《网络安全高级应用》
一、选择题(共 40题每题 2分共80分) 1) IP 分片重装时,依据(
a) b) c) d)
源 IP
表记符( Identification ) TTL
标记( Flags)
3 是( )报文。(选择 1 项) )来判断能否属于同一个
IP 数据报。
(选择 1 项)
2) ICMP 差错报告报文的种类
a) b) c) d)
终点不行达 源点克制 超时 回送恳求
3) 以下对于 TCP 的 MSS 的说法正确的选项是( )。(选择 2 项)
a) b) c) d) MSS
4) 在使用 nat-control 命令的状况下,以下( )命令能够实现从高安全级别( Inside)接见低安全级别( Outside)。(选择 2 项)
a) b) c) d)
nat (inside) 1 0 0 nat (inside) 1 0 0 nat (inside) 1 0 0 nat (inside) 2 0 0
global (inside) 1 int global (outside) 1 int global (outside) 2 int global (outside) 2 int
MSS 在 TCP 连结时期是可变的
MSS 只存在于 SYN 报文和 SYN+ACK 报文中 MSS 与 MTU 没有关系
在成立 TCP 连结时,每一方在 SYN 报文中通告它将在连结时期接收的报文段的
5) 将 DMZ 区 Web 主机 IP 地点 192.168.1.1 映照为公网 IP 地点 219.22.1.26 ,配置命令为( )。(选择 1 项)
a) b) c) d) 6)
)。(选择 1 项)
以下对于 IPSec VPN 说法正确的选项是( a) 假如采纳主模式成立
IPSec 连结,平等体发送的第 4 个数据报文及此后的数据将采
用密文传输
b) c) d)
地道模式将保护传输数据两方的真切 3des加密算法比 aes 算法安全
ESP 协议只支持数据加密, AH 协议只支持数据考证
IP 地点
7) 以下( )属于对称加密算法。 (选择 2 项)
a) b) c) d)
MD5 3DES AES RSA
8) NAT-T ( NAT 穿越)使用的端口号是(
a) b) c) d)
TCP 50 UDP 50 TCP 4500 UDP 4500
)。(选择 1 项)
9) 平等体之间 ISAKMP 策略磋商成功后,处于(
a) b) c) d)
MM_NO_STATE MM_SA_SETUP MM_KEY_EXCH QM_IDLE
)状态。(选择 1 项)
10) 在路由器上启动 AAA 的命令是(
a) b) c) d)
aaa
aaa authentication login aaa new-model new-model
)。(选择 1 项)
11) 命令 split-tunnel-policy tunnelspecified 的作用是(
a) b) c) d)
成立地道组 定义组策略
定义动向的 Crypto Map 条目 启动分别地道
)。(选择 1 项)
12) 在互换机上启用 802.1x 的命令是(
a) b) c) d)
aaa authentication dot1x
)。(选择 1 项)
radius-server vsa send authentication dot1x system-auth-control aaa authorization network
13) 以下对于 802.1x 的描绘错误的选项是( )。(选择 1 项)
a) b) c) d)
互换机端口有 2 种状态:未受权状态和受权状态 端口处于未受权状态时,不同意任何流量经过 端口处于受权状态时,同意流量经过
802.1x 的认证能够由客户端主动倡始,也能够由互换机倡始
)。(选择 2 项)
14) 以下对于 RADIUS 协讲和 TACACS+ 协议说法正确的选项是(
a) b) 进行加密
c) d)
RADIUS 协议认证和受权一同达成,而
RADIUS 协讲和 TACACS+ 协议都是使用 TCP 协议传输 RADIUS 协议仅对恳求报文中的密码进行加密,而
TACACS+ 协议对整个恳求报文
TACACS+ 协议认证和受权分开达成
RADIUS 协讲和 TACACS+ 协议的认证和受权都是分开达成的
RADIUS 服务器下发 ACL 说法正确的选项
是(
15) 以下对于使用
)。(选择
1 项)
当当地应用的 ACL 使用 per-user-override 参数时,用户流量一定切合动向
当地应用的 ACL 时才能正常转发
a) b) c) d)
ACL 和
当当地应用的 ACL 使用 per-user-override 参数时,用户流量被服务器下发的动向
ACL 同意就能够转发
增添 AAA Client 时,认证使用的协议只好是标准的
RADIUS ( IETF )
使用 RADIUS 服务器下发 ACL 时,只好经过 Downloadable IP ACLs 方式下发 ACL
。 (选择一项)
16)在 IP 数据包首部字段中,每经过路由器都会改变的是()
a) 总长度 b) 表记 c) 标记 d) 分片偏移 e) TTL
17 ) DOS 是当前最常有的攻击方式之一,下边()状况不是
a) b) c) d)
攻击者占用了每个可用的会话( session) 攻击者利用服务器的弱口令特征实行攻击
攻击者给接收方灌注大批的错误的或是特别构造的数据包
DOS 攻击。 (选择一项 )
攻击者从假造的,其实不存在的IP 地点发出大批的连结恳求
18) 在 ASa 上配置了以下命令: asa(config)#no ip audit signature 2000
asa(config)#ip audit name outside_ids_info action alarm
asa(config)#ip audit interface outside_ids_attack attack action alarm drop asa(config)#ip audit interface outside outside_ids_info
asa(config)#ip audit interface outside outsdie_ids_attack 以下说法错误的选项是() (选择两项) A> 禁用了 ID 为 2000 的署名 B> 对 info 种类的信息进行告警
C>对 attack 种类的信息进行告警并抛弃数据包 D> 对 attack 种类的信息进行告警并封闭连结
19) 在 ipsec VPN 的实现过程中使用很多加密和考证技术,
(选择两项)
以下属于非对称加密技术的有 ()
A>DES B>RSA C>MD5 D>AES
20) 默认状况下 ASA 防火墙严禁 ICMP 报文从低安全等级转发到高安全等级。 墙 outside 地区安全等级为
0.inside 地区能够正常接见
配置同意 ICMP 应答报文穿越防火墙,配置以下:
某 ASA 防火
outside 地区。此刻,在 ASA 防火墙上
access-list icmp extended permit icmp any any echo-reply access-group icmp in inteface outside
配置达成后在 inside 接口连结一台计算机( 域服务器能否可达,使用 A: 回送应答报文,比如“ B: 响应报文超时,比如“ C: 终点不行达报文,比如“ D: TTL 值超时报文,比如“
windows XP 系统),在 outside 接口连结一台服
ping 命令测试 outside 区
。(选择二项)
务器( IP 地点是)。假如在 inside 地区的计算机上使用
ping 命令后显示的信息可能是()
Reply from 202.129.16.5:bytes=32 time=3ms TTL=128\" Request timed out 。”
Reply from 202.129.16.5 :Destination host unreachable ”
Reply from 202.129.16.5 : TTL expired in transit.\"
21) 下边是 VPN 遂道一端的路由器上的部分重点配置:
access-list 101 permit ip 192.168.1.10 0.0.0.0 172.16.1.10 0.0.0.0 access-list 102 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 crypto ipsec transform-set myset ah-md5-hmac esp-des crypto map mymap 1 ipsec-isakm
set transform-set myset match address 101 int s0/0
ip access-group 102 out crypto map mymap
从中能够判断出() (选择二项) A 网段与网段内主机的通讯将被
B 主机 192.168.1.10 与主机 172.16.1.10 的通讯将被 vpn 保护 C 该路由器 s0/0 端口的 IP 地点在网段内 D 该 VPN 连结选择了 DES 算法对数据进行加密
22) 在 cisco 路由器上配置 NAT —T(NAT 穿越 ),需要配置静态端口映照,一定包括以下()命
令。(选择二项)
vpn 保护
A B C D
ip nat inside source static udp local-ip 500 interface f0/1 500 ip nat inside source static udp local-ip 4500 interface f0/1 4500 ip nat inside source static tcp local-ip 4500 interface f0/1 4500 ip nat inside source static esp local-ip 50 interface f0/1 50
20 字节,总长度为
300 字节,表记
23) 某 IP 数据报的标记字段中 MF 位为 0,首部长度为 A 此 IP 数据报为第一个分片 B 此 IP 数据报为最后一个分片 C 此 IP 数据报包括 280 字节的数据 D 此 IP 数据报不同意分片
24)在 ASA 安全设施上配置了命令 择一项) A B
为 34904,分片偏移为 2960 字节,以下对于此数据包的说法正确的选项是() 。(选择二项)
chain 1,以下说法正确的选项是()
asa(config)#fragment (选
从高优先级接口到低优先级接口的 从低优先级接口到高优先级接口的
IP 数据报能够分片 IP 数据报能够分片
C 只同意一个分片穿越 ASA D IP 分片不可以穿越 ASA
25) 在 ASA 防火墙上, 配置 easy vpn 启用分别遂道,并定义 ACL 中 permit 语句的流量在遂道中加密传输,应使用()命令。 (选择一项) A split-tunnel-policy
tunnelspecified
B split-tunnle-network-list value
C tunnel-group vpn_group general-attributes D tunnel-group vpn_group type ipsec-ra 26) 以下是 benet 企业互换机上所做的
802.1x 配置
Switch(config)#aaa new-model
Switch(config)#radius-server host 192.168.1.199 auth-port 1812 acct-port 1813 key benet Switch(config)#aaa authentication dot1x default group radius Switch(config)#radius-server vsa send authentication Switch(config)#aaa authorization network default group radius Switch(config)#dot1x system-auth-control
Switch(config)#interface fa0/24 Switch(config-if)#switchport mode access Switch(config-if)#dot1x port-control auto
依据配置判断以说法正确的选项是() (选择二项)
A 802.1x 认证列表为 group radius,认证方法为默认 B 认证信息将被发送给 vsa 服务器进行认证
C 将经过 RADIUS 服务器为网络有关的服务进行受权 D 在 fa0/24 端口启用了认证
27) 在 asa 上查察路由表的命令是() (选择一项) A route B show ip route C show route D show run
28) 在使用 nat-control 命令的状况下,从高安全级别( inside )接见低安全级别( outside) , 一定配置()命令。 (选择一项) A nat B acl C global D static
29) 将 DMZ 区 Web 主机 IP 地点 192.168.1.1 映照为公网 (选择一项) A B C D
30) 以下()属于对称加密算法(选择三项) A DES B 3DES C AES D RSA
31) 以下对于 ipsec VPN 的说法,正确的选项是() (选择一项)
A 假如采纳主模式成立 IPSEC 连结,平等体发送的第四个数据报文及此后的数据将采纳密文
传输。 B 传输模式将保拟传输数据两方的真切 C 3des 加密算法比 des,aes算法都安全 D ESP 协议支持数据的加密和考证, A encryption 3des B encryption des C group 2 D group1
33) IPSec 实现 NAT 穿越时,管理连结和 A 500, 4500 B 51, 50 C 500, 10000 D 50, 51
34) 管理员发现 IPSecVPN 没法通讯,经过调试命令发现有以下提示
IP 地点,配置命令为()
IP 地点。
AH 协议只支持数据考证
32)在 ASA 上配置 IPsecVPN 时,成立管理连结的默认参数有()
(选择二项)
ESP 数据连结的端口号分别是() (选择一项)
可能是因为()原由致使的。 (选择一项) A Crypto ACL 配置错误 B 传输集磋商失败
C 将 Crypto Map 应用到错误的接口 D 错误地配置了平等体的 IP
35) 在路由器上启动 AAA 的命令是(
)。(选择 1 项)
a) b) c) d)
aaa
aaa authentication login aaa new-model new-model
)。(选择 1 项)
36) 命令 split-tunnel-policy tunnelspecified 的作用是(
a) b) c) d)
成立地道组 定义组策略
定义动向的 Crypto Map 条目 启动分别地道
37 在启用 802.1x 后,后有端口默认都处于()状态。
A force-authorized B force-unauthorized C auto
(选择一项 )
38) 以下对于 802.1x 的描绘错误的选项是( )。(选择 1 项)
a) b) c) d)
互换机端口有 2 种状态:未受权状态和受权状态 端口处于未受权状态时,不同意任何流量经过 端口处于受权状态时,同意流量经过
802.1x 的认证能够由客户端主动倡始,也能够由互换机倡始
)。(选择 2 项)
39) 以下对于 RADIUS 协讲和 TACACS+ 协议说法正确的选项是(
a) b) 进行加密
c) d)
RADIUS 协议认证和受权一同达成,而
RADIUS 协讲和 TACACS+ 协议都是使用 TCP 协议传输 RADIUS 协议仅对恳求报文中的密码进行加密,而
TACACS+ 协议对整个恳求报文
TACACS+ 协议认证和受权分开达成
RADIUS 协讲和 TACACS+ 协议的认证和受权都是分开达成的
RADIUS 服务器下发 ACL 说法正确的选项
是(
40) 以下对于使用
)。(选择
1 项)
当当地应用的 ACL 使用 per-user-override 参数时,用户流量一定切合动向
当地应用的 ACL 时才能正常转发
a) b)
ACL 和
当当地应用的 ACL 使用 per-user-override 参数时,用户流量被服务器下发的动向
ACL 同意就能够转发
c) d)
使用 RADIUS 服务器下发 ACL 时,只好经过 Downloadable IP ACLs 方式下发 ACL 增添 AAA Client 时,认证使用的协议只好是标准的
RADIUS ( IETF )
因篇幅问题不能全部显示,请点此查看更多更全内容