網絡安全相關考試習題

1、網絡安全單項選擇題1、如果使用大量的連接請求攻擊計算機，使得所有可用的系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求，這種手段屬于（）攻擊。A.拒絕服務B.口令入侵C.網絡監(jiān)控D.IP欺騙參考答案：A參考解析： 拒絕服務攻擊不斷對網絡服務系統(tǒng)進行干擾，改變其正常的工作流程，執(zhí)行無關的程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用?？诹钊肭质侵甘褂媚承┖戏ㄓ脩舻馁~號和口令登錄到主機，然后再實施攻擊活動。網絡監(jiān)控是主機的一種工作模式，在這種模式下，主機可以接收本網段在同一物理通道上傳輸的所有信息，如果兩臺通信的主機沒有對信息加密，只要使用某些網絡監(jiān)聽工具就可以很容易地截取包括口令和賬戶在

2、內的信息資料。IP欺騙是黑客選定目標主機，找到一個被目標主機信任的主機，然后使得被信任的主機失去工作能力，同時采樣目標主機發(fā)出的TCP序列號，猜出它的數據序列號。然后偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應用連接。 單項選擇題2、下列選項中，防范網絡監(jiān)聽最有效的方法是（）。A.安裝防火墻B.采用無線網絡傳輸C.數據加密D.漏洞掃描參考答案：C參考解析： 當信息以明文形式在網絡上傳輸時，監(jiān)聽并不是一件難事，只要將所使用的網絡端口設置成（鏡像）監(jiān)聽模式，便可以源源不斷地截獲網上傳輸的信息。但是，網絡監(jiān)聽是很難被發(fā)現(xiàn)的，因為運行網絡監(jiān)聽的主機只是被動地接收在局域網上傳輸的信息，而不主

3、動與其他主機交換信息，也沒有修改在網上傳輸的數據包。防范網絡監(jiān)聽目前有這幾種常用的措施：從邏輯或物理上對網絡分段，以交換式集線器代替共享式集線器，使用加密技術劃分虛擬局域網。 單項選擇題3、MD5是一種（）算法。A.共享密鑰B.公開密鑰C.報文摘要D.訪問控制參考答案：C參考解析：MD5是使用最廣的報文摘要算法。其基本思想是用足夠復雜的方法把報文比特充分弄亂，使得每一個輸出比特都受到每一個輸入比特的影響。單項選擇題4、所謂網絡安全漏洞是指（）。A.用戶的錯誤操作引起的系統(tǒng)故障B.系統(tǒng)軟件或應用軟件在邏輯、設計上的缺陷C.網絡硬件性能下降產生的缺陷D.網絡協(xié)議運行中出現(xiàn)的錯誤參考答案：B參考解析

4、： 漏洞（vulnerability）代表計算機的脆弱性。它是計算機系統(tǒng)在硬件、軟件及協(xié)議的具體實現(xiàn)上存在的缺陷。漏洞一旦被發(fā)現(xiàn)，就可以被攻擊者用以在未授權的情況下訪問或破壞系統(tǒng)。網絡安全漏洞的產生主要是因為系統(tǒng)和軟件的設計存在缺陷，通信協(xié)議不完備。如TCP/CP協(xié)議本身就有很多漏洞。 單項選擇題5、下列關于網絡攻擊的說法中，錯誤的是（）。A.釣魚網站通過竊取用戶的賬號、密碼來進行網絡攻擊B.向多個郵箱群發(fā)同一封電子郵件是一種網絡攻擊行為C.采用DoS攻擊使計算機或網絡無法提供正常的服務D.利用Sniffer可以發(fā)起網絡監(jiān)聽攻擊參考答案：B參考解析： 電子郵件攻擊表現(xiàn)為向目標信箱發(fā)送電子郵件炸

5、彈，產生龐大的郵件垃圾，甚至把郵箱擠爆。向多個郵箱群發(fā)同一封電子郵件一般不是攻擊行為。 單項選擇題6、下面加密算法中屬于公鑰加密算法的是（）。A.DESB.IDEAC.RSAD.MD5參考答案：C參考解析： 公鑰加密算法使用的加密密鑰和解密密鑰相同，RSA是一種常用的公鑰加密算法。DES、IDEA是常用的對稱密鑰算法，使用的加密密鑰和解密密鑰相同。MD5是常用的報文摘要算法。 單項選擇題7、以下關于報文摘要的敘述中，正確的是（）。A.報文摘要對報文采用RSA進行加密B.報文摘要是長度可變的信息串C.報文到報文摘要是多對一的映射關系D.報文摘要可以被還原得到原來的信息參考答案：C參考解析： 報文

6、摘要是多對一（many-to-one）的散列函數（hashfunction）的例子。要做到不可偽造，報文摘要算法必須滿足以下兩個條件。任給一個報文摘要值x，若想找到一個報文y使得H（y）=x，則在計算上是不可行的。若想找到任意兩個報文x和y，使得H（x）=H（y），則在計算上是不可行的。上述的兩個條件表明：若（m，H（m）是發(fā)送者產生的報文和報文摘要對，則攻擊者不可能偽造出另一個報文y，使得y與x具有同樣的報文摘要。發(fā)送者可以對H（m）進行數字簽名，使報文成為可檢驗的和不可抵賴的。故選C。報文經過散列函數運算可以看成是沒有密鑰的加密運算。在接收端不需要（也無法）將報文摘要解密還原為明文報文。故

7、選項A、D不正確。報文摘要方案是計算密碼檢查和，即固定長度的認證碼，附加在消息后面發(fā)送，根據認證碼檢查報文是否被篡改。故B選項不正確。 單項選擇題8、能防范重放攻擊的技術是（）。A.加密B.數字簽名C.數字證書D.時間戳參考答案：D參考解析： 所謂重放攻擊就是攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程。為了抵御重放攻擊，現(xiàn)在的身份認證一般采用時間戳和挑戰(zhàn)應答方式。故選D。 單項選擇題9、Windows2003中，可采用（）進行身份認證。A.KerberosB.IKEC.DHCPD.RSA參考答案：A參考解析： Kerberos是一種網絡認證協(xié)議，其設計目標是

8、通過密鑰系統(tǒng)為客戶機/服務器應用程序提供強大的認證服務。RSA為公開密鑰密碼體制，這種算法為公用網絡上信息的加密和鑒別提供了一套基本的方法。動態(tài)主機配置協(xié)議DHCP，它允許一臺計算機加入新的網絡和獲取IP地址而不用手工參與。IKE（InternetKeyExchange）在進行IPSec處理過程中對身份進行鑒別，同時進行安全策略的協(xié)商和處理會話密鑰的交換工作。故答案為A。 單項選擇題10、包過濾防火墻對數據包的過濾依據不包括（）。A.源IP地址B.源端口號C.MAC地址D.目的IP地址參考答案：C參考解析： 包過濾防火墻也稱為網絡防火墻，一般是基于源地址、目的地址、應用、協(xié)議以及每個IP包的端

9、口來做出通過與否的判斷。故選C。 單項選擇題11、下面關于加密的說法中，錯誤的是（）。A.數據加密的目的是保護數據的機密性B.加密過程是利用密鑰和加密算法將明文轉換成密文的過程C.選擇密鑰和加密算法的原則是保證密文不可能被破解D.加密技術通常分為非對稱加密技術和對稱密鑰加密技術參考答案：C參考解析：除了一次一密外，所有的加密算法都不是無條件安全的，攻擊者都可能將密文解密，因此加密算法的使用者應盡量滿足：破譯密碼的代價超出密文信息的價值；破譯密碼時間超出密文信息的有效生命期。如果滿足了這兩個標準，則加密體制在計算上是安全的。單項選擇題12、下面關于防火墻功能的說法中，不正確的是（）。A.防火墻能

10、有效防范病毒的入侵B.防火墻能控制對特殊站點的訪問C.防火墻能對進出的數據包進行過濾D.防火墻能對部分網絡攻擊行為進行檢測和報警參考答案：A參考解析： 防火墻的作用是監(jiān)控進出網絡的信息，僅讓安全的、符合規(guī)則的信息進入內部網，為用戶提供一個安全的網絡環(huán)境。通常防火墻具有以下一些功能。對進出的數據包進行過濾，濾掉不安全的服務和非法用戶。監(jiān)視Internet安全，對網絡攻擊行為進行檢測和報警。記錄通過防火墻的信息內容和活動?？刂茖μ厥庹军c的訪問，封堵某些禁止的訪問行為。但是，防火墻不能防范不經過防火墻的攻擊，不能防止感染了病毒的軟件或文件傳輸，需要防病毒系統(tǒng)來有效地防范病毒的入侵。 單項選擇題13、

11、下面關于漏洞掃描系統(tǒng)的說法中，錯誤的是（）。A.漏洞掃描系統(tǒng)是種自動檢測目標主機安全弱點的程序B.黑客利用漏洞掃描系統(tǒng)可以發(fā)現(xiàn)目標主機的安全漏洞C.漏洞掃描系統(tǒng)可以用于發(fā)現(xiàn)網絡入侵者D.漏洞掃描系統(tǒng)的實現(xiàn)依賴于系統(tǒng)漏洞庫的完善參考答案：C參考解析：漏洞掃描系統(tǒng)是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描系統(tǒng)，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的Web服務器的各種TCP端口分配、提供的服務、Web服務軟件版本和這些服務及軟件呈現(xiàn)在互聯(lián)網上的安全漏洞，并及時發(fā)現(xiàn)并修補，以免網絡攻擊者掃描利用系統(tǒng)漏洞進行攻擊或竊取信息?？梢?，漏洞掃描并不能發(fā)現(xiàn)網絡入侵者。單項選擇題14、下面安全協(xié)議中，用于

12、安全電子郵件的是（）。A.PGPB.SETC.SSLD.TLS參考答案：A參考解析： 相當好的私密性（PrettyGoodPrivacy，PGP）是一種使用廣泛的安全電子郵件加密方案，它已成為事實上的標準。安全的電子交易（SecureElectronicTransaction，SET）是一個協(xié)議和報文格式的集合，它融合了Netscape的SSL、Microsoft的STT、Terisa的S-HTTP，以及PKI技術，通過數字證書和數字簽名機制，使得客戶可以與供應商進行安全的電子交易。SSL（SecureSocketLayer）是安全套接層，Web站點與瀏覽器之間的安全交互需要借助于SSL完成。

13、TLS（TransportLayerSecure，傳輸層安全）是對SSL的改進。 單項選擇題15、計算機感染特洛伊木馬后的典型現(xiàn)象是（）。A.程序異常退出B.有未知程序試圖建立網絡連接C.郵箱被垃圾郵件填滿D.Windows系統(tǒng)黑屏參考答案：B參考解析： 計算機感染特洛伊木馬后，會受到特洛伊木馬程序的控制，有以下幾種典型現(xiàn)象。有未知程序試圖建立網絡連接。系統(tǒng)中有可疑的進程在運行等現(xiàn)象。系統(tǒng)運行速度越來越慢，且CPU資源占用率高。任務表中有可疑的文件在運行。系統(tǒng)長時間讀/寫硬盤或搜索軟盤。系統(tǒng)經常死機或重啟等。 單項選擇題16、ARP攻擊造成網絡無法跨網段通信的原因是（1）?？梢允褂茫?）命令清

14、除攻擊影響的ARP緩存?？瞻祝?）處應選擇（）A.發(fā)送大量ARP報文造成網絡擁塞B.偽造網關ARP報文使得數據包無法發(fā)送到網關C.ARP攻擊破壞了網絡的物理聯(lián)通性D.ARP攻擊破壞了網關設備參考答案：B參考解析： 入侵者接收到主機發(fā)送的ARPRequest廣播包，能夠偷到其他節(jié)點的（IP，MAC）地址，然后便把自己主機的IP地址改為合法的目的主機的IP地址，偽裝成目的主機，然后發(fā)送一個ping給源主機，要求更新主機的ARP轉換表，主機便在ARP表中加入新的IP-MAC對應關系，合法主機就失效了，入侵主機的MAC地址變成了合法的MAC地址。題目中ARP攻擊造成網絡無法跨網段通信的原因是入侵者把自

15、己的IP地址改為了網關的IP地址，并使得主機更新了IP-MAC地址的對應關系，主機發(fā)送的報文則被入侵者截獲，無法到達網關。ARP緩存表是可以查看的，也可以添加和修改。在命令提示符下，輸入arp-a就可以查看ARP緩存表的內容了。用arp-d可以刪除arp緩存表里的所有內容。用arp-s可以手動在ARP表中制定IP地址與MAC地址的對應關系。 單項選擇題17、ARP攻擊造成網絡無法跨網段通信的原因是（1）?？梢允褂茫?）命令清除攻擊影響的ARP緩存?？瞻祝?）處應選擇（）A.arp-sB.arp-dC.arp-allD.arp-a參考答案：B參考解析： 入侵者接收到主機發(fā)送的ARPRequest

16、廣播包，能夠偷到其他節(jié)點的（IP，MAC）地址，然后便把自己主機的IP地址改為合法的目的主機的IP地址，偽裝成目的主機，然后發(fā)送一個ping給源主機，要求更新主機的ARP轉換表，主機便在ARP表中加入新的IP-MAC對應關系，合法主機就失效了，入侵主機的MAC地址變成了合法的MAC地址。題目中ARP攻擊造成網絡無法跨網段通信的原因是入侵者把自己的IP地址改為了網關的IP地址，并使得主機更新了IP-MAC地址的對應關系，主機發(fā)送的報文則被入侵者截獲，無法到達網關。ARP緩存表是可以查看的，也可以添加和修改。在命令提示符下，輸入arp-a就可以查看ARP緩存表的內容了。用arp-d可以刪除arp緩

17、存表里的所有內容。用arp-s可以手動在ARP表中制定IP地址與MAC地址的對應關系。 單項選擇題18、如果殺毒軟件報告一系列的Word文檔被病毒感染，則可以推斷病毒類型是（1），如果用磁盤檢測工具（CHKDSK、SCANDISK等）檢測磁盤發(fā)現(xiàn)大量文件鏈接地址錯誤，表明磁盤可能被（2）病毒感染?？瞻祝?）處應選擇（）A.文件型B.引導型C.目錄型D.宏病毒參考答案：C參考解析： 宏病毒感染的對象是使用某些程序創(chuàng)建的文本文檔、數據庫、電子表格等文件，這些類型的文件都能夠在文件內部嵌入宏。目錄型計算機病毒能夠修改硬盤上存儲的所有文件地址，并感染這些文件。如果用磁盤檢測工具檢測磁盤發(fā)現(xiàn)大量文件鏈接

18、地址錯誤，這些錯誤都是由目錄（鏈接）型病毒造成的。文件型病毒感染可執(zhí)行文件。引導型病毒不會感染文件，主要是影響軟盤或硬盤的引導扇區(qū)。 單項選擇題19、下面安全算法中，屬于加密算法的是（1），屬于報文摘要算法的是（2）?？瞻祝?）處應選擇（）A.MD5和3DESB.MD5和SHA1C.DES和SHA1D.DES和3DES參考答案：D參考解析： DES（數據加密算法）使用一個56位的密鑰以及附加的8位奇偶校驗位，產生最大64位的分組大小，屬于加密算法。3DES是DES加密算法的一種模式，它使用3條56位的密鑰對數據進行三次加密。故（1）選D。安全哈希算法（SHA1）主要適用于數字簽名標準里面定義的

19、數字簽名算法。當接收到消息時，這個消息摘要可以用來驗證數據的完整性。在傳輸過程中，數據很可能會發(fā)生變化，那么這時候就會產生不同的消息摘要，屬于報文摘要算法。MD5的典型應用是對一段信息產生信息摘要，以防止被篡改，屬于報文摘要算法。故（2）選B。 單項選擇題20、下面安全算法中，屬于加密算法的是（1），屬于報文摘要算法的是（2）?？瞻祝?）處應選擇（）A.MD5和3DESB.MD5和SHA1C.DES和SHA1D.DES和3DES參考答案：B參考解析： DES（數據加密算法）使用一個56位的密鑰以及附加的8位奇偶校驗位，產生最大64位的分組大小，屬于加密算法。3DES是DES加密算法的一種模式，

20、它使用3條56位的密鑰對數據進行三次加密。故（1）選D。安全哈希算法（SHA1）主要適用于數字簽名標準里面定義的數字簽名算法。當接收到消息時，這個消息摘要可以用來驗證數據的完整性。在傳輸過程中，數據很可能會發(fā)生變化，那么這時候就會產生不同的消息摘要，屬于報文摘要算法。MD5的典型應用是對一段信息產生信息摘要，以防止被篡改，屬于報文摘要算法。故（2）選B。 填空題21 【說明】 某公司為保護內網安全，采用防火墻接入Internet，剛絡結構如圖7.13所示。 為了支持NAT，防火墻采用混雜模式（E2與E1之間，E2與E3之間采用路由模式，E3與E1之間采用透明網橋模式），請為防火墻的接口E1、E

21、2、E3配置合適的IP地址和子網掩碼，如表7.4所示。 （2）（4）備選答案： A. B. C. D. E. F. G. H.55 I.48參考答案： （2）D（3）A（4）I 參考解析： 根據題目描述可知，E1、E3工作在同一網段，該網段用到6個IP地址，因此主機位只需要3位即可滿足，可知網絡地址為/29，子網掩碼為48。該網段中E2工作在網段/28，已經分配給主機，E2的IP地址只能選。更多內容請訪問睦霖題庫微信公眾號填空題22 【說明】 某公司為保護內網安全，采用防火墻接入Internet，剛絡結構如圖7.13所示。 完成防火墻的別名表（見表7.5）和E2端口的過濾規(guī)劃表（見表7.6），

22、使內網PC能正常訪問WWW服務和Telnet服務。 參考答案： （5）（6）80（7）內網網段（8）Telnet服務器（9）Telnet（10）E2E3（11）允許參考解析： 參考表7.5可知，（5）處應填入Telnet服務器的IP地址，為；（6）處應填入WWW服務的端口號，為80。參考表7.6，內網PC訪問Telnet服務器與訪問WWW服務器的規(guī)則類似，源地址為內網地址，目的IP地址為Telnet服務器地址，目的端口為Telnet，方向為E2E3，策略為允許。填空題23 【說明】 某公司的網絡結構如圖7.14所示，所有PC共享公網IP地址接入Internet，另外有兩臺服務器提供Web服務和

23、FTP服務，服務器的內網和公網地址如表7.7所示。 完成表7.9所示的防火墻上的NAT轉換規(guī)則，以滿足防火墻的部署要求。 參考答案： （4）（5）（6） 參考解析：因為所有PC共享公網IP地址接入Internet，所以NAT必須將內網地址0轉換成共享的公網IP地址，所以（4）的答案應為。 由表7.8可知，和分別是Web服務器和FTP服務器的公網IP地址。當外界訪問服務器時，NAT要將服務器的公網IP地址轉換為內網IP地址，分別對應于和。填空題24 【說明】 某公司的網絡結構如圖7.14所示，所有PC共享公網IP地址接入Internet，另外有兩臺服務器提供Web服務和FTP服務，服務器的內網和

24、公網地址如表7.7所示。 表7.10所示為防火墻中定義的過濾規(guī)則，過濾規(guī)則的優(yōu)先級由規(guī)則編號決定，規(guī)則編號越小優(yōu)先級越高。請定義規(guī)則4，使得來自Internet的請求能訪問FTP服務并盡可能少地帶來入侵風險。 參考答案： （7）e12（8）ftp（9）允許 參考解析： 要使得來自Internet的請求能訪問FTP服務，規(guī)則4應允許防火墻讓從接口e1到接口e2的FTP數據包通過，參考規(guī)則3，可知（7）、（8）、（9）處應分別填入e1e2、ftp、允許。填空題25 【說明】 某公司通過服務器S1中的路由和遠程訪問服務接入Internet，其拓撲結構如圖7.15所示。其中，服務器S1的操作系統(tǒng)為Wi

25、ndows Server 2003，公司從ISP處租用的公網IP地址是8/29。 【問題1】 對服務器Sl進行配置時，打開NAT/基本防火墻配置對話框，在圖7.16(a)、(b)、(c)中，配置Lan接口的是(1)，配置Wan接口的是(2)。 參考答案： （1）如圖7.16A.所示（2）如圖7.16B.所示 參考解析： 如果接口連接到Internet，則在NAT/基本防火墻選項卡中，選中公用接口連接到Internet單選按鈕，并選中在此接口上啟用NAT復選框。如果希望用動態(tài)數據包篩選器保護公用接口，則選中在此接口上啟用基本防火墻復選框。故配置Lan接口如圖7.16（a）所示，配置Wan接口如圖

26、7.16（b）所示。填空題26 【說明】 某公司通過服務器S1中的路由和遠程訪問服務接入Internet，其拓撲結構如圖7.15所示。其中，服務器S1的操作系統(tǒng)為Windows Server 2003，公司從ISP處租用的公網IP地址是8/29。 為保證Web服務器能正常對外提供服務，還需要在圖7.19所示的服務和端口選項卡中選中(7)復選框。如果要讓來自Internet的ping消息通過S1，在圖7.20中至少要選中(8)復選框。 參考答案： （7）安全Web服務器（HTTPS）（8）傳入的回應請求 參考解析： Web服務器也稱為WWW（WorldWideWeb）服務器，主要功能是提供網上信

27、息瀏覽服務，Web服務器可以解析（handles）HTTP協(xié)議。為保證Web服務器能正常地對外提供服務，必須有Web服務器。如果沒有啟用Internet控制消息協(xié)議（ICMP）允許傳入的回應請求，那么傳入請求將失敗，并生成傳入失敗的日志項。填空題27 【說明】某企業(yè)的網絡拓撲結構如圖7.21所示。 防火墻使用安全區(qū)域的概念來表示與其相連接的網絡。圖7.21中的inside、outside和dmz區(qū)域分別對應于Trust區(qū)域、Untrust區(qū)域和DMZ，不同區(qū)域代表了不同的可信度，默認的可信度由高到低的順序為（1）。A.inside、outside、dmzB.inside、dmz、outside

28、C.outside、dmz、insideD.outside、inside、dmz參考答案： （1）B 參考解析： inside區(qū)域（內網）是指位于防火墻之內的可信網絡，是防火墻要保護的目標。DMZ區(qū)域（非軍事化區(qū)）是一個隔離的網絡，可以位于防火墻之外，也可位丁防火墑之內，安全敏感度和保護強度較低，一般用開放式方法提供公共網絡服務的設備。對于外部用戶，DMZ區(qū)域通常是可以訪問的，這樣就允許外部用戶訪問企業(yè)的公開信息，但不允許他們訪問企業(yè)的內部網絡。而outside區(qū)域（外網）是指處于防火墻之外的公共開放網絡，是不被信任的區(qū)域。填空題28 【說明】某企業(yè)的網絡拓撲結構如圖7.21所示。 為了過濾數

29、據包，需要配置訪問控制列表（ACL），規(guī)定什么樣的數據包可以通過，什么樣的數據包不能通過。ACL規(guī)則由多條permit或deny語句組成，語句的匹配順序是從上到下。 語句access-listldenyanyany的含義是（4），該語句一般位于ACL規(guī)則的最后。 語句access-list100permittcpanyhost9eqftp的含義是（5）。參考答案： （4）過濾所有數據包（或禁止所有IP數據包通過防火墻）（5）允許所有主機訪問9的FTP服務 參考解析： 使用access-list命令配置訪問控制列表ACL的格式為：其中，permit表示允許數據包通過；而deny則表示拒絕數據包通

30、過。wildcard-mask為通配符掩碼，是子網掩碼的反碼；operator表示操作，包括：lt（小于）、gt（大于）、eq（等于）、neq（不等于）；operand表示操作數，指的是端口值。語句access-listldenyanyany將禁止所有IP數據包通過防火墻。語句access-list100permittcpanyhost9eqftp會允許所有主機訪問9的FTP服務。填空題29 【說明】某企業(yè)的網絡拓撲結構如圖7.21所示。 請按照圖7.21所示，完成防火墻各個網絡接口的初始化配置。 參考答案： （6）（7）8（8）DMZ 參考解析： 防火墻使用ipaddress命令配置網卡的I

31、P地址。其命令格式為：網口eth0連接內網、網口eth1連接dmz區(qū)域、網口eth2連接外網。防火墻在內網的IP地址是，在dmz區(qū)域的IP地址是，在外網的IP地址是8。因此，配置相應網口的命令如下。配置網口eth0的命令為：ipaddressinside。配置網口eth1的命令為：ipaddressdmz。配置網口eth2的命令為：ipaddressoutside852。填空題30 【說明】某企業(yè)的網絡拓撲結構如圖7.21所示。 如圖7.21所示，要求在防火墻上通過ACL配置，允許在inside區(qū)域除工作站PC1外的所有主機都能訪問Internet，請補充完成ACL規(guī)則200。 參考答案： （

32、9）deny（10）permit 參考解析： 要允許在inside區(qū)域除工作站PC1外的所有主機都能訪問Internet，則首先應配置拒絕工作站PC1訪問Internet的控制語句，為：access-list200denyhost0any。然后再配置允許內網其他所有主機訪問Internet的控制語句，內網的網絡地址為，子網掩碼為，通配符掩碼為55，因此配置語句為access-list200permit55any。填空題31 【說明】某企業(yè)的網絡拓撲結構如圖7.21所示。 如圖7.21所示，要求在防火墻上配置ACL，允許所有Internet主機訪問DMZ中的Web服務器，請補充完成ACL規(guī)則30

33、0。 參考答案： （11）any（12）WWW（或80） 參考解析：DMZ中的Web服務器的IP地址為0，端口為80，允許所有Internet主機訪問DMZ中的Web服務器，則配置語句為access-list300permittcpanyhost0eq80。填空題32 【說明】某企業(yè)的網絡拓撲結構如圖7.21所示。 包過濾防火墻利用數據包的源地址、目的地址、(2)、(3)和所承載的上層協(xié)議，把防火墻的數據包與設定的規(guī)則進行比較，根據比較的結果對數據包進行轉發(fā)或者丟棄。參考答案： （2）源端口號（3）目的端口號 參考解析： 包過濾防火墻在網絡的入口對通過的數據包進行檢查，每個IP包的字段都會被檢

34、查，包括源地址、目的地址、源端口號、目的端口號、協(xié)議等，然后將這些信息與設立的過濾規(guī)則相比較，與規(guī)則不匹配的包就會被丟棄，否則按規(guī)則來處理。填空題33 【說明】 某公司通過服務器S1中的路由和遠程訪問服務接入Internet，其拓撲結構如圖7.15所示。其中，服務器S1的操作系統(tǒng)為Windows Server 2003，公司從ISP處租用的公網IP地址是8/29。 為保證內網PC可以訪問Internet，在圖7.17所示的Wan接口的地址池中，起始地址為（3），結束地址為（4）。 如果內網中Web服務器對外提供服務的IP地址是2，則需要在圖7.18中保留此公用IP地址文本框中填入（5），為專用

35、網絡上的計算機文本框中填入（6）。參考答案： （3）9（4）3（5）2（6）00 參考解析： 由于該公司的公網地址段是8/29，并且路由器eth0的地址為4。故Wan接口的地址范圍是93，故（3）題答案為9，（4）題答案為3。由于內網中Web服務器對外提供的IP地址是2，故（5）答案為2。（6）題應填入Web服務器的地址，即00。填空題34 【說明】 某公司的網絡結構如圖7.14所示，所有PC共享公網IP地址接入Internet，另外有兩臺服務器提供Web服務和FTP服務，服務器的內網和公網地址如表7.7所示。 【問題1】 參照圖7.14中各個設備的IP地址，完成表7.8中防火墻各個端口的IP

36、地址和掩碼設置。 (1)(3)備選答案： A. B. C. D. E. F.48參考答案： （1）A（2）F（3）B 參考解析： 防火墻的3個網絡接口分別處在3個網段。接口e0處在網段/24，所以IP地址應為；接口e1處在網段/29，所以IP子網掩碼應為48；接口2處在網段/24，所以IP地址應為。填空題35 【說明】 某公司為保護內網安全，采用防火墻接入Internet，剛絡結構如圖7.13所示。 防火墻支持3種工作模式：透明網橋模式、路由模式和混雜模式。在（1）模式下，防火墻各個網口設備的IP地址都位于不同的網段。參考答案： （1）路由 參考解析： 防火墻支持三種模式：路由模式、透明網橋模

37、式、混雜模式。路由模式：當防火墻位于內部網絡和外部網絡之間時，需要將防火墻與內部網絡、外部網絡以及DMZ三個區(qū)域相連的接口分別配置成不同網段的IP地址，重新規(guī)劃原有的網絡拓撲，此時相當于一臺路由器。透明網橋模式：只需在網絡中像放置網橋一樣插入防火墻設備即可，無須修改任何已有的配置。混雜模式：防火墻既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口無IP地址）?；旌夏Ｊ街饕糜谕该髂Ｊ阶麟p機備份的情況，此時啟動vrrp功能的接口需要配置IP地址，其他接口不配置IP地址。單項選擇題36、如果殺毒軟件報告一系列的Word文檔被病毒感染，則可以推斷病毒類型是（1），如果用磁盤檢測工具（CHKDSK、SCANDISK等）檢測磁盤發(fā)現(xiàn)大量文件鏈接地址錯誤，表明磁盤可能被（2）病毒感染?？瞻祝?）處應選擇（）A.文件型B.引導型C.目錄型D.宏病毒參考答案：D參考解析：宏病毒感染的對象是使用某些程序創(chuàng)建的文本