第一封面模板-广东机电职业技术学院

职业技能测试题库目录（第一套）防火墙原理与技术应用（一）4（第二套）防火墙原理与技术应用（二）11（第三套）VPN技术及应用19（第四套）Snort入侵检测技术的应用26（第五套）IIS安全配置31（第六套）病毒防护技术应用38（第七套）安全扫描技术45（第八套）MS SQL数据库安全50（第九套）Ghost数据备份与恢复57（第十套）Windows系统安全与备份64技能测试试题库概况一、 适用方向适用于信息安全技术（计算机网络与信息安全管理方向）。二、 测试目标通过技能测试，使学生掌握本专业核心职业技能及专业基本理论知识，包括：防火墙技术的应用能力，重点掌握ISA2004防火墙的配置和使用；VPN技术的应用配置能力；操作系统安全防御；WEB站点的安全配置能力；企业病毒防御技能；入侵检测技术的应用配置能力；数据备份与灾难恢复技能；安全扫描技术应用能力。三、 主要内容以专业技能测试题库的测试试题为载体，基于信息安全实验室实验平台，就以下内容展开训练：ISA服务器的配置和使用；Windows系统安全及IIS安全配置；瑞星中小企业病毒防护、Symantec企业病毒防护软件配置；MS SQL数据库安全；Snort入侵检测技术的应用，安全扫描技术。四、 编写单位计算机与信息工程系广东机电职业技术学院技能测试试卷（第一套）防火墙原理与技术应用（一）（总测试时间：120分钟 其中：理论测试40分钟；实操测试80分钟）系（部）： 姓名： 班级： 成绩： 考评员：测试项目：防火墙原理与技术应用（一）理论测试：单项选择题：1包过滤防火墙适合应用的场合有（ ）。 A.机构是集中化的管理B.网络主机数比较少 C.机构有强大的集中安全策略D.使用了DHCP这样的动态IP地址分配协议2数据包不属于包过滤一般需要检查的部分是（ ）。 A. IP源地址和目的地址B.源端口和目的端口 C.协议类型D. TCP序列号3包过滤的优点不包括（ ）。 A.处理包的数据比代理服务器快B.不需要额外费用 C.对用户是透明的D.包过滤防火墙易于维护4关于状态检查技术，说法错误的是（ ）。 A.跟踪流经防火墙的所有通信信息 B.采用一个“监测模块”执行网络安全策略 C.对通信连接的状态进行跟踪与分析 D.状态检查防火墙工作在协议的最底层，所以不能有效地监测应用层的数据5状态检查防火墙的优点不包括（ ）。 A.高安全性B.高效性 C.可伸缩性和易扩展性D.易配置性6关于网络地址翻译技术的说法，错误的是（ ）。 A.只能进行一对一的网络地址翻译B.解决IP地址空间不足问题 C.向外界隐藏内部网结构D.有多种地址翻译模式7网络地址翻译的模式不包括（ ）。 A.静态翻译B.动态翻译 C.负载平衡翻译D.随机地址翻译8关于代理技术的说法，错误的是（ ）。 A.代理技术又称为应用层网关技术 B代理技术针对每一个特定应用都有一个程序 C.代理是企图在网络层实现防火墙的功能 D代理也能处理和管理信息9关于代理技术的特点的说法，错误的是（ ）。 A.速度比包过滤防火墙要快得多 B.对每一类应用，都需要一个专门的代理 C灵活性不够 D.代理能理解应用协议，可以实施更细粒度的访问控制10关于代理技术优点的说法，错误的是（ ）。A.易于配置，界面友好B.不允许内外网主机的直接连接C.可以为用户提供透明的加密机制D.对于用户是透明的11以下哪个描述不是关于虚拟专用网络的描述（ ）。 A.虚拟专用网络的实施需要租用专线，以保证信息难以被窃听或破坏 B.虚拟专用网络需要提供数据加密、信息认证、身份认证和访问控制 C.虚拟专用网络的主要协议包括IPSEC,PPTP/L2TP,SOCKETS v5等 D.虚拟专用网络的核心思想是将数据包二次封装，在Internet上建立虚拟的专用网络12.以下描述中哪个不是关于PPTP协议的（ ）。 A.微软公司提出来的 B.通过IP协议实现对PPP协议数据进行封装，用简单的包过滤或微软域网络控制来实 现访问控制 C.它是数据链路层上的协议 D.它是微软公司提出的L2TP和Cisco公司提出的L2F协议融合的产物13以下哪一项不属于IPSEC的安全组件（ ）。 A. IPSEC进程本身B. IKE C SPD DRSA14IPSEC是一套协议集，它不包括下列哪个协议（ ）。 A AH BESP C IKE DSSL15以下哪项是AH协议无法提供的安全性保证（ ）。 A.机密性B.数据源的认证 C.抗重播保护D.数据完整性16IKE协议的主要功能是（ ）。 A.让对端在两对端点的源目的地址、应用协议、安全参数、密钥等方面达成一致 B密钥交换协议 C.实现数据包的二次封装 D加密数据包17.以下关于IPSEC虚拟专用网的说法中，那个是正确的（ ）。 A. AH用于保护整个IP数据载荷（包括IP头信息）B. IKE是针对IPSEC而设计的，难以应用到其他协议当中C. IPSEC隧道模式用于建立端到端的VPND IPSEC有两种模式：传输模式和隧道模式18 AH协议进行完整性验证的信息部分不包括（ ）。A. IP Header B序列号（Sequence Number)C. SPI D.验证数据19关于Windows环境下IPSEC的设置哪个是正确的（ ）。A. Windows9x操作系统中首先集成了IPSECB. Windows环境下可以通过MMC打开“本地安全策略”来实现IPSEC的配置CWindows环境下无法实现隧道模式的IPSECD Windows环境下身份认证的方法只有两种：Kerveros V5和预共享密钥20以下哪个选项不是下一代虚拟专用网络的发展趋势（ ）。A包含有防火墙的功能B.提供综合的虚拟专用网络管理能力，包括对安全策略、证书、IP地址及网络管理能力C增加身份认证机制D.服务质量：具有完全实现服务质量的能力，包括优化、协议保留和带宽扩展21以下哪一项不是国家关于防火墙的标准（ ）。 A.GB/T 17900-1999网络代理服务器的安全技术要求 BGB/T 17919-1999网络地址翻译服务器的安全技术要求 CGB/T 18019-1999信息技术包过滤防火墙安全技术要求 DGB/T 18020-1999信息技术应用级防火墙安全技术要求22以下哪一项不是防火墙测试包含的内容（ ）。 A.购买测试设备B.建立测试准则 C.搭建测试环境D.确定测试项目23.防火墙测试项目中不包含（ ）。 A.管理测试B功能测试 C.环境测试D.性能测试24防火墙测试结果分析不包括（ ）。 A.网络环境技术水平B.功能技术水平 C.系统性能技术水平D.安全技术水平25防火墙系统测试不包括（ ）。 A.端口扫描B.在线观测 C.配置测试D.内部攻击测试26.防火墙端口扫描不包含下列哪项内容（ ）。 A.基准扫描B.在多个位置扫描C.扫描内部主机D.自动扫描27.在防火墙日志审核不包括（ ）。A.测试一些不支持的服务B.防火墙漏洞信息C.测试电子邮件系统D. FTP和Telnet登录测试28防火墙配置测试不包括（ ）。A.路由表配置B. DNS配置C. SOCKS配置D. HTTP代理配置29防火墙测试的在线观测不包括（ ）。A.静态线路观察B.线路故障观察C.控制测试D.动态线上观察30以下关于防火墙测试第三方核实正确的是（ ）。A.间谍和社会工程侵袭B.端口扫描C.在线观测D.日志分析实操测试：一、建立防火墙策略允许相应的服务，具体要求如下：通过ISA服务器管理，新建如下所要求的防火墙策略： 1.建立一条新防火墙策略，命名为allowed ； 2.通过添加协议允许内部网络主机和ISA服务器主机通过域名方式访问外部网络的HTTP 80端口服务； 3.允许内部网络主机和ISA服务器主机通过域名方式访问外部HTTP 8080端口服务。需要自定义一个新协议，命名为http8080 ，指定端口号为8080； 4.允许内部网络主机和ISA服务器主机访问外部网络的DNS服务， FTP服务，SMTP服务，POP3服务 二、设置内外网地址及访问策略的开放时间ISA防火墙连接外部网络为192.168.0.0/24网段，其管理的内部网络为10.0.0.0/24网段，根据要求完成以下操作：1.将ISA2004防火墙中名称为Refuse的访问规则的工作时间设定为周一到周五（9:00-17:00）；2.将ISA2004防火墙中内部网络地址范围修改为10.0.0.110.0.0.254；3.将防火墙主机的本地连接设置成为连接外部网络的网络适配器，IP地址为192.168.0.158，子网掩码为：255.255.255.0；网关IP地址为：192.168.0.1，DNS服务器IP地址为：192.168.0.24.将防火墙主机的本地连接2设置成为连接ISA内部网络的网络适配器，IP地址为10.0.0.1，子网掩码为255.255.255.0，网关和DNS服务器IP地址都为：10.0.0.1三、允许内部主机访问外部的https服务运用ISA 2004防火墙完成如下所要求的安全访问操作： 1.新建计算机insidehost地址为192.168.1.100和outsidehost地址为211.1.1.1； 2.建立一条新的防火墙策略，命名为“allow HTTPS”，添加适当的协议使内部主机能够访问外部的HTTPS服务； 3.允许内部主机insidehost访问外部主机outsidehost； 4.规定用户只能在周一到周五的工作时间（9:00-17:00）访问外部网络；四、利用ISA 2004防火墙完成Web服务器的发布，具体要求如下： 1.建立一个安全的Web服务器，命名为“web server”，要求此服务器使用SSL隧道协议； 2.服务器的IP地址为211.1.1.2； 3.设置此服务器侦听来自外部网络的所有IP地址； 4.设置所发布的服务器端口为端口1500； 5.规定用户只能在周一到周五的工作时间（9:00-17:00）访问此服务器； 广东机电职业技术学院技能测试试卷标准答案（第一套）系（部）：计算机与信息工程系 理论测试答案：1B 2D 3D 4D 5D 6A 7D 8C 9A IOD11A 12D 13D 14C 15A 16B 17D 18D 19B 2OC21B 22A 23C 24A 25D 26D 27B 28A 29B 30A实操测试答案：一、建立防火墙策略允许相应的服务1. 在ISA服务器界面左侧树形目录，选择jeffery下面的“防火墙策略”，界面右侧选中“任务”，选择“创建新的访问规则”；2. 输入规则名allowed ，点击“下一步”；3. 动作选择“允许”，点击“下一步”；4. 应用到“所选的协议”，点击“添加”，将DNS， FTP务，SMTP，POP3添加；5. 新建“协议”，协议名称“http8080”；6. 访问规则源：内部和本地主机；7. 访问规则目的：外部；8. 应用访问规则。二、设置内外网地址及访问策略的开放时间1. 右键Refuse规则，选“属性”；2. “属性”界面选择“计划”标签，计划后的下拉菜单选择“工作时间”，设定为周一到周五（9:00-17:00）；3. 应用Refuse规则；4. 在ISA服务器界面左侧树形目录，选择“配置”下的“网络”；5. 找到“内部”，右键选“属性”，“属性”界面选择“地址”标签，编辑，修改为10.0.0.110.0.0.254；6. 应用；7. 将防火墙主机的本地连接设置成为连接外部网络的网络适配器，IP地址为192.168.0.158，子网掩码为：255.255.255.0；网关IP地址为：192.168.0.1，DNS服务器IP地址为：192.168.0.2；8. 将防火墙主机的本地连接2设置成为连接ISA内部网络的网络适配器，IP地址为10.0.0.1，子网掩码为255.255.255.0，网关和DNS服务器IP地址都为：10.0.0.1三、允许内部主机访问外部的https服务1在ISA服务器界面左侧树形目录，选择jeffery下面的“防火墙策略”，界面右侧选中“工具箱”网络对象新建计算机；2新建计算机insidehost地址为192.168.1.100和outsidehost地址为211.1.1.1； 3.建立一条新的防火墙策略，命名为“allow HTTPS”； 4. 动作选择“允许”，点击“下一步”；5应用到“所选的协议”，点击“添加”，选HTTPS协议；6访问规则源insidehost，访问规则目标outsidehost； 7. 在“allow HTTPS” 右键选“属性”，“属性”界面选择“计划”标签，计划后的下拉菜单选择“工作时间”，设定为周一到周五的工作时间（9:00-17:00）；8 应用“allow HTTPS”。四、利用ISA 2004防火墙完成Web服务器的发布，具体要求如下： 1. 在ISA服务器界面左侧树形目录，选择jeffery下面的“防火墙策略”，界面右侧选中“任务”，选择“发布安全的Web服务器”；命名为“web server”；2. 发布模式使用“SSL隧道协议”；3. 输入服务器的IP地址为211.1.1.2； 4. 设置此服务器侦听来自外部网络的所有IP地址；5. 在 “web server” 右键选“属性”，“属性”界面选择“通讯”标签，设置所发布的服务器端口为端口1500；6. “属性”界面选择“计划”标签，计划后的下拉菜单选择“工作时间”，设定为周一到周五的工作时间（9:00-17:00）；注：各题目详细配置过程以做好的动画教程为准。广东机电职业技术学院技能测试试卷评分标准（第一套）系（部）：计算机与信息工程系理论测试评分标准：单项选择题，每题1分，共30分。实操测试评分标准：本题要掌握的技能点如下，学生完成相应的技能点后，在实验平台可查看结果，做对的技能点后面会显示绿色的对勾，表示学生已掌握该技能，本试题共22个技能点，共70分，学生每做错一个，扣3分。或者教师可以通过实验管理机查看学生的分数，该分数的70%为实操测试分数。 一、建立防火墙策略允许相应的服务1建立防火墙策略，添加策略 2建立防火墙策略，添加用户自定义策略二、设置内外网地址及访问策略的开放时间1设置策略的开放时间2设置策略的开放时间，网上邻居内外网IP地址设置3内部网络地址范围设置三、允许内部主机访问外部的https服务1 新建计算机insidehost和outsidehost2 新建并命名规则3 执行的操作为“允许”4 添加HTTPS协议5 添加访问规则源6 添加访问规则目标7 完成规则的创建8 设置规则应用时间9 应用规则四、利用ISA 2004防火墙完成Web服务器的发布，具体要求如下： 1 打开向导并命名规则2 选择发布模式3 输入服务器IP地址4 选择侦听外部网络5 完成规则创建6 设置发布端口7 设置规则应用到工作时间8 应用规则广东机电职业技术学院技能测试试卷（第二套）防火墙原理与技术应用（二）（总测试时间：120分钟 其中：理论测试40分钟；实操测试80分钟）系（部）：计算机与信息工程系 姓名： 班级： 成绩: 考评员：测试题目：防火墙原理与技术应用（二）理论测试：单项选择题：119216891l6的翻转掩码是（ ）。 A 255 255 255 0 B25525500 C 0 0 255 255 D0002552关于Cio 105防火墙配置描述中错误的是（ ）。A访问控制列表的安全性和策略配置的先后顺序无关B访问控制列表的配置包含两步：策略配置和端口绑定C访问控制列表的修改时，必须将整个访问控制列表重新编辑D访问控制列表配置中，必须先配置访问控制列表，才能将访问控制列表和端口绑定3关于NAT的配置，描述错误的是（ ）。ANAT通过网络地址转换达到隐蔽内部网络拓朴结构的目的B NAT不是专门为防火墙而设计的CNAT是包过滤技术的一种DNAT既可以实现静态配置，也可以实现动态NAI，转换4关于静态NAT描述中正确的是（ ）。A静态NAT已经被动态NAT取代，已经不再被使用B静态NAT无法屏蔽内部网络拓朴结构C只有在内部和外部网络接口之间的数据包才进行转换D静态NAT是防火墙实现网络安全防护的核心技术5以下不属于NAT功能的是（ ）。A网络地址翻译B负载均衡C动态域名解析D网络地址交迭6基于Linux的防火墙发展历程是（ ）。 A iptablesipfwadmipchains B ipchainsipfwadmiptables C ipfwadm一ipchainsiptables D ipfwadmiptablesipchains7下列不属于IPtables策略规则表的是（ ）。 A Filter BForward C Mangle D NAT8下列哪一项是Mangle表的功能（ ）。 A主要用于包过滤 B主要用来修改数据包包头中的某些值 C主要用于网络地址翻译 D主要用于数据包的状态检查9 IPtables中一A命令参数的作用是（ ）。 A添加一个规则链B扩展一条规则链 C添加一条规则到链尾D，添加一条规则到链头10打开Linux操作系统路由功能的方法是（ ）。 A eeho 1/Procsysnetipv4ipforwarding B echo 0/Procsysnetipv4ipforwarding C echo 1/Procsysnetipforwarding D echo 0/Procsysnetipforwarding11设置IPtables默认策略的命令参数是（ ）。 A 一D B 一F C 一P D 一N12-syn等价于（ ）。 A-tcp一flags SYN B一tcp一nags SYN，RST，ACK C一tcp一fiags SYN，RST，ACK，PSH D一tep一fl眼5 SYN，RST，ACK，PSH，URG，FIN13以下说法正确的是（ ）。 AIPtableS无法实现ICMp数据包的过滤 BIPtableS可以实现网络代理功能 CIptableS能够实现NAT功能 DIptables无法实现DMZ区14以下说法错误的是（ ）。 A. lptables集成在Linux内核中，不能安装和卸载B. lptables能够实现带状态检测的包过滤Clptables的安全性和策略配置有关D. lptables能够实现负载均衡的配置15对应telnet服务的TCP端口是（ ）。A 20 B23C 22 D2516网络安全归纳为物理安全和（ ）。 A.逻辑安全B.系统安全C.操作安全D.通信安全17PKI是（ ）的缩写。 A Public Key Information BPrivate Key Information C. Public Key Infrastructure D.以上都不对18. PKI通过延伸到用户本地的接口为各种应用提供安全服务，这些安全服务不包括下列那种（ ）。 A.身份认证B.数字签名C.加密D.接入19. PKI作为基础设施，所必须具有的性能要求有很多种，下面列出的性能要求不是基础设施所要求的是（ ）。 A.透明性和易用性B.可扩展性和互操作性C.紧耦合性D.多用性和支持多平台20逻辑安全方面的威胁主要有（ ）、 A.假冒B.篡改C.否认D.以上全部 截取21PKI体系现存问题有（ ）。 A.密钥管理问题B.相关法律问题C.赔付机制的问题D.以上全部22用于生物识别的生物特征不包括下列哪种（ ）。 A.指纹B.虹膜C.脸形D.鼻形23.设置一个安全的口令应该考虑使用下列哪种方案（ ）。 A.英文单词B.通行短语C.生日D.喜好24.国内的认证中心可分为三大类，哪一类不包括在这三大类中（ ） A.行业性认证中心B.区域性认证中心C.纯商业性认证中心D.政策性认证中心25.实现身份认证的方法中能比较灵活的适用各种要求的技术是（ ）。A.静态口令B.动态口令C.生物识别D. PKI26根据密码算法对明文信息的加密方式，可分为（ ）和序列密码体制。 A.分组密码体制B.条件密码体制C.校验密码体制D.以上都不对 27. DES使用一个56位的密钥以及附加的8位奇偶校验位，产生最大（ ）位的分组大小。 A 56 B64 C72 D4828在非对称加密中，加密时使用对方的（ ）。 A.公钥B.私钥C.公钥结合私钥D.以上都不是29（ ）不是隐藏信息本身，而是要隐藏它的意思。 A.信息学B.隐写术C.,网络学D.密码学30（ ）包括RC4，SEAL（Software Optimized Encryption Algorithm）。还包括发展成为一次一密乱码本的Vernam密码。 A.古典密码B.分组密码C.序列密码D.非对称密码实操测试： 一、利用ISA 2004防火墙发布邮件服务器，具体要求如下： 1.建立一个新的邮件服务器，命名为“mail server”，此服务器仅提供服务器到服务器的通讯； 2.服务器使用安全SMTP协议； 3.服务器的IP地址为211.1.1.3； 4.要求阻止来自垃圾邮件服务器denyhost（地址为222.1.1.1）的SMTP请求； 5.规定用户只能在周一到周五的工作时间（9:00-17:00）访问此服务器； 二、进行ip首选项及入侵检测相关设置针对ISA 2004防火墙完成如下要求的设置： 1.对所有通过防火墙的IP数据包进行筛选； 2.拒绝IP包中含有记录路由、严格源路由、路由器警报信息选项的数据包通过防火墙； 3.阻止IP包进行分片； 4.启用IP路由； 5.如果通过端口扫描5个常用端或连续扫描30个端口，则对端口扫描进行检测； 三、建立关于DNS入侵警报并配置日志运用ISA 2004防火墙完成操作，要求如下： 1.新建一条关于DNS主机名溢出的入侵警报，命名为“DNS alert”； 2.警报类别为安全性；警报严重性为警告； 3.当警报触发时发送电子邮件消息； 4.邮件发送到admin(SMTP服务器地址为192.168.0.10)，邮件发件人设置为ISA； 5.当该入侵行为发生超过5次时触发该警报并发送邮件； 6.设置防火墙日志存储格式为ISA服务器文件格式，并且日志记录所有能够记录的字段； 四、限制内部主机访问特定站点通过配置ISA 2004防火墙，完成如下要求的操作： 1.新建访问规则“forbid sina”，以限制内部主机client1:192.168.1.100访问Internet 2.URL集中新建名称为 *站点，禁止内部客户端主机client1访问的任何站点 3.禁止访问时间为工作时间 4.仅禁止对站点的HTTP访问 5.如果用户在工作时间访问的任何站点时，则将其指向广东机电职业技术学院技能测试试卷标准答案（第二套）系（部）：计算机与信息工程系 理论测试答案：1C 2A 3C 4C 5C 6C 7B 8B 9D 10A 11C 12B 13C 14A 15B16A 17C 18D 19C 20D 21D 22D 23B 24D 25D 26 A 27 B 28A 29 D 30 C实操测试答案：一、利用ISA 2004防火墙发布邮件服务器1在ISA服务器界面左侧树形目录，选择 “防火墙策略”，界面右侧选中“任务”，选择“发布一个邮件服务器”；命名为“mail server”；2选择访问类型提供服务器到服务器的通讯； 3.选择服务安全SMTP协议； 4.服务器的IP地址为211.1.1.3； 5.ip 地址外部6在ISA服务器界面右侧选中“工具箱”网络对象新建计算机：denyhost（地址为222.1.1.1）； 7在 “mail server” 右键选“属性”，“属性”界面选择“从”标签，添加“例外”，选denyhost；8“属性”界面选择“计划”标签，计划后的下拉菜单选择“工作时间”，设定为周一到周五的工作时间（9:00-17:00）；9应用。二、进行ip首选项及入侵检测相关设置1. 在ISA服务器界面左侧树形目录，选择“配置”下的“常规”；找到“定义ip首选项”； 2. “ip首选项”界面，启用ip首选项，拒绝IP包中选中“记录路由”、“严格源路由”、“路由器警报”； 3.选择阻止IP包分片； 4.启用IP路由； 5. 在ISA服务器界面左侧树形目录，选择“配置”下的“常规”；找到“启用入侵检测和DNS攻击检测”；勾选“端口扫描”，输入5个常用端或连续扫描30个端口，则对端口扫描进行检测； 三、建立关于DNS入侵警报并配置日志1. 在ISA服务器界面左侧树形目录，选择“监视”“警报”；找到“配置警报定义”；添加一条关于DNS主机名溢出的入侵警报，命名为“DNS alert”； 2.事件DNS入侵；附加DNS主机名溢出；3警报类别为安全性；警报严重性为警告； 4.当警报触发时发送电子邮件消息； 5.邮件发送到admin(SMTP服务器地址为192.168.0.10)，邮件发件人设置为ISA； 6.选中刚建好的“DNS alert”，编辑：当该入侵行为发生超过5次时触发该警报并发送邮件； 7. 在ISA服务器界面左侧树形目录，选择“监视”“日志”；找到“配置防火墙日志”；8.设置防火墙日志存储格式为ISA服务器文件格式，并且日志记录所有能够记录的字段；9应用。 四、限制内部主机访问特定站点1. 在ISA服务器界面左侧树形目录，选择 “防火墙策略”，界面右侧选中“工具箱”网络对象新建计算机client1，ip：192.168.1.100；2.URL集中新建名称为 *站点；3选中“任务”，选择“创建新的访问规则”，访问规则“forbid sina”，操作选“拒绝”；4.协议选“HTTP”；5访问规则源：client1；访问规则目的：*；6右键 forbid sina 规则，选“属性”；7“属性”界面选择“计划”标签，计划后的下拉菜单选择“工作时间”，设定为周一到周五（9:00-17:00）；8. “操作”标签上，如果用户在工作时间访问的任何站点时，则将其指向；9应用。注：各题目详细配置过程以做好的动画教程为准。广东机电职业技术学院技能测试试卷评分标准（第二套）系（部）：计算机与信息工程系理论测试评分标准：单项选择题，每题1分，共30分。实操测试评分标准：本题要掌握的技能点如下，学生完成相应的技能点后，在实验平台可查看结果，做对的技能点后面会显示绿色的对勾，表示学生已掌握该技能，本试题共36个技能点，共70分，学生每做错一个，扣2分。或者教师可以通过实验管理机查看学生的分数，该分数的70%为实操测试分数。一、利用ISA 2004防火墙发布邮件服务器1： 打开规则向导并命名2： 选择访问类型3： 选择服务器服务4： 输入服务器IP地址5： 设置侦听外部网络6： 完成规则创建7： 新建计算机denyhost8： 设置例外9： 设置规则应用时间10： 应用规则二、进行ip首选项及入侵检测相关设置1： 启动IP选项筛选，并设置筛选内容2： 阻止IP片断3： 启用IP路由4： 设置端口扫描检测5： 应用规则三、建立关于DNS入侵警报并配置日志1： 新建并命名报警2： 选择触发警报的事件和条件3： 选择警报类别和严重性等级4： 指定警报操作5： 发送电子邮件信息6： 完成警报定义向导7： 设置触发警报前事件发生次数8： 设置日志存储格式9： 配置日志包含字段10： 应用配置四、限制内部主机访问特定站点1： 新建计算机client12： 新建URL集3： 打开新建规则向导并命名规则4： 设置规则操作为拒绝5： 添加所选协议6： 添加访问规则源7： 添加访问规则目标8： 完成规则创建9： 设置规则应用时间10： 设置HTTP请求重定向11： 应用规则广东机电职业技术学院技能测试试卷（第三套）VPN技术及应用（总测试时间：120分钟 其中：理论测试30分钟；实操测试90分钟）系（部）： 姓名： 班级： 成绩： 考评员：测试题目：VPN技术及应用理论测试：一、单项选择题1 VPN的英文全称是（ ）。 A Visual Protocol Network B Virtual Private Network C. Virtual Protocol Network D Visual Private Network2下面说法不正确的是（ ）。 A.虚拟专用网是利用公众网资源为客户构成专用网的一种业务。 B.使用VPN后就不需要再使用防火墙和人侵检测系统，它可以提供完善的安全保障。 C. VPN可以看作是企业网在Internet上的延伸，通过Internet中一个私用的通道来创建 一个安全的私有连接，VPN通过这个安全通道将远程用户、公司分支机构、公司业务 合作伙伴等公司的企业网连接起来，构成一个扩展的公司企业网。 D. VPN为了确保在公网上传输数据的安全性采用了隧道技术。3.下面选项不属于VPN的优点。（ ） A.容易扩展：Internet的无处不在决定了增加或减少用户接人是非常容易的。 B.完全控制主动权：借助VPN，企业可以利用ISP的设施和服务，同时又完全掌握着自 己网络的控制权。 C.降低成本：使用VPN通过远程办公、远程商务洽谈、远程技术支持，能节约大量的时 间、办公费用，以及高昂的出差费。 D.管理更加方便：买来设备安装好即可，不用管理员做相应的配置。4.下列选项中不属于VPN的缺点？（ ） A.尽管VPN的设备供应商们可以为远程办公室或Extranet服务的专线或帧中继提供 有效方式，可是VPN的服务提供商们只保证数据在其管辖范围内的性能，一旦出了 其“辖区”则安全没有保证。 B. VPN用户的增加和删除只是逻辑上的操作，无须专门的物理设备和连接。 C.不同厂商的VPN的管理和配置掌握起来是最难的，这需要同时熟悉不同厂商的执行 方式，包括不同的术语。 D.作为一种典型技术，VPN的应用时间还不长，VPN的管理流程和平台相对于其他远 程接人服务器或其他网络结构的设备来说，有时并不太好用。5不适合采用VPN的情况是（ ）。 A.位置众多，特别是单个用户和远程办公室站点多，例如企业用户、远程教育用户。 B.用户站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户。 C.对线路保密性和可用性有一定要求的用户。 D.不管价格多少，性能都被放在第一位的情况。6.将公司与外部供应商、客户及其他利益相关群体相连接的是（ ）。A.内联网VPN B.外联网VPN C.远程接人VPN D.无线VPN7.根据IETF RFC2764的说明，不属于IP VPN必须具备的基本功能是（ ）。A.透明包传输B.数据的安全性C. QOS保证D.隧道机制8.最新的研究和统计表明，安全攻击主要来自（ ）。 A接入网B.企业内部网C.公用IP网D.个人网9.攻击者用传输数据来冲击网络接口，使服务器过于繁忙以致于不能应答请求的攻击方是（ ） A.拒绝服务攻击B.地址欺骗攻击 C.会话劫持D.信号包探测程序攻击10.源A和服务器B之间的会话被攻击者截获并拷贝称为（ ）。 A.拒绝服务攻击B.会话劫持C.中间人攻击D.回放攻击二、简答题1、 列举常见的攻击方法。2、 SSL协议如何实现的数据保密性？实操测试：一、利用操作系统自带的路由和远程访问工具建立并配置VPN服务器操作要求如下： 任务一：建立路由和远程访问,设置日志选项 1.在FILESERVER（本地）主机上建立VPN服务器； 2.为了保证拨入的用户与本地用户在同一网段内，指定拨入用户的IP范围为192.168.0.100至192.168.0.254 3.记录事件要求：记录计帐请求、记录身份验证请求； 4.日志文档格式要求：采取数据库兼容的文件格式记录日志，当日志文件大于10M时，记录新的日志； 任务二：建立远程访问策略 1.添加使用的隧道操作协议：Point-to-Point Tunnel Protocol和Layer Two Tunneling Protocol ； 2.当用户符合条件时允许远程访问； 3.为了节省费用，对拨入后的用户，当其拨入的线路空闲10分钟，将自动断线； 4.IP地址分配策略要求：服务器设置定义策略； 5.多重链接要求：允许多重链接的最多端口数为10； 6.身份验证要求：采用MS-CHAP和MS-CHAP v2进行身份加密； 7.配置文件加密级别要求：基本加密、强加密和最强加密。 二、利用ISA2004构建VPN 任务一、利用ISA服务器启用VPN客户端： 1.启用VPN客户端； 2.允许的最大VPN客户端数量为1000； 3.设置客户端可用于远程连接的隧道协议为：PPTP；L2TP/IPSec；4.允许访问的域组为本地用户组VPNremote； 5.启用用户映射将非windows域名空间映射到windows域名空间； 任务二、利用ISA服务器管理进行DNS服务器设置，要求如下： 1.指定用来解析VPN客户端连接计算机名称的主DNS服务器的地址为192.168.1.2，备用DNS服务器的地址为192.168.1.3； 2.指定主WINS服务器地址为192.168.1.4，备用WINS服务器地址为192.168.1.5； 3.使用静态IP地址范围为10.1.1.1-10.1.4.254 任务三、使用RADIUS对VPN客户端进行身份验，具体要求如下： 1.使用RADIUS进行身份验证； 2.使用RADIUS记帐； 3.设定RADIUS服务器域名为，端口为1900，共享密码为asd1QWE，超时为10秒； 4.一直使用消息认证程序； 任务四、为VPN客户端建立拨入帐号并建立连接，具体要求如下： 1.在ISA服务器所在主机为VPN客户端设置账号VPNuser,密码1234qwer,并允许其进行VPN拨入，用户不能更改密码且密码永不过期； 2.在Windows2000客户端（也可以在ISA服务器所在主机上操作）下建立一个VPN客户端到VPN服务器的VPN连接，区号为010，外线为空； 3.VPN服务器的地址为211.1.1.1； 4.测试新建的VPN连接，并保存连接密码； 广东机电职业技术学院技能测试试卷标准答案（第三套）系（部）： 计算机与信息工程系 理论测试答案：一、单项选择题1 B 2B 3D 4B 5D 6B 7A 8 B 9A 10B二、1、列举常见的攻击方法。假消息攻击，重放攻击，DOS，DDOS，缓冲区溢出，口令攻击等。2、SSL协议如何实现的数据保密性？通过握手协议协商，记录协议实现数据的分片、压缩、计算MAC码，加密操作。实操测试答案：一、利用操作系统自带的路由和远程访问工具建立并配置VPN服务器任务一：建立路由和远程访问,设置日志选项 1.打开管理工具路由和远程访问；2在FILESERVER（本地）右键，选配置并启用路由和远程访问； 3.公共设置虚拟专用网络VPN服务器；4下面两步默认；5指定拨入用户的IP范围为192.168.0.100至192.168.0.254；6.完成后选左测的“远程访问记录”，双击“本地文件”，记录事件要求：记录计帐请求、记录身份验证请求； 7.采取数据库兼容的文件格式记录日志，当日志文件大于10M时，记录新的日志； 任务二：建立远程访问策略 1. 路由和远程访问界面，选左测的“远程访问策略”，右键窗口右侧内容，选择“属性”；2添加使用的隧道操作协议：Point-to-Point Tunnel Protocol和Layer Two Tunneling Protocol ； 2.当用户符合条件时“授予远程访问“； 3.“编辑配置文件“，对拨入后的用户，当其拨入的线路空闲10分钟，将自动断线； 4.IP地址分配策略要求：服务器设置定义策略； 5.多重链接要求：允许多重链接的最多端口数为10； 6.身份验证要求：采用MS-CHAP和MS-CHAP v2进行身份加密； 7.配置文件加密级别要求：基本加密、强加密和最强加密。 二、利用ISA2004构建VPN 任务一、利用ISA服务器启用VPN客户端： 1. 在ISA服务器界面左侧树形目录，选择 “虚拟专用网”，界面右侧选中“任务”，选择“配置VPN客户端访问”；2. 在“VPN客户端”属性页“常规”标签，启用VPN客户端，允许的最大VPN客户端数量为1000； 3. 在“VPN客户端”属性页“协议”标签，设置客户端可用于远程连接的隧道协议为：PPTP；L2TP/IPSec；4. 在“VPN客户端”属性页“组”标签，启用VPN客户端允许访问的域组为本地用户组VPNremote； 5. 在“VPN客户端”属性页“用户映射”标签，启用VPN客户端，启用用户映射将非windows域名空间映射到windows域名空间； 6应用。任务二、利用ISA服务器管理进行DNS服务器设置，要求如下： 1. 在ISA服务器界面左侧树形目录，选择 “虚拟专用网”，界面右侧选中“任务”，选择“定义地址分配”；2. 静态IP地址范围为10.1.1.1-10.1.4.254；3. 高级主DNS服务器的地址为192.168.1.2，备用DNS服务器的地址为192.168.1.3；4. 指定主WINS服务器地址为192.168.1.4，备用WINS服务器地址为192.168.1.5；5. 应用。任务三、使用RADIUS对VPN客户端进行身份验，具体要求如下： 1. 在ISA服务器界面左侧树形目录，选择 “虚拟专用网”，界面右侧选中“任务”，选择“指定RADIUS配置”；2选择“使用RADIUS进行身份验证”； 3.使用“RADIUS记帐”； 4.设定RADIUS服务器域名为，端口为1900，共享密码为asd1QWE，超时为10秒； 5.一直使用消息认证程序； 6应用。任务四、为VPN客户端建立拨入帐号并建立连接，具体要求如下： 1. 右键“我的电脑”管理；2. 本地用户和组新建用户：VPNuser,密码1234qwer,并允许其进行VPN拨入，用户不能更改密码且密码永不过期；3.在Windows2000客户端（也可以在ISA服务器所在主机上操作）下建立一个VPN客户端到VPN服务器的VPN连接，区号为010，外线为空； 4.VPN服务器的地址为211.1.1.1； 5.测试新建的VPN连接，并保存连接密码；注：各题目详细配置过程以做好的动画教程为准。广东机电职业技术学院技能测试试卷评分标准（第三套）系（部）：计算机与信息工程系理论测试评分标准：一、单项选择题（每题1分，共10分）1 B 2B 3D 4B 5D 6B 7A 8 B 9A 10B二、每题5分，共10分，答对要点即可得分。1、列举常见的攻击方法。假消息攻击，重放攻击，DOS，DDOS，缓冲区溢出，口令攻击等。2、SSL协议如何实现的数据保密性？通过握手协议协商，记录协议实现数据的分片、压缩、计算MAC码，加密操作。实操测试评分标准：本题要掌握的技能点如下，学生完成相应的技能点后，在实验平台可查看结果，做对的技能点后面会显示绿色的对勾，表示学生已掌握该技能，本试题共23个技能点，共80分，学生每做错一个，扣4分。或者教师可以通过实验管理机查看学生的分数，该分数的80%为实操测试分数。一、利用操作系统自带的路由和远程访问工具建立并配置VPN服务器1： 建立路由和远程访问，配置并启用2： 建立路由和远程访问，启用VPN3： 建立路由和远程访问，指定IP地址范围4： 建立路由和远程访问，远程访问记录设置5： 建立路由和远程访问，远程访问记录本地文件6： 建立远程访问策略二、利用ISA2004构建VPN 任务一、利用ISA服务器启用VPN客户端： 1： 启用VPN客户端并设置允许数量2： 选择所用隧道协议3： 添加本地组到访问列表4： 启用用户映射5： 应用配置任务二、利用ISA服务器管理进行DNS服务器设置，要求如下： 1： 添加网段到静态地址池2： 设置DNS和WINS服务器地址3： 应用配置任务三、使用RADIUS对VPN客户端进行身份验，具体要求如下： 1： 启用RADIUS身份验证和记账2： 配置RADIUS服务器3： 应用配置任务四、为VPN客户端建立拨入帐号并建立连接，具体要求如下： 1： 建立新用户2： 设置帐户允许VPN拨入3： 建立VPN连接4： 设置VPN服务器地址5： 完成VPN连接的建立6： 测试连接广东机电职业技术学院技能测试试卷（第四套）Snort入侵检测技术的应用（总测试时间：120分钟 其中：理论测试30分钟；实操测试90分钟）系（部）： 姓名： 班级： 成绩： 考评员：测试项目: Snort入侵检测技术的应用理论测试：一、不定项选择题1 Snort是一个跨平台、轻量级的（ ）人侵检测软件。 A.主机B.网络 C.综合 D.实时2构成Snort的三个重要的子系统是（ ）。 A.数据包解码器 B.数据分析模块 C.检测引擎 D.日志与报警系统3在使用Snort之前，需要根据网络环境和安全策略对Snort进行配置，配置内容主要包括有（ ）。 A.设置网络变量 B.配置所使用的规则集 C.配置预处理器 D.配置输出插件4 Snort可以有的运行方式包括（ ）。 A.嗅探器B.抓包器 C.主机人侵检测系统D.网络人侵检测系统5 Snort的规则在逻辑上分为（ ）部分。 A 2 B3 C 4 D，5 6，（ ）属于黑客经常利用的漏洞。 A.拒绝服务攻击漏洞B缓冲区溢出 C.远程命令执行漏洞D.以上全部7人侵检测的规则是指（ ）。 A.确定 IDS应用程序如何工作的具体条目 B一