2025年网络与信息安全管理员(三级)模拟试卷及答案网络安全防护

2025年网络与信息安全管理员(三级)模拟试卷及答案网络安全防护一、单项选择题（共20题，每题1分，共20分）1.以下哪项是状态检测防火墙的典型特征？A.仅检查数据包的源/目的IP和端口B.维护连接状态表，跟踪TCP会话过程C.基于应用层协议内容进行深度检测D.仅支持静态路由配置答案：B解析：状态检测防火墙通过状态表跟踪TCP连接的三次握手、数据传输和断开过程，区别于仅检查五元组的包过滤防火墙（A错误）；深度检测属于应用层防火墙功能（C错误）；静态路由配置与防火墙类型无关（D错误）。2.某企业网络中，入侵检测系统（IDS）发现大量ICMPEchoRequest包发往同一目标IP，且目标IP的响应包数量远低于请求包数量。最可能的攻击类型是？A.SYNFloodB.Smurf攻击C.PingofDeathD.DNS放大攻击答案：B解析：Smurf攻击通过向广播地址发送ICMP请求（源IP伪造为目标IP），导致大量主机响应目标IP，造成目标流量过载；SYNFlood是TCP半连接攻击（A错误）；PingofDeath是超长ICMP包导致内存溢出（C错误）；DNS放大攻击利用DNS递归查询（D错误）。3.以下哪项属于强制访问控制（MAC）的典型应用场景？A.企业文件服务器根据用户组权限分配读写权限B.政府机密系统根据文件密级和用户安全级别匹配访问规则C.云存储服务根据用户付费等级开放不同存储空间D.操作系统根据用户登录身份设置桌面个性化配置答案：B解析：MAC基于主体（用户）和客体（资源）的安全标签（如密级）进行强制访问控制，不允许用户自行修改权限；A属于自主访问控制（DAC），C属于基于角色的访问控制（RBAC），D是用户个性化设置，均不符合MAC特征。4.在SSL/TLS握手过程中，客户端发送“ClientHello”后，服务器响应的关键消息是？A.ServerCertificateB.ChangeCipherSpecC.FinishedD.NewSessionTicket答案：A解析：SSL/TLS握手流程为：ClientHello→ServerHello（含支持的加密套件）→ServerCertificate（服务器证书，含公钥）→ServerHelloDone→客户端验证证书并生成预主密钥→交换密钥→ChangeCipherSpec（切换加密套件）→Finished（验证握手完整性）。因此服务器在ClientHello后首先发送证书。5.某主机感染勒索病毒后，系统文件被加密且扩展名变为“.encrypted”。最有效的应急措施是？A.立即格式化硬盘重新安装系统B.使用未联网的备份数据恢复C.支付赎金获取解密密钥D.安装最新版杀毒软件全盘扫描答案：B解析：勒索病毒加密文件后，格式化会导致数据彻底丢失（A错误）；支付赎金无法律保障且可能助长攻击（C错误）；已感染主机的杀毒软件可能无法识别最新变种（D错误）；使用离线备份恢复是最可靠方法。二、多项选择题（共10题，每题2分，共20分，错选、漏选均不得分）1.以下属于网络层安全防护技术的有？A.IPsecVPNB.访问控制列表（ACL）C.端口镜像D.ARP欺骗防护答案：AB解析：IPsec在网络层提供加密和认证（A正确）；ACL通过网络层五元组过滤流量（B正确）；端口镜像是监控技术（C错误）；ARP属于链路层（D错误）。2.关于漏洞扫描工具Nessus的功能，以下描述正确的有？A.支持基于CVE的漏洞库更新B.可检测操作系统弱口令C.仅能扫描网络设备，无法扫描主机D.生成的报告包含风险等级和修复建议答案：ABD解析：Nessus是多平台漏洞扫描工具，支持主机、网络设备扫描（C错误），集成CVE等漏洞库（A正确），可检测弱口令（B正确），报告包含修复建议（D正确）。3.以下哪些措施可有效防范DDoS攻击？A.在边界路由器配置流量清洗设备B.启用SYNCookie防御机制C.关闭不必要的网络服务端口D.对内部主机进行MAC地址绑定答案：ABC解析：流量清洗设备（如ADS）可过滤异常流量（A正确）；SYNCookie防御SYNFlood（B正确）；关闭冗余端口减少攻击面（C正确）；MAC绑定防范ARP欺骗（D错误）。4.关于WPA3协议的改进，以下说法正确的有？A.弃用TKIP，强制使用AES加密B.支持SAE（安全认证交换）防止离线字典攻击C.仅适用于5GHz频段WiFiD.个人模式（WPA3Personal）支持192位加密套件答案：ABD解析：WPA3支持2.4GHz和5GHz（C错误）；弃用TKIP（A正确）；SAE通过密码交换避免离线破解（B正确）；个人模式可选192位加密（D正确）。5.某企业核心交换机配置了基于802.1X的端口认证，其关键组件包括？A.认证客户端（Supplicant）B.认证服务器（RADIUS）C.接入设备（Authenticator）D.动态主机配置协议（DHCP）答案：ABC解析：802.1X三要素为客户端（如PC）、接入设备（交换机）、认证服务器（RADIUS）（ABC正确）；DHCP与认证无直接关联（D错误）。三、填空题（共10题，每题1分，共10分）1.防火墙的NAT（网络地址转换）分为静态NAT、动态NAT和__________。答案：网络地址端口转换（NAPT）2.入侵防御系统（IPS）与入侵检测系统（IDS）的核心区别是IPS具备__________能力。答案：实时阻断3.常见的抗DDOS攻击技术中，__________通过将流量分散到多个服务器，减少单节点压力。答案：负载均衡（或流量牵引）4.AES加密算法的分组长度固定为__________位。答案：1285.零信任架构的核心原则是“__________，持续验证”。答案：从不信任，始终验证6.无线局域网中，__________攻击通过伪造AP（接入点）诱导用户连接，窃取数据。答案：钓鱼WiFi（或伪AP）7.漏洞生命周期管理的关键步骤包括漏洞发现、评估、修复、__________和关闭。答案：验证8.网络安全等级保护2.0中，第三级信息系统的安全保护要求需满足__________监管要求。答案：国家（注：等保2.0中三级系统需接受公安部门的监督、检查和指导）9.默认情况下，SSH服务使用的端口号是__________。答案：2210.工业控制系统（ICS）中，__________协议因明文传输、缺乏认证机制，易被中间人攻击。答案：Modbus（或DNP3、S7等常见工业协议）四、简答题（共5题，第13题每题5分，第45题每题8分，共31分）1.简述状态检测防火墙与应用层防火墙的主要区别。（5分）答案：状态检测防火墙工作在网络层和传输层（1分），通过状态表跟踪TCP/UDP会话状态（1分），仅检查五元组和连接状态（1分）；应用层防火墙（代理防火墙）工作在应用层（1分），深度解析应用层协议（如HTTP、SMTP）内容（1分），可实现更细粒度的访问控制（如禁止上传.exe文件）。2.列举至少4种常见的Web应用层攻击，并说明其防范措施。（5分）答案：常见攻击：SQL注入、XSS（跨站脚本）、CSRF（跨站请求伪造）、文件上传漏洞（2分，每列举1种得0.5分）。防范措施：SQL注入：使用预编译语句（PreparedStatement），避免拼接SQL（1分）；XSS：对用户输入进行转义（HTML/JS转义），输出时使用安全框架（1分）；CSRF：验证请求来源（Referer头），使用CSRFToken（1分）；文件上传漏洞：限制文件类型（白名单）、重命名上传文件、禁止执行权限（1分）。（任意4点得3分）3.说明IPsec隧道模式与传输模式的区别及典型应用场景。（5分）答案：区别：传输模式：仅加密IP负载（上层协议数据），保留原IP头（1分），适用于主机到主机通信（如PC间VPN）（1分）；隧道模式：加密整个IP包（原IP头+负载），添加新IP头（1分），适用于网络到网络通信（如企业分支到总部VPN）（1分）。典型场景：传输模式用于主机间安全通信；隧道模式用于网关间建立VPN（1分）。4.某企业网络拓扑如下：核心交换机连接防火墙（互联网接口IP：/24）、办公网（/24）、财务部（/24）。要求：禁止财务部访问互联网；允许办公网访问互联网的80/443端口；其他流量默认允许。请设计防火墙的ACL策略（需写出具体规则顺序、源/目的IP、端口和动作）。（8分）答案：ACL需按“最严格规则优先”顺序配置（1分）：规则1：源IP/24，目的IP/0（互联网），任意端口，动作：拒绝（2分）；规则2：源IP/24，目的IP/0，目的端口80/443（TCP），动作：允许（2分）；规则3：默认允许其他流量（或隐含允许，需明确说明）（1分）；注：需指定协议（TCP）、方向（出方向），示例：accesslist100denytcp55anyaccesslist100permittcp55eq80accesslist100permittcp55eq443accesslist100permitipanyany（剩余流量允许）（2分，规则格式正确得2分）5.分析企业内网中ARP欺骗攻击的原理，并提出至少4种防范措施。（8分）答案：攻击原理：攻击者伪造网关的ARP响应包（源MAC为攻击者MAC，源IP为网关IP），发送给内网主机（1分），导致主机ARP表中将网关IP映射到攻击者MAC（1分），形成中间人攻击（截获主机与网关的流量）（1分）。防范措施：静态绑定ARP表：在主机和网关手动绑定IPMAC对应关系（2分）；启用交换机的DAI（动态ARP检测）功能，验证ARP请求的合法性（1分）；使用802.1X端口认证，限制未认证设备接入（1分）；部署ARP监控工具（如ARPScan），实时检测异常ARP流量（1分）；划分VLAN隔离广播域，减少攻击范围（1分）。（任意4点得4分）五、应用题（共1题，19分）背景：某企业部署了基于Snort的入侵检测系统（IDS），以下是某天的部分日志记录（已简化）：```09/2014:30:45.12325600:49876>:80TCPTTL:64TOS:0x0ID:54321IpLen:20DgmLen:40Flags:0x12(SYN,ACK)Seq:0x12345678Ack:0x87654321Win:65535=>SnortAlert:[1:1003:1]WEBMISCNVDCVE20231234ApacheHTTPServer路径遍历漏洞``````09/2014:35:22.456789:53>00:53535UDPTTL:64TOS:0x0ID:12345IpLen:20DgmLen:76Len:56Data:0x010x000x000x010x000x000x000x000x000x000x070x650x780x700x6C0x6F0x690x740x030x630x6F0x6D0x000x000x010x000x01=>SnortAlert:[3:3001:2]DNSQUERYpossibleDNStunneling(longdomainname)```问题：1.分析第一条日志中的攻击事件：指出攻击类型、目标设备、可能的危害及对应的防范措施。（8分）2.分析第二条日志中的攻击事件：解释“DNStunneling”的原理，说明Snort触发该警报的依据，并提出检测此类攻击的其他方法。（11分）答案：1.第一条日志分析（8分）：攻击类型：利用CVE20231234的Apache路径遍历漏洞（1分）；目标设备：IP为的Web服务器（通常为网关或防火墙的HTTP管理接口）（1分）；可能危害：攻击者通过构造特殊URL访问服务器文件系统（如/etc/passwd、敏感配置文件），导致数据泄露或权限提升（2