初级网络管理员上半年下午试题Word格式.docx

初级网络管理员上半年下午试题Word格式.docx

《初级网络管理员上半年下午试题Word格式.docx》由会员分享，可在线阅读，更多相关《初级网络管理员上半年下午试题Word格式.docx（23页珍藏版）》请在冰豆网上搜索。

（8）。

【问题5】

为了实现内部计算机客户端通过代理服务器访问Internet，还需对客户端n浏览器的有关参数进行配置。

打开IE浏览器的“Internet属性”窗口，选择“连接”选项卡，进入“局域网设置”窗口，如图1-3所示。

请给出其中“地址”（9）和“端口”（默认）（10）的配置参数。

【问题6】

在代理服务器内网卡和外网卡以及内部计算机客户端网卡的网络配置参数中，哪些网卡的“DNS服务器”IP地址参数可以不设置?

哪些网卡的“DNS服务器”IP地址参数是必须设置的?

试题一分析

【问题1】

代理服务器的主要用途如下：

（1）隐藏自己的真实地址信息。

我们知道，通过分析指定IP地址，可以查询到网络用户的目前所在地。

例如，大家在一些论坛上看到，在各主题的发帖人信息区域中，有“鉴定”一项，在此明确地标志出了目前所在地，这就是根据论坛会员登录时的IP地址解析的。

还有平日里我们最为常用的显IP版QQ，在“发送消息”窗口中，可以查看对方的IP及解析出其地理位置。

而当我们使用相应协议的代理服务器后，就可以达到隐藏自己当前所在地地址的目的了。

（2）突破IP/端口封锁。

使用代理服务器可以访问被ISP禁止的Web地址。

此外，如果你所在地的局域网在内部设置了防火墙，限制了指定端口的访问权限，则可以通过内部的代理服务器连接到外部的公用代理服务器，以将内容传输回来，达到突破端口封锁的目的。

（3）加快浏览网页的速度。

若通过窄带方式上网，利用代理服务器能够加快页面浏览的速度。

由于大部分代理服务器都备份有相当数量的缓存文件，如果我们当前所访问的数据在代理服务器的缓存文件中，则可直接读取，而无须再连接到远端Web服务器。

这样，自然可加快数据载入速度。

由此可见，代理服务器具有路由器（或网关）功能。

电信部门分配的公网IP地址为202.117.12.36/30，即掩码的前30位为1，故子网掩码为255.255.255.252。

因此，IP地址范围为202.117.12.36～202.117.12.39，而可用地址仅有202.117.12.37和202.117.12.38。

又202.117.12.37已占用，故默认网关应设为202.117.12.38。

·

内网卡的IP地址没有特殊限制，可以为10.0.0.1～10.0.0.254的任意一个。

内部需代理的计算机客户端数目不超过250台，故掩码应设为255.255.255.0。

网关不用设置。

内部需代理的计算机客户端网卡的配置参数中，IP地址在10.0.0.1～10.0.0.254范围内，且与问题3处的IP地址不同即可。

为满足内部需代理的计算机客户端数目250台，故子网掩码255.255.255.0。

网关应设置为代理服务器上内网卡的地址。

内部计算机客户端通过代理服务器访问Internet时，地址栏中应设置为代理服务器上内网卡的地址。

由于http协议默认端口为80，故“端口”（默认）的配置参数为80。

内网地址没有DNS服务器来解析、也不需要解析，故代理服务器内网卡及内部计算机客户端网卡的“DNS服务器”IP地址不用设置：

代理服务器外网卡的“DNS服务器”IP地址是必须设置的。

参考答案

路由器（或网关）功能。

（1）255.255.255.252

（2）202.117.12.38

（3）10.0.0.254（4）255.255.255.0（5）不用设置

（6）10.0.0.1（7）255.255.255.0（8）10.0.0.254

（9）10.0.0.254（10）80

代理服务器内网卡及内部计算机客户端网卡的“DNS服务器”IP地址不用设置；

试题二

阅读以下说明，回答问题1至问题5。

某一个网络地址块192.168.75.0中有5台主机A、B、C、D和E，它们的IP地址及子网掩码如表2-1所示。

主机

IP地址

子网掩码

A

192.168.75.18

255.255.255.240

B

192.168.75.146

C

192.168.75.158

D

192.168.75.161

E

192.168.75.173

5台主机A、B、C、D、E分属几个网段?

哪些主机位于同一网段?

主机D的网络地址为多少?

若要加入第六台主机F，使它能与主机A属于同一网段，其IP地址范围是多少?

若在网络中另加入一台主机，其IP地址设为192.168.75.164，它的广播地址是多少?

哪些主机能够收到?

若在该网络地址块中采用VLAN技术划分子网，何种设备能实现VLAN之间的数据转发?

试题二分析

子网掩码IP协议标准规定：

每一个使用子网的网点都选择一个32位的子网掩码（subnetmask），若子网掩码中的某位置1，则对应IP地址中的某位为网络地址（包括网络号和子网号）中的一位；

若子网掩码中的某位置0，则对应IP地址中的某位为主机地址中的一位。

例如，位模式：

11111111.11111111.1111111111100000中，前19位全1，代表对应IP地址中的高19位为网络地址；

低5位全0，代表对应IP地址中的低5位为主机地址。

例如；

IP地址192.168.1.254

子网掩码255.255.255.244

转化为二进制进行运算：

IP地址11000000.10101000.00000001.11111110

子网掩码11111111.11111111.11111111.11100000

AND运算

11000000.10101000.00000001.11100000

转化为十进制后为：

网络地址：

192.168.1.224

子网地址：

0.0.0.224

主机地址：

0.0.0.30

子网掩码的定义提供了设置掩码的灵活性，允许子网掩码中的“0”和“1”位不连

续。

但是，这样的子网掩码会给分配主机地址和理解寻径表都带来一定困难，并且只有极少的路由器支持在子网中使用低序或无序的位，因此在实际应用中通常各网点采用连续方式的子网掩码。

同一网络内部，属于同一子网内的机器之间可以直接通信，而不同子网间的机器需要通过设置网关或路由器才能通信。

解答本题首先要根据子网掩码计算出给定的各IP地址的网络地址、子网地址和主机地址。

可以用以下几个步骤来实现。

（1）IP地址

A主机IP地址：

192.168.75.18

B主机IP地址：

192.168.75.146

C主机IP地址：

192.168.75.158

D主机IP地址：

192.168.75.161

E主机IP地址：

192.168.75.173

255.255.255.240

（2）转化为二进制进行运算

11000000.10101000.01001011.00010010

11000000.10101000.01001011.10010010

11000000.10101000.01001011.10011110

D主机IP地址；

11000000.10101000.01001011.10100001

11000000．10101000.01001011.10101101

11111111.11111111.11111111.11110000

（3）进行AND运算

A主机网络地址：

11000000.10101000.01001011.00010000

B主机网络地址：

11000000.10101000.01001011.10010000

C主机网络地址：

D主机网络地址：

11000000.10101000.01001011.10100000

11000000.10101000.01001011.10t00000

（4）转化为十进制

192.168.75.16

B主机网络地址；

192.168.75.144

C主机网络地址；

192.168.75.160

E主机网络地址：

因此，B和C主机的子网地址相同，D和E主机的子网地址相同。

即地址块192.168.75.0中的5台主机A、B、C、D和E共有：

3个子网：

B主机和C主机属于同一

网段；

D主机和E主机属于同一网段。

在【问题1】中已经计算出，主机D的网络地址为192.168.75.160。

若要加入第六台主机F，使它能与主机A属于同一网段，F的网络地址应与A相同，即为192.168.75.16，转换为二进制。

F主机网络地址为：

那么F的范围应为11000000.10101000.01001011.00010001到11000000.10101000．01001011.00011110（11000000.10101000.01001011.00010000和11000000.10101000.01001011.0001111不能分配），转换为十进制即IP地址的设定范围应该是在192.168.75.17到192.168.75.30之间，并且不能为192.168.75.18。

若在网络中另加入一台主机，其IP地址设为192.168.75.164，则其网络地址为192.168.75.160（计算方法同上），将主机地址各位均设置为1即为广播地址，故广播地址是192.168.75.175;

网络地址相同的主机能收到广播信息，即D主机和E主机可以收到该信息。

路由器改三层交换机或三层交换模块是实现VLAN之间的数据转发必不可少的设备。

二层交换机在工作过程中不断地收集资料去建立它本身的地址表，这个表相当简单，主要标明某个mac地址是在哪个端口上被发现的，所以当交换机接收到一个数据封包时，它会检查该封包的目的mac地址，核对一下自己的地址表以决定从哪个端口发送出去。

而不是像hub那样，任何一个发方数据都会出现在hub的所有端口上（不管是否为你所需）。

二层交换机会在各网络节点上进行广播，当多个二层交换机级连时，二层交换网络上的所有设备都会收到广播消息。

在一个大型的二层广播域内，大量的广播使二层转发的效率大大减低，为了避免在大型交换机上进行的广播所引起的广播风暴，需要在一个二层交换网络内进一步划分为多个虚拟网（vlan）。

在一个虚拟网内，由一个工作站发出的信息只能发送到具有相同虚拟网号（vlanid）的其他站点，其他虚拟网的成员收不到这些信息或广播帧。

采用虚拟网可以控制网络上的广播风暴和增加网络的安全性。

不同虚拟网之间的通信必须通过路由器进行。

三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。

众所周知，传统的交换技术是在OSI网络标准模型中的第二层一数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。

简单地说，三层交换技术就是：

二层交换技术+三层转发技术。

三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

一个具有三层交换功能的设备，是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。

其原理是：

假设两个使用IP协议的站点A、B通过第三层交换机进行通信，发送站点A在开始发送时，把自己的IP地址与B站的IP地址比较，判断B站是否与自己在同一子网内。

若目的站B与发送站A在同一子网内，则进行二层的转发。

若两个站点不在同一子网内，如发送站A要与目的站B通信，发送站A要向“默认网关”发出ARP（地址解析）封包，而“默认网关”的IP地址其实是三层交换机的三层交换模块。

当发送站A对“默认网关”的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B站的MAC地址，则向发送站A回复B的MAC地址。

否则三层交换模块根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送站A，同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。

从这以后，当A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。

由于仅仅在路由过程中才需要三层处理，绝大部分数据都通过二层交换转发，因此三层交换机的速度很快，接近二层交换机的速度，同时比相同路由器的价格低很多。

共有3个子网；

B主机和C主机属于同一网段；

主机D的网络地址为192.168.75.160。

IP地址的设定范围应该是在192.168.75.17到192.168.75.30之间，并且不能为192.168.75.18。

广播地址是192.168.75.175；

D主机和E主机可以收到该信息。

路由器或三层交换机。

（注；

答对路由器或三层交换模块或三层交换机均给3分）

试题三

请认真阅读下列有关网络中计算机安全的说明信息，回答问题1至问题4。

“震荡波”病毒对网络中计算机系统的攻击方式是：

以本地IP地址为基础，开辟128

个扫描线程，每个线程随机选取一个IP地址作为攻击目标，疯狂地试探连接目标主机的445端口，试图造成Windows的缓冲区溢出错误。

一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播。

如果你发现连接在网络上的计算机遭到该病毒攻击，则应采用相应的处理。

根据对入侵的处理对策及系统恢复过程请回答问题1至问题4。

为什么一般处理“震荡波”病毒时，首先要把被侵入的计算机系统从网络上断开?

为了解决“震荡波”病毒利用windows的缓冲区溢出漏洞攻击计算机系统问题，我们采用某防火墙建立一个“关闭445端口”的规则。

请给出下列规则配置参数（防火墙规则配置界面如下图所示）。

（图片）

数据包方向（从下列选项中选择）：

A．接收B．发送C．双向

对方IP地址（从下列选项中选择）：

（2）；

A．网络IP地址B．指定IP地址C．任意IP地址

数据包协议类型：

已授权程序开放的端口：

从（4）到（5）；

当满足上述条件时（从下列选项中选择）：

（6）。

A．通过B．拦截C．继续下一规则

目前防火墙主要分为哪3种类型?

根据防火墙的实现原理，该防火墙属于哪一类?

在计算机系统发现病毒并清除以后，在未接入网络之前，从安全方面考虑，若需重新安装操作系统，通常需要执行以下几项主要工作后，方可接入网络。

请给出下列工作的合理顺序。

A．安装操作系统B．安装防病毒软件

C．安装系统应用服务D．备份系统配置文件

E．升级操作系统补丁F．升级病毒模板

试题三分析

“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。

只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。

“震荡波”病毒的发作特点，类似于造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。

当连接在网络上的计算机遭到该病毒攻击时，如果不打算找到入侵者或者安全漏洞，你就应该尽快把你的系统或整个内部网络从互联网上断开，夺回对被侵入系统的控制权。

这样可以让你在整理内部系统的时候，防止入侵者继续造成破坏，并防止进一步的数据丢失，并且防止感染网络内其他计算机，尽量减少病毒传播范围。

试题题于中已说明配置的是一条防火墙建立一个“关闭445端口”的规则。

实际上该规则为；

将任意IP地址从445端口进入防火墙的数据包拦截。

因此，数据包方向应为接收；

对方p地址为任意IP地址；

数据包协议类型为TCP；

已授权程序开放的端口为从445到445；

当满足上述条件时，拦截该数据包。

根据防火墙实现原理的不同，通常将防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙3类。

（1）包过滤防火墙

包过滤防火墙是在网络的入口对通过的数据包进行选择，只有满足条件的数据包才能通过，否则被抛弃。

包过滤防火墙如下页图所示。

本质上说，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。

例如，作为防火墙的设备可能有3块网卡，一块连到内部网络，一块连到公共的Internet，另外一块连接到DMZ。

防火墙的任务，就是作为“网络警察”，指引包和截住那些有危害的包。

包过滤防火墙检查每一个传入包，查看包中可用的基本信息，包括源地址、目的地址、TCP/UDP端口号、传输协议（TCP、UDP、ICMP等）。

然后，将这些信息与设

立的规则相比较。

如果已经设立了拒绝Telnet连接，而包的目的端口是23，那么该包就会被丢弃。

如果允许传入Web连接，而目的端口为80，则包就会被放行。

包过滤防火墙中每个IP包的字段都会被检查，例如，源地址、目的地址、协议、端口等。

防火墙将基于这些信息应用过滤规则，与规则不匹配的包就被丢弃，如果有理由让该包通过，就要建立规则来处理它。

包过滤防火墙是通过规则的组合来完成复杂策略的。

例如，一个规则可以包括；

“允许Web连接”、“但只针对指定的服务器”、“只针对指定的目的端口和目的地址”这样3个子规则。

包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。

包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。

有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

（2）应用层网关防火墙，又称代理（Proxy）

应用层网关防火墙实际上并不允许在它连接的网络之间直接通信。

相反，它是接受来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接，如下页图所示。

网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。

另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。

这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。

例如，一个用户的Web浏览器可能在80端口，但也经常可能是在1080端口，连接到了内部网络的HTTP代理防火墙。

防火墙接受连接请求后，把它转到所请求的Web服务器。

这种连接和转移对该用户来说是透明的，因为它完全是由代理防火墙自动处理的。

代理防火墙通常支持的一些常见的应用程序有HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC等，目前国内很多厂家在硬件防火墙里集成这些模块。

应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接，为安全性提供了额外的保证。

如果网络受到危害，这个特征使得从内部发动攻击的可能性减少。

代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。

其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

（3）状态检测防火墙

状态检测防火墙又称动态包过滤防火墙，是在传统包过滤上的功能扩展，现在已经成为防火墙的主流技术。

状态检测防火墙如下页图所示。

有人将状态检测防火墙称为第三代防火墙，可见其应用的广泛性。

相对于状态检测包过滤，我们将传统的包过滤称为静态包过滤，静态包过滤将每个数据包进行单独分析，固定地根据其包头信息进行匹配，这种方法在遇到利用动态端口应用协议时会发生困难。

状态检测防火墙，试图跟踪通过防火墙的网络连接和数据包，这样防火墙就可以使用一组附加的标准，以确定是允许还是拒绝通信。

它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。

状态检测防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。

状态检测防火墙能够对多层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，检测型防火墙能够有效地判断出各层中的非法侵入。

同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。

据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。

因此，状态检测防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。

在计算机系统发现病毒并清除以后，在未接入网络之前，首先需要重新安装操作系统，包括系统安装和升级补丁：

然后安装杀毒软件及升级病毒库：

接着再安装系统应用程序及系统配置文件的备份。

将被侵入的系统立即从网络上断开，防止感染网络内其他计算机，尽量减少病毒传播范围。

（1）A或接收