《網路安全體系結構》一1.12應用知識問題

本節書摘來自非同步社群《網路安全體系結構》一書中的第1章，第1.12節，作者【美】Sean Convery，更多章節內容可以訪問雲棲社群“非同步社群”公眾號檢視

1.12 應用知識問題

網路安全體系結構
下列問題旨在測試你的網路安全實踐知識，其中有些問題涉及到了本書後面章節的知識。你也許會發現每個問題的解答都不單一。在附錄B中提供答案的目的是為了幫助讀者鞏固那些可以應用到自己網路中的概念。

（1）GeeWiz.com剛剛釋出了一個已獲專利的遠端程式監視工具，它能夠幫你管理在網路中任意伺服器上所執行的程式。你會為購買它找到一個理由嗎？

（2）你最近剛剛加盟了一家公司，該公司利用了一種遠端訪問產品使在家中和旅途中工作的員工能夠訪問園區網。由於該產品採用了加密技術，並通過一次性密碼（One-Time-Password，OTP）認證機制（見第3章）來驗證每個使用者登入時的身份，因此公司對這種設計感到自信。應當這樣嗎？

（3）由於一些部門或團隊總有新的線上需求，因此每天你會接到十幾個修改防火牆配置的請求，要求你開放或關閉某些服務。你擔心天天這樣修改防火牆早晚會釀成大禍。你該怎麼辦？

（4）你的老闆剛開完一個安全會議回來，他建議為了增強訪問Web伺服器的安全性，將所有內部Web伺服器執行在TCP埠8080，而不要執行在TCP埠80，他認為這種做法有利於提高網路的安全性。你怎樣回答？

（5）為什麼遠端訪問網路需要進行使用者認證不是一條公理？

（6）你應當關心你的服務提供商所實施的安全措施嗎？

（7）假如有兩臺相同的主機連線到網路中。請根據安裝在攻擊者和主機之間保護措施，來判斷哪臺主機得到了更有效的保護，為什麼？

攻擊者>過濾路由器>防火牆>個人防火牆>主機1

攻擊者>防火牆>主機IDS>主機2

（8）在閱讀過本章的公理後，你認為“將部署網路安全當成整個網路部署的一部分”，存在什麼主要的障礙？

（9）在“一切皆為目標”這一節，你看到了很多能夠控制Web伺服器的方法。現在通過實際操作，列出攻擊者可能獲得內部LAN訪問的方法。

（10）在“一切皆為武器”一節，你看到了DHCP伺服器是如何在網路中被當作武器來使用的。那麼如果有人控制了你的Internet邊界路由器，他/她都可能針對你的公司發起哪些攻擊？

（11）在保護使用者個人工作站時，怎樣應用“設法簡化操作”這條公理？