11根据可信计算机系统评估准则(TESEC)，用户能定义访问控制要求的自主保护类型系统属于(　　)。

　　A.A类B.B类C.C类D.D类

　　参考答案：C

　　参考解析：美国国防部公布了《可信计算机系统评估准则》TCSEC(Trusted Computer System Evalua-tion Criteria)，将计算机系统的安全可信度从低到高分为D、C、B、A四类共七个级别：D级，C1级，C2级，B1级，B2级，B3级，A1级。(最小保护)D级：该级的计算机系统除了物理上的安全设施外没有任何安全措施，任何人只要启动系统就可以访问系统的资源和数据，如DOS，Windows的低版本和DBASE均是这一类(指不符合安全要求的系统，不能在多用户环境中处理敏感信息)。(自主保护类)C1级：具有自主访问控制机制、用户登录时需要进行身份鉴别。(自主保护类)C2级：具有审计和验证机制((对TCB)可信计算机基进行建立和维护操作，防止外部人员修改)。如多用户的UNIX和ORACLE等系统大多具有C类的安全设施。

　　(强制安全保护类)B1级：引入强制访问控制机制，能够对主体和客体的安全标记进行管理。

　　B2级：具有形式化的安全模型，着重强凋实际评价的手段，能够埘隐通道进行限制。(主要是对存储隐通道)

　　B3级：具有硬件支持的安全域分离措施，从而保证安全域中软件和硬件的完整性，提供可信通道。对时间隐通道的限制。

　　A1级：要求对安全模型作形式化的证明，对隐通道作形式化的分析，有可靠的发行安装过程。(其安全功能，依次后面包含前面的)因此用户能定义访问控制要求的自主保护类型系统属于C类。因此C选项正确。

　　12应用入侵防护系统(AIPS)一般部署在(　　)。

　　A.受保护的应用服务器前端B.受保护的应用服务器中C.受保护的应用服务器后端D.网络的出口处

　　参考答案：A

　　参考解析：入侵防护系统主要分为三种：基于主机的入侵防护系统，安装在受保护的主机系统中，检测并阻挡针对本机的威胁和攻击;基于网络的入侵防护系统，布置在网络出口处，一般串联于防火墙与路由器之间，网络进出的数据流都必须经过它;应用人侵防护系统，一般部署于应用服务器前端，将基于主机和入侵防护系统功能延伸到服务器之前的高性能网络设备上。

　　13DNS服务器中，不包含的资源记录是(　　)。

　　A.主机资源记录B.别名记录C.FTP服务器记录D.邮件交换器记录

　　参考答案：C

　　参考解析：在DNS服务器中，资源记录是指区域中的一组结构化的记录。常用的资源记录包括：主机地址资源记录，它将DNS域名映射到IP地址;邮件交换器资源记录，为邮件交换器主机提供邮件路由;别名资源记录，将别名映射到标准DNS域名。DNS服务器中没有FTP服务器这一资源记录。

　　14Cisc0路由器第3模块第1端口通过El标准的DDN专线与-台远程路由器相连，端口的IP地址为195.112.41.81/30，远程路由器端口封装PPP协议。下列路由器的端口配置，正确的是(　　)。

　　A.Router(config)#interface s3/1

　　Router(config-if)#bandwidth 2048

　　Router(config-if)#ip address l95.112.41.81 255.255.255.252

　　Router(cortfig-if)#encapsulation PPP

　　Router(config-if)#exitB.Router(config)#interface a3/1

　　Router(config-if)#bandwidth 2000

　　Router(config-if)#ip address 195.112.41.81 255.255.255.252

　　Router(config-if)#encapsulation PPP

　　Router(config-if)#exitC.Router(config)#interface s3/l

　　Router(config-if)#bandwidth 2

　　Router(config-if)#ip address 195.112.41.81 255.255：255.252

　　Router(config-if)#encapsulation PPP

　　Router(config-if)#exitD.Router(config)#interface s3/1

　　Router(config-if)#bandwidth 2048

　　Router(config-if)#ip address 195.112.41.81 255.255.255.252

　　Router(config-if)#encapsulation hdlc

　　Router(config-if)#exit

　　参考答案：A

　　参考解析：题中路由器的端口配置方法如下：

　　步骤一：进入第3模块第1端口配置模式(config)#interface s3/1。

　　步骤二：设置带宽，其中E1速率为2.048Mbit/s，所以设置带宽为2048(config-if)#bandwidth 2048。

　　步骤三：配置端口通信IP地址与子网掩码(config-if)#ip address 195.1 12.41.81 255.255.255.252。

　　步骤四：设置远程路由器端口封装PPP协议，(config-if)#encapsulation PPP。

　　步骤五：退出(config-if)#exit。因此A选项正确。

　　15R1、R2是一个自治系统中采用RIP路由协议的两个相邻路由器，R1的路由表如下图(A.所示，当R1收到R2发送的如下图(B.的[V，D]报文后，R1更新的四个路由表项中距离值从上到下依次为0、4、4、3目的网络距离路由

　　10.0.0.00直接

　　20.0.0.0①R2

　　30.0.0.0②R3

　　40.0.0.0③R4

　　目的网络距离

　　10.0.0.02

　　20.0.0.03

　　30.0.0.04

　　10.0.0.04

　　那么，①②③可能的取值依次为(　　)。

　　A.3、3、3B.4、4、5C.5、4、3D.6、4、2

　　参考答案：C

　　参考解析：砌、R2是一个自治系统中两个相邻路由器，所以距离为l，如果收到新的报文后，R1表项的每一条记录都要更新，则结果应为3、4、5、5，但是结果为0、4、4、3，第一条记录不变，第二条记录被更新，可知原来的距离必定大于等于4，第三条与第四条都没有被更新，所以更新前距离可能为0、5、4、3。

　　16用标准访问控制列表禁止非法地址197.178.0.0/16的数据包进出路由器的正确配置是(　　)。

　　A.access-list 110 deny 197.178.0.0 0.0.255.255

　　access-list 110 permit anyB.access-1ist 10 deny l97.178.0.0 255.255.0.0

　　access-list 10 permit anyC.access-list 50 permit any

　　access-list 50 deny 197.178.0.0 0.0.255.255D.access-list 99 deny 197.178.0.0 0.0.255.255

　　access-list 99 permit any

　　参考答案：D

　　参考解析：标准ACL的标号范围是1～99、1300～1999，所以A选项错误。在路由器全局配置模式下，使用命令“access-list access-list.number{permit | deny}source wildcard-mask”配置标准ACL。其中，访问控制列表通配符(Wildeard-Mask)是子网掩码的反码，所以B选项错误。ACL默认执行顺序是自上而下的，在配置ACL列表时，要遵循最小特权原则、最靠近受控对象原则以及默认丢弃原则。其中默认丢弃原则是指在路由交换设备中，默认最后一条ACL语句为deny any any，即丢弃所有不符合条件的数据包因此，C选项错误。故选项D正确。

　　17将Cise0 6500第4模块第1端口的通信方式设置为半双工，第2-24端口的通信方式设置为全双工，以下交换机的端口配置，正确的是(　　)。

　　A.Switch-6500>(enable)set interface duplex 4/1 half

　　Switch-6500>(enable)set interface duplex 4/2-24 fullB.Switch-6500>(enable)set port 4/1 duplex half

　　Switch-6500>(enable)set port 4/2-24 duplex fullC.Switch-6500>(enable)set port duplex 4/1 half

　　Switch-6500>(enable)set port duplex 4/2-4/24 fullD.Switch-6500>(enable)set port duplex 4/1 half

　　Switch-6500>(enable)set port duplex 4/2-24 full

　　参考答案：D

　　参考解析：设置路由器端口的通信方式。以Cisco 6500交换机为例：

　　步骤一：设置第4模块第1端口的通信方式设置为半双工set port duplex 4/1 hag

　　步骤二：设置第2～24端口的通信方式设置为全双工set prot duplex 4/2-24 full因此D选项正确。

　　18对于频繁改变位置并使用DHCP获取IP地址的DNS客户端，为减少对其资源记录的手动管理，可采取的措施是(　　)。

　　A.允许动态更新B.使用反向查找区域C.增加别名记录D.设置较小的生存时间

　　参考答案：A

　　参考解析：动态更新允许DNS客户端在发生更改的任何时候，都能使用DNS服务器注册和动态地更新其资源记录。它减少了对区域记录进行手动管理的需要，适用于频繁改变位置并使用DHCP获取IP地址的DNS客户端。

　　19下列对IPv6地址FE80：0：0：0801：FE：0：0：04A1的简化表示中，错误的是(　　)。

　　A.FElt：：801：FE：0：0：04A1

　　B.FE80：：801：FE：0：0：04A1

　　C.FE80：O：0：801：FE：：04A1

　　D.FE80：0：0：801：FE：：4A1

　　参考答案：A

　　参考解析：由于IPv6地址中许多地址的内部可能有很多个0，所以有几种优化方法可以使用。第一种，在一个组内前导0可以省，比如04A1可以写成4A1。第二种，16个“0”位构成的一个或多个组可以用一对冒号来代替。因此此题中的IPv6地址可写成B、C、D选项中的任意形式。而A中FE80中的“0”是不可以省的，所以选项A错误。

　　20将Catalyst 6500交换机的设备管理地址设置为214.1 18.1.10124的正确配置语句(　　)。

　　A.set interface Vlanl 214.Il8.1.10 0.0.0.255 214.118.1.255

　　B.set interface Vlanl 214.118.1.10 255.255.255.0 214.118.1.255

　　C.set interface scO 214.118.1.10 0.0.0.255 214.118.1.255

　　D.set interface scO 214.118.1.10 255.255.255.0 214.118.1.255

　　参考答案：D

　　参考解析：在Catalyst 6500交换机的超级用户模式下，使用命令“set interface scO”可配置交换机的设备管理地址。例如，将Catalyst 6500交换机的设备管理地址设置为204.106.1.10/24的正确配置语句是：Switch-PHY-6500>(enable)set interface s00 204.106.1.10 255.255.255.0 204.106.1.255

　　相关推荐：

　　2015年计算机等级考试三级网络技术章节详解汇总

　　2015年计算机等级三级《数据库技术》题库汇总

　　2015年嵌入式系统开发工程师考试复习要点汇总