【计算机类职业资格】软件水平考试（中级）网络工程师下午应用技术（网络安全）历年真题试卷汇编1及答案解析.doc

1、软件水平考试（中级）网络工程师下午应用技术（网络安全）历年真题试卷汇编 1及答案解析(总分：66.00，做题时间：90 分钟)一、试题一(总题数：9，分数：66.00)1.试题一（）_阅读以下说明，回答问题。说明某公司通过 PIX防火墙接入 Internet，网络拓扑如图 61所示。（分数：8.00）(1).解析(1)、(2)处画线语句的含义。（分数：2.00）_(2).根据配置信息，再填充表 6-1。 （分数：2.00）_(3).根据所显示的配置信息，由 inside域发往 Internet的 IP分组，在到达路由器 R1时的源 TP地址是(7)。（分数：2.00）_(4).如果需要在 DM

2、Z域的服务器(IP 地址为 10100100)上对 Internet用户提供 Web服务(对外公开IP地址为 611445143)，请补充完成下列配置命令。 PIX(config)#static(dmz，outside)(8)(9) PIX(config)#conduit permit tcp host (10)eq www any（分数：2.00）_阅读以下说明，回答问题。(2008 年上半年，试题四) 说明某公司采用 100 Mbps的宽带接入Internet，公司内部有 15台 PC机，要求都能够上网。另外有 2台服务器对外分别提供 Web和 E-mail服务，采用防火墙接入公网，拓扑结

3、构如图 62所示。 （分数：8.00）(1).如果防火墙采用 NAPT技术，则该单位至少需要申请(1)个可用的公网地址。（分数：2.00）_(2).下面是防火墙接口的配置命令。 fire(config)#ip addresS outside 20213413598 255255255252 fire(config)#ip addresS inside 1921 6 84 61 2552552550 fire(confiq)#ip address dmz 10001 2552552550 根据以上配置，写出图 6-2中防火墙各个端口的 IP地址。 e0： (2) el： (3) e2： (4)（

4、分数：2.00）_(3).ACL默认执行顺序是(5)，在配置时要遵循(6)原则、最靠近受控对象原则以及默认丢弃原则。 (5)、(6)备选答案： A最大特权 B最小特权 C随机选取 D自左到右 E自上而下 F自下而上 要禁止内网中 IP地址为 198168468 的 PC机访问外网，正确的 ACL规则是(7)。 Aaccess-list 1 permit ip 192168460 000255 any access-list 1 deny ip host 198168468 any Baccess-list 1 permit ip host 198168468 any access-list 1

5、 deny ip 192168460 000255 any Caccess-list 1 deny ip 192168460 000255 any access-list 1 permit ip host 198168468 any Daccess-list 1 deny ip host 198168468 any access-list 1 permit ip 192168460 000255 any（分数：2.00）_(4).下面是在防火墙中的部分配置命令，请解释其含义。 global(outside)l 20213413598-2 02134135100 (8) conduit perm

6、it top host 2 0213413599 eq www any (9) 3ccess-list 10 permit ip any any (10)（分数：2.00）_阅读以下说明，回答问题。(2012 年上半下午试题四)说明某企业在部门 A和部门 B分别搭建了局域网，两局域网通过两台 Windows Server 2003服务器连通，如图 6-25所示，要求采用 IPSec安全机制，使得部门 A的主机 PCI可以安全访问部门 B的服务器 S1。 （分数：8.00）(1).IPSec工作在 TCPIP 协议栈的皿层，为 TCPIP 通信提供访问控制、数据完整性、数据源验证、抗重放攻击、机

7、密性等多种安全服务。IPSec 包括 AH、ESP 和 ISAKMPOakley 等协议，其中，盟为 IP包提供信息源和报文完整性验证，但不支持加密服务；盟提供加密服务。（分数：2.00）_(2).IPSec支持传输和隧道两种工作模式，如果要实现 PCI和 S1之间端到端的安全通信，则应该采用(4)模式。（分数：2.00）_(3).如果 IPSec采用传输模式，则需要在 PCI和(5)上配置 IPSec安全策略。在 PCI的 IPSec“IP筛选器属性”对话框(见图 6-26)中，源 IP地址应设为(6)，目标 IP地址应设为(7)。 （分数：2.00）_(4).如果要保护部门 A和部门 B之

8、间所有的通信安全，则应该采刚隧道模式，此时需要在 ServerA和盟上配置 IPSec安全策略。在 ServerA的 IPSec筛选器属性埘话框中(地图 627)，源 IP子网的 IP地址应设为盟，目标子网 IP地址应设为(10)，源地址和目标地址的子网掩码均设为 2552552550。ServerA的 IPSec规则设置中(见图 628)，指定的隧道端点 IP地址应设为(11)。 （分数：2.00）_阅读以下说明，回答问题。(2010 年下半年下午试题四) 说明某企业在公司总部和分部之间采用两台Windows Server 2003服务器部署企业 IPSec VPN，将总部和分部的两个子网通

9、过 Intemet互联，如图 6-29所示。 （分数：8.00）(1).隧道技术是 VPN的基本技术，隧道是由隧道协议形成的，常见隧道协议有 IPSec、PPTP 和 L2TP。其中(1)和(2)属于第二层隧道协议，(3)属于第三层隧道协议。（分数：2.00）_(2).IPSec安全体系结构包括 AH、ESP 和 ISAKMPOakley 等协议。其中，(4)为 IP包提供信息源验证和报文完整性验证，但不支持加密服务；(5)提供加密服务；(6)提供密钥管理服务。（分数：2.00）_(3).设置 ServerA和 ServerB之间通信的筛选器属性界面如图 6-30所示，在 ServerA的 I

10、PSec安全策略配置过程中，当源地址和目标地址均设置为“一个特定的 IP子网”时，源子网 IP地址应设为(7)，目标子网 IP地址应设为(8)。图 6-31所示的隧道设置中的隧道终点 IP地址应设为(9)。 （分数：2.00）_(4).在 ServerA的 IPSec安全策略配置过程中，ServerA 和 ServerB之间通信的 IPSec筛选器“许可”属性设置为“协商安全”，并且安全措施为“加密并保持完整性”，如图 6-32所示。根据上述安全策略填写图 6-33中的空格，表示完整的 IPSec数据包格式。 （分数：2.00）_阅读以下说明，回答问题。(2009 年下半年，试题五) 说明某单

11、位网络拓扑结构如图 6-34所示，要求配置 IPSec VPN使 101020124 网段能够连通 101010224 网段，但 101030124 网段不能连通 101010224 网段。 （分数：6.00）(1).根据网络拓扑和要求，解释并完成路由器 R1上的部分配置。R1(config)#crypto isakmp enable (启用 IKE)R1(config)#crypto isakmp (1)20 (配置 IKE策略 20)R1(config-isakmp)#authentication pre-share (2)R1(config-isakmp)#exitR1(config)#

12、crypto isakmp key 37 8 address 19216822(配置预共享密钥为 378)R1(config)#access-list 101 permit ip (3) 0002 55 (4) 0002 55(设置 ACL)（分数：2.00）_(2).根据网络拓扑和要求，完成路由器 R2上的静态路由配置。R2(config)#ip route(5)2552552550 19216811R2(config)#ip route 1010300 2552552550 (6)R2(config)#ip route 1010100 2552552550 19216822（分数：2.00

13、）_(3).根据网络拓扑和 R1的配置，解释并完成路由器 R3的部分配置。R3(config)#crypto isakmp key(7)address(8)R3(config)crypto ttansform-set testvpn ah-md5-hmac esp-des esp-md5-hmac (9)R3(cfg-crypto-trans)#exitR3(config)#crypto map test 20 ipsec-isakmpR3(config-Crypto-map)#set peer 19216811R3(config-crypto-map)#set transform-set (

14、10)（分数：2.00）_阅读以下说明，回答问题。(2009 年上半年，试题二) 说明某公司总部服务器 1的操作系统为 Windows Server 2003，需安装虚拟专用网(VPN)服务，通过 Internet与子公司实现安全通信，其网络拓扑结构和相关参数如图 6-35所示。 （分数：12.00）(1).在 Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现 VPN服务：(1)和L2TP，L2TP 协议将数据封装在(2)协议帧中进行传输。（分数：2.00）_(2).在服务器 1中，利用 Windows Server 2003的管理工具打开“路由和远程访问”控

15、制台，在所列出的本地服务器上选择“配置并启用路由和远程访问”，然后选择配置“远程访问(拨号或 VPN)”服务，在图6-36所示的界面中，“网络接 N”应选择(3)。 (3)备选答案： A连接 1 B连接 2（分数：2.00）_(3).为了加强远程访问管理，新建一条名为“Sublnc”的访问控制策略，允许来自子公司服务器 2的 VPN访问。在图 6-37所示的配置界面中，应将“属性类型(A)”的名称为(4)的值设置为“Layer Two Tunneling Protocol”，名称为(5)的值设置为“Virtual(VPN)”。 编辑 Sublnc策略的配置文件，添加“入站 IP筛选器”，在如图

16、 6-38所示的配置对话框中，IP 地址应填为(6)，子网掩码应填为(7)。（分数：2.00）_(4).子公司的 PC1安装 Windows XP操作系统，打开“网络和 Internet连接”窗口，若要建立与公司总部服务器的 VPN连接，在如图 6-39所示的窗口中应该选择(8)，在图 6-40所示的配置界面中应填写(9)。（分数：2.00）_(5).用户建立的 VPN连接 xd2的属性如图 6-41所示，启动该 VPN连接时是否需要输入用户名和密码?为什么?（分数：2.00）_(6).图 6-42所示的配置窗口中所列协议“不加密的密码(PAP)”和“质询握手身份验证协议(CHAP)”有何区别

17、? （分数：2.00）_阅读以下说明，回答问题。(2009 年上半年，试题四) 说明某公司总部和分支机构的网络配置如图 6-43所示，在路由器 R1和 R2上配置 IPSec安全策略，实现分支机构和总部的安全通信。（分数：8.00）(1).图 6-44中(a)、(b)、(c)、(d)为不同类型 IPSec数据包的示意图，其中(1)和(2)工作在隧道模式；(3)和(4)支持报文加密。 （分数：2.00）_(2).下面的命令在路由器 R1中建立 IKE策略，请补充完成命令或说明命令的含义。 R1(config)#crypto isakmp policy 110 进入 ISAKMP配置模式 R1(c

18、onfigisakmp)#encryption des (5) R1(configisakmp)# (6) 采用 MD5散列算法 R1(configisakmp)#authentication pre-share (7) R1(configisakmp)#group 1 R1(configisakmp)#lifetime (8) 安全关联生存期为 1天（分数：2.00）_(3).R1与 R2之间采用预共享密钥“12345678”建立 IPSec安全关联，请完成下面配置命令 R1(config)#crypt isakmp key 12345678 addresS (9) R2(config)#c

19、rypt is8kmp key 12345678 address (10)（分数：2.00）_(4).请完成以下 ACL配置，实现总部主机 10013 和分支机构主机 10023 的通信。 R1(config)#access-list 110 permit ip host (11)host (12) R2(config)#access-list 110 permit ip host (13)host 10013（分数：2.00）_阅读以下说明，回答问题。 说明2007 年春，ARP 木马大范围流行。木马发作时，计算机网络连接正常却无法打开网页。由于 ARP木马发出大量欺骗数据包，导致网络用户上

20、网不稳定，甚至网络短时瘫痪。（分数：8.00）(1).ARP木马利用皿协议设计之初没有任何验证功能这一漏洞而实施破坏。（分数：2.00）_(2).在以太网中，源主机以(2)上方式向网络发送含有目的主机 IP地址的 ARP请求包；目的主机或另一个代表该主机的系统，以(3)方式返回一个含有目的主机 IP地址及其 MAC地址对的应答包。源主机将这个地址对缓存起来，以节约不必要的 ARP通信开销。ARP 协议(4)必须在接收到ARP 请求后才可以发送应答包。(2)备选答案： A单播 B多播 C广播 D任意播 (3)备选答案： A单播 B多播 C广播 D任意播 (4)备选答案： A规定 B没有规定（分数

21、：2.00）_(3).ARP木马利用感染主机向网络发送大量虚假 ARP报文，主机(5)导致网络访问不稳定。例如，向被攻击主机发送的虚假 ARP报文中，目的 IP地址为(6)，目的 MAC地址为(7)，这样会将同网段内其他主机发往网关的数据引向发送虚假 ARP报文的机器，并抓取数据包截取用户口令信息。 (5)备选答案： A只有感染 ARP木马时才会 B没有感染 ARP木马时也有可能 C感染 ARP木马时一定会 D感染 ARP木马时一定不会 (6)备选答案： A网关 IP地址 B感染木马的主机 IP地址 C网络广播 IP地址 D被攻击主机 IP地址 (7)备选答案： A网关 MAC地址 B被攻击主

22、机 MAC地址 C网络广播 MAC地址 D感染木马的主机 MAC地址（分数：2.00）_(4).网络正常时，运行如下命令，可以查看主机 ARP缓存中的 IP地址及其对应的 MAC地址。 c：arp(8) (8)备选答案： A-s B-d Call D-a 假设在某主机运行上述命令后，显示如图 6-46中所示信息。 00-10-db-92-aa-30是正确的 MAC地址。在网络感染 ARP木马时，运行上述命令可能显示如图 6-47中所示信息。 （分数：2.00）_软件水平考试（中级）网络工程师下午应用技术（网络安全）历年真题试卷汇编 1答案解析(总分：66.00，做题时间：90 分钟)一、试题一

23、(总题数：9，分数：66.00)1.试题一（）_解析：阅读以下说明，回答问题。说明某公司通过 PIX防火墙接入 Internet，网络拓扑如图 61所示。（分数：8.00）(1).解析(1)、(2)处画线语句的含义。（分数：2.00）_正确答案：(正确答案：(1)添加可监听的 FTP服务端口 21 (2)定义外部默认路由 611445145，跳数为 1)解析：解析：fixup 命令的作用是启用、禁止和改变一个服务或协议。通过 PIX防火墙配置，PIX 防火墙侦听由 fixup命令指定的端口。 fixup protocol ftp 2 1 #启用 ftp协议，并指定 ftp的端口号为 21 ro

24、ute命令用于设置指向内网和外网的静态路由。 route outSide 0000 0000 611445145 1 #定义外部默认路由 611445145，跳数为 1(2).根据配置信息，再填充表 6-1。 （分数：2.00）_正确答案：(正确答案：(3)19216801 (4)255255255248 (5)eth2 (6)101001)解析：解析：程序解释如下。 nameif eth0 outSide security 0 eth0 #被命名为外部接口(outside)，安全级别是 0 nameif eth1 inside security 100 eth1 #被命名为内部接口(insi

25、de)，安全级别是 100 nameif eth2 dmz security 40 dmz #被命名为外部接口(outside)，安全级别是 40 ip addresS outSide 611445142 255255255248 #设置外部接口的 IP为 611445142，子网掩码为255255255248 ip addreSS inside 19216801 2552552550 #设置内部接口的 IP为19216801，子网掩码为 2552552550 ip addresS dmz 101001 2552552550 #设置 DMZ接口的 IP为 101001，子网掩码为 255255

26、2550(3).根据所显示的配置信息，由 inside域发往 Internet的 IP分组，在到达路由器 R1时的源 TP地址是(7)。（分数：2.00）_正确答案：(正确答案：(7)611445146)解析：解析：global(outside)1611445146 表示内网的主机通过 PIX防火墙访问外网时，PIX 防火墙将使用 611445146 为要访问外网的主机分配一个全局 IP地址。 nat(inside)10000 0000 表示启用 nat，内网的所有主机都可以访问外网。(4).如果需要在 DMZ域的服务器(IP 地址为 10100100)上对 Internet用户提供 Web服

27、务(对外公开IP地址为 611445143)，请补充完成下列配置命令。 PIX(config)#static(dmz，outside)(8)(9) PIX(config)#conduit permit tcp host (10)eq www any（分数：2.00）_正确答案：(正确答案：(8)101001 00 (9)611445143(10)611445143)解析：解析：PIX(config)#statiC(dmz，outside)10100100 611445143 #任何外部主机访问611445143 时，防火墙都映射到 10100100 这个地址 PIX(config)#condu

28、it permit tcp host 611445143 eq WWW any #允许任何外部主机对全局地址 611445143 的这台主机进行http访问阅读以下说明，回答问题。(2008 年上半年，试题四) 说明某公司采用 100 Mbps的宽带接入Internet，公司内部有 15台 PC机，要求都能够上网。另外有 2台服务器对外分别提供 Web和 E-mail服务，采用防火墙接入公网，拓扑结构如图 62所示。 （分数：8.00）(1).如果防火墙采用 NAPT技术，则该单位至少需要申请(1)个可用的公网地址。（分数：2.00）_正确答案：(正确答案：(1)1)解析：(2).下面是防火墙

29、接口的配置命令。 fire(config)#ip addresS outside 20213413598 255255255252 fire(config)#ip addresS inside 1921 6 84 61 2552552550 fire(confiq)#ip address dmz 10001 2552552550 根据以上配置，写出图 6-2中防火墙各个端口的 IP地址。 e0： (2) el： (3) e2： (4)（分数：2.00）_正确答案：(正确答案：(2)192168461(3)20213413598(4)10001)解析：(3).ACL默认执行顺序是(5)，在配置时

30、要遵循(6)原则、最靠近受控对象原则以及默认丢弃原则。 (5)、(6)备选答案： A最大特权 B最小特权 C随机选取 D自左到右 E自上而下 F自下而上 要禁止内网中 IP地址为 198168468 的 PC机访问外网，正确的 ACL规则是(7)。 Aaccess-list 1 permit ip 192168460 000255 any access-list 1 deny ip host 198168468 any Baccess-list 1 permit ip host 198168468 any access-list 1 deny ip 192168460 000255 any C

31、access-list 1 deny ip 192168460 000255 any access-list 1 permit ip host 198168468 any Daccess-list 1 deny ip host 198168468 any access-list 1 permit ip 192168460 000255 any（分数：2.00）_正确答案：(正确答案：(5)E 或自上而下 (6)B 或最小特权 (7)D 或 access-list 1 deny ip host 198168468 any access-list 1 permit ip 1 92168460 00

32、0255 any)解析：(4).下面是在防火墙中的部分配置命令，请解释其含义。 global(outside)l 20213413598-2 02134135100 (8) conduit permit top host 2 0213413599 eq www any (9) 3ccess-list 10 permit ip any any (10)（分数：2.00）_正确答案：(正确答案：(8)指定外网口 IP地址范围为 20213413598202134135100 (9)允许任意外网主机访问 20213413599 提供的 www服务 (10)允许任意 IP数据包进出)解析：阅读以下说明

33、，回答问题。(2012 年上半下午试题四)说明某企业在部门 A和部门 B分别搭建了局域网，两局域网通过两台 Windows Server 2003服务器连通，如图 6-25所示，要求采用 IPSec安全机制，使得部门 A的主机 PCI可以安全访问部门 B的服务器 S1。 （分数：8.00）(1).IPSec工作在 TCPIP 协议栈的皿层，为 TCPIP 通信提供访问控制、数据完整性、数据源验证、抗重放攻击、机密性等多种安全服务。IPSec 包括 AH、ESP 和 ISAKMPOakley 等协议，其中，盟为 IP包提供信息源和报文完整性验证，但不支持加密服务；盟提供加密服务。（分数：2.00

34、）_正确答案：(正确答案：(1)网络层(2)AH(3)ESP)解析：解析：IPSec(Security Architecture for IP network，IP 层协议安全结构)工作在 TCPIP 协议栈的网络层。IPsec 认证头(AH)提供了数据完整性和数据源认证，但不提供保密服务；IPsec 封装安全负荷(ESP)提供了数据加密功能，它利用对称密钥对 IP数据进行加密。(2).IPSec支持传输和隧道两种工作模式，如果要实现 PCI和 S1之间端到端的安全通信，则应该采用(4)模式。（分数：2.00）_正确答案：(正确答案：(4)传输模式)解析：解析：IPsec 提供了两种模式，即传输模式和隧道模式。在传输模式中，IPsec 认证头(AH)或IPsec封装安全负荷(ESP)头插入原来的 IP头之后；而在隧道模式中，IPsec 用新的 IP头封装了原来的IP数据报。(3).如果 IPSec采用传输模式，则需要在 PCI和(5)上配置 IPSec安全策略。在 PCI的 IPSec“IP筛选器属性”对话框(见图 6-26)中，源 IP地址应设为(6)，目标 IP地址应设为(7)。 （分数：2.00）_正确答案：(正确答案：(5)S1(6)19216812(7)19216822)解析：解析：由图 6-25可知，在 PC1和