网络安全管理员

1、 网络系统中风险程度最大的要素是 C 。 A、计算机 B、程序 C、数据 D、系统管理员 2、 在计算机网络安全威胁中，以下属于直接安全威胁的是 A 。

A、偷窃和废物搜寻 B、趁虚而入和偷窃 C、代码炸弹和趁虚而入 D、口令破解和废物搜寻 3、 二、 判断题 三、 简答题

1、 简述IP地址组成、结构和含义及A、B、C三类地址格式的特点、IP地址的管理。

答：为了在确保通信时能相互识别，在Internet上的每台主机都必须有一个唯一的标识，即主机的IP地址。IP协议就是根据IP地址实现信息传递的。

IP地址由32位（即4字节）二进制数组成，为书写方便起见，常将每个字节作为一段并以十进制数来表示，每段间用“。”分隔。例如，202.96.209.5就是一个合法的IP地址。

IP地址由网络标志和主机标志两部分组成。常用的IP地址有A、B、C三类，每类均规定了网络标志和主机标志在32位中所占的位数。这三类IP地址的格式如图所示，它

们的表示范围分别为：

A类地址：1.0.0.0-126.255.255.255 B类地址：128.0.0.0-191.255.255.255 C类地址：192.0.0.0-223.255.255.255 A类地址一般分配给具有大量主机的网络使用。 B类地址通常分配规模中等的网络使用。 C类地址通常分配给小型局域网使用。

2、 列举常见的网络互联设备，并说明各自工作的在OSI的哪一层。

答：（1）中继器和集线器。工作在物理层。 （2）交换机和网桥。工作在数据链路层。 （3）路由器。工作在网络层。 （4）网关。网络层以上。 3、 请介绍Windows系统的安全机制。

答：Windows系统的安全机制： （1）Windows认证机制。 （2）Windows访问控制机制。 （3）Windows审计/日志机制。 （4）Windows协议过滤和防火墙。 （5）Windows文件加密系统。 4、 列举Windows系统常见的漏洞。

答：IIS漏洞、微软数据访问部件（MDAC）漏洞、

NETBIOS/Windows网络共享漏洞、匿名登陆漏洞、LAN Manager身份认证漏洞、Windows弱口令、IE浏览器漏洞、远程注册表访问漏洞。

5、 简述网络监听的防范措施。

答：网络监听的防范措施包括以下几个方面： （1）从逻辑或物理上对网络分段。 （2）以交换式集线器代替共享式集线器。 （3）使用加密技术。 （4）划分VLAN。

6、 请简述口令入侵常用的四种方法。

答：（1）暴力破解。暴力破解基本上是一种被动攻击的方式。黑客在知道用户的帐户号后，利用一些专门的软件强行破解用户口令，这种方法不受网段限制，但需要有足够的耐心和时间。

（2）登录界面攻击法。黑客可以在被攻击的主机上，利用程序伪造一个登录界面，以骗取用户的帐号和密码。当用户在这个伪造界面上键入登录信息后，程序可将用户的输入信息记录并传送到黑客的主机，然后关闭界面，给出提示信息“系统故障”或“输入错误”，要求用户重新登录。重新出现的登录界面才是系统真正的登录界面。

（3）网络监听。黑客可以通过网络监听非法得到用户的口令，由于很多网络协议根本就没有采取任何加密或身

份认证技术，黑客利用数据包截取工具便可很容易收集到用户的帐号和密码。另外，黑客有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登陆信息，从而取得用户密码。

（4）直接侵入网络服务器，获得服务器上的用户口令文件后，用暴力破解程序对口令文件破译，以获得用户口令。

7、 请简述防范口令入侵的三种方案。

答：（1）好的口令是防范口令入侵最基本、最有效的方案。口令设置最好是数字、字母、标点符号、特殊字符的随意组合，英文字母采用大小写混合排列的方式，口令长度达到8位以上。

（2）注意保护口令安全。主要是注意使用口令的物理安全。

（3）保证系统的安全，关闭不必要的服务和端口。 8、 请简述进行防范ARP欺骗的几种方法。

答：对于ARP欺骗的防范，常见的方法有以下几种： （1） 不用把计算机的网络安全信任关系单独建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上。

（2） 在可户端使用arp命令绑定网关的真实MAC地址命令。

（3） 在交换机上做端口与MAC地址的静态绑定。 （4） 在路由器做IP地址与MAC地址的静态绑定。 （5） 管理员定期用响应的IP包中获得一个RARP请求，然后ARP响应的真实情况，发现异常立即处理。同时，管理员要定期轮询，经常检查主机上的ARP缓存。

（6） 使用防火墙连续监控网络。注意在使用SNMP的情况下，ARP的欺骗可能导致陷阱包丢失。 9、 简述包过滤防火墙的工作原理。

答：包过滤防火墙的工作原理：包过滤是第一代的防火墙技术。其技术依据是网络中的分包传输技术，它工作在OSI模型的网络层。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的IP源地址、IP目标地址、封装协议（TCP、UDP、ICMP等）、TCP/UDP源端口和目标端口等。包过滤防火墙又被称为访问控制列表，要遵循的一条基本原则是“最小特权原则”，即明确允许管理员指定希望通过的数据包，而禁止其他的数据包。 10、 简述多协议标签交换（MPLS）的基本原理。

答：多协议标签交换（MPLS）的基本原理则是在报文中增加一个TAG字段，在数据报文经过的路径上的设备根据该标签决定下一步的转发方向。这是完全不同与传统路由器通过查陆游表确定数据报文下一步转发方向的方法，路径上

的路由转发设备需要运行LDP标签分发协议，来相互通知对不同TAG的处理办法。

11、 IPsec有两种工作方式，这两种工作方式的数据包是如何封装的？

答：IPsec有两种工作方式：隧道方式和传输方式。在隧道方式中，整个拥护的IP数据包被用来计算ESP包头，整个IP包被加密并和ESP包头一起被封装在一个新的IP包内。这样当数据在Internet上传送时，真正的源地址和目的地址被隐藏起来。隧道方式数据包如图13-1所示。

原始IP数据包格式

IP头 隧道方式数据包格式

高层协议和数据 新的IP头 IPSec包头原IP头 高层协议和数据 （AHESP） 或 加密部分

图12-1 隧道方式数据

在传输方式中，只有高层协议（TCP、UDP、ICMP等）及数据进行加密。如图12-2。在这种方式下，源地址、目的地址以及所有IP包头的内容都不加密。

原始IP数据包格式

IP头 高层协议和数据 传输方式数据包格式

新的IP头 IPSec包头高层协议和数据 （AHESP） 加密部分 四、 综合题

1、 某公司要在Windows Server 2003上搭建FTP服务器，服务器分配一个静态的公网IP地址202.115.33.2。现就此情况回答下列问题。

（1） 简述安装FTP服务的过程。

（2） 安装完FTP服务后，系统建立了洋使用默认端口的“默认FTP站点”，现在根据公司的需要，新建一个FTP站点，为了不让FTP服务器产生冲突，这个新建的FTP服务器的IP地址和端口号该如何解决（简要给出分析过程）？ （3） 新建FTP站点默认的主目录位置设置在哪里，管理员是否可以进行更换？

答：（1）选择“开始”→“控制面板”→“添加删除程序”，打开“添加删除程序”窗口。单击“添加/删除Windows 组件”，并打开“Windows 组件向导”对话框。双击“应用程序服务器”，继续双击“Internet 信息服务”，选中“文件传输协议（FTP）服务”，单击“确定”→“确定”→“下一步”，进入“完成界面”，点击“完成”按钮。

或（2）由于安装FTP服务器的主机只有一个静态的IP

地址，因此该FTP服务器的IP地址只能为202.115.33.2，而默认FTP站点的端口号是21，由于21端口已经被使用，所有新建的FTP站点只能使用系统尚未使用的其他端口号。

（

3

）

默

认

主

目

录

为%systemdrive%:\\Inetpub\\ftproot，管理员可以更换主目录。 五、 案例分析

1、 某单位有1个总部和6个分部，各个部门都有自己的局域网。该单位申请了6个C类IP地址202.115.10.0/24-202.115.15.0/24,其中总部与分部4公用一个C类地址。现计划将这些部门用路由器互联，网络拓扑结构如图2-2所示。

（1） 该网络采用R1-R7共7台路由器，采用动态路由协议OSPF。由图可见，该网络共划分了3个OOSPF区域，其主干区域为哪个区域？主干区域中，哪个路由器为区域边界路由器？哪个路由器为区域内路由器？

（2） 该单位部门4共有110台PC机，通过交换机连接路由器R5接入网络。其中一台PC机IP地址为202.115.13.5，则其子网掩码应是多少？网关地址应为多少？

答：（1）其主干区域为Area 0,主干区域中，R3为区域

边界路由器，R1、R2为区域内路由器。

（2）子网掩码应是：255.255.255.128，网关地址

应为：202.115.13.1

2、 阅读以下内容，回答问题。

设有A、B、C、D4台主机都处在同一个物理网络中，A主机的IP地址是192.155.12.112,B主机的IP地址是192.155.12.120,C主机的IP地址是192.155.12.126，D主机的IP地址192.155.12.222。共同的子网掩码是255.255.255.224。

（1）A、B、C、D4台主机之间哪些可以直接通信？哪些需要通过设置网关（或路由器）才能通信？请画出网络连接示意图，并著名各个主机的子网地址和主机地址。

（2）若要加入第5台主机E，使它能与D直接通信，其IP地址的设置范围应是多少？

（3）不改变A主机的物理位置，将其IP改为192.155.12.168，试问它的直接广播地址和本地广播地址各是多少？若使用本地广播地址发送信息，请问哪些主机能够收到？

（4）若要使主机A、B、C、D在这个网上都能够直接通信，可采取什么办法？

答：（1）A、B两台主机之间可以直接通信。 A、B与C之间通过路由器方能通信。

A、B与D之间通过路由器方能通信。 C与D之间通过路由器方能通信。 示意图：

（2）IP地址的范围是192.155.12.193至192.155.12.221.

（3）直接广播地址是192.155.12.191. 本地广播地址是255.255.255.255. 若使用本地广播地址255.255.255.255发送信息，B主机可以接收。

（4）将子网掩码改为255.255.255.0(即C类地址的默认值)。