2025年网络与信息安全管理员三级考试模拟试题(含答案)(网络安全防护)

2025年网络与信息安全管理员三级考试模拟试题(含答案)(网络安全防护)一、单项选择题（共20题，每题1分，共20分）1.以下哪种攻击方式属于主动攻击？A.网络嗅探B.ARP欺骗C.流量分析D.数据截获答案：B（主动攻击涉及修改或伪造数据，ARP欺骗通过伪造ARP响应干扰通信；其余选项为被动攻击，仅获取信息不修改）2.某企业Web服务器开放端口8080提供HTTP服务，配置防火墙时应允许的协议和端口组合是？A.TCP8080B.UDP8080C.ICMP8080D.TCP80答案：A（HTTP默认端口80，但题目中明确为8080，且HTTP基于TCP协议）3.以下不属于入侵检测系统（IDS）功能的是？A.实时监控网络流量B.阻断恶意连接C.生成攻击报警日志D.分析异常行为模式答案：B（IDS主要负责检测和报警，阻断功能属于入侵防御系统IPS）4.若某主机IP为0/24，其默认网关最可能的地址是？A.B.55C.D.答案：C（/24子网掩码为，网关通常为子网内第一个可用地址）5.以下哪种加密算法属于非对称加密？A.AES256B.DESC.RSAD.RC4答案：C（RSA使用公钥和私钥对，其余为对称加密算法）6.SQL注入攻击的核心目标是？A.窃取用户CookieB.绕过身份认证C.非法操作数据库D.破坏服务器硬件答案：C（通过拼接恶意SQL语句直接操作数据库）7.某网络设备日志显示“SYN_RECV状态连接数异常激增”，最可能遭遇的攻击是？A.DNS缓存投毒B.SYNFloodC.端口扫描D.暴力破解答案：B（SYNFlood攻击通过发送大量半连接（SYN_RECV）耗尽服务器资源）8.以下哪个协议用于安全传输文件？A.FTPB.TFTPC.SFTPD.HTTP答案：C（SFTP基于SSH协议，提供加密传输；FTP和TFTP为明文传输）9.访问控制模型中，“用户权限由系统管理员统一分配”属于？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：B（MAC由系统强制实施，不依赖用户自主设置；DAC允许用户自主分配权限）10.漏洞扫描工具Nessus的核心功能是？A.阻断恶意流量B.检测系统漏洞C.加密通信数据D.监控用户行为答案：B（Nessus是专业漏洞扫描器，用于发现系统、服务的已知漏洞）11.以下哪个端口通常用于SMTP服务？A.21B.25C.110D.143答案：B（21为FTP，110为POP3，143为IMAP）12.防范XSS攻击的关键措施是？A.关闭不必要的端口B.对用户输入进行转义C.定期更新防火墙规则D.限制数据库权限答案：B（XSS通过注入恶意脚本攻击，输入转义可过滤危险字符）13.以下哪种攻击利用了操作系统或应用程序的未修复漏洞？A.社会工程学B.零日攻击（Zeroday）C.口令猜测D.钓鱼攻击答案：B（零日攻击针对未公开或未修复的漏洞）14.某企业网络划分VLAN的主要目的是？A.提升网络传输速率B.隔离广播域，增强安全性C.简化IP地址分配D.支持无线接入答案：B（VLAN通过逻辑划分隔离广播域，限制不同部门间的非法访问）15.以下哪项属于物理安全防护措施？A.部署入侵检测系统B.机房安装门禁系统C.定期更新杀毒软件D.配置防火墙策略答案：B（物理安全涉及设备、场地的实体保护，门禁属于此类）16.以下哪种加密方式用于WiFi6的WPA3协议？A.WEPB.TKIPC.AESCCMPD.DES答案：C（WPA3采用更安全的AESCCMP取代WPA2的TKIP）17.某日志中出现“403Forbidden”状态码，表明？A.服务器内部错误B.未找到请求资源C.客户端权限不足D.请求超时答案：C（403表示服务器理解请求但拒绝执行，通常因权限问题）18.以下哪项是DDoS攻击的典型特征？A.单一源IP发送大量请求B.流量突然激增且源IP分散C.目标服务器CPU使用率降低D.网络延迟稳定答案：B（DDoS通过僵尸网络（Botnet）多源攻击，导致流量暴增）19.配置防火墙时，“拒绝所有未明确允许的流量”遵循的原则是？A.最小权限原则B.纵深防御原则C.最小暴露原则D.职责分离原则答案：A（最小权限原则要求仅开放必要服务，其余默认拒绝）20.以下哪个工具常用于网络流量抓包分析？A.WiresharkB.MetasploitC.JohntheRipperD.Netcat答案：A（Wireshark是主流抓包工具；Metasploit用于渗透测试，John用于破解密码，Netcat用于网络连接测试）二、多项选择题（共10题，每题2分，共20分，多选、错选不得分，少选得1分）1.常见的Web应用层攻击包括？A.SQL注入B.DDoSC.XSSD.CSRF答案：ACD（DDoS属于网络层攻击，其余为应用层攻击）2.以下属于访问控制技术的有？A.防火墙规则B.口令认证C.角色权限分配D.数字签名答案：ABC（数字签名用于数据完整性和身份验证，非访问控制）3.漏洞生命周期管理的关键步骤包括？A.漏洞扫描B.漏洞验证C.漏洞修复D.漏洞报告答案：ABCD（完整流程包括扫描、验证、报告、修复、验证修复效果）4.以下哪些措施可防范ARP欺骗？A.绑定IP与MAC地址B.启用静态ARP表C.部署ARP防火墙D.关闭所有网络接口答案：ABC（关闭接口不可行，其余为有效防护手段）5.加密技术的主要用途包括？A.数据机密性B.数据完整性C.身份认证D.访问控制答案：ABC（访问控制通过权限管理实现，非加密直接用途）6.以下属于网络层协议的有？A.IPB.TCPC.UDPD.ICMP答案：AD（TCP、UDP属于传输层）7.防火墙的常见部署模式包括？A.路由模式B.透明模式C.旁路模式D.混合模式答案：ABD（旁路模式是IDS的部署方式，防火墙通常为路由或透明模式）8.以下哪些日志需要重点监控？A.防火墙访问日志B.服务器系统日志C.数据库操作日志D.打印机状态日志答案：ABC（打印机日志与网络安全关联度较低）9.防范暴力破解攻击的措施包括？A.启用账户锁定策略B.使用复杂口令C.部署验证码D.关闭所有远程登录答案：ABC（关闭远程登录影响正常使用，非合理措施）10.以下属于无线局域网安全协议的有？A.WEPB.WPAC.WPA2D.WPS答案：ABC（WPS是简化连接的协议，存在安全隐患，非防护协议）三、填空题（共10题，每题1分，共10分）1.TCP三次握手的第二步是服务器向客户端发送（SYNACK）包。2.常见的漏洞扫描工具除Nessus外，还有（OpenVAS）（任写一个）。3.防火墙状态检测技术通过跟踪（五元组）信息（源IP、目的IP、源端口、目的端口、协议）来管理连接。4.Web应用防火墙（WAF）主要部署在（应用层），用于防护SQL注入、XSS等攻击。5.非对称加密中，用于加密的密钥是（公钥），用于解密的是（私钥）。6.常见的DDoS攻击防护设备是（流量清洗设备/抗DDoS网关）。7.访问控制的三要素是主体、客体和（控制策略）。8.端口扫描工具（nmap）可用于探测目标主机开放的端口和服务。9.漏洞修复的优先级通常根据（漏洞风险等级/CVSS评分）确定。10.安全套接层协议（SSL）的后续演进版本是（TLS）。四、简答题（共5题，第13题每题5分，第45题每题8分，共31分）1.（封闭型）简述防火墙包过滤技术与状态检测技术的核心区别。答案：包过滤技术基于五元组（源IP、目的IP、源端口、目的端口、协议）对每个数据包独立检查，不跟踪连接状态；状态检测技术不仅检查五元组，还通过状态表记录连接的上下文（如TCP连接的SYN、ACK标志），确保只有合法连接的后续包通过，安全性更高。2.（封闭型）列举至少3种常见的漏洞扫描类型，并说明其特点。答案：①主机扫描：针对单台主机的系统漏洞、补丁安装情况检测，需安装代理或远程扫描；②网络扫描：通过网络探测目标开放的端口、服务及对应漏洞，无需主机配合；③Web应用扫描：专门检测Web应用的SQL注入、XSS等漏洞，模拟用户请求测试；④数据库扫描：针对数据库的弱口令、权限配置错误等特定漏洞检测。3.（开放型）某企业员工通过移动设备接入公司内网，可能面临哪些安全风险？提出至少3项防护措施。答案：风险包括：移动设备丢失导致数据泄露、设备感染恶意软件传播至内网、未授权设备接入绕过访问控制、移动应用存在漏洞被利用。防护措施：①部署移动设备管理（MDM）系统，强制安装安全软件、设置屏幕锁；②启用802.1X认证或VPN接入，仅允许授权设备连接；③实施网络访问控制（NAC），检查设备安全状态（如补丁、杀毒软件更新）后再放行；④限制移动设备对敏感资源的访问权限（最小权限原则）。4.（分析型）某公司Web服务器日志中出现以下记录，请分析可能的攻击类型及应对措施：```2024100514:23:4500GET/user?name=admin'HTTP/1.12002024100514:23:4600GET/user?name=admin'OR1=1HTTP/1.1200```答案：攻击类型：SQL注入攻击。日志中请求参数包含单引号（'）、注释符（）和逻辑表达式（OR1=1），是典型的SQL注入尝试，目的是绕过身份验证或获取数据库数据。应对措施：①启用Web应用防火墙（WAF），过滤包含SQL特征的请求；②对用户输入进行严格校验（如白名单过滤、转义特殊字符）；③使用预编译语句（PreparedStatement）或ORM框架，避免动态拼接SQL；④限制数据库用户权限（如仅允许查询，禁止删除操作）；⑤定期审计Web应用代码，修复注入漏洞。5.（综合型）为某企业设计一个包含防火墙、入侵检测系统（IDS）、漏洞扫描器的网络安全防护方案，需说明各设备的部署位置、功能及协同工作流程。答案：部署方案：①防火墙：部署在企业外网与内网边界（如路由器与核心交换机之间），采用路由模式。功能：基于策略过滤进出流量，阻止非法访问（如禁止外网主动访问内网8080端口以外的服务）。②IDS：部署在核心交换机镜像端口（旁路模式），监控内网与外网、内网各区域间的流量。功能：分析流量中的攻击特征（如SQL注入特征码）或异常行为（如某主机突然大量访问数据库端口），生成报警日志。③漏洞扫描器：部署在内网管理区（如安全运维终端），定期扫描内网服务器、终端及网络设备。功能：检测系统漏洞（如未打补丁的Windows系统）、配置错误（如开放不必要的端口），生成漏洞报告。协同流程：①防火墙根据预设策略放行合法流量，阻断明显恶意流量（如源IP在黑名单中的请求）；②IDS实时监控所有通过防火墙的流量，发现攻击特征（如匹配规则库中的XSS攻击模式）后，向管理员发送报警，并将攻击源IP、攻击类型等信息同步至防火墙；③防火墙收到IDS报警后，动态添加临时阻断规则（如封禁攻击源IP30分钟）；④漏洞扫描器每周对全网资产扫描，生成漏洞报告（如某Web服务器存在CVE20241234漏洞），管理员根据报告修复漏洞后，扫描器再次验证修复效果；⑤管理员定期分析防火墙日志（记录流量统计）、IDS日志（记录攻击事件）、扫描报告（记录漏洞状态），优化防火墙策略（如开放新业务端口）、更新IDS规则库（添加最新攻击特征）、调整扫描计划（如增加关键服务器扫描频率）。五、应用题（共1题，19分）某企业网络拓扑如下：外网：通过运营商路由器连接至Internet；边界区域：部署防火墙（FW1）、入侵防御系统（IPS1）；DMZ区：部署Web服务器（IP：0）、邮件服务器（IP：0）；内网：包含办公终端（/24）、数据库服务器（0）；管理区：部署漏洞扫描器（0）、日志服务器（0）。请完成以下任务：1.设计FW1的基础访问控制策略（至少5条），要求遵循最小权限原则。（8分）2.说明IPS1的部署位置及检测攻击的典型场景。（5分）3.制定漏洞扫描器对Web服务器的扫描计划（包括扫描频率、扫描类型、扫描后操作）。（6分）答案：1.FW1基础访问控制策略（示例）：①允许外网→DMZWeb服务器：TCP80/443（HTTP/HTTPS服务）；②允许外网→DMZ邮件服务器：TCP25（SMTP）、110（POP3）、143（IMAP）；③允许内网办公终端→DMZWeb服务器：TCP80/443（访问内部Web应用）；④允许内网办公终端→内网数据库服务器：仅允许指定IP（如开发部门0）访问TCP3306（MySQL）；⑤拒绝所有其他未明确允许的流量（默认拒绝策略）；⑥允许管理区漏洞扫描器→所有区域：TCP22（SSH）、443（HTTPSAPI）（用于远程扫描）；⑦允许所有区域→日志服务器：UDP514（Syslog）、TCP6514（加密Syslog）（日志传输）。2.IPS1部署位置及检测场景：部署位置：串联在防火墙与DMZ区之间