一、选择题 1.通过获得Root/administrator密码以及权限进行非法系统操作,这属于那一种攻击手段?
A.暴力攻击 B. 电子欺骗 C.权限提升 D. 系统重启攻击 2.以下不属于防火墙NAT地址转换优点的是 .....
A. 实现IP地址复用,节约宝贵的地址资源 B. 地址转换过程对用户透明 C. 网络监控难度加大 D. 可实现对内部服务器 的负载均衡
3. 内部服务器和NAT inbound共同使用,应配置何种NAT?
A.基于源地址的NAT B.基于目的地址的NAT C.双向NAT D.基于源IP地址和端口的NAT 4. 以下哪一种加密算法不属于对称加密算法: ( ) A. ECC B. 3DES C. IDEA D. DES
5.下列属于多通道协议的是 A. FTP B. HTTP C.SNMP D.TELNET
6. 以下哪种VPN最适合出差人员访问公司内部网络
A.IPSec VPN B.GRE VPN C. L2f VPN D. L2tp VPN
7.下列哪项不是数字签名的主要功能?
A. 防抵赖 B. 完整性检验 C. 身份认证 D. 数据加密
8.以下不属于防火墙默认安全区域的是
A.trust B.untrust C.Local D. Default 9. 华为防火墙定义ACL时默认步长是
A.2 B.5 C. 8 D. 10
10.用户收到一封可疑电子邮件,要求用户提供银行账户和密码,这属于那一种攻击手段?
A.缓冲区溢出 B. DDOS C.钓鱼攻击 D. 暗门攻击 二、判断题
1. 反子网掩码和子网掩码的格式相似,但取值含义不同:1表示对应的IP地址位需要比
较,0表示对应IP地址为忽略比较。 (X)
2.扩展访问控制列表是访问控制列表应用范围最广的一类,在华为防火墙ACL中,扩展访问控制列表范围为3000-3099。(X)
3. OSI七层模型中,传输层数据称为段(Segment),主要是用来建立主机端到端连接,包括TCP和UDP连接。 (√)
4.在配置域间缺省包过滤规则时,zone1和zone2的顺序是随意的。(√)
5.路由器收到数据文件时,若没有匹配到具体的路由表时,可按照默认路由表进行转发。 (√) 6. IPV6使用128bit的IP地址,能满足未来很多年的IP地址需求,是代替IPV4的最终方案。(√)
7. 当配置NAT地址转换是使用了Address-group 1 没有加no-pat这个命令意味着使用
的是NAPT的转换方式 (√) 8. inbound方向的NAT使用一个外部地址来代表内部地址,用于隐藏外网服务器的实际
IP地址。(X) 9. 防火墙中不存在两个具有相同安全级别的安全区域。(√) 10.非对称密钥算法的优点是密钥安全性高,缺点是密钥分发问题。(X)
三、简答题
1.什么是Outbound方向NAT,其转换方式有哪几种?
出方向是指数据由高安全级别的安全区域向低安全级别安全区域传输的方向。 三种转换方式: 1、 一对一地址转换 2、 多对多地址转换 3、 多对一地址转换
2.请简要描述常见的网络安全攻击方式有哪些,并简要描述其防范方式 1、数据嗅探 防范方式:1.验证 2.改变网络结构 3.反嗅探工具 4.加密 2、非法使用 防范方式:1.过滤 2.验证 3.加密 4.关闭服务和端口 3、信息篡改 防范方式:1.明文加密 2.数据摘要 3.数字签名
4、拒绝服务 防范方式:1.屏蔽IP 2.流量控制 3.协议防范 4.侦测 5.策略 5、社会工程 防范方式:1.技术层面 2.管理层面
6、BUG和病毒 防范方式:1.补丁 2.定时扫描 3.审计 4.终端保护
3.简述ACL与ASPF的区别与联系 配置 设计实现 对系统性能影响 多通道协议的支持 安全性 ACL 较繁琐 简单 速度快 不支持 低 ASPF 简单 复杂 消耗部分系统资源 支持 高
4。防火墙的工作模式主要有哪几种,特点是什么 1、路由模式
特点:如果防火墙通过网络层对外连接(接口具有IP地址),则防火墙工作在路由模式 2、透明模式
特点:如果防火墙通过数据链路层对外连接(接口无IP地址),则认为防火墙工作在透明模式
3、混合模式
如果防火墙既存在工作在路由模式接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则认为防火墙工作在混合模式。
5. 请列举出二层VPN和三层VPN区别是什么,并分别列举哪些属于二层VPN,哪些属于三层VPN
区别:二层VPN工作在协议栈的数据链路层,三层VPN工作在协议栈的网络层
二层VPN:PPTP(点到点隧道协议)、L2F(二层转发协议)、L2TP(二层隧道协议) 三层VPN:GRE VPN、IPSec VPN
6.访问控制列表作用及分类 在防火墙应用中,访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段,决定了后续的应用数据流是否被处理。访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。 分类:
1、 标准访问控制列表 ACL2000-2999 2、 扩展访问控制列表 ACL3000-3999
四.配置题
1、实验四:配置防火墙WEB管理实验
步骤1:把Ethernet 1/0/0接口加入VLAN,并将VLAN接口加入安全区域。 #输入用户名
admin #输入密码 Admin@123
#切换语言模式为中文模式
# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100] interface Ethernet 1/0/0
[USG2100-Ethernet1/0/0] port access vlan 5 [USG2100-Ethernet1/0/0] quit
# 创建VLAN 5所对应的三层接口Vlanif 5,并配置Vlanif 5的IP地址,配置VLAN接口。
[USG2100] interface vlanif 5
[USG2100-Vlanif5] ip address 129.9.0.189 24 [USG2100-Vlanif5] quit
# 配置Vlanif 5加入Trust区域。 [USG2100] firewall zone trust
[USG2100-zone-trust] add interface Vlanif 5 [USG2100-zone-trust] quit
步骤2:配置域间过滤规则。 [USG2100] acl 2001
[USG2100-acl-basic-2001] rule permit source 129.9.0.189 0.0.0.0 [USG2100-acl-basic-2001] quit [USG2100] acl 2002
[USG2100-acl-basic-2002] rule permit source 129.9.0.101 0.0.0.0 [USG2100-acl-basic-2002] quit
[USG2100] firewall interzone trust local
[USG2100-interzone-local-trust] aspf packet-filter 2001 outbound [USG2100-interzone-local-trust] aspf packet-filter 2002 inbound
步骤3:启用Web管理功能(默认情况下是打开的)。 [USG2100] web-manager enable
步骤4:配置Web用户。 [USG2100] aaa
[USG2100-aaa] local-user Xunfang password simple Xunfang123 [USG2100-aaa] local-user Xunfang service-type web [USG2100-aaa] local-user Xunfang level 3 [USG2100-aaa] quit
步骤5:配置PC的IP地址。
将终端PC的IP地址设置为:129.9.0.101,俺码设为:255.255.255.0。
2、实验七:配置IPSEC VPN
步骤1:配置USG2100 A #输入用户名 admin #输入密码 Admin@123
#切换语言模式为中文模式
[USG2100] sysname USG2100 A # 创建编号为5的VLAN。 [USG2100 A] vlan 5 [USG2100 A-vlan5] quit
# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 A] interface Ethernet 1/0/0
[USG2100 A-Ethernet1/0/0] port access vlan 5 [USG2100 A-Ethernet1/0/0] quit
# 创建VLAN 5所对应的三层接口Vlanif 5,并配置Vlanif 5的IP地址。配置VLAN接口。
[USG2100 A] interface vlanif 5
[USG2100 A-Vlanif5] ip address 200.39.1.1 24 # 配置Vlanif 5加入Trust区域。 [USG2100 A] firewall zone trust
[USG2100 A-zone-trust] add interface Vlanif 5 [USG2100 A-zone-trust] quit # 进入Ethernet 0/0/0视图。
[USG2100 A] interface Ethernet 0/0/0 # 配置Ethernet 0/0/0的IP地址。
[USG2100 A-Ethernet0/0/0] ip address 202.39.160.1 24 # 退回系统视图。
[USG2100 A-Ethernet0/0/0] quit # 进入Untrust区域视图。
[USG2100 A] firewall zone untrust
# 配置Ethernet 0/0/0加入Untrust区域。
[USG2100 A-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。
[USG2100 A-zone-untrust] quit
# 配置到达对端防火墙202.39.160.3/24和Host 2的静态路由。 [USG2100 A] ip route-static 172.70.2.0 24 202.39.160.3