網(wǎng)絡管理員網(wǎng)絡安全

1、 模擬 網(wǎng)絡管理員網(wǎng)絡安全( 二)選擇題第1題：下面不屬于訪問控制策略的是 _。A. 加口令B. 設置訪問權限C.加密D.角色認證參考答案： C網(wǎng)絡安全技術包括防火墻技術、加密技術、用戶識別技術、訪問控制技術、入侵檢測技術等。訪問控制是控制不同用戶對信息資源的訪問權限， 加密不屬于訪問控制策略。第2題：網(wǎng)絡通信中廣泛使用的DES加密算法屬于 _。A. 對稱加密B. 非對稱加密C. 公開密鑰加密D. 不可逆加密參考答案： A數(shù)據(jù)加密算法 (DES)是最典型的對稱加密算法，目前被廣泛地采用，主要用于銀行業(yè)中的電子資金轉(zhuǎn)賬領域。第3題：下面關于數(shù)字簽名的說法中，不正確的是_。A. 數(shù)字簽名可以保證數(shù)

2、據(jù)的完整性B. 發(fā)送方無法否認自己簽發(fā)的消息C. 接收方可以得到發(fā)送方的私鑰D. 接收方可以確認發(fā)送方的身份參考答案： C數(shù)字簽名的主要功能是： 保證消息傳輸?shù)耐暾浴?發(fā)送者的身份認證、 防止交易中的抵賴發(fā)生。 如果甲想要在給乙的消息中創(chuàng)建一個數(shù)字簽名， 首先需要創(chuàng)建一個公鑰 / 私鑰對，并把公鑰給乙，甲把要發(fā)送給乙的消息作為一個單項散列函數(shù)的輸入，散列函數(shù)的輸出就是消息摘要， 甲用他的私鑰加密消息摘要， 就得到數(shù)字簽名。如果乙計算出來的消息摘要與甲解密后的消息相匹配， 則證明了該消息1的完整性并驗證了消息的發(fā)送方是甲。 如果甲要抵賴曾發(fā)送消息給乙， 乙可將密文和解密出的明文出示給第三方，

3、第三方很容易用甲的公鑰去證實甲曾發(fā)送該消息給乙。第4題：數(shù)字證書通常采用 _格式。A.X.400B.X.500C.X.501D.X.509參考答案： DX.509 定義了一種通過 X.500 目錄提供認證服務的框架， 該目錄可以看成是公鑰證書的數(shù)據(jù)庫，每個證書包含了一個可信機構(gòu)簽名的用戶公鑰。第5題：下列攻擊行為中屬于被動攻擊的是_。A. 假冒B. 偽造C.DoSD. 監(jiān)聽參考答案： D被動攻擊的特性是對傳輸進行竊聽和監(jiān)測， 以獲得傳輸?shù)男畔ⅲ?但不影響系統(tǒng)資源。主動攻擊欲改變系統(tǒng)資源或影響系統(tǒng)運作。主動攻擊包括偽裝、重放、消息篡改、拒絕服務 (DoS)、分布式拒絕服務 (DDoS)。第6題：

4、甲和乙要進行保密通信，甲采用_加密數(shù)據(jù)文件，乙使用自己的私鑰進行解密。A. 甲的公鑰B. 甲的私鑰C. 乙的公鑰D. 乙的私鑰參考答案： C第7題：下面關于防火墻的說法，正確的是_。A. 防火墻一般由軟件以及支持該軟件運行的硬件系統(tǒng)構(gòu)成2B. 防火墻只能防止未經(jīng)授權的信息發(fā)送到內(nèi)網(wǎng)C.防火墻一般能準確地檢測出攻擊來自哪一臺計算機D.防火墻的主要支撐技術是加密技術參考答案： A防火墻是在網(wǎng)絡之間通過執(zhí)行控制策略來保護網(wǎng)絡的系統(tǒng)， 包括硬件和軟件。 設置防火墻的目的是保護內(nèi)部網(wǎng)絡資源不被外部非授權用戶使用， 防止內(nèi)部受到外部非法用戶的攻擊， 新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸。根

5、據(jù)防火墻的實現(xiàn)技術， 可將防火墻分為多種， 但原理是一樣的， 都是通過監(jiān)測并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。第8題：為使某 Web服務器通過默認端口提供網(wǎng)頁瀏覽服務，以下 Windows防火墻的設置中正確的是 _。A.B.C.D.參考答案： BWeb服務器通過 HTTP協(xié)議提供網(wǎng)頁瀏覽服務。 HTTP使用的是 TCP協(xié)議，默認情況下使用端口 80。第9題：入侵檢測系統(tǒng)無法 _。A. 監(jiān)測并分析用戶和系統(tǒng)的活動B. 評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性C. 識別已知的攻擊行為D. 發(fā)現(xiàn) SSL數(shù)據(jù)包中封裝的病毒3SSL數(shù)據(jù)包中封裝的病毒。參考答案： D入侵檢測系統(tǒng)的功能是：檢測并分析用戶和系

6、統(tǒng)的活動；檢查系統(tǒng)配置和漏洞；評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性； 識別已知的攻擊行為； 統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。 SSL數(shù)據(jù)包中的數(shù)據(jù)是經(jīng)過加密的數(shù)據(jù)，因此入侵檢測系統(tǒng)無法發(fā)現(xiàn)第10題：“歡樂時光” VBS Happytime 是一種 _病毒。A. 腳本B. 木馬C. 蠕蟲D.ARP欺騙參考答案： A“歡樂時光” 是一種腳本病毒， 它通過電子郵件進行傳播。 該病毒會刪除計算機系統(tǒng)中的可執(zhí)行文件和動態(tài)鏈接庫文件，最終導致系統(tǒng)癱瘓，危害很大。第11題：防治特洛伊木馬的有效手段不包括 _。A. 不隨意下載來歷不明的軟件B. 使用木馬專殺工具C.使用 IPv

7、6 協(xié)議代替 IPv4 協(xié)議D.運行實時網(wǎng)絡連接監(jiān)控程序參考答案： C計算機感染特洛伊木馬， 可能有以下幾個途徑。黑客入侵后植入。利用系統(tǒng)或軟件的漏洞植入。收到夾帶木馬程序的電子郵件，運行后被植入。通過即時聊天軟件，發(fā)送含木馬的鏈接或文件，接收者運行后木馬被植入。在自己的網(wǎng)站上放一些偽裝后的木馬程序，讓不知情者下載后運行植入。因此要防治木馬，不能隨意下載來歷不明的軟件，可運行實時網(wǎng)絡連接監(jiān)控程序，使用木馬專殺工具。 IPv6 協(xié)議雖然比 IPv4 協(xié)議有較高的安全性，但并不能防治特洛伊木馬。第12題：下列關于計算機病毒的說法中錯誤的是 _。A. 正版軟件不會感染病毒B. 用 WinRAR壓縮的

8、文件中也可能包含病毒C.病毒只有在一定的條件下才會發(fā)作D.病毒是一種特殊的軟件參考答案： A4計算機病毒是一段特殊的程序代碼。 大部分計算機病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)模塊。計算機病毒使用的觸發(fā)條件主要有： 利用計算機內(nèi)的時鐘提供的時間作為觸發(fā)器；利用計算機病毒體內(nèi)自帶的計數(shù)器作為觸發(fā)器； 利用計算機內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器。正版軟件也會感染病毒，選項 A 是錯誤的。第13題：安全的 Web服務器與客戶機之間通過_協(xié)議進行通信。A.HTTP+SSLB.Telnet+SSLC.Telnet+HTTPD.HTTP+FIP參考答案：

9、 AWWW服務器與客戶機之間采用 HTTP協(xié)議進行通信。為了保證通信的安全，在實際應用中， WWW服務器與瀏覽器的安全交互是借助于安全套接層 SSL完成的。采用 SSL技術可避免第三方偷看 WWW瀏覽器與服務器交互的敏感信息。第14題：下列安全協(xié)議中， _位于應用層。A.PGPB.SSLC.TLSD.IPSec參考答案： ASSL和 TLS 是傳輸層中的協(xié)議， IPSec 是網(wǎng)絡層中的協(xié)議。 PGP位于應用層，用于郵件加密。第15題：如下圖所示，設置Windows的本地安全策略，能夠 _。A. 使計算機閑置 30 分鐘后自動處于鎖定狀態(tài)B. 使計算機閑置 60 分鐘后自動處于鎖定狀態(tài)C.使計算

10、機在 5 次無效登錄后鎖定 30 分鐘，然后才允許新的登錄操作D.使計算機在 5 次無效登錄后鎖定 60 分鐘，然后才允許新的登錄操作參考答案： D5賬戶鎖定策略用于域或本地用戶賬戶，確定某個賬戶被鎖定在系統(tǒng)之外的情況和時間長短。賬戶鎖定時間：確定已鎖定賬戶在自動解鎖前保持鎖定狀態(tài)的分鐘數(shù)。有效范圍在 1 99999 min 之間。 賬戶鎖定閾值：確定嘗試登錄失敗多少次后鎖定用戶賬戶。 嘗試登錄失敗的次數(shù)可設置為 1999 之間的值，或者通過將值設置為 0，可以指定始終不鎖定該賬戶。復位賬戶鎖定計數(shù)器：確定登錄嘗試失敗之后和登錄嘗試失敗計數(shù)器被復位為0 次失敗登錄嘗試之前經(jīng)過的分鐘數(shù)。 有效范

11、圍為 1 99 999min 之間。題目的描述能夠使計算機在 5 次無效登錄后鎖定60 分鐘，然后才允許新的登錄操作。案例分析題試題 1說明圖 7.12 是某企業(yè)網(wǎng)絡的拓撲結(jié)構(gòu)。其中，圖中各項說明如下。 Rotlter 是屏蔽路由器。FireWall 是防火墻，通過其上的默認 Web服務端口能夠?qū)崿F(xiàn)對防火墻的配置。 console 是管理員控制臺。 MailSrv 是郵件服務器。 FTPSrv，是 FTP服務器。區(qū)域 IV 是企業(yè)日常的辦公網(wǎng)絡，定義為LocalNet 。第16題：(1)是 DMZ。為使該企業(yè)網(wǎng)能夠接入Internet ，路由器的接口該網(wǎng)絡中，能夠使用的 IP 地址是(2)。_

12、參考答案：(1) 區(qū)域 II (2)詳細解答：第17題：對于區(qū)域 IV 而言，進入?yún)^(qū)域 IV 的方向為“向內(nèi)”，流出區(qū)域 IV 的方向為“向外”。表 7.9 中防火墻規(guī)則表示：防火墻允許 Console 與任何區(qū)域 IV 以外的機器收發(fā) POP3協(xié)議數(shù)據(jù)包，并在此基礎上拒絕所有其他通信。若允許6控制臺 Console 僅通過防火墻開放的 Web服務配置防火墻 FireWall ，則在防火墻中應增加表 7.10 中的策略。 _參考答案：(3) 向外 (4)HTTP (5) 允許詳細解答：第18題：如果 FireWall中有表 7.11 中的過濾規(guī)則，則 _。A. 區(qū)域 IV 能

13、訪問 FTPSrv進行文件上傳與下載， Internet只能上傳不能下載B. 區(qū)域 IV 能訪問 FTPSrv進行文件上傳與下載， Internet只能下載不能上傳C.區(qū)域 IV 和 Internet 都能訪問 FTPSrv 進行文件上傳與下載D.只有區(qū)域 IV 能訪問 FTPSrv 進行文件上傳與下載參考答案： D第19題：要求管理員在網(wǎng)絡中的任何位置都能通過在 MailSrv 上開放的默認 Telnet 端口登錄 MailSrv ，實現(xiàn)對 MailSrv 的配置。因此，需要在防火墻中添加如表 7.12 所示的規(guī)則 (* 代表 P1、 P2、P3 中的任意一個或幾個 ) 。 _參考答案：(7

14、)TCP (8) 1023 (9)23 (10)0或 1 (11)1詳細解答：7試題 2說明某公司在 Windows 2003 中安裝 IIS 6.0 作為 Web服務器， IP 地址為 ，端口號為 8080，并在 IIS 中配置 HTTPS實現(xiàn)安全的 Web通信，如圖 7.13 所示。第20題：IIS 6.0 安裝的硬盤分區(qū)最好選用NTFS格式，是因為(1)和 (2)。_參考答案：(1) 可以針對某個文件或文件夾給不同的用戶分配不同的權限(2) 可以使用系統(tǒng)自帶的文件加密系統(tǒng)對文件或文件夾進行加密詳細解答：第21題：HTTPS工作在(3)層，為瀏覽器和Web服務器提供安全信息交換，它運行在安全(4)之上。 _參考答案：(3) 應用層 (4) 套接口詳細解答：第22題：在配置 IIS 6.0 時，需首先向(5)申請并安裝數(shù)字證書，然后Web服務器才能支持 SSL會話。在 IIS 中安裝 SSL分 5 個步驟，(6)提交數(shù)字證書申請(7)在 IIS 服務器上導入并安裝證書(8)。 _參考答案：(5) 證書認證 ( 頒發(fā) ) 機構(gòu)或 CA (6) 生成證書請求文件 (7) 下載證書文件 (8) 配置身份驗證方式和 SSL安全通道詳細解答：8