网络安全工程师实操手册情景模拟测试及解答.docxVIP

第PAGE页共NUMPAGES页

网络安全工程师实操手册情景模拟测试及解答

一、选择题（共5题，每题2分）

1.某企业网络中，服务器区域与办公区域通过防火墙隔离。若办公区域用户需访问服务器区某HTTP服务，以下哪项配置最符合最小权限原则？

A.在防火墙上开放TCP80和443端口到服务器区

B.在防火墙上仅开放TCP80端口到服务器区

C.在防火墙上仅开放TCP443端口到服务器区

D.在防火墙上开放所有TCP端口到服务器区

2.以下哪项是检测SQL注入攻击最有效的技术手段？

A.使用WAF拦截所有HTTP请求

B.对所有输入参数进行严格的白名单验证

C.定期更新数据库补丁

D.部署入侵检测系统（IDS）

3.某银行网络管理员发现内部某员工PC突然开始大量发送ARP欺骗包，最可能的原因是：

A.该PC感染了勒索病毒

B.该PC遭受了ARP病毒感染

C.该PC正在进行端口扫描

D.该PC正在进行DDoS攻击

4.在进行漏洞扫描时，发现某服务器存在MS17-010漏洞（SMB服务），以下哪项修复措施最优先？

A.更新所有Windows系统补丁

B.在防火墙上封禁445端口

C.在服务器上部署HIPS

D.限制SMB服务的访问IP范围

5.某企业使用VPN技术远程接入总部网络，若需提高传输安全性，以下哪项措施最有效？

A.使用HTTPoverSSL

B.使用IPSecVPN

C.使用TLS1.3加密

D.使用SSHTUNNELING

二、判断题（共5题，每题2分）

1.(正确)定期对员工进行网络安全意识培训可以显著降低社会工程学攻击的成功率。

2.(错误)零信任架构的核心思想是“默认信任，例外拒绝”。

3.(正确)使用MD5算法对密码进行加密存储存在严重安全隐患。

4.(错误)VPN技术只能用于远程接入，不能用于网络隔离。

5.(正确)防火墙可以基于IP地址、端口、协议等多种字段进行访问控制。

三、简答题（共3题，每题5分）

1.简述SSL/TLS协议在HTTPS通信中的核心工作流程。

2.说明网络钓鱼攻击的主要手段及防范措施。

3.解释什么是APT攻击，并列举三种常见的APT攻击特征。

四、实操题（共2题，每题10分）

1.情景：某企业网络拓扑如下：

-办公区（/24）

-服务器区（/24）

-DMZ区（/24，存放Web服务器）

-外网IP：

要求：

-办公区用户只能访问DMZ区Web服务器（HTTP/HTTPS）

-服务器区只能从DMZ访问Web服务器

-DMZ区无法访问办公区和服务器区

请给出防火墙访问控制策略（至少3条）。

2.情景：某企业发现内部网络存在异常流量，初步怀疑为内部人员使用P2P软件下载恶意软件。要求：

-列出至少3种检测该异常流量的方法

-说明如何定位具体感染设备

-给出至少2项长期防范措施。

五、综合题（共1题，20分）

情景：某金融机构网络遭受勒索病毒攻击，系统被加密，数据无法访问。已知：

-网络拓扑：核心交换机（CiscoCatalyst6500）→防火墙（PaloAltoPA-520）→区域交换机（H3CS5130）→用户终端

-攻击特征：通过MS17-010漏洞传播，加密关键数据文件

-当前已采取措施：隔离受感染主机，备份未受影响数据

要求：

1.分析勒索病毒可能传播路径

2.给出应急响应步骤（至少5步）

3.提出长期防范建议（至少3项）

答案及解析

一、选择题答案及解析

1.C

解析：HTTP服务使用TCP80端口，HTTPS使用TCP443端口。开放443端口可支持加密传输，更符合安全要求。仅开放80端口会限制HTTPS访问，仅开放443端口会拒绝HTTP访问，开放所有端口违反最小权限原则。

2.B

解析：白名单验证是防止SQL注入最直接有效的方法，通过严格限制允许的输入模式，可阻断恶意SQL代码注入。WAF有一定效果但非根本解决，补丁更新是事后修复，IDS是被动检测。

3.B

解析：ARP病毒会伪造ARP表项，导致网络通信中断或数据泄露。勒索病毒主要加密文件，端口扫描和DDoS攻击特征明显不同。

4.A

解析：MS17-010是高危漏洞，应立即修复系统补丁。封禁端口是临时措施，部署HIPS和限制IP范围是辅助手段，优先级最高的是系统补丁。

5.B

解析：IPSecVPN提供端到端加密，比HTTPoverSSL、TLS加密更全面，SSHTUNNELING只适用于特定场景。IPSec是VPN技术的标准实现。

二、判断题答案及解析

1.正确

解析：社会工程学攻击依赖人性弱点，培训可提高员工识别钓鱼邮件、可疑链接等能力。

2.