一份完美的网络安全管理试题加答案

1、1、 在WINDOWS2003成员服务器上配置路由与远程访问服务（RRAS）时，已经如图所示配置服务使得可以利用DHCP服务器为远程访问客户自动分配IP地址参数。DHCP服务器在同一个网段上，但是你并没有意识到它已经离线好几个小时了。当你在最后的对话框中点击“下一步”时，将会怎样？A、 由于RRAS未能定位DHCP服务器，设置将会终止。B、 将会要求在RRAS服务器上安装DHCP中继代理。C、 将提示您使用静态IP地址池。D、 您将返回前一画面，并尝试使用不同的网络协议。2、 在删除默认的远程访问策略（只要拔入属性允许访问，该策略就允许连接）之后，您创建了远程访问策略。在这个过程中，您忘记为测

2、试目的测试帐号创建访问策略。关于测试用账号的连接尝试是否会成功的陈述中，以下各项哪个是正确的？A、 会成功。因为拔入许可允许访问，而此外并没有远程访问策略的限制。B、 不会成功。因为如果没有相应的远程访问策略，并且默认的远程访问策略也不存在，尝试将将拒绝。C、 连接尝试的成功和失败将由用户描述文件决定。D、 RADIUS服务器将决定连接尝试的成功或失败。3、 当前状况：某公司在北京市、天津市和哈尔滨市都有办事处。所有这些地方都有WINDOWS2003网络。一些配置了便携式电脑的销售雇员需要在所有的3个地点访问网络资源。而北京市和哈尔滨市的用户还需要访问对方网络上的共享资源。在当前环境下，公司不

3、可能租用专线架设广域网（WAN）。必要结果：在所有的3个办事处安装路由与远程访问服务，以便于为出差的销售主管提供访问服务。在北京市和哈尔滨市之间建立链接，使得其用户可以访问对方网络上的资源。期望的可选结果：（1）、不能有任何安装或构建完整WAN专用链接的要求。（2）、链接费用必须尽可能地低。建议方案：在每个地点的WINDOWS2003服务器上配置路由与远程访问服务（RRAS）。为拔号VPN需要而设置每一台RRAS服务器。而将北京市和哈尔滨市的RRAS服务器配置为点对点VPN（SITE-TO-SITE）上使用。A、 建议方案使必要结果和两个可选结果都得以实现。B、 建议方案实现了必要结果，但可选

4、结果均未实现。C、 建议方案实现了必要结果和一个可选结果。D、 建议方案没有实现必要结果。4、 某远程用户每天都习惯性地连至网络，然后保持连接数小时。您已经与他交谈过多次，看来他总是忘记断开连接。您希望修改对于该用户的远程访问策略以解决此问题。那么以下哪一个是您的理想选择？A、 在工作时间段限制该用户的访问。B、 设置“空闲时断开连接（DISCONNECT IF IDLE）”选项。C、 限制其拔入媒体。D、 仅仅限制一个指定号码的拔入数目。5、 当两套系统使用INTERNET连接时，通常与L2TP一同使用IPSEC以保证数据安全，以下回答中正确表述了这些协议所工作的OSI网络层次的是哪一个？A

5、、 IPSEC工作在网络层，L2TP工作在传输层。B、 IPSEC工作在传输层，L2TP工作在物理层。C、 IPSEC工作在网络层，L2TP工作在数据链路层。D、 IPSEC和L2TP都工作在网络层。6、 假定您所在部门的网络有8个网段，分布在大楼的5个楼层上。您希望数据在网络上传播时是安全的。为此您计划配置IPSEC。要求必须保证用户验证、数据的完整性以及输运模型中数据的机密性。此外，IP头的完整性也必须保护。为了满足所有要求，您将使用以下IPSEC协议中的哪一个？A、 AH协议B、 ESP协议C、 AH和ESP都要D、 以下都不是7、 IPSEC使用加密算法以保护数据。以下哪些陈述正确描述

6、了用于数据加密、解密的对称算法和非对称算法之间的差别？A、 对称算法在数据加密和解密时使用相同的密钥，而非对称算法在两种过程中使用独立的密钥。B、 非对称算法在数据加密和解密时使用同样的密钥，而对称算法在两种过程中使用独立的密钥。C、 对称算法和非对称法在数据加密和解密时都使用相同的密钥。D、 对称算法和非对称法在数据加密和解密时都使用独立的密钥。8、 您创建了一个新的IP安全策略，并加入了新的IP过滤器。这些过滤器的应用次序是以下哪一个？A、 按照它们在IP过滤器列表（IP FILTER LIST）中出现的次序。B、 最为细致的过滤器最先使用。C、 按字母顺序。D、 随时使用。9、 假设这是

7、您第一次在单位担任系统管理员，并且您已经被授予WINDOWS2003域的管理权限。老板通知您在其中一台WINDOWS2003成员服务器中安装下级证书认证（CA）。在开始安装时，您发现企业根CA和下级CA选项是灰的。下面哪些可能是造成该选项变灰的原因？（请选择所有可能的原因）A、 该域没有使用活动目录。B、 该域控制器是不可访问的。C、 不可以将企业下级CA安装在成员服务器上。D、 必须首先安装企业根CA。10、 如果您打算使用证书导出向导将证书和私钥导出到软盘。为保证最高的安全性，您将使用下面的哪些方法？A、 选择DER编码二进制X.509格式输出，并当导出完成时手工删除私钥。B、 选择BAS

8、E64编码X.509格式，并当导出完成时自动删除私钥。C、 选择密文消息语法格式PKCS#7，并选中如果导出成功则删除私钥复选框。D、 选择个人消息语法格式PKCS#12，并选中如果导出成功则删除私钥复选框。11、 网络管理员为了保证网络中数据的安全性，通过GPO强制用户使用的密码必须大于8位，并且密码中必须混合大写字母、小写字母、数字、非字母数字的字符，采用这种策略主要可以防止（）攻击。A、 木马B、 DOSC、 字典D、 蠕虫12、 用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段？ A、缓存溢出攻击B、钓鱼攻击C、暗门攻击 D、DDOS攻击13、D

9、ES是一种block（块）密文的加密算法，是把数据加密成多大的块?A、32位B、64位 C、128位D、256位  14、关于PIX防火墙安全级别说法错误的是：A、 较高安全级别的接口访问较低安全级别的接口，允许所有基于IP的数据流，除非有ACL、认证或授权的限制。B、 较低安全级别的接口访问较高安全级别的接口，除非使用命令conduit或access-list进行明确许可，否则将丢弃所有的数据包。C、 具有相同安全级别的接口之间没有数据流。D、 安全级别的范围是1-25515、 PIX防火墙产品中可用到的基本的许可证类型包括：（请选择三项）A、 无限制（UR）B

10、、 受限（R）C、 每处理器（PP）D、 故障倒换（FO）16、防火墙技术的三种类型分别是？（请选择三项）A、基于状态的包过滤B、IPSC、代理服务器D、包过滤17、PIX防火墙产品中nat 0命令的作用是？A、指定用于转换的地址池B、启动转换并使用由global命令定义的地址池C、关闭地址转换D、用于启用NAT过程中产生的日志记录18、一个外部用户发出一个到PIX外部IP地址的TELNET请求。当PIX防火墙收到这个请求后，将重定向这个请求到地址为的主机上。请选择PIX防火墙的配置。（请选择五项）A、 pixfirewall(config)#access

11、-list 101 permit tcp any host eq telnetB、 pixfirewall(config)#access-list 101 permit tcp any host eq 8080C、 pixfirewall(config)#access-group 101 in interface outsideD、 pixfirewall(config)#access-group 101 out interface outsideE、 pixfirewall(config)#global (outside) 1 interfac

12、eF、 pixfirewall(config)#nat (inside) 1 0 0G、 pixfirewall(config)#static (inside,outside) tcp interface telnet telnet netmask 55 0 0H、 pixfirewall(config)#static (outside,inside) tcp interface telnet telnet netmask 55 0 019、 您在ISA SERVER 200

13、4中创建了如图所示的防火墙访问规则，请问哪种ISA SERVER客户端类型可以通过这条访问规则访问公网的WEB服务器？（请选择两项）A、WEB代理客户B、防火墙客户C、安全网络地址转换客户（SecureNAT）D、以上都可以20、ISA SERVER 2004访问规则的处理过程的顺序是？A、网络规则>防火墙策略>系统策略B、防火墙策略>网络规则>系统策略C、网络规则>系统策略>防火墙策略D、系统策略>网络规则>防火墙策略21、在WINDOWS2003中使用（）命令可以认为是一种DOS攻击方式A、ping t l 65500

14、B、ping l 88888 C、ping a D、ping i 100 22、某公司网络采用单域结构进行管理，网络中有一台安装了ISA的服务器，公司员工通过该服务器访问Internet。公司规定只有销售部的员工才能在休息时间，即中午12：0013：00，下午17：0018：00访问WEB网站上的html、gif、jpg、swf文件资源，但不能访问FTP网站，管理员在ISA服务器上应至少建立哪几个策略元素，才可以满足公司的管理需求。（请选择三项）A、计划B、用户C、内容类型D、协议E、网络对象23、你是某公司的网络管理员，公司使

15、用一台安装了ISA Server 2004的服务器实现内部员工对Internet的访问，该服务器有两块网卡，其中连接内网的网卡IP地址为/24，连接Internet的网卡IP地址为12/28。根据业务的需要你使用服务器发布规则向导发布了一台位于公司内部且未安装防火墙客户端软件的FTP服务器。但你随后发现从Internet上无法访问这个FTP站点中的内容。你在FTP服务器上执行ipconfig/all命令的结果如下图：那么为了能让互联网上的用户能够访问FTP站点，你需要配置FTP服务器的（ ）。A、 默认网关为12B、

16、DNS服务器IP地址为空C、 DNS服务器IP地址为D、 默认网关于24、你是某公司的一名网络管理员，负责公司ISA Server 2004服务器的维护。近来为了确保网络的安全，公司要求将ISA Server上Web Proxy服务的日志都写入一台SQL Server 2005的数据库中，然后通过专用的分析软件对日志进行统计和分析。请选择为了达到这一目的，作为管理员的你所应该采取的步骤。(请选择四项)A、 在SQL SERVER2005服务器上新建数据库。B、 将MICROSOFT防火墙服务重新启动C、 在新建的数据库中运行w3proxy.sql

17、脚本创建表D、 在ISA SERVER上创建ODBC资料源E、 配置ISA SERVER的代理日志使用ODBC数据源25、你是公司的网络管理员，公司使用2MB的专线实现内部网络和INTERNET的连接。为了加强公司网络的安全性，你设置了ISA SERVER的警报，当监测到公司网络遭到黑客攻击时，ISA SERVER可以采取以下动作，除了（）。A、给你发E-MAIL，通知你发生了黑客攻击事件。B、运行一个应对黑客攻击的程序。C、在WINDOWS事件日志中记录该事件。D、重启ISA SERVER服务器E、启动或停止选择的服务26、在ISA SERVER2004的配置过程中，经常需要设置应用各种规则

18、的网络对象，在这些网络对象中，DMZ代表（）A、公司内部网络的所有主机。B、具有公网IP地址的INTERNET网络。C、ISA SERVER 本身D、VPN客户端E、通常为WEB，e-mail等允许外部访问的服务器所在的区域27、在一台安装了ISA SERVER2004企业版的系统中发布WEB服务器的过程中，在设置侦听器网络（IP地址）时，选择“内部”复选框是为了（）。A、让内部用户使用WEB服务器的外部IP访问发布的WEB服务器。B、让外部用户使用WEB服务器的外部IP访问发布的WEB服务器。C、让内部用户使用WEB服务器的内部IP访问发布的WEB服务器。D、让内部用户访问可以通过该服务器访

19、问INTERNET中的WEB服务器。28、公司网络采用单域结构进行管理，网络中有一台安装了Exchange Server 2003的邮件服务器。某员工称他在发送邮件后收到了一封NDR邮件，该邮件的作用是（）。A、报告邮件在缓存队列中，稍后送达B、报告邮件有可能带病毒C、报告对方当前不能立即查看邮件D、报告邮件未送达29、公司网络采用单域结构进行管理，网络中有一台安装了Exchange Server 2003的邮件服务器。网络管理员在邮件服务器上将“邮箱存储”属性“限制”选项卡中“保留已删除项目的期限”项设置为0天，如下图所示。则用户删除的邮件会()A、 保留无限天B、 不保留C、 仅保留邮件正

20、文,附件立刻删除D、 不再保留在邮件服务器上,而是保留在客户机上30、公司网络采用单域结构进行管理，网络中有一台安装了Exchange Server 2003的邮件服务器。管理员希望对路由组进行相应的配置，但是在Exchange系统管理器中却看不到相应的配置内容，如下图所示。管理员需要进行（）操作，才可以在EXCHANGE系统管理器中对路由组进行配置。A、 必须以schame admins组中用户账户身份登录服务器B、 必须以enterprise admins组中用户帐户身份登录服务器。C、 在Exchange系统管理器中打开“第一个组织”“属性”窗口，在“常规”选项卡中选中“显示管理组”复选

21、框，重新启动Exchange管理器D、 打开Exchange系统管理器工具条中的“查看”，选中“细节”31、公司网络采用单域结构进行管理，网络中有一台安装了Exchange Server 2003的邮件服务器。管理员在该服务器的“全局设置”中设置可发送邮件最大为2048K，在Active Directory用户和计算机中某用户属性中设置可发送邮件最大为1024K，在该用户所属组的属性中设置可发送邮件最大为500K，则用户最终可以发送的最大邮件为（）。A、500KB、1024KC、2048KD、500K+1024K+2048KB32、安装EXCHANGE 2003时，运行DOMAINPREP的帐

22、户必须是（）组中的成员。A、administratorsB、Domain AdminsC、Enterprise AdminsD、Schema Admins33、公司的网络采用单域结构进行管理，网络中有一台安装了EXCHANGE SERVER 2003的邮件服务器。网络管理员在工作中错误的对SMTP服务器的身份验证进行了配置，配置结果如图所示。这样的设置造成的结果是（）。A、域中用户之间不能进行电子邮件的收发。B、域中用户不能向其它域或INTERNET上的邮件服务器发送邮件。C、域中用户不能接收从其他域或INTERNET上的邮件服务器发送来的邮件。D、域中用户之间电子邮件的收发不受影响，但所有用

23、户不能和其它域或INTERNET上的邮件服务器之间收发邮件。34、在发送邮件时，电子邮件的数字签名过程包括以下步骤：（1）、捕获邮件（2）、发送邮件（3）、将加密的哈希值附加到邮件（4）、检索发件人的私钥（5）、用发件人的私钥加密哈希值（6）、计算邮件的哈希值这些步骤地正确执行顺序为（）A、1-3-4-5-6-2B、1-5-3-4-6-2C、1-6-4-5-3-2D、4-5-1-3-6-235、SNMP协议选择（）协议把管理应用程序的服务调用变成对应的SNMP协议数据单元发送出去的。A、IPB、TCPC、UDPD、ICMP36、SNMP协议的网络管理进程通过定时向各个设备的设备代理进程以（）发

24、送查询请求消息，来跟踪各个设备的状态。A、查询方式B、轮询方式C、陷阱方式D、递归方式37、SNMPv1是一个请求和响应协议。其操作规则可以是如下哪个选项？（请选择四项）A、GETB、TRAPC、GETNEXTD、POSTE、CONNECTF、SET38、（）端口被SNMP代理监听，等待接受SNMP管理站发送的管理信息查询信息查询请求消息；（）端口由SNMP管理站监听等待SNMP代理发送的异常事件报告陷阱消息。（请选择两项）A、TCP 2052B、TCP 2053C、UDP 161D、UPD 199E、UDP 162F、TCP 205439、WINDOWS SERVER 2003支持两种类型的

25、群集：网络负载平衡群集和服务器群集，下列关于服务器群集的描述（）是错误的。A、 服务器群集可以通过资源故障转移而为应用程序提供高可用性的服务。它侧重于保持客户端对应用程序和系统服务的访问。B、 服务器群集最多可以组合8个节点。C、 服务器群集可以增强下列服务器的可用性：WEB和文件传输协议服务器、ISA服务器、虚拟专用网络服务器等。D、 服务器群集可以使用WINDOWS SERVER 2003 DATACENTER EDITION 或 WINDOWS SERVER 2003 ENTERPRISE EDITION系统40、网络管理员要在WINDOWS SERVER 2003环境下配置两个节点的S

26、QL SERVER服务器群集，需要事先准备（）。(请选择两项)A、活动目录B、仲裁设备C、网卡上添加服务器群集服务D、每台计算机至少安装1块网卡即可41、网络管理员试图通过网管软件来直接管理一台CISCO2611路由器，却发现不能对路由器的配置进行修改，在网络连通的情况下，以下（）原因可能引起这种故障。（请选择两项）A、这个型号的路由器不可被网管软件所管理。B、路由器上配置了不正确的ACL。C、路由器上只配置了RO属性的共同体名。D、路由器上只配置了RW属性的共同体名。42、whatsup professional是Ipswitch公司为中小企业开发的一款网络管理软件，它可以全面监控网络服务状

27、态，SNMP数据和跟踪重要业务的可用性。如果要使用WhatsUp生成网络拓朴图来监视整个网络的工作状态，应该执行的操作是（）。A、在WhatsUp的主界面上选择“File”菜单中的”Discover Devices”，再在弹出的对话框中选择”SNMP SmartScan”，并完成后续操作。B、在WhatsUp的主界面上选择“File”菜单中的”Discover Devices”，再在弹出的对话框中选择”IP range scan”，并完成后续操作。C、在WhatsUp的主界面上选择“File”菜单中的”Discover Devices”，再在弹出的对话框中选择”Network Neighbor

28、hood”，并完成后续操作。D、在WhatsUp的主界面上选择“File”菜单中的”Discover Devices”，再在弹出的对话框中选择”hosts file import”，并完成后续操作。E、以上全都是43、在路由器上配置TRAP事件后，一旦出现网络拓朴的改变，就能及时地发出警告信息。配置链路状态TRAP事件的命令是（）。A、snmp-server enable traps snmp linkupB、snmp-server enable traps snmp linkupdownC、snmp-server enable traps snmp linkup linkdownD、snmp

29、-server enable traps config44、为了启动SNMP，在某CISCO路由器上设置了命令“snmp-server community public RO”；其含义是（）。A、将默认的团体名设为“RO”B、拥有“public”团体名的管理站只能对该路由器进行查询C、允许所有管理站对该路由器进行查询。D、当该路由器的异常事件警告发送到public组中的管理站。45、公司总部设在北京、在上海和广州设立华中和华南办事处，根据这样的管理结构，公司的网络管理员采用了树型结构进行管理，北京总部建立树的根域，在上海一广州两个办事处建立树的子域。现在希望在三个域中各安装一台邮件服务器，为了

30、成功安装EXCHANGE SERVER 2003，管理员需要做的准备工作是（）。A、将上海和广州两个子域中的第一台DC设为GC。B、在北京总部的根域中执行FORESTPREP命令，在上海和广州两个子域中执行DOMAINPREP命令。C、在北京总部的根域中执行FORESTPREP命令，在北京、上海和广州三个域中执行DOMAINPREP命令。D、在北京、上海和广州三个域中先执行FORESTPREP命令，再执行DOMAINPREP命令。46、一家电子商务公司准备使用基于 Windows Server 2003 的 IIS 做为网上交易的 Web平台，并且在 Web服务器上建立和部署了网站的内容。为了保证交易过程的安全性公司决定使用 SSL 技术实现交易过程的数据加密。管理员在使用 IIS 证书向导为该Web 站点新建证书的过程中，要求输入“站点公用名称”，则在此应该填写的内容是（ ）。 A、这台 Web 服务器的 NetBIOS名 B、该公司网站的 FQDN名 C、这台 Web 服务器在公网上的 IP地址 D、以上都不对47、公司的网络采用单域结构进行管理，网络中有一台安装了ISA SERVER2004的服务器，公司员工通过该服务