2的區別?

答：①RIP-V1是有類路由協議，RIP-V2是無類路由協議②RIP-V1廣播路由更新，RIP-V2組播路由更新③RIP-V2路由更新所攜帶的信息要比RIP-V1多

五、描述RIP和OSPF，它們的區別、特點。

RIP協議是一種傳統的路由協議，適合比較小型的網絡，但是當前Internet網絡的迅速發展和急劇膨脹使RIP協議無法適應今天的網絡。

OSPF協議則是在Internet網絡急劇膨脹的時候制定出來的，它克服了RIP協議的許多缺陷。

RIP是距離矢量路由協議;OSPF是鏈路狀態路由協議。

RIP&OSPF管理距離分別是：120和110

協議一條路由有15跳(網關或路由器)的限制，如果一個RIP網絡路由跨越超過15跳(路由器)，則它認為網絡不可到達，而OSPF對跨越路由器的個數沒有限制。

協議支持可變長度子網掩碼(VLSM)，RIP則不支持，這使得RIP協議對當前IP地址的缺乏和可變長度子網掩碼的靈活性缺少支持。

協議不是針對網絡的實際情況而是定期地廣播路由表，這對網絡的帶寬資源是個極大的浪費，特別對大型的廣域網。OSPF協議的路由廣播更新只發生在路由狀態變化的時候，採用IP多路廣播來發送鏈路狀態更新信息，這樣對帶寬是個節約。

網絡是一個平面網絡，對網絡沒有分層。OSPF在網絡中建立起層次概念，在自治域中可以劃分網絡域，使路由的廣播限制在一定的範圍內，避免鏈路中繼資源的浪費。

在路由廣播時採用了授權機制，保證了網絡安全。

上述兩者的差異顯示了OSPF協議後來居上的特點，其先進性和複雜性使它適應了今天日趨龐大的Internet網，併成為主要的互聯網路由協議。

五、什麼是靜態路由?什麼是動態路由?各自的特點是什麼?

答案：

靜態路由是由管理員在路由器中手動配置的固定路由，路由明確地指定了包到達目的地必須經過的路徑，除非網絡管理員干預，否則靜態路由不會發生變化。靜態路由不能對網絡的改變作出反應，所以一般説靜態路由用於網絡規模不大、拓撲結構相對固定的網絡。

靜態路由特點：

1、它允許對路由的行為進行精確的控制;

2、減少了網絡流量;

3、是單向的;

4、配置簡單。

動態路由是網絡中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。是基於某種路由協議來實現的。常見的路由協議類型有：距離向量路由協議(如RIP)和鏈路狀態路由協議(如OSPF)。路由協議定義了路由器在與其它路由器通信時的一些規則。動態路由協議一般都有路由算法。其路由選擇算法的必要步驟：

1、向其它路由器傳遞路由信息;

2、接收其它路由器的路由信息;

3、根據收到的路由信息計算出到每個目的網絡的最優路徑，並由此生成路由選擇表;

4、根據網絡拓撲的變化及時的做出反應，調整路由生成新的路由選擇表，同時把拓撲變化以路由信息的形式向其它路由器宣告。

動態路由適用於網絡規模大、拓撲復雜的網絡。

動態路由特點：

1、無需管理員手工維護，減輕了管理員的工作負擔。

2、佔用了網絡帶寬。

3、在路由器上運行路由協議，使路由器可以自動根據網絡拓樸結構的變化調整路由條目;

六、VLAN和VPN有什麼區別?分別實現在OSI的第幾層?

VPN是一種三層封裝加密技術，VLAN則是一種第二層的標誌技術(儘管ISL採用封裝)，儘管用户視圖有些相象，但他們不應該是同一層次概念。

VLAN(Virtual Local Area Network)即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。

VLAN在交換機上的實現方法，可以大致劃分為2大類：基基於端口劃分的靜態VLAN;2、基於MAC地址|IP等劃分的動態VLAN。當前主要是靜態VLAN的實現。

跨交換機VLAN通訊通過在TRUNK鏈路上採用Dot1Q或ISL封裝(標識)技術。

VPN(虛擬專用網)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。

VPN使用三個方面的技術保證了通信的安全性：隧道協議、數據加密和身份驗證。

VPN使用兩種隧道協議：點到點隧道協議(PPTP)和第二層隧道協議(L2TP)。

VPN採用何種加密技術依賴於VPN服務器的類型，因此可以分為兩種情況。

對於PPTP服務器，將採用MPPE加密技術 MPPE可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份驗證被協商之後，數據才由 MPPE 進行加密，MPPE需要這些類型的身份驗證生成的公用客户和服務器密鑰。

對於L2TP服務器，將使用IPSec機制對數據進行加密 IPSec是基於密碼學的保護服務和安全協議的套件。IPSec 對使用 L2TP 協議的 VPN 連接提供機器級身份驗證和數據加密。在保護密碼和數據的 L2TP 連接建立之前，IPSec 在計算機及其遠程VPN服務器之間進行協商。IPSec可用的加密包括 56 位密鑰的數據加密標準DES和 56 位密鑰的三倍 DES (3DES)。

VPN的身份驗證方法：

前面已經提到VPN的身份驗證採用PPP的身份驗證方法，下面介紹一下VPN進行身份驗證的幾種方法。

CHAP CHAP通過使用MD5(一種工業標準的散列方案)來協商一種加密身份驗證的安全形式。CHAP 在響應時使用質詢-響應機制和單向 MD5 散列。用這種方法，可以向服務器證明客户機知道密碼，但不必實際地將密碼發送到網絡上。

MS-CHAP 同CHAP相似，微軟開發MS-CHAP 是為了對遠程 Windows 工作站進行身份驗證，它在響應時使用質詢-響應機制和單向加密。而且 MS-CHAP 不要求使用原文或可逆加密密碼。

MS-CHAP v2 MS-CHAP v2是微軟開發的第二版的質詢握手身份驗證協議，它提供了相互身份驗證和更強大的初始數據密鑰，而且發送和接收分別使用不同的密鑰。如果將VPN連接配置為用 MS-CHAP v2 作為唯一的身份驗證方法，那麼客户端和服務器端都要證明其身份，如果所連接的服務器不提供對自己身份的驗證，則連接將被斷開。

EAP EAP 的開發是為了適應對使用其他安全設備的遠程訪問用户進行身份驗證的日益增長的需求。通過使用 EAP，可以增加對許多身份驗證方案的支持，其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對於VPN來説，使用EAP可以防止暴力或詞典攻擊及密碼猜測，提供比其他身份驗證方法(例如 CHAP)更高的安全性。

在Windows系統中，對於採用智能卡進行身份驗證，將採用EAP驗證方法;對於通過密碼進行身份驗證，將採用CHAP、MS-CHAP或MS-CHAP v2驗證方法。