【正确答案】正确答案：电缆调制解调器，或Cable MODEM

【答案解析】解析：这是一道要求读者掌握HFC宽带接入Internet模型的实际操作题。本题所涉及的知识点如下。 目前，利用75Ω宽带同轴电缆接入到因特网的技术是混合光纤同轴电缆网(HFC网)技术，它采用频分多路复用(FDM)调制方式通过同轴电缆向用户提供Internet接入业务、CATV数据业务等，其上行速率可达10Mb/s，下行速率可达30Mb/s。 HFC宽带接入技术需要在用户端加装电缆调制解调器(Cable MODEM)。该设备用于接收从局端系统(CMTS)送来的QAM调制信号，解调后转换成MPEG2或MPEG2-TS格式的数据帧，以重建传向 10Base-Tx Ethernet接口的以太帧。它从计算机接收到的以太帧被封装在时隙中，经QPSK调制后，通过 HFC网络的上行信道传送给局端系统(CMTS)。 用户端电缆调制解调器(Cable MODEM)至少提供两个物理接口，其中一个接口与75Ω宽带同轴电缆相连接，另一个接口(RJ--45插座)使用双绞线与用户的计算机(或交换机)相连接。

【正确答案】正确答案：(1)A，或IPSec

【答案解析】解析：这是一道要求读者根据具体网络应用进行VPN模式选择的分析理解题。本题的解答思路如下。 ①目前，VPN技术主要采用隧道技术(tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)来保证内部数据在Internet网上的安全传输。构建VPN的三要素是认证、加密和封装化，即对于VPN的工作内容可归纳如下：A．确认通信对方的VPN设备是约定设备的认证操作；B．对数据加密的加密操作；C．将要发送的分组进行封装发往Internet的操作。 ②在TCP/IP协议簇中，在数据链路层利用L2F、PPTP、L2TP协议实现VPN应用；在网络层利用 IPSec协议实现VPN应用；在传输层利用SSL协议实现VPN应用。 ③其中，IPSec是IETF在1998年以RFC形式公布的一组安全协议集，是在IP包级为IP业务提供保护的安全协议标准。其安全体系结构包括安全协议(AH和ESP协议)、安全关联SA、密钥管理协议 (ISAKMP)、认证和加密算法等基本部分。AH协议为IP包提供信息源验证和完整性保证，但它不支持保密服务；ESP协议提供加密保证；密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。 ④安全套接层(SSL)协议是一个协议独立的加密方案，使用TCP 443端口。它为数据报文在TCP/IP协议簇的应用层和传输层之间提供安全的通道。该协议向基于客户机/服务器应用程序提供客户端与服务器之间的保密性、数据完整性和合法性认证等方面的安全服务。 ⑤IPSec的主要优点是它对最终用户和应用程序来说是透明的，即安全服务无须应用程序、其他通信层次和网络部件做任何改动。其主要缺点是对属于不同进程的数据包不作区别，即对所有去往同一地址的 p包将按照相同的加密密钥和访问控制策略来处理。对于本试题，由于公司总部网络和公司分部网络之间需要实现内部机密数据交换、办公自动化(OA)系统、财务系统互联等多种业务，可能有一部分业务需要传输层的TCP协议提供服务，也可能有一部分业务需要使用传输层的UDP协议，因此建议该公司网络选择IPSec VPN模式。

【正确答案】正确答案：网络地址转换，或NAT技术 223.168.9.57，或223.168.9.58

【答案解析】解析：这是一道要求读者掌握NAT基本概念及IP地址计算的分析理解题。本题所涉及的知识点如下。 对于该商务公司内部局域网使用的地址块192.168.10.0/24是私有网络一个IP地址块。电信部门分配给该公司的地址223.168.9.56/30是一个公网IP地址。而网络地址转换(NAT，Network Address Translation)是用于将内部私有网络地址(或某个IP地址)翻译成合法公网IP地址的技术，它工作在TCP/IP协议簇的网络层。 电信部门分配给该公司的IP地址223.168.9.56/30中，“/30”表示二进制数形式的子网掩码前30位为 1，即11111111.11111111.11111111.11111100，将其转化成十进制数形式的子网掩码为255.255.255.252。由子网掩码最右边的两位“00”可计算出每个子网可用的IP地址为2 ² -2=2个(即地址223.168.9.57和 223.168.9.58)。其中，“-2”表示扣除主机地址全0的地址(即223.168.9.56，该地址被保留标志子网本身)，以及主机地址全1的地址(即202.117.12.39，该地址被保留用做子网的广播地址)。 由以上分析可知，在地址块223.168.9.56/30中实际可供该公司使用的公网IP地址只剩余2个 (223.168.9.57、223.168.9.58)。因此该防火墙设备的外网口(WAN□)使用的IP地址可以从地址 223.168.9.57、223.168.9.58中任选一个。

【正确答案】正确答案：(2)B，或蠕虫 (3)C，或nectar-an

【答案解析】解析：这是一道要求读者掌握蠕虫病毒特征及其检查方法的分析理解题。本题所涉及的知识点如下。 ①蠕虫病毒(Worm)是一种利用网络进行复制和传播的计算机病毒，例如冲击波、震荡波、网络天空、熊猫烧香等病毒。它主要通过系统漏洞、聊天软件和E-mail附件等途径进行传播。对于本试题中的 MyDoom病毒具有利用网络进行复制和传播的特性，因此它是一种蠕虫病毒。 ②木马(全称特洛伊木马，Trojan house)是一种基于远程控制的的黑客工具。当服务端用户运行捆绑木马的程序或附件后，木马就会自动复制到Windows的系统文件夹中，然后在注册表、启动组、非启动组中设置好木马的触发条件，并接受来自远程客户端的远程控制命令。 ③引导区病毒主要感染软盘的引导扇区、硬盘的引导扇区或者主引导记录。 ④冲击波(Worm. Blaster)病毒是利用Windows操作系统的RPC DCOM漏洞进行快速传播，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、无法正常上网，甚至导致系统崩溃。 ⑤对于(3)空缺处选项A的“ftp”命令用于服务器与客户机之间传送文件，如果客户机登录到服务器需要进行用户名和密码交互时，可选用参数“-s：filename”，其中filename为保存有用户名和密码的文件名。 ⑥对于(3)空缺处选项B的“arp”命令用于显示和修改地址解析协议(ARP)缓存中的项目。向 ARP缓存添加可将IP地址(InetAddr)解析成物理地址(EtherAddr)的静态项需要使用“-s InetAddr EtherAddr [IfaceAddr]”参数。其中IfaceAddr代表指派给该接口的IP地址。 ⑦对于(3)空缺处选项C的“ipconfig/renew”命令，用于刷新DHCP租约信息，以重新获得IP地址等配置信息。 ⑧对于(3)空缺处选项D的“netstat-an”命令，以数字格式显示当前活跃的网络连接信息来判断是否有MyDoom后门的存在。该命令是参数“-a”和“-n”的组合，“-a”用于显示所有活动的TCP连接及计算机侦听的TCP/UDP端口信息，而“-n”只以数字形式显示活动的TCP连接的地址和端口号信息。

【正确答案】正确答案：网段B中放置Web服务器、邮件服务器、电子商务系统、应用网关。内网中放置存储有商业机密的数据库服务器、存储资源代码的PC和存储私人信息的PC。DMZ是放置公共信息的最佳位置，用户、潜在用户和外部访问者无须通过内网就可以直接获得他们所需要的关于公司的一些信息。带有机密的、私人的信息可以安全地存放入在内网中，即DMZ区的后面。DMZ中服务器不应包含任何商业机密、盗源代码或是私人信息

【答案解析】解析：这是一道要求读者掌握防火墙中DMZ区功能的综合理解题。本题的解答思路如下。 在图3-13拓扑结构图中，该电子商务公司总部网中网段A是其内部局域网，网段B是其防火墙A的 DMZ区(或称为非军事区)。 防火墙的DMZ区允许Internet网的用户有限度地使用其中的资源，即DMZ区是放置公共信息的最佳位置，用户、潜在用户和外部访问者不用通过该电子商务公司的内部局域网就可以直接获得他们所需要的一些信息。通常，DMZ区的安全规则如下：允许外部网络用户使用DMZ区的应用服务(如Web、FTP、 E-mail等)；允许DMZ区内的应用服务器及工作站访问Internet；禁止DMZ区的应用服务器访问内部网络；禁止外部网络非法用户访问内部网络和DMZ区内应用服务器；禁止外部网络ping DMZ区等。 根据以上分析可知，要保证公司的商业机密信息，就要避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所以存储有商业机密的数据库服务器、存储资源代码的PC和存储私人信息的 PC均应部署在公司总部内部局域网中，即图3-13的网段A中。 对于Web服务器、邮件服务器、电子商务系统、应用网关等，这些既要求内外主机对其均可访问，又要保障其安全性的系统则需要将它们部署在防火墙的DMZ区，即图3-13的网段B中。而放置在DMZ区的服务器中不应包含任何商业机密、资源代码或是私人信息，以确保这些数据资源的安全性。