【正确答案】 D

【正确答案】 B

【正确答案】 B

【正确答案】 A

【正确答案】 C

【答案解析】[解析] 当传输实体所在的系统失效并且重新启动后，所有活动连接的状态(state)信息都会丢失。受其影响的连接形成了半开放状态，但是没有失效的一方，还没有认识到这个问题。
半连接中仍旧活动的一方可以使用放弃(give-up)定时器来关闭连接。该定时器测量一个段重发最大次数后等待应答(acknowledgment)的时间。当该定时器超时(expires)后，传输实体假定对方传输实体或中向的网络己经失效。结果是，定时器关闭连接，并向传输用户发出非正常关闭的通知。
在一个传输实体失效并且很快重启动的情况下，使用RST段可以更快地终止半连接。失效一方对它接收到的每一个段i，返回一个RST_i。当RST_i到达另一边时，应该验证它的序号(sequence)i，因为RST有可能是对老数据段的响应。如果重启是有效的，传输实体将完成非正常终止过程。

【正确答案】 D

【答案解析】[解析] 依题意，由于在发送方的两次加密过程均使用密钥K1，在接受方的两次解密过程也均使用密钥K1，因此这种3DES(也称为Triple DES)密钥的有效长度为56×2=112位，其加密效果相当于DES的56位密钥长度的加密效果的2倍。

【正确答案】 B

【答案解析】本题考查实现防火墙的主要技术的基础知识。
从技术角度来看，防火墙主要包括包过滤防火墙、状态检测防火墙、电路级网关、应用级网关和代理服务器。
1．包过滤防火墙
包过滤防火墙(Package Filtering)也叫网络级防火墙，如下图所示。一般是基于源地址、目的地址、应用、协议及每个IP包的端口来做出通过与否的判断。通常用一台路由器实现。它的基本思想很简单：对所接收的每个数据包进行检查，根据过滤规则，然后决定转发或者丢弃该包，对进出两个方向上都要进行配置。
[*]
包过滤防火墙进行数据过滤时，查看包中可用的基本信息(源地址、目的地址、端口号、协议等)。过滤器往往建立一组规则，防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则。一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
建立包过滤防火墙的过程如下：
(1)对来自专用网络的包，只允许来自内部地址的包通过，因为其他的包包含不正确的包头信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且如果黑客对专用网络内部的主机具有不知从何得来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。
(2)在公共网络，只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许了与Web连接使用相同端口的连接，所以它并不是十分安全。
(3)丢弃从公共网络传入的包，而这些包都有用户的网络内的源地址，从而减少IP欺骗性的攻击。
(4)丢弃包含源路由信息的包，以减少源路由攻击。要记住在源路由攻击中，传入的包包含路由信息，它覆盖了包通过网络应采取的正常路由，可能会绕过已有的安全程序。通过忽略源路由信息，防火墙可以减少这种方式的攻击。
包过滤路由器的优点如下：
(1)防火墙对每条传入和传出网络的包实行低水平控制。
(2)每个IP包的字段都被检查，如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
(3)防火墙可以识别和丢弃带欺骗性源IP地址的包。
(4)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。
(5)包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。
总的来说，包过滤路由器实现简单、费用低、对用户透明、效率高。
包过滤路由器的缺点有以下几点：
(1)配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。然而在市场上，许多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化用户界面的配置和更直接的规则定义。
(2)为特定服务开放的端口存在着危险，可能会被用于其他传输。例如Web服务器默认端口为80，当计算机上又安装了RealPlayer，软件会自动搜寻可以允许连接到RealAudio服务器的端口，而不管这个端口是否被其他协议所使用，这样，无意中RealPlayer就利用了Web服务器的端口。
(3)可能还有其他方法绕过防火墙进入网络，如拨入连接。但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。
总的来说，包过滤路由器有维护困难、不支持用户鉴别的缺点。
2．状态检测防火墙
状态检测防火墙试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的，因此，状态检测防火墙也称动态包过滤防火墙。
当包过滤防火墙见到一个网络包，包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息，则该包被认为是无状态的，它仅是存在而已。
一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，如已有的网络连接、数据的传出请求等。
例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。
一个状态/动态检测防火墙可截断所有传入的通信，而允许所有传出的通信。因为防火墙跟踪内部传出的请求，所有按要求传入的数据被允许通过，直到连接被关闭为止。只有未被请求的传入通信被截断。
如果在防火墙内正运行一台服务器，配置就会变得稍微复杂一些，但状态包检查是很有力和适应性的技术。如可以将防火墙配置成只允许从特定端口进入的通信，只可传到特定服务器。如果正在运行Web服务器，防火墙只将80端口传入的通信发到指定的Web服务器。
状态/动态检测防火墙可提供的额外服务有以下两种。
(1)将某些类型的连接重定向到审核服务中去。如到专用Web服务器的连接，在Web服务器连接被允许之前，可能被发送到SecutID服务器(用一次性口令来使用)。
(2)拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含ActiveX程序的Web页面。
跟踪连接状态的方式取决于包通过防火墙的类型。
(1)TCP包。当建立起一个TCP连接时，通过的第一个包被标有包的SYN标志。通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包，允许响应及随后在两个系统之间的包，直到连接结束为止。在这种方式下，传入的包只有在它是响应一个已建立的连接时，才会被允许通过。
(2)UDP包。UDP包比TCP包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包是否应被允许通过。如果防火墙跟踪包的状态，就可以确定。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。和TCP包一样，没有传入的UDP包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和UDP包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。
状态/动态检测防火墙的优点有以下几点：
(1)检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。
(2)识别带有欺骗性源IP地址包的能力。
(3)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。
(4)基于应用程序信息验证一个包状态的能力，如基于一个已经建立的FTP连接，允许返回的FTP包通过。
(5)基于应用程序信息验证一个包状态的能力，如允许一个先前认证过的连接继续与被授予的服务通信。
(6)记录有关通过的每个包的详细信息的能力。基本上防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求、连接的持续时间、内部和外部系统所做的连接请求等。
状态/动态检测防火墙的缺点如下：
状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。
3．电路级网关
电路级网关工作与会话层用来监控受信任端与不受信任的主机间的TCP握手信息。它作为服务器接收外来的请求并转发请求，在TCP握手过程中，检查双方的SYN、ACK和序列数据是否合理逻辑，来判断该请求的会话是否合法。一旦该网关认为会话是合法的，就会为双方建立连接，自此网关仅复制、传递数据，而不进行过滤。电路级网关通常需要依靠特殊的应用程序来进行复制传递数据的服务。实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起，所以有人也把电路级网关等同为应用级网关。电路级网关是在OSI模型中会话层上来过滤数据包。它无法检查应用层级的数据包。最流行的电路级网关是IBM发明的socks网关。很多产品(包括微软的Microsoft ProxyServer)都支持socks。
电路级网关的主要优点就是提供NAT，在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关是基于和包过滤防火墙一样的规则。电路级网关提供包过滤提供的所有优点但却没有包过滤的缺点。
其缺点是不能很好地区别好包与坏包、易受IP欺骗这类的攻击、需要修改应用程序和执行程序及复杂性、电路级网关要求终端用户通过网关的认证。
4．应用级网关
应用级网关可以工作在OSI/RM的任一层上来检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。常用的应用级防火墙已有了相应的代理服务器，如HTTP、NNTP、FTP、Telnet、Rlogin、X-Window等，但是对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录才能访问Internet或Intranet。
应用级网关的优点在于它易于记录并控制所有进出通信，并对Internet的访问做到内容级的过滤，控制灵活而全面，安全性高。应用级网关具有登记、日志、统计和报告功能，有很好的审计功能，还具有严格的用户认证功能。
应用级网关的确定是需要为每种应用写不同的代码，维护比较困难，另外详细的检查也导致速度比较慢。
5．代理服务器
代理服务器作用在应用层，它用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接的作用。内部网络只接收代理提出的服务请求，拒绝外部网络其他结点的直接请求。
具体来说，代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序；防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问Internet并被内部主机访问的堡垒主机。这些程序接收用户对Internet服务的请求，并按照一定的安全策略将它们转发到实际的服务中。代理提供替代连接并且充当服务的网关。
包过滤技术和应用网关通过特定的逻辑判断来决定是否允许特定的数据通过，其优点是速度快、实现方便。缺点是审计功能差，过滤规则的设计存在矛盾关系，即如果过滤规则简单，则安全性差；如果过滤规则复杂，则管理困难。一旦判断条件满足，防火墙内部网络的结构和运行状态便会暴露在外部。代理技术则能进行安全控制和加速访问，有效地实现防火墙内外计算机系统的隔离，安全性好，以及实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此实现也困难。
实际应用中，防火墙实际很少采用单一的技术，通常是多种解决不同问题的技术的组合。在实际设计中还涉及用户的需求、用户可接受的风险等级、用户的资金、专长等因素。

【正确答案】 D

【答案解析】[解析] 在网络环境中，可执行程序、脚本文件、网页、电子邮件、网络电子贺卡及电子卡通图片等都有可能携带计算机病毒。除了传统的汇编语言、C语言之外，以JavaScript和VBScript为首的脚本语言也成为流行的病毒编写语言。利用新的编程语言与编程技术实现的计算机病毒更易于被修改以产生新的变种，从而逃避反病毒软件的搜索。 防火墙用于检测通过网络的数据包，只能对网络连接和数据包进行封堵，而病毒可以通过文件等诸多途径入侵用户的计算机，因此防火墙不能有效地防御病毒。

【正确答案】 B

【答案解析】本题考查BGP及路由的基本知识。 AS之间采用距离路径路由协议，所选择的路由包含路径上的全部结点，而非距离向量路由协议那样只有下一跳结点。BGP-4协议是目前用于AS之间进行路由选择的路由协议，在每个AS内选择1个边界路由器，负责本AS与其他AS之间的路由选择，称为BGP发言人。所选择的路由由一系列BGP发言人构成，这样构成AS之间的完整路径。

【正确答案】 A

【答案解析】[解析] 在距离一向量路由选择协议中，“好消息传播得快，而坏消息传播得慢”，这就导致了当路由信息发生变化时，该变化未能及时地被所有路由器知道，而仍然可能在路由器之间进行传递，这就是“慢收敛”现象。慢收敛是导致发生路由环路的根本原因。

【正确答案】 B

【答案解析】[解析] 目前，在交换设备中常用的VLAN协议有ISL(Cisco公司内部交换链路协议)、IEEE 802.10(原为FDDI的安全标准协议)和国际标准IEEE 802.1Q。其中，ISL(Inter-Switch Link)是Cisco交换机内部链路的一个VLAN协议，仅适用于Cisco设备。IEEE 802.1Q俗称“Dot One Q”(dotlq)，是经过IEEE认证的一个VLAN协议，它是一个国际标准。IEEE 802.1Q可用于不同厂家的交换设备互连，是实现VLANTrunk的唯一标准协议。因此，在不同厂家交换机互连，要实现VLAN Trunk功能时，必须在直接相连的两台交换机端口上都封装IEEE 802.1Q协议，从而保证协议的一致性，否则不能正确地传输多个VLAN的信息。

【正确答案】 C

【答案解析】本题考查密钥管理方面的基本知识。 密钥的传送是信息安全的重要环节，显然上述A、B、D方案都不能较好地保证密钥的安全。

【正确答案】 C

【答案解析】[解析] 流(Flow)是指Internet上从特定的源站到特定的目的站的单播或组播数据分组，所经过的路径上的路由器都能保证指定的服务质量。IPv6协议头部中的源地址、目的地址和流标号字段唯一地标识一个流。

【正确答案】 A

【答案解析】本题考查软件生存周期模型的知识。 瀑布模型(Waterfall Model)是一个项目开发架构，开发过程是通过设计一系列阶段顺序展开的，从系统需求分析开始直到产品发布和维护，每个阶段都会产生循环反馈，因此，如果有信息未被覆盖或者发现了问题，那么最好“返回”上一个阶段并进行适当的修改，项目开发进程从一个阶段“流动”到下一个阶段，这也是瀑布模型名称的由来。包括软件工程开发、企业项目开发、产品生产以及市场销售等构造瀑布模型。 演化模型是一种全局的软件(或产品)生存周期模型。属于迭代开发方法。 该模型可以表示为：第一次迭代(需求→设计→实现→测试→集成)→反馈→第二次迭代(需求→设计→实现→测试→集成)→反馈一……，即根据用户的基本需求，通过快速分析构造出该软件的一个初始可运行版本，这个初始的软件通常称之为原型，然后根据用户在使用原型的过程中提出的意见和建议对原型进行改进，获得原型的新版本。重复这一过程，最终可得到令用户满意的软件产品。采用演化模型的开发过程，实际上就是从初始的原型逐步演化成最终软件产品的过程。演化模型特别适用于对软件需求缺乏准确认识的情况。 螺旋模型将瀑布模型和快速原型模型结合起来，强调了其他模型所忽视的风险分析，特别适合于大型复杂的系统。 螺旋模型沿着螺线进行若干次迭代，包括以下活动。 (1)制定计划：确定软件目标，选定实施方案，弄清项目开发的限制条件。 (2)风险分析：分析评估所选方案，考虑如何识别和消除风险。 (3)实施工程：实施软件开发和验证。 (4)客户评估：评价开发工作，提出修正建议，制定下一步计划。 螺旋模型由风险驱动，强调可选方案和约束条件，从而支持软件的重用，有助于将软件质量作为特殊目标融入产品开发之中。 喷泉模型是一种以用户需求为动力，以对象为驱动的模型，主要用于采用对象技术的软件开发项目。该模型认为软件开发过程自下而上周期的各阶段是相互迭代和无间隙的特性。软件的某个部分常常被重复工作多次，相关对象在每次迭代中随之加入渐进的软件成分。无间隙指在各项活动之间无明显边界，如分析和设计活动之间没有明显的界限，由于对象概念的引入，表达分析、设计、实现等活动只用对象类和关系，从而可以较为容易地实现活动的迭代和无间隙，使其开发自然地包括复用。 喷泉模型不像瀑布模型那样，需要分析活动结束后才开始设计活动，设计活动结束后才开始编码活动。该模型的各个阶段没有明显的界限，开发人员可以同步进行开发。其优点是可以提高软件项目开发效率，节省开发时间，适应于面向对象的软件开发过程。由于喷泉模型在各个开发阶段是重叠的，因此在开发过程中需要大量的开发人员，不利于项目的管理。此外，这种模型要求严格管理文档，使得审核的难度加大，尤其是面对可能随时加入各种信息、需求与资料的情况。

【正确答案】 A

【答案解析】本题考查加密算法方面的基本知识。
1978年出现了著名的RSA(Rivest-Shamir-Adleman)算法。这是一种公钥加密算法，这种算法为公用网络上信息的加密和鉴别提供了一种基本方法。它通常是由密钥管理中心先生成一对RSA密钥，其中之一称为私钥，由用户保存；另一个称为公钥，可对外公开，甚至可在网络服务器中注册。在传送信息时，常采用私钥加密方法与公钥加密方法相结合的方式，即信息采用改进的DES或IDEA对话密钥加密，然后，使用RSA密钥加密对话密钥和信息摘要。对方收到信息后，用不同的密钥解密并可核对信息摘要。
密钥管理中心产生一对公钥和私钥的方法如下：在离线方式下，先产生两个足够大的质数p、q，计算n=p×q和z=(p-1)×(q-1)，再选取一个与z互为素数的奇数e，称e为公开指数；从这个e值可以找出另一个值d，并能满足e×d=1mod(z)条件。由此得到的两组数(n，e)和(n，d)分别被称为公开密钥和保密密钥，或简称公钥和私钥。
RSA算法之所以具有安全性，是基于数论中的一个特性事实：即将两个大的质数合成一个大数很容易，而相反的过程则非常困难。在当今技术条件下，当n足够大时，为了找到d，欲从n中通过质因子分解试图找到与d对应的p、q是极其困难甚至是不可能的。由此可见，RSA的安全性是依赖于作为公钥的大数n的位数长度的。为保证足够的安全性，一般认为现在的个人应用需要用384或512位的n，公司需要用1024位的n，极其重要的场合应该用2048位的n。
RSA算法的加密密钥和加密算法分开，使得密钥分配更为方便。它特别符合计算机网络环境。对于网上的大量用户，可以将加密密钥用电话簿的方式印出。如果某用户想与另一用户进行保密通信，只需从公钥簿上查出对方的加密密钥，用它对所传送的信息加密后发出即可。对方收到信息后，用仅为自己所知的解密密钥将信息解密，从而获知报文的内容。由此可看出，RSA算法解决了大量网络用户密钥管理的难题。不过RSA并不能替代DES，它们的优缺点正好互补。RSA的密钥很长，加密速度慢；DES正好弥补了RSA的缺点。即DES用于明文加密，RSA用于DES密钥的加密。因为DES加密速度快，适合加密较长的报文；而RSA可解决DES密钥分配的问题。美国的保密增强邮件(PEM)就是采用了RSA和DES结合的方法，目前已成为E-mail保密通信标准。
RSA是一种分组密码算法，以分组(即数据块，不是指网络层的分组)为单位进行加解密，每一个分组看成一个数据，其值小于n，即必须小于等于Log₂ⁿ位，在实际应用中，分组的大小是k位，其中2^k＜n≤2^k+1。n=pq，p、q是两个素数，由p、q计算n很容易，但由n计算p、q却很难。此题中，p=37，q=53，n=pq=1961。因为2¹⁰＜1961≤2¹¹，所以，每个分组的位数为10位。

【正确答案】 A

【答案解析】[解析] 程序员在编写基于B/S架构的网络应用服务程序时，由于编程水平及经验的限制，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户只要提交一段数据库查询代码，就能根据程序返回的结果获得某些数据，这就是所谓的SOL注入攻击。 Land攻击是向某个设备发送数据包，并将数据包的源IP地址和目的IP地址都设置成攻击目标的地址。 通常，暴力攻击是指使用特定的程序(或软件)强行自动猜测相应文件(或网站等)的相关口令的行为。 源路由欺骗攻击是指通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作。

【正确答案】 D

【答案解析】[解析] 在三层交换机配置模式中，运行show arp命令可查看地址解析协议表，即IP地址与MAC地址之间的映射关系。仔细阅读图15-2所示的三层交换机的输出信息，图中IP地址10.3.9.55、10.3.9.23、10.3.9.54、10.3.9.65、10.3.9.66、10.3.9.71、10.3.9.74、10.3.9.75、10.3.9.84、10.3.9.96、10.3.9.161的MAC址址均为0030.18A8.67A3。而ARP欺骗攻击的典型特征是：受到攻击的计算机会伪造某台计算机的MAC地址(例如伪造网关服务器的MAC地址)，从而在网络中产生大量的ARP通信量使网络阻塞(经常瞬断)，甚至导致整个网络无法上网。因此造成网段10.3.9.0/24的所有计算机无法访问Internet的一种可能原因是：该网段中至少有一台计算机受到了ARP欺骗攻击。 由于该公司内部网络的“其他部门的计算机均能正常访问Internet”，因此可排除选项A和选项B。 Land攻击的典型特征是：受到攻击的计算机会收到源IP地址和目的IP地址均为本机IP地址的数据包，这些数据包将造成本机因试图与自己建立连接而陷入死循环状态。据此可排除选项C。