网络安全习题
一.填空题(共20分,每空1分)1.屏蔽路由器是一种根据过滤规则对数据包进行的路由器。2.代理服务器是一种代表客户和 通信的程序。3.ICMP 协议建立在IP 层上,用于主机之间或之间传输差
一.填空题(共20分,每空1分)
1.屏蔽路由器是一种根据过滤规则对数据包进行的路由器。
2.代理服务器是一种代表客户和 通信的程序。
3.ICMP 协议建立在IP 层上,用于主机之间或之间传输差错与控制报文。
4.防火墙有多重宿主主机型、被屏蔽
5.在TCP/IP的四层模型中,NNTP 是属于 层的协议,而FDDI 属于 层。
6.一个主机的IP 地址为162.168.1.2,子网掩码为255.255.255.0,则可得子网号为。
7.一般情况下,机密性机构的可见性要比公益性机构的可见性(填高或低)。
8.屏蔽路由器称为 网关;代理服务器称为 网关
9.双重宿主主机应禁止
10.双重宿主主机有两个连接到不同网络上的11.域名系统DNS 用于 之间的解析
12.防火墙把出站的数据包的源地址都改写成防火墙的IP 地址的方式叫作
13.安全网络和不安全网络的边界称为
14.源地址欺骗通常有两种方式:
15.《中华人民共和国计算机信息安全保护条例》中明确定义: 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
16.《中华人民共和国电信条例》第六十六条规定, 电信用户依法使用电信的自由和 受法律保护。
二.单选题(每题1分,共30分,本题所给四个答案中只有一个是正确的)
1.北京市某个“网吧”在晚上23点后仍向18周岁以下的未成年人开放,则其直接违反了( )中的有关规定。
A .《互联网站从事登载新闻业务管理暂行规定》
B .《互联网上网服务营业场所管理办法》
C .《中华人民共和国电信条例》
D .《中华人民共和国治安管理处罚条例》
2.TCP 协议与UDP 协议相比,TCP 是( )
A .设置起来麻烦;很好设置
B .容易;困难
C .面向连接的;非连接的
D .不可靠的;可靠的
3.PGP 是一个电子邮件加密软件。其中( )
A .用来完成数字签名的算法是RSA ;加密信函内容的算法是非对称加密算法IDEA 。
B .用来完成数字签名的算法是IDEA ;加密信函内容的算法是对称加密算法MD5。
C .用来完成数字签名的算法是MD5;加密信函内容的算法是非对称加密算法IDEA 。
D .用来完成身份验证技术的算法是RSA ;加密信函内容的算法是对称加密算法IDEA 。
4.下面的三级域名中只有( )符合《中国互联网域名注册暂行管理办法》中的命名原则
A .WWW. AT&T.BJ.CN
B .WWW. C _SOURCE.COM.CN
C .WWW. JP .BJ.CN
D .WWW. HAO123.NET.CN
5.代理服务器与数据包过滤路由器的不同是( )
A .代理服务器在网络层筛选,而路由器在应用层筛选
B .代理服务器在应用层筛选,而路由器在网络层筛选
,C .配置不合适时,路由器有安全性危险
D .配置不合适时,代理服务器有安全性危险
6.关于防火墙的描述不正确的是:( )
A .防火墙不能防止内部攻击。
B .如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。
C .防火墙可以防止伪装成外部信任主机的IP 地址欺骗。
D .防火墙可以防止伪装成内部信任主机的IP 地址欺骗。
7.关于以太网的硬件地址和IP 地址的描述,不正确的是( )
A.硬件地址是一个48位的二进制数,IP地址是一个32位的二进制数 B.硬件地址是数据链路层概念,IP地址是网络层概念
C.数据传输过程中,目标硬件地址不变,目标IP地址随网段不同而改变
D.硬件地址用于真正的数据传输,IP地址用于网络层上对不同的硬件地址类型进行统一
8.关于被屏蔽子网中内部路由器和外部路由器的描述,不正确的是( )
A.内部路由器位于内部网和周边网络之间,外部路由器和外部网直接相连 B.外部路由器和内部路由器都可以防止声称来自周边网的IP 地址欺骗
C.外部路由器的主要功能是保护周边网上的主机,内部路由器用于保护内部网不受周边网和外部网的侵害
D.内部路由器可以阻止内部网络的广播消息流入周边网,外部路由器可以禁止外部网一些服务的入站连接
9.目前,中国互联网络二级域名中的“类别域名”共有( )个
A .5
B .6
C .34
D .40
10.FTP 的被动模式连接中,( )
A .命令通道和数据通道都由服务器主动启动
B .命令通道和数据通道都由客户机主动启动
C .命令通道由客户机主动请求连接,数据通道由服务器请求连接
D .命令通道由服务器主动请求连接,数据通道由客户机请求连接
11.SOCKS 软件包在互联网上广为流传,目前的版本,如proxy server version 4.2( )
A .既能用于TCP 服务,也能用于UDP 服务
B .只能用于TCP 服务,不能用于UDP 服务
C .只能用于UDP 服务,不能用于TCP 服务
D .对于TCP 、UDP 服务都不能用
12.关于堡垒主机的配置,叙述不正确的是( )
A .堡垒主机上应保留尽可能少的用户账户
B .堡垒主机的操作系统可选用UNIX 系统
C .堡垒主机的磁盘空间应尽可能大
D .堡垒主机的速度应尽可能快
13.有关电子邮件代理,描述不正确的是( )
A .SMTP 是一种“存储转发”协议,适合于代理
B .SMTP 代理可以运行在堡垒主机上
C .内部邮件服务器通过SMTP 服务,可直接访问外部因特网邮件服务器,而不必经过堡垒主机
D .在堡垒主机上运行代理服务器时,将所有发往这个域的内部主机的邮件先引导到堡垒主机上
14.直接利用Cookie ,( )
A .可能触发applet 程序,被心怀恶意的用户滥用
B .可抢占cpu 资源
,C .可以提供许多关于你的计算机的信息,如计算机名和IP 地址等。
D .可携带执行机器指令的文件
15.( )是一款运行于Windows 2000系统的个人防火墙软件
A .绿色警戒1.1版
B .冰河2.2版
C .Sendmail
D .Portscan2000
16.有关软件ping 的描述, 不正确的是( )
A .是一个用来维护网络的软件
B .基于ICMP 协议
C .用于测试主机连通性
D .出站和入站服务一般都没有风险
17.Tcp_Wrapper是一款工具软件,它不提供( )的功能
A .访问测试机制
B .对访问/ect/inetd.conf文件中的服务的请求的记录
C .应用层和网络层网关
D .报告远程主机的主机名服务
18.美国国家标准局于上个世纪年代公布的DES 加密算法, 是一种密码算法 ( )
A .60,分组
B .70,分组
C .60,公钥
D .70,公钥
19.美国国防部在他们公布的可信计算机系统评价标准中,将计算机系统的安全级别分为四类七个安全级别,其中描述不正确的是( )
A .A 类的安全级别比B 类高
B .C1类的安全级别比C2类要高
C .随着安全级别的提高,系统的可恢复性就越高
D .随着安全级别的提高,系统的可信度就越高
20.利用强行搜索法搜索一个8位的口令要比搜索一个6位口令平均多用大约( )倍的时间,这里假设口令所选字库是常用的95个可打印字符。
A .10
B .100
C .10000
D .100000
21.不属于代理服务器缺点的是( )
A .某些服务同时用到TCP 和UDP ,很难代理
B .不能防止数据驱动侵袭
C .一般来讲,对于新的服务难以找到可靠的代理版本。
D .一般无法提供日志
22.关于堡垒主机上伪域名服务器不正确的配置是( )
A .可设置成主域名服务器
B .可设置成辅助域名服务器
C .内部域名服务器向它查询外部主机信息时,它可以进一步向外部其他域名服务器查询
D .可使因特网上的任意机器查询内部主机信息
23.口令管理过程中,应该( )
A .选用5个字母以下的口令
B .设置口令有效期,以此来强迫用户更换口令
C .把明口令直接存放在计算机的某个文件中
D .利用容易记住的单词作为口令
,24.关于摘要函数叙述不正确的是( )
A .输入任意长的消息,输出长度固定
B .输入的数据有很小的变动时,输出则截然不同
C .逆向恢复容易
D .可防止信息被改动
25.虚拟专用网常用的安全协议为( )
A .X.25
B .A TM
C .Ipsec
D .NNTP
26.回路级网关没有( ) 的功能
A .在两个通信站点之间转接数据包
B .对不同协议提供服务
C .对外像代理,对内像过滤路由器
D .对应用层协议做出解释
27.WWW 服务中,( )
A .CGI 程序和Java applet程序都可对服务器端和客户端产生安全隐患
B .CGI 程序可对服务器端产生安全隐患,Java applet 程序可对客户端产生安全隐患
C .CGI 程序和Java applet程序都不能对服务器端和客户端产生安全隐患
D .Java applet 程序可对服务器端产生安全隐患,CGI 程序可对客户端产生安全隐患
28.ICMP 数据包的过滤主要基于( )
A .目标端口
B .源端口
C .消息类型代码
D .ACK 位
29.屏蔽路由器能( )
A .防止DNS 欺骗
B .防止外部主机伪装成其他外部可信任主机的IP 欺骗
C .不支持有效的用户认证
D .根据IP 地址、端口号阻塞数据通过
30.DNS 服务器到服务器的询问和应答( )
A .使用UDP 时,用的都是53端口
B .使用TCP 时,用的都是53端口
C .使用UDP 时,询问端端口大于1023,服务器端端口为53
D .使用TCP 时,用的端口都大于1023
三.判断题(10个题,每题1分,共10分)
1.( )DNS 服务器大部分情况下是靠UDP 传输的,有些情况下是靠TCP 传输 的。
2.( )过滤路由器是否正确配置是被屏蔽主机型防火墙安全的关键。
3.( )根据《互联网站从事登载新闻业务管理暂行规定》,只有新闻网站才有资 格登载境外新闻媒体和互联网站发布的新闻。
4.( )防火墙技术并不只限应用于TCP/IP协议中,类似的技术可用在任何分组 交换网络中。
5.( )FTP 标准连接的安全性要大于被动模式连接。
6.( )根据《中国互联网络域名注册实施细则》,个人不能申请域名注册。
7.( )经常更换口令往往使人难于记住而造成很大的麻烦,所以我们应当交替重 复使用口令。
8.( )被屏蔽子网型防火墙中的出站服务,不一定所有的服务都经过堡垒主机, 而入站服务,应要求所有服务都通过堡垒主机。
,9.( )数据包过滤既可由屏蔽路由器来完成,也可由PC 机装上相应的软件来实 现。
10.( )在堡垒主机上配置伪域名服务器时,有必要保持A 和PTR 记录的一致性。
四.简答题(6个题,每题5分,共30分)
1.简述防火墙概念和功能。
2.简述数据包过滤中对TCP/IP协议中的检查的主要信息。
3.为什么在双宿主主机上开许多账户很危险?
4.简述域名系统(DNS )的用途和查询过程。
5.简述黑匣子测试法中的端口扫描的大致规则?
6.简述黑客攻击WINDOWS98系统的通常采用的基本步骤。
五.改错题(本题共10分,每题2分)
1. NFS 服务器接受客户端请求的端口号小于1023。
2.整个FTP 会话过程中,数据通道和命令通道始终处于连接状态。
3.根据《中国互联网络域名注册实施细则》,由于域名的注册和使用而引起的域名注册人与第三方的纠纷,应由CNNIC (中国互联网络互联中心)负责最终调停解决。
4.防火墙测试时,应对众所周知端口进行扫描
5.VPN (虚拟私用网)一般通过屏蔽路由器实现互联
22222222222222222222222222222222222222222222222222222222222222222222222222222
一、选择题(每题2分,共20分)
1. 将企业的Intranet 直接接入Internet 时的安全性 D 。
A. 较高
B. 很高
C. 较低
D. 很低
2. 在Intranet 中可以看到各种企业信息,上网用户 C 。
A. 可以随意复制、查阅以及传播;
B. 不能随意复制以及传播,但可以随意查阅;
C. 不能随意复制、传播以及查阅;
D. 可以随意复制以及传播,但不能随意查阅;
3. 将企业界如Internet 时,在第三方提供的软件实现安全保护,不包括 C 。
A. 包过滤
B. 使用代理
C. 使用交换机
D. 防火墙
4. 安全管理的目标是
A. 保障网络正常畅通地工作;
B. 提高网络的容错能力;
C. 提供用户使用网络资源的汇总与统计;
D. 控制用户对网络敏感信息资源的使用;
5. 加密算法若按照密钥的类型划分可以分为 A 两种。
A. 公开密钥加密算法和对称密钥加密算法;
B. 公开密钥加密算法和算法分组密码;
,C. 序列密码和分组密码;
D. 序列密码和公开密钥加密算法
6. 计算机网络的根本特点是实现整个网络的资源共享。这里的资源是指 B 。
A. 数据
B. 硬件和软件
C. 图片
D. 影音资料
7. Internet/Intranet采用的安全技术有 E 和内容检查。
A. 防火墙;
B. 安全检查;
C. 加密;
D. 数字签名;
E. 以上都是;
8. 网络权限控制是针对网络非法操作所提出的一种安全保护措施,通常可以将用户划分为 B 类。
A. 5
B. 3
C. 4
D. 2
9. 开放系统互连安全体系结构中的安全服务有 D 和非否认服务。
1) 验证;
2) 访问控制;
3) 数据保密服务;
4) 数据完整性服务;
A. 1) 和2)
B. 1) 、2) 和3)
C. 2) 和 4)
D. 1) 、2) 、3) 、4)
10. 非否认服务采用两种形式是 D
1) 密码机制
2) 数字签名
3) 带有源证据的非否认服务
4) 带有交付证据的非否认服务
A. 1) 和2)
B. 2) 和3)
C. 2) 和4)
D. 3) 和4)
二、填空题(每题3分,共30分)
1. 网络文件系统NFS 向用户提供了一种 透明地 访问其他机器上文件的方式。
2. SNMP是基于 UDP , 简单的 网络管理协议。
3. 在逻辑上,防火墙是 过滤滤器 、 限制制器 和 分析器 。
4. 屏蔽路由器是可以根据 过滤原则 对数据报进行 阻塞 和 转发 的路由器。
5. 数据完整性包括的两种形式是 数据单元或域的完整性 和 数据单元或域的序列的完整性 。
,三、简答题(每题5分,共30分)
1. 简述防火墙有哪些类型?
2. 访问控制的策略有哪些?
3. 什么是DNS 欺骗?
4. 什么是网络管理服务?
5. 什么导致了Internet 的不安全?
6. 防火墙的局限有哪些?
四、论述题(20分)
1. 论述数据包过滤原理
2. 设计和构造堡垒主机的基本原则
3. 试论述包过滤防火墙的工作原理
33333333333333333333333333333333333333333333333333333333333333333333333333333
一、填空:(每空1分,共20分)
1. 数据包过滤用在__________和__________之间,过滤系统一般一台路由器或是一台主
机。
2. 用于过滤数据包的路由器被称为__________,和传统的路由器不同,所以人们也称它为
__________。
3. 代理服务是运行在防火墙上的__________,防火墙的主机可以是一个具有两个网络接口
的__________,也可以是一个堡垒主机。
4. 代理服务器运行在__________层。它又被称为__________。
5. 目前市场上有一些代理构造工具包,如__________和__________工具箱。
6. 在周边网上可以放置一些信息服务器,如WWW 和FTP 服务器,这些服务器可能会受到攻
击,因为它们是__________。
7. 内部路由器又称为__________,它位于__________和__________之间。
8. UDP 的返回包的特点是:目标端口是请求包的__________;目标地址是请求包的
__________;源端口是请求包的__________;源地址是请求包的__________。
9. FTP 传输需要建立两个TCP 连接:一个是__________;另一个__________。
二、选择题:(4选1,每题1分,共30分)
1. 计算机网络开放系统互连__________,是世界标准化组织ISO 于1978年组织定义的一
个协议标准。
A 、七层物理结构 B 、参考模型 C 、七层参考模型 D 、七层协议
2. TCP/IP的层次模型只有__________层。
A 、三 B 、四 C 、七 D 、五
3. IP 协议位于__________层。
A 、网络层 B 、传输层 C 、数据链路层 D 、物理层
4. TCP 协议位于__________层。
A 、网络层 B 、传输层 C 、数据链路层 D 、表示层
5. 大部分网络接口有一个硬件地址,如以太网的硬件地址是一个__________位的十六进制
数。
,A 、32 B 、48 C 、24 D 、64
6. IP 地址的主要类型有四种,每类地址都是由__________组成。
A 、48位6字节 B 、48位8字节 C 、32位8字节 D 、32位4字节
7. 硬件地址是__________层的概念。
A 、物理层 B 、网络层 C 、应用层 D 、数据链路层
8. TCP 协议一般用于__________网,向用户提供一种传输可靠的服务。
A 、局域网 B 、以太网 C 、广域网 D 、LONWORKS 网
9. UDP 协议提供了一种传输不可靠服务,是一种__________服务。
A 、有连接 B 、无连接 C 、广域 D 、局域
10. HTTP 是__________协议。
A 、WWW B 、文件传输 C 、信息浏览 D 、超文本传输
11. TCP 协议在一般情况下源端口号__________。
A 、大于1023小于65535的数 B 、小于1023大于65536的数
C 、小于65536的数 D 、任意值
12. 逻辑上防火墙是__________。
A 、过滤器、限制器、分析器 B 、堡垒主机
C 、硬件与软件的配合 D 、隔离带
13. 在被屏蔽主机的体系结构中,堡垒主机位于__________,所有的外部连接都由过滤路由
器路由到它上面去。
A 、内部网络 B 、周边网络 C 、外部网络 D 、自由连接
14. 在屏蔽的子网体现结构中,堡垒主机被放置在__________上,它可以被认为是应用网关,
是这种防御体系的核心。
A 、内部网络 B 、外部网络 C 、周边网络 D 、内部路由器后边
15. 外部路由器和内部路由器一般应用__________规则。
A 、不相同 B 、相同 C 、最小特权 D 、过滤
16. 外部数据包过滤路由器只能阻止一种类型IP 欺骗,即__________,而不能阻止DNS 欺
骗。
A 、内部主机伪装成外部主机的IP B 、内部主机伪装成内部主机的IP
C 、外部主机伪装成外部主机的IP D 、外部主机伪装成内部主机的IP
17. 最简单的数据包过滤方式是按照__________进行过滤。
A 、目标地址 B 、源地址 C 、服务 D 、ACK
18. ACK 位在数据包过滤中的作用是__________。
A 、不重要 B 、很关键 C 、可有可无 D 、不必考虑
19. 一些所谓“存储转发”服务,如:SMTP 、NNTP 等本身就有代理的特性,所以它们的代
理服务极易实现,故而称之为__________。
A 、没有代理服务器的代理 B 、客户代理
C 、服务器代理 D 、客户与服务器代理
20. DES 是对称密钥加密算法,__________是非对称公开密钥密码算法。
A 、RAS B 、IDEA C 、HASH D 、MD5
21. 在三种情况下应对防火墙进行测试:在安装之后;__________;周期性地对防火墙进行
测试,确保其继续正常工作。
A 、在网络发生重大变更后 B 、在堡垒主机备份后
C 、在安装新软件之后 D 、在对文件删除后
22. 在堡垒主机建立一个域名服务器,这个服务器可以提供名字解析服务,但不会提供
__________信息。
A 、IP 地址的主机解析 B 、MX 记录 C 、TXT D 、HINFO 和TXT
23. 顶级域名是INT 的网站是__________。
A 、英特公式 B 、地域组织 C 、商业机构 D 、国际组织
24. 顶级域名是CN 的代表__________。
A 、地域 B 、中国 C 、商业机构 D 、联合国
25. DNS 的网络活动有两种,一种是__________;另一种是Zone Transfer(区域传输)。
,A 、IP 地址对主机的解析 B 、主机对IP 地址的解析
C 、LOOKUP (查询) D 、LOOLAT (查找)
26. WWW 服务的端口号是__________。
A 、21 B 、80 C 、88 D 、20
27. Internet 上每一台计算机都至少拥有__________个IP 地址。
A 、一 B 、随机若干 C 、二 D 、随系统不同而异
28. TCP 连接的建立使用__________握手协议,在此过程中双方要互报自己的初始序号。
A 、三次 B 、二次 C 、连接 D 、ACK
29. 不同的防火墙的配置方法也不同,这取决于__________、预算及全面规划。
A 、防火墙的位置 B 、防火墙的结构 C 、安全策略 D 、防火墙的技术
30. 堡垒主机构造的原则是__________;随时作好准备,修复受损害的堡垒主机。
A 、使主机尽可能的简单 B 、使用UNIX 操作系统
C 、除去无盘工作站的起动 D 、关闭路由功能
三、简答题:(每题5分,共30分)
1.
2.
3.
4.
5.
6. 以WWW 服务为例,说明该服务是不安全因素? 简述黑客的攻击步骤?常用的技术手段? 设置防火墙的目的?防火墙的功能和局限性? 简述SMTP 数据包过滤的规则? 简述防火墙技术中为什么要实行代理?代理服务的优缺点? 简述三种数据加密方式?四种传统加密方法?
四、判断对错题:(每题1分,共10分)
1. 若A 掌握公钥,B 掌握私钥,A 可以用公钥加密,B 用私钥解密;B 也可以用私钥加密,
A 可以公钥解密。( )
2. 牺牲主机就是堡垒主机。( )
3. Cookie 是“甜点”,在客户端和服务器端各有一个,两个Cookie 不相同。( )
4. Java Applet是运行在服务器端,故而其中的bug 引起的安全漏洞主要在服务器端。( )
5. 口令应该至少由6个字符,口令字符最好是数字、字母和其它字符的混合。( )
6. 网络安全的威胁主要有以下三点:人为无意失误;人为恶意攻击;网络软件的漏洞和后
门。( )
7. 上网时计算机突然出现“蓝屏”,这就是黑客攻击。( )
8. 因为有了伪域名服务器,所以才有了DNS 欺骗。( )
9. Zone Transfer(区域传输)属于DNS 的一种网络活动,它只发生在服务器之间,用TCP
服务。( )
10. DNS 服务器UDP 和TCP 的标准端口都是53,DNS 客户机使用大于1023的随机端口。
( )
五、改错题:(每题2分,共10分)
1. E_mail地址为:bull dog@ca.yale.edu
更改为:
2. 只要用了防火墙,所有的安全问题都会迎刃而解。
更改为:
3. Socks 提供了一种单独的代理服务,属于应用级代理。
更改为:
4. Smtp.sohu.com 收件箱。
,更改为:
5. 域名系统DNS 是一个分布式的数据库,用于把主机域名解析为IP 地址。
更改为: