2025年網(wǎng)絡與信息安全管理員三級考試模擬試題(含答案)(網(wǎng)絡安全防護)一、單項選擇題（共20題，每題1分，共20分）1.以下哪種攻擊方式屬于主動攻擊？A.網(wǎng)絡嗅探B.ARP欺騙C.流量分析D.數(shù)據(jù)截獲答案：B（主動攻擊涉及修改或偽造數(shù)據(jù)，ARP欺騙通過偽造ARP響應干擾通信；其余選項為被動攻擊，僅獲取信息不修改）2.某企業(yè)Web服務器開放端口8080提供HTTP服務，配置防火墻時應允許的協(xié)議和端口組合是？A.TCP8080B.UDP8080C.ICMP8080D.TCP80答案：A（HTTP默認端口80，但題目中明確為8080，且HTTP基于TCP協(xié)議）3.以下不屬于入侵檢測系統(tǒng)（IDS）功能的是？A.實時監(jiān)控網(wǎng)絡流量B.阻斷惡意連接C.生成攻擊報警日志D.分析異常行為模式答案：B（IDS主要負責檢測和報警，阻斷功能屬于入侵防御系統(tǒng)IPS）4.若某主機IP為0/24，其默認網(wǎng)關最可能的地址是？A.B.55C.D.答案：C（/24子網(wǎng)掩碼為，網(wǎng)關通常為子網(wǎng)內(nèi)第一個可用地址）5.以下哪種加密算法屬于非對稱加密？A.AES256B.DESC.RSAD.RC4答案：C（RSA使用公鑰和私鑰對，其余為對稱加密算法）6.SQL注入攻擊的核心目標是？A.竊取用戶CookieB.繞過身份認證C.非法操作數(shù)據(jù)庫D.破壞服務器硬件答案：C（通過拼接惡意SQL語句直接操作數(shù)據(jù)庫）7.某網(wǎng)絡設備日志顯示“SYN_RECV狀態(tài)連接數(shù)異常激增”，最可能遭遇的攻擊是？A.DNS緩存投毒B.SYNFloodC.端口掃描D.暴力破解答案：B（SYNFlood攻擊通過發(fā)送大量半連接（SYN_RECV）耗盡服務器資源）8.以下哪個協(xié)議用于安全傳輸文件？A.FTPB.TFTPC.SFTPD.HTTP答案：C（SFTP基于SSH協(xié)議，提供加密傳輸；FTP和TFTP為明文傳輸）9.訪問控制模型中，“用戶權限由系統(tǒng)管理員統(tǒng)一分配”屬于？A.自主訪問控制（DAC）B.強制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）答案：B（MAC由系統(tǒng)強制實施，不依賴用戶自主設置；DAC允許用戶自主分配權限）10.漏洞掃描工具Nessus的核心功能是？A.阻斷惡意流量B.檢測系統(tǒng)漏洞C.加密通信數(shù)據(jù)D.監(jiān)控用戶行為答案：B（Nessus是專業(yè)漏洞掃描器，用于發(fā)現(xiàn)系統(tǒng)、服務的已知漏洞）11.以下哪個端口通常用于SMTP服務？A.21B.25C.110D.143答案：B（21為FTP，110為POP3，143為IMAP）12.防范XSS攻擊的關鍵措施是？A.關閉不必要的端口B.對用戶輸入進行轉(zhuǎn)義C.定期更新防火墻規(guī)則D.限制數(shù)據(jù)庫權限答案：B（XSS通過注入惡意腳本攻擊，輸入轉(zhuǎn)義可過濾危險字符）13.以下哪種攻擊利用了操作系統(tǒng)或應用程序的未修復漏洞？A.社會工程學B.零日攻擊（Zeroday）C.口令猜測D.釣魚攻擊答案：B（零日攻擊針對未公開或未修復的漏洞）14.某企業(yè)網(wǎng)絡劃分VLAN的主要目的是？A.提升網(wǎng)絡傳輸速率B.隔離廣播域，增強安全性C.簡化IP地址分配D.支持無線接入答案：B（VLAN通過邏輯劃分隔離廣播域，限制不同部門間的非法訪問）15.以下哪項屬于物理安全防護措施？A.部署入侵檢測系統(tǒng)B.機房安裝門禁系統(tǒng)C.定期更新殺毒軟件D.配置防火墻策略答案：B（物理安全涉及設備、場地的實體保護，門禁屬于此類）16.以下哪種加密方式用于WiFi6的WPA3協(xié)議？A.WEPB.TKIPC.AESCCMPD.DES答案：C（WPA3采用更安全的AESCCMP取代WPA2的TKIP）17.某日志中出現(xiàn)“403Forbidden”狀態(tài)碼，表明？A.服務器內(nèi)部錯誤B.未找到請求資源C.客戶端權限不足D.請求超時答案：C（403表示服務器理解請求但拒絕執(zhí)行，通常因權限問題）18.以下哪項是DDoS攻擊的典型特征？A.單一源IP發(fā)送大量請求B.流量突然激增且源IP分散C.目標服務器CPU使用率降低D.網(wǎng)絡延遲穩(wěn)定答案：B（DDoS通過僵尸網(wǎng)絡（Botnet）多源攻擊，導致流量暴增）19.配置防火墻時，“拒絕所有未明確允許的流量”遵循的原則是？A.最小權限原則B.縱深防御原則C.最小暴露原則D.職責分離原則答案：A（最小權限原則要求僅開放必要服務，其余默認拒絕）20.以下哪個工具常用于網(wǎng)絡流量抓包分析？A.WiresharkB.MetasploitC.JohntheRipperD.Netcat答案：A（Wireshark是主流抓包工具；Metasploit用于滲透測試，John用于破解密碼，Netcat用于網(wǎng)絡連接測試）二、多項選擇題（共10題，每題2分，共20分，多選、錯選不得分，少選得1分）1.常見的Web應用層攻擊包括？A.SQL注入B.DDoSC.XSSD.CSRF答案：ACD（DDoS屬于網(wǎng)絡層攻擊，其余為應用層攻擊）2.以下屬于訪問控制技術的有？A.防火墻規(guī)則B.口令認證C.角色權限分配D.數(shù)字簽名答案：ABC（數(shù)字簽名用于數(shù)據(jù)完整性和身份驗證，非訪問控制）3.漏洞生命周期管理的關鍵步驟包括？A.漏洞掃描B.漏洞驗證C.漏洞修復D.漏洞報告答案：ABCD（完整流程包括掃描、驗證、報告、修復、驗證修復效果）4.以下哪些措施可防范ARP欺騙？A.綁定IP與MAC地址B.啟用靜態(tài)ARP表C.部署ARP防火墻D.關閉所有網(wǎng)絡接口答案：ABC（關閉接口不可行，其余為有效防護手段）5.加密技術的主要用途包括？A.數(shù)據(jù)機密性B.數(shù)據(jù)完整性C.身份認證D.訪問控制答案：ABC（訪問控制通過權限管理實現(xiàn)，非加密直接用途）6.以下屬于網(wǎng)絡層協(xié)議的有？A.IPB.TCPC.UDPD.ICMP答案：AD（TCP、UDP屬于傳輸層）7.防火墻的常見部署模式包括？A.路由模式B.透明模式C.旁路模式D.混合模式答案：ABD（旁路模式是IDS的部署方式，防火墻通常為路由或透明模式）8.以下哪些日志需要重點監(jiān)控？A.防火墻訪問日志B.服務器系統(tǒng)日志C.數(shù)據(jù)庫操作日志D.打印機狀態(tài)日志答案：ABC（打印機日志與網(wǎng)絡安全關聯(lián)度較低）9.防范暴力破解攻擊的措施包括？A.啟用賬戶鎖定策略B.使用復雜口令C.部署驗證碼D.關閉所有遠程登錄答案：ABC（關閉遠程登錄影響正常使用，非合理措施）10.以下屬于無線局域網(wǎng)安全協(xié)議的有？A.WEPB.WPAC.WPA2D.WPS答案：ABC（WPS是簡化連接的協(xié)議，存在安全隱患，非防護協(xié)議）三、填空題（共10題，每題1分，共10分）1.TCP三次握手的第二步是服務器向客戶端發(fā)送（SYNACK）包。2.常見的漏洞掃描工具除Nessus外，還有（OpenVAS）（任寫一個）。3.防火墻狀態(tài)檢測技術通過跟蹤（五元組）信息（源IP、目的IP、源端口、目的端口、協(xié)議）來管理連接。4.Web應用防火墻（WAF）主要部署在（應用層），用于防護SQL注入、XSS等攻擊。5.非對稱加密中，用于加密的密鑰是（公鑰），用于解密的是（私鑰）。6.常見的DDoS攻擊防護設備是（流量清洗設備/抗DDoS網(wǎng)關）。7.訪問控制的三要素是主體、客體和（控制策略）。8.端口掃描工具（nmap）可用于探測目標主機開放的端口和服務。9.漏洞修復的優(yōu)先級通常根據(jù)（漏洞風險等級/CVSS評分）確定。10.安全套接層協(xié)議（SSL）的后續(xù)演進版本是（TLS）。四、簡答題（共5題，第13題每題5分，第45題每題8分，共31分）1.（封閉型）簡述防火墻包過濾技術與狀態(tài)檢測技術的核心區(qū)別。答案：包過濾技術基于五元組（源IP、目的IP、源端口、目的端口、協(xié)議）對每個數(shù)據(jù)包獨立檢查，不跟蹤連接狀態(tài)；狀態(tài)檢測技術不僅檢查五元組，還通過狀態(tài)表記錄連接的上下文（如TCP連接的SYN、ACK標志），確保只有合法連接的后續(xù)包通過，安全性更高。2.（封閉型）列舉至少3種常見的漏洞掃描類型，并說明其特點。答案：①主機掃描：針對單臺主機的系統(tǒng)漏洞、補丁安裝情況檢測，需安裝代理或遠程掃描；②網(wǎng)絡掃描：通過網(wǎng)絡探測目標開放的端口、服務及對應漏洞，無需主機配合；③Web應用掃描：專門檢測Web應用的SQL注入、XSS等漏洞，模擬用戶請求測試；④數(shù)據(jù)庫掃描：針對數(shù)據(jù)庫的弱口令、權限配置錯誤等特定漏洞檢測。3.（開放型）某企業(yè)員工通過移動設備接入公司內(nèi)網(wǎng)，可能面臨哪些安全風險？提出至少3項防護措施。答案：風險包括：移動設備丟失導致數(shù)據(jù)泄露、設備感染惡意軟件傳播至內(nèi)網(wǎng)、未授權設備接入繞過訪問控制、移動應用存在漏洞被利用。防護措施：①部署移動設備管理（MDM）系統(tǒng)，強制安裝安全軟件、設置屏幕鎖；②啟用802.1X認證或VPN接入，僅允許授權設備連接；③實施網(wǎng)絡訪問控制（NAC），檢查設備安全狀態(tài)（如補丁、殺毒軟件更新）后再放行；④限制移動設備對敏感資源的訪問權限（最小權限原則）。4.（分析型）某公司W(wǎng)eb服務器日志中出現(xiàn)以下記錄，請分析可能的攻擊類型及應對措施：```2024100514:23:4500GET/user?name=admin'HTTP/1.12002024100514:23:4600GET/user?name=admin'OR1=1HTTP/1.1200```答案：攻擊類型：SQL注入攻擊。日志中請求參數(shù)包含單引號（'）、注釋符（）和邏輯表達式（OR1=1），是典型的SQL注入嘗試，目的是繞過身份驗證或獲取數(shù)據(jù)庫數(shù)據(jù)。應對措施：①啟用Web應用防火墻（WAF），過濾包含SQL特征的請求；②對用戶輸入進行嚴格校驗（如白名單過濾、轉(zhuǎn)義特殊字符）；③使用預編譯語句（PreparedStatement）或ORM框架，避免動態(tài)拼接SQL；④限制數(shù)據(jù)庫用戶權限（如僅允許查詢，禁止刪除操作）；⑤定期審計Web應用代碼，修復注入漏洞。5.（綜合型）為某企業(yè)設計一個包含防火墻、入侵檢測系統(tǒng)（IDS）、漏洞掃描器的網(wǎng)絡安全防護方案，需說明各設備的部署位置、功能及協(xié)同工作流程。答案：部署方案：①防火墻：部署在企業(yè)外網(wǎng)與內(nèi)網(wǎng)邊界（如路由器與核心交換機之間），采用路由模式。功能：基于策略過濾進出流量，阻止非法訪問（如禁止外網(wǎng)主動訪問內(nèi)網(wǎng)8080端口以外的服務）。②IDS：部署在核心交換機鏡像端口（旁路模式），監(jiān)控內(nèi)網(wǎng)與外網(wǎng)、內(nèi)網(wǎng)各區(qū)域間的流量。功能：分析流量中的攻擊特征（如SQL注入特征碼）或異常行為（如某主機突然大量訪問數(shù)據(jù)庫端口），生成報警日志。③漏洞掃描器：部署在內(nèi)網(wǎng)管理區(qū)（如安全運維終端），定期掃描內(nèi)網(wǎng)服務器、終端及網(wǎng)絡設備。功能：檢測系統(tǒng)漏洞（如未打補丁的Windows系統(tǒng)）、配置錯誤（如開放不必要的端口），生成漏洞報告。協(xié)同流程：①防火墻根據(jù)預設策略放行合法流量，阻斷明顯惡意流量（如源IP在黑名單中的請求）；②IDS實時監(jiān)控所有通過防火墻的流量，發(fā)現(xiàn)攻擊特征（如匹配規(guī)則庫中的XSS攻擊模式）后，向管理員發(fā)送報警，并將攻擊源IP、攻擊類型等信息同步至防火墻；③防火墻收到IDS報警后，動態(tài)添加臨時阻斷規(guī)則（如封禁攻擊源IP30分鐘）；④漏洞掃描器每周對全網(wǎng)資產(chǎn)掃描，生成漏洞報告（如某Web服務器存在CVE20241234漏洞），管理員根據(jù)報告修復漏洞后，掃描器再次驗證修復效果；⑤管理員定期分析防火墻日志（記錄流量統(tǒng)計）、IDS日志（記錄攻擊事件）、掃描報告（記錄漏洞狀態(tài)），優(yōu)化防火墻策略（如開放新業(yè)務端口）、更新IDS規(guī)則庫（添加最新攻擊特征）、調(diào)整掃描計劃（如增加關鍵服務器掃描頻率）。五、應用題（共1題，19分）某企業(yè)網(wǎng)絡拓撲如下：外網(wǎng)：通過運營商路由器連接至Internet；邊界區(qū)域：部署防火墻（FW1）、入侵防御系統(tǒng)（IPS1）；DMZ區(qū)：部署Web服務器（IP：0）、郵件服務器（IP：0）；內(nèi)網(wǎng)：包含辦公終端（/24）、數(shù)據(jù)庫服務器（0）；管理區(qū)：部署漏洞掃描器（0）、日志服務器（0）。請完成以下任務：1.設計FW1的基礎訪問控制策略（至少5條），要求遵循最小權限原則。（8分）2.說明IPS1的部署位置及檢測攻擊的典型場景。（5分）3.制定漏洞掃描器對Web服務器的掃描計劃（包括掃描頻率、掃描類型、掃描后操作）。（6分）答案：1.FW1基礎訪問控制策略（示例）：①允許外網(wǎng)→DMZWeb服務器：TCP80/443（HTTP/HTTPS服務）；②允許外網(wǎng)→DMZ郵件服務器：TCP25（SMTP）、110（POP3）、143（IMAP）；③允許內(nèi)網(wǎng)辦公終端→DMZWeb服務器：TCP80/443（訪問內(nèi)部Web應用）；④允許內(nèi)網(wǎng)辦公終端→內(nèi)網(wǎng)數(shù)據(jù)庫服務器：僅允許指定IP（如開發(fā)部門0）訪問TCP3306（MySQL）；⑤拒絕所有其他未明確允許的流量（默認拒絕策略）；⑥允許管理區(qū)漏洞掃描器→所有區(qū)域：TCP22（SSH）、443（HTTPSAPI）（用于遠程掃描）；⑦允許所有區(qū)域→日志服務器：UDP514（Syslog）、TCP6514（加密Syslog）（日志傳輸）。2.IPS1部署位置及檢測場景：部署位置：串聯(lián)在防火墻與DMZ區(qū)之間