网络安全期末考试题库答案 

# 配置Vlanif 5加入Trust区域。 [USG2100] firewall zone trust

[USG2100-zone-trust] add interface Vlanif 5 [USG2100-zone-trust] quit 步骤2：配置域间过滤规则。 [USG2100] acl 2001

[USG2100-acl-basic-2001] rule permit source quit [USG2100] acl 2002

[USG2100-acl-basic-2002] rule permit source quit [USG2100] firewall interzone trust local

[USG2100-interzone-local-trust] aspf packet-filter 2001 outbound [USG2100-interzone-local-trust] aspf packet-filter 2002 inbound

步骤3：启用Web管理功能（默认情况下是打开的）。 [USG2100] web-manager enable

步骤4：配置Web用户。 [USG2100] aaa

[USG2100-aaa] local-user Xunfang password simple Xunfang123 [USG2100-aaa] local-user Xunfang service-type web [USG2100-aaa] local-user Xunfang level 3 [USG2100-aaa] quit

步骤5：配置PC的IP地址。

将终端PC的IP地址设置为:，俺码设为：。

2、实验七：配置IPSEC VPN

步骤1：配置USG2100 A

#输入用户名 admin #输入密码 Admin@123

#切换语言模式为中文模式 language-mode chinese # 进入系统视图。 system-view # 配置本端设备的名称。 [USG2100] sysname USG2100 A # 创建编号为5的VLAN。 [USG2100 A] vlan 5 [USG2100 A-vlan5] quit

# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 A] interface Ethernet 1/0/0

[USG2100 A-Ethernet1/0/0] port access vlan 5 [USG2100 A-Ethernet1/0/0] quit

# 创建VLAN 5所对应的三层接口Vlanif 5，并配置Vlanif 5的IP地址。配置VLAN接口。

[USG2100 A] interface vlanif 5 [USG2100 A-Vlanif5] ip address 24 # 配置Vlanif 5加入Trust区域。 [USG2100 A] firewall zone trust

[USG2100 A-zone-trust] add interface Vlanif 5 [USG2100 A-zone-trust] quit # 进入Ethernet 0/0/0视图。

[USG2100 A] interface Ethernet 0/0/0

# 配置Ethernet 0/0/0的IP地址。 [USG2100 A-Ethernet0/0/0] ip address 24 # 退回系统视图。

[USG2100 A-Ethernet0/0/0] quit # 进入Untrust区域视图。

[USG2100 A] firewall zone untrust # 配置Ethernet 0/0/0加入Untrust区域。

[USG2100 A-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。

[USG2100 A-zone-untrust] quit

# 配置到达对端防火墙和Host 2的静态路由。

[USG2100 A] ip route-static 24 配置ACL规则，允许Host 1所在网段的主机访问Host 2所在网段的主机。 [USG2100 A] acl 3000

[USG2100 A-acl-adv-3000] rule permit ip source destination 退回系统视图。 [USG2100 A-acl-adv-3000] quit

# 配置ACL规则，允许Host 2所在网段的主机访问。 [USG2100 A] acl 3001

[USG2100 A-acl-adv-3001] rule permit ip source 退回系统视图。 [USG2100 A-acl-adv-3001] quit # 进入Trust和Untrust域间视图。

[USG2100 A] firewall interzone trust untrust # 配置域间包过滤规则。

[USG2100 A-interzone-trust-untrust] aspf packet-filter 3000 outbound [USG2100 A-interzone-trust-untrust] aspf packet-filter 3001 inbound # 退回系统视图。

[USG2100 A-interzone-trust-untrust] quit

# 配置域间缺省包过滤规则。

[USG2100 A] firewall packet-filter default permit all

#说明：配置所有安全区域间缺省过滤规则为允许，使其能够协商SA。 # 配置名为tran1的IPSec提议。 [USG2100 A] ipsec proposal tran1 # 配置安全协议。

[USG2100 A-ipsec-proposal-tran1] transform esp # 配置ESP协议的认证算法。

[USG2100 A-ipsec-proposal-tran1] esp authentication-algorithm md5 # 配置ESP协议的加密算法。

[USG2100 A-ipsec-proposal-tran1] esp encryption-algorithm des # 退回系统视图。

[USG2100 A-ipsec-proposal-tran1] quit # 创建IKE提议10。

[USG2100 A] ike proposal 10 # 配置使用pre-shared-key验证方法。

[USG2100 A-ike-proposal-10] authentication-method pre-share # 配置使用MD5验证算法。

[USG2100 A-ike-proposal-10] authentication-algorithm md5 # 配置ISAKMP SA的生存周期为5000秒。 [USG2100 A-ike-proposal-10] sa duration 5000 # 退回系统视图。

[USG2100 A-ike-proposal-10] quit # 进入IKE Peer视图。 [USG2100 A] ike peer a # 引用IKE安全提议。

[USG2100 A-ike-peer-a] ike-proposal 10

# 配置隧道对端IP地址。

[USG2100 A-ike-peer-a] remote-address 配置验证字为“abcde”。 [USG2100 A-ike-peer-a] pre-shared-key abcde #说明：验证字的配置需要与对端设备相同。 # 退回系统视图。

[USG2100 A-ike-peer-a] quit # 创建安全策略。

[USG2100 A] ipsec policy map1 10 isakmp # 引用ike-peer a。

[USG2100 A-ipsec-policy-isakmp-map1-10] ike-peer a # 引用名为tran1的安全提议。

[USG2100 A-ipsec-policy-isakmp-map1-10] proposal tran1 # 引用组号为3000的ACL。

[USG2100 A-ipsec-policy-isakmp-map1-10] security acl 3000 # 退回系统视图。

[USG2100 A-ipsec-policy-isakmp-map1-10] quit # 进入以太网接口视图。

[USG2100 A] interface Ethernet 0/0/0 # 引用IPSec策略。

[USG2100 A-Ethernet0/0/0] ipsec policy map1 [USG2100 A-Ethernet0/0/0] quit

步骤2：配置USG2100 B #输入用户名 admin #输入密码 Admin@123