网络安全相关考试习题

1、网络安全单项选择题1、如果使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求，这种手段属于（）攻击。A.拒绝服务B.口令入侵C.网络监控D.IP欺骗参考答案：A参考解析： 拒绝服务攻击不断对网络服务系统进行干扰，改变其正常的工作流程，执行无关的程序使系统响应减慢甚至瘫痪，影响正常用户的使用。口令入侵是指使用某些合法用户的账号和口令登录到主机，然后再实施攻击活动。网络监控是主机的一种工作模式，在这种模式下，主机可以接收本网段在同一物理通道上传输的所有信息，如果两台通信的主机没有对信息加密，只要使用某些网络监听工具就可以很容易地截取包括口令和账户在

2、内的信息资料。IP欺骗是黑客选定目标主机，找到一个被目标主机信任的主机，然后使得被信任的主机失去工作能力，同时采样目标主机发出的TCP序列号，猜出它的数据序列号。然后伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。 单项选择题2、下列选项中，防范网络监听最有效的方法是（）。A.安装防火墙B.采用无线网络传输C.数据加密D.漏洞扫描参考答案：C参考解析： 当信息以明文形式在网络上传输时，监听并不是一件难事，只要将所使用的网络端口设置成（镜像）监听模式，便可以源源不断地截获网上传输的信息。但是，网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，而不主

3、动与其他主机交换信息，也没有修改在网上传输的数据包。防范网络监听目前有这几种常用的措施：从逻辑或物理上对网络分段，以交换式集线器代替共享式集线器，使用加密技术划分虚拟局域网。 单项选择题3、MD5是一种（）算法。A.共享密钥B.公开密钥C.报文摘要D.访问控制参考答案：C参考解析：MD5是使用最广的报文摘要算法。其基本思想是用足够复杂的方法把报文比特充分弄乱，使得每一个输出比特都受到每一个输入比特的影响。单项选择题4、所谓网络安全漏洞是指（）。A.用户的错误操作引起的系统故障B.系统软件或应用软件在逻辑、设计上的缺陷C.网络硬件性能下降产生的缺陷D.网络协议运行中出现的错误参考答案：B参考解析

4、： 漏洞（vulnerability）代表计算机的脆弱性。它是计算机系统在硬件、软件及协议的具体实现上存在的缺陷。漏洞一旦被发现，就可以被攻击者用以在未授权的情况下访问或破坏系统。网络安全漏洞的产生主要是因为系统和软件的设计存在缺陷，通信协议不完备。如TCP/CP协议本身就有很多漏洞。 单项选择题5、下列关于网络攻击的说法中，错误的是（）。A.钓鱼网站通过窃取用户的账号、密码来进行网络攻击B.向多个邮箱群发同一封电子邮件是一种网络攻击行为C.采用DoS攻击使计算机或网络无法提供正常的服务D.利用Sniffer可以发起网络监听攻击参考答案：B参考解析： 电子邮件攻击表现为向目标信箱发送电子邮件炸

5、弹，产生庞大的邮件垃圾，甚至把邮箱挤爆。向多个邮箱群发同一封电子邮件一般不是攻击行为。 单项选择题6、下面加密算法中属于公钥加密算法的是（）。A.DESB.IDEAC.RSAD.MD5参考答案：C参考解析： 公钥加密算法使用的加密密钥和解密密钥相同，RSA是一种常用的公钥加密算法。DES、IDEA是常用的对称密钥算法，使用的加密密钥和解密密钥相同。MD5是常用的报文摘要算法。 单项选择题7、以下关于报文摘要的叙述中，正确的是（）。A.报文摘要对报文采用RSA进行加密B.报文摘要是长度可变的信息串C.报文到报文摘要是多对一的映射关系D.报文摘要可以被还原得到原来的信息参考答案：C参考解析： 报文

6、摘要是多对一（many-to-one）的散列函数（hashfunction）的例子。要做到不可伪造，报文摘要算法必须满足以下两个条件。任给一个报文摘要值x，若想找到一个报文y使得H（y）=x，则在计算上是不可行的。若想找到任意两个报文x和y，使得H（x）=H（y），则在计算上是不可行的。上述的两个条件表明：若（m，H（m）是发送者产生的报文和报文摘要对，则攻击者不可能伪造出另一个报文y，使得y与x具有同样的报文摘要。发送者可以对H（m）进行数字签名，使报文成为可检验的和不可抵赖的。故选C。报文经过散列函数运算可以看成是没有密钥的加密运算。在接收端不需要（也无法）将报文摘要解密还原为明文报文。故

7、选项A、D不正确。报文摘要方案是计算密码检查和，即固定长度的认证码，附加在消息后面发送，根据认证码检查报文是否被篡改。故B选项不正确。 单项选择题8、能防范重放攻击的技术是（）。A.加密B.数字签名C.数字证书D.时间戳参考答案：D参考解析： 所谓重放攻击就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。为了抵御重放攻击，现在的身份认证一般采用时间戳和挑战应答方式。故选D。 单项选择题9、Windows2003中，可采用（）进行身份认证。A.KerberosB.IKEC.DHCPD.RSA参考答案：A参考解析： Kerberos是一种网络认证协议，其设计目标是

8、通过密钥系统为客户机/服务器应用程序提供强大的认证服务。RSA为公开密钥密码体制，这种算法为公用网络上信息的加密和鉴别提供了一套基本的方法。动态主机配置协议DHCP，它允许一台计算机加入新的网络和获取IP地址而不用手工参与。IKE（InternetKeyExchange）在进行IPSec处理过程中对身份进行鉴别，同时进行安全策略的协商和处理会话密钥的交换工作。故答案为A。 单项选择题10、包过滤防火墙对数据包的过滤依据不包括（）。A.源IP地址B.源端口号C.MAC地址D.目的IP地址参考答案：C参考解析： 包过滤防火墙也称为网络防火墙，一般是基于源地址、目的地址、应用、协议以及每个IP包的端

9、口来做出通过与否的判断。故选C。 单项选择题11、下面关于加密的说法中，错误的是（）。A.数据加密的目的是保护数据的机密性B.加密过程是利用密钥和加密算法将明文转换成密文的过程C.选择密钥和加密算法的原则是保证密文不可能被破解D.加密技术通常分为非对称加密技术和对称密钥加密技术参考答案：C参考解析：除了一次一密外，所有的加密算法都不是无条件安全的，攻击者都可能将密文解密，因此加密算法的使用者应尽量满足：破译密码的代价超出密文信息的价值；破译密码时间超出密文信息的有效生命期。如果满足了这两个标准，则加密体制在计算上是安全的。单项选择题12、下面关于防火墙功能的说法中，不正确的是（）。A.防火墙能

10、有效防范病毒的入侵B.防火墙能控制对特殊站点的访问C.防火墙能对进出的数据包进行过滤D.防火墙能对部分网络攻击行为进行检测和报警参考答案：A参考解析： 防火墙的作用是监控进出网络的信息，仅让安全的、符合规则的信息进入内部网，为用户提供一个安全的网络环境。通常防火墙具有以下一些功能。对进出的数据包进行过滤，滤掉不安全的服务和非法用户。监视Internet安全，对网络攻击行为进行检测和报警。记录通过防火墙的信息内容和活动。控制对特殊站点的访问，封堵某些禁止的访问行为。但是，防火墙不能防范不经过防火墙的攻击，不能防止感染了病毒的软件或文件传输，需要防病毒系统来有效地防范病毒的入侵。 单项选择题13、

11、下面关于漏洞扫描系统的说法中，错误的是（）。A.漏洞扫描系统是种自动检测目标主机安全弱点的程序B.黑客利用漏洞扫描系统可以发现目标主机的安全漏洞C.漏洞扫描系统可以用于发现网络入侵者D.漏洞扫描系统的实现依赖于系统漏洞库的完善参考答案：C参考解析：漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描系统，系统管理员能够发现所维护的Web服务器的各种TCP端口分配、提供的服务、Web服务软件版本和这些服务及软件呈现在互联网上的安全漏洞，并及时发现并修补，以免网络攻击者扫描利用系统漏洞进行攻击或窃取信息。可见，漏洞扫描并不能发现网络入侵者。单项选择题14、下面安全协议中，用于

12、安全电子邮件的是（）。A.PGPB.SETC.SSLD.TLS参考答案：A参考解析： 相当好的私密性（PrettyGoodPrivacy，PGP）是一种使用广泛的安全电子邮件加密方案，它已成为事实上的标准。安全的电子交易（SecureElectronicTransaction，SET）是一个协议和报文格式的集合，它融合了Netscape的SSL、Microsoft的STT、Terisa的S-HTTP，以及PKI技术，通过数字证书和数字签名机制，使得客户可以与供应商进行安全的电子交易。SSL（SecureSocketLayer）是安全套接层，Web站点与浏览器之间的安全交互需要借助于SSL完成。

13、TLS（TransportLayerSecure，传输层安全）是对SSL的改进。 单项选择题15、计算机感染特洛伊木马后的典型现象是（）。A.程序异常退出B.有未知程序试图建立网络连接C.邮箱被垃圾邮件填满D.Windows系统黑屏参考答案：B参考解析： 计算机感染特洛伊木马后，会受到特洛伊木马程序的控制，有以下几种典型现象。有未知程序试图建立网络连接。系统中有可疑的进程在运行等现象。系统运行速度越来越慢，且CPU资源占用率高。任务表中有可疑的文件在运行。系统长时间读/写硬盘或搜索软盘。系统经常死机或重启等。 单项选择题16、ARP攻击造成网络无法跨网段通信的原因是（1）。可以使用（2）命令清

14、除攻击影响的ARP缓存。空白（1）处应选择（）A.发送大量ARP报文造成网络拥塞B.伪造网关ARP报文使得数据包无法发送到网关C.ARP攻击破坏了网络的物理联通性D.ARP攻击破坏了网关设备参考答案：B参考解析： 入侵者接收到主机发送的ARPRequest广播包，能够偷到其他节点的（IP，MAC）地址，然后便把自己主机的IP地址改为合法的目的主机的IP地址，伪装成目的主机，然后发送一个ping给源主机，要求更新主机的ARP转换表，主机便在ARP表中加入新的IP-MAC对应关系，合法主机就失效了，入侵主机的MAC地址变成了合法的MAC地址。题目中ARP攻击造成网络无法跨网段通信的原因是入侵者把自

15、己的IP地址改为了网关的IP地址，并使得主机更新了IP-MAC地址的对应关系，主机发送的报文则被入侵者截获，无法到达网关。ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入arp-a就可以查看ARP缓存表的内容了。用arp-d可以删除arp缓存表里的所有内容。用arp-s可以手动在ARP表中制定IP地址与MAC地址的对应关系。 单项选择题17、ARP攻击造成网络无法跨网段通信的原因是（1）。可以使用（2）命令清除攻击影响的ARP缓存。空白（2）处应选择（）A.arp-sB.arp-dC.arp-allD.arp-a参考答案：B参考解析： 入侵者接收到主机发送的ARPRequest

16、广播包，能够偷到其他节点的（IP，MAC）地址，然后便把自己主机的IP地址改为合法的目的主机的IP地址，伪装成目的主机，然后发送一个ping给源主机，要求更新主机的ARP转换表，主机便在ARP表中加入新的IP-MAC对应关系，合法主机就失效了，入侵主机的MAC地址变成了合法的MAC地址。题目中ARP攻击造成网络无法跨网段通信的原因是入侵者把自己的IP地址改为了网关的IP地址，并使得主机更新了IP-MAC地址的对应关系，主机发送的报文则被入侵者截获，无法到达网关。ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入arp-a就可以查看ARP缓存表的内容了。用arp-d可以删除arp缓

17、存表里的所有内容。用arp-s可以手动在ARP表中制定IP地址与MAC地址的对应关系。 单项选择题18、如果杀毒软件报告一系列的Word文档被病毒感染，则可以推断病毒类型是（1），如果用磁盘检测工具（CHKDSK、SCANDISK等）检测磁盘发现大量文件链接地址错误，表明磁盘可能被（2）病毒感染。空白（2）处应选择（）A.文件型B.引导型C.目录型D.宏病毒参考答案：C参考解析： 宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件，这些类型的文件都能够在文件内部嵌入宏。目录型计算机病毒能够修改硬盘上存储的所有文件地址，并感染这些文件。如果用磁盘检测工具检测磁盘发现大量文件链接

18、地址错误，这些错误都是由目录（链接）型病毒造成的。文件型病毒感染可执行文件。引导型病毒不会感染文件，主要是影响软盘或硬盘的引导扇区。 单项选择题19、下面安全算法中，属于加密算法的是（1），属于报文摘要算法的是（2）。空白（1）处应选择（）A.MD5和3DESB.MD5和SHA1C.DES和SHA1D.DES和3DES参考答案：D参考解析： DES（数据加密算法）使用一个56位的密钥以及附加的8位奇偶校验位，产生最大64位的分组大小，属于加密算法。3DES是DES加密算法的一种模式，它使用3条56位的密钥对数据进行三次加密。故（1）选D。安全哈希算法（SHA1）主要适用于数字签名标准里面定义的

19、数字签名算法。当接收到消息时，这个消息摘要可以用来验证数据的完整性。在传输过程中，数据很可能会发生变化，那么这时候就会产生不同的消息摘要，属于报文摘要算法。MD5的典型应用是对一段信息产生信息摘要，以防止被篡改，属于报文摘要算法。故（2）选B。 单项选择题20、下面安全算法中，属于加密算法的是（1），属于报文摘要算法的是（2）。空白（2）处应选择（）A.MD5和3DESB.MD5和SHA1C.DES和SHA1D.DES和3DES参考答案：B参考解析： DES（数据加密算法）使用一个56位的密钥以及附加的8位奇偶校验位，产生最大64位的分组大小，属于加密算法。3DES是DES加密算法的一种模式，

20、它使用3条56位的密钥对数据进行三次加密。故（1）选D。安全哈希算法（SHA1）主要适用于数字签名标准里面定义的数字签名算法。当接收到消息时，这个消息摘要可以用来验证数据的完整性。在传输过程中，数据很可能会发生变化，那么这时候就会产生不同的消息摘要，属于报文摘要算法。MD5的典型应用是对一段信息产生信息摘要，以防止被篡改，属于报文摘要算法。故（2）选B。 填空题21 【说明】 某公司为保护内网安全，采用防火墙接入Internet，刚络结构如图7.13所示。 为了支持NAT，防火墙采用混杂模式（E2与E1之间，E2与E3之间采用路由模式，E3与E1之间采用透明网桥模式），请为防火墙的接口E1、E

21、2、E3配置合适的IP地址和子网掩码，如表7.4所示。 （2）（4）备选答案： A. B. C. D. E. F. G. H.55 I.48参考答案： （2）D（3）A（4）I 参考解析： 根据题目描述可知，E1、E3工作在同一网段，该网段用到6个IP地址，因此主机位只需要3位即可满足，可知网络地址为/29，子网掩码为48。该网段中E2工作在网段/28，已经分配给主机，E2的IP地址只能选。更多内容请访问睦霖题库微信公众号填空题22 【说明】 某公司为保护内网安全，采用防火墙接入Internet，刚络结构如图7.13所示。 完成防火墙的别名表（见表7.5）和E2端口的过滤规划表（见表7.6），

22、使内网PC能正常访问WWW服务和Telnet服务。 参考答案： （5）（6）80（7）内网网段（8）Telnet服务器（9）Telnet（10）E2E3（11）允许参考解析： 参考表7.5可知，（5）处应填入Telnet服务器的IP地址，为；（6）处应填入WWW服务的端口号，为80。参考表7.6，内网PC访问Telnet服务器与访问WWW服务器的规则类似，源地址为内网地址，目的IP地址为Telnet服务器地址，目的端口为Telnet，方向为E2E3，策略为允许。填空题23 【说明】 某公司的网络结构如图7.14所示，所有PC共享公网IP地址接入Internet，另外有两台服务器提供Web服务和

23、FTP服务，服务器的内网和公网地址如表7.7所示。 完成表7.9所示的防火墙上的NAT转换规则，以满足防火墙的部署要求。 参考答案： （4）（5）（6） 参考解析：因为所有PC共享公网IP地址接入Internet，所以NAT必须将内网地址0转换成共享的公网IP地址，所以（4）的答案应为。 由表7.8可知，和分别是Web服务器和FTP服务器的公网IP地址。当外界访问服务器时，NAT要将服务器的公网IP地址转换为内网IP地址，分别对应于和。填空题24 【说明】 某公司的网络结构如图7.14所示，所有PC共享公网IP地址接入Internet，另外有两台服务器提供Web服务和FTP服务，服务器的内网和

24、公网地址如表7.7所示。 表7.10所示为防火墙中定义的过滤规则，过滤规则的优先级由规则编号决定，规则编号越小优先级越高。请定义规则4，使得来自Internet的请求能访问FTP服务并尽可能少地带来入侵风险。 参考答案： （7）e12（8）ftp（9）允许 参考解析： 要使得来自Internet的请求能访问FTP服务，规则4应允许防火墙让从接口e1到接口e2的FTP数据包通过，参考规则3，可知（7）、（8）、（9）处应分别填入e1e2、ftp、允许。填空题25 【说明】 某公司通过服务器S1中的路由和远程访问服务接入Internet，其拓扑结构如图7.15所示。其中，服务器S1的操作系统为Wi

25、ndows Server 2003，公司从ISP处租用的公网IP地址是8/29。 【问题1】 对服务器Sl进行配置时，打开NAT/基本防火墙配置对话框，在图7.16(a)、(b)、(c)中，配置Lan接口的是(1)，配置Wan接口的是(2)。 参考答案： （1）如图7.16A.所示（2）如图7.16B.所示 参考解析： 如果接口连接到Internet，则在NAT/基本防火墙选项卡中，选中公用接口连接到Internet单选按钮，并选中在此接口上启用NAT复选框。如果希望用动态数据包筛选器保护公用接口，则选中在此接口上启用基本防火墙复选框。故配置Lan接口如图7.16（a）所示，配置Wan接口如图

26、7.16（b）所示。填空题26 【说明】 某公司通过服务器S1中的路由和远程访问服务接入Internet，其拓扑结构如图7.15所示。其中，服务器S1的操作系统为Windows Server 2003，公司从ISP处租用的公网IP地址是8/29。 为保证Web服务器能正常对外提供服务，还需要在图7.19所示的服务和端口选项卡中选中(7)复选框。如果要让来自Internet的ping消息通过S1，在图7.20中至少要选中(8)复选框。 参考答案： （7）安全Web服务器（HTTPS）（8）传入的回应请求 参考解析： Web服务器也称为WWW（WorldWideWeb）服务器，主要功能是提供网上信

27、息浏览服务，Web服务器可以解析（handles）HTTP协议。为保证Web服务器能正常地对外提供服务，必须有Web服务器。如果没有启用Internet控制消息协议（ICMP）允许传入的回应请求，那么传入请求将失败，并生成传入失败的日志项。填空题27 【说明】某企业的网络拓扑结构如图7.21所示。 防火墙使用安全区域的概念来表示与其相连接的网络。图7.21中的inside、outside和dmz区域分别对应于Trust区域、Untrust区域和DMZ，不同区域代表了不同的可信度，默认的可信度由高到低的顺序为（1）。A.inside、outside、dmzB.inside、dmz、outside

28、C.outside、dmz、insideD.outside、inside、dmz参考答案： （1）B 参考解析： inside区域（内网）是指位于防火墙之内的可信网络，是防火墙要保护的目标。DMZ区域（非军事化区）是一个隔离的网络，可以位于防火墙之外，也可位丁防火墒之内，安全敏感度和保护强度较低，一般用开放式方法提供公共网络服务的设备。对于外部用户，DMZ区域通常是可以访问的，这样就允许外部用户访问企业的公开信息，但不允许他们访问企业的内部网络。而outside区域（外网）是指处于防火墙之外的公共开放网络，是不被信任的区域。填空题28 【说明】某企业的网络拓扑结构如图7.21所示。 为了过滤数

29、据包，需要配置访问控制列表（ACL），规定什么样的数据包可以通过，什么样的数据包不能通过。ACL规则由多条permit或deny语句组成，语句的匹配顺序是从上到下。 语句access-listldenyanyany的含义是（4），该语句一般位于ACL规则的最后。 语句access-list100permittcpanyhost9eqftp的含义是（5）。参考答案： （4）过滤所有数据包（或禁止所有IP数据包通过防火墙）（5）允许所有主机访问9的FTP服务 参考解析： 使用access-list命令配置访问控制列表ACL的格式为：其中，permit表示允许数据包通过；而deny则表示拒绝数据包通

30、过。wildcard-mask为通配符掩码，是子网掩码的反码；operator表示操作，包括：lt（小于）、gt（大于）、eq（等于）、neq（不等于）；operand表示操作数，指的是端口值。语句access-listldenyanyany将禁止所有IP数据包通过防火墙。语句access-list100permittcpanyhost9eqftp会允许所有主机访问9的FTP服务。填空题29 【说明】某企业的网络拓扑结构如图7.21所示。 请按照图7.21所示，完成防火墙各个网络接口的初始化配置。 参考答案： （6）（7）8（8）DMZ 参考解析： 防火墙使用ipaddress命令配置网卡的I

31、P地址。其命令格式为：网口eth0连接内网、网口eth1连接dmz区域、网口eth2连接外网。防火墙在内网的IP地址是，在dmz区域的IP地址是，在外网的IP地址是8。因此，配置相应网口的命令如下。配置网口eth0的命令为：ipaddressinside。配置网口eth1的命令为：ipaddressdmz。配置网口eth2的命令为：ipaddressoutside852。填空题30 【说明】某企业的网络拓扑结构如图7.21所示。 如图7.21所示，要求在防火墙上通过ACL配置，允许在inside区域除工作站PC1外的所有主机都能访问Internet，请补充完成ACL规则200。 参考答案： （

32、9）deny（10）permit 参考解析： 要允许在inside区域除工作站PC1外的所有主机都能访问Internet，则首先应配置拒绝工作站PC1访问Internet的控制语句，为：access-list200denyhost0any。然后再配置允许内网其他所有主机访问Internet的控制语句，内网的网络地址为，子网掩码为，通配符掩码为55，因此配置语句为access-list200permit55any。填空题31 【说明】某企业的网络拓扑结构如图7.21所示。 如图7.21所示，要求在防火墙上配置ACL，允许所有Internet主机访问DMZ中的Web服务器，请补充完成ACL规则30

33、0。 参考答案： （11）any（12）WWW（或80） 参考解析：DMZ中的Web服务器的IP地址为0，端口为80，允许所有Internet主机访问DMZ中的Web服务器，则配置语句为access-list300permittcpanyhost0eq80。填空题32 【说明】某企业的网络拓扑结构如图7.21所示。 包过滤防火墙利用数据包的源地址、目的地址、(2)、(3)和所承载的上层协议，把防火墙的数据包与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。参考答案： （2）源端口号（3）目的端口号 参考解析： 包过滤防火墙在网络的入口对通过的数据包进行检查，每个IP包的字段都会被检

34、查，包括源地址、目的地址、源端口号、目的端口号、协议等，然后将这些信息与设立的过滤规则相比较，与规则不匹配的包就会被丢弃，否则按规则来处理。填空题33 【说明】 某公司通过服务器S1中的路由和远程访问服务接入Internet，其拓扑结构如图7.15所示。其中，服务器S1的操作系统为Windows Server 2003，公司从ISP处租用的公网IP地址是8/29。 为保证内网PC可以访问Internet，在图7.17所示的Wan接口的地址池中，起始地址为（3），结束地址为（4）。 如果内网中Web服务器对外提供服务的IP地址是2，则需要在图7.18中保留此公用IP地址文本框中填入（5），为专用

35、网络上的计算机文本框中填入（6）。参考答案： （3）9（4）3（5）2（6）00 参考解析： 由于该公司的公网地址段是8/29，并且路由器eth0的地址为4。故Wan接口的地址范围是93，故（3）题答案为9，（4）题答案为3。由于内网中Web服务器对外提供的IP地址是2，故（5）答案为2。（6）题应填入Web服务器的地址，即00。填空题34 【说明】 某公司的网络结构如图7.14所示，所有PC共享公网IP地址接入Internet，另外有两台服务器提供Web服务和FTP服务，服务器的内网和公网地址如表7.7所示。 【问题1】 参照图7.14中各个设备的IP地址，完成表7.8中防火墙各个端口的IP

36、地址和掩码设置。 (1)(3)备选答案： A. B. C. D. E. F.48参考答案： （1）A（2）F（3）B 参考解析： 防火墙的3个网络接口分别处在3个网段。接口e0处在网段/24，所以IP地址应为；接口e1处在网段/29，所以IP子网掩码应为48；接口2处在网段/24，所以IP地址应为。填空题35 【说明】 某公司为保护内网安全，采用防火墙接入Internet，刚络结构如图7.13所示。 防火墙支持3种工作模式：透明网桥模式、路由模式和混杂模式。在（1）模式下，防火墙各个网口设备的IP地址都位于不同的网段。参考答案： （1）路由 参考解析： 防火墙支持三种模式：路由模式、透明网桥模

37、式、混杂模式。路由模式：当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器。透明网桥模式：只需在网络中像放置网桥一样插入防火墙设备即可，无须修改任何已有的配置。混杂模式：防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址）。混合模式主要用于透明模式作双机备份的情况，此时启动vrrp功能的接口需要配置IP地址，其他接口不配置IP地址。单项选择题36、如果杀毒软件报告一系列的Word文档被病毒感染，则可以推断病毒类型是（1），如果用磁盘检测工具（CHKDSK、SCANDISK等）检测磁盘发现大量文件链接地址错误，表明磁盘可能被（2）病毒感染。空白（1）处应选择（）A.文件型B.引导型C.目录型D.宏病毒参考答案：D参考解析：宏病毒感染的对象是使用某些程序创建的文本