第18章
网络应用、安全
随着计算机、手持设备等硬件的普及,网络应用变得更加广泛,于是新的网络服务不断提出,这给网络工程师带来了巨大便利的同时,又增加了许多安全隐患。
因此一个合格的网络工程师必须掌握必备的网络知识来提供常用的网络服务,同时又必须了解如何安全地提供网络服务,不能让隐患变成灾难。本章要求掌握的知识点如下:
·地址服务:地址分配机制、DHCP、IPv6(机制和传输技术);
·DNS(功能、机制):域名、FQDN;
·电子邮件(功能、机制):SMPT、POP、MIME、IMAP4、LDAP;邮件列表;Web Mail;
·电子新闻(功能和机制、NNTP);
·Web服务(功能和机制、HTTP);
·负载分布(Web交换);
·电子身份验证(功能、机制、认证授权、电子证书);
·网络安全;
·服务机制:服务供应商、供应商漫游服务、拨号IP连接、CATV连接、IPD电话、因特网广播、电子商务、电子政务、移动通信、EZweb、主机服务提供者、EDI(规则、表单、Web EDI)、B2B、B2C、ASP、数据中心。
下面我们通过具体的考试真题来学习和加强对本章知识点的掌握。
例题1(2006年5月下午试题二)
阅读以下说明,回答问题1~8,将解答填入答题纸对应的解答栏内。
【说明】
Linux系统开机引导时首先启动内核,由内核检查和初始化硬件设备,载入设备的驱动程序模块,安装root文件系统,然后内核将启动一个名为init的进程。在init运行完成并启动其他必要的后续进程后,系统开始运行,引导过程结束。init进程启动时需要读取inittab配置文件,该文件确定init在系统启动和关机时的工作特性。典型的inittab文件内容见以下清单:
【问题1】(2分)
启动init进程前,不需要经过 (1) 步骤。
A.LILO加载内核
B.检测内存
C.加载文件系统
D.启动网络支持
【问题2】(2分)
inittab文件存放在 (2) 目录中。
A./etc
B./boot
C./sbin
D./root
【问题3】(2分)
Linix系统运行级别3工作在 (3) 状态。
A.单用户字符模式
B.多用户字符模式
C.单用户图形模式
D.多用户图形模式
【问题4】(2分)
根据说明中inittab文件的内容,系统引导成功后,工作在 (4) 状态。
A.单用户字符模式
B.多用户字符模式
C.单用户图形模式
D.多用户图形模式
【问题5】(2分)
在系统控制台, (5) 用【Ctrl+Alt+Delete】组合键来重新引导服务器。
A.允许
B.不允许
【问题6】(2分)
假设root用户执行“init 0”命令,系统将会 (6) 。
A.暂停
B.关机
C.重新启动
D.初始化
【问题7】(2分)
root用户执行“ps aux|grep init”命令,得到init的PID是 (7) 。
A.0
B.1
C.2
D.3
【问题8】(1分)
根据上述inittab文件的内容,系统在引导过程结束前,至少还要执行 (8) 进程。
A.rc.sysinit
B.rc.sysinit和rc 5
C.rc.sysinit、rc 0、rc 1、rc 2、rc 3、rc 4、rc 5和rc 6
D.rc 0、rc 1、rc 2、rc 3、rc 4、rc 5和rc 6
例题分析
【问题1】
这个题目简单,用排除法就可以做出来。试想,如果Linux的机器其网卡坏了,系统还是可以启动的。
【问题2】
初始化文件的位置是/etc/inittab,这是Linux系统中最为关键的几个文件位置之一。
【问题3】
以red hat Linux为例,一共7个,一般是各个发行版通用的:
0:关机。
1:单用户模式。
2:自定义,留待后用(当然在有的Linux里面,此级可以运行大部分服务,不支持SMB/NFS等网络文件共享服务,但允许多个用户登录计算机)。
3:完整的多用户模式(大部分自定义,留待后用。服务器用这个级别。此时不允许X服务,也就是只能用命令行没有图形界面)。
4:自定义,留待后用。
5:多用户图形模式(启动到X图形界面,所有服务都可以运行)。
6:重启。
【问题4】
从配置文件“id:5:initdefault:”中就可以看出来,非常简单。
【问题5】
从以下代码:
可以看出,系统是可以执行CTRL-ALT-DELETE,因为这一行并没有被注释掉。
【问题6】
参考问题3。
【问题7】
系统所有进程的祖父进程被称为“init”,其进程ID号是1。用ps命令所看到的就是系统的进程ID。
【问题8】
这也是一个常识问题,Linux启动到相应的运行级别之后,就要执行相应级别下的命令。而rc.sysinit是系统启动时必须执行的。
例题答案
【问题1】
(1)D
【问题2】
(2)A
【问题3】
(3)B
【问题4】
(4)D
【问题5】
(5)A
【问题6】
(6)B
【问题7】
(7)B
【问题8】
(8)B
例题2(2006年5月下午试题四)
阅读下列说明,回答问题1~6,将解答填入答题纸对应的解答栏内。
【说明】
某公司的业务员甲与客户乙通过Internet交换商业电子邮件。为保障邮件内容的安全,采用安全电子邮件技术对邮件内容进行加密和数字签名。安全电子邮件技术的实现原理如图18-1所示。
图18-1 安全电子邮件技术的实现原理
【问题1】(4分)
为图18-1中(1)~(4)处选择合适的答案。
(l)~(4)的备选答案如下:
A.DES算法
B.MD5算法
C.会话密钥
D.数字证书
E.甲的公钥
F.甲的私钥
G.乙的公钥
H.乙的私钥
【问题2】(2分)
以下关于报文摘要的说法中正确的有 (5) 、 (6) 。
(5)和(6)的备选答案如下:
A.不同的邮件很可能生成相同的摘要
B.由邮件计算出其摘要的时间非常短
C.由邮件计算出其摘要的时间非常长
D.摘要的长度比输入邮件的长度长
E.不同输入邮件计算出的摘要长度相同
F.仅根据摘要很容易还原出原邮件
【问题3】(2分)
甲使用Outlook Express撰写发送给乙的邮件,他应该使用 (7) 的数字证书来添加数字签名,而使用 (8) 的数字证书来对邮件加密。
(7)和(8)的备选答案如下:
A.甲
B.乙
C.第三方
D.CA认证中心
【问题4】(2分)
为了在Outlook Express中使用安全电子邮件技术,必须安装和配置数字证书。甲在图18-2所示的对话框中如何配置,方能在他发送的所有电子邮件中均添加数字签名?
图18-2 “选项”对话框
【问题5】(2分)
乙收到了地址为甲的含数字签名的邮件,他可以通过验证数字签名来确认收到的信息 (9) 、 (10) 。
(9)和(10)的备选答案如下:
A.邮件在传送过程中是否加密
B.邮件中是否含病毒
C.邮件是否被篡改
D.邮件的发送者是否是甲
【问题6】(3分)
当乙需要将接收到的邮件中附带的数字证书自动保存到本地时,他应在图18-3所示的对话框中如何配置?
图18-3 “高级安全设置”对话框
例题分析
【问题1】
这里考查加密和数字签名的相关技术和流程,必须掌握这些常见的加、解密技术和前后的步骤。
【问题2】
本题考查的是报文摘要算法,此算法将对输入的任意长度的信息进行计算,产生一个固定长度的“指纹”或“报文摘要”。所以,E不同而输入邮件计算出的摘要长度相同是对的。
由于是摘要算法,所以其计算的速度快、时间短。
【问题3】
这里涉及数字签名的应用,考查数字签名的工作过程中数字证书的用法。
【问题4】
这种题目的答案是显而易见的,直接从答案的选项就可以看出来。
【问题5】
这个题目其实就是考查数字签名的应用。我们都知道数字签名是一种采用加密技术来鉴别身份的,所以在答案中可以看到B显然是不符合的。而A中的是否加密和是否使用数字签名并没有关系。排除法即可知道是C、D。
【问题6】
这是一个简单的软件配置、操作方面的问题,只要能清楚地了解题目所示界面上的选项的作用,要做出这种题目是相对较简单的。
例题答案
【问题1】
(1)~(4)CBFE
【问题2】
(5)~(6)BE
【问题3】
(7)~(8)AB
【问题4】
选中“在所有待发邮件中添加数字签名”复选框。
【问题5】
(9)~(10)CD
【问题6】
选中“将发件人的证书添加到我的通讯簿中”复选框。
例题3(2006年11月下午试题二)
阅读以下关于Linux网关安装和配置过程的说明,回答问题1~5,将解答填入答题纸对应的解答栏内。
【说明】
当局域网中存在大量计算机时,根据业务的不同,可以将网络分成几个相对独立的子网。图18-4所示为某公司子网划分的示意图,整个网络被均分为销售部与技术部两个子网,子网之间通过一台安装了Linux操作系统的双网卡计算机连通。
图18-4 子网划分示意图
【问题1】(5分)
销售部的网号是 (1) ,广播地址是 (2) ;技术部的网号是 (3) ,广播地址是 (4) ;每个子网可用的IP地址有 (5) 个。
【问题2】(3分)
Linux网关计算机有两个网络接口(eth0和eth1),每个接口与对应的子网连接。该计算机/etc/sysconfig/network文件清单为:
(6)的备选答案:
A.yes
B.no
C.route
D.gateway
【问题3】(2分)
在计算机/etc/sysconfig/network-scripts/目录中有以下文件,运行某命令可以启动网络,该命令是 (9) ,其命令参数是 (10) 。
【问题4】(2分)
在网关计算机上使用以下路由命令创建两个默认的路由:
【问题5】(3分)
设置技术部和销售部的主机网络参数后,如果两个子网间的主机不能通信,用 (13) 命令来测试数据包是否能够到达网关计算机。如果数据包可以到达网关但是不能转发到目标计算机上,则需要用命令cat /proc/sys/net/ipv4/ip_forward来确认网关计算机的内核是否支持IP转发。如果不支持,该命令输出 (14) 。
(13)和(14)的备选答案如下:
(13)A.traceroute
B.tracert
C.nslookup
D.route
(14)A.1
B.0
C.yes
D.no
例题分析
【问题1】
考查对网络基本概念的理解,要求考生根据网络地址及掩码计算网络号、广播地址等。
本题中的关键是计算出子网掩码,从Linux网关上的两个地址192.168.1.126和192.168.1.254可以判断出,192.168.1.0这个C类网络已经被分为两个小的子网,子网掩码并不是255.255.255.0,而是255.255.255.128。然后根据子网掩码计算出每个部门的网络号和广播地址等。考生尤其要注意,此处最容易弄混淆。
【问题2】
考查Linux下网卡的配置。要求考生熟悉Linux下相关的配置文件,当然,考生也可以从备选的答案中利用排除法。对于 (6) ,根据其前缀“FORWARD_IPV4=”可以知道是关于IPv4的配置,由于系统本身使用IPv4地址,备选答案中最好的就是A,其他的答案与前缀的意思都不匹配。
【问题3】
考查Linux的命令。
【问题4】
本题的关键是理解两条语句,第1条:
到192.168.1.0 255.255.255.128的路由,也就是到销售部的路由,而(11)处显然应该填写到该网络的下一跳地址,根据拓扑图就可以知道。
【问题5】
一般测试是否连通可采用ping命令,本题中并没有提供ping命令的答案,因此,可以采用tracerout命令,本题要注意:B答案是用于Windows环境的。
例题答案
【问题1】
(1)192.168.1.0
(2)192.168.1.127
(3)192.168.1.128
(4)192.168.1.225
(5)126
【问题2】
(6)A
(7)255.255.255.128
(8)255.255.255.128
【问题3】
(9)ifup
(10)网络接口名称(eth0或eth1)
【问题4】
(11)eth0
(12)eth1
【问题5】
(13)A
(14)B
例题4(2007年5月下午试题三)
阅读以下说明,回答问题1~5,将解答填入答题纸对应的解答栏内。
【说明】某网络拓扑结构如图18-5所示,DHCP服务器分配的地址范围如图18-6所示。
图18-5 网络拓扑结构图
图18-6 DHCP服务器分配的地址范围
【问题1】(3分)
DHCP允许服务器向客户端动态分配IP地址和配置信息。客户端可以从DHCP服务器获得 (1) 。
(1)A.DHCP服务器的地址
B.Web服务器的地址
C.DNS服务器的地址
【问题2】(4分)
图18-7所示为DHCP服务器安装中的添加删除窗口。
图18-7 配置窗口
参照图18-5和图18-6,为图18-7中配置相关信息。
起始IP地址: (2) 。
结束IP地址: (3) 。
【问题3】(2分)
在DHCP服务器安装完成后,DHCP控制台如图18-8所示。
图18-8 DHCP控制台
配置DHCP服务器时需要进行备份,以备网络出现故障时能够及时恢复。在图18-8所示备份中,DHCP服务器配置信息正确的方法是 (4) 。
(4)A.用鼠标右键单击“ruankao”服务器名,在弹出的快捷菜单中选择“备份”命令。
B.用鼠标右键单击“作用域”,在弹出的快捷菜单中选择“备份”命令。
C.用鼠标右键单击“作用域选项”,在弹出的快捷菜单中选择“备份”命令。
D.用鼠标右键单击“服务器选项”,在弹出的快捷菜单中选择“备份”命令。
【问题4】(2分)
通常采用IP地址与MAC地址绑定的策略为某些设备保留固定的IP地址。用鼠标右键单击图18-8中的 (5) 选项可进行IP地址与MAC地址的绑定设置。
(5)A.地址池
B.地址预约
C.保留
D.作用域选项
【问题5】(4分)
邮件服务器的网络配置信息如图18-9所示,请在图18-10中为邮件服务器绑定IP地址和MAC地址。
图18-9 邮件服务器的网络配置信息
图18-10 地址绑定界面图
IP地址: (6) ;
MAC地址: (7) 。
例题分析
【问题1】
DHCP服务器除了可以为DHCP客户机提供IP地址外,还可用设置DHCP客户机启动时的工作环境,如可以设置客户机登录的域名称、DNS服务器、WINS服务器、路由器、默认网关等。在客户机启动或更新租约时,DHCP服务器可以自动设置客户机启动后的TCP/IP环境。
【问题2】
因192.168.0.1、192.168.0.2分别分配给了两台服务器,所以在设置作用域时,要将它们排除在作用域范围之外。
【问题3】
在图18-8所示的备份中,DHCP服务器配置信息正确的方法是用鼠标右键单击“ruankao”服务器名,在弹出的快捷菜单中选择“备份”命令。
【问题4】
用鼠示右键单击图18-8中的“保留”选项可进行IP地址与MAC地址的绑定设置。
【问题5】
这里要注意的是,DHCP是设置内网的IP动态分配,因此为某些设备保留固定的IP地址,进行IP地址与MAC地址的绑定设置,当然是针对内网IP和内网网络适配器MAC。
例题答案
【问题1】
(1)C
【问题2】
(2)192.168.0.1
(3)192.168.0.2
【问题3】
(4)A
【问题4】
(5)C
【问题5】
(6)192.168.0.2
(7)00-16-36-33-9B-BE
例题5(2007年5月下午试题四)
阅读下列有关网络防火墙的说明,回答问题1~4,将答案填入答题纸对应的解答栏内。
【说明】
为了保障内部网络的安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图18-11所示。
图18-11 PIX防火墙的网络结构图
【问题1】(4分)
完成下列命令行,对网络接口进行地址初始化配置:
【问题2】(3分)
阅读以下防火墙配置命令,为每条命令选择正确的解释。
(5)A.当内网的主机访问外网时,将地址统一映射为61.144.51.46
B.当外网的主机访问内网时,将地址统一映射为61.144.51.46
C.设定防火墙的全局地址为61.144.51.46
D.设定交换机的全局地址为61.144.51.46
(6)A.启用NAT,设定内网的0.0.0.0主机可访问外网的0.0.0.0主机
B.启用NAT,设定内网的所有主机均可访问外网
C.对访问外网的内网主机不进行地址转换
D.对访问外网的内网主机进行任意的地址转换
(7)A.地址为61.144.51.43的外网主机访问内网时,地址静态转换为192.168.0.8
B.地址为61.144.51.43的内网主机访问外网时,地址静态转换为192.168.0.8
C.地址为192.168.0.8的外网主机访问外网时,地址静态转换为61.144.51.43
D.地址为192.168.0.8的内网主机访问外网时,地址静态转换为61.144.51.43
【问题3】(4分)
管道命令的作用是允许数据流从较低安全级别的接口流向较高安全级别的接口。解释或完成以下配置命令。
【问题4】(4分)
以下命令针对网络服务的端口配置,解释以下配置命令:
例题分析
【问题1】
网络防火墙配置命令:
【问题2】
【问题3】
conduit命令配置语法:
·permit | deny (允许/拒绝访问)
·global_ip指的是先前由global或static命令定义的全局IP地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
·port指的是服务所作用的端口,例如www使用80、smtp使用25等,我们可以通过服务名称或端口数字来指定端口。
·protocol指的是连接协议,比如TCP、UDP、ICMP等。
·foreign_ip表示可访问global_ip的外部IP。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
【问题4】
fixup命令的作用是启用、禁止、改变一个服务或协议通过PIX防火墙,由fixup命令指定的端口是PIX防火墙要侦听的服务。
启用:irewall(config)#fixup protocol portocol-name port-num
禁用:firewall(config)#no fixup protocol portocol-name port-num
例题答案
【问题1】
(1)192.168.0.1
(2)255.255.255.0
(3)61.144.51.42
(4)255.255.255.248
【问题2】
(5)A
(6)B
(7)D
【问题3】
(8)用IP地址61.144.51.43提供Web服务,允许所有外网用户访问
(9)conduit permit icmp any any
【问题4】
(10)启用HTTP协议,指定端口号为8080
(11)禁用FTP协议
例题6(2007年11月下午试题二)
阅读以下说明,回答问题1~4,将解答填入答题纸对应的解答栏内。
【说明】
网络工程师经常会面对服务器性能不足的问题,尤其是网络系统中的核心资源服务器,其数据流量和计算强度之大,使得单一计算机无法承担。可以部署多台Linux服务器组成服务器集群,采用负载均衡技术提供服务。
某企业内部网(网络域名为test.com)由3台Linux服务器提供服务,其中DNS、FTP、SMTP和POP3 4种服务由一台服务器承担,Web服务由两台Linux服务器采用负载均衡技术承担。
【问题1】(2分)
假定提供Web服务的两台Linux服务器IP地址分别为192.168.1.10和192.168.1.20。为了使用DNS循环机制,由主机名www.test.com对外提供一致的服务,需要在DNS服务器的test.com区域文件中增加下列内容:
通过DNS的循环机制,客户访问主机www.test.com时,会依次访问IP地址为192.168.1.10和192.168.1.20的WWW主机。填写上面的空格,完成test.com文件的配置。
【问题2】(2分)
采用循环DNS配置可以实现简单的具有负载均衡功能的Web服务。说明采用循环DNS实现均衡负载存在什么问题。
【问题3】(6分)
图18-12所示的是基于硬件的负载均衡方案,其中WSD Pro被称为导向器,通过导向器的调度,实现服务的负载均衡。主机www1.test.com、www2.test.com、ns.test.com和WSD Pro都配置了双网卡,IP地址标注在图中。
图18-12 负载均衡方案图
图18-12中的各个服务器必须进行恰当的配置,主机ns.test.com的/etc/sysconfig/network文件和/etc/sysconfig/network-scripts/ifcfg-eth0文件配置如下:
填写上面的空格,完成文件的配置。
【问题4】(5分)
图18-12所示的案例采用NFS(网络文件系统)技术主要解决什么问题?由图中左边的交换机组成的局域网有何功能?
试题分析
【问题1】
DNS的解析文件:每个区域的数据都存储在DNS服务器的解析文件中,又称为资源记录。资源记录的基本格式为:
●name字段:定义资源记录引用的域名对象。
●ttl字段:定义该资源记录中的信息在cache中存放的时间,通常为空。
●IN字段:表示此语句是一条DNS资源记录。
●type字段:表示资源记录的类型,分以下几种:
·NS:表示这个主机是一个域名服务器。
·A:定义了主机名到IP地址的对应关系。
·MX:邮件交换器资源记录。
·CNAME:定义了对应主机的一个别名。
·SOA:记录定义了域名数据的基本信息。
·PTR:将IP地址转换为主机域名。
题中(1)处是主机名到IP地址的映射,应该填“A”,(2)处是定义别名,应该填“CNAME”。
【问题2】
循环DNS(Round-robin DNS)技术是负载均衡最常用的方法之一。最早的负载均衡技术是通过DNS服务中的随机名字解析来实现的。在DNS服务器中,可以为多个不同的地址配置同一个名字,这个数据被发送给其他名字的服务器,而最终查询这个名字的客户机将在解析这个名字时随机使用其中一个地址。因此,对于同一个名字,不同的客户机会得到不同的地址,因此不同的客户访问的也就是不同地址的Web服务器,从而达到负载均衡的目的。
DNS负载均衡问题是一旦某个服务器出现故障,即使及时修改了DNS设置,还是要等待足够的时间(刷新时间)才能发挥作用,而DNS服务器并不知道这一点,因此客户请求将被延迟,或返回一个“无法访问服务器”消息给用户,在此期间保存了故障服务器地址的客户计算机将不能正常访问服务器。
【问题3】
/etc/sysconfig/network:该文件用来指定服务器上的网络配置信息,包含了控制和网络有关的文件及守护程序的行为的参数。文件清单及其解释如下:
【问题4】
网络文件系统(NFS)是一种在网络上的机器间共享文件的方法,文件就如同位于客户的本地硬盘驱动器上一样。由左边的交换机、两台WWW服务器和一台多功能服务器(DNS+FTP+MAIL+NFS)又构成了一个局域网。主机ns.test.com同时作为NFS(网络文件系统)服务器,Web服务器(www1和www2)作为它的客户,共享数据和服务脚本,保证Web服务的数据同步或一致。NFS服务器需要向www1和www2分发数据文件,为避免分发和同步占用了Web服务的带宽,左边的交换机组成192.168.2.0NFS专用局域网,保证Web的服务质量。同时这种配置将使NFS文件系统对外界不可用,增强了服务器的安全性。
例题答案
【问题1】
(1)A
(2)CNAME
【问题2】
存在的主要问题:不能区分服务器的差异,也不能反映服务器的当前运行状态(负载量的大小);或者,不能根据负载情况实现动态调度。
如果一个服务器发生故障不可访问,就会造成混乱,一部分人能够访问WWW服务器,另一部分人则不可以。
【问题3】
(3)false(或0)
(4)test.com
(5)192.168.0.10
(6)192.168.0.3
(7)192.168.0.0
(8)255.255.255.255
【问题4】
主机ns.test.com同时作为NFS(网络文件系统)服务器,Web服务器(www1和www2)作为它的客户,共享数据和服务脚本,保证Web服务的数据同步或一致。
NFS服务器需要向www1和www2分发数据文件,为避免分发和同步占用了Web服务的带宽,左边的交换机组成192.168.2.0NFS专用局域网,保证Web的服务质量。同时这种配置将使NFS文件系统对外界不可用,增强了服务器的安全性。
例题7(2007年11月下午试题二)
阅读以下说明,回答问题1~6,将解答填入答题纸对应的解答栏内。
【说明】
某公司要在Windows 2003 Server上搭建内部FTP服务器,服务器分配有一个静态的公网IP地址200.115.12.3。
【问题1】(每空2分,共4分)
在控制面板的“添加/删除程序”对话框中选择 (1) ,然后进入“应用程序服务器”选项,在 (2) 组件复选框中选择“文件传输协议(FTP)服务”,就可以在Windows 2003中安装FTP服务。
备选答案:
(1)A.更改或删除程序
B.添加新程序
C.添加/删除Windows组件
D.设定程序访问和默认值
(2)A.ASP.NET
B.Internet信息服务(IIS)
C.应用程序服务器控制台
D.启用网络服务
【问题2】(2分)
安装完FTP服务后,系统建立了一个使用默认端口的“默认FTP站点”,若要新建另一个使用“用户隔离”模式的FTP站点“内部FTP站点”,为了使两个FTP服务器不产生冲突,在图18-13所示的对话框中的IP地址应配置为 (3) ,端口号应配置为 (4) 。
图18-13 “FTP站点创建向导”对话框
备选答案:
(3)A.127.0.0.1
B.200.115.12.3
C.200.115.12.4
D.192.168.0.0
(4)A.20
B.21
C.80
D.服务器1024~65535中未用的端口号
【问题3】(2分)
在图18-14中,新建FTP站点的默认主目录为 (5) 。
图18-14 “内部FTP站点属性”对话框
备选答案:
(5)A.C:\inetpub\ftproot
B.C:\ftp
C.C:\ftp\root
D.C:\inetpub\wwwroot
【问题4】(每空2分,共4分)
公司要为每个员工在服务器上分配一个不同的FTP访问目录,且每个用户只能访问自己目录中的内容,需要进行以下操作: (6) 和 (7) 。
备选答案:
(6)A.为每个员工分别创建一个Windows用户
B.在“内部FTP站点”中为每个员工分别创建一个用户
C.为每个员工分别设置一个用户名和密码
(7)A.在主目录下为每个用户创建一个与用户名相同的子目录
B.在主目录下的Local User子目录中为每个用户创建一个与用户名相同的子目录
C.在主目录下的Local User子目录中为每个用户创建一个子目录,并在FTP中设置为用户可访问
D.在主目录下为每个用户创建一个与用户名相同的虚拟目录
【问题5】(1分)
如果还要为其他用户设置匿名登录访问,需要在以上创建用户目录的同一目录下创建名为 (8) 的目录。
备选答案:
(8)A.iUser
B.users
C.public
D.anonymous
【问题6】(2分)
如果公司只允许IP地址段200.115.12.0/25上的用户访问“内部FTP站点”,应进行如下配置:
在图18-15所示的对话框中:
图18-15 “内部FTP站点属性”对话框
(1)选中 (9) 单选按钮。
(2)单击“添加(D)…”按钮,打开图18-16所示的对话框。
图18-16 “授权访问”对话框
在图18-16所示的对话框中:
(1)选中“一组计算机(G)”单选按钮。
(2)在“IP地址(I)”文本框中输入地址 (10) ,在“子网掩码”文本框中输入255.255.255.128。
(3)单击“确定”按钮结束配置。
例题分析
【问题1】
本题考查的是在Windows环境下对IIS组件文件传输协议服务(FTP)的安装步骤,这要求考生要注重对操作系统的了解及实际动手操作能力的培养。
IIS安装过程:“开始”菜单→“设置”→“控制面板”→“添加或删除程序”→“添加或删除Windows组件”→选择组件列表中的IIS组件进行安装(或双击IIS组件对IIS的某些服务进行定制安装)。
【问题2】
要使内部FTP服务与外部FTP服务隔离开来,需将两个FTP服务指定为同一IP地址(即公网分配的静态IP地址)按端口进行区别,在选择端口的时候要注意不能使用原有的默认端口20、21(外部FTP占用),另外也不能使用1~1023的熟知端口,而使用1024~65535中未用的端口号。
【问题3】
新建FTP站点的默认主目录为C:\inetpub\ftproot。
新建Web站点的默认主目录为C:\inetpub\wwwroot。
【问题4】~【问题5】
分析略。
【问题6】
本题考查考生对FTP目录安全性配置的了解,具体配置请自行上机实践,分析略,结果请参看答案。
例题答案
【问题1】
(1)C
(2)B
【问题2】
(3)B
(4)D
【问题3】
(5)A
【问题4】
(6)A
(7)B
【问题5】
(8)C
【问题6】
(9)拒绝访问
(10)200.115.12.0~200.115.12.127之一
例题8(2008年5月下午试题四)
某公司采用100Mb/s宽带接入Internet,公司内部有15台PC,要求都能够上网。另外有两台服务器对外分别提供Web和E-mail服务,采用防火墙接入公网,拓扑结构如图18-17所示。
图18-17 网络拓扑结构图
【问题1】
如果防火墙采用NAPT技术,则该单位至少需要申请 (1) 个可用的公网地址。
【问题2】
下面是防火墙接口的配置命令:
根据以上配置,写出图18-17中防火墙各个端口的IP地址:
e0: (2)
e1: (3)
e2: (4)
【问题3】
1.ACL默认执行顺序是 (5) ,在配置时要遵循 (6) 原则、最靠近受控对象原则,以及默认丢弃原则。
(5)~(6)备选项:
A.最大特权
B.最小特权
C.随机选取
D.自左到右
E.自上而下
F.自下而上
2.要禁止内网中IP地址为198.168.46.8的PC访问外网,正确的ACL规则是 (7) 。
【问题4】
下面是在防火墙中的部分配置命令,请解释其含义:
例题分析
【问题1】
网络地址和端口翻译(NAPT)是一种特殊的NAT应用,它是M:1的翻译,即用一个公有IP地址将子网中的所有主机的IP地址都隐藏起来。如果子网中有多个主机要同时通信,那么还要对端口号进行翻译,所以也称为网络地址和端口翻译(NAPT)。该方法的特点是:
·出去的数据包源地址被路由器的外部地址代替,而源端口号则被一个还未使用的伪装端口号代替。
·进来的数据包的目标地址是路由器的IP地址,目标地址是其伪装端口号,由路由器进行翻译。
如果防火墙采用NAPT技术,则该单位至少需要申请一个可用的公网地址。
【问题2】
本题考查得比较简单,要求根据配置信息来进行分析。配置防火墙内、外部网卡IP的命令如下:
其中,inside代表内部网卡,outside代表外部网卡,dmz代表DMZ区域接口,ip-addr是指IP地址,netmask是子网掩码。由此可推知,防火墙各端口的IP地址分别为:
·e0:192.168.46.1。
·e1:202.134.135.98。
·e2:10.0.0.1。
【问题3】
网络管理最重要的任务之一就是网络安全,实现网络安全的一种方法便是使用路由器提供的基于数据包的过滤功能,即访问控制列表(ACL),其能在路由器接口处决定哪种类型的信息流量被转发,哪种类型的信息流量被拒绝。在Cisco路由器中,每个访问控制列表的执行顺序是“从上到下,顺序判断”,每一条新加的列表项都被安置在访问控制列表的最后面。所以,当一个ACL建好之后,就不能通过行号删除某一指定的列表项。当需要另外增加一列表项时,只能采取删处该ACL,然后再重新建立一个新的带有一系列条件判断语句(列表项)的ACL。
在实施ACL的过程中,应当遵循如下两个基本原则:
·最小特权原则:只给受控对象完成任务所必需的最小的权限。
·最靠近受控对象原则:所有的网络层访问权限控制。
注意:所有的ACL,默认情况下,从安全角度考虑,最后都会隐含一句deny any(标准ACL)或deny ip any any(扩展IP ACL),即默认丢弃原则。
标准访问列表的配置:
功能说明:基于源IP地址来进行判定是否允许或拒绝数据包通过(或其他操作,例如在NAT中就将是判断是否进行地址转换)。
命令格式:
命令解释:
·access-list:访问列表命令
·access-list-number:访问列表号码,值为1~99。
·permit:允许。
·deny:拒绝。
·source:源IP地址。
·source-wildcard:源IP地址的通配符。
·any:任何地址,代表0.0.0.0 255.255.255.255。
通配符:source-wildcard省略时,则是使用默认值0.0.0.0。它的作用与子网掩码是不相同的:当其取值为1时,代表该位不关心;当其取值为0时,代表必须匹配。
禁止内网中IP地址为198.168.46.8的PC访问外网,正确的ACL规则:
或:
这两者均可。
【问题4】
防火墙的主要配置项如表18-1所示。
表18-1 防火墙的主要配置项
题中配置项及其功能描述如下:
例题答案
【问题1】
(1)1
【问题2】
(2)192.168.46.1
(3)202.134.135.98
(4)10.0.0.1
【问题3】
(5)E
(6)B
(7)D
【问题4】
(8)指定外网口IP地址范围为202.134.135.98~202.134.135.100
(9)允许任意外网主机访问202.134.135.99提供的WWW服务
(10)允许任意IP数据包进出
例题9(2008年11月下午试题二)
阅读以下关于动态主机配置协议(DHCP)的说明,回答问题1~4。
【说明】
在小型网络中,IP地址的分配一般都采用静态方式,需要在每台计算机上手工配置网络参数,诸如IP地址、子网掩码、默认网关、DNS等。在大型网络中,采用DHCP完成基本网络配置会更有效率。
【问题1】(每空1分,共4分)
请在(1)~(4)空白处填写恰当的内容。
DHCP的工作过程是:
(1)IP租用请求。DHCP客户机启动后,发出一个DHCPDISCOVER消息,其封包的源地址为 (1) ,目标地址为 (2) 。
(2)IP租用提供。当DHCP服务器收到DHCPDISCOVER数据包后,通过端口68给客户机回应一个DHCPOFFER信息,其中包含有一个还没有被分配的有效IP地址。
(3)IP租用选择。客户机可能从不止一台DHCP服务器收到DHCPOFFER信息。客户机选择 (3) 到达的DHCPOFFER,并发送DHCPREQUEST消息包。
(4)IP租用确认。DHCP服务器向客户机发送一个确认(DHCPACK)信息,信息中包括IP地址、子网掩码、默认网关、DNS服务器地址,以及IP地址的 (4) 。
【问题2】(每空1分,共6分)
请在(5)~(10)空白处填写恰当的内容。
在Linux系统中使用 (5) 程序提供DHCP服务,DHCP服务器启动时自动读它的配置文件 (6) 。DHCP服务器配置文件如下所示:
根据这个文件中的内容,该DHCP服务的默认租期是 (7) 天,DHCP客户机能获得的IP地址范围是:从 (8) 到 (9) ;获得的DNS服务器IP地址为 (10) 。
【问题3】(2分)
在路由器上设置DHCP (11) 可以跨网段提供DHCP服务。
(11)备选答案:
A.多个作用域
B.中继代理
C.VPN
【问题4】(每空1分,共3分)
请在(12)~(14)空白处填写恰当的内容。
Windows XP用户在命令行方式下,通过 (12) 命令可以看到自己申请到的本机IP地址,用 (13) 可以重新向DHCP服务器申请IP地址,用 (14) 命令可以将IP地址释放。
例题分析
【问题1】
2005年上半年的网工考试,下午试题第二题与该题十分相似。
DHCP客户机启动后,发出一个DHCPDISCOVER消息,这个消息以广播的形式发出,源地址为0.0.0.0,目标地址为255.255.255.255。
IP租用选择。客户机可能从不止一台DHCP服务器收到DHCPOFFER信息。客户机按最先到达的DHCPOFFER,并发送DHCPREQUEST消息包。
IP租用确认。DHCP服务器向客户机发送一个确认(DHCPACK)信息,信息中包括IP地址、子网掩码、默认网关、DNS服务器地址,以及IP地址的租约。
【问题2】
在Linux系统中,提供DHCP服务的程序为dhcpd,对应的相关配置文件为/etc/dhcpd.conf。
从配置文件的default-lease-time 86400;语句可以看出默认的租期为86400秒,正好是1天;range 192.168.0.10 192.168.0.250;这条语句说明DHCP客户机能获得的IP地址范围是从192.168.0.10到192.168.0.250。
从option domain-name-servers
61.233.9.9, 202.96.133.134;
可以看出,DNS服务器的IP地址为61.233.9.9或202.96.133.134。
【问题3】
大型的网络可能存在多个子网,如果为每个子网单独做一个DHCP服务器浪费太大。如果全网只有一台DHCP服务器,而又因为DHCP的请求是通过广播来进行的,但广播消息不能跨越子网,因此客户端无法获取IP地址。这个时候,就要用到DHCP中继代理。DHCP中继代理实际上是一种软件技术,它承担不同子网间的DHCP客户机和服务器的通信任务。因此只有在路由器上设置DHCP中继代理才可以跨网段提供DHCP服务。
【问题4】
Ipconfig为Windows XP的一条命令,可以查看本机申请到的IP地址。这里(12)空也可以填ipconfig/all,加一个/all参数可以查看所有IP地址。
Ipconfig的参数/renew表明可以重新向DHCP服务器申请IP地址,因此(13)空填写ipconfig/renew。
Ipconfig的参数/release可以将IP地址释放,因此(14)空填写ipconfig/release。
例题答案
【问题1】(4分)
(1)0.0.0.0
(2)255.255.255.255
(3)第一个(或最先)
(4)租约(或租期)
【问题2】(6分)
(5)dhcpd
(6)/etc/dhcpd.conf
(7)1(或一)
(8)192.168.0.10
(9)192.168.0.250
(10)61.233.9.9或202.96.133.134均正确
【问题3】(2分)
(11)B
【问题4】(3分)
(12)ipconfig或ipconfig/all
(13)ipconfig/renew
(14)ipconfig/release
例题10(2008年11月下午试题三)
阅读以下说明,回答问题1~7,将解答填入答题纸对应的解答栏内。
【说明】
希赛某子部门网络拓扑结构如图18-18所示。网络A中的DNS_Server1和网络B中的DNS_Server2分别安装有Windows Server 2003并启用了DNS服务。DNS_Server1中安装有IIS6.0,建立了一个域名为www.abc.com的Web站点。
图18-18 网络拓扑结构图
【问题1】(每空1分,共3分)
为了使DNS_Server1能正确解析本地Web站点的域名,需对DNS_Server1中的DNS服务进行配置。在图18-19所示的对话框中,新建的区域名称是 (1) ;在图18-20所示的对话框中,添加的新建主机名称为 (2) ,IP地址栏应输入 (3) 。
图18-19 “新建区域向导”对话框
图18-20 “新建主机”对话框
【问题2】(2分)
DNS_Server1中的DNS服务在没有设定转发器和禁用递归的情况下,如果本地查找某域名失败,则会将查询转至 (4) 继续搜索。
(4)备选答案:
A.辅助域名服务器
B.转发域名服务器
C.根域名服务器
D.子域名服务器
【问题3】(2分)
如图18-21所示,配置允许区域动态更新的作用是 (5) 。
图18-21 “abc.com属性”对话框
【问题4】(2分)
将DNS_Server2作为本网络的辅助域名服务器,并允许区域复制。以下不属于区域复制执行条件的是 (6) 。
(6)备选答案:
A.辅助域名服务器向主域名服务器提出复制请求时
B.距上次区域复制一定时间后
C.辅助域名服务器启动时
D.在辅助域名服务器上手工启动复制时
【问题5】(每空1分,共3分)
DNS系统中反向查询(Reverse Query)的功能是 (7) 。为实现网络A中Web站点的反向查询,在图18-22和图18-23中进行配置:
图18-22 “新建区域向导”对话框
图18-23 “新建资源记录”对话框
网络ID为 (8) ;
主机名为 (9) 。
【问题6】(每空1分,共2分)
在网络A的PC1中执行命令“ping www.abc.com”,域名解析系统首先读取本机“%systemroot%\system32\drivers\etc”目录下的 (10) 文件,在其中查找对应域名的IP地址。若查找失败,则将域名解析任务提交给PC1主机中网络连接所配置的 (11) 进行查询。
【问题7】(1分)
在客户端除了可以用ping命令外,还可以使用 (12) 命令来测试DNS是否正常工作。
(12)备选答案:
A.ipconfig
B.nslookup
C.route
D.netstat
例题分析
【问题1】
在Windows 2003中新建区域,是为了让域名能和指定的IP地址建立起对应关系。这个时候应该填写其根域名,因此(1)处应该填写abc.com。根据问题1的要求,要能够正确解析本地Web站点的域名,而DNS_Server1建立了www.abc.com的站点,图18-18指出该服务器IP地址为202.115.12.1,因此图18-20中添加的主机的名称即空(2)应该为www,(3)处填写202.115.12.1。
【问题2】
当在域名服务器中查询某域名失败时,该域名服务器会将域名解析送至根一级的域名服务器中进行,因此这里应该选择C。
辅助域名服务器的作用:为了减轻主域名服务器的负担,并在其发生故障时代替其工作,一个主域名服务器可以有多个辅助域名服务器。辅助域名服务器具有与主域名服务器相同的域名。
转发域名服务器的作用:负责所有非本地域名的本地查询,主要是查缓存。
【问题3】
利用动态更新功能,网络内的客户端计算机能够注册到DNS服务器并在每次发生更改时动态更新其资源记录。
【问题4】
所谓区域复制,就是把主域名服务器的记录同步到其他服务器上。只有提出复制请求或者辅助服务器启动才能执行区域复制,因此这里应该选B。
【问题5】
DNS的反向查询就是用户用IP地址查询对应的域名。
在图18-22所示的网络ID中,要以DNS服务器所使用的IP地址前3个部分来设置反向搜索区域。本题中,网络A中的DNS服务器的IP地址是“202.115.12.1”,则取用前3个部分就是“202.115.12”。因此,(8)处应填入202.115.12,而主机名填写相应的域名即可,即www.abc.com。
【问题6】
当PC1中执行命令“ping www.abc.com”时,首先是一个域名解析的过程,即把www.abc.com解析为IP地址。
主机首先查询%systemroot%\system32\drivers\etc\hosts下的hosts文件,该文件存储了部分域名与IP对应关系。
当hosts文件中查询不到相关的信息时,则将解析的请求提交到“首选DNS服务器”中,“首选DNS服务器”的地址可以在Windows 2003的“网上邻居”中设置。
【问题7】
nslookup是Windows自带的测试DNS的命令。
例题答案
【问题1】(3分)
(1)abc.com
(2)www
(3)202.115.12.1
【问题2】(2分)
(4)C
【问题3】(2分)
(5)该区域内客户机的信息(主机名称或IP地址)变更时,将信息自动传送到DNS服务器,更新资源记录
【问题4】(2分)
(6)B
【问题5】(3分)
(7)用IP地址查询对应的域名
(8)202.115.12
(9)www.abc.com
【问题6】(2分)
(10)hosts
(11)首选DNS服务器
【问题7】(1分)
(12)B
例题11(2008年11月下午试题四)
阅读以下说明,回答问题1~5,将解答填入答题纸对应的解答栏内。
【说明】
希赛公司内部服务器S1部署了重要的应用,该应用只允许特权终端PC1访问,如图18-24所示。为保证通信安全,需要在S1上配置相应的IPSec策略。综合考虑后,确定该IPSec策略如下:
·S1与终端PC1通过TCP协议通信,S1提供的服务端口为6000。
·S1与PC1的通信数据采用DES算法加密。
·管理员可以在PCn上利用“远程桌面连接”对S1进行系统维护。
·除此以外,任何终端与S1的通信被禁止。
图18-24
【问题1】(每空1分)
IPSec工作在TCP/IP协议栈的 (1) ,为TCP/IP通信提供访问控制 (2) 、数据源验证、抗重放、 (3) 等多种安全服务。IPSec的两种工作模式分别是 (4) 和 (5) 。
(1)~(5)备选答案:
A.应用层
B.网络层
C.数据链路层
D.传输层
E.机密性
F.可用性
G.抗病毒性
H.数据完整性
I.传输模式
J.单通道模式
K.多通道模式
L.隧道模式
【问题2】(每空2分,共4分)
针对图18-25所示的“服务器S1的IPSec策略”,下列说法中错误的是 (6) 和 (7) 。
图18-25 “服务器S1的IPSec策略属性”对话框
(6)~(7)备选答案:
A.由于所有IP通信量均被阻止,所以PC1无法与S1通信
B.特定TCP消息可以通过协商安全的方式与S1通信
C.特定TCP消息通信是通过预先共享的密钥加密
D.允许特定的远程桌面连接与S1通信
E.PC1无法通过ping命令测试是否与S1连通
F.图18-25中的筛选器相互矛盾,无法同时生效
【问题3】(每空1分,共2分)
表18-2所示为图18-25中“IP筛选器列表”中“TCP消息”筛选器的相关内容。将表18-2填写完整,使其满足题目中IPSec策略的要求。
表18-2 “TCP”筛选器的相关内容
【问题4】(每空1分,共2分)
TCP消息的协商安全属性如图18-26所示,根据规定的IPSec安全策略,需要将 (10) 改成 (11) 。
图18-26 “协商安全属性”对话框
【问题5】(2分)
在Windows系统中,采用TCP的3389端口提供远程桌面连接服务。图18-25中的“远程桌面连接(RDP)”对应的筛选器属性配置如图18-27所示,请问图中配置是否有误?如果有误,应该如何修改?
图18-27 “筛选器属性”对话框
例题分析
【问题1】
这是一道关于IPSec的概念题。IPSec工作在TCP/IP协议栈的网络层,为TCP/IP通信提供访问控制机密性、数据源验证、抗重放、数据完整性等多种安全服务。IPSec的两种工作模式分别是传输模式和隧道模式。
【问题2】
题干中给出“S1与终端PC1通过TCP协议通信,S1提供的服务端口为6000”,因此A选项“由于所有IP通信量均被阻止,所以PC1无法与S1通信”是错误的。
图18-25给出的IP筛选器列表中,“所有IP通信量”实际上是匹配该计算机到任何其他计算机之间的所有ICMP包,除了广播、多播、Kerberos、RSVP和ISAKMP(IKE)。
图中其他规则的“筛选器”操作方式都为许可、响应、协商,均不会相互矛盾,也与“所有IP通信量”规则不矛盾,因此F选项“图18-25中的筛选器相互矛盾,无法同时生效”也是错误的。
【问题3】
题干中给出“S1与终端PC1通过TCP协议通信,S1提供的服务端口为6000”,因此IPSec策略要求目标端口填写6000。源IP亦为PC1的IP地址(192.168.0.20)。
【问题4】
题干中给出“S1与PC1的通信数据采用DES算法加密”,因此ESP加密方式3DES应该改为DES。
【问题5】
图中配置有错误的,由于远程桌面使用的是RDP协议,因此“选择协议类型”选项应该选择RDP而不是TCP。同时如果“从此端口”设定为3389,则本机只能用3389和目标机器的3389号端口建立远程桌面连接,而实际上客户端连接是通过随机的端口和远程桌面服务器进行通信的,结果就是无法访问。因此将“从此端口3389”改为“从任意端口”。
例题答案
【问题1】(5分)
(1)B
(2)~(3)E、H(顺序可换)
(4)~(5)I、L(顺序可换)
【问题2】(4分)
(6)~(7)A、F(顺序可换)
【问题3】(2分)
(8)6000
(9)192.168.0.20
【问题4】(2分)
(10)3DES
(11)DES
【问题5】(2分)
答案一:有,将TCP改为RDP。
答案二:有,将“从此端口3389”改为“从任意端口”。
例题12(2009年5月下午试题二)
阅读以下说明,回答问题1~6,将解答填入答题纸对应的解答栏内。
【说明】
某公司总部服务器1的操作系统为Windows Server 2003,需安装虚拟专用网(VPN)服务,通过Internet与子公司实现安全通信,其网络拓扑结构和相关参数如图18-28所示。
图18-28 网络拓扑结构图
【问题1】(2分)
在Windows Server 2003的“路由和远程访问”中提供了两种隧道协议来实现VPN服务: (1) 和L2TP,L2TP协议将数据封装在 (2) 协议帧中进行传输。
【问题2】(1分)
在服务器1中,利用Windows Server 2003的管理工具打开“路由和远程访问”,在所列出的本地服务器上选择“配置并启用路由和远程访问”,然后选择配置“远程访问(拨号或VPN)”服务,在图18-29所示的界面中,“网络接口”应选择 (3) 。
图18-29 路由和远程访问服务器安装向导
(3)备选答案:
A.连接1
B.连接2
【问题3】(4分)
为了加强远程访问管理,新建一条名为“SubInc”的访问控制策略,允许来自子公司服务器2的VPN访问。在图18-30所示的配置界面中,应将“属性类型(A)”的名称为 (4) 的值设置为“Layer Two Tunneling Protocol”,名称为 (5) 的值设置为“Virtual(VPN)”。
图18-30 “选择属性”对话框
编辑SubInc策略的配置文件,添加“入站IP筛选器”,在图18-31所示的配置界面中,IP地址应填为 (6) ,子网掩码应填为 (7) 。
图18-31 “添加IP筛选器”对话框
【问题4】(4分)
子公司PC1安装Windows XP操作系统,打开“网络和Internet连接”。若要建立与公司总部服务器的VPN连接,在图18-32所示的窗口中应该选择 (8) ,在图18-33所示的配置界面中填写 (9) 。
图18-32 “网络和Internet连接”窗口
图18-33 “新建连接向导”对话框
(8)备选答案:
A.设置或更改您的Internet连接
B.创建一个到您的工作位置的网络连接
C.设置或更改您的家庭或小型办公网络
D.为家庭或小型办公室设置无线网络
E.更改Windows防火墙设置
【问题5】(2分)
用户建立的VPN连接xd2的属性如图18-34所示,启动该VPN连接时是否需要输入用户名和密码?为什么?
图18-34 “xd2属性”对话框
【问题6】(2分)
图18-35所示的配置界面中所列协议“不加密的密码(PAP)”和“质询握手身份验证协议(CHAP)”有何区别?
图18-35 “高级安全设置”对话框
例题分析
【问题1】
在Windows Server 2003的“路由和远程访问”中提供了两种隧道协议来实现VPN服务,如图18-36所示。
图18-36 选择隧道协议来实现VPN服务
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互连网络上的传输。
【问题2】
此处网络接口应该选择外网接口,也就是连接到Internet的网卡。
【问题3】
图18-37 “Tunnel-Type”对话框
图18-38 “NAS-Port-Type”对话框
VPN服务器可以利用数据包筛选来保护内部网络免受外部的攻击。在安全环境中配置数据包筛选器的最佳方式是使用最少特权原则:丢弃除明确允许的数据包以外的其他所有数据包。
在“路由和远程访问”控制台的左窗格,展开服务器,然后展开IP路由。
单击常规,用鼠标右键单击该外部接口,然后单击属性。单击常规选项卡,单击入站筛选器,然后单击新建。选中“目标网络”复选框,然后在“IP地址”文本框中输入该外部接口的IP地址202.115.12.34,在“子网掩码”文本框中输入255.255.255.255,如图18-39所示。
图18-39 “添加IP筛选器”对话框
【问题4】
本小题考查的是VPN客户端的配置。若要建立与公司总部服务器的VPN连接,在图18-32所示的界面中应该选择“创建一个到您的工作位置的网络连接”,如图18-40所示。
图18-40 创建网络连接
在图18-33所示的配置界面中应该填写连接到服务器的地址61.134.1.137。
【问题5】
不需要。因为选中“自动使用我的Windows登录名和密码”复选框,此时用本机Windows登录的用户名和密码进行VPN连接,如图18-41所示。
图18-41 “Csai属性”对话框
图18-42 正在连接csai
【问题6】
PPP拨号会话过程可以分成4个不同的阶段,分别是:创建PPP链路、用户验证、PPP回叫控制、调用网络层协议。在第二阶段,客户PC会将用户的身份证明发给远端的接入服务器。该阶段使用一种安全认证方式,避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的认证方式,包括口令字认证协议(PAP)、挑战握手认证协议(CHAP)和微软挑战握手认证协议(MS-CHAP)。
·口令字认证协议(PAP)。PAP是一种简单的明文认证方式。NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种认证方式的安全性较差,第三方可以很容易地获取被传送的用户名和口令,并利用这些信息与NAS建立连接,获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
·挑战握手认证协议(CHAP)。CHAP是一种加密的认证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串。远程客户必须使用MD5单向哈希算法返回用户名和加密的挑战口令、会话ID及用户口令,其中用户名以非哈希方式发送。CHAP为每一次认证任意生成一个挑战字串来防止受到再现攻击。在整个连接过程中,CHAP将不定时地向客户端重复发送挑战口令,从而避免第三方冒充远程客户进行攻击。
例题答案
【问题1】
(1)PPTP(点对点隧道协议)
(2)PPP(点对点协议)
【问题2】
(3)B
【问题3】
(4)Tunnel-Type
(5)NAS-Port-Type
(6)202.115.12.34
(7)255.255.255.255
【问题4】
(8)B
(9)61.134.1.37
【问题5】
不需要。因为选中“自动使用我的Windows登录名和密码”复选框,此时用本机Windows登录的用户名和密码进行VPN连接。
【问题6】
PAP使用明文身份验证。
CHAP通过使用MD5和质询-响应机制提供一种加密身份验证。
例题13(2009年5月下午试题三)
阅读以下关于Linux文件系统和Samba服务的说明,回答问题1~3,将解答填入答题纸对应的解答栏内。
【说明】
Linux系统采用了树形多级目录来管理文件,树形结构的最上层是根目录,其他的所有目录都是从根目录生成的。
通过Samba可以实现基于Linux操作系统的服务器和基于Windows操作系统的客户机之间的文件、目录及共享打印服务。
【问题1】(6分)
Linux在安装时会创建一些默认的目录,如表18-3所示。
表18-3 Linux安装时创建的默认目录
依据上述表格,在空(1)~(6)中填写恰当的内容(其中空 (1) 在备选答案中选择)。
①对于多分区的Linux系统,文件目录树的数目是 (1) 。
②Linux系统的根目录是 (2) ,默认的用户主目录在 (3) 目录下,系统的设备文件(如打印驱动)存放在 (4) 目录中, (5) 目录中的内容关机后不能被保存。
③如果在工作期间突然停电,或者没有正常关机,在重新启动机器时,系统将要复查文件系统,系统将找到的无法确定位置的文件放到目录 (6) 中。
(1)备选答案:
A.1
B.分区的数目
C.大于1
【问题2】(4分)
默认情况下,系统将创建的普通文件的权限设置为-rw-r—r--,即文件所有者对文件 (7) ,同组用户对文件 (8) ,其他用户对文件 (9) 。文件的所有者或者超级用户,采用 (10) 命令可以改变文件的访问权限。
【问题3】(5分)
Linux系统中Samba的主要配置文件是/etc/samba/smb.conf。请根据以下的smb.conf配置文件,在空(11)~(15)中填写恰当的内容。
Linux服务器启动Samba服务后,在客户机的“网上邻居”中显示提供共享服务的Linux主机名为 (11) ,其共享的服务有 (12) ,能够访问Samba共享服务的客户机的地址范围 (13) ;能够通过Samba服务读写/home/samba中内容的用户是 (14) ;该Samba服务器的安全级别是 (15) 。
例题分析
【问题1】
Linux采用的是树形结构,最上层是根目录,其他的所有目录都是从根目录出发而生成的。微软的DOS和Windows也是采用树形结构,但是在DOS和Windows中这样的树形结构的根是磁盘分区的盘符,有几个分区就有几个树形结构,它们之间的关系是并列的。但是在Linux中,无论操作系统管理几个磁盘分区,这样的目录树只有一个,具体的含义如表18-4所示。
表18-4 Linux默认目录
【问题2】
在Linux系统中,每一个文件和目录都有相应的访问许可权限,文件或目录的访问权限分为可读(可列目录)、可写(对目录而言是可在目录中做写操作)和可执行(对目录而言是可以访问)3种,分别以r、w、x表示,其含义为:对于一个文件来说,可以将用户分成3种,即文件所有者、同组用户、其他用户,可对其分别赋予不同的权限。每一个文件或目录的访问权限都有3组,每组用3位表示,如图18-43所示。
图18-43
注:文件类型有多种,d代表目录,-代表普通文件,代表字符设备文件
更改文件的权限的命令为chmod。
chmod的语法格式为:
其中,who表示对象,是以下字母中的一个或组合:u(文件所有者)、g(同组用户)、o(其他用户)、a(所有用户);opt则代表操作,可以为+(添加权限)、-(取消权限)、=(赋予给定的权限,并取消原有的权限);而mode则代表权限。
【问题3】
Linux系统中Samba的主要配置文件是/etc/samba/smb.conf。
smb.conf文件有3个主要部分:
·全局参数字段(gobal):主机共享时的整体设置。
·目录共享字段(homes):定义一般参数,如建立共享文件目录等。
·打印机共享字段(printers):打印机的配置和共享。
下面对smb.conf文件中的主要设置项进行逐一解释说明。
例题答案
【问题1】
(1)A
(2)/
(3)/home
(4)/dev
(5)/proc
(6)/lost+found
【问题2】
(7)可读、可写
(8)仅可读
(9)仅可读
(10)chmod
【问题3】
(11)smb-server
(12)printers或My Printer
(13)无限制(因为hosts allow被分号注释掉了)
(14)Linux系统的test组中的用户(仅回答test用户不给分)
(15)用户安全级
例题14(2009年11月下午试题二)
阅读下列说明,回答问题1~5,将解答填入答题纸对应的解答栏内。
【说明】
网络拓扑结构如图18-44所示。
图18-44 网络拓扑结构图
【问题1】(4分)
网络A的WWW服务器上建立了一个Web站点,对应的域名是www.abc.edu。DNS服务器1上安装了Windows Server 2003操作系统并启用DNS服务。为了解析WWW服务器的域名,在图18-45所示的对话框中,新建一个区域的名称是 (1) ;在图18-46所示的对话框中,添加的对应的主机“名称”为 (2) 。
图18-45 “新建区域向导”对话框
图18-46 “新建主机”对话框
【问题2】(3分)
在DNS系统中反向查询(Reverse Query)的功能是 (3) 。为了实现网络A中WWW服务器的反向查询,在图18-47和18-48中进行配置,其中网络ID应填写为 (4) ,主机名应填写为 (5) 。
图18-47 “新建区域向导”对话框
图18-48 “新建资源记录”对话框
【问题3】(3分)
DNS服务器1负责本网络区域的域名解析,对于非本网络的域名,可以通过设置“转发器”,将自己无法解析的名称转到网络C中的DNS服务器2进行解析。设置步骤:首先在“DNS管理器”中选中DNS服务器,单击鼠标右键,在弹出的快捷菜单中选择“属性”命令,在弹出的对话框中选择“转发器”选项卡,如图18-49所示的对话框中应如何配置?
图18-49 “转发器”选项卡
【问题4】(2分)
网络C的Windows Server 2003服务器上配置了DNS服务,在该服务器上两次使用nslookup www.sohu.com命令得到的结果如图18-50所示,由结果可知,该DNS服务器 (6) 。
图18-50 运行结果
(6)的备选答案:
A.启用了循环功能
B.停用了循环功能
C.停用了递归功能
D.启用了递归功能
【问题5】(3分)
在网络B中,除PC5计算机以外,其他的计算机都能访问网络A的WWW服务器,而PC5计算机与网络B内部的其他PC都是连通的。分别在PC5和PC6上执行命令ipconfig,结果信息如图18-51和图18-52所示。
图18-51 PC5上的运行结果
图18-52 PC6上的运行结果
请问PC5的故障原因是什么?如何解决?
例题分析
【问题1】
网络A的WWW服务器对应的域名是www.abc.edu,故在DNS服务器上新建的区域的名称是abc.edu,主机名称为www。
【问题2】
在DNS系统中可利用反向查询功能来依据IP地址查询对应的域名。Windows Server 2003操作系统中配置DNS反向查询时IP地址倒写,且只取前3个字节,故(4)应填入“210.43.16”,对应的主机名为www.abc.edu。
【问题3】
转发器的功能是将自己无法解析的名称转到另一个DNS服务器进行转发,配置转发服务器时需要指定转发服务器的IP地址。故在图18-49中应选中“启用转发器”复选框,并在IP地址栏输入DNS服务器2的IP地址,即“51.202.22.18”。
【问题4】
从DNS服务器上两次使用nslookup得到的结果可以看出,该DNS服务器启用了循环功能。
【问题5】
PC5和PC6 Internet协议属性参数中网关地址不同,故PC5的默认网关配置错误。将其默认网关IP地址修改为“192.168.0.3”即可。
例题答案
【问题1】
(1)abc.edu
(2)www
【问题2】
(3)用IP地址查询对应的域名
(4)210.43.16
(5)www.abc.edu
【问题3】
选中“启用转发器”复选框,在IP地址栏输入“51.202.22.18”,单击“添加”按钮,然后单击“确定”按钮关闭对话框。
【问题4】
(6)A
【问题5】
PC5的默认网关配置错误,将默认网关IP地址修改为“192.168.0.3”。
例题15(2009年11月下午试题三)
阅读以下说明,回答问题1~3,将解答填入答题纸对应的解答栏内。
【说明】
在大型网络中,通常采用DHCP完成基本网络配置会更有效率。
【问题1】(1分)
在Linux系统中,DHCP服务默认的配置文件为 (1) 。
(1)备选答案:
A./etc/dhcpd.conf
B./etc/dhcpd.config
C./etc/dhcp.conf
D./etc/dhcp.config
【问题2】(共4分)
管理员可以在命令行通过 (2) 命令启动DHCP服务;通过 (3) 命令停止DHCP服务。
(2)~(3)备选答案:
A.service dhcpd start
B.service dhcpd up
C.service dhcpd stop
D.service dhcpd down
【问题3】(10分)
在Linux系统中配置DHCP服务器,该服务器配置文件的部分内容如下:
在主机webserver上运行ifconfig命令时显示如下,根据DHCP配置,填写空格中缺少的内容。
该网段的网关IP地址为 (7) ,域名服务器IP地址为 (8) 。
例题分析
【问题1】
在Linux系统中,DHCP服务默认的配置文件为/etc/dhcpd.conf。
【问题2】
在Linux系统中,可以在命令行下通过service dhcpd start和service dhcpd stop进行DHCP服务的启动和停止。
【问题3】
问题(4)~(6)是webserver的MAC地址、IP地址和网络掩码。在/etc/dhcpd.conf中有如下相关内容:
因此可以知道webserver的MAC地址是52:54:AB:34:5B:09,IP地址是192.168.1.100,网络掩码为255.255.255.0。
从dhcpd.conf中可以看到如下内容:
因此该网段的网关IP地址为192.168.1.254,DNS为192.168.1.3。
例题答案
【问题1】
(1)A
【问题2】
(2)A
(3)C
【问题3】
(4)52:54:AB:34:5B:09
(5)192.168.1.100
(6)255.255.255.0
(7)192.168.1.254
(8)192.168.1.3
例题16(2010年5月下午试题二)
阅读以下说明,回答问题1~5,将解答填入答题纸对应的解答栏内。
【说明】
在Linux服务器中,inetd/xinetd是Linux系统中的一个重要服务。
【问题1】(2分)
下列选项中, (1) 是xinetd的功能。
(1)备选答案:
A.网络服务的守护进程
B.定时任务的守护进程
C.负责配置网络接口
D.负责启动网卡
【问题2】(2分)
默认情况下,xinetd配置目录信息为:
则下列说法错误的是 (2) 。
(2)备选答案:
A.root用户拥有可执行权限
B.除root用户外,其他用户不拥有执行权限
C.root用户拥有可写权限
D.除root用户外,其他用户不拥有写权限
【问题3】(4分)
在Linux系统中,inetd服务的默认配置文件为 (3) 。
(3)备选答案:
A./etc/inet.conf
B./etc/inetd.config
C./etc/inetd.conf
D./etc/inet.config
在Linux系统中,默认情况下,xinetd所管理服务的配置文件存放在 (4) 。
(4)备选答案:
A./etc/xinetd/
B./etc/xinetd.d/
C./usr/etc/xinetd/
D./usr/etc/xinetd.d/
【问题4】(4分)
某Linux服务器上通过xinetd来对各种网络服务进行管理,该服务器上提供FTP服务,FTP服务器程序文件为/usr/bin/ftpd,FTP服务器的配置文件/etc/xinetd.d/ftp内容如下,目前该服务器处于开启状态。
请完善该配置文件。
(5)备选答案:
A.TCP
B.UDP
C.IP
D.HTTP
(6)备选答案:
A./usr/bin/ftpd
B.ftpd
C.ftp
D./bin/ftpd
【问题5】(3分)
xinetd可使用only_from、no_access及access_time等参数对用户进行访问控制。若服务器上FTP服务的配置信息如下:
则下列说法中错误的是 (7) 。
(7)备选答案:
A.允许192.168.3.0/24中的主机访问该FTP服务器
B.172.16.3.0/24网络中的主机可以访问该FTP服务器
C.IP地址为172.16.x.x的主机可以连接到此主机,但地址属于172.16.1.x、172.16.2.x的则不能连接
D.FTP服务器可以24小时提供服务
例题分析
【问题1】
Linux有许多网络服务是通过xinetd进行总体管理的,比如说有名的telnet服务,就是通过xinetd进行管理的。但是,由于采用这种统一管理的方式导致了效率的降低,所以现在的大型网络服务都是自己管理自己,比如httpd等。所以说,xinetd有一些过时了,但是经典的网络服务还是需要由它进行统一管理的。
【问题2】
默认情况下,xinetd配置目录信息为:
这里第一位表示文件类型,文件类型有多种,d代表目录,-代表普通文件,c代表字符设备文件。
d字符之后的3组字符串rwxr-xr-x(每组字符串用3位字符表示)分别表示所有者、同组用户、其他用户对文件的权限。r、w、x分别表示可读(可列目录)、可写(对目录而言是可在目录中做写操作)和可执行(对目录而言是可以访问)。
drwxr-xr-x串后的2表示连接占用的节点数目,这个与连接文件(link file)有关,即相对于当前目录的二级目录数。
drwxr-xr-x 2之后的两个root分别表示文件(或目录)的“拥有者”和拥有者所在的用户组。
drwxr-xr-x 2 root root之后的4096表示文件大小。
2009004-23 18:27表示文件的创建日期或者是最近的修改日期。
最后的xinetd.d表示文件名。
【问题3】
在Linux系统中,inetd服务的默认配置文件为/etc/inetd.conf;在Linux系统中,默认情况下,xinetd所管理服务的配置文件存放在/etc/xinetd.d/。
【问题4】
FTP是基于TCP的,因此(5)处应为TCP;FTP服务器程序文件为/usr/bin/ftpd,因此(6)处应填写/usr/bin/ftpd。
【问题5】
access_times=07:00~21:00表示提供FTP服务时间为07:00~21:00。
例题答案
【问题1】
(1)A
【问题2】
(2)B
【问题3】
(3)C
(4)B
【问题4】
(5)A
(6)A
【问题5】
(7)D
例题17(2010年5月下午试题三)
阅读以下说明,回答问题1~4,将解答填入答题纸对应的解答栏内。
【说明】
终端服务可以使客户远程操作服务器,Windows Server 2003中开启终端服务时需要分别安装终端服务的服务器端和客户端,图18-53所示为客户机Host1连接终端服务器Server1的网络拓扑结构示意图。
图18-53 网络拓扑结构图
Host1和Server1账户如表18-5所示。
表18-5 Host1和Server1账户
图18-54所示是Server1“系统属性”的“远程”选项卡,图18-55所示是Server1“RDP-Tcp属性”的“环境”选项卡,图18-56所示为Host1采用终端服务登录Server1的用户登录界面。
图18-54 “系统属性”的“远程”选项卡
图18-55 “RDP-TCP属性”的“环境”选项卡
图18-56 Hostl采用终端服务登录Hostl
此外,在Server1中为了通过日志了解每个用户的行踪,把“D:\tom\note.bat”设置成用户的登录脚本,通过脚本中的配置来记录日志。
【问题1】(3分)
默认情况下,RDU2对终端服务具有 (1) 和 (2) 权限。
(1)~(2)备选答案:
A.完全控制
B.用户访问
C.来宾访问
D.特别权限
【问题2】(7分)
将RDU2设置为Server1的终端服务用户后,在Host1中登录Server1时,图18-56中“计算机”文本框中应输入 (3) ;“用户名”文本框中应输入 (4) 。
此时发现Host1不能远程登录终端服务器,可能原因是 (5) 。
【问题3】(2分)
在图18-55中“程序路径和文件名”文本框中应输入 (6) 。
【问题4】(3分)
note.bat脚本文件如下:
第一行代码用于记录用户登录的时间,“time /t”的意思是返回系统时间,使用符号“>>”把这个时间记入“note.log”作为日志的时间字段。请解释下面命令的含义:
例题分析
【问题1】
本题考查终端服务。说到终端服务,我们就不得不提到Remote Desktop Users组,从功能上来说,它是一个终端服务的入口,用户要登录终端服务器,都得加入到这样一个组当中来。当然,有一个例外,那就是administrators组的成员,该组成员具有来宾访问或用户访问的权限。
【问题2】
RDU2用户登录Server1“计算机”文本框中应填入Server1的IP地址,“用户名”文本框中应输入RDU2。
如果允许服务器能被远程访问,那么图18-54中的“允许用户远程连接到您的计算机”复选框一定要选中。
【问题3】
由于题目要求把“D:\tom\note.bat”设置成用户的登录脚本,通过脚本中的配置来记录日志,因此,在图18-55中“程序路径和文件名”文本框中应输入“D:\tom\note.bat”。
【问题4】
netstat -n -p tcp | find":3389">>note.log含义就是将通过3389端口访问主机的TCP协议状态信息写入note.log文件中。
例题答案
【问题1】
(1)B((1)、(2)答案可互换)
(2)C
【问题2】
(3)210.154.1.202
(4)RDU2
(5)图18-54中没有选中“允许用户远程连接到您的计算机”复选框。
【问题3】
(6)D:\tom\note.bat
【问题4】
将通过3389端口访问主机的TCP协议状态信息写入note.log文件中(或将远程访问主机的信息记录在日志文件note.log中)。
例题18(2010年5月下午试题四)
阅读以下说明,回答问题1~4,将解答填入答题纸对应的解答栏内。
【说明】
在Windows Server 2003系统中,用户分为本地用户和域用户,本地用户的安全策略用“本地安全策略”设置,域用户的安全策略通过活动目录管理。
【问题1】(2分)
在“本地安全设置”中启用了“密码必须符合复杂性要求”功能,如图18-57所示,则用户“ABC”可以采用的密码是 (1) 。
图18-57 启用“密码必须符合复杂性要求”功能
(1)备选答案:
A.ABC007
B.deE#3
C.Test123
D.adsjfs
【问题2】(4分)
在“本地安全设置”中,用户账户锁定策略如图18-58所示,当3次无效登录后,用户账户被锁定的实际时间是 (2) 。如果“账户锁定时间”设置为0,其含义为 (3) 。
图18-58 用户账户锁定策略
(2)备选答案:
A.30分钟
B.10分钟
C.0分钟
D.永久锁定
(3)备选答案:
A.账户将一直被锁定,直到管理员明确解除对它的锁定
B.账户将被永久锁定,无法使用
C.账户锁定时间无效
D.账户锁定时间由锁定计数器复位时间决定
【问题3】(3分)
在Windows Server 2003中,活动目录必须安装在 (4) 分区上,并且需要有 (5) 服务的支持。
(4)备选答案:
A.NTFS
B.FAT32
C.FAT16
D.ext2
(5)备选答案:
A.Web
B.DHCP
C.IIS
D.DNS
【问题4】(6分)
在Windows Server 2003的活动目录中,用户分为全局组(Global Groups)、域本地组(Domain Local Groups)和通用组(Universal Groups)。全局组的访问权限是 (6) ,域本地组的访问权限是 (7) ,通用组的访问权限是 (8) 。
(6)~(8)备选答案:
A.可以授予多个域中的访问权限
B.可以访问域林中的任何资源
C.只能访问本地域中的资源
例题分析
【问题1】
在“本地安全设置”中启用了“密码必须符合复杂性要求”功能,如图18-57所示,则用户“ABC”可以采用的密码是Test123。
【问题2】
当用户登录3次无效后,用户账户被锁定的实际时间是10分钟,但如果我们将“账户锁定时间”设置为0,表示账户将一直被锁定直到管理员明确解除对它的锁定,而不是账户锁定时间无效或其他。
【问题3】
Windows Server 2003的活动目录必须安装在NTFS分区,并且需要有DNS服务的支持。
【问题4】
在Windows Server 2003的活动目录中,全局组拥有可以访问域林中的任何资源的权限,域本地组的权限是只能访问本地域中的资源,而通用组可以授予多个域中的访问权限。
例题答案
【问题1】
(1)C
【问题2】
(2)B
(3)A
【问题3】
(4)A
(5)D
【问题4】
(6)B
(7)C
(8)A
例题19(2010年11月下午试题二)
阅读以下说明,回答问题1~4,将解答填入答题纸对应的解答栏内。
【说明】
在Linux操作系统中,TCP/IP网络可通过若干文本文件及命令进行配置。
【问题1】(2分)
在Linux操作系统下,可通过命令 (1) 获得如图18-59所示的网络配置参数。
图18-59 网络配置参数
(1)备选答案:
A.netconf
B.ifconf
C.netconfig
D.ifconfig
【问题2】(3分)
在Linux操作系统下,可通过命令 (2) 显示路由信息。若主机所在网络的网关IP地址为192.168.0.254,则可使用命令 (3) add default (4) 192.168.0.254添加网关为默认路由。
(2)备选答案:
A.netstat -nr
B.ls route
C.ifconfig
D.netconfig
(3)备选答案:
A.route
B.netstat
C.ifconf
D.ifconfig
(4)备选答案:
A.gateway
B.gw
C.gate
D.g
【问题3】(4分)
在Linux系统中,DNS查询文件内容如下,该文件的默认存储位置为 (5) ,当用户做DNS查询时,首选DNS服务器的IP地址为 (6) 。
(5)备选答案:
A./etc/inet.conf
B./etc/resolv.conf
C./etc/inetd.conf
D./etc/net.conf
(6)备选答案:
A.210.34.0.14
B.210.34.0.15
C.210.34.0.16
D.210.34.0.17
【问题4】(6分)
文件/etc/sysconfig/network-scripts/eth0用于存储网络配置信息,请根据图18-59填写下面的空缺信息,完成主机的配置。
例题分析
【问题1】
主要考查对ifconfig命令的了解程度。
【问题2】
主要考查路由信息的查看命令和默认路由的添加命令。在Linux操作系统下,可通过netstat -nr显示路由信息,可以使用route命令对路由表进行操作。
【问题3】
主要考查DNS的配置,其中DNS查询文件默认存储位置为/etc/resolv.conf,从该文件可以看出,首选DNS服务器为210.34.0.14。
【问题4】
考查对文本方式下网络配置的掌握程度。HWADDR是MAC地址信息,NETMASK是网络掩码信息,IPADDR为IP地址,GATEWAY为网关IP地址。
例题答案
【问题1】
(1)D
【问题2】
(2)A
(3)A
(4)B
【问题3】
(5)B
(6)A
【问题4】
(7)00:0C:29:16:7B:51
(8)255.255.255.0
(9)192.168.0.100
(10)192.168.0.254
例题20(2010年11月下午试题三)
阅读以下说明,回答问题1~5,将解答填入答题纸对应的解答栏内。
【说明】
某公司采用Windows Server 2003操作系统构建了一个企业网站,要求用户输入https://www.test.com访问该网站。该服务器同时又配置了FTP服务,域名为ftp.test.com。在IIS6.0安装完成后,网站的属性对话框的“主目录”、“目录安全性”及“网站”选项卡分别如图18-60~图18-62所示。
图18-60 “主目录”选项卡
图18-61 “目录安全性”选项卡
图18-62 “网站”选项卡
Web服务器安装完成后,需要在DNS服务器中添加记录,为Web服务器建立的正向搜索区域记录如图18-63所示。
图18-63 为Web服务器建立正向搜索区域记录
【问题1】(2分)
为了让用户能够查看网站文件夹中的内容,在图18-60中应选中 (1) 复选框。
【问题2】(3分)
为了配置安全的Web网站,在图18-61中需单击安全通信中的“服务器证书”按钮来获取服务器证书。获取服务器证书共有以下4个步骤,正确的排序为 (2) 。
A.生成证书请求文件
B.在IIS服务器上导入并安装证书
C.从CA导出证书文件
D.CA颁发证书
【问题3】(2分)
默认情况下,图18-62中“SSL端口”应输入 (3) 。
【问题4】(4分)
在图18-63中,“名称”文本框中应输入 (4) 。
(4)备选答案:
A.https.www
B.www
C.https
D.index
在图18-64所示的下拉菜单中选择 (5) 命令,可为ftp.test.com建立正向搜索区域记录。
图18-64 下拉菜单
【问题5】(4分)
该DNS服务器配置的记录如图18-65所示。
图18-65 DNS服务器配置记录
邮件交换器中优先级别最高的是 (6) 。
(6)A.[10]mail.abc.com
B.[8]mail.aaa.com
C.[6]mail.test.com
D.[2]mail2.test.com
在客户端可以通过 (7) 来测试到Web网站的连通性。
(7)A.ping 62.35.216.12
B.ping 62.35.216.7
C.ping mail.test.com
D.ping ns7.test.com
例题分析
【问题1】
在“主目录”选项卡中,有“脚本资源访问”、“读取”、“写入”、“目录浏览”、“记录访问”、“索引资源”等选项,其中“脚本资源访问”选项允许用户读取网站的脚本原文件,“读取”选项允许用户访问网站资源,“写入”选项允许权限实际上是对HTTP PUT指令的处理,对于普通网站,一般情况下这个权限是不打开的。“目录浏览”则允许用户能够查看网站文件夹中的内容,故正确答案为选中“目录浏览”复选框。
【问题2】
服务器证书的获取过程通常是先在本地生成证书文件,提交后由CA颁发证书,收到证书文件后从CA导出文件,最后在IIS服务器上导入并安装证书。
【问题3】
SSL的默认端口为443。
【问题4】
DNS记录中,www.test.com的主机名为www,故“名称”文本框中应输入www,选B。选择“新建主机”或“新建别名”命令均能为ftp.test.com建立正向搜索区域记录。
【问题5】
邮件交换器中优先级别最高的是[2]mail2.test.com。从图18-65中可以看出,62.35.216.7同时配置了Web和FTP服务,故可采用ping 62.35.216.7命令来测试到Web网站的连通性。
例题答案
【问题1】
(1)目录浏览
【问题2】
(2)ADCB
【问题3】
(3)443
【问题4】
(4)B
(5)“新建主机”或“新建别名”
【问题5】
(6)D
(7)B
例题21(2010年11月下午试题四)
阅读以下说明,回答问题1~4,将解答填入答题纸对应的解答栏内。
【说明】
某企业在公司总部和分部之间采用两台Windows Server 2003服务器部署企业IPSec VPN,将总部和分部的两个子网通过Internet互连,如图18-66所示。
图18-66 网络拓扑结构图
【问题1】(3分)
隧道技术是VPN的基本技术,隧道是由隧道协议形成的,常见隧道协议有IPSec、PPTP和L2TP,其中 (1) 和 (2) 属于第二层隧道协议, (3) 属于第三层隧道协议。
【问题2】(3分)
IPSec安全体系结构包括AH、ESP和ISA KMP/Oakley等协议。其中, (4) 为IP包提供信息源验证和报文完整性验证,但不支持加密服务; (5) 提供加密服务; (6) 提供密钥管理服务。
【问题3】(6分)
设置ServerA和ServerB之间通信的筛选器属性界面如图18-67所示,在ServerA的IPSec安全策略配置过程中,当源地址和目标地址均设置为“一个特定的IP子网”时,源子网IP地址应设为 (7) ,目标子网IP地址应设为 (8) 。图18-68所示的隧道设置中的隧道终点IP地址应设为 (9) 。
图18-67 “筛选器属性”对话框
图18-68 隧道设置
【问题4】(3分)
在ServerA的IPSec安全策略配置过程中,ServerA和ServerB之间通信的IPSec筛选器“许可”属性设置为“协商安全”,并且安全措施为“加密并保持完整性”,如图18-69所示。根据上述安全策略填写图18-70中的空格,表示完整的IPSec数据包格式。
图18-69 “许可属性”对话框
图18-70 完整的IPSec数据包格式
(10)~(12)备选答案:
A.AH头
B.ESP头
C.旧IP头
D.新TCP头
E.AH尾
F.ESP尾
G.旧IP尾
H.新TCP尾
例题分析
【问题1】
本题考查VPN隧道技术的基本概念。
隧道技术是VPN的基本技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包封装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。
【问题2】
本题考查IPSec的基本概念。
IPSec安全体系结构包括AH、ESP和ISAKMP/Oakley等协议。IPSec认证头提供了数据完整性和数据源认证,但是不提供保密服务。AH包含了对称密钥的散列函数,使得第三方无法修改传输中的数据。IPSec封装安全负荷(ESP)提供了数据加密功能。ESP利用对称密钥对IP数据(例如TCP包)进行加密。IPSec传送认证或加密的数据之前,必须就协议、加密算法和使用的密钥进行协商。密钥交换协议IKE提供这个功能,并且在密钥交换之前还要对远程系统进行初始的认证。IKE实际上是3个协议即ISAKMP(Internet Security Association and Key Management Protocol)、Oakley和SKEME(Versatile Secure Key Exchange Mechanism for Internet protocol)的混合体。
【问题3】
本题考查Windows中IPSec的配置。
在ServerA上配置IPSec的过程中,筛选器的源子网地址应该是ServerA连接的内部子网192.168.1.1/32,目标子网地址应该是ServerB连接的内部子网192.168.1.2/32,在图18-67中用源IP地址1921.68.1.0代表源子网,用目标IP地址192.168.2.0代表目标子网。图18-68中的隧道终点IP地址应设为ServerB的入口地址202.113.111.1。
【问题4】
本题考查IPSec的综合知识。
在ServerA的IPSec安全策略配置过程中,ServerA和ServerB之间通信的IPSec筛选器“许可”属性设置为“协商安全”,并且安全措施为“加密并保持完整性”,而支持“加密并保持完整性”提示了ServerA和ServerB之间的IPSec通信只能采用ESP协议。而公司总部和分部之间的VPN采用隧道模式通信,所以IPSec数据包的格式就是ESP的隧道模式,该模式的数据包可以表示如图18-71所示。
图18-71 IPSec数据包格式
例题答案
【问题1】
(1)PPTP
(2)L2TP((1)、(2)顺序可调换)
(3)IPSec
【问题2】
(4)AH
(5)ESP
(6)ISAKMP/Oakley
【问题3】
(7)192.168.1.0
(8)192.168.2.0
(9)202.113.111.1
【问题4】
(10)B
(11)C
(12)F
例题22(2011年5月下午试题二)
阅读以下说明,回答问题1~4,将解答填入答题纸对应的解答栏内。
【说明】
Linux系统有其独特的文件系统ext2,该文件系统包括了文件的组织结构、处理文件的数据结构及操作文件的方法。可通过命令获取系统及磁盘分区状态信息,并能对其进行管理。
【问题1】(6分)
以下命令中,改变文件所属群组的命令是 (1) ,编辑文件的命令是 (2) ,查找文件的命令是 (3)
(1)~(3)备选答案:
A.chmod
B.chgrp
C.vi
D.which
【问题2】(2分)
在Linux中,伪文件系统 (4) 只存在于内存中,通过它可以改变内核的某些参数。
(4)备选答案:
A./proc
B.ntfs
C./tmp
D./etc/profile
【问题3】(4分)
在Linux中,分区分为主分区、扩展分区和逻辑分区,使用fdisk-1命令获得分区信息如下:
其中,属于扩展分区的是 (5) 。
使用df-T命令获得信息部分如下:
其中,不属于Linux系统分区的是 (6) 。
【问题4】(3分)
在Linux系统中,对于 (7) 文件中列出的Linux分区,系统启动时会自动挂载。此外,超级用户可通过 (8) 命令将分区加载到指定目录,从而该分区才在Linux系统中可用。
例题分析
【问题1】
本题考查的是Linux的基本命令。其中chmod命令改变指定文件所属的用户组;chmod用于改变文件或目录的访问权限;Vi为编辑文本命令;查找文件的命令是which。
【问题2】
在Linux中存在着一类特殊的伪文件系统,用于使用与文件接口统一的操作来完成各种功能,例如ptyfs、devfs、sysfs和procfs,而procfs就是其中应用最广泛的一种伪文件系统。procfs是Linux内核信息的抽象文件接口,大量内核中的信息及可调参数都被作为常规文件映射到一个目录树中,这样我们就可以简单直接地通过echo或cat这样的文件操作命令对系统信息进行查取和调整。而etc/profile这个文件是每个用户登录时都会运行的环境变量设置。
【问题3】
fdisk指令是Linux下通用的磁盘分区工具,它可以操纵硬盘分区表,完成对硬盘分区进行管理的各种操作,其中extended表示为扩展分区。
Linux磁盘管理命令df的功能:检查文件系统的磁盘空间占用情况。
df命令的输出清单的第1列是代表文件系统对应的设备文件的路径名(一般是硬盘上的分区);第2列给出分区包含的数据块(1024字节)的数目;第3、4列分别表示已用的和可用的数据块数目。用户也许会感到奇怪的是,第3、4列块数之和不等于第2列中的块数,这是因为默认的每个分区都留了少量空间供系统管理员使用,即使遇到普通用户空间已满的情况,管理员仍能登录和留有解决问题所需的工作空间。清单中Use%列表示普通用户空间使用的百分比,即使这一数字达到100%,分区仍然留有系统管理员使用的空间。最后,Mounted on列表示文件系统的安装点。
【问题4】
Linux系统中/etc/fstab是一个重要的系统配置文件,它存放的是系统中的文件系统的信息。当系统启动的时候,系统会自动地从这个文件读取信息,并且会自动将此文件中指定的文件系统挂载到指定的目录。超级用户可通过Mount命令将分区加载到指定目录,从而该分区才能在Linux系统中可用。
例题答案
【问题l】
(1)B
(2)C
(3)D
【问题2】
(4)A
【问题3】
(5)/dev/hda2
(6)/dev/hdal
【问题4】
(7)/etc/fstab
(8)Mount
例题23(2011年5月下午试题四)
阅读以下说明,回答问题1~5,将解答填入答题纸对应的解答栏内。
【说明】
某公司两分支机构之间的网络配置如图18-72所示。为保护通信安全,在路由器router-a和router-b上配置IPSec安全策略,对192.168.8.0/24网段和192.168.9.0/24网段之间的数据进行加密处理。
图18-72 网络拓扑结构图
【问题1】(3分)
为建立两分支机构之间的通信,请完成下面的路由配置命令。
【问题2】(3分)
下面的命令是在路由器router-a中配置IPSec隧道。请完成下面的隧道配置命令。
【问题3】(3分)
router-a与router-b之间采用预共享密钥“12345678”建立IPSec关联,请完成下面配置。
【问题4】(3分)
下面的命令在路由器router-a中配置了相应的IPSec策略,请说明该策略的含义。
【问题5】(3分)
下面的命令在路由器router-a中配置了相应的IPSec提议。
该提议表明:IPSec采用ESP报文,加密算法采用 (7) ,认证算法采用 (8) 。
例题分析
【问题1】
默认路由实际上就是静态路由的一个“变种”,它的命令格式和静态路由相似。为路由器配置默认路由后,当路由器在路由表里没有找到去往特定目标网络的路由条目时,它自动将该目标网络的所有数据发送到默认路由指定的下一跳路由器。
本题中router-a上配置默认路由的下一跳地址为203.25.25.254,router-b上配置默认路由的下一跳地址为201.18.8.254。
【问题2】
IPSec安全隧道是一个点对点的概念,是建立在本端和对端网关之间的,所以配置IPSec的加密映射表时必须正确设置对端地址才能成功地建立起一条安全隧道。
【问题3】
设置预共享密钥,同时设置对端IP地址。
【问题4】
从192.168.8.0/24子网到192.168.9.0/24子网的所有lP报文经由IPSec隧道tunl到达。
【问题5】
加密算法是3DES,针对ESP的验证算法是SHA-1。
例题答案
【问题1】
(1)203.25.25.254
(2)201.18.8.254
【问题2】
(3)201.18.8.1
(4)203.25.25.1
【问题3】
(5)201.18.8.1
(6)203.25.25.1
【问题4】
从192.168.8.0/24子网到192.168.9.0/24子网的所有lP报文经由IPSec隧道tun1到达。
【问题5】
(7)3DES
(8)SHA-1
例题24(2011年5月下午试题三)
阅读以下说明,回答问题1~5,将解答填入答题纸对应的解答栏内。
【说明】
某网络拓扑结构如图18-73所示,网络1和网络2的主机均由DHCP_Server分配IP地址。FTP_Server的操作系统为Windows Server 2003,Web_Server的域名为www.softexamtest.com。
图18-73 网络拓扑结构图
【问题1】(4分)
DHCP_Server服务器可动态分配的IP地址范围为 (1) 和 (2) 。
【问题2】(2分)
若在host1上运行ipconfig命令,获得图18-74所示的结果,host1能正常访问Internet吗?说明原因。
图18-74 运行结果
【问题3】(3分)
若host1成功获取IP地址后,在访问http://www.abc.com网站时,总是访问到www.softexamtest.com,而同一网段内的其他客户端访问该网站正常。在host1的C:\WINDOWS\system32\drivers\etc目录中打开 (3) 文件,发现其中有如下两条记录:
在清除第2条记录后关闭文件,重启系统后host1访问http://www.abc.com网站正常。请填充空(4)处空缺内容。
【问题4】(2分)
在配置FTP_server时,图18-75中“IP地址”文本框中应输入 (5) 。
图18-75 “FTP站点”选项卡
【问题5】(4分)
若FTP配置的虚拟目录为pcn,虚拟目录配置如图18-76与图18-77所示。
图18-76 “虚拟目录”选项卡
图18-77 “目录安全性”选项卡
根据以上配置,哪些主机可访问该虚拟目录?访问该虚拟目录的命令是 (6) 。
例题分析
【问题1】
由题意可知,DHCP服务器分别为网络1和网络2提供IP地址分配,其中网络A可分配的IP地址排除DHCP服务器占用的110.115.3.3、FTP服务器占用的110.115.3.2,以及路由器R1一端端口占用的110.115.3.1,剩余可分配的IP地址为110.115.3.4~110.115.3.254。网络2中根据路由器R1的端口地址算出其IP范围为:61.202.117.193~61.202.117.254,再排除掉Web服务器和路由器占用的地址,范围为61.202.117.193~61.202.117.252。
【问题2】
DHCP服务器提供动态IP地址分配,客户机通过广播和单播的方式获得IP地址,如果客户机是Windows系列操作系统,你会看到一个动态过程——正在获取IP地址。若是网内没有DHCP服务器或者服务器出现故障,那么Windows操作系统会从微软私有IP地址范围内(169.254.0.1~169.254.255.254)去获得一个IP地址。
【问题3】
Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能。它可以由计算机的用户进行控制。Hosts文件的存储位置在不同的操作系统中并不相同,在Windows操作系统下的目录通常为c:\windows\system32\drivers\etc\。为了提高对经常访问的网络域名的解析效率,可以通过利用Hosts文件中建立域名和IP的映射关系来达到目的。根据Windows系统规定,在进行DNS请求以前,Windows系统会先检查自己的Hosts文件中是否有这个网络域名映射关系。如果有,则调用这个IP地址映射;如果没有,再向已知的DNS服务器提出域名解析。也就是说Hosts的请求级别比DNS高。
【问题4】
本题考查的是FTP服务器的配置,其中IP地址为110.115.3.2。
【问题5】
根据图18-76和图18-77可以看出110.115.3.10主机可以访问虚拟目录。访问FTP虚拟目录的命令为:ftp://110.115.3.2:2121。
例题答案
【问题1】
(1)110.115.3.4~110.115.3.254
(2)61.202.117.193~61.202.117.252((1)、(2)可互换)
【问题2】
不能。由于该主机地址是自动专用lP地址(Aufomatic Private lP Address, APIPA),即当客户机无法从DHCP服务器中获得lP地址时自动配置的地址。
【问题3】
(3)hosts
(4)61.202.117.253
【问题4】
(5)110.115.3.2
【问题5】
只有110.115.3.10可访问。
(6)ftp://110.115.3.2:2121或ftp://110.115.3.2:2121/pcn