网络安全六层模型

🍅 点击文末小卡片 ，免费获取网络安全全套资料，资料在手，涨薪更快

一、单选题（一）
1、在以下人为的恶意攻击行为中，属于主动攻击的是（ ）A
A．数据篡改及破坏 B．数据窃听 C．数据流分析 D．非法访问
2、数据完整性指的是（ ）C
A．保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密
B．提供连接实体身份的鉴别
C．防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息 完全一致
D．确保数据数据是由合法实体发出的
3、CA指的是：（ ）A
A．证书授权 B．加密认证 C．虚拟专用网 D．安全套接层
4、在安全审计的风险评估阶段，通常是按什么顺序来进行的：（ ）A
A．侦查阶段、渗透阶段、控制阶段 B．渗透阶段、侦查阶段、控制阶段
C．控制阶段、侦查阶段、渗透阶段 D．侦查阶段、控制阶段、渗透阶段
5、口令破解的最好方法是（ ）B
A．暴力破解 B．组合破解 C．字典攻击 D．生日攻击
6、TCP/IP协议体系结构中，IP层对应OSI模型的哪一层？( )A
A．网络层 B．会话层 C．数据链路层 D．传输层
7、以下哪一种方式是入侵检测系统所通常采用的：（ ）A
A．基于网络的入侵检测 B．基于IP的入侵检测
C．基于服务的入侵检测 D．基于域名的入侵检测
8、以下哪一项属于基于主机的入侵检测方式的优势：（ ）C
A．监视整个网段的通信 B．不要求在大量的主机上安装和管理软件
C．适应交换和加密 D．具有更好的实时性
9、以下关于DOS攻击的描述，哪句话是正确的？( ) A
A．导致目标系统无法处理正常用户的请求
B．不需要侵入受攻击的系统
C．以窃取目标系统上的机密信息为目的
D．如果目标系统没有漏洞，远程攻击就不可能成功
10、以下哪一项不是入侵检测系统利用的信息：（ ）C
A．系统和网络日志文件 B．目录和文件中的不期望的改变
C．数据包头信息 D．程序执行中的不期望行为
11、入侵检测系统在进行信号分析时，一般通过三种常用的技术手段，以下哪一种不属于通常的三种技术手段：（ ）D
A．模式匹配 B．统计分析 C．完整性分析 D．密文分析
12、以下哪一项不属于入侵检测系统的功能：（ ）D
A．监视网络上的通信数据流 B．捕捉可疑的网络活动
C．提供安全审计报告 D．过滤非法的数据包
13、入侵检测系统的第一步是：（ ）B
A．信号分析 B．信息收集 C．数据包过滤 D．数据包检查
14、以下关于防火墙的设计原则说法正确的是：（ ）A
A．保持设计的简单性
B．不单单要提供防火墙的功能，还要尽量使用较大的组件
C．保留尽可能多的服务和守护进程，从而能提供更多的网络服务
D．一套防火墙就可以保护全部的网络
15、SSL指的是：（ ）B
A．加密认证协议 B．安全套接层协议
C．授权认证协议 D．安全通道协议
16、IPSec属于__________上的安全机制。 （ ）D
A．传输层 B．应用层 C．数据链路层 D．网络层
17防止用户被冒名所欺骗的方法是： （ ）A
A．对信息源发送方进行身份验证 B．进行数据加密
C．对访问网络的流量进行过滤和保护 D．采用防火墙
18、屏蔽路由器型防火墙采用的技术是基于：（ ）B
A．数据包过滤技术 B．应用网关技术
C．代理服务技术 D．三种技术的结合
19、网络后门的功能是 （ ）A
A．保持对目标主机长期控制 B．防止管理员密码丢失
C．为定期维护主机 D．为了防止主机被非法入侵
20、现代病毒木马融合了（ ）新技术D
A．进程注入 B．注册表隐藏 C．漏洞扫描 D．以上都是

一、单选题（二）
1、要解决信任问题，使用（ ）A
A．数字签名 B．自签名证书 C．数字证书 D．公钥
（ ）属于Web中使用的安全协议。C
A. PEM、SSL B. S-HTTP、S/MIME C. SSL、S-HTTP D. S/MIME、SSL
2、会话侦听和劫持技术”是属于（ ）的技术。B
A. 密码分析还原 B. 协议漏洞渗透
C. 应用漏洞分析与渗透 D. DOS攻击
3、攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为（ ）。D
A. 中间人攻击 B. 口令猜测器和字典攻击
C. 强力攻击 D. 回放攻击
4、下列选项中能够用在网络层的协议是（ ）。D
A. SSL B. PGP C. PPTP D. IPSec
5、“DES是一种数据分组的加密算法, DES它将数据分成长度为（ ）位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？” （ ）D
A．56位 B．64位 C．112位 D．128位
6、黑客利用IP地址进行攻击的方法有：（ ）A
A．IP欺骗 B．解密 C．窃取口令 D．发送病毒
7、属于第二层的VPN隧道协议有（ ）。B
A. IPSec B. PPTP C.GRE D. 以上皆不是
8、不属于隧道协议的是（ ）。
A. PPTP B. L2TP C. TCP/IP D. IPSec
9、攻击者用传输数据来冲击网络接口，使服务器过于繁忙以至于不能应答请求的攻击方式是（ ）。A
A. 拒绝服务攻击 B. 地址欺骗攻击
C. 会话劫持 D. 信号包探测程序攻击
10、用于实现身份鉴别的安全机制是（ ）。A
A. 加密机制和数字签名机制 B. 加密机制和访问控制机制
C. 数字签名机制和路由控制机制 D. 访问控制机制和路由控制机制
11、身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是（ ）。B
A. 身份鉴别是授权控制的基础
B. 身份鉴别一般不用提供双向的认证
C. 目前一般采用基于对称密钥加密或公开密钥加密的方法
D. 数字签名机制是实现身份鉴别的重要机制
12、对动态网络地址交换（NAT），不正确的说法是（ ）。B
A. 将很多内部地址映射到单个真实地址
B. 外部网络地址和内部地址一对一的映射
C. 最多可有64000个同时的动态NAT连接
D. 每个连接使用一个端口
13、以下算法中属于非对称算法的是（ ）B
A．DES B．RSA算法 C．IDEA D．三重DES
14、在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（ ）B
A．非对称算法的公钥 B．对称算法的密钥
C．非对称算法的私钥 D．CA中心的公钥
15、当用户收到了一封可疑的电子邮件，要求用户提供银行账户及密码，这是属于何种攻击手段？（ ）C
A.缓存溢出攻击 B. 暗门攻击 C. 钓鱼攻击 D.DDOS攻击
16、以下不属于代理服务技术优点的是（ ）D
A．可以实现身份认证 B．.内部地址的屏蔽和转换功能
C．可以实现访问控制 D．可以防范数据驱动侵袭
17、包过滤技术与代理服务技术相比较（ ）B
A．包过滤技术安全性较弱、但会对网络性能产生明显影响
B．包过滤技术对应用和用户是绝对透明的
C．代理服务技术安全性较高、但不会对网络性能产生明显影响
D．代理服务技术安全性高，对应用和用户透明度也很高
18、为了防御网络监听，最常用的方法是：（ ）。D
A．采用物理传输（非网络） B．使用专线传输
C．无线网 D．信息加密
19、以下关于对称密钥加密说法正确的是：（ ）。C
A．加密方和解密方可以使用不同的算法
B．加密密钥和解密密钥可以是不同的
C．加密密钥和解密密钥必须是相同的
D．密钥的管理非常简单
20、以下哪一项不属于计算机病毒的防治策略：（ ）D
A．防毒能力 B．查毒能力 C．解毒能力 D．禁毒能力

一、单选题（三）
1、在OSI七个层次的基础上，将安全体系划分为四个级别，以下那一个不属于四个级别：（ ）D
A．网络级安全 B．系统级安全 C．应用级安全 D．链路级安全
2、以下关于计算机病毒的特征说法正确的是：（ ）C
A．计算机病毒只具有破坏性，没有其他特征
B．计算机病毒具有破坏性，不具有传染性
C．破坏性和传染性是计算机病毒的两大主要特征
D．计算机病毒只具有传染性，不具有破坏性
3、以下关于宏病毒说法正确的是：（ ）B
A．宏病毒主要感染可执行文件
B．宏病毒仅向办公自动化程序编制的文档进行传染
C．宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区
D．CIH病毒属于宏病毒
4、网络层安全性的优点是： （ ）A
A．保密性
B．按照同样的加密密钥和访问控制策略来处理数据包
C．提供基于进程对进程的安全服务
D．透明性
5、加密技术不能实现：（ ）D
A．数据信息的完整性 B．基于密码技术的身份认证
C．机密文件加密 D．基于IP头信息的包过滤
6、所谓加密是指将一个信息经过（ ）及加密函数转换，变成无意义的密文，而接受方则将此密文经过解密函数、（ ）还原成明文。A
A．加密钥匙、解密钥匙 B．解密钥匙、解密钥匙
C．加密钥匙、加密钥匙 D．解密钥匙、加密钥匙
7、以下关于对称密钥加密说法正确的是：（ ）C
A．加密方和解密方可以使用不同的算法 B．加密密钥和解密密钥可以是不同的
C．加密密钥和解密密钥必须是相同的 D．密钥的管理非常简单
8、以下关于非对称密钥加密说法正确的是：（ ）B
A．加密方和解密方使用的是不同的算法 B．加密密钥和解密密钥是不同的
C．加密密钥和解密密钥匙相同的 D．加密密钥和解密密钥没有任何关系
9、以下关于混合加密方式说法正确的是：（ ）B
A．采用公开密钥体制进行通信过程中的加解密处理
B．采用公开密钥体制对对称密钥体制的密钥进行加密后的通信
C．采用对称密钥体制对对称密钥体制的密钥进行加密后的通信
D．采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点
10、以下关于数字签名说法正确的是：（ ）D
A．数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息
B．数字签名能够解决数据的加密传输，即安全传输问题
C．数字签名一般采用对称加密机制
D．数字签名能够解决篡改、伪造等安全性问题
11、以下关于CA认证中心说法正确的是：（ ）C
A．CA认证是使用对称密钥机制的认证方法
B．CA认证中心只负责签名，不负责证书的产生
C．CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份
D．CA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心
12、计算机网络按威胁对象大体可分为两种：一是对网络中信息的威胁； 二是：（ ）A
A．对网络中设备的威胁 B．人为破坏
C．病毒威胁 D．对网络人员的威胁
13、加密有对称密钥加密、非对称密钥加密两种，其中对称密钥加密的代表算法是：（ ）B
A．IDE B．DES C．PGP D．PKI
14、加密有对称密钥加密、非对称密钥加密两种，其中非对称密钥加密的代表算法是：（ ）C
A．IDE B．DES C．RSA D．PKI
15、CA认证中心的主要作用是：（ ）B
A．加密数据 B．发放数字证书 C．安全管理 D．解密数据
16、数字证书上除了有签证机关、序列号、加密算法、生效日期等等外，还有：（ ）A
A．公钥 B．私钥 C．用户帐户 D．加密数据
17、Telnet服务自身的主要缺陷是：（ ）C
A．不用用户名和密码 B．服务端口23不能被关闭
C．明文传输用户名和密码 D．支持远程登录
18、关于CA和数字证书的关系，以下说法不正确的是：（ ）A
A．数字证书一般依靠CA中心的对称密钥机制来实现
B．数字证书是保证双方之间的通讯安全的电子信任关系，他由CA签发
C．在电子交易中，数字证书可以用于表明参与方的身份
D．数字证书能以一种不能被假冒的方式证明证书持有人身份
19、以下关于VPN说法正确的是：（ ）B
A．VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路
B．VPN指的是用户通过公用网络建立的临时的、安全的连接
C．VPN不能做到信息认证和身份认证
D．VPN只能提供身份认证、不能提供加密数据的功能
二、多选题
在Windows系统下，管理员账户拥有的权限包括（ ABCD ）。
A.可以对系统配置进行更改 B.可以安装程序并访问操作所有文件
C.可以创建、修改和删除用户账户 D.对系统具有最高的操作权限
关于信息安全风险评估的时间，以下（ ACD ）说法是不正确的？
A.信息系统只在运行维护阶段进行风险评估，从而确定安全措施的有效性，
确保安全目标得以实现
B.信息系统在其生命周期的各阶段都要进行风险评估
C.信息系统只在规划设计阶段进行风险评估，以确定信息系统的安全目标
D.信息系统只在建设验收阶段进行风险评估，以确定系统的安全目标达到与否
攻击者通过端口扫描，可以直接获得（ CD ）。
A.目标主机的口令 B.给目标主机种植木马
C.目标主机使用了什么操作系统 D.目标主机开放了哪些端口服务
信息安全面临哪些威胁？（ ABCD ）
A.信息间谍 B.网络黑客 C.计算机病毒 D.信息系统的脆弱性
以下不是木马程序具有的特征是（ AB ）。
A.繁殖性 B.感染性 C.欺骗性 D.隐蔽性
下列攻击中，能导致网络瘫痪的有（ BC ）。
A.SQL攻击 B.电子邮件攻击 C.拒绝服务攻击 D.XSS攻击
为了避免被诱入钓鱼网站，应该（ ACD ）。
A.不要轻信来自陌生邮件、手机短信或者论坛上的信息
B.使用搜索功能来查找相关网站
C.检查网站的安全协议
D.用好杀毒软件的反钓鱼功能
防范系统攻击的措施包括（ ABCD ）。
A.关闭不常用的端口和服务 B.定期更新系统或打补丁
C.安装防火墙 D.系统登录口令设置不能太简单
为了保护个人电脑隐私，应该（ ABCD ）。
A.删除来历不明文件
B.使用“文件粉碎”功能删除文件
C.废弃硬盘要进行特殊处理
D.给个人电脑设置安全密码，避免让不信任的人使用你的电脑
智能手机感染恶意代码后的应对措施是（ ABCD ）。
A.联系网络服务提供商，通过无线方式在线杀毒
B.把SIM卡换到别的手机上，删除存储在卡上感染恶意代码的短信
C.通过计算机查杀手机上的恶意代码
D.格式化手机，重装手机操作系统。
防范手机病毒的方法有（ ABCD ）。
A.经常为手机查杀病毒 B.注意短信息中可能存在的病毒
C.尽量不用手机从网上下载信息 D.关闭乱码电话
信息安全的重要性体现在哪些方面？（ ABCD ）
A.信息安全关系到国家安全和利益 B.信息安全已成为国家综合国力体现
C.信息安全是社会可持续发展的保障 D.信息安全已上升为国家的核心问题
容灾备份的类型有（ ABCD ）。
A.应用级容灾备份 B.存储介质容灾备份
C.数据级容灾备份 D.业务级容灾备份
网络钓鱼常用的手段是（ ABCD ）。
A.利用虚假的电子商务网站 B.利用社会工程学
C.利用假冒网上银行、网上证券网站 D.利用垃圾邮件
以下哪几种扫描检测技术是被动式的检测技术（ BC ）
A.基于应用的检测技术 B.基于主机的检测技术
C.基于目标的漏洞检测技术 D.基于网络的检测技术
TCP/IP网络的安全体系结构中主要考虑（ ABC ）
A. ip层的安全性 B.传输层的安全性
C.应用层的安全性 D.物理层的安全性
部署安全高效的防病毒系统，主要考虑以下几个方面（ AC ）
A.系统防毒 B.终端用户防毒 C.服务器防毒 D、客户机防毒
入侵检测系统常用的检测方法有（ ABC ）
A、特征检测 B.统计检测 C.专家检测 D、行为检测
数据恢复包括（ AB ）等几方面
A、文件恢复 B.文件修复 C.密码恢复 D、硬件故障
数据库中的故障分别是（ ABCD ）
A、事物内部故障 B.系统故障 C.介质故障 D、计算机病毒
二、交换机路由器配置题
1、交换机配置
图2-1是在网络中划分VLAN的连接示意图。VLAN可以不考虑用户的物理位置，而
根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在支持VLAN的交换机端口上，并属于某个VLAN。

图2-1
【问题1】（3分）
在交换机中配置VLAN时，VLAN l是否需要通过命令创建?为什么?
答案：不需要，VLAN 1由系统自动创建。

【问题2】（6分）
创建一个ID为 20的VLAN，并命名为test，配置命令如下，请给出空白处的配置内容：
Switch #config terminal
Switch（config）# ________________ (1) ！将交换机更名为Switch1
hostname Switch1
Switch1（config）# ________________ (2) ！创建VLAN
vlan 20
Switch1（config-vlan）# ________________ (3) ！对VLAN 20进行命名为 test
name test
Switch1（config-vlan）#exit ！完成并退出到全局模式
【问题3】（4分）
使Switch l的千兆端口允许所有VLAN通过的配置命令如下，请给出空白处的配置内容：
Switch l（config）#interface gigabit0/1 ！进入端口6配置模式
Switch l（config-if）# ________________ (4) ！配置模式端口为trunk模式
switchport mode trunk
Switch l（config-if）# ________________ (5)！设置为该端口允许所有通过
switch(config-if)#`switchport trunk allowed vlan all
【问题4】（3分）
若交换机Switchl和Switch2没有千兆端口，在图2-1中能否实现VLAN Trunk的功能?若能，如何实现?
答案：在交换机Switch1和Switch2中各牺牲一个普通以太端口（fastEthernet）并将其配置成Trunk模式。

【问题5】（4分）
将Switch l的端口fastEthernet0/6划入VLAN 20的配置命令如下，请给出空白处的配置内容：
Switch l（config）#interface fastEthernet0/6 ！进入端口6配置模式
Switch l（config-if）# ________________ (6) ！设置端口为接口模式
switchport mode access
Switch l（config-if）# ________________ (7) ！将该端口划分给VLAN 20
switchport access vlan 20
【问题6】（4分）
以上配置是采用_____________ (8)方式划分VLAN；
基于端口
若网络用户的物理位置需要经常移动，应采用__________(9)方式划分VLAN。（备选：基于端口、基于MAC地址）
基于MAC地址
【问题7】（6分）
下面是配置访问控制列表的过程，请给出空白处的配置内容：
Switch l（config）#spanning-tree
Switch l（config）#spanning-tree priority 0
Switch l（config）#spanning-tree mode rstp
不同Trunk端口的权值不同，在默认情况下，其权值为_____________ (10)。
128
交换机优先级共分16级，在默认情况下，其优先级为________________ (11)。
32768
解决环路和负载均衡除生成树之外，常用的方法还有________________ (12)。
端口聚合
1、路由器配置
如图2-2所示，某单位通过2M的DDN专线接入广域网，该单位内网共分为三个子网。服务器放置在子网192.168.5.0/24中，财务部工作站放置在子网192.168.10.0/24，销售部工作站放置在子网192.168.50.0/24。该单位申请的一组公网IP地址，其通过子网划分的网段为61.246.100.96/29。

图2-2
【问题1】（6分）
该单位的公网IP地址范围是 (1)到 (2)；其中该单位能够使用的有效公网地址有 (3)个。
（1） 61.246.100.96
（2） 61.246.100.103
（3） 5
【问题2】（10分）
配置路由器远程登录密码及特权密码如下，完成配置空缺部分

……Router(config)# (4) ！设置路由器线路配置模式Router(config-line)# (5) ！配置远程登录Router(config-line)# (6) ！设置路由器远程登录密码为startRouter(config-line)#endRouter(config)# (7) ！设置特权模式密文密码为startRouter(config-line)#endRouter# (8)！保存所做的配置

（4） line vty 0 4
（5） login
（6） password start
（7） enable secret start
（8） write memory（或者copy running-config startup-config）

【问题3】（14分）
请参照图5-1，在路由器上完成销售部网段NAT的部分配置。

Router(config)#ip nat pool xiaoshou 61.246.100.99 61.246.100.99 netmask (9)！设置地址池Router(config)#access-list 2 permit (10) (11)！定义访问控制列表Router(config)#ip nat inside source list 2 pool (12)！使用访问控制列表完成地址映射Router(config)# interface E0 ！进入路由器E0端口Router(config-if)# (13)Router(config-if)#exitRouter(config)# interface E0 ！进入路由器S0端口Router(config-if)# (14)Router(config-if)#exitRouter(config)# (15) ！定义默认路由Router(config)#end

（9） 255.255.255.248
（10） 192.168.50.0
（11） 0.0.0.255
（12） xiaoshou
（13） ip nat inside

三、简答题
1、信息安全有哪些常见的威胁？信息安全的实现有哪些主要技术措施？
答：
信息安全常见的威胁有：非授权访问、信息泄露、破坏数据完整性、拒绝服务攻击、恶意代码。信息安全的实现可以通过物理安全技术、系统安全技术、网络安全技术、应用安全技术、数据加密技术、认证授权技术、访问控制技术、审计跟踪技术、防病毒技术、灾难恢复和备份技术。
2、简述计算机病毒有哪些特点？
答：
①它是一段可运行的程序；
②具有较强的隐蔽性；
③具有欺骗性；
④具有传染性；
⑤具有激发性。
3、为什么会产生SQL注入？
答：
程序中没有对用户输入的数据或者是页面中所携带的信息进行必要有效的合法性判断或者过滤,导致黑客可以使用特殊字符闭合原有语句，添加自定义的非法sql语句，并被数据库执行。
4、什么是入侵检测系统？
答：
入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。
5、网络攻击和防御分别包括哪些内容？
答：
网络攻击主要包括：
①网络监听，指的是自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
②网络扫描，指的是利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。
③网络入侵，指的是当探测发现对方存在漏洞后，入侵到目标计算机获取信息。
④网络后门，指的是成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。
⑤网络隐身，指的是入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。
网络防御主要包括：
①安全操作系统和操作系统的安全配置，而操作系统是网络安全的关键。
②加密技术，为了防止被监听和数据被盗取而将所有的数据进行加密。
③防火墙技术，通过利用防火墙对传输的数据进行限制，进而可以防止被入侵。
④入侵检测，如果网络防线最终被攻破，就会需要及时发出被入侵的警报。
⑤网络安全协议，可以保证传输的数据不被截获和监听。
6、简述OSI参考模型的结构
答：
OSI参考模型是国际标准化组织制定的模型，把计算机与计算机之间的通信分成7个互相连接的协议层，自顶向下分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
7、从层次上，网络安全可以分成哪几层？每层有什么特点？
答：
从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。
物理安全主要包括5个方面：防盗，防火，防静电，防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全，操作系统必须能区分用户，以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。
8、为什么需要网络踩点？
答：
踩点就是通过各种途径对所要攻击的目标进行尽可能的了解。常见的踩点方法包括：在域名及其注册机构的查询，公司性质的了解，对主页进行分析，邮件地址的搜集和目标IP地址范围查询。
踩点的目的就是探察对方的各方面情况，确定攻击的时机。摸清对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。
9、电子商务中安全电子交易SET系统的双重签名作用是什么？它是怎样实现的？
答：
在安全电子交易SET中，持卡人购物时需要向供货商发送两个信息：订货单信息OI和加密的支付卡信息PI。其中OI是发给供货商的，而加密后的PI要经过供货商转交给支付网关银行。同一交易的OI和PI是相互关联的，利用双重前面对二者的报文摘要进行签名，可以分别向供货商和银行证明OI和PI的真实性。
10、简述X.509的作用是什么？与其他同类系统相比，它的特点是什么？
答：
X.509是一个世界统一的公钥证书协议。它的作用是：权威机构对证书持有者的公钥进行认证，对持卡人的身份进行认证。它的使用不需要实时上网验证，可以脱离网络使用。
11、简述RSA和DES加密算法在信息的保密性、完整性和抗拒认方面的概念和特点？
答：
RSA便于确认安全性，它使用一对公开密钥和私有密钥，它的保密性取决于大素数的运算难度，与Hash报文摘要结合使用，实现对报文的完整性确认，以及防拒认，适合于对小数据量报文的加密。
12、分别用实例说明网络安全所提供的5种服务的用途？
答：信息保密，信息的完整性确认，身份认证，防拒认，网络实体的认证识别。
四、应用题
1、【说明】
某一网络地址块192.168.4.0中有5台主机A、B、C、D和E，它们的IP地址及子网掩码如下表所示。
主机 IP地址 子网掩码
A 192.168.4.35 255.255.255.240
B 192.168.4.46 255.255.255.240
C 192.168.4.145 255.255.255.240
D 192.168.4.158 255.255.255.240
E 192.168.4.161 255.255.255.240
【问题1】（3分）
5台主机A、B、C、D、E分属几个网段？哪些主机位于同一网段？
共有3个子网；A主机和B主机属于同一网段；
C主机和D主机属于同一网段。
E属于单独一个网段

【问题2】（3分）
主机E的网络地址为多少？
主机E的网络地址为192.168.4.160

【问题3】（3分）
　　若要加入第六台主机F，使它能与主机A属于同一网段，其IP地址范围是多少？
IP地址的设定范围应该是在192.168.4.33到192.168.4.45之间，
并且不能为192.168.4.35。

【问题4】（3分）
若在网络中另加入一台主机，其IP地址设为192.168.4.164,它的广播地址是多少？哪些主机能够收到？
广播地址是192.168.4.175；E主机可以收到该信息。

【问题5】（3分）
　　若在该网络地址块中采用VLAN技术划分子网，何种设备能实现VLAN之间的数据转发？
路由器或三层交换机。

2、【说明】
某一网络地址块192.168.4.0中有5台主机A、B、C、D和E，它们的IP地址及子网掩码如下表所示。
主机 IP地址 子网掩码
A 192.168.4.112 255.255.255.224
B 192.168.4.120 255.255.255.224
C 192.168.4.161 255.255.255.224
D 192.168.4.176 255.255.255.224
E 192.168.4.222 255.255.255.224
【问题1】（3分）
5台主机A、B、C、D、E分属几个网段？哪些主机位于同一网段？
共有3个子网；A主机和B主机属于同一网段；
C主机和D主机属于同一网段；
E属于单独一个网段
【问题2】（3分）
主机D的网络地址为多少？
主机D的网络地址为192.168.4.160
【问题3】（3分）
　　若要加入第六台主机F，使它能与主机E属于同一网段，其IP地址范围是多少？
IP地址的设定范围应该是在192.168.4.193到192.168.4.221之间

【问题4】（3分）
若要使主机 A，B，C，D ，E在这个网上都能直接相互通信，可采取什么办法？
变子网掩码为：255.255.255.0

【问题5】（3分）
　　若在该网络地址块中采用VLAN技术划分子网，何种设备能实现VLAN之间的数据转发？
路由器或三层交换机。

3、【说明】
某一网络地址块192.168.4.0中有5台主机A、B、C、D和E，它们的IP地址及子网掩码如下表所示。
主机 IP地址 子网掩码
A 192.168.4.110 255.255.255.248
B 192.168.4.145 255.255.255.248
C 192.168.4.150 255.255.255.248
D 192.168.4.153 255.255.255.248
E 192.168.4.158 255.255.255.248
【问题1】（3分）
5台主机A、B、C、D、E分属几个网段？哪些主机位于同一网段？
共有3个子网：
A属于单独一个网段；
B主机和C主机属于同一网段；
D主机和E主机属于同一网段。

【问题2】（3分）
主机E的网络地址为多少？
主机E的网络地址为192.168.4.152

【问题3】（3分）
若要加入第六台主机F，使它能与主机A属于同一网段，其IP地址范围是多少？
IP地址的设定范围应该是在192.168.4.105到192.168.4.109之间

【问题4】（3分）
若在网络中另加入一台主机，其IP地址设为192.168.4.164,它的广播地址是多少？哪些主机能够收到？
广播地址是：192.168.4.167；没有主机能收到

【问题5】（3分）
　　若在该网络地址块中采用VLAN技术划分子网，何种设备能实现VLAN之间的数据转发？
路由器或三层交换机

4、【说明】
某局域网的 IP 地址为 202.117.12.0/24，网络结构如图 2-1 所示。采用 DHCP 服务器自动分配 IP 地址，其中 DHCPServer2 的地址池为 202.117.12.3~202.117.12.128。

图 2-1
图 2-2 和图 2-3 分别是 DHCPServer1 中 DHCP 服务器安装时分配 IP 地址的范围窗口和添加排除窗口。

图 2-2                                图 2-3

• 1.

图 2-4 是 DHCPServer1 中 DHCP 服务器安装时路由器（默认网关）窗口。

图 2-4
【问题 1】（4 分）
PC1首次启动时，会向网络发出一个 （1） 数据包来表达IP租用请示，
PC1通常采用 （2） 提供的IP地址 。
（1）A. Dhcpdiscover B. Dhcpoffer C. Dhcprequest D. Dhcpdeclinf
（2）A. DHCPServer1 B. DHCPServer2 C. 响应包最先到达的 DHCP 服务器
（1）A或Dhcpdiscover
　 （2）C或响应包最先到达的DHCP服务器

【问题 2】（3 分）
参照DHCPServer2的地址池分配方式，在图2-2中为DHCPServer1配置属性参数。
起始IP地址： （3） ； 结束 IP 地址： （4） 。
如果“长度”属性参数设置为 24，则系统会自动设置的子网掩码为 （5） 。
（3）202.117.12.130
　 （4）202.117.12.254
　 （5）255.255.255.0

【问题 3】（2 分）
图 2-3 中的“起始 IP 地址”中填入 （6） 。
（6）202.117.12.198

【问题 4】（2 分）
图2-4中IP地址参数应设置为： （7） ；
（7）202.117.12.1

【问题 5】（4 分）
PC1可以通过运行 （8） 命令手工释放IP地址，运行 （9） 命令重新申请IP地址。
（8）A. ipconfig/giveup B.ipconfig/release C. ipconfig/recall D.ipconfig/renew
（9）A. ipconfig/giveup B.ipconfig/release C. ipconfig/ recall D.ipconfig/renew
(8) B或ipconfig/release
　 (9) D 或ipconfig/renew

5、【说明】
某公司网络结构如图3-1所示。其中网管中心位于A楼，B楼与A楼距离约400米，B楼的某一层路由器采用NAT技术进行网络地址变换，其它层仅标出了楼层交换机。

图3-1
【问题1】（4分）
从表3-1中为图3-1中（1）～（4）处选择合适设备名称（每个设备限选一次）。
表3-1
设备类型 设备名称 数量
路由器 Router1 1
三层交换机 Switch1 1
二层交换机 Switch2 2
（1）Router1
（2）Switch2
（3）Switch1
（4）Switch2
【问题2】（3分）
为图3-1中（5）～（7）处选择介质，填写在答题纸的相应位置。
备选介质（每种介质限选一次）：百兆双绞线 千兆双绞线 千兆光纤
（5）千兆光纤
（6）百兆双绞线
（7）千兆双绞线

【问题3】（4分）
表3-2是路由器A上的地址变换表，将图3-2中（8）～（11）处空缺的信息填写在答题纸的相应位置。
表3-2
NAT变换表
内部IP / 端口号 变换后的端口号
192.168.0.1 : 1358 34578
192.168.0.3 : 1252 65533

图3-2
（8）61.103.110.101
（9）65533
（10）202.205.3.130
（11）80

【问题4】（4分）
参照图3-1的网络结构，为工作站A配置Internet协议属性参数。
IP地址： （12） ；
子网掩码： （13） ；
默认网关： （14） ；
首选DNS服务器： （15） 。

（12）在192.168.0.1～192.168.0.253范围内均正确
（13）255.255.255.0
（14）192.168.0.254
（15）61.103.110.151

6、【说明】
某网络拓扑结构如图2-1 所示，DHCP 服务器分配的地址范围如图 2-2 所示。

图 2-1                                             如图 2-2

• 1.

图 2-3 图 2-4

图 2-5                                       图 2-6

• 1.

【问题 1】（3 分）
图 2-2是DHCP 允许服务器向客户端动态分配 IP 地址和配置信息。客户端可以从 DHCP 服务 器获得 （1） 。
（1）A．DHCP 服务器的地址 B．Web 服务器的地址 C．DNS 服务器的地址
（1）C或 DNS服务器的地址

【问题 2】（4 分）
图 1-3 是 DHCP 服务器安装中的添加排除窗口。参照图2-1 和图2-2，为图2-3 中配置相关信息。
起始IP地址： （2） ； 结束IP地址： （3） 。
（2）192.168.0.1
　 （3）192.168.0.2

【问题 3】（2 分）
在 DHCP 服务器安装完成后，DHCP 控制台如图2-4 所示。
配置 DHCP 服务器时需要进行备份，以备网络出现故障时能够及时恢复。在图 2-4 中， 备份 DHCP 服务器配置信息正确的方法是 （4） 。
（4）A
【问题4】

（4）A．右键单击“ruankao”服务器名，选择“备份”。
B．右键单击“作用域”，选择“备份”。
C．右键单击“作用域选项”，选择“备份”。
D．右键单击“服务器选项”，选择“备份”。
（4）A
【问题 4】（2 分）
通常采用 IP 地址与 MAC 地址绑定的策略为某些设备保留固定的 IP 地址。右键点击
图 1-4 中的 （5） 选项可进行 IP 地址与 MAC 地址的绑定设置。
（5） A．地址池 B．地址预约 C．保留 D．作用域选项
（5）C

【问题 5】（4 分）
邮件服务器的网络配置信息如图 2-5 所示。请在图 2-6 中为邮件服务器绑定 IP 地址和MAC 地址。
IP地址： （6） ； MAC 地址： （7） 。
(6) 192.168.0.2
　 (7) 00-16-36-33-9B-BE

7、【说明】
某办公室只有一台主机 host1 接入 Internet，其 TCP/IP 协议属性如图 3-1 所示。

图 3-1 图 3-2
在没有增加公网 IP 地址的情况下，增加几台主机共享网络连接接入 Internet，拓扑结
构如图 3-2 所示，host1 eth0 网卡的 Internet 协议属性如图 3-3 所示。

图 3-3 图 3-4
【问题 1】（3 分）
为了保证其他主机能接入 Internet，在如图 3-4 所示的 host1 eth1 网卡“Internet 连接共享”应如何选择？
勾选"允许其他网络用户通过此计算机的Internet连接来连接"

【问题 2】（4 分）
请为图3-2中eth1网卡配置Internet协议属性参数。
IP地址： （1） ； 子网掩码： （2） ； 默认网关： （3） ； 首选 DNS 服务器： （4） 。
（1）61.168.112.198
　 （2）255.255.255.0
　 （3）61.168.112.254
（4）210.113.112.31

【问题 3】（6 分）
请为图3-2中host2配置Internet协议属性参数。
IP地址： （5） ；（范围） （2分）
子网掩码： （6） ； （1分）
默认网关： （7） ； （1分）
首选DNS服务器： （8） 。 （2分）
（5）192.168.0.2～192.168.0.254　
（6）255.255.255.0
　 （7）192.168.0.1
　 （8）210.113.112.31

【问题 4】（2 分）
若 host2 的 IP 地址设为 192.168.0.188，其发送到 Internet 上的 IP 数据包的源 IP 地址为（9） 。
（9）61.168.112.198

8、【说明】
某服务器既是Web站点又是FTP服务器，Web站点的域名为www.test.com，Web站点的部分配置信息如图2-1所示，FTP服务器的域名为ftp.test.com。

图2-1
Windows Server 2003系统中可通过“管理您的服务器”向导来配置DNS。在DNS服务器中为Web站点添加记录时，新建区域名称如图2-2所示。

图2-2
【问题1】（2分）
区域文件窗口如图2-3所示，默认情况下区域文件名为 （1） 。
（1）A．test.com.dns B. test.com.www C. test.com.ftp D. test.com
（1）A

图2-3
【问题2】（4分）
区域建成后，右键单击区域名称，在如图2-4所示的下拉菜单中点击“新建主机”，在图2-5中为www.test.com建立正向搜索区域记录，名称栏应填入 （2） ，IP地址栏应填入 （3） 。
（2）www
（3）111.20.30.24

图2-4 图2-5
【问题3】（2分）
在如图2-4所示的下拉菜单中点击 （4） ，可为ftp.test.com建立正向搜索区域记录。
（4）A．新建邮件交换器 B. 新建域 C. 新建别名
（4）C

【问题4】（5分）
该DNS服务器配置的记录如图2-6所示。

图2-6
邮件交换器中优先级别最高的是 （5） ；（3分）
（5）A．[10]mail.test.com B．[8]mail2.test.cn
C．[6]mail3.test.net D．[2]mail4.test.com
在浏览器的地址栏中输入 （6） 可以访问该Web服务器的默认Web站点。（2分）
（6）A．http://www.test.com B．http://www.test.net
C．http://www.test.com:8080 D．http://www.test.net:80
（5）D
（6）C

【问题5】（2分）
在客户端可以通过 （7） 来测试DNS是否配置成功。
（7）A．ping www.test.com B．ping 110.20.30.24
C．ping test.com D．ping 110.20.30.54
（7）A

9、【说明】
某校园网物理地点分布如图3-1所示，拓扑结构如图3-2所示：

图3-1

图3-2
【问题1】（4分）
由图1-1可见，网络中心与图书馆相距700米，而且两者之间采用千兆连接，那么两个楼之间的通讯介质应选择 （1） ，理由是 （2） 。
备选答案：
（1）A．单模光纤 B．多模光纤 C．同轴电缆 D．双绞线
（1）A
（2）传输速率千兆，距离超过550米

【问题2】（8分）
校园网对校内提供VOD服务，对外提供Web服务，同时进行网络流量监控。对以上服务器进行部署：VOD服务器部署在 （3） ； Web服务器部署在 （4） ；网络流量监控服务器部署在 （5） 。
（3）（4）（5）的备选答案：
A．核心交换机端口 B．核心交换机镜像端口 C．汇聚交换机端口
D．接入交换机端口 E．防火墙DMZ端口
以上三种服务器中通常发出数据流量最大的是 （6） 。
（3）A
（4）E
（5）B
（6）VOD服务器

【问题3】（3分）
校园网在部署无线网络时，采用了符合 802.11g 标准的无线网络设备，该校园网无 线网络部分的最大数据速率为（7） 。
（7）A．54Mb/s B．108Mb/s C．11Mb/s D．33Mb/s
（7）A
1、[问题1]
共有3个子网；A主机和B主机属于同一网段；
C主机和D主机属于同一网段。
E属于单独一个网段
[问题2]
主机E的网络地址为192.168.4.160
[问题3]
IP地址的设定范围应该是在192.168.4.33到192.168.4.45之间，
并且不能为192.168.4.35。
[问题4]
广播地址是192.168.4.175；E主机可以收到该信息。
[问题5]
路由器或三层交换机。
2、[问题1]
共有3个子网；A主机和B主机属于同一网段；
C主机和D主机属于同一网段；
E属于单独一个网段
[问题2]
主机D的网络地址为192.168.4.160
[问题3]
IP地址的设定范围应该是在192.168.4.193到192.168.4.221之间，
[问题4]
变子网掩码为：255.255.255.0
[问题5]
路由器或三层交换机。
3、[问题1]
共有3个子网：
A属于单独一个网段；
B主机和C主机属于同一网段；
D主机和E主机属于同一网段。
[问题2]
主机D的网络地址为192.168.4.152
[问题3]
IP地址的设定范围应该是在192.168.4.105到192.168.4.109之间
[问题4]
广播地址是：192.168.4.167；没有主机能收到
[问题5]
路由器或三层交换机

4、
【问题1】（4分）
　 （1）A或Dhcpdiscover
　 （2）C或响应包最先到达的DHCP服务器
【问题2】（3分）
　 （3）202.117.12.130
　 （4）202.117.12.254
　 （5）255.255.255.0
【问题3】（2分）
（6）202.117.12.198
【问题4】（2分）
（7）202.117.12.1
【问题5】（4分）
　 (8) B或ipconfig/release
　 (9) D 或ipconfig/renew

5、
【问题1】
（1）Router1
（2）Switch2
（3）Switch1
（4）Switch2
【问题2】
（5）千兆光纤
（6）百兆双绞线
（7）千兆双绞线
【问题3】
（8）61.103.110.101
（9）65533
（10）202.205.3.130
（11）80
【问题4】
（12）在192.168.0.1～192.168.0.253范围内均正确
（13）255.255.255.0
（14）192.168.0.254
（15）61.103.110.151

6、
【问题1】
（1）C或 DNS服务器的地址
【问题2】
（2）192.168.0.1
　 （3）192.168.0.2
【问题3】
（4）A或 右键单击"ruankao"服务器名，选择"备份"。
【问题4】
（5）C或 保留
【问题5】
(6) 192.168.0.2
　 (7) 00-16-36-33-9B-BE

7、
【问题1】
　 勾选"允许其他网络用户通过此计算机的Internet连接来连接"
【问题2】
　 （1）61.168.112.198
　 （2）255.255.255.0
　 （3）61.168.112.254
　 （4）210.113.112.31
【问题3】
　 （5）若地址在192.168.0.2～192.168.0.254范围内，则答案正确
　 （6）255.255.255.0
　 （7）192.168.0.1
　 （8）210.113.112.31
【问题4】
　 （9）61.168.112.198

8、
【问题1】
（1）A
【问题2】
（2）www
（3）111.20.30.24
【问题3】
（（4）C
【问题4】
（5）D
（6）C
【问题5】
（7）A
9、
【问题1】
　 （1）A
（2）要点：传输速率千兆，距离超过550米
【问题2】
　 （3）A
（4）E
（5）B
（6）VOD服务器
【问题3】
　 （7）A

最后感谢每一个认真阅读我文章的人，礼尚往来总是要有的，虽然不是什么很值钱的东西，如果你用得到的话可以直接拿走：

上述所有都有配套的资料，这些资料，对于做【网络安全】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴我走过了最艰难的路程，希望也能帮助到你！凡事要趁早，特别是技术行业，一定要提升技术功底。