1、网络管理员-网络安全(二)及答案解析(总分:78.00,做题时间:90 分钟)一、单项选择题(总题数:15,分数:15.00)1.下面不属于访问控制策略的是_。A加口令 B设置访问权限 C加密 D角色认证(分数:1.00)A.B.C.D.2.网络通信中广泛使用的 DES 加密算法属于_。A对称加密 B非对称加密 C公开密钥加密 D不可逆加密(分数:1.00)A.B.C.D.3.下面关于数字签名的说法中,不正确的是_。A数字签名可以保证数据的完整性 B发送方无法否认自己签发的消息C接收方可以得到发送方的私钥 D接收方可以确认发送方的身份(分数:1.00)A.B.C.D.4.数字证书通常采用_格式
2、。AX.400 BX.500 CX.501 DX.509(分数:1.00)A.B.C.D.5.下列攻击行为中属于被动攻击的是_。A假冒 B伪造 CDoS D监听(分数:1.00)A.B.C.D.6.甲和乙要进行保密通信,甲采用_加密数据文件,乙使用自己的私钥进行解密。A甲的公钥 B甲的私钥 C乙的公钥 D乙的私钥(分数:1.00)A.B.C.D.7.下面关于防火墙的说法,正确的是_。A防火墙一般由软件以及支持该软件运行的硬件系统构成B防火墙只能防止未经授权的信息发送到内网C防火墙一般能准确地检测出攻击来自哪一台计算机D防火墙的主要支撑技术是加密技术(分数:1.00)A.B.C.D.8.为使某
3、Web 服务器通过默认端口提供网页浏览服务,以下 Windows 防火墙的设置中正确的是_。(分数:1.00)A.B.C.D.9.入侵检测系统无法_。A监测并分析用户和系统的活动 B评估系统关键资源和数据文件的完整性C识别已知的攻击行为 D发现 SSL 数据包中封装的病毒(分数:1.00)A.B.C.D.10.“欢乐时光”VBS Happytime 是一种_病毒。A脚本 B木马 C蠕虫 DARP 欺骗(分数:1.00)A.B.C.D.11.防治特洛伊木马的有效手段不包括_。A不随意下载来历不明的软件 B使用木马专杀工具C使用 IPv6 协议代替 IPv4 协议 D运行实时网络连接监控程序(分数
4、:1.00)A.B.C.D.12.下列关于计算机病毒的说法中错误的是_。A正版软件不会感染病毒B用 WinRAR 压缩的文件中也可能包含病毒C病毒只有在一定的条件下才会发作D病毒是一种特殊的软件(分数:1.00)A.B.C.D.13.安全的 Web 服务器与客户机之间通过_协议进行通信。AHTTP+SSL BTelnet+SSL CTelnet+HTTP DHTTP+FIP(分数:1.00)A.B.C.D.14.下列安全协议中,_位于应用层。APGP BSSL CTLS DIPSec(分数:1.00)A.B.C.D.15.如下图所示,设置 Windows 的本地安全策略,能够_。(分数:1.0
5、0)A.B.C.D.二、案例分析题(总题数:0,分数:0.00)三、试题 1(总题数:4,分数:33.00)该网络中, (1) 是 DMZ。为使该企业网能够接入 Internet,路由器的接口能够使用的 IP 地址是 (2) 。(分数:6.00)(1).A区域 I B区域 II C区域 III D区域 IV(分数:3.00)A.区域 IB.区域 IIC.区域 IIID.区域 IV(2).A10.1.1.1 B100.1.1.1C172.30.1.1 D192.168.1.1(分数:3.00)A.10.1.1.1B.100.1.1.1C.172.30.1.1D.192.168.1.1对于区域 I
6、V 而言,进入区域 IV 的方向为“向内”,流出区域 IV 的方向为“向外”。表 7.9 中防火墙规则表示:防火墙允许 Console 与任何区域 IV 以外的机器收发 POP3 协议数据包,并在此基础上拒绝所有其他通信。表 7.9 防火墙规则源 目 的 方 向 协议 行动ConsoleAny 向外 POP3允许Any Console向内 POP3允许Any Any Any Any 拒绝若允许控制台 Console 仅通过防火墙开放的 Web 服务配置防火墙 FireWall,则在防火墙中应增加表 7.10中的策略。 表 7.10 策略源 目 的 方向 协议 行动Console FireWal
7、l (3) (4) 允许FireWallConsole 向内 (4) (5) (分数:9.00)填空项 1:_A.TCPB.UDPC.HTTPD.SNMP填空项 1:_16.如果 FireWall 中有表 7.11 中的过滤规则,则_。表 7.11 过滤规则源 目 的 方 向 协议 行动LocalNet FTPSrv P3P2 FTP 允许FTPSrv LocalNetP2P3 FTP 允许Not(LocalNet)FTPSrv P1P2 FTP 拒绝A区域 IV 能访问 FTPSrv 进行文件上传与下载,Internet 只能上传不能下载B区域 IV 能访问 FTPSrv 进行文件上传与下载
8、,Internet 只能下载不能上传C区域 IV 和 Internet 都能访问 FTPSrv 进行文件上传与下载D只有区域 IV 能访问 FTPSrv 进行文件上传与下载(分数:3.00)A.B.C.D.要求管理员在网络中的任何位置都能通过在 MailSrv 上开放的默认 Telnet 端口登录 MailSrv,实现对MailSrv 的配置。因此,需要在防火墙中添加如表 7.12 所示的规则(*代表 P1、P2、P3 中的任意一个或几个)。表 7.12 规则源 目 的 方向 协议 源端口 目的端口 ACK 行动Any MailSrv*P2 (7) (8) (9) (10) 允许MailSrv
9、Any P2* (7) (9) (8) (11) 允许(分数:15.00)(1).ATCP BUDP CTLS DICMP(分数:3.00)A.TCPB.UDPC.TLSD.ICMP(2).A1023 B1023 C1024 D1024(分数:3.00)A.1023B.1023C.1024D.1024(3).A21 B23 C25 D27(分数:3.00)A.21B.23C.25D.27(4).A0 B1 C0 或 1(分数:3.00)A.0B.1(5).A0 B1 C0 或 1(分数:3.00)A.0B.1四、试题 2(总题数:5,分数:30.00)IIS 6.0 安装的硬盘分区最好选用 N
10、TFS 格式,是因为 (1) 和 (2) 。(分数:6.00)(1).A可以防止网页中的 Applet 程序访问硬件中的文件B可以针对某个文件或文件夹给不同的用户分配不同的权限C可以使用系统自带的文件加密系统对文件或文件夹进行加密D可以在硬盘分区中建立虚拟目录(分数:3.00)A.可以防止网页中的 Applet 程序访问硬件中的文件B.可以针对某个文件或文件夹给不同的用户分配不同的权限C.可以使用系统自带的文件加密系统对文件或文件夹进行加密D.可以在硬盘分区中建立虚拟目录(2).A可以防止网页中的 Applet 程序访问硬件中的文件B可以针对某个文件或文件夹给不同的用户分配不同的权限C可以使用
11、系统自带的文件加密系统对文件或文件夹进行加密D可以在硬盘分区中建立虚拟目录(分数:3.00)A.可以防止网页中的 Applet 程序访问硬件中的文件B.可以针对某个文件或文件夹给不同的用户分配不同的权限C.可以使用系统自带的文件加密系统对文件或文件夹进行加密D.可以在硬盘分区中建立虚拟目录HTTPS 工作在 (3) 层,为浏览器和 Web 服务器提供安全信息交换,它运行在安全 (4) 之上。(分数:6.00)(1).A网络层 B传输层 C应用层 D会话层(分数:3.00)A.网络层B.传输层C.应用层D.会话层(2).A网关 B套接口 C密钥 D物理连接(分数:3.00)A.网关B.套接口C.
12、密钥D.物理连接在配置 IIS 6.0 时,需首先向 (5) 申请并安装数字证书,然后 Web 服务器才能支持 SSL 会话。在 IIS 中安装 SSL 分 5 个步骤, (6) 提交数字证书申请 (7) 在 IIS 服务器上导入并安装证书 (8) 。A下载证书文件B生成证书请求文件C配置身份验证方式和 SSL 安全通道(分数:12.00)填空项 1:_填空项 1:_填空项 1:_填空项 1:_17.如果希望 Web 服务器只接受 HTTPS 请求,而不接受未加密的 HTTP 请求,加密密钥为 128 位,并且无须为客户端提供数字证书,在图 7.14 中该如何配置?(分数:3.00)_18.如
13、果用户需要通过 SSL 安全通道访问该 Web 网站,可在 IE 地址栏中输入_。(分数:3.00)_网络管理员-网络安全(二)答案解析(总分:78.00,做题时间:90 分钟)一、单项选择题(总题数:15,分数:15.00)1.下面不属于访问控制策略的是_。A加口令 B设置访问权限 C加密 D角色认证(分数:1.00)A.B.C. D.解析:解析 网络安全技术包括防火墙技术、加密技术、用户识别技术、访问控制技术、入侵检测技术等。访问控制是控制不同用户对信息资源的访问权限,加密不属于访问控制策略。2.网络通信中广泛使用的 DES 加密算法属于_。A对称加密 B非对称加密 C公开密钥加密 D不可
14、逆加密(分数:1.00)A. B.C.D.解析:解析 数据加密算法(DES)是最典型的对称加密算法,目前被广泛地采用,主要用于银行业中的电子资金转账领域。3.下面关于数字签名的说法中,不正确的是_。A数字签名可以保证数据的完整性 B发送方无法否认自己签发的消息C接收方可以得到发送方的私钥 D接收方可以确认发送方的身份(分数:1.00)A.B.C. D.解析:解析 数字签名的主要功能是:保证消息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。如果甲想要在给乙的消息中创建一个数字签名,首先需要创建一个公钥/私钥对,并把公钥给乙,甲把要发送给乙的消息作为一个单项散列函数的输入,散列函数的输出就
15、是消息摘要,甲用他的私钥加密消息摘要,就得到数字签名。如果乙计算出来的消息摘要与甲解密后的消息相匹配,则证明了该消息的完整性并验证了消息的发送方是甲。如果甲要抵赖曾发送消息给乙,乙可将密文和解密出的明文出示给第三方,第三方很容易用甲的公钥去证实甲曾发送该消息给乙。4.数字证书通常采用_格式。AX.400 BX.500 CX.501 DX.509(分数:1.00)A.B.C.D. 解析:解析 X.509 定义了一种通过 X.500 目录提供认证服务的框架,该目录可以看成是公钥证书的数据库,每个证书包含了一个可信机构签名的用户公钥。5.下列攻击行为中属于被动攻击的是_。A假冒 B伪造 CDoS D
16、监听(分数:1.00)A.B.C.D. 解析:解析 被动攻击的特性是对传输进行窃听和监测,以获得传输的信息,但不影响系统资源。主动攻击欲改变系统资源或影响系统运作。主动攻击包括伪装、重放、消息篡改、拒绝服务(DoS)、分布式拒绝服务(DDoS)。6.甲和乙要进行保密通信,甲采用_加密数据文件,乙使用自己的私钥进行解密。A甲的公钥 B甲的私钥 C乙的公钥 D乙的私钥(分数:1.00)A.B.C. D.解析:解析 公钥密码体制模型如图 7-15 所示。7.下面关于防火墙的说法,正确的是_。A防火墙一般由软件以及支持该软件运行的硬件系统构成B防火墙只能防止未经授权的信息发送到内网C防火墙一般能准确地
17、检测出攻击来自哪一台计算机D防火墙的主要支撑技术是加密技术(分数:1.00)A. B.C.D.解析:解析 防火墙是在网络之间通过执行控制策略来保护网络的系统,包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击,新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。根据防火墙的实现技术,可将防火墙分为多种,但原理是一样的,都是通过监测并过滤所有内部网和外部网之间的信息交换。8.为使某 Web 服务器通过默认端口提供网页浏览服务,以下 Windows 防火墙的设置中正确的是_。(分数:1.00)A.B. C.D.解析:解析 Web 服务器通过
18、HTTP 协议提供网页浏览服务。HTTP 使用的是 TCP 协议,默认情况下使用端口 80。9.入侵检测系统无法_。A监测并分析用户和系统的活动 B评估系统关键资源和数据文件的完整性C识别已知的攻击行为 D发现 SSL 数据包中封装的病毒(分数:1.00)A.B.C.D. 解析:解析 入侵检测系统的功能是:检测并分析用户和系统的活动;检查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动。SSL 数据包中的数据是经过加密的数据,因此入侵检测系统无法发现 SSL 数据包中封装的病毒。10.“欢乐时光”VBS H
19、appytime 是一种_病毒。A脚本 B木马 C蠕虫 DARP 欺骗(分数:1.00)A. B.C.D.解析:解析 “欢乐时光”是一种脚本病毒,它通过电子邮件进行传播。该病毒会删除计算机系统中的可执行文件和动态链接库文件,最终导致系统瘫痪,危害很大。11.防治特洛伊木马的有效手段不包括_。A不随意下载来历不明的软件 B使用木马专杀工具C使用 IPv6 协议代替 IPv4 协议 D运行实时网络连接监控程序(分数:1.00)A.B.C. D.解析:解析 计算机感染特洛伊木马,可能有以下几个途径。黑客入侵后植入。利用系统或软件的漏洞植入。收到夹带木马程序的电子邮件,运行后被植入。通过即时聊天软件,
20、发送含木马的链接或文件,接收者运行后木马被植入。在自己的网站上放一些伪装后的木马程序,让不知情者下载后运行植入。因此要防治木马,不能随意下载来历不明的软件,可运行实时网络连接监控程序,使用木马专杀工具。IPv6 协议虽然比 IPv4 协议有较高的安全性,但并不能防治特洛伊木马。12.下列关于计算机病毒的说法中错误的是_。A正版软件不会感染病毒B用 WinRAR 压缩的文件中也可能包含病毒C病毒只有在一定的条件下才会发作D病毒是一种特殊的软件(分数:1.00)A. B.C.D.解析:解析 计算机病毒是一段特殊的程序代码。大部分计算机病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满
21、足其特定条件时才启动其表现模块。计算机病毒使用的触发条件主要有:利用计算机内的时钟提供的时间作为触发器;利用计算机病毒体内自带的计数器作为触发器;利用计算机内执行的某些特定操作作为触发器。正版软件也会感染病毒,选项 A 是错误的。13.安全的 Web 服务器与客户机之间通过_协议进行通信。AHTTP+SSL BTelnet+SSL CTelnet+HTTP DHTTP+FIP(分数:1.00)A. B.C.D.解析:解析 WWW 服务器与客户机之间采用 HTTP 协议进行通信。为了保证通信的安全,在实际应用中,WWW 服务器与浏览器的安全交互是借助于安全套接层 SSL 完成的。采用 SSL 技
22、术可避免第三方偷看 WWW 浏览器与服务器交互的敏感信息。14.下列安全协议中,_位于应用层。APGP BSSL CTLS DIPSec(分数:1.00)A. B.C.D.解析:解析 SSL 和 TLS 是传输层中的协议,IPSec 是网络层中的协议。PGP 位于应用层,用于邮件加密。15.如下图所示,设置 Windows 的本地安全策略,能够_。(分数:1.00)A.B.C.D. 解析:解析 账户锁定策略用于域或本地用户账户,确定某个账户被锁定在系统之外的情况和时间长短。账户锁定时间:确定已锁定账户在自动解锁前保持锁定状态的分钟数。有效范围在 199999 min 之间。账户锁定阈值:确定尝
23、试登录失败多少次后锁定用户账户。尝试登录失败的次数可设置为 1999 之间的值,或者通过将值设置为 0,可以指定始终不锁定该账户。复位账户锁定计数器:确定登录尝试失败之后和登录尝试失败计数器被复位为 0 次失败登录尝试之前经过的分钟数。有效范围为 199 999min 之间。题目的描述能够使计算机在 5 次无效登录后锁定 60 分钟,然后才允许新的登录操作。二、案例分析题(总题数:0,分数:0.00)三、试题 1(总题数:4,分数:33.00)该网络中, (1) 是 DMZ。为使该企业网能够接入 Internet,路由器的接口能够使用的 IP 地址是 (2) 。(分数:6.00)(1).A区域
24、 I B区域 II C区域 III D区域 IV(分数:3.00)A.区域 IB.区域 II C.区域 IIID.区域 IV解析:(2).A10.1.1.1 B100.1.1.1C172.30.1.1 D192.168.1.1(分数:3.00)A.10.1.1.1B.100.1.1.1 C.172.30.1.1D.192.168.1.1解析:考查非军事区的概念以及私有/公网 IP 的基础知识。对于区域 IV 而言,进入区域 IV 的方向为“向内”,流出区域 IV 的方向为“向外”。表 7.9 中防火墙规则表示:防火墙允许 Console 与任何区域 IV 以外的机器收发 POP3 协议数据包,
25、并在此基础上拒绝所有其他通信。表 7.9 防火墙规则源 目 的 方 向 协议 行动ConsoleAny 向外 POP3允许Any Console向内 POP3允许Any Any Any Any 拒绝若允许控制台 Console 仅通过防火墙开放的 Web 服务配置防火墙 FireWall,则在防火墙中应增加表 7.10中的策略。 表 7.10 策略源 目 的 方向 协议 行动Console FireWall (3) (4) 允许FireWallConsole 向内 (4) (5) (分数:9.00)填空项 1:_ (正确答案:向外)解析:A.TCPB.UDPC.HTTP D.SNMP解析:填空
26、项 1:_ (正确答案:允许)解析:考查常见网络应用层协议的基础知识。控制台 Console 仅通过防火墙开放的 Web 服务配置防火墙FireWall,实际上需要设置防火墙,允许开放两者之间的 HTTP 协议通信。16.如果 FireWall 中有表 7.11 中的过滤规则,则_。表 7.11 过滤规则源 目 的 方 向 协议 行动LocalNet FTPSrv P3P2 FTP 允许FTPSrv LocalNetP2P3 FTP 允许Not(LocalNet)FTPSrv P1P2 FTP 拒绝A区域 IV 能访问 FTPSrv 进行文件上传与下载,Internet 只能上传不能下载B区域
27、 IV 能访问 FTPSrv 进行文件上传与下载,Internet 只能下载不能上传C区域 IV 和 Internet 都能访问 FTPSrv 进行文件上传与下载D只有区域 IV 能访问 FTPSrv 进行文件上传与下载(分数:3.00)A.B.C.D. 解析:考查 FTP 协议的基础知识。题目中虽然只是配置防火墙限制单向通信,但对于 FTP 协议来说,则限制了参与通信的两个实体之间进行交互。因此,只有区域 IV 能访问 FTPSrv 进行文件的上传与下载。要求管理员在网络中的任何位置都能通过在 MailSrv 上开放的默认 Telnet 端口登录 MailSrv,实现对MailSrv 的配置
28、。因此,需要在防火墙中添加如表 7.12 所示的规则(*代表 P1、P2、P3 中的任意一个或几个)。表 7.12 规则源 目 的 方向 协议 源端口 目的端口 ACK 行动Any MailSrv*P2 (7) (8) (9) (10) 允许MailSrvAny P2* (7) (9) (8) (11) 允许(分数:15.00)(1).ATCP BUDP CTLS DICMP(分数:3.00)A.TCP B.UDPC.TLSD.ICMP解析:(2).A1023 B1023 C1024 D1024(分数:3.00)A.1023B.1023 C.1024D.1024解析:(3).A21 B23 C
29、25 D27(分数:3.00)A.21B.23 C.25D.27解析:(4).A0 B1 C0 或 1(分数:3.00)A.0B.1解析:(5).A0 B1 C0 或 1(分数:3.00)A.0B.1 解析:主要考查 TCP 协议的基础知识。Telent 需要使用 TCP 协议的端口 23。系统中 TCP 端口号小于等于1023 的端口被保留使用,系统自动分配的端口号会大于 1023。发起建立 TCP 连接,以及对这一命令进行响应时,还需要对 ACK 标识位进行相应操作。四、试题 2(总题数:5,分数:30.00)IIS 6.0 安装的硬盘分区最好选用 NTFS 格式,是因为 (1) 和 (2
30、) 。(分数:6.00)(1).A可以防止网页中的 Applet 程序访问硬件中的文件B可以针对某个文件或文件夹给不同的用户分配不同的权限C可以使用系统自带的文件加密系统对文件或文件夹进行加密D可以在硬盘分区中建立虚拟目录(分数:3.00)A.可以防止网页中的 Applet 程序访问硬件中的文件B.可以针对某个文件或文件夹给不同的用户分配不同的权限 C.可以使用系统自带的文件加密系统对文件或文件夹进行加密D.可以在硬盘分区中建立虚拟目录解析:(2).A可以防止网页中的 Applet 程序访问硬件中的文件B可以针对某个文件或文件夹给不同的用户分配不同的权限C可以使用系统自带的文件加密系统对文件或
31、文件夹进行加密D可以在硬盘分区中建立虚拟目录(分数:3.00)A.可以防止网页中的 Applet 程序访问硬件中的文件B.可以针对某个文件或文件夹给不同的用户分配不同的权限C.可以使用系统自带的文件加密系统对文件或文件夹进行加密 D.可以在硬盘分区中建立虚拟目录解析:NTFS 文件系统具有很好的安全性和稳定性,有以下显著特点。NTFS 分区为用户权限作出了非常严格的限制,每个用户都能按照系统赋予的权限进行操作。并且每个文件或文件夹都可以单独地分配一个许可,可以防止未授权用户访问文件或文件夹。NTFS 支持对单个文件的压缩和加密。NTFS 可以支持的文件大小可达 64GB,支持更大的分区大小,最
32、小磁盘分区为 100MB,推荐最大分区为2TB。对于超过 4GB 以上的硬盘,使用 NTFS 分区,可以减少磁盘碎片的数量。NTFS 事物日志自动记录所有文件夹或文件更新,当出现系统损坏或电源故障等问题而引起操作失败后,系统能够利用日志文件重做或回复未成功的操作。注:(1)与(2)的答案可互换HTTPS 工作在 (3) 层,为浏览器和 Web 服务器提供安全信息交换,它运行在安全 (4) 之上。(分数:6.00)(1).A网络层 B传输层 C应用层 D会话层(分数:3.00)A.网络层B.传输层C.应用层 D.会话层解析:(2).A网关 B套接口 C密钥 D物理连接(分数:3.00)A.网关B
33、.套接口 C.密钥D.物理连接解析:安全套接层 SSL 是传输层安全协议,用于实现 Web 安全通信。SSL 在 Web 安全通信中被称为HTTPS。在配置 IIS 6.0 时,需首先向 (5) 申请并安装数字证书,然后 Web 服务器才能支持 SSL 会话。在 IIS 中安装 SSL 分 5 个步骤, (6) 提交数字证书申请 (7) 在 IIS 服务器上导入并安装证书 (8) 。A下载证书文件B生成证书请求文件C配置身份验证方式和 SSL 安全通道(分数:12.00)填空项 1:_ (正确答案:证书认证(颁发)机构或 CA)解析:填空项 1:_ (正确答案:B)解析:填空项 1:_ (正确
34、答案:A)解析:填空项 1:_ (正确答案:C)解析:要使用 SSL 安全机制,必须为 Windows Server 2003 系统安装数字证书服务,然后申请并安装证书,而数字证书是向 CA 申请的。17.如果希望 Web 服务器只接受 HTTPS 请求,而不接受未加密的 HTTP 请求,加密密钥为 128 位,并且无须为客户端提供数字证书,在图 7.14 中该如何配置?(分数:3.00)_正确答案:(选中“要求安全通道(SSL)”复选框,选中“要求 128 位加密”复选框,选中“忽略客户端证书”单选按钮。)解析:在“安全通信”对话框中,选中“要求安全通道(SSL)”和“要求 128 位加密”复选框,选中“忽略客户端证书”单选按钮。18.如果用户需要通过 SSL 安全通道访问该 Web 网站,可在 IE 地址栏中输入_。(分数:3.00)_正确答案:(https: /211.120.114.3:8080)解析:用户只要在 IE 浏览器中输入 https: /网站地址就可以访问该网站。本题中的 IP 地址为211.120.114.3,端口号为 8080,因此输入 https: /211.120.114.3:8080 就可以通过 SSL 安全通道访问该 Web 网站。
copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1