1、软件水平考试初级网络管理员下午应用技术(网络安全设置)模拟试卷 1及答案与解析 一、试题三( 15分) 0 阅读以下说明,回答问题 1问题 6,将解答填入答题纸对应的解答栏内。 (2006年 11月下午试题四 ) 【说明】 特洛伊木马是一种基于客户机服务器模式的远程控制程序,黑客可以利用木马程序入侵用户的计算机系统。木马的工作模式如图36所示。 1 对于传统的木马程序,侵入被攻击主机的入侵程序属于 (1) 。攻击者一旦获取入侵程序的 (2) ,便与它连接起来。 (1)A客户程序 B服务程 序 C代理程序 D系统程序 (2)A用户名和口令 B密钥 C访问权限 D地址和端口号 2 以下 (3)和
2、(4)属于计算机感染特洛伊木马后的典型现象。 A程序堆栈溢出 B有未知程序试图建立网络连接 C邮箱被莫名邮件填满 D系统中有可疑的进程在运行 3 为了检测系统是否有木马侵入,可以使用 Windows操作系统的 (5)命令查看当前的活动连接端口。 A Ipport B netstatan C tracertan D Ipconfig 4 入侵程序可以通过修改 Windows操作系统的 (6)、 (7)文件或修改系统中的相关注册表项实现系统启动时自动加载。通过运行 Windows操作系统中的 (8)(填空 )命令,可以启动注册表编辑器来对注册表进行维护。 A system Ini B shell
3、Ini C win Ini D autoexec ini 5 安装了防火墙软件的主机可以利用防火墙的 (8) 功能有效地防止外部非法连接来拦截木马。 A身 份认证 B地址转换 C日志记录 D包过滤 6 以下措施中能有效防止木马入侵的有 (10)和 (11)。 A不随意下载来历不明的软件 B仅开放非系统端口 C实行加密数据传输 D运行实时网络连接监控系统 7 为了防范 Internet的病毒对企业内部网的威胁,企业内部可购置什么防护系统 ?此系统应部署在什么地方 ? 7 阅读以下说明,回答问题 1问题 3,将解答填入答题纸对应的解答栏内。 (2009年 11下午试题四 ) 【说明】 某公司通过服
4、务器 S1中的 “路由和远程访问 ”服务接入Internet,其拓扑结构如图 310所示。其中,服务器 S1的操作系统为 Windows Server 2003,公司从 ISP处租用的公网 IP地址是 202 134 135 88 29。 8 对服务器 S1进行配置时,打开 NAT基本防火墙配置对话框,在图 311(a)、(b)、 (c)中,配置 Lan接口的是 (1) ,配置 Wan接口的是 (2) 。9 为保证内网 PC可以访问 Internet,在图 312所示的 Wan接口的地址池中,起始地址为 (3),结束地址为 (4)。 如果内网中 Web服务器对外提供服务的 IP地址是 202
5、134 135 92,则需要在图 313中【保留此公用 IP地址】文本框中填入 (5) ,【为专用网络上的计算机】文本框中填入 (6) 。 10 为保证 Web服务器能正常对外提供服务,还需要在图 314所示的【服务和端口】选项卡中选中 (7) 复选框。如果要让来自 Internet的 ping消息通过 S1,在图315中至少要选中 (8) 复选框。10 阅读以下说明,回答问题 1问题 6,将解答填入答题纸对应的解答栏内。(2009年 5月下午试题四 ) 【说明】某企业的网络拓扑结构如图 3 16所示。11 防火墙使用安全区域的概念来表示与其相连接的网络。图 3 16中的 inside、out
6、side和 dmz区域分别对应于 Trust区域、 Untrust区域和 DMZ,不同区域代表了不同的可信度,默认的可信度由高到低的顺序为 (1) 。 A inside、 outside、 dmz B inside、 dmz、 outside C outside、 dmz、 inside D outside、 inside、 dmz 12 包过滤防火墙 利用数据包的源地址、目的地址、 (2) 、 (3)和所承载的上层协议,把防火墙的数据包与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 13 为了过滤数据包,需要配置访问控制列表 (ACL),规定什么样的数据包可以通过 ?什么样的
7、数据包不能通过 ?ACL规则由多条 permit或 deny语句组成,语句的匹配顺序是从上到下。 语句 accesslist 1 deny any any的含义是 (4) ,该语句一般位于 ACL规则的最后。 语句 accesslist 100 permit tcp anyhost 222 134 135 99 eq ftp的含义是 (5)。 14 请按照图 316所示,完成防火墙各个网络接口的初始化配置。 firewall(config)#ip address inside (6) 255 255 255 0 配置网口 eth0 firewall(config)#ip address out
8、side (7) 255 255 255 250 配置网口 eth2 firewall(config)#ip address (8) 10 0 0 1255 255 255 0 配置网口 eth1 15 如图 316所示,要求在防火墙上通过 ACL配置,允许在 inside区域除工作站PCI外的所有主机都能访问 Internet,请补充完成 ACL规则 200。 access一 list 200 (9) host 192 168 46 10 any access一 list 200 (10) 192 198 46 0 0 0 0 255 any 16 如图 316所示,要求在防火墙上配置 AC
9、L,允 许所有 Internet主机访问 DMZ中的 Web服务器,请补充完成 ACL规则 300。 access一 list 300 permit tcp (11) host 10 0 0 10 eq (12) 。 16 阅读以下说明,回答问题 1问题 4,将解答填入答题纸对应的解答栏内。(2007年 11月下午试题四 ) 【说明】 图 317是某企业网络拓扑结构。其中,图中各项说明如下。 Router是屏蔽路由器。 FireWall是防火墙,通过其上的默认 Web服务端口能够实现对防火墙的配置。 Console是管理员控制台。 MailSrv是邮件服务器。 FTPSrv是 FTP服务器。
10、区域 IV是企业日常办公网络,定义为LocalNet。 17 该网络中, (1)是 DMZ。为使该企业网能够接入 Internet,路由器的接口 能够使用的 IP地址是 (2)。 (1)A区域 B区域 C区域 D区域 (2)A 10 1 1 1 B 100 1 1 1 C 172 30 1 1 D 192 168 1 1 18 对于区 域 而言,进入区域 的方向为 “向内 ”,流出区域 的方向为 “向外 ”。表 3 1中防火墙规则表示:防火墙允许 Console与任何区域 以外的机器收发POP3协议数据包,并在此基础上拒绝所有其他通信。若允许控制台 Console仅通过防火墙开放的 Web服务
11、配置防火墙 FireWall,则在防火墙中应增加表 32中的策略。(4)A TCP B U DP C HTTP D SNMP 19 如果 FireWall中有表 33中的过滤规则,则 (6) 。A区域 能访问 FTPSrv进行文件上传与下载, Internet只能上传不能下载 B区域 能访问 FTPSrv进行文件上传与下载, Internet只能下载不能上传 C区域 和Internet都能访问 FTPSrv进行文件上传与下载 D只有区域 能访问 FTPSrv进行文件上传与下载 20 要求管理员在网络中的任何位置都能通过在: MailSrv上开放的默认 Telnet端口登录 MailSrv,实现
12、对 MailSrv的配置。因此,需要在防火墙中添加如表 3 4所示的规则 (*代表 P1、 P2、 P3中的任意一个或几个 )。(7) A TCP B UDP C TLS D ICMP (8)A 1023 C 1024 (9)A 21 B 23 C 25 D 27 (10)A 0 B 1 C 0或 1 (11)A 0 B 1 C 0或 1 软件水平考试初级网络管理员下午应用技术(网络安全设置)模拟试卷 1答案与解析 一、试题三( 15分) 【知识模块】 网络安全设置 1 【正确答案】 (1)B (2)D 【试题解析】 特洛伊木马是一种基于客户端服务器模式的远程控制程序,它可以让用户的机器运行服
13、务器端的程序,该程序会在用户的计算机上打开监听的端口。这样就给黑客入侵用户计算机打开了 一扇进出的门,黑客就可以利用木马程序的客户端入侵用户的计算机系统。因此,对于传统的木马程序,侵入被攻击主机的入侵程序属于服务器端程序,而攻击者掌握的是客户端程序,攻击者要想与入侵程序连接起来,需要得到入侵程序的地址和端口号。 【知识模块】 网络安全设置 2 【正确答案】 (3)B (4)D 【试题解析】 用户的计算机感染特洛伊木马后,会受到木马程序的控制,典型的现象有以下几种。 死机、重启,长时间读写硬盘、搜索软盘。 运行速度越来越慢,资源占用多。 任务表中有可 疑的文件在运行。 【知识模块】 网络安全设置
14、 3 【正确答案】 (5)B 【试题解析】 当前最为常见的木马程序通常是基于 TCP UDP协议进行 Client端与 Server端之间通信的,因此,可以通过查看在本机上开放的端口,来判断是否有可疑的程序打开了某个可疑的端口。查看端口的方法有以下几种。 使用 Windows本身自带的 netstat命令。例如: C: netstatan 使用 Windows 2000下的命令行工具 fport,例如: E: softwareFport exe 使用图形化界面工具 Active Ports。该工具可以监视到计算机所有打开的 TCP IP UDP端口,还可以显示所有端口对应的程序所在的路径,本地
15、 IP和远端 IP是否正在活动。这个工具适用于 Windows NT 2000 XP平台。 【知识模块】 网络安全设置 4 【正确答案】 (6)A (7)C (8)regedit 【试题解析】 基于 Windows的木马程序一般采用启动时自动加载应用程序的方法。其主要包括两种方法: 一是修改 win ini和 system ini系统配置文件;二是修改注册表项。 【知识模块】 网络安全设置 5 【正确答案】 (9)D 【试题解析】 随着防火墙技术的提高和发展,基于 IP包过滤规则来拦截木马程序可以有效地防止外部连接,因此黑客在无法取得连接的情况下,也无所作为。 【知识模块】 网络安全设置 6
16、【正确答案】 (10)A (11)D 【试题解析】 随着网路的广泛应用,硬件和软件的高速发展,网络安全显得日益重要。对于网络中比较流行的木马程序,传播时间比较快,影响比较 严重,因此对于木马程序的防范就更不能疏忽。用户在检测清除木马程序的同时,还要注意对木马程序的预防,做到防患于未然。 具体应做到以下几点。 不要随意打开来历不明的邮件。 不要随意下载来历不明的软件。 及时修补漏洞和关闭可疑的端口。 尽量少用共享文件夹。 运行实时监控程序。 经常升级系统和更新病毒库。 【知识模块】 网络安全设置 7 【正确答案】 为了防范因特网的病毒对企业内部网的威胁,企业内部可购置防病毒过滤网关防护系统。此系
17、统部署 在用户内部网与外部网的接入点处。 【知识模块】 网络安全设置 【知识模块】 网络安全设置 8 【正确答案】 (1)如图 311(a)所示 (2)如图 3 11(b)所示 【试题解析】 如果接口连接到 Internet,则在【 NAT基本防火墙】选项卡中,选中【公用接口连接到 Internet】单选按钮,并选中【在此接口上启用NAT】复选框。如果希望用动态数据包筛选器保护公用接口,则选中【在此接口上启用基本防火墙】复选框。故配置 Lan接口如图 3一 11(a)所示,配置 Wan接口如图 3 11(b)所示。 【知识模块】 网络安全设置 9 【正确答案】 (3)202 134 135 8
18、9 (4)202 134 135 93 (5)202 134 135 92 (6)192 168 1 100 【试题解析】 由于该公司的公网地址段是 202 134 135 88 29,并且路由器 eth0的地址为 202 134 135 94。故 Wan接口的地址范围是202 134 135 89 202 134 135 93,故 (3)题答案为 202 134 135 89, (4)题答案为 202 134 135 93。由于内网中 web服务器对外提供的 IP地址是202 134 135 92,故 (5)答案为 202 134 135 92。 (6)题应填入 web服务器的地址,即 19
19、2 168 1 100。 【知识模块】 网络安全设置 10 【正确答案】 (7)安全 Web服务器 (HTTPS) (8)传入的回应请求 【试题解析】 Web服务器也称为 WWW(World Wide Web)服务器,主要功能是提供网上信息浏览服务, Web服务器可以解析 (handles)HTTP协议。为保证Web服务 器能正常地对外提供服务,必须有 Web服务器。如果没有启用 Internet控制消息协议 (ICMP)允许传入的回应请求,那么传入请求将失败,并生成传入失败的日志项。 【知识模块】 网络安全设置 【知识模块】 网络安全设置 11 【正确答案】 (1)B 【试题解析】 dmz区
20、域 (非军事化区 )是一个隔离的网络,可以位于防火墙之外,也可位于防火墙之内,安全敏感度和保护强度较低,一般用开放式方法提供公共网络服务的设备。对于外部用户, dmz区域通常是可以访问的,这样就允许外部用户访问企业的公 开信息,但不允许他们访问企业的内部网络。 而 outside区域 (外网 )是指处于防火墙之外的公共开放网络,是不被信任的区域。 【知识模块】 网络安全设置 12 【正确答案】 (2)源端口号 (3)目的端口号 【试题解析】 包过滤防火墙在网络的入口对通过的数据包进行检查,每个 IP包的字段都会被检查,包括源地址、目的地址、源端口号、目的端口号、协议等,然后将这些信息与设立的过
21、滤规则相比较,与规则不匹配的包就会被丢弃,否则按规则来处理。 【知识模块】 网络安全设置 13 【正确答 案】 (4)过滤所有数据包 (或禁止所有 IP数据包通过防火墙 ) (5)允许所有主机访问 222 134 135 99的 FTP服务。 【试题解析】 access list access list number(permit deny)protocol source wildcard mask destination wildcard mask operator operand 其中, permit表示允许数据包通过;而 deny则表示拒绝数据包通过。wildcard mask为通配符掩
22、码,是子网掩码的反码; operator表示操作,包括:lt(小于 )、 gt(于 )、 eq(等于 )、 neq(N等于 ); operand表示操作数,指的是端口值。 语句 access list 1 deny any any将禁止所有 IP数据包通过防火墙。 语句 access list 100 permit tcp anyhost 222 134 135 99 eq ftp会允许所有主机访问 222 134 135 99的 FTP服务。 【知识模块】 网络安全设置 14 【正确答案】 (6)192 168 46 1 (7)222 134 135 98 (8)DMZ 【试题解析】 ip
23、address outside inside dmz) ip address mask 网口 eth0连接内网、网口 eth1连接 dmz区域、网口 eth2连接外网。防火墙在内网的 IP地址是 192 168 46 1,在 dmz区域的 IP地址是 10 0 0 1,在外网的 IP地址是 222 134 135 98。因此,配置相应网口的命令如下。 配置网口 eth0的命令为: ip address inside 192 168 46 1255 255 255 0。 配置网口 eth1的命令为: ip address dmz 10 0 0 1255 255 255 0。 配置网口 eth2的
24、命令为: ip address outside 222 134 135 98 255 255 255 252。 【知识模块】 网络安全设置 15 【正确答案】 (9)deny (10)permit 【试题解析】 要允许在 inside区域除工作站 PCI外的所有主机都能访问Internet,则首先应配置拒绝工作站 PCI访问 Internet的控制语句,为: accesslist 200 deny host 192 168 46 10 any。然后再配置允许内网其他所有主机访问Internet的控制语句,内网的网络地址为 192 198 46 0,子网掩码为255 255 255 0,通配符掩
25、码为 0 0 0 255,因此配置语句为: access list 200 permit 192 198 46 0 0 0 0 255 any。 【知识模块】 网络安全设置 16 【正确答 案】 (11)any (12)www(或 80) 【试题解析】 dmz中的 Web服务器的 IP地址为 10 0 0 10,端口为 80,允许所有 Internet主机访问 dmz中的 Web服务器,则配置语句为: access list 300 permit tcp any host 10 0 0 10 eq 80。 【知识模块】 网络安全设置 【知识模块】 网络安全设置 17 【正确答案】 (1)B (
26、2)B 【试题解析】 考查非军事区的概念以及私有公网 IP的基础知识。 【知识 模块】 网络安全设置 18 【正确答案】 (3)向外 (4)C (5)允许 【试题解析】 考查常见网络应用层协议的基础知识。控制台 Console仅通过防火墙开放的 Web服务配置防火墙: FireWall,实际上需要设置防火墙,允许开放两者之间的 HTTP协议通信。 【知识模块】 网络安全设置 19 【正确答案】 (6)D 【试题解析】 考查 FTP协议的基础知识。题目中虽然只是配置防火墙限制单向通信,但对于 FTP协议来说,则限制了参与通信的两个实体之间进行交互。因此,只有区域 能访问 FTPSrv进行文件的上传与下载。 【知识模块】 网络安全设置 20 【正确答案】 (7)A (8)B (9)B (10)C (11)B 【试题解析】 主要考查 TCP协议的基础知识。 Telent需要使用 TCP协议的端口23。系统中 TCP端口号小于等于 1023的端口被保留使用,系统自动分配的端口号会大于 1023。发起建立 TCP连接,以及对这一命令进行响应时,还需要对ACK标志位进行相应操作。 【知识模块】 网络安全设置