網(wǎng)絡(luò)管理員網(wǎng)絡(luò)安全(二)

1、 模擬 網(wǎng)絡(luò)管理員網(wǎng)絡(luò)安全 ( 二 )選擇題第 1 題：下面不屬于訪問控制策略的是 A. 加口令B. 設(shè)置訪問權(quán)限C. 加密D .角色認(rèn)證參考答案： C網(wǎng)絡(luò)安全技術(shù)包括防火墻技術(shù)、加密技術(shù)、用戶識別技術(shù)、訪問控制技術(shù)、入侵 檢測技術(shù)等。 訪問控制是控制不同用戶對信息資源的訪問權(quán)限， 加密不屬于訪問 控制策略。第 2 題：網(wǎng)絡(luò)通信中廣泛使用的DES加密算法屬于。A. 對稱加密B. 非對稱加密C. 公開密鑰加密D. 不可逆加密參考答案： A數(shù)據(jù)加密算法(DES)是最典型的對稱加密算法，目前被廣泛地采用，主要用于銀 行業(yè)中的電子資金轉(zhuǎn)賬領(lǐng)域。第 3 題：下面關(guān)于數(shù)字簽名的說法中，不正確的是 。A.

2、數(shù)字簽名可以保證數(shù)據(jù)的完整性B .發(fā)送方無法否認(rèn)自己簽發(fā)的消息C.接收方可以得到發(fā)送方的私鑰D .接收方可以確認(rèn)發(fā)送方的身份參考答案： C數(shù)字簽名的主要功能是： 保證消息傳輸?shù)耐暾浴?發(fā)送者的身份認(rèn)證、 防止交易 中的抵賴發(fā)生。 如果甲想要在給乙的消息中創(chuàng)建一個數(shù)字簽名， 首先需要創(chuàng)建一 個公鑰 / 私鑰對，并把公鑰給乙，甲把要發(fā)送給乙的消息作為一個單項(xiàng)散列函數(shù) 的輸入，散列函數(shù)的輸出就是消息摘要， 甲用他的私鑰加密消息摘要， 就得到數(shù) 字簽名。如果乙計(jì)算出來的消息摘要與甲解密后的消息相匹配， 則證明了該消息 的完整性并驗(yàn)證了消息的發(fā)送方是甲。 如果甲要抵賴曾發(fā)送消息給乙， 乙可將密 文和解

3、密出的明文出示給第三方， 第三方很容易用甲的公鑰去證實(shí)甲曾發(fā)送該消 息給乙。第 4 題： 數(shù)字證書通常采用 格式。A. X.400B. X.500C. X.501D. X.509參考答案： DX.509 定義了一種通過 X.500 目錄提供認(rèn)證服務(wù)的框架， 該目錄可以看成是公鑰 證書的數(shù)據(jù)庫，每個證書包含了一個可信機(jī)構(gòu)簽名的用戶公鑰。第 5 題： 下列攻擊行為中屬于被動攻擊的是 。A. 假冒B. 偽造C. DoSD. 監(jiān)聽參考答案： D被動攻擊的特性是對傳輸進(jìn)行竊聽和監(jiān)測， 以獲得傳輸?shù)男畔ⅲ?但不影響系統(tǒng)資 源。主動攻擊欲改變系統(tǒng)資源或影響系統(tǒng)運(yùn)作。主動攻擊包括偽裝、重放、消息 篡改、拒絕服

4、務(wù)（DoS）、分布式拒絕服務(wù)（DDoS）。第 6 題：甲和乙要進(jìn)行保密通信，甲采用 加密數(shù)據(jù)文件，乙使用自己的私鑰進(jìn)行解密。A. 甲的公鑰B. 甲的私鑰C .乙的公鑰D.乙的私鑰參考答案： C第 7 題： 下面關(guān)于防火墻的說法，正確的是 。A. 防火墻一般由軟件以及支持該軟件運(yùn)行的硬件系統(tǒng)構(gòu)成B. 防火墻只能防止未經(jīng)授權(quán)的信息發(fā)送到內(nèi)網(wǎng)C. 防火墻一般能準(zhǔn)確地檢測出攻擊來自哪一臺計(jì)算機(jī)D. 防火墻的主要支撐技術(shù)是加密技術(shù) 參考答案： A防火墻是在網(wǎng)絡(luò)之間通過執(zhí)行控制策略來保護(hù)網(wǎng)絡(luò)的系統(tǒng)， 包括硬件和軟件。 設(shè) 置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用， 防止內(nèi)部受到外 部非法用戶

5、的攻擊， 新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸。 根據(jù)防火墻的實(shí)現(xiàn)技術(shù)， 可將防火墻分為多種， 但原理是一樣的， 都是通過監(jiān)測 并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。第 8 題：為使某Web!務(wù)器通過默認(rèn)端口提供網(wǎng)頁瀏覽服務(wù)，以下Windows防火墻的設(shè)置中正確的是 。A.B.C.D.參考答案： BWeb服務(wù)器通過HTTP協(xié)議提供網(wǎng)頁瀏覽服務(wù)。HTTP使用的是TCP協(xié)議，默認(rèn)情 況下使用端口 80。第 9 題： 入侵檢測系統(tǒng)無法 。A. 監(jiān)測并分析用戶和系統(tǒng)的活動B .評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性C. 識別已知的攻擊行為D. 發(fā)現(xiàn)SSL數(shù)據(jù)包中封裝的病毒參考答案： D入

6、侵檢測系統(tǒng)的功能是：檢測并分析用戶和系統(tǒng)的活動；檢查系統(tǒng)配置和漏洞； 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； 識別已知的攻擊行為； 統(tǒng)計(jì)分析異常行 為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。SSL數(shù)據(jù)包中的數(shù)據(jù)是經(jīng)過加密的數(shù)據(jù)，因此入侵檢測系統(tǒng)無法發(fā)現(xiàn)SSL數(shù)據(jù)包中封裝的病毒。第 10 題：“歡樂時光” VBS Happytime是一種 毒。A. 腳本B. 木馬C. 蠕蟲D. ARP欺騙參考答案： A“歡樂時光” 是一種腳本病毒， 它通過電子郵件進(jìn)行傳播。 該病毒會刪除計(jì)算機(jī) 系統(tǒng)中的可執(zhí)行文件和動態(tài)鏈接庫文件，最終導(dǎo)致系統(tǒng)癱瘓，危害很大。第 11 題：防治特洛伊木馬的有效手段不包括

7、。A .不隨意下載來歷不明的軟件B .使用木馬專殺工具C.使用IPv6協(xié)議代替IPv4協(xié)議D .運(yùn)行實(shí)時網(wǎng)絡(luò)連接監(jiān)控程序參考答案： C計(jì)算機(jī)感染特洛伊木馬，可能有以下幾個途徑。黑客入侵后植入。利用系統(tǒng)或軟件的漏洞植入。收到夾帶木馬程序的電子郵件，運(yùn)行后被植入。通過即時聊天軟件，發(fā)送含木馬的鏈接或文件，接收者運(yùn)行后木馬被植入。在自己的網(wǎng)站上放一些偽裝后的木馬程序，讓不知情者下載后運(yùn)行植入。因此要防治木馬，不能隨意下載來歷不明的軟件，可運(yùn)行實(shí)時網(wǎng)絡(luò)連接監(jiān)控程序，使用木馬專殺工具。 IPv6 協(xié)議雖然比 IPv4 協(xié)議有較高的安 全性，但并不能防治特洛伊木馬。第 12 題：下列關(guān)于計(jì)算機(jī)病毒的說法中

8、錯誤的是 。A. 正版軟件不會感染病毒B. 用Win RAR壓縮的文件中也可能包含病毒C. 病毒只有在一定的條件下才會發(fā)作D. 病毒是一種特殊的軟件 參考答案： A 計(jì)算機(jī)病毒是一段特殊的程序代碼。 大部分計(jì)算機(jī)病毒感染系統(tǒng)之后一般不會馬 上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)模塊。計(jì)算機(jī)病毒使用的觸發(fā)條件主要有： 利用計(jì)算機(jī)內(nèi)的時鐘提供的時間作為觸發(fā)器； 利用計(jì)算機(jī)病毒體內(nèi)自帶的計(jì)數(shù)器作為觸發(fā)器； 利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操 作作為觸發(fā)器。正版軟件也會感染病毒，選項(xiàng) A 是錯誤的。第 13 題：安全的Web服務(wù)器與客戶機(jī)之間通過 、議進(jìn)行通信A. HTTP+SSL

9、B. Telnet+SSLC. Telnet+HTTPD. HTTP+FIP參考答案： AWW服務(wù)器與客戶機(jī)之間采用 HTTP協(xié)議進(jìn)行通信。為了保證通信的安全，在實(shí) 際應(yīng)用中，WW服務(wù)器與瀏覽器的安全交互是借助于安全套接層 SSL完成的。采 用SSL技術(shù)可避免第三方偷看WW瀏覽器與服務(wù)器交互的敏感信息。第 14 題：下列安全協(xié)議中， 位于應(yīng)用層A. PGPB. SSLC. TLSD. IPSec參考答案： ASSL和TLS是傳輸層中的協(xié)議，IPSec是網(wǎng)絡(luò)層中的協(xié)議。PGP位于應(yīng)用層，用 于郵件加密。第 15 題：如下圖所示，設(shè)置 Windows的本地安全策略，能夠 A. 使計(jì)算機(jī)閑置30分鐘

10、后自動處于鎖定狀態(tài)B. 使計(jì)算機(jī)閑置60分鐘后自動處于鎖定狀態(tài)C. 使計(jì)算機(jī)在5次無效登錄后鎖定30分鐘，然后才允許新的登錄操作D. 使計(jì)算機(jī)在5次無效登錄后鎖定60分鐘，然后才允許新的登錄操作 參考答案： D賬戶鎖定策略用于域或本地用戶賬戶， 確定某個賬戶被鎖定在系統(tǒng)之外的情況和時間長短。賬戶鎖定時間：確定已鎖定賬戶在自動解鎖前保持鎖定狀態(tài)的分鐘數(shù)。有效范圍在199999 min之間。賬戶鎖定閾值：確定嘗試登錄失敗多少次后鎖定用戶賬戶。嘗試登錄失敗的次數(shù)可設(shè)置為1999之間的值, 或者通過將值設(shè)置為 0，可以指定始終不鎖定該賬戶。復(fù)位賬戶鎖定計(jì)數(shù)器：確定登錄嘗試失敗之后和登錄嘗試失敗計(jì)數(shù)器被

11、復(fù)位為 0 次失敗登錄嘗試 之前經(jīng)過的分鐘數(shù)。有效范圍為199 999min之間。題目的描述能夠使計(jì)算機(jī)在 5 次無效登錄后鎖定 60 分鐘,然后才允許新的登錄操作。案例分析題試題 1 說明 圖 7.12 是某企業(yè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。 其中,圖中各項(xiàng)說明如下。 Rotlter 是屏蔽路由器。FireWall是防火墻，通過其上的默認(rèn) Web服務(wù)端口能夠?qū)崿F(xiàn)對防火墻 的配置。 console 是管理員控制臺。 MailSrv 是郵件服務(wù)器。 FTPSrv,是FTP服務(wù)器。區(qū)域 IV 是企業(yè)日常的辦公網(wǎng)絡(luò)，定義為 LocalNet 。第 16 題：該網(wǎng)絡(luò)中，(1) 是DMZ為使該企業(yè)網(wǎng)能夠接入In te

12、rnet ，路由器的接口能夠使用的 IP 地址是 (2)。 參考答案：(1) 區(qū)域 II 詳細(xì)解答：第 17 題：若允許對于區(qū)域 IV 而言，進(jìn)入?yún)^(qū)域 IV 的方向?yàn)椤跋騼?nèi)”，流出區(qū)域 IV 的方向?yàn)椤跋?外”。表 7.9 中防火墻規(guī)則表示：防火墻允許 Console 與任何區(qū)域 IV 以外的機(jī)器收發(fā)POP動議數(shù)據(jù)包，并在此基礎(chǔ)上拒絕所有其他通信?？刂婆_Con sole僅通過防火墻開放的Wei服艮務(wù)配置防火墻FireWall ,則在防火墻中應(yīng)增加表 7.10 中的策略。 參考答案：(3) 向外 (4)HTTP (5) 允許詳細(xì)解答： 第 18 題：如果 FireWall 中有表 7.11 中的

13、過濾規(guī)則，則 A. 區(qū)域IV能訪問FTPSrv進(jìn)行文件上傳與下載，In ternet只能上傳不能下載B. 區(qū)域IV能訪問FTPSrv進(jìn)行文件上傳與下載，In ternet只能下載不能上傳C. 區(qū)域IV和In ternet都能訪問FTPSrv進(jìn)行文件上傳與下載D. 只有區(qū)域IV能訪問FTPSrv進(jìn)行文件上傳與下載參考答案： D第 19 題：要求管理員在網(wǎng)絡(luò)中的任何位置都能通過在 MailSrv 上開放的默認(rèn) Telnet 端口 登錄 MailSrv ，實(shí)現(xiàn)對 MailSrv 的配置。因此，需要在防火墻中添加如表 7.12 所示的規(guī)則 (* 代表 P1、P2、P3 中的任意一個或幾個 ) 。參考答

14、案：(7)TCP (8) 1023 (9)23 (10)0 或 1 (11)1詳細(xì)解答：試題 2 說明 某公司在 Windows 2003中安裝IIS 6.0作為 Web服務(wù)器，IP地址為 ，端口號為8080,并在IIS中配置HTTPS實(shí)現(xiàn)安全的 Web!信, 如圖 7.13 所示。第 20 題：IIS 6.0安裝的硬盤分區(qū)最好選用 NTFS格式，是因?yàn)?(1) 和 參考答案：(1) 可以針對某個文件或文件夾給不同的用戶分配不同的權(quán)限 (2) 可以使用 系統(tǒng)自帶的文件加密系統(tǒng)對文件或文件夾進(jìn)行加密 詳細(xì)解答： 第 21 題：HTTPST作在(3)層，為瀏覽器和 Web服務(wù)器提供安全信息交換，它運(yùn)行在安全 (4) 之上。 參考答案：(3) 應(yīng)用層 (4) 套接口詳細(xì)解答：第 22 題：在配置 IIS 6.0 時，需首先向 (5) 才能支持SSL會話。在IIS中安裝SSL分5個步驟，一在IIS服務(wù)器上導(dǎo)入并安裝證書一申請并安裝數(shù)字證書，然后Web服務(wù)器(6)-提交數(shù)字證書申請一(7)(8)。 參考答案：(5) 證書認(rèn)證(頒發(fā))機(jī)構(gòu)或 CA (6) 生成證書請求文件 (7) 下載證書文件 (8)