一．填空題（共20分，每空1分）1．屏蔽路由器是一種根據(jù)過濾規(guī)則對數(shù)據(jù)包進(jìn)行的路由器。2．代理服務(wù)器是一種代表客戶和 通信的程序。3．ICMP 協(xié)議建立在IP 層上，用于主機(jī)之間或之間傳輸差

一．填空題（共20分，每空1分）

1．屏蔽路由器是一種根據(jù)過濾規(guī)則對數(shù)據(jù)包進(jìn)行的路由器。

2．代理服務(wù)器是一種代表客戶和 通信的程序。

3．ICMP 協(xié)議建立在IP 層上，用于主機(jī)之間或之間傳輸差錯與控制報文。

4．防火墻有多重宿主主機(jī)型、被屏蔽

5．在TCP/IP的四層模型中，NNTP 是屬于 層的協(xié)議，而FDDI 屬于 層。

6．一個主機(jī)的IP 地址為162.168.1.2，子網(wǎng)掩碼為255.255.255.0，則可得子網(wǎng)號為。

7．一般情況下，機(jī)密性機(jī)構(gòu)的可見性要比公益性機(jī)構(gòu)的可見性（填高或低）。

8．屏蔽路由器稱為 網(wǎng)關(guān)；代理服務(wù)器稱為 網(wǎng)關(guān)

9．雙重宿主主機(jī)應(yīng)禁止

10．雙重宿主主機(jī)有兩個連接到不同網(wǎng)絡(luò)上的11．域名系統(tǒng)DNS 用于 之間的解析

12．防火墻把出站的數(shù)據(jù)包的源地址都改寫成防火墻的IP 地址的方式叫作

13．安全網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)的邊界稱為

14．源地址欺騙通常有兩種方式：

15．《中華人民共和國計算機(jī)信息安全保護(hù)條例》中明確定義： 是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。

16．《中華人民共和國電信條例》第六十六條規(guī)定， 電信用戶依法使用電信的自由和 受法律保護(hù)。

二．單選題（每題1分，共30分，本題所給四個答案中只有一個是正確的）

1．北京市某個“網(wǎng)吧”在晚上23點后仍向18周歲以下的未成年人開放，則其直接違反了（ ）中的有關(guān)規(guī)定。

A ．《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》

B ．《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理辦法》

C ．《中華人民共和國電信條例》

D ．《中華人民共和國治安管理處罰條例》

2．TCP 協(xié)議與UDP 協(xié)議相比，TCP 是（ ）

A ．設(shè)置起來麻煩；很好設(shè)置

B ．容易；困難

C ．面向連接的；非連接的

D ．不可靠的；可靠的

3．PGP 是一個電子郵件加密軟件。其中（ ）

A ．用來完成數(shù)字簽名的算法是RSA ；加密信函內(nèi)容的算法是非對稱加密算法IDEA 。

B ．用來完成數(shù)字簽名的算法是IDEA ；加密信函內(nèi)容的算法是對稱加密算法MD5。

C ．用來完成數(shù)字簽名的算法是MD5；加密信函內(nèi)容的算法是非對稱加密算法IDEA 。

D ．用來完成身份驗證技術(shù)的算法是RSA ；加密信函內(nèi)容的算法是對稱加密算法IDEA 。

4．下面的三級域名中只有（ ）符合《中國互聯(lián)網(wǎng)域名注冊暫行管理辦法》中的命名原則

A ．WWW. AT&T.BJ.CN

B ．WWW. C _SOURCE.COM.CN

C ．WWW. JP .BJ.CN

D ．WWW. HAO123.NET.CN

5．代理服務(wù)器與數(shù)據(jù)包過濾路由器的不同是（ ）

A ．代理服務(wù)器在網(wǎng)絡(luò)層篩選，而路由器在應(yīng)用層篩選

B ．代理服務(wù)器在應(yīng)用層篩選，而路由器在網(wǎng)絡(luò)層篩選

C ．配置不合適時，路由器有安全性危險

D ．配置不合適時，代理服務(wù)器有安全性危險

6．關(guān)于防火墻的描述不正確的是：（ ）

A ．防火墻不能防止內(nèi)部攻擊。

B ．如果一個公司信息安全制度不明確，擁有再好的防火墻也沒有用。

C ．防火墻可以防止偽裝成外部信任主機(jī)的IP 地址欺騙。

D ．防火墻可以防止偽裝成內(nèi)部信任主機(jī)的IP 地址欺騙。

7．關(guān)于以太網(wǎng)的硬件地址和IP 地址的描述，不正確的是（ ）

Ａ．硬件地址是一個４８位的二進(jìn)制數(shù)，ＩＰ地址是一個３２位的二進(jìn)制數(shù) Ｂ．硬件地址是數(shù)據(jù)鏈路層概念，ＩＰ地址是網(wǎng)絡(luò)層概念

Ｃ．?dāng)?shù)據(jù)傳輸過程中，目標(biāo)硬件地址不變，目標(biāo)ＩＰ地址隨網(wǎng)段不同而改變

Ｄ．硬件地址用于真正的數(shù)據(jù)傳輸，ＩＰ地址用于網(wǎng)絡(luò)層上對不同的硬件地址類型進(jìn)行統(tǒng)一

8．關(guān)于被屏蔽子網(wǎng)中內(nèi)部路由器和外部路由器的描述，不正確的是（ ）

Ａ．內(nèi)部路由器位于內(nèi)部網(wǎng)和周邊網(wǎng)絡(luò)之間，外部路由器和外部網(wǎng)直接相連 Ｂ．外部路由器和內(nèi)部路由器都可以防止聲稱來自周邊網(wǎng)的IP 地址欺騙

Ｃ．外部路由器的主要功能是保護(hù)周邊網(wǎng)上的主機(jī)，內(nèi)部路由器用于保護(hù)內(nèi)部網(wǎng)不受周邊網(wǎng)和外部網(wǎng)的侵害

Ｄ．內(nèi)部路由器可以阻止內(nèi)部網(wǎng)絡(luò)的廣播消息流入周邊網(wǎng)，外部路由器可以禁止外部網(wǎng)一些服務(wù)的入站連接

9．目前，中國互聯(lián)網(wǎng)絡(luò)二級域名中的“類別域名”共有（ ）個

A ．5

B ．6

C ．34

D ．40

10．FTP 的被動模式連接中，（ ）

A ．命令通道和數(shù)據(jù)通道都由服務(wù)器主動啟動

B ．命令通道和數(shù)據(jù)通道都由客戶機(jī)主動啟動

C ．命令通道由客戶機(jī)主動請求連接，數(shù)據(jù)通道由服務(wù)器請求連接

D ．命令通道由服務(wù)器主動請求連接，數(shù)據(jù)通道由客戶機(jī)請求連接

11．SOCKS 軟件包在互聯(lián)網(wǎng)上廣為流傳，目前的版本，如proxy server version 4.2（ ）

A ．既能用于TCP 服務(wù)，也能用于UDP 服務(wù)

B ．只能用于TCP 服務(wù)，不能用于UDP 服務(wù)

C ．只能用于UDP 服務(wù)，不能用于TCP 服務(wù)

D ．對于TCP 、UDP 服務(wù)都不能用

12．關(guān)于堡壘主機(jī)的配置，敘述不正確的是( )

A ．堡壘主機(jī)上應(yīng)保留盡可能少的用戶賬戶

B ．堡壘主機(jī)的操作系統(tǒng)可選用UNIX 系統(tǒng)

C ．堡壘主機(jī)的磁盤空間應(yīng)盡可能大

D ．堡壘主機(jī)的速度應(yīng)盡可能快

13．有關(guān)電子郵件代理，描述不正確的是（ ）

A ．SMTP 是一種“存儲轉(zhuǎn)發(fā)”協(xié)議，適合于代理

B ．SMTP 代理可以運行在堡壘主機(jī)上

C ．內(nèi)部郵件服務(wù)器通過SMTP 服務(wù)，可直接訪問外部因特網(wǎng)郵件服務(wù)器，而不必經(jīng)過堡壘主機(jī)

D ．在堡壘主機(jī)上運行代理服務(wù)器時，將所有發(fā)往這個域的內(nèi)部主機(jī)的郵件先引導(dǎo)到堡壘主機(jī)上

14．直接利用Cookie ，（ ）

A ．可能觸發(fā)applet 程序，被心懷惡意的用戶濫用

B ．可搶占cpu 資源

C ．可以提供許多關(guān)于你的計算機(jī)的信息，如計算機(jī)名和IP 地址等。

D ．可攜帶執(zhí)行機(jī)器指令的文件

15．（ ）是一款運行于Windows 2000系統(tǒng)的個人防火墻軟件

A ．綠色警戒1.1版

B ．冰河2.2版

C ．Sendmail

D ．Portscan2000

16．有關(guān)軟件ping 的描述, 不正確的是( )

A ．是一個用來維護(hù)網(wǎng)絡(luò)的軟件

B ．基于ICMP 協(xié)議

C ．用于測試主機(jī)連通性

D ．出站和入站服務(wù)一般都沒有風(fēng)險

17．Tcp_Wrapper是一款工具軟件，它不提供（ ）的功能

A ．訪問測試機(jī)制

B ．對訪問/ect/inetd.conf文件中的服務(wù)的請求的記錄

C ．應(yīng)用層和網(wǎng)絡(luò)層網(wǎng)關(guān)

D ．報告遠(yuǎn)程主機(jī)的主機(jī)名服務(wù)

18．美國國家標(biāo)準(zhǔn)局于上個世紀(jì)年代公布的DES 加密算法, 是一種密碼算法 （ ）

A ．60，分組

B ．70，分組

C ．60，公鑰

D ．70，公鑰

19．美國國防部在他們公布的可信計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)中，將計算機(jī)系統(tǒng)的安全級別分為四類七個安全級別，其中描述不正確的是（ ）

A ．A 類的安全級別比B 類高

B ．C1類的安全級別比C2類要高

C ．隨著安全級別的提高，系統(tǒng)的可恢復(fù)性就越高

D ．隨著安全級別的提高，系統(tǒng)的可信度就越高

20．利用強(qiáng)行搜索法搜索一個8位的口令要比搜索一個6位口令平均多用大約（ ）倍的時間，這里假設(shè)口令所選字庫是常用的95個可打印字符。

A ．10

B ．100

C ．10000

D ．100000

21．不屬于代理服務(wù)器缺點的是（ ）

A ．某些服務(wù)同時用到TCP 和UDP ，很難代理

B ．不能防止數(shù)據(jù)驅(qū)動侵襲

C ．一般來講，對于新的服務(wù)難以找到可靠的代理版本。

D ．一般無法提供日志

22．關(guān)于堡壘主機(jī)上偽域名服務(wù)器不正確的配置是（ ）

A ．可設(shè)置成主域名服務(wù)器

B ．可設(shè)置成輔助域名服務(wù)器

C ．內(nèi)部域名服務(wù)器向它查詢外部主機(jī)信息時，它可以進(jìn)一步向外部其他域名服務(wù)器查詢

D ．可使因特網(wǎng)上的任意機(jī)器查詢內(nèi)部主機(jī)信息

23．口令管理過程中，應(yīng)該（ ）

A ．選用5個字母以下的口令

B ．設(shè)置口令有效期，以此來強(qiáng)迫用戶更換口令

C ．把明口令直接存放在計算機(jī)的某個文件中

D ．利用容易記住的單詞作為口令

24．關(guān)于摘要函數(shù)敘述不正確的是（ ）

A ．輸入任意長的消息，輸出長度固定

B ．輸入的數(shù)據(jù)有很小的變動時，輸出則截然不同

C ．逆向恢復(fù)容易

D ．可防止信息被改動

25．虛擬專用網(wǎng)常用的安全協(xié)議為（ ）

A ．X.25

B ．A TM

C ．Ipsec

D ．NNTP

26．回路級網(wǎng)關(guān)沒有( ) 的功能

A ．在兩個通信站點之間轉(zhuǎn)接數(shù)據(jù)包

B ．對不同協(xié)議提供服務(wù)

C ．對外像代理，對內(nèi)像過濾路由器

D ．對應(yīng)用層協(xié)議做出解釋

27．WWW 服務(wù)中，（ ）

A ．CGI 程序和Java applet程序都可對服務(wù)器端和客戶端產(chǎn)生安全隱患

B ．CGI 程序可對服務(wù)器端產(chǎn)生安全隱患，Java applet 程序可對客戶端產(chǎn)生安全隱患

C ．CGI 程序和Java applet程序都不能對服務(wù)器端和客戶端產(chǎn)生安全隱患

D ．Java applet 程序可對服務(wù)器端產(chǎn)生安全隱患，CGI 程序可對客戶端產(chǎn)生安全隱患

28．ICMP 數(shù)據(jù)包的過濾主要基于（ ）

A ．目標(biāo)端口

B ．源端口

C ．消息類型代碼

D ．ACK 位

29．屏蔽路由器能（ ）

A ．防止DNS 欺騙

B ．防止外部主機(jī)偽裝成其他外部可信任主機(jī)的IP 欺騙

C ．不支持有效的用戶認(rèn)證

D ．根據(jù)IP 地址、端口號阻塞數(shù)據(jù)通過

30．DNS 服務(wù)器到服務(wù)器的詢問和應(yīng)答（ ）

A ．使用UDP 時，用的都是53端口

B ．使用TCP 時，用的都是53端口

C ．使用UDP 時，詢問端端口大于1023，服務(wù)器端端口為53

D ．使用TCP 時，用的端口都大于1023

三．判斷題(10個題，每題1分，共10分)

1．（ ）DNS 服務(wù)器大部分情況下是靠UDP 傳輸?shù)?，有些情況下是靠TCP 傳輸 的。

2．（ ）過濾路由器是否正確配置是被屏蔽主機(jī)型防火墻安全的關(guān)鍵。

3．（ ）根據(jù)《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》，只有新聞網(wǎng)站才有資 格登載境外新聞媒體和互聯(lián)網(wǎng)站發(fā)布的新聞。

4．（ ）防火墻技術(shù)并不只限應(yīng)用于TCP/IP協(xié)議中，類似的技術(shù)可用在任何分組 交換網(wǎng)絡(luò)中。

5．（ ）FTP 標(biāo)準(zhǔn)連接的安全性要大于被動模式連接。

6．（ ）根據(jù)《中國互聯(lián)網(wǎng)絡(luò)域名注冊實施細(xì)則》，個人不能申請域名注冊。

7．（ ）經(jīng)常更換口令往往使人難于記住而造成很大的麻煩，所以我們應(yīng)當(dāng)交替重 復(fù)使用口令。

8．（ ）被屏蔽子網(wǎng)型防火墻中的出站服務(wù)，不一定所有的服務(wù)都經(jīng)過堡壘主機(jī)， 而入站服務(wù)，應(yīng)要求所有服務(wù)都通過堡壘主機(jī)。

9．（ ）數(shù)據(jù)包過濾既可由屏蔽路由器來完成，也可由PC 機(jī)裝上相應(yīng)的軟件來實 現(xiàn)。

10．（ ）在堡壘主機(jī)上配置偽域名服務(wù)器時，有必要保持A 和PTR 記錄的一致性。

四．簡答題（6個題，每題5分，共30分）

1．簡述防火墻概念和功能。

2．簡述數(shù)據(jù)包過濾中對TCP/IP協(xié)議中的檢查的主要信息。

3．為什么在雙宿主主機(jī)上開許多賬戶很危險？

4．簡述域名系統(tǒng)（DNS ）的用途和查詢過程。

5．簡述黑匣子測試法中的端口掃描的大致規(guī)則？

6．簡述黑客攻擊WINDOWS98系統(tǒng)的通常采用的基本步驟。

五．改錯題（本題共10分，每題2分）

1． NFS 服務(wù)器接受客戶端請求的端口號小于1023。

2．整個FTP 會話過程中，數(shù)據(jù)通道和命令通道始終處于連接狀態(tài)。

3．根據(jù)《中國互聯(lián)網(wǎng)絡(luò)域名注冊實施細(xì)則》，由于域名的注冊和使用而引起的域名注冊人與第三方的糾紛，應(yīng)由CNNIC （中國互聯(lián)網(wǎng)絡(luò)互聯(lián)中心）負(fù)責(zé)最終調(diào)停解決。

4．防火墻測試時，應(yīng)對眾所周知端口進(jìn)行掃描

5．VPN （虛擬私用網(wǎng)）一般通過屏蔽路由器實現(xiàn)互聯(lián)

22222222222222222222222222222222222222222222222222222222222222222222222222222

一、選擇題(每題2分，共20分)

1. 將企業(yè)的Intranet 直接接入Internet 時的安全性 D 。

A. 較高

B. 很高

C. 較低

D. 很低

2. 在Intranet 中可以看到各種企業(yè)信息，上網(wǎng)用戶 C 。

A. 可以隨意復(fù)制、查閱以及傳播；

B. 不能隨意復(fù)制以及傳播，但可以隨意查閱；

C. 不能隨意復(fù)制、傳播以及查閱；

D. 可以隨意復(fù)制以及傳播，但不能隨意查閱；

3. 將企業(yè)界如Internet 時，在第三方提供的軟件實現(xiàn)安全保護(hù)，不包括 C 。

A. 包過濾

B. 使用代理

C. 使用交換機(jī)

D. 防火墻

4. 安全管理的目標(biāo)是

A. 保障網(wǎng)絡(luò)正常暢通地工作；

B. 提高網(wǎng)絡(luò)的容錯能力；

C. 提供用戶使用網(wǎng)絡(luò)資源的匯總與統(tǒng)計；

D. 控制用戶對網(wǎng)絡(luò)敏感信息資源的使用；

5. 加密算法若按照密鑰的類型劃分可以分為 A 兩種。

A. 公開密鑰加密算法和對稱密鑰加密算法；

B. 公開密鑰加密算法和算法分組密碼；

C. 序列密碼和分組密碼；

D. 序列密碼和公開密鑰加密算法

6. 計算機(jī)網(wǎng)絡(luò)的根本特點是實現(xiàn)整個網(wǎng)絡(luò)的資源共享。這里的資源是指 B 。

A. 數(shù)據(jù)

B. 硬件和軟件

C. 圖片

D. 影音資料

7. Internet/Intranet采用的安全技術(shù)有 E 和內(nèi)容檢查。

A. 防火墻；

B. 安全檢查；

C. 加密；

D. 數(shù)字簽名；

E. 以上都是；

8. 網(wǎng)絡(luò)權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施，通常可以將用戶劃分為 B 類。

A. 5

B. 3

C. 4

D. 2

9. 開放系統(tǒng)互連安全體系結(jié)構(gòu)中的安全服務(wù)有 D 和非否認(rèn)服務(wù)。

1) 驗證；

2) 訪問控制；

3) 數(shù)據(jù)保密服務(wù)；

4) 數(shù)據(jù)完整性服務(wù)；

A. 1) 和2)

B. 1) 、2) 和3)

C. 2) 和 4)

D. 1) 、2) 、3) 、4)

10. 非否認(rèn)服務(wù)采用兩種形式是 D

1) 密碼機(jī)制

2) 數(shù)字簽名

3) 帶有源證據(jù)的非否認(rèn)服務(wù)

4) 帶有交付證據(jù)的非否認(rèn)服務(wù)

A. 1) 和2)

B. 2) 和3)

C. 2) 和4)

D. 3) 和4)

二、填空題(每題3分，共30分)

1. 網(wǎng)絡(luò)文件系統(tǒng)NFS 向用戶提供了一種 透明地 訪問其他機(jī)器上文件的方式。

2. SNMP是基于 UDP ， 簡單的 網(wǎng)絡(luò)管理協(xié)議。

3. 在邏輯上，防火墻是 過濾濾器 、 限制制器 和 分析器 。

4. 屏蔽路由器是可以根據(jù) 過濾原則 對數(shù)據(jù)報進(jìn)行 阻塞 和 轉(zhuǎn)發(fā) 的路由器。

5. 數(shù)據(jù)完整性包括的兩種形式是 數(shù)據(jù)單元或域的完整性 和 數(shù)據(jù)單元或域的序列的完整性 。

三、簡答題(每題5分，共30分)

1. 簡述防火墻有哪些類型？

2. 訪問控制的策略有哪些？

3. 什么是DNS 欺騙？

4. 什么是網(wǎng)絡(luò)管理服務(wù)？

5. 什么導(dǎo)致了Internet 的不安全？

6. 防火墻的局限有哪些？

四、論述題(20分)

1. 論述數(shù)據(jù)包過濾原理

2. 設(shè)計和構(gòu)造堡壘主機(jī)的基本原則

3. 試論述包過濾防火墻的工作原理

33333333333333333333333333333333333333333333333333333333333333333333333333333

一、填空：（每空1分，共20分）

1. 數(shù)據(jù)包過濾用在__________和__________之間，過濾系統(tǒng)一般一臺路由器或是一臺主

機(jī)。

2. 用于過濾數(shù)據(jù)包的路由器被稱為__________，和傳統(tǒng)的路由器不同，所以人們也稱它為

__________。

3. 代理服務(wù)是運行在防火墻上的__________，防火墻的主機(jī)可以是一個具有兩個網(wǎng)絡(luò)接口

的__________，也可以是一個堡壘主機(jī)。

4. 代理服務(wù)器運行在__________層。它又被稱為__________。

5. 目前市場上有一些代理構(gòu)造工具包，如__________和__________工具箱。

6. 在周邊網(wǎng)上可以放置一些信息服務(wù)器，如WWW 和FTP 服務(wù)器，這些服務(wù)器可能會受到攻

擊，因為它們是__________。

7. 內(nèi)部路由器又稱為__________，它位于__________和__________之間。

8. UDP 的返回包的特點是：目標(biāo)端口是請求包的__________；目標(biāo)地址是請求包的

__________；源端口是請求包的__________；源地址是請求包的__________。

9. FTP 傳輸需要建立兩個TCP 連接：一個是__________；另一個__________。

二、選擇題：（4選1，每題1分，共30分）

1. 計算機(jī)網(wǎng)絡(luò)開放系統(tǒng)互連__________，是世界標(biāo)準(zhǔn)化組織ISO 于1978年組織定義的一

個協(xié)議標(biāo)準(zhǔn)。

A 、七層物理結(jié)構(gòu) B 、參考模型 C 、七層參考模型 D 、七層協(xié)議

2. TCP/IP的層次模型只有__________層。

A 、三 B 、四 C 、七 D 、五

3. IP 協(xié)議位于__________層。

A 、網(wǎng)絡(luò)層 B 、傳輸層 C 、數(shù)據(jù)鏈路層 D 、物理層

4. TCP 協(xié)議位于__________層。

A 、網(wǎng)絡(luò)層 B 、傳輸層 C 、數(shù)據(jù)鏈路層 D 、表示層

5. 大部分網(wǎng)絡(luò)接口有一個硬件地址，如以太網(wǎng)的硬件地址是一個__________位的十六進(jìn)制

數(shù)。

A 、32 B 、48 C 、24 D 、64

6. IP 地址的主要類型有四種，每類地址都是由__________組成。

A 、48位6字節(jié) B 、48位8字節(jié) C 、32位8字節(jié) D 、32位4字節(jié)

7. 硬件地址是__________層的概念。

A 、物理層 B 、網(wǎng)絡(luò)層 C 、應(yīng)用層 D 、數(shù)據(jù)鏈路層

8. TCP 協(xié)議一般用于__________網(wǎng)，向用戶提供一種傳輸可靠的服務(wù)。

A 、局域網(wǎng) B 、以太網(wǎng) C 、廣域網(wǎng) D 、LONWORKS 網(wǎng)

9. UDP 協(xié)議提供了一種傳輸不可靠服務(wù)，是一種__________服務(wù)。

A 、有連接 B 、無連接 C 、廣域 D 、局域

10. HTTP 是__________協(xié)議。

A 、WWW B 、文件傳輸 C 、信息瀏覽 D 、超文本傳輸

11. TCP 協(xié)議在一般情況下源端口號__________。

A 、大于1023小于65535的數(shù) B 、小于1023大于65536的數(shù)

C 、小于65536的數(shù) D 、任意值

12. 邏輯上防火墻是__________。

A 、過濾器、限制器、分析器 B 、堡壘主機(jī)

C 、硬件與軟件的配合 D 、隔離帶

13. 在被屏蔽主機(jī)的體系結(jié)構(gòu)中，堡壘主機(jī)位于__________，所有的外部連接都由過濾路由

器路由到它上面去。

A 、內(nèi)部網(wǎng)絡(luò) B 、周邊網(wǎng)絡(luò) C 、外部網(wǎng)絡(luò) D 、自由連接

14. 在屏蔽的子網(wǎng)體現(xiàn)結(jié)構(gòu)中，堡壘主機(jī)被放置在__________上，它可以被認(rèn)為是應(yīng)用網(wǎng)關(guān)，

是這種防御體系的核心。

A 、內(nèi)部網(wǎng)絡(luò) B 、外部網(wǎng)絡(luò) C 、周邊網(wǎng)絡(luò) D 、內(nèi)部路由器后邊

15. 外部路由器和內(nèi)部路由器一般應(yīng)用__________規(guī)則。

A 、不相同 B 、相同 C 、最小特權(quán) D 、過濾

16. 外部數(shù)據(jù)包過濾路由器只能阻止一種類型IP 欺騙，即__________，而不能阻止DNS 欺

騙。

A 、內(nèi)部主機(jī)偽裝成外部主機(jī)的IP B 、內(nèi)部主機(jī)偽裝成內(nèi)部主機(jī)的IP

C 、外部主機(jī)偽裝成外部主機(jī)的IP D 、外部主機(jī)偽裝成內(nèi)部主機(jī)的IP

17. 最簡單的數(shù)據(jù)包過濾方式是按照__________進(jìn)行過濾。

A 、目標(biāo)地址 B 、源地址 C 、服務(wù) D 、ACK

18. ACK 位在數(shù)據(jù)包過濾中的作用是__________。

A 、不重要 B 、很關(guān)鍵 C 、可有可無 D 、不必考慮

19. 一些所謂“存儲轉(zhuǎn)發(fā)”服務(wù)，如：SMTP 、NNTP 等本身就有代理的特性，所以它們的代

理服務(wù)極易實現(xiàn)，故而稱之為__________。

A 、沒有代理服務(wù)器的代理 B 、客戶代理

C 、服務(wù)器代理 D 、客戶與服務(wù)器代理

20. DES 是對稱密鑰加密算法，__________是非對稱公開密鑰密碼算法。

A 、RAS B 、IDEA C 、HASH D 、MD5

21. 在三種情況下應(yīng)對防火墻進(jìn)行測試：在安裝之后；__________；周期性地對防火墻進(jìn)行

測試，確保其繼續(xù)正常工作。

A 、在網(wǎng)絡(luò)發(fā)生重大變更后 B 、在堡壘主機(jī)備份后

C 、在安裝新軟件之后 D 、在對文件刪除后

22. 在堡壘主機(jī)建立一個域名服務(wù)器，這個服務(wù)器可以提供名字解析服務(wù)，但不會提供

__________信息。

A 、IP 地址的主機(jī)解析 B 、MX 記錄 C 、TXT D 、HINFO 和TXT

23. 頂級域名是INT 的網(wǎng)站是__________。

A 、英特公式 B 、地域組織 C 、商業(yè)機(jī)構(gòu) D 、國際組織

24. 頂級域名是CN 的代表__________。

A 、地域 B 、中國 C 、商業(yè)機(jī)構(gòu) D 、聯(lián)合國

25. DNS 的網(wǎng)絡(luò)活動有兩種，一種是__________；另一種是Zone Transfer（區(qū)域傳輸）。

A 、IP 地址對主機(jī)的解析 B 、主機(jī)對IP 地址的解析

C 、LOOKUP （查詢） D 、LOOLAT （查找）

26. WWW 服務(wù)的端口號是__________。

A 、21 B 、80 C 、88 D 、20

27. Internet 上每一臺計算機(jī)都至少擁有__________個IP 地址。

A 、一 B 、隨機(jī)若干 C 、二 D 、隨系統(tǒng)不同而異

28. TCP 連接的建立使用__________握手協(xié)議，在此過程中雙方要互報自己的初始序號。

A 、三次 B 、二次 C 、連接 D 、ACK

29. 不同的防火墻的配置方法也不同，這取決于__________、預(yù)算及全面規(guī)劃。

A 、防火墻的位置 B 、防火墻的結(jié)構(gòu) C 、安全策略 D 、防火墻的技術(shù)

30. 堡壘主機(jī)構(gòu)造的原則是__________；隨時作好準(zhǔn)備，修復(fù)受損害的堡壘主機(jī)。

A 、使主機(jī)盡可能的簡單 B 、使用UNIX 操作系統(tǒng)

C 、除去無盤工作站的起動 D 、關(guān)閉路由功能

三、簡答題：（每題5分，共30分）

1.

2.

3.

4.

5.

6. 以WWW 服務(wù)為例，說明該服務(wù)是不安全因素？ 簡述黑客的攻擊步驟？常用的技術(shù)手段？ 設(shè)置防火墻的目的？防火墻的功能和局限性？ 簡述SMTP 數(shù)據(jù)包過濾的規(guī)則？ 簡述防火墻技術(shù)中為什么要實行代理？代理服務(wù)的優(yōu)缺點？ 簡述三種數(shù)據(jù)加密方式？四種傳統(tǒng)加密方法？

四、判斷對錯題：（每題1分，共10分）

1. 若A 掌握公鑰，B 掌握私鑰，A 可以用公鑰加密，B 用私鑰解密；B 也可以用私鑰加密，

A 可以公鑰解密。（ ）

2. 犧牲主機(jī)就是堡壘主機(jī)。（ ）

3. Cookie 是“甜點”，在客戶端和服務(wù)器端各有一個，兩個Cookie 不相同。（ ）

4. Java Applet是運行在服務(wù)器端，故而其中的bug 引起的安全漏洞主要在服務(wù)器端。（ ）

5. 口令應(yīng)該至少由6個字符，口令字符最好是數(shù)字、字母和其它字符的混合。（ ）

6. 網(wǎng)絡(luò)安全的威脅主要有以下三點：人為無意失誤；人為惡意攻擊；網(wǎng)絡(luò)軟件的漏洞和后

門。（ ）

7. 上網(wǎng)時計算機(jī)突然出現(xiàn)“藍(lán)屏”，這就是黑客攻擊。（ ）

8. 因為有了偽域名服務(wù)器，所以才有了DNS 欺騙。（ ）

9. Zone Transfer（區(qū)域傳輸）屬于DNS 的一種網(wǎng)絡(luò)活動，它只發(fā)生在服務(wù)器之間，用TCP

服務(wù)。（ ）

10. DNS 服務(wù)器UDP 和TCP 的標(biāo)準(zhǔn)端口都是53，DNS 客戶機(jī)使用大于1023的隨機(jī)端口。

（ ）

五、改錯題：（每題2分，共10分）

1. E_mail地址為：bull dog@ca.yale.edu

更改為：

2. 只要用了防火墻，所有的安全問題都會迎刃而解。

更改為：

3. Socks 提供了一種單獨的代理服務(wù)，屬于應(yīng)用級代理。

更改為：

4. Smtp.sohu.com 收件箱。

更改為：

5. 域名系統(tǒng)DNS 是一個分布式的數(shù)據(jù)庫，用于把主機(jī)域名解析為IP 地址。

更改為：