题目请自行百度这里只提供解析一,【参考答案】(1)路由器(2)防火墙或其他具有类似功能的网络安全设备(3)非军事/DMZ(4)IPS(入侵防御系统)或IDS(入侵检测系统)(5)镜像(6)旁路方式【试题解析】本题考查网络规划设计方面的相关知识。本问题主要考査网络拓扑结构。路由器具有广域网互联、隔离广播信息和异构网络互连等能力,是企业网建设和互联网络建设中必不可少的设备。从图中的网络拓扑结构可知,设备(1)处于该企业网和Internet之间,因此需要使用路由器进行互联,以实现该企业网路由信息的边界计算网络地址转换等功能。通常Internet是一个不可信任的网络,而企业内部网络要求是一个可信任的网络。因此设备(2)需要部署防火墙设备,从而保护内部网络资源不会被外部非授权用户使用,防止内部网络受到外部非法用户的攻击。防火墙一般按照防护的区域可分为信任区、非信任区以及DMZ区。其中DMZ区是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、Mail服务器和DNS等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。入侵防护系统(IPS)兼有防火墙、IDS和防病毒等安全组件的特性,当数据包经过时将对其进行过滤检测,以确保该数据包是否含有威胁网络安全的特征。如果检测到一个恶意的数据包,系统不但发出警报,还将采取相应措施阻断攻击。图中设备(3)直接接在交换机1的G1/1接口上(此接口为镜像端口),用于检测、分析和处理从设备(2)进入交换机1的数据包。根据网络拓扑结构和安全要求的不同,IPS可以通过旁路接入或者直接串接等方式部署在被检测的网络中。【参考答案】(7)主交换机或Switch1——(7)和(8)答案可互换(8)防火墙或网络设备②——(7)和(8)答案可互换(9)广播模式——(9)和(10)答案可互换(10)直接模式——(9)和(10)答案可互换(11)混杂模式【试题解析】本问题主要考查上网行为管理设备和网卡的工作模式。上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计和用户行为分析。通过对上网行为管理的需求进行分析,根据图中的网络拓扑结构,可以得出该设备应该部署在交换机1和设备(2)之间,这样才能满足企业的要求。网卡具有如下的四种工作模式:(1)广播模式(BroadCastModel):物理地址(MAC)是OXffifflf的帧为广播帧,工作在广播模式的网卡接收广播帧。(2)多播传送(MulticastModel):多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收,而组外主机却接收不到。但是,如果将网片设置为多播传送模式;'它可以接收所有的多播传送帧,而不论它是不是组内成员。(3)直接模式(DirectModel):工作在直接模式下的网卡只接收目的地址是自己Mac地址的帧。(4)混杂模式(PromiscuousModel):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。如果采用混杂模式,一个站点的网卡将接收同一网络内所有站点所发送的数据包,这样就可以达到对网络信息监视捕获的目的。参考答案】(12)STP或生成树(13)32768(14)网桥ID(15)MAC地址(16)BackboneFast【试题解析】本问题主要考查生成树协议。生成树协议(STP)是一个数据链路层的协议。其基本原理是通过在交换机之间传递一种特殊的协议报文,网桥协议数据单元(BridgeProtocolDataUnit,简称BPDU),来确定网络的拓扑结构。BPDU有两种:配置BPDU(ConfigurationBPDU)和TCNBPDU,前者是用于计算无环的生成树的,后者则是用于在二层网络拓扑发生变化时产生用来缩短CAM表项的刷新时间的(由默认的300s缩短为15s)。SpanningTreeProtocol(STP)在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。在该协议中,交换机是根据交换机优先级来选择的,值小的为根交换机。如果相同,再比较MAC地址。交换机优先级是一个十进制数,用来在生成树算法中衡量一个交换机的优先度,其值的范围是0〜65535,默认情况下,其值为32768。BackboneFast是对UplinkFast的一种补充,UplinkFast能够检测直连链路的失效,BackboneFast是用来检测间接链路的失效。当启用了BackboneFast的交换机检测到间接链路失效之后,会马上使阻塞的端口进入监听状态,少了20s的老化时间。如果要启用BackboneFast特性,应该在网络中的所有交换机上都启用。【参考答案】(17)核心(18)接入(19)Switch4〜Switch8或接入层交换机(20)Switch1〜Switch3或核心层交换机【试题解析】本问题主要考查网络分层概念。图中所示的网络拓扑结构采用了核心层和接入层的两层架构理念。其中,由交换机1〜交换机3组成核心层,主要完成的功能有:分组的高速转发;汇聚下一层的用户流量,进行数据分组传输的汇聚、转发和交换;根据接入层的用户流量,进行本地路由、数据包过滤、协议转换、流量均衡、QoS优先级管理以及安全控制、IP地址转换、流量整型等处理。由交换机4〜交换机8组成了接入层,主要完成的功能是:为用户提供了在本地网段访问应用系统的能力,解决相邻用户之间互相访问的需求,并且为这些访问提供足够的带宽;适当地负责部分用户管理功能(如MAC层过滤、IP地址绑定、用户认证、费管理等);负责部分用户信息收集工作(如用户的IP地址、MAC地址、访问日志等)。二.【参考答案】(1)3389(2)RDP不勾选“允许传入回显请求”【试题解析】本题考查Win2003服务器配置的相关知识。远程桌面是方便Windows服务器管理员对服务器进行基于图形界面的远程管理的工具。远程桌面是基于RDP(RemoteDesktopProtocol远程桌面协议)的多通道(multi-channel)协议,让使用者(所在计算机称为用户端或“本地计算机”)连上提供服务器或“远程计算机”,远程桌面默认使用的端口是3389。ICMP协议是一种用于传输出错报告控制信息,对于网络安全具有极其重要的意义。它是TCP/IP协议簇的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标,IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。【参考答案】1.如果选择允许所有通用网关接口(CGI)在Web服务器上运行,则Web服务器容易受到使用CGI技术的计算机病毒或蠕虫程序的攻击。禁止该扩展意味着除非明确地允许一个应用在IIS6.0上运行,否则它就不能运行。2.增加ASP.NET模块(启用ASP.NET的服务扩展项),网站才能提供对ASP.NET的支持。将ActiveServerPages配置为“允许”,IIS6.0即可提供对ASP支持。【试题解析】如果选择允许所有通用网关接口(CGI)在Web服务器上运行,则Web服务器容易受到使用CGI技术的计算机病毒或蠕虫程序的攻击。禁止该扩展意味着除非明确地允许一个应用在IIS6.0上运行,否则它就不能运行。要想网站提供对ASP.NET或ASP程序的支持,必须增加ASP.NET模块(启用ASP.NET的服务扩展项)。将ActiveServerPages配置为“允许”,IIS6.0即可提供对ASP支持。【参考答案】(3)别名(4)目录名(5)SSL【试题解析】FTP(FileTransferProtocol,FTP)是TCP/IP网络上两台计算机传送文件的协议,FTP是在TCP/IP网络和Internet上最早使用的协议之一,它属于网络协议的应用层。FTP客户机可以给服务器发出命令来下载文件、上传文件、创建或改变服务器上的目录,FTP的默认端口是21。由于IIS中的FTP服务不支持安全套接字层(SSL)上的FTP,因此,如果要保证通信的安全性,同时又需要使用FTP作为传输协议(相对于在SSL上使用WebDAV而言),可以考虑在加密通道(如虚拟专用网络)上使用FTP,此类加密通道通过点对点隧道协议或IPSec保证安全性。【参考答案】(6)IP地址(7)端口号(8)主机头名(9)主机头名【试题解析】IIS是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面。IIS6.0增强了安全性,为了尽量减少系统被攻击的危险,在默认情况下IIS6.0是不会被安装在Win2003中的,管理员需要手动进行安装,IIS6.0在被锁定状态中只为静态内容(.htm,.jpg,.bmp等等)提供服务,通过网络服务扩展节点,网站管理员可根据企业的需求起用或禁止IIS功能。【参考答案】(10)NTFS(11)磁盘配额限制(12)磁盘配额警告级别【试题解析】在NTFS文件系统下,为了预防用户无限制的使用磁盘空间,可以使用磁盘配额管理。启动磁盘配额时,设置的两个参数分别是磁盘配额限制和磁盘配额警告级别三,【参考答案】(1)NAT或网络地址转换(2)ACL或访问控制列表(3)静态(4)动态【试题解析】本题考查网络出口NAT的双线接入知识。本问题主要考查NAT转换的相关知识。一般来说,由于企业内网大都使用私有网络地址,私有地址只能在局域网中使用,不能出现在互联网上,那么使用私有地址的内部主机想要访问互联网,就必须使用地址转换技术将其转换为公有地址,也就是说如果内网用户想要访问互联网,就必须使用NAT地址转换技术,将私有地址转换为在互联网应用的公有地址。在使用NAT地址转换技术时,往往要使用ACL技术来指定允许转换的内部主机地址范围。根据映射的方式,可以将NAT技术分为静态NAT和动态NAT。其中,静态NAT是手工配置的内部私有地址和外部公共地址的对应关系,除非人工修改,否则不会变化,一般对外发布服务器使用静态NAT技术。动态NAT是多个内部主机和外部公共地址随机对应的一种方式,主要是通过指定内部允许转换的地址范围和外部允许使用的地址范围,然后对两个范围映射。这样具体外部的一个公共地址被内部哪台主机使用不确定。主要适用于企业内网大量用户的客户端访问外网。【参考答案】(5)deny(6)permitipanyany(7)61.192.93.10061.192.93.102(8)202.102.100.100202.102.100.102(9)list101poolISP-Boverload(10)192.168.1.1008061.192.193.10080(11)192.168.1.10080202.102.100.10080【试题解析】【参考答案】(12)ipnatoutside(13)ipnatoutside(14)ipnatinside(15)iproute61.192.93.0255.255.255.0s0(16)iproute0.0.0.00.0.0.0s1(17)配置备份路由,或者配置浮动静态路由【试题解析】【参考答案】(18)Best-Effortservice或尽力而为服务(19)Differentiatedservice或区分服务(20)区分服务或Differentiatedservice【试题解析】本问题主要考查网络流量控制技术。网络畅通是网络建设中的基本要求,但是并非所有的网络流量都应该被转发,为了安全也为了