阅读下列说明，回答问题 1 至问题 7，将解答写在答题纸的对应栏内。 【说明】 扫描技术是网络攻防的一种重要手段，在攻和防当中都有其重要意义。nmap 是一个 开放源码的网络扫描工具，可以查看网络系统中有哪些主机在运行以及哪些服务是开放 的。 namp 工具的命令选项: sS 用于实现 SYN 扫描，该扫描类型是通过观察开放端口和关闭端口对探测分组的响应来实现端口扫描的。请根据图 3-1 回答下列问题【问题1】 (2分) 此次扫描的目标主机的IP地址是多少？ 【问题2】(2 分) SYN 扫描采用的传输层

【问题1】(3分）属于账号策略。 账户策略主要包括密码策略和账户锁定策略两种安全设置。
【问题 2】(3分）Abcd321 test123！ 123@host 密码必须符合复杂性要求：启用此策略，用户账户使用的密码必须符合复杂性的要求。 密码复杂性必须符合下列最低要求： 不能包含用户的账户名； 不能包含用户姓名中超过两个连续字符的部分； 至少有六个字符长； 密码总必须包含一下4类字符中的三类字符： 1、英文大写字母（A-Z） 2、英文小写字母(a-z) 3、10个基本数字（0-9） 4、特殊符号（！@#￥%等）

【问题1答案】
nmap -sS 10.0.0.1表示对主机10.0.0.1进行SYN扫描。【问题2答案】TCP SYN扫描又称为半打开扫描。客户端首先向服务器发送SYN连接，如果收到一个来自服务器的SYN／ACK应答，那么可以推断该端口处于监听状态。如果收到一个RST／ACK分组则认为该端口不在监听。

TCP SYN扫描优点：发送SYN包到远程主机，但不会产生任何会话，目标主机几乎不会把连接记入系统日志。（防止对方判断为扫描攻击），扫描速度快，效率高，在工作中使用频率最高。

【问题3答案】

通过设备（防火墙等）检测一段时间内来自同一源地址的SYN分组超过一定阀值，可以认为受到了SYN-flooding攻击。

【问题1】（3分）通过使用扫描器可以发现远程服务器是否存活、它对外开放的各种TCP端口的分配及提供的服务、它所使用的软件版本（如操作系统或其他应用软件的版本）、所存在可能被利用的系统漏洞。【问题2】（3分）漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。【问题3】（3分）（1）0～1023 （2）1024～49151 （3）49152～65535【问题4】（2分）（4）监听状态 （5）不在监听【问题5】（4分）牺牲型蜜罐就是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐实际上是放置在易受攻击地点，假扮为攻击的受害者。它本身也会被攻击者利用来攻击其他的机器。外观型蜜罐技术仅仅对网络服务进行仿真而不会导致机器真正被攻击。当外观型蜜罐受到侦听或攻击时，它会迅速收集有关入侵者的信息。
【解析】
目前使用的IPv4协议支持16位的端口，端口号可使用的范围是0～65535。在这些端口号中，前1024（0～1023）个端口称为熟知端口，这些端口被提供给特定的服务使用，由IANA（Internet Assigned Numbers Authority）管理。第二部分的端口号（1024～49151）叫做注册端口，一般用于客户端连接时随机选择。49152～65535端口叫做动态端口或专用端口，提供给专用应用程序。TCP SYN扫描。这种方法也叫"半打开扫描（Half-open Scanning）"。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接，如果收到一个来自服务器的SYN／ACK应答，那么可以推断该端口处于监听状态。如果收到一个RST／ACK分组则认为该端口不在监听。牺牲型蜜罐就是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐实际上是放置在易受攻击地点，假扮为攻击的受害者。它本身也会被攻击者利用来攻击其他的机器。外观型蜜罐技术仅仅对网络服务进行仿真而不会导致机器真正被攻击。当外观型蜜罐受到侦听或攻击时，它会迅速收集有关入侵者的信息。测量型蜜罐建立在牺牲型蜜罐和外观型蜜罐的基础之上。测量型蜜罐为攻击者提供了高度可信的系统，非常容易访问但是很难绕过，同时，高级的测量型蜜罐还可防止攻击者将系统作为进一步攻击的跳板。

答案：TCP SYN扫描，也叫半打开扫描。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接。从图中可以看出，源主机地址为192.168.220.129；目标主机为192.168.220.1。

答案：TCP协议 TCP SYN扫描是基于TCP协议的三次握手机制进行的。
答案：同步信号，是TCP/IP建立连接时使用的握手信号。 SYN（synchronous）：同步信号，是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。

答案：目标主机开放的端口为：135端口，139端口。 判断依据：如果端口开放，目标主机会响应扫描主机的SYN/ ACK连接请求；如果端口关闭，则目标主机回向扫描主机发送RST的响应。 TCP SYN扫描，也叫半打开扫描。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接，如果收到一个来自服务器的SYN/ACK应答，那么可以推断该端口处于监听状态。如果收到一RST/ACK分组则认为该端口不在监听。而客户端不管收到的是什么样的分组，都向服务器发送一个RST/ACK分组，这样并没有建立一个完整的TCP连接。

答案：没有完成，这样做即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。 半连接（SYN）扫描是端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一指定端口建立连接时候只完成了前两次握手，在第三步时，扫描主机中断了本次连接，使连接没有完全建立起来。这样即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多
答案：（1）UDP （2）* （3）80 （4）0 （5）1 第1条规则，拒绝从外网往内网发送的请求连接信息，所以ACK=0； 第2、3、4条规则，配置允许内网用户访问外部网页服务器。 第2条规则，允许内网往外网服务器80端口发送的请求连接和应答信息，所以目的端口为80； 第3条规则，允许内网向外网域名服务器发送的请求连接和应答信息，所以协议为UDP； 第4条规则，允许外网域名服务器发往内网的应答信息，所以ACK=1； 第5条规则，其他流量一律不允许进出内外部网络，所以协议为*。
答案：在进入方向过滤是为了防止被人攻击，而在出口方向过滤则是为了防止自己成为攻击的源头或者跳板。 防火墙是一种位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过，需要在进出两个方向对防火墙进行过滤设置，在进入方向过滤是为了防止被人攻击，而在出口方向过滤则是为了防止自己成为攻击的源头或者跳板。

【问题1】参考答案：1.B，2.A,3.C 4.D【问题2】5.ethernet 1 6、59.74.221.254【问题3】7) C.deny 8、A 9.F【问题４】10)192.168.4.1
11）192.168.100.0 12）设置接口的类型是trunk
【解析】
【问题1】试题分析：这是一道简单的概念题，考察我们对企业园区网络的基本拓扑结构的了解。通常的企业为了确保内部网络的安全，会设置防火墙，防火墙有3个区域，外网，内网和DMZ区。DMZ通常用于存放各种服务器。因此首先可以选出B这个位置是防火墙，A用于连接Internet，是路由器。DMZ区内部有多台服务器，需要使用交换机连接。【问题3】试题分析：这是网络工程师考试第一次考华为的设备配置，而我们考前准备的都是ios的命令。那这道题是不是很难呢，其实这道题非常简单，只要我们有IOS的命令经验，这道题完全可以自己凭经验做出来，题目出题也是以选择题的形式，因此更加容易，对于没有用过华为设备的考生来说，也是非常简单的。
【问题４】试题分析：这道题同样是基本的配置，掌握基本命令即可。