1、软件水平考试(初级)网络管理员下午(应用技术)模拟试卷 28及答案与解析 一、试题一( 15分) 1 阅读以下校园网建设的技术说明,结合网络拓扑结构图,根据要求回答问题 1问题 5。 【说明】 某学校在原校园网的基础上进行网络改造,网络方案如图 4-8所示。其中网络管理中心位于办公楼第 5层,采用动态及静态结合的方式进行 地址的管理和分配。 1 表 4-6给出了该校园网部分网络设备的性能描述,请为图 4-8中 (1) (5)空缺处选择合适设备。 (每一设备限选一次,请用设备名称填写答案 )。2 为图 4-8中 (6) (9)空缺处选择合适的传输介质。 【备选介质】 (每种介质限选一次 ): 千
2、兆双绞线 百兆双绞线 双千兆光纤链路 千兆光纤 3 图 4-8拓扑结构中,区域 A是 (10)。 (10) A服务区 B DMZ区 C堡垒主机 D安全区 4 该校园网针对不同用户分别进行动态和静态 IP地址的配置,请将表 4-7中 (11)(13)空缺处的 IP地址配置方式填写完整。5 通常有恶意用户采用地址假冒方式进行盗用 IP地址,可以采用什么策略来防止静态 IP地址 的盗用 ? 二、试题二( 15分) 6 阅读以下 FTP服务器架构的技术说明,根据要求回答问题 1问题 4。【说明】 某公司使用 Windows操作系统的 IIS组件建立了自己的 FTP服务器,图 5-6是 IIS中 “默认
3、 FTP站点属性 ”的配置界面。 6 通常, FTP服务器默认的 “TCP端口 ”是 (1),本题中 FTP服务器采用主动模式传输数据,若按照图 5-6“TCP端口 ”配置为 600,则其数据端口为 (2)。 (1) A 21 B 23 C 25 D 20 (2)A 600 B 599 C 21 D 20 7 该单位在建立 FTP服务器时,根据需求制定了如下策略: FTP站点允许匿名登录,匿名用户只允许对 FTP的根目录进行读取操作; userl可以对 FTP根目录下的aaa目录进行完全操作; user2用户可以对 FTP根目录下的 bbb目录进行完全操作。 根据策略要求,网络管理员创建了 u
4、ser1、 user2两个用户,并对 FTP的根目录和 aaa及 bbb目录进行了用户权限配置,请参照图 5-7,按照策略说明给出下列权限: Administrators组对 FTP根目录有 (3)权限。 Everyone组对 FTP根目录有:(4)权限。 userl用户对 aaa目录有 (5)权限。 8 图 5-8为该 FTP服务器的安全账号配置, FTP客户端进行匿名登录时,默认的用户名是 (6)。另外,还可以使用用户名 (7)进行匿名登录。 (6) A IUSR_NETCENTE-KHD4U B everyone C anonymous D administrators 9 请将 (8)
5、 (10)空缺处的命令填写完整,以实现相关的 ftp功能。 ftp (8) /连接 ftp test com服务器 ftp (9) /把远程文件 test txt下载到本地 ftp (10) /将用户密码由 abc改为 123 三、试题三( 15分) 10 阅读以下关于网络应用系统数据备份 /恢复方案、网络安全策略的技术说明,根据要求回答问题 1问题 6。 【说明】 随着不同的网络应用系统在网络工程的深入应用,网络数据安全性越来越重要。网络系统的数据备份策略、数据恢复方案、网络安全策略的作用也日益突显。一个实用的网络工程项目的应用系统设计中必须有网络数据 备份、恢复手段和灾难恢复计划及相应的网
6、络安全策略。 10 由于业务需要,该电子商务公司要求网络维护人员制定数据备份方案。常见的数据备份方案有完全备份、增量备份、差分备份。该电子商务公司网站的业务较繁忙,数据备份的时间有限,并且要求数据恢复操作应该简单可靠。请确定该公司的数据备份方案,并简要说明选择这种备份方案的理由。 11 备份就是对数据文件的备份,备份网络文件就是将所需要的文件复制到光盘、磁带或磁盘等存储介质上。这种备份网络文件的思路是否正确 ?请简要说明理由。 12 数据库系统存储了大量的数据 ,在发生意外的情况下,为了确保数据能够尽可能准确地恢复,数据库系统提供了备份和恢复的功能。通常,数据库管理系统都提供了全部数据备份、部
7、分数据备份等两种方式,根据备份方式的不同也采用相应的恢复方式。例如,许多数据库管理系统中都提供了数据库级别的备份和恢复,也提供了表空间级别的备份和恢复 (一个数据库可以包含多个表空间,一个表空间可以包含多张表 )。在对数据库进行了部分数据恢复后,能否立即使用数据 ?请简要说明理由。 13 在制定网络安全策略时有以下两种思路: 凡是没有明确表示禁止的就要被允许; 凡是没有明确表示 允许的就要被禁止。这两种想法中,哪一种思路适用于部署防火墙的安全访问策略 ?请简要说明理由。 14 网络安全策略设计的重要内容之一是:确定当网络安全受到威胁时应采取的应急措施。当发现当前网络受到非法入侵与攻击时,所能采
8、取的行动基本上有保护方式和跟踪方式等两种方案。请简要说明什么情况适用于采用跟踪方式的安全策略(试举出 3种情况 )。 15 为处理不可抗拒力 (地震等 )产生的后果,除了采取必要的技术、管理等措施来预防事故发生之外,还必须制定 _计划。 四、试题四( 15分) 16 阅读以下关于 Linux网关安装和配置的技术说明,根据要求回答问题 1问题5。【说明】 当局域网中存在大量计算机时,根据业务的不同,可以将网络分成几个相对独立的子网。图 7-15是某企业子网划分的示意图,整个网将被均分为销售部与技术部两个子网,子网之间通过一台安装了 Linux操作系统的双网卡计算机连通。该 Linux网关计算机使
9、用了最新的 BCM5751网卡芯片,由于 Red Hat Linux 9操作系统无法自动识别此硬件,需要单独安装驱动程序才能正常工作。具体安装过程如下。 将驱动程序压缩文件 bcm5700-8.3.14.tar.gz复制到一个临时目录中,并使用解压缩命令将驱动程序包 bcm5700-8.3.14.tar.gz解压缩; 用 make命令构建驱动程序的可加载模块; 用 make install命令加载驱动程序; 重新启动系统,启动过程中系统找到网卡进行相应参数配置。16 将文件 bcm5700-8.3.14.tar.gz解压缩的命令是 (1)。 A rpm B tar C unzip D rar
10、17 Linux网关计算机有两个网络接口 (eth0和 eth1),每个接口与对应的 子网连接。该计算机 /etc/sysconfig/network文件清单为: NETWORKING=yes FORWARD_IPV4=(2) HOSTNAME= /etc/syseonfig/network-scripts/ifcfg-eth0文件清单为: DEVICE=eth0 IPADDR=192.168.1.126 NETMASK=(3) ( 以下省略 ) /etc/sysconfig/network-scripts/ifcfg-eth1文件清单为: DEVICE=eth1 IPADDR=192.168
11、.1.254 NETMASK=(4) ( 以下省略 ) 【供选择的答案】 (2) A yes B no C route D gateway 18 在计算机 /etc/sysconfig/network-scripts/目录中有以下文件,运行某命令可以启动网络,该命令是 (5),其命令参数是 (6)。 ifcfg-eth0 ifup ifup-sit ifcfg-lo ifup-aliases ifup-sl ifdown ifup-cipcb ifup-wireless ifdown-aliases ifup-ippp init.ipv6-global ifdown-cipcb ifup-ip
12、v6 network-functions ifdown-ippp ifup-ipx network-functions-ipv6 ifdown-ipv6 ifup-isdn ifdown-isdn ifup-plip ifdown-post ifup-plusb ifdown-ppp ifup-post ffdown-sit ifup-ppp ifdown-sl ifup-routes 19 可以使用命令 (7)来查看网络接口的运行情况。输入该命令后,系统的输出信息如下。 eth0 Link encap:Ethernet Hwaddr:00:12:3F:94:ET:B9 inet addr:1
13、92.168.1.63 Bcast:(8) Mask:(9) UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1501 errors:0 dropped:0 overruns:0 frame:0 TX packets:74 etrors:0 dropped:0 overruns:0 carrier:0 collisioas:0 txqueuelen:100 RX bytes:164444 (160.5KB) TX bytes:9167(8.9KB) Interrupt:11 Memory:dfcf0000-dfd00000
14、 以上输出信息表明,该网卡的工作状态是: (10)。其中, “MTU”的含义是 (11)。 【供选择的答案】 (7) A ipconfig B ifconfigC netatat D rcp (10) A正常 B故障 20 设置技术部和销售部的主机网络参数后,如果两个子网间的主机不能通信,用(12)命令来测试数据包是否能够到达网关计算机。 如果数据包可以到达网关但是不能转发到目标计算机上,则需要用命令 cat/pro/sys/net/ipv4/ip_forward来确认网关计算机的内核是否支持 IP转发。如果不支持,该命令输出 (13)。 【供选择的答案】 (12) A traceroute
15、B tracert C nslookup D route (13) A 1 B 0 C yes D no 五、试题五( 15分) 21 阅读下列网站建设的技术说明,结合网页显示的效果图,根据要求回答问题 1问题 3。【说明】 某出版社用 ASP实现了一个图书性能评价在线投票网页,主页文件名为 “index.asp”,用 IE打开该网页后的效果如图 8-11所示。 程序中使用的 Access数据表结构见表 8-9。 【 index.asp文档 的内容】 html head title在线投票页面 /title % Set cnn=Server.CreateObject(“ADODB.Connec
16、tion“) Set rec=Server.CerateObject(“ADODB.Recordset“) cnn. ConnectionString=“Driver=Microsoft Access Driver(*.mdb); Uid=; Pwd=;DBQ=“&Server.MapPath(“data.mdb“) cnn. (1) dim rsq1 nq1= (2) rec.open rsq1, cnn,3,3 rec. movefirst()% /head body form name=“piao“action=“results.asp“method=“post“ table width
17、=“237“ border=-“1“ align=“center“ tr td valign=top width=“216” p align=“center“ (3) /td /tr tr td valign=top width=“216“ font size=“2“ (4) % dim num num=0 do while not rec. eof num=num+1 % % rec. (5) loop % /font /td /tr tr td valign=top width=“216“ input name=“submit00“ type=“submit“ id=“submit00“
18、value=“投 票 ” input name=“submit01“ type=“submit“ id=“submit00“ value=“结 果 ” /td /tr /table /body /html 21 从以下备选答案中为程序中 (1) (5)处空缺内容选择正确答案。 (1)A CreatObject() B connect() C go() D open() (2)A “select*from data“ B “Select*from vote“ C select*from daha D Select* from vote (3)A pic border=-“0“ stc=“wlgc
19、s.bmp“ B picture border=“0“ src=“wlgcs. bmp“ C IMG onClick=over(this) title=放大 border=-“0“ src=“wlgcs.bmp“ D image border=“0“ src=“wlgcs. bmp“ (4)A p align=“left“您认为网络工程师考试考前冲刺预测卷及考点解析对您的帮助有多大 ? /p B p aliign=“center“您认为网络工程师考试考前冲刺预测卷及考点解析对您的帮助有多大 ? /p C t align=“left“您认为网络工程师考试考前冲刺预测卷及考点解析对您的帮助有多大
20、? /t D t align=“center“您认为网络工程师考试考前冲刺预测卷及考点解析对您的帮助有多大 ? /t (5)A first() B next() C movenext() D nextrecord() 22 用户单击图 8-11的 “投票 ”按 钮后,浏览器会执行什么操作 ? 23 为了防止重复投票,图 8-11在线投票页面的过滤机制拟采用 Cookies对象,而不使用 Session对象。这种做法是否妥当 ?请用 150字以内的文字简要说明理由。 软件水平考试(初级)网络管理员下午(应用技术)模拟试卷 28答案与解析 一、试题一( 15分) 1 【正确答案】 (1) Rout
21、er1 (2) Switch1 (3) Switch2 (4) Switch3 (5) Switch3 【试题解析】 这是一道要求读者掌握网络方案设计中设备部署 的拓扑结构设计题。基于表 4-6中每一网络设备限选一次的条件下,本题的解答思路如下。 由表 4-6中关于路由器设备的性能描述 “ 固定的广域网接口 +可选广域网接口,固定的局域网接口 ” 可知,图 4-8中 (1)空缺处的网络设备应选择路由器(Router1)。通过 Router1的广域网接口连接到 Internet网, Router1的100/1000Base-T/TX局域网接口连接至防火墙的外网接口 (即 WAN接口 )。 从交换
22、容量、转发性能、可支持接口类型、电源冗余模块等方面对比表 4-6中交换机设备 Switch1、 Switch2、 Switch3可知,设备 Switch1的性能最好,可能是一台三层交换机设备,设备 Switch2的性能次之。 仔细阅读图 4-8的拓扑结构可知, (2)空缺处的网络设备位于校园网核心层,它是校园网内部的核心设备。它至少需要提供一个百兆 /千兆电口用于连接至防火墙的内网接口 (即 LAN接口 ),若干个快速以太网电口或光口用于连接至位于办公楼的各楼层交换机和与 (2)空缺处网络设备相连接的服务器组。而表 4-6中关于交换机设备 Switch1性能描述 “ 可支持接口类型: 100/
23、1000Base-T、 GE、 10GE” 信息可满足以上网络连接要求,因此由以上分析可知, (2)空缺处的网络设备应选择设备名称为 Switch1的交换机设备。 由图 4-8的拓扑结构可知,该校园网的拓扑结构是一个典型的核心层、汇聚层、接入层的网络拓扑。分别位于图书馆楼、实训楼的 (4)、 (5)空缺处的网络设备上连至核心层的三层交换机,即 (2)空缺处的网络设备,下连至各楼层交换机。考虑到综合布线系统中各大楼建筑物之间通常采用光纤作为传输介质,结合表 4-6中关于交换机设备 Switch3的性能描述 “ 可支持接口类型: FE、 GE, 24千兆光口 ” 信息可知, (4)、 (5)空缺处
24、的网络设备应选择设备名称为 Switch3的交换机设备。 结合工程经验可知,在图 4-8的拓扑结构中, (3)空缺处的网络设备至少需要提供一个百兆 /千兆电口用于连接至防火墙的 DMZ接口,若干个快速以太网电口或光口用于连接与其相连接的服务器组、用户管理器和网络管理计算机。而表 4-6中关于交换机设备 Switch2的性能描述 “ 可支持接口类型: GE, 20百 /千兆自适应电口 ” 信息可满足以上网络连接要求,因此 (3)空缺处的网络设备应选择设备名称为 Switch2的交换机 设备。 2 【正确答案】 (6) 双千兆光纤链路 (7) 千兆光纤 (8) 千兆双绞线 (9) 百兆双绞线 【试
25、题解析】 这是一道要求读者掌握网络方案设计中传输介质选择的分析设计题。基于每种传输介质限选一次的条件下,本题的解答思路如下。 由 IEEE802.3ad工作组制定的链路聚合 (Port Trunking)技术,支持 IEEE802.3协议,是一种用来在两台核心交换机之间扩大通信吞吐量、提高可靠性的技术。该技术可使交换机之间连接最多 4条负载均衡的冗余连接。当某一台核心层交换机出 现故障或核心层交换机与接入层 /汇聚层交换机的某一条互连线路出现故障时,系统会将通信业务快速自动切换到另一台正常工作的核心层交换机上。在图 4-8拓扑结构中, (2)空缺处的核心层交换机与原校园网的连接介质建议采用双千
26、兆光纤链路,即 (6)空缺处应填入 “双千兆光纤链路 ”。 结合 问题 1的要点解析可知,在图 4-8拓扑结构中 (3)空缺处的 Switch2交换机设备可支持千兆以太网 (GE)接口类型,且有 20个百 /千兆自适应电口。综合考虑到与 Switch2交换机相连接的服务器组要求较高的通信性能,因此 (8)空缺处的传 输介质可选择 “千兆双绞线 ”(如 6类非屏蔽双绞线等 )。 同理,由于 (3)空缺处的 Switch2交换机设备有 20个百 /千兆自适应电口,而位于区域 A中的网络管理计算机与 (3)空缺处的交换机设备距离通常不会超过 100m,因此 (9)空缺处的传输介质可选择 “百兆双绞线
27、 ”(例如超 5类非屏蔽双绞线等 )。 结合工程经验可知,在层次化网络方案设计时,综合考虑到未来的网络应用牵涉到数据、音频、视频传输,为保证传输带宽和质量,通常垂直干线子系统采用多模光纤把各配线间连接到主配线间。在图 4-8拓扑结构中, (2)空缺处的核 心层交换机与各楼层交换机的连接介质建议采用千兆光纤,即 (7)空缺处的传输介质可选择 “千兆光纤 ”。 3 【正确答案】 B,或 DMZ区 【试题解析】 这是一道要求读者掌握防火墙 DMZ区基本概念及服务器部署的基本常识题。本题的解答思路如下。防火墙中的 DMZ区也称为非军事区,它允许外部网络用户使用 DMZ区的应用服务 (如 Web、 FT
28、P、 E-mail等 ):允许 DMZ区内的应用服务器及工作站访问 Internet 禁止 DMZ区的应用服务器访问内部网络;禁止外部网络非法用户访问内部网络和 DMZ区内应用服务器;禁止 外部网络ping DMZ区等。 由 问题 1的要点解析可知,在图 4-8拓扑结构中防火墙与 (1)空缺处路由器设备相连的接口为外网接口 (即 WAN接口 ),而与 (2)空缺处三层交换机设备相连的接口为内网接口 (即 LAN接口 ),因此与 (3)空缺处普通交换机设备相连的接口为 DMZ接口,即区域 A是 DMZ区。 4 【正确答案】 (11) 静态 IP地址 (12) 静态 IP地址 (13) 动态 IP
29、地址 【试题解析】 这是一道要求读者掌握网络方案设计中动态和静态 IP地址配置策略的综合理解题。本题的解答思路 如下。 采用静态 IP地址配置方案,每个用户都有自己独立的 IP地址,是比较简单且有效的配置方式,便于网络的管理及网络资源的相互访问,无须配置专用的 IP地址管理服务器。通常企业网或校园网中的网络设备本身的 IP地址、各种应用服务器的 IP地址、网络管理工作站、网络打印机等设备采用静态 IP地址分配。可见,本试题表 4-7中邮件服务器、网管 PC等适合采用静态 IP地址。 由于 IP地址资源的宝贵性,加上用户上网时间和空间的离散性,采用动态 IP地址配置方案为每个用户分配一个临时的
30、IP地址,则可避免 IP地址资源的浪费 。这种配置方案增加了用户接入的灵活性,但需要专用的 DHCP服务器支持,且将增加网络管理的难度。该配置方案被应用于用户计算机通过 MODEM、 ISDN、ADSL等接入 Internet网的场合中,也可应用于大中型网络客户机的接入场合中。可见,本试题表 4-7中学生 PC等适合采用动态 IP地址。 5 【正确答案】 MAC地址与 IP地址绑定 【试题解析】 这是一道要求读者掌握防止静态 IP地址盗用的基本常识题。由于物理地址 (MAC地址 )是每一张网卡固化的全网唯一的标识符,因此绑定 MAC地址与 IP地址是防止内部 IP地址被恶意用户盗用的一种简单、
31、有效的常用措施。该技术可防止非法用户伪装成合法用户在网络上进行一些非法的行为。 二、试题二( 15分) 6 【正确答案】 FTP是 File Transfer Protocol(文件传输协议 )的缩写,用来在两台计算机之间互相传送文件。该协议使用两条 TCP连接,一条是控制命令链路 (默认端口号为 21),用来在 FTP客户端与服务器之间传递命令;另一条是数据链路 (默认端口号为 20),用来上传或下载数据。 FTP协议有 PORT方式 (主动式 )和 PASV方式 (被动式 )等两种工作方式 。其中,PORT(主动 )方式的连接过程是:客户端向服务器的 FTP端口 (默认是 21)发送连接请
32、求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用 PORT命令告诉服务器: “我打开了某某端口,你过来连接我 ”。于是服务器从 20端口向客户端的开放的端口发送连接请求,建立一条数据链路来传送数据。当 FTP服务器采用主动模式传输数据,将其 “控制端口 ”修改为 600,则其 “数据端口 ”应修改为 599。 PASV(被动 )方式的连接过程是:客户端向服务器的 FTP端口 (默认是 21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用 PASV命令告诉客户端: “我打开了某某端口,你过来连接我 ”。于是客户端向服务器的某某端
33、口发送连接请求,建立一条数据链路来传送数据。 7 【正确答案】 在建立 FTP服务器时,可以根据需求制定不同的权限策略,使FTP用户各自拥有不同的目录权限。根据试题描述,该 FTP站点允许匿名登录,匿名用户只允许对 FTP的根目录进行读取操作,因此 Everyone组对 FTP根目录只具有读取权限。 由于 userl可以对 FTP根目录下的 aaa目录进行完全操作,因此 userl用户对 aaa目录具有安全控制权限。同理, user2用户对 bbb目录具有完全控制权限。 使用 Administrator账号登录操作系统,则可以在系统中进行创建、删除、安装等任何操作。可见 Administrat
34、ors组对 FTP根目录拥有安全控制权限,可以对其进行各类操作。 8 【正确答案】 FTP服务器支持匿名登录。通常匿名登录的用户名是anonymous,密码可有可无 (或者用用户的 E-mail地址 ),默认使用 PASV模式登录,能够访问的默认目录是 pub。另外还可以使用 “ftp”用户名进行匿名登录,这是因为 “ftp”是匿名用户的映射用户账号。 9 【正确答案】 在 ftp操作模式下, “open hostPort”命令用于建立指定 ftp服务器连接,并可指定连接端口,那么连接 ftp test com服务器的命令是“openftp test com”。 “get remote-fil
35、elocal-file”用于将远程主机的文件 remote-file传至本地硬盘的local-file。例如,命令 “get test txt”用于把远程文件 test txt下载到本地磁盘。 “quote arg1, arg2 ”命令用于将参数逐字发至远程 ftp服务器,而 “site arg1, arg2 ”用于将参数作为 SITE命令逐字发送至远程 ftp主机。可利用这两条内部命令的组合来修改冈 ?用户的密码。例如,将用户密码由 abc改为 123需使用 “quote site pswd abc 123”命令。 三、试题三( 15分) 10 【正确答案】 采用差分备份的方法,因为差分备份
36、方式的备份时间较 短,数据恢复操作简便、可靠。而完全备份所耗费的时间和存储空间都比较大;增量备份方式数据恢复复杂 这是一道要求读者掌握各种数据备份方案优缺点的综合分析题。本题所涉及的知识点如下。 在 Windows操作系统中,依次双击 “开始 /程序 /附件 /系统工具 /备份 ”可进入到 “备份工具 ”的配置界面。其中,常见的系统数据备份方式有完全备份、增量备份、差分备份 3种形式。 完全备份是指备份全部选中的文件目录,并不依赖文件的存档属性来确定备份哪些文件。在备份过程中,任何现有的标记都被清除,每个文件都被标记为已备份(即清除 存档属性 )。由于每次都对全部文件进行备份,因此这种备份方式
37、所耗费的时间长,且备份文件较大,比较占用磁盘空间。 增量备份是备份上一次备份 (可以是完全备份,也可以是差分备份 )后所有发生变化的文件。增量备份过程中,只备份有标记的选中的文件和文件夹,它清除标记(即备份后标记为已备份文件 )。使用这种备份方式时,数据恢复操作较为复杂。 差分备份是针对完全备份,即只备份上一次的完全备份后发生变化的所有文件。差异备份过程中,只备份那些有标记的选中的文件和文件夹。它不清除标记,即备份后不标记为已备份文件 (不清除存 档属性 )。这种备份方式的备份时间较短,数据恢复操作简便、可靠。 由于该电子商务公司网站的业务较繁忙,数据备份的时间有限,并且要求数据恢复操作应该简
38、单可靠,因此符合该公司需求的是差分备份方案。 11 【正确答案】 错误。因为对于一些重要的网络信息系统的软件与重要数据最好保存两个或两个以上的备份副本,并且其中一个副本需要异地存放,便于日后有足够的备份数据来恢复系统 这是一道要求读者掌握网络文件备份策略的分析理解题。本题的解答思路如下。 网络系统安全备份不等于简单的文件复制,因为系统的某些重要信息 无法用复制的方法备份下来,而且管理也是备份的重要组成部分,没有管理功能的备份,不能算是真正意义的备份。 一个常见的网络系统安全备份的认识误区是,备份就是对数据文件的备份,备份网络文件就是将所需要的文件复制到光盘、磁带或磁盘等存储介质上;认为系统文件
39、与应用程序可以通过安装盘重新进行安装而无须进行备份。在实际网络应用环境中,系统和应用程序安装起来并不是那么简单,首先必须找出所有的安装盘和原来的安装记录进行安装,然后重新设置各种参数、用户信息、权限等,这一系统的恢复过程可能要持续好几天。可见,简单的文件备份 不足以及时处理系统灾难。 备份网络文件不仅要将所需要的文件复制到光盘、磁带或磁盘等存储介质上,而且最好要做到有多个副本,并且其中一个副本要异地存放。因为网络数据备份与恢复功能是针对因自然灾害、误操作、人为破坏,以及网络入侵与攻击等各种原因而使网络系统遭到破坏的情况,此时需要有足够的备份数据来恢复系统。所以对于一些重要的网络信息系统的软件与
40、重要数据保存两个或两个以上的网络数据备份副本,并且其中一个副本需要异地存放。这对保证在任何情况下系统都有可利用的备份副本是必要的。 12 【正确答案】 不能。因为 对数据库进行了部分数据恢复后,恢复的那部分数据还处于备份时刻的状态,而数据库中其他的数据则处于当前状态,即数据库中数据的状态不一致。还必须借助日志,执行数据重做 (redo)操作 这是一道要求读者掌握数据库系统恢复操作的实际操作题。本题的解答思路如下。 对数据库进行部分数据恢复是指将数据库恢复到发生故障前的某一个时间点,此时间点之后的原有改动的数据将会丢失。 对数据库进行了部分数据恢复后,恢复的那部分数据还处于备份时刻的状态,而数据
41、库中其他的数据则处于当前状态,即数据库中数据的状态不一致,因此不能 立即使用数据。 为了解决数据状态不一致性,必须把刚恢复到的数据库的那部分数据按照日志中记录的操作,从备份时刻开始依序重新操作一遍,使那部分数据恢复到当前状态,以保证数据库中数据的一致性。 13 【正确答案】 采用第 种安全策略。该策略明确地限定了用户在网络中访问的权限与能够使用的服务,它符合网络管理中规定用户在网络访问的 “最小权限 ”的原则,便于网络管理。而从网络应用发展与网络管理的角度看,第 种安全策略有可能造成网络管理的混乱 这是一道要求读者掌握防火墙安全访问部署策略的分析理解题。本题的解答思路 如下。 对于第 种思路
42、“凡是没有明确表示允许的就要被禁止 ”,这种想法明确的限定了用户在网络中访问的权限与能够使用的服务。它符合网络管理中规定用户在网络访问的 “最小权限 ”的原则,即给予用户能完成他的任务所 “必要 ”的访问权限与可以使用的服务类型,这样便于网络的管理。 现有的网络服务类型众多,而且新的网络服务功能随着应用的不断深入而不断出现。第 种安全策略只规定了用户不能做什么;而采用第 种安全策略只规定了允许用户做什么。那么在一种新的网络应用出现时,对于第 种方法如允许用户使用,它将明确地在使用 规定中表述出来;而按照第一种思想方法,如不明确表示禁止,那就意味着允许用户使用。因此从网络应用发展与网络管理的角度
43、,第 种方法有可能造成网络管理的混乱。 基于以上的分析可知,在进行防火墙安全访问策略部署时,适合采用第 种安全策略。 14 【正确答案】 被攻击的网络资源目标明确;非法侵入者或攻击者的短期活动不至于立即造成网络资源与系统遭到重大损失;已经知道多次入侵某种网络资源的非法侵入者或攻击者的基本情况;已经找到一种可以控制非法侵入者或攻击者的方法 这是一道要求读者掌握网络受到非法入侵与攻击时处理 方法的基本常识题。本题的解答思路如下。 当发现网络受到非法入侵与攻击时,采取保护方式的行动方案适合以下几种情况:非法侵入与攻击将会对网络系统造成很大危险;跟踪非法侵入与攻击者活动的代价太大;从技术上跟踪非法侵入
44、与攻击者的活动很难实现。 当网络受到非法侵入与攻击时,网络采用保护方式时应该采取的应急措施有:立即制止非法侵入或攻击者的活动,恢复网络的正常工作状态,并进一步分析这次安全事故性质与原因,尽量减少这次安全事故造成的损害;如果不能马上恢复正常运行,网络管理员应隔离发生故障的网段或关闭系统,以制 止非法侵入与攻击者的活动进一步的发展,同时采取措施恢复网络的正常工作。 当发现网络受到非法入侵与攻击时,采取跟踪方式的行动方案适合以下几种情况:被攻击的网络资源目标明确;非法侵入者或攻击者的短期活动不至于立即造成网络资源与系统遭到重大损失:已经知道多次入侵某种网络资源的非法侵入者或攻击者的基本情况;已经找到
45、一种可以控制非法侵入者或攻击者的方法。 当网络受到非法侵入与攻击时,网络采用跟踪方式时应该采取的应急措施有:当网络管理员发现网络存在非法侵入与攻击者的活动时,不立即制止闯入者的活动;采取措施跟 踪非法侵入与攻击者的活动,检 测非法侵入与攻击者的来源、目的、非法访问的网络资源,判断非法侵入与攻击的危害,确定处理此类非法侵入与攻击活动的方法。 15 【正确答案】 灾难恢复或异地容灾 【试题解析】 为处理不可抗拒力 (灾难 )产生的后果,除了采取必要的技术、管理等措施来预防事故发生之外,还必须制定灾难恢复计划 (DPR)或异地容灾计划。 建立灾难恢复计划 (DPR)的重要意义在于采用事先设计好的意外
46、事故应急计划,使系统数据处理过程中或其他的大灾难 (如地震、大火、建筑物倒塌、洪水等 )所造成的损失降 到最低。 四、试题四( 15分) 16 【正确答案】 B,或 tar 【试题解析】 这是一道要求读者掌握 Linux操作系统中文件解压缩命令的基本常识题。本题所涉及的知识点如下。 在 Linux操作系统中,对于扩展名为 tar.gz的文件,则需要使用 “tar -xvzf 文件名 .tar.gz”将其恢复成源文件,即将文件 bcm5700-8.3.14.tar.gz解压缩的命令是:tar -xvzf bcm5700-8.3.14.tar.gz。 如果在 Linux操作系统中,扩展名为 .rp
47、m的文件 ,则需要使用 “rpm -ivh *.rpm”或 “rpm -Uvh *.rpm”完成软件包的安装。 17 【正确答案】 (2) A,或 yes (3) 255.255.255.128 (4) 255.255.255.128 【试题解析】 Linux内核默认内置有 IP伪装功能。但是,使用一个没有内置 IP伪装功能的内核,则需要重新编译,装载一些模块,然后设置数据包过滤规则以便允许转换的进行。为了让 IP伪装能够工作,需要打开服务器的 IP转发功能,即将 /etc/sysconfig/network文件中的 FORWARD_IPV4设置为 yes而启用 IP转发。 一个完整的 /et
48、c/sysconfig/network-scripts/ifcfg-eth0文件清单是: DEVICE=eth0 /*指明网卡的名称 */ IPADDR=192.168.1.126 /*指明分配给网卡的 IP地址 */ NETMASK=255.255.255.128 /*指明子网掩码,因为该子有 126个可用的 IP地址 */ NETWORK=192.168.1.0 /*指明网络地址 */ BROADCAST=192.168.1.127 /*指明广播地址 */ ON-BOOT=yes /*指明在系统启动时是否激活网卡 */ BOOTPROTO=none /*指明是否使用 bootp协议 */ 同理,由于技术部子网可用的 IP地址有 126个,因此在 /etc/sysconfig/network-sc
