网络安全工程期末考试模拟试题及答案整理

网络安全工程期末考试模拟试题及答案整理

-、填空

1常见网络安全威胁3种类型有非授权访问、信息泄漏、拒绝

服务。

2计算机网络的基本功能有：通信功能、资源共享、信息服务、

均衡负荷与分布式处理

3按网络覆盖的地理范围分类，计算机网络可分为：城域网、局

域网、广域网。

4网络协议是指通信双方共同遵守的约定规则或规程。

5ISO/OSI参考模型定义网络通信的7个功能层为：应用层、表示

层、会话层、

传输层、网络层、数据链路层、物理层。

6网络互连的基本形式有：局域网与局域网互连、局域网与广

域网互联以及局域网与区域网互连。

7计算机网络安全的特征有：保密性、完整性、可用性、真

实性、可控性。

8计算机网络安全体系结构的结构元素包括：安全服务、安全机

制、安全管理、安全管理信息库。

9TCP/IP模型的层次结构为：应用层、传输层、网络层、

网络接口层。

10现代加密技术的原理有对称密码系统原理和非对称密

码系统原理。

11WBM技术实现的标准有：WBEM利JMAPI。其实现策略有

代理方式和嵌入方式。

12网络数据库的三层结构指：浏览器（B）、Web服务器（W）

和数据库服务器（D）。

13网络安全的结构层次包括：物理安全、网络安全和

信息安全。

14按网络拓扑结构分类，计算机网络可分为：星型网、网

状、树形和混合型网络。

15防火墙实现原理有基于网络体系结构的防火墙原理

和基于DualNetworkStack防火墙的实

现，其对应实现技术有

和。

二、选择（1/2来源于教材练习）

1.下列选项中，不属于IDS的任务的是（C）

A信息收集B信息分析C选择控制D安全响应

2.以下哪一项不属于入侵检测系统的分类？（D）

AHIDSBNIDSCDIDSDDBMS

3.属于公开密钥加密系统的是（C）

A.DESB.IDEA

C.RSAD.AES

4.对数据库进行加密，能加密的部分是下面的哪一项？（D）

A.索引字段B.关系运算的比较字段

C.表间的连接字段D.内容字段

5.常见的防毒软件有什么？（D）

A瑞星B诺顿C金山D以上都是

6.windows系统安装非常简单，但刚刚安装完的系统是很不安全

的，为了提高系统安全性，我们需要及时的做什么工作？（B）

A安装应用软件B安装系统补丁C安装驱动程序D安

装金山快译

7.计算机病毒可影响系统的工作效率，占用系统资源，严重者可

导致系统瘫痪，这些都体现了计算机病毒的什么特性？（C）

A传染性B复杂性C破坏性D传播范围广

8.下列关于不可抵赖性的描述，哪一句最合适？（B）

A反映的是信息系统不会被非授权使用，信息的流动可以被选择性

阻断。

B个体在网络中签署的文件或进行的交易不容抵赖，保证网上业务

的正常开展。

C确保内容不会被破坏或篡改。只有得到允许的人才能修改数据，

并且能够判别出数据是否已被篡改。

D确保信息不暴露给未授权的实体或进程。

9.物理安全的管理应做到（D）

A.所有相关人员都必须进行相应的培训，明确个人工作职责

B.制定严格的值班和考勤制度，安排人员定期检查各种设备的运

行情况

C.在重要场所的迸出口安装监视器，并对进出情况进行录像

D.以上均正确

10.下面不是数据库的基本安全机制的是（D）

A.用户认证B.用户授权

C.审计功能D.电磁屏蔽

11.包过滤防火墙工作在OSI网络参考模型的（C）

A.物理层B.数据链路层

C.网络层D.应用层

12.下面关于DMZ区的说法错误的是（C）

A.通常DMZ包含允许来自互联网的通信可进入的设备，如

Web月艮务落久FTP月艮务器、SMTP月艮务茗称和DNS月艮务茗岸等

B.内部网络可以无限制地访问外部网络以及DMZ

C.DMZ可以访问内部网络

D.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT

方式工作，而内部防火墙采用透明模式工作以减少内部网络结构

的复杂程度

三、简答（1/2来源于教材练习）

1简述意大利香肠技术。

2TCP/IP模型中网络层的功能是什么，主要有哪些内容。

3简述黑客概念以及黑客现象。

4简述实施网络安全的“木桶原则”。

5简述实施网络安全的“最小占用原则”。

6简述计算机网络功能。

7简述网络安全体系结构。

8简述网络反病毒实现原则。

9简述ASP技术。

11计算机病毒的主要特征。

12威胁计算机网络安全的主要类型。

13简述网络反病毒木桶原则。

14简述流量填充机制。

15TCP/IP协议的主要缺陷。

16简述防火墙实现有哪些原理以及对应原理主要实现技术。

17在SQL中，实现数据库备份有哪3种方式？

18简述数据库加密范畴。

19简述数字签名的作用，列出两种以上的数字签名算法。

20什么是通信协议？计算机通信为什么要使用网络协议？

21计算机网络安全的主要特征是什么？

22简述网络安全服务、安全机制以及它们的关系。

23简述NIDS的IP碎片重组技术

攻击者为了躲避入侵检测系统，往往将攻击请求分成若干个IP碎

片包发送到目标主机，目标主机接收到碎片包后，进行碎片重组，

还原出真正的请求。

24蜜罐

蜜罐是一种供攻击者攻击从而产生价值的安全设施。

25简述NIDS的零复制技术的基本思想

基本思想是在数据报从网络设备到用户程序空间传递的过程中，减

少数据复制次数，减少系统调用，实现CPU的零参与，彻底消除

CPU在这方面的负载。

26简述入侵检测系统的定义

入侵检测系统IDS(IntrusionDetectionSystem)指的是一种硬件或

者软件系统，该系统对系统资源的非授权使用能够做出及时的判

断、记录和报警。

四、问答

1、网络安全管理的意义和安全管理主要内容。

研究网络安全的意义是什么？

S/Key一次性口令系统。

4、什么是计算机网络安全体系结构？包括哪些方面？每个方面有

哪些主要内容？

体系结构=部件+关系+约束

部件：安全服务、安全机制、功能层

-关系：安全服务与安全机制、安全服务与功能层

-约束:安全政策(SecurityPolicy)

利用PC机怎样构建最简单的防火墙？并给出示意图。

6、如图1所示，简述过滤路由器路由表的设置。分析当路由表遭

破坏的情况。

Internet

7、如图2所示，说明其为配置的符号表示，并叙述其工作过程。

图2

8、如图3所示，说明应用网关如何实现对客户机和服务器的代理。

9、根据图4,说明对称加密系统原理并说明其优点。

“(1)证实请求用户系统

安全服务器

(2)用户会话密LOGIN

用户会话密钥用户会话密钥

(3)服务准用请

应用服务会话密◄--------------—

(4)发放准用ii.

客户应用程序

应用服务器

(5)准用身份

准用证

应用会话密钥(6)应用服务输出

图4%应用会话密钥

应用服务会话密

图5

10、简述DES算法思想，并根据图5说明一轮DES算法的具体过

程。

五、计算（类似这类处理）

1、设英文字母A,B,C,Z分别编码为0,1,2,25（如

表1所示）。已知单表仿射加密变换为c=（llm+2）mod26,其

中m表示明文，c表示密文，试对密文VMWZ解密。

表1单表仿射字母与编码对照表

ABCDEFGHIJKLM

0123456789101112

N0PQRSTUVWXYZ

13141516171819202122232425

六、设计（类似这类处理）

某企业下设有企划部、生产部、市场部、财务部、人事部。市场

部销售人员分散在各地，并在一些城市设有市场分部。假设其网络

结构如图6所示，要求根据企业网络实际需要，设计出一种防火墙

应用方案。

图6

附：模拟试题

网络安全模拟试题1：

一、单项选择题（本大题共15小题，每小题2分，共30分）

在每小题列出的四个备选项中只有一个是符合题目要求的，请将其

代码填写在题后的括号内。错选、多选或未选均无分。

1.下列对计算机网络的攻击方式中，属于被动攻击的是（A）

A.口令嗅探B.重放

C.拒绝服务D.物理破坏

2.OSI安全体系结构中定义了五大类安全服务，其中，数据机密

性服务主要针对的安全威胁是（B）

A.拒绝服务B.窃听攻击

C.服务否认D.硬件故障

3.为了提高电子设备的防电磁泄漏和抗干扰能力，可采取的主要

措施是（B）

A.对机房进行防潮处理B.对机房或电子设备进行电磁屏蔽处理

C.对机房进行防静电处理D.对机房进行防尘处理

4.为保证计算机网络系统的正常运行，对机房内的三度有明确的

要求。其三度是指

（A）

A.温度、湿度和洁净度B.照明度、湿度和洁净度

C.照明度、温度和湿度D.温度、照明度和洁净度

5.下列加密算法中，属于双钥加密算法的是（D）

A.DESB.IDEA

C.BlowfishD.RSA

6.公钥基础设施（PKI）的核心组成部分是（A）

A.认证机构CAB.X.509标准

C.密钥备份和恢复D.PKI应用接口系统

7.下面关于防火墙的说法中，正确的是（C）

A.防火墙可以解决来自内部网络的攻击

B.防火墙可以防止受病毒感染的文件的传输

C.防火墙会削弱计算机网络系统的性能

D.防火墙可以防止错误配置引起的安全威胁

8.包过滤技术防火墙在过滤数据包时，一般不关心（D）

A.数据包的源地址B.数据包的目的地址

C.数据包的协议类型D.数据包的内容

9.不属于CIDF体系结构的组件是（C）

A.事件产生器B.事件分析器

C.自我防护单元D.事件数据库

10.阈值检验在入侵检测技术中属于（B）

A.状态转换法B.量化分析法

C.免疫学方法D.神经网络法

11.由于系统软件和应用软件的配置有误而产生的安全漏洞，属于

（C）

A.意外情况处置错误B.设计错误

C.配置错误D.环境错误

12.采用模拟攻击漏洞探测技术的好处是（D）

A.可以探测到所有漏洞B.完全没有破坏性

C.对目标系统没有负面影响D.探测结果准确率高

13.下列计算机病毒检测手段中，主要用于检测已知病毒的是

（A）

A.特征代码法B.校验和法

C.行为监测法D.软件模拟法

14.在计算机病毒检测手段中，校验和法的优点是（D）

A.不会误报B.能识别病毒名称

C.能检测出隐蔽性病毒D.能发现未知病毒

15.一份好的计算机网络安全解决方案，不仅要考虑到技术，还要

考虑的是（C）

A.软件和硬件B.机房和电源

C.策略和管理D.加密和认证

二、填空题（本大题共10小题，每小题2分，共20分）

请在每小题的空格中填上正确答案。错填、不填均无分。

16.P2DR（PPDR）模型是一种常用的计算机网络安全模型，包含4

个主要组成部分，分别是：—安全策略、防护、检测和响

应。

17.对计算机网络安全构成威胁的因素可以概括为：偶发因素、自

然因素和—人为因素三个方面。

18.物理安全技术主要是指对计算机及网络系统的环境、场地、—

设备和人员等采取的安全技术措施。

19.密码体制从原理上可分为两大类，即单钥密码体制和—双密钥

密码体制O

20.在加密系统中，作为输入的原始信息称为明文，加密变换后的

结果称为—密文O

21.防火墙的体系结构一般可分为：双重宿主主机体系机构、屏蔽

主机体系结构和屏蔽—子网体系结构O

22.就检测理论而言，入侵检测技术可以分为异常检测和_误用检

测o

23.从系统构成上看，入侵检测系统应包括数据提取、—入侵分

析、响应处理和远程管理四大部分。

24.按照计算机网络安全漏洞的可利用方式来划分，漏洞探测技术

可以划分为信息型漏洞探测和—攻击型漏洞探测—

25.防范计算机病毒主要从管理和—技术两方面着手。

三、简答题（本大题共6小题，每小题5分，共30分）

26.简述计算机网络安全的定义。

计算机网络安全是指利用管理控制和技术措施，保证在一个网络环

境里，信息数据的机密性、完整性及可使用性受到保护。

简述物理安全在计算机网络安全中的地位，并说明其包含的主要内

容。

物理安全是整个计算机网络系统安全的前提.

物理安全主要包括：①机房环境安全②通信线路安全③设备安全④

电源安全

防火墙的五个主要功能是什么？

防火墙的主要功能：①过滤进、出网络的数据②管理进、出网络的

访问行为③封堵某些禁止的业务④记录通过防火墙的信息和内容

⑤对网络攻击检测和告警

基于数据源所处的位置，入侵检测系统可以分为哪5类？

基于数据源的分类：按数据源所处的位置，把入侵检测系统分为五

类：即基于主机、基于网络、混合入侵检测、基于网关的入侵检测

系统及文件完整性检查系统；

什么是计算机网络安全漏洞？

计算机网络安全漏洞是在硬件、软件和协议的具体实现或系统安全

策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问

或破坏系统。

简述恶意代码的主要防范措施。

恶意代码的防范措施(P228)：①及时更新系统，修补安全漏洞②

设置安全策略，限制脚本程序的运行③开启防火墙，关闭不必要的

服务利系统信息；④养成良好的上网习惯。

四、综合分析题(本大题共2小题，每小题10分，共20分)

32.某局域网如下图，其中：1号设备是路由器，4号设备是交换

机，5和6号设备是DMZ区服务器，7、8和9号设备是个人计算

机。

请回答下列问题：

(1)2和3号设备中，哪个设备是防火墙?哪个设备是交换机？

3号设备是防火墙；2设备是交换机

(2)3套个人防火墙软件最适合安装在哪3个设备上?(只能选3个设

备）

7、8、9号设备

（3）5套防病毒软件应该安装在哪5个设备上?（只能选5个设备）

5套防病毒软件应该安装在5、6、7、7、8、9号设备

33.对给定二进制明文信息

0011010101000101001111010010101110010101,,进行两次加密。

第一次，采用8位分组异或算法，用密钥“01010101”对明文进行

加密运算。第二次，采用“1一4（读作：位置1的数据移到位置4,

以下类推），2—8,3-1,4-5,5-7,6f2,7-6,8-3”对第

一次加密后的密文进行8位分组换位加密运算。请写出两次加密的

密文。

注：异或运算的规则如下表所示。

xyxCOR

y

zq

zq

第一次，采用8位分组异或算法，用密钥“01010101”对明文进行

加密运算的密文：

0110000000010000011010000111111011000000

第二次，对第一次加密后的密文进行8位分组换位加密运算的密文

1000000100001000100000111100111100010001

网络安全模拟试题二

一.单项选择题（每题1分，共60分）

1.在以下人为的恶意攻击行为中，属于主动攻击的是（）

A、数据篡改及破坏B、数据窃听

C、数据流分析D、非法访问

2.数据完整性指的是（）

A、保护网络中各系统之间交换的数据，防止因数据被截获而造成

泄密

B、提供连接实体身份的鉴别

C、防止非法实体对用户的主动攻击，保证数据接受方收到的信息

与发送方发送的信息完全一致

D、确保数据数据是由合法实体发出的

3.以下算法中属于非对称算法的是（）

A、DESBRSA算法C、IDEA

D、三重DES

4.在混合加密方式下，真正用来加解密通信过程中所传输数据（明

文）的密钥是（）

A、非对称算法的公钥B、对称算法

的密钥

C、非对称算法的私钥D、CA中心的公

钥

5.以下不属于代理服务技术优点的是（）

A、可以实现身份认证B、内部地址的屏蔽和转换

功能

C、可以实现访问控制D、可以防范数据驱动侵袭

6.包过滤技术与代理服务技术相比较（）

A、包过滤技术安全性较弱、但会对网络性能产生明显影响

B、包过滤技术对应用和用户是绝对透明的

C、代理服务技术安全性较高、但不会对网络性能产生明显影响

D、代理服务技术安全性高，对应用和用户透明度也很高

7.在建立堡垒主机时（）

A、在堡垒主机上应设置尽可能少的网络服务B、在堡垒主机

上应设置尽可能多的网络服务

C、对必须设置的服务给与尽可能高的权限D、不论发生任

何入侵情况，内部网始终信任堡垒主机

8."DES是一种数据分组的加密算法，DES它将数据分成长度为多

少位的数据块，其中一部分用作奇偶校验，剩余部分作为密码的长

度？”（）

A56位B64位C112位

D128位

9.Kerberos协议是用来作为：（）

A传送数据的方法B加密数据的方法

C身份鉴别的方法D访问控制的方法

10.黑客利用IP地址进行攻击的方法有：（）

AIP欺骗B解密C窃取口令D发送病毒

11.防止用户被冒名所欺骗的方法是：（）

A对信息源发方进行身份验证B进行数据加密

C对访问网络的流量进行过滤和保护D采用防火墙

12.屏蔽路由器型防火墙采用的技术是基于：（）

A数据包过滤技术B应用网关技术

C代理服务技术D三种技术的结合

13.以下关于防火墙的设计原则说法正确的是：（)

A保持设计的简单性B不单单要提供防火墙的功能，

还要尽量使用较大的组件

C保留尽可能多的服务和守护进程，从而能提供更多的网络服务

D一套防火墙就可以保护全部的网络

14.SSL指的是：（）

A加密认证协议B安全套接层协议C授权认证

协议D安全通道协议

15.CA指的是：（）

A证书授权B加密认证C虚拟专用网D安全套接层

16.在安全审计的风险评估阶段，通常是按什么顺序来进行的：

（）

A侦查阶段、渗透阶段、控制阶段B渗透阶段、侦查阶段、

控制阶段

C控制阶段、侦查阶段、渗透阶段D侦查阶段、控制阶段、

渗透阶段

17.以下哪一项不属于入侵检测系统的功能：（）

A监视网络上的通信数据流B捕捉可疑的网络活动

C提供安全审计报告D过滤非法的数据包

18.入侵检测系统的第一步是：（）

A信号分析B信息收集C数据包过滤D数据包

检查

19.以下哪一项不是入侵检测系统利用的信息：（)

A系统和网络日志文件B目录和文件中的不期望

的改变

C数据包头信息D程序执行中的不期望行

为

20.入侵检测系统在进行信号分析时，一般通过三种常用的技术手

段，以下哪一种不属于通常的三种技术手段：（）

A模式匹配B统计分析C完整性分析D密文分

析

21.以下哪一种方式是入侵检测系统所通常采用的：（）

A基于网络的入侵检测B基于IP的入侵检测

C基于服务的入侵检测D基于域名的入侵检测

22.以下哪一项属于基于主机的入侵检测方式的优势：（）

A监视整个网段的通信B不要求在大量的主机上安装

和管理软件

C适应交换和加密D具有更好的实时性

23.以下关于计算机病毒的特征说法正确的是：（）

A计算机病毒只具有破坏性，没有其他特征B计算机病毒具

有破坏性，不具有传染性

C破坏性和传染性是计算机病毒的两大主要特征D计算机病

毒只具有传染性，不具有破坏性

24.以下关于宏病毒说法正确的是：（）

A宏病毒主要感染可执行文件B宏病毒仅向办公

自动化程序编制的文档进行传染

C宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区DCIH

病毒属于宏病毒

25.以下哪一项不属于计算机病毒的防治策略：（）

A防毒能力B查毒能力C解毒能力D禁毒能力

26.以下关于SNMPvl和SNMPv2的安全性问题说法正确的是：

（）

ASNMPvl不能阻止未授权方伪装管理器执行Get和Set操作

BSNMPvl能提供有效的方法阻止第三者观察管理器和代理程

序之间的消息交换

CSNMPv2解决不了篡改消息内容的安全性问题

DSNMPv2解决不了伪装的安全性问题

27.在OSI七个层次的基础上，将安全体系划分为四个级别，以下

那一个不属于四个级别：（）

A网络级安全B系统级安全C应用级安全D

链路级安全

28.审计管理指：（）

A保证数据接收方收到的信息与发送方发送的信息完全一致

B防止因数据被截获而造成的泄密

C对用户和程序使用资源的情况进行记录和审查

D保证信息使用者都可有得到相应授权的全部服务

29.加密技术不能实现：（)

A数据信息的完整性B基于密码技术的身份认证

C机密文件加密D基于IP头信息的包过滤

30.所谓加密是指将一个信息经过（）及加密函数转换，变成

无意义的密文，而接受方则将此密文经过解密函数、（）还原

成明文。

A加密钥匙、解密钥匙B解密钥匙、解密钥匙

C加密钥匙、加密钥匙D解密钥匙、加密钥匙

31.以下关于对称密钥加密说法正确的是：（）

A加密方和解密方可以使用不同的算法B加密密钥和解密

密钥可以是不同的

C加密密钥和解密密钥必须是相同的D密钥的管理非常

简单

32.以下关于非对称密钥加密说法正确的是：（）

A加密方和解密方使用的是不同的算法B加密密钥和解密

密钥是不同的

C加密密钥和解密密钥匙相同的D加密密钥和解密

密钥没有任何关系

33.以下关于混合加密方式说法正确的是：（）

A采用公开密钥体制进行通信过程中的加解密处理

B采用公开密钥体制对对称密钥体制的密钥进行加密后的通信

C采用对称密钥体制对对称密钥体制的密钥进行加密后的通信

D采用混合加密方式，利用了对称密钥体制的密钥容易管理和非

对称密钥体制的加解密处理速度快的双重优点

34.以下关于数字签名说法正确的是：（）

A数字签名是在所传输的数据后附加上一段和传输数据毫无关

系的数字信息

B数字签名能够解决数据的加密传输，即安全传输问题

C数字签名一般采用对称加密机制

D数字签名能够解决篡改、伪造等安全性问题

35.以下关于CA认证中心说法正确的是：（）

ACA认证是使用对称密钥机制的认证方法

BCA认证中心只负责签名，不负责证书的产生

CCA认证中心负责证书的颁发和管理、并依靠证书证明一个用

户的身份

DCA认证中心不用保持中立，可以随便找一个用户来做为CA

认证中心

36.关于CA和数字证书的关系，以下说法不正确的是：（）

A数字证书是保证双方之间的通讯安全的电子信任关系，他由

CA签发

B数字证书一般依靠CA中心的对称密钥机制来实现

C在电子交易中，数字证书可以用于表明参与方的身份

D数字证书能以一种不能被假冒的方式证明证书持有人身份

37.以下关于VPN说法正确的是：（）

AVPN指的是用户自己租用线路，和公共网络物理上完全隔离

的、安全的线路

BVPN指的是用户通过公用网络建立的临时的、安全的连接

CVPN不能做到信息认证和身份认证

DVPN只能提供身份认证、不能提供加密数据的功能

38.Ipsec不可以做到（）

A认证B完整性检查C加密D签发证书

39.包过滤是有选择地让数据包在内部与外部主机之间进行交换，

根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设

备是：

A路由器B一台独立的主机C交换机D网桥

40.TCP可为通信双方提供可靠的双向连接，在包过滤系统中，

下面关于TCP连接描述错误的是：

A要拒绝一个TCP时只要拒绝连接的第一个包即可。

BTCP段中首包的ACK=0,后续包的ACK=1。

C确认号是用来保证数据可靠传输的编号。

D”在CISCO过滤系统中，当ACK=1时，“established””关键字为

T,当ACK=0时，“established””关键字为F。”

41.下面对电路级网关描述正确的是：

A它允许内部网络用户不受任何限制地访问外部网络，但外部网

络用户在访问内部网络时会受到严格的控制。

B它在客户机和服务器之间不解释应用协议，仅依赖于TCP连接,

而不进行任何附加包的过滤或处理。

C大多数电路级代理服务器是公共代理服务器，每个协议都能由

它实现。

D对各种协议的支持不用做任何调整直接实现。

42在Internet服务中使用代理服务有许多需要注意的内容，下述论

述正确的是：

AUDP是无连接的协议很容易实现代理。

B与牺牲主机的方式相比，代理方式更安全。

C对于某些服务，在技术上实现相对容易。

D很容易拒绝客户机于服务器之间的返回连接。

43状态检查技术在OSI那层工作实现防火墙功能：

A链路层B传输层C网络层D会话层

44.对状态检查技术的优缺点描述有误的是：

A采用检测模块监测状态信息。B支持多种协议和应用。

C不支持监测RPC和UDP的端口信息。D配置复杂会降低网

络的速度。

45.JOE是公司的一名业务代表，经常要在外地访问公司的财务信

息系统，他应该采用的安全、廉价的通讯方式是：

APPP连接到公司的RAS服务器上。B远程访问VPN

C电子邮件D与财务系统的服

务器PPP连接。

46.下面关于外部网VPN的描述错误的有：

A外部网VPN能保证包括TCP和UDP服务的安全。

B其目的在于保证数据传输中不被修改。

CVPN服务器放在Internet上位于防火墙之外。

DVPN可以建在应用层或网络层上。

47.SOCKSv5的优点是定义了非常详细的访问控制，它在OSI的

那一层控制数据流：

A应用层B网络层C传输层D会话层

48.IPSec协议是开放的VPN协议。对它的描述有误的是：

A适应于向IPv6迁移。B提供在网络层上的

数据加密保护。

C支持动态的IP地址分配。D不支持除TCP/IP

外的其它协议。

49.IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由

信息：

A隧道模式B管道模式C传输模式D安全模式

50.有关PPTP(Point-to-PointTunnelProtocol)说法正确的是：

APPTP是Netscape提出的。B微软从NT3.5

以后对PPTP开始支持。

CPPTP可用在微软的路由和远程访问服务上。D它

是传输层上的协议。

51.有关L2Tp(Layer2TunnelingProtocol)协议说法有误的是:

AL2TP是由PPTP协议和Cisco公司的L2F组合而成。

BL2TP可用于基于Internet的远程拨号访问。

C为PPP协议的客户建立拨号连接的VPN连接。

DL2TP只能通过TCT/IP连接。

52.针对下列各种安全协议，最适合使用外部网VPN上，用于在

客户机到服务器的连接模式的是：

AIPsecBPPTPCSOCKSv5DL2TP

53.下列各种安全协议中使用包过滤技术，适合用于可信的LAN

到LAN之间的VPN,即内部网VPN的是：APPTPB

L2TPCSOCKSv5DIPsec

54.目前在防火墙上提供了儿种认证方法，其中防火墙设定可以访

问内部网络资源的用户访问权限是：

A客户认证B回话认证C用户认证D

都不是

55.目前在防火墙上提供了儿种认证方法,其中防火墙提供授权用

户特定的服务权限是：

A客户认证B回话认证C用户认证D

都不是

56.目前在防火墙上提供了儿种认证方法,其中防火墙提供通信双

方每次通信时的会话授权机制是：

A客户认证B回话认证C用户认证D

都不是

57.使用安全内核的方法把可能引起安全问题的部分冲操作系统

的内核中去掉，形成安全等级更高的内核，目前对安全操作系统的

加固利改造可以从几个方面进行。下面错误的是：

A采用随机连接序列号。B驻留分组过滤模块。

C取消动态路由功能。D尽可能地采用独立安全

内核。

58在防火墙实现认证的方法中，采用通过数据包中的源地址来

认证的是：

APassword-BasedAuthenticationBAddress-Based

Authentication

CCryptographicAuthenticationDNoneofAbove.

59.网络入侵者使用sniffer对网络进行侦听，在防火墙实现认证

的方法中，下列身份认证可能会造成不安全后果的是：

APassword-BasedAuthenticationBAddress-Based

Authentication

CCryptographicAuthenticationDNoneofAbove.

60.随着Internet发展的势头和防火墙的更新，防火墙的哪些功能

将被取代：

A使用IP加密技术。B日志分析工具。

C攻击检测和报警。D对访问行为实施

静态、固定的控制。

二.多项选择题（每题2分，共30分，答错无分，答不全得1分）

1.人为的恶意攻击分为被动攻击和主动攻击，在以下的攻击类型

中属于主动攻击的是：（）

A.数据窃听B.数据篡改及破坏

C.身份假冒D.数据流分析

2.在安全服务中，不可否认性包括两种形式，分别是（)

A.原发证明B.交付证明

C.数据完整D.数据保密

3.以下安全标准属于ISO7498-2规定的是（)

A.数据完整性B.WindowsNT属于C2级

C.不可否认性D.系统访问控制

4.利用密码技术,可以实现网络安全所要求的)

A.数据保密性B.数据完整性

C.数据可用性D.身份认证

5.在加密过程中,必须用到的三个主要元素是)

A.所传输的信息（明文）B.加密钥匙

(Encryptionkey)

C.加密函数D.传输信道

6.加密的强度主要取决于（)

A.算法的强度B.密钥的保密性

C.明文的长度D.密钥的强度

7.以下对于对称密钥加密说法正确的是（)

A.对称加密算法的密钥易于管理

B.加解密双方使用同样的密钥

C.DES算法属于对称加密算法

D.相对于非对称加密算法，加解密处理速度比较快

8.相对于对称加密算法，非对称密钥加密算法（）

A.加密数据的速率较低

B.更适合于现有网络中对所传输数据（明文）的加解密处理

C.安全性更好

D.加密和解密的密钥不同

9.以下对于混合加密方式说法正确的是（）

A.使用公开密钥密码体制对要传输的信息（明文）进行加解密处

理

B.使用对称加密算法队要传输的信息（明文）进行加解密处理

C.使用公开密钥密码体制对称加密密码体制的密钥进行加密后的

通信

D.对称密钥交换的安全信道是通过公开密钥密码体制来保证的

10.在通信过程中，只采用数字签名可以解决（）等问题。

A.数据完整性

B.数据的抗抵赖性

C.数据的篡改

D.数据的保密性

11.防火墙不能防止以下那些攻击行为（）

A.内部网络用户的攻击

B.传送已感染病毒的软件和文件

C.外部网络用户的IP地址欺骗

D.数据驱动型的攻击

12.以下属于包过滤技术的优点的是（）

A.能够对高层协议实现有效过滤

B.具有较快的数据包的处理速度

C.为用户提供透明的服务，不需要改变客户端的程序和自己本身

的行为

D.能够提供内部地址的屏蔽和转换功能

13.以下关于包过滤技术与代理技术的比较，正确的是（）

A.包过滤技术的安全性较弱，代理服务技术的安全性较高

B.包过滤不会对网络性能产生明显影响

C.代理服务技术会严重影响网络性能

D.代理服务技术对应用利用户是绝对透明的

14.对于防火墙的设计准则，业界有一个非常著名的标准，即两

个基本的策略（）

A.允许从内部站点访问Internet而不允许从Internet访问内部站

八占、、

B.没有明确允许的就是禁止的

C.没有明确禁止的就是允许的

D.只允许从Internet访问特定的系统

15.建立堡垒主机的一般原则（）

A.最简化原则

B.复杂化原则

C.预防原则

D.网络隔断原则

三.填空题（共10分）

1.Ipsec可以设置成在两种模式下运行：一种是（）模

式，一种是（）模式。

2.对于防火墙和FTP服务结合，如果我们要设定过滤规则，则必

须首先分析FTP的包过滤特性，而FTP连接又分为正常情况下的

连接和被动模式下的连接。在正常情况下的FTP连接，从开始•个

FTP连接开始，到连接完全建立，要经过以下四个步骤：（①

②③

④）

3.以为和置换是密码技术的基础，如果采用移位算法，遵循以下

规则：A-G、B-I、C-K、D-M、E-O、F-Q；贝I」BED经过

移位转换之后的密文是：（）

4.一个56位密钥长度的算法将会有（）种可能不同的钥

匙，如密钥长度为57位，则可能会有（）种可能不同的钥匙。

模拟试题二答案：

一.单项选择题

1-5ACBBD6-10BADBA11-15ABABA16-20ADBCD

21-25ACCBD26-30ADCDA

31-35CBBDC36-40BBDCC41-45BCCCB46-50CDCAC

51-55DCDCA56-60BDBAD

二.多项选择题

1.B,C2.A,B3.A,C4.A,B,C,D5.A,

B,C

A,B,D7.B,C,D8.A,C,D9.B,C,D10.A,

B,C

A,B,D12.B,C13.A,B,C14.B,C15.A,

C

三.填空题

1.隧道传输

2.客户对服务器打开命令通道服务器确认服务器对客户

机第二个端口打开数据通道客户机确认

3.IOM

4.2的56次方2的57次方

网络安全模拟试三

-、是非题（每题1分，共10分。正确的在括号内划4错的划x,

填入其它符号按错论。）

()1.城域网采用LAN技术。

()2.TCP/IP体系有7个层次，ISO/OSI体系有4个层次。

()3.ARP协议的作用是将物理地址转化为IP地址。

()4.在差分曼彻斯特编码技术中，不需要增加额外的同步

时钟。

()5.从理论上说，局域网的拓扑结构应当是指它的物理拓

扑结构。

()6.在10Mb/s共享型以太网系统中，站点越多，带宽越

窄。

()7.ADSL技术的缺点是离交换机越近，速度下降越快。

()8.TCP连接的数据传送是单向的。

()9.匿名传送是FTP的最大特点。

()10.网络管理首先必须有网络地址，一般可采用实名制地

址。

二、单选题和多选题(每题2分，共30分。除题目特殊说明

是多选题外，其他均为单选题。单选题在括号内选择最确切的一项

作为答案。)

1.OSI模型的物理层负责下列()功能。

A、格式化报文

B、为数据选择通过网络的路由

C、定义连接到介质的特征

D、提供远程文件访问功能

2.（4选2）在建网时，设计IP地址方案首先要（）。

A.给每一硬件设备分配一个IP地址B.选择合理的IP寻

址方式

C.保证IP地址不重复D.动态获得IP地址时

可自由安排

3.Internet的影响越来越大，人们常把它与报纸、广播、电视

等传统媒体相比较，称之为（）o

A、第四媒体B、交互媒体

C、全新媒体D、交流媒体

4.（4选2）网络按通信方式分类，可分为（）0

A、点对点传输网络

B、广播式传输网络

C、数据传输网

D、对等式网络

5.下列说法中不正确的是（）0

A、IP地址用于标识连入Internet上的计算机

B、在Ipv4协议中，一个IP地址由32位二进制数组成

C、在Ipv4协议中，IP地址常用带点的十进制标记法书写

D、A、B、C类地址是单播地址，D、E类是组播地址

6.一个路由器有两个端口，分别接到两个网络，两个网络各有

一个主机，IP地址分别为和,子网掩码均

为,请从中选出两个IP地址分别分配给路由器的两个

端口（）o

A、和

B、和

C、和

D、和

7.（4选2）下列说法中属于ISO/OSI七层协议中应用层功能

的是（）。

A、拥塞控制

B、电子邮件

C、防止高速的发送方的数据把低速的接收方淹没

D、目录查询

8.（4选3）如果发现网络变得很慢，经过观察，发现网络冲

突增加很多，以下哪些情况会引起此类故障（）o

A、电缆太长

B、有网卡工作不正常

C、网络流量增大

D、电缆断路

9.下列网卡中，属于按照总线类型分类的是（）。

A、10M网卡、100M网卡

B、桌面网卡与服务器网卡

C、PCI网卡、ISA网卡

D、粗缆网卡、细缆网卡

10.RIP是（）协议栈上一个重要的路由协议。

A、IPX

B、TCP/IP

C、NetBEUI

D、AppleTalk

11.（4选3）下列关于中继器的描述正确的是（）。

A、扩展局域网传输距离

B、放大输入信号

C、检测到冲突，停止传输数据到发生冲突的网段

D、增加中继器后，每个网段上的节点数可以大大增加

12.下列属于10Base-T中网卡与集线器之间双绞线接法的

是（）。

A、1-1,2—2,3—3,6—6

B、1—3,2—6,3—1,6—2

C、1~2,2—1,3—6,6—3

D、1—6,2—3,3—2,6—1

13.划分VLAN的方法常用的有（）、按MAC地址划分

和按第3层协议划分3种。

A、按IP地址划分

B、按交换端口号划分

C、按帧划分

D、按信元交换

14.以太网交换机的最大带宽为（）。

A、等于端口带宽

B、大于端口带宽的总利

C、等于端口带宽的总和

D、小于端口带宽的总和

15.某公司位于A市，其分公司位于距A市120公里的B市,

总部与分公司之间在上班时间内要经常性地进行大量电子表格传

递，则应选择的合理通信连接方式为（）。

A、普通电话拨号联网

B、光缆快速以太网

C、帧中继

D、星形网

三、填充题（每空1分，共20分）

1.在下列括号中填入局域网或广域网

（）通常为一个单位所拥有，（）

限制条件是传输通道的速率，（）跨越无限的距离，

（）通常使用广播技术来替代存储转发的路由选择。

2.虚拟主机服务是指为用户提供（）、

（）和网页设计制作等服务。

3.衡量数据通信的主要参数有（）和

（）0

4.IP地址11011011,00001101,00000101,4101110用点分

10进制表示可写为（）0

5.综合布线系统可划分为工作区子系统、骨干线子系统、

（）、管理子系统、（）和户外子系

统。

6.任何网络都有以下三个要素，即：共享服务、（）

和（）。

7.IP地址分配有动态主机分配协议、

（）和（）三种

IP寻址方式。

8.防火墙的组成可以表示成（）+（）0

9.认证主要包括实体认证和（）两大类。

10.Intranet分层结构包括网络、（）、应用三个层次。

11.在TCP/IP网络中，