了解ARP地址解析协议

我们先来简单描述下什么是ARP，ARP是地址解析协议，ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址，即网卡的MAC地址，比如IP地址为192.168.0.1计算机上网卡的MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址数据包，通过协商这两个主机就可以实现数据传输了。

ARP缓存表

在安装了以太网网络适配器（既网卡）的计算机中有一个或多个ARP缓存表，用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息，可以使用ARP命令来完成，比如在Windows XP的命令提示符窗口中键入“ARP -a”或“ARP -g”可以查看ARP缓存中的内容；键入“ARP -d IPaddress”表示删除指定的IP地址项（IPaddress表示IP地址）。ARP命令的其他用法可以键入“ARP /?”查看帮助信息。

什么是ARP欺骗

将ip地址转换为mac地址是ARP的工作，在网络中发送虚假的ARP respones，就是ARP欺骗。
在现实中，我们都知道邮政机构的主要职责就是靠邮差来接收和收发包裹，我们只要填写两个正确信息：邮政编码和收件人地址，就可以吧邮件送达目的地。这中间邮政编码起到很大的作用，它的主要作用是把相应的地址信息用数字的形式统一编码，比如：10080，就代表了北京市某个行政地区。
如果我们清楚的知道邮政系统是怎样把包裹送达目的地，就很容易立即ARP协议的处理过程。ARP同样处理需要两个信息来完成数据传输，一个是IP地址，一个是MAC地址。所以当ARP传输数据包到目的主机时，就好像邮局送包裹到目的地，IP地址就是邮政编码，MAC地址就是收件人地址。ARP的任务就是把已知的IP地址转换成MAC地址，这中间有复杂的协商过程，这就好像邮局内部处理不同目的地的邮件一样。我们都清楚邮局也有可能送错邮件，原因很简单，就是搞错了收件人地址，或是搞错了邮政编码，而这些都是人为的；同理，ARP解析协议也会产生这样的问题，只不过是通过计算机搞错，比如，在获得MAC地址时，有其他主机故意顶替目的主机的MAC地址，就造成了数据包不能准确到达。这就是所谓的ARP欺骗。

ARP欺骗会导致什么问题

假设，李四在北京，邮编是100080。朋友张三要给李四发一封信，当张三发现通讯录里没有李四的邮政编码，他就把信件发到了北京市邮局，于是邮局发了个广播给用户，问谁的地址邮编是10080，结果李四发现自己的邮编是10080，李四就会举手，说我是。这样，信件就发到李四那儿了。同时李四的地址信息也被张三记在自己的通信录里面了。

问题来了，如果在广播的时候，有人假冒李四，发出应答……。那信件就发不到李四那儿，并且，张三的通信表里面记录了错误的邮编和地址对应的信息。

李四收不到信件，就会给张三发信息询问，张三又重新发，但是他通信录里面的地址是错误的，所以，每次发信李四都收不到。如果这样反复询问，那必然的结果就是错误信件越发越多，邮件的错误邮件也越收越多，超过了正常的接收量，由于超负荷运转，而最终导致邮局彻底瘫痪，邮差也相继失业。可怜的李四，他始终没有收到过张三的邮件。

这就好比是ARP欺骗造成的后果，错误信件就是错误数据包，当它越来越多时，就会导致网络瘫痪，从而导致主机不能上网，影响企业的正常业务运转。
3、请描述入侵检测系统的四个过程

1、捕获数据包
网络入侵检测系统要实现对网络中网络行为的实时检测，首先要能够捕获网络中传输的数据包。我们通常将网络入侵检测系统部署在网络中的关键位置，以混杂模式进行监听，确保网络入侵检测系统能捕捉到所需的数据包。
常见的网络入侵检测系统结构
传感器（Sensor）
     负责采集数据、分析数据并生成安全事件，通常为硬件设备
控制台（Console）
     主要起到中央管理的作用，通常为图形界面的软件程序

2、分析数据包
基于简单包匹配的分析

基于状态的数据包分析

基于高层协议的分析

3、检测数据包
基于特征（Signature-based）：运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。
维护一个入侵特征知识库
准确性高
不能发现未知的攻击手法
基于异常（Anomaly-based）：根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。
与系统相对无关，通用性强
可以发现未知的攻击手法
误报较多

4、响应
切断网络连接
执行特定程序
E-mail、短信、声音报警
写入实时安全日志记录
与其他安全产品交互
Firewall
SNMP Trap

4、请描述VPN主要应用场景

Access VPN－－远程接入，针对“空中飞人”

Intranet VPN－－企业内域网，针对“走向世界”

Extranet VPN－－企业外域网，针对“合作伙伴”

5、请描述防火墙的主要作用及网络位置

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。
6、请描述深层防护体系的主要思路

网络安全扫描步骤和分类

　　一次完整的网络安全扫描分为3个阶段：

　　（1）第1阶段：发现目标主机或网络。

　　（2）第2阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。

　　（3）第3阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。

　　网络安全扫描技术包括有PING扫射（Ping sweeP）、操作系统探测（Operating system identification）、如何探测访问控制规则（firewalking）、端口扫描（Port scan）以及漏洞扫描（vulnerability scan）等。这些技术在网络安全扫描的3个阶段中各有体现。

8、请描述公钥加密在邮件加密及数字签名的过程

9、请描述SSL加密的工作原理

10、请描述如何保护个人电脑的主机安全