《网络安全咼级应用》
一、选择题(共 40题每题2分共80分)
1) IP分片重装时,根据()来判断是否属于同一个
a) 源 IP
b) 标识符(Identification ) c) TTL
d) 标志(Flags)
2) ICMP差错报告报文的类型 3是()报文。(选择1项)
a) 终点不可达 b) 源点抑制 c) 超时 d) 回送请求
3) 以下关于TCP的MSS的说法正确的是()。(选择2项)
a) MSS在TCP连接期间是可变的
b) MSS只存在于 SYN报文和 SYN+ACK 报文中 c) MSS与MTU没有关联
d) 在建立TCP连接时,每一方在 SYN报文中通报它将在连接期间接收的报文段的 MSS 4)
在使用n at-co ntrol命令的情况下,以下()命令可以实现从高安全级别(In side)访问 低安全级别a) b) c) d)
n at (i nside) 1 0 0 n at (i nside) 1 0 0 n at (i nside) 1 0 0 nat (inside) 2 0 0
IP数据报。 (选择1项)
(Outside )。(选择2项) global (i nside) 1 int global (outside) 1 int global (outside) 2 int global (outside) 2 int
5) 将DMZ区 Web主机IP地址192.168.1.1映射为公网IP地址219.22.1.26,配置命令为 )。(选择1项) a) b) c) d) 6)
global (dmz) 192.168.1.1 219.22.1.26 global (dmz) 219.22.1.26 192.168.1.1 static (dm z,outside) 192.168.1.1 219.22.1.26 static (dm z,outside) 219.22.1.26 192.168.1.1
下列关于IPSec VPN说法正确的是()。(选择1项)
a)如果采用主模式建立IPSec连接,对等体发送的第4个数据报文及以后的数据将采 用密文传输
b) 隧道模式将保护传输数据双方的真实 c) 3des加密算法比aes算法安全
d) ESP协议只支持数据加密, AH协议只支持数据验证 7)下列()属于对称加密算法。(选择2项)
a) MD5 b) 3DES c) AES d) RSA
IP地址
8) NAT-T (NAT穿越)使用的端口号是(
a) TCP 50 b) UDP 50 c) TCP 4500 d) UDP 4500
)。(选择1项)
9) 对等体之间ISAKMP策略协商成功后,处于(
a) MM_NO_STATE b) MM_SA_SETUP c) MM_KEY_EXCH d) QM_IDLE
10) 在路由器上启动 AAA的命令是()。(选择1项)
a) aaa
b) aaa authe nticatio n logi n c) aaa n ew-model d) n ew-model
)状态。(选择1项)
11) 命令 split-tunnel-policy tunnelspecified 的作用是( )。(选择 1 项)
a) 建立隧道组 b) 定义组策略
c) 定义动态的Crypto Map条目
d) 启动分离隧道
12)在交换机上启用802.1X的命令是()。(选择1项)
a) aaa authe nticatio n dotlx
b) radius-server vsa send authe nticati on c) dotlx system-auth-c on trol d) aaa authorizati on n etwork 13) 以下关于802.1x的描述错误的是(
)(选择1项)
a) 交换机端口有2种状态:未授权状态和授权状态 b) 端口处于未授权状态时,不允许任何流量通过 c) 端口处于授权状态时,允许流量通过
d) 802.1x的认证可以由客户端主动发起,也可以由交换机发起
14) 下列关于RADIUS协议和TACACS+协议说法正确的是()。(选择2项)
a) RADIUS协议和TACACS+协议都是使用 TCP协议传输 b) RADIUS协议仅对请求报文中的密码进行加密,而 进行加密
c) RADIUS协议认证和授权一起完成,而
TACACS+协议认证和授权分开完成
TACACS+协议对整个请求报文
d) RADIUS协议和TACACS+协议的认证和授权都是分开完成的 15)下列关于使用 RADIUS服务器下发ACL说法正确的是()。(选择1项)
a) 当本地应用的 ACL使用per-user-override参数时,用户流量必须符合动态 本地应用的ACL时才能正常转发
b) 当本地应用的 ACL使用per-user-override参数时,用户流量被服务器下发的动态 ACL允许就可以转发
c) 使用RADIUS 服务器下发 ACL时,只能通过 Downloadable IP ACLs方式下发 ACL d) 添加AAA Client时,认证使用的协议只能是标准的 16)在IP数据包首部字段中,每经过路由器都会改变的是()
a) 总长度 b) 标识 c) 标志 d) 分片偏移 e) TTL
17 ) DOS是目前最常见的攻击方式之一,下面()情况不是
a) b) c) d)
攻击者从伪造的,并不存在的
DOS攻击。 (选择一项 ) RADIUS (IETF)
ACL和
。(选择一项)
IP地址发出大量的连接请求
攻击者占用了每个可用的会话(sessio n) 攻击者利用服务器的弱口令特性实施攻击
攻击者给接收方灌输大量的错误的或是特殊结构的数据包
18)在ASa上配置了以下命令: asa(c on fig)# no ip audit sig nature 2000 asa(c on fig)#ip audit n ame outside_ids_i nfo actio n alarm asa(c on fig)#ip audit in terface outside_ids_attack attack action alarm drop
asa(c on fig)#ip audit in terface outside outside_ids_ info asa(c on fig)#ip audit in terface outside outsdie_ids_attack 以下说法错误的是()(选择两项) A>禁用了 ID为2000的签名 B>对info类型的消息进行告警_| C>对attack类型的消息进行告警并丢弃数据包 D>对attack类型的消息进行告警并关闭连接 19)
加密和验证技术,
() (选择两项) A>DES B>RSA C>MD5 D>AES 20)
ASA防火墙禁止ICMP报文从低安全等级转发到高安全等级。
默认情况下某ASA防火
在ipsec VPN的实现过程中使用许多下列属于非对称加密技术的有
墙outside区域安全等级为 0.inside区域可以正常访问 outside区域。现在,在ASA防火墙上 配置允许ICMP应答报文穿越防火墙,配置如下:
access-list icmp exte nded permit icmp any any echo-reply access-group icmp in in teface outside 配置完成后在in side接口连接一台计算机(win dows XP系统),在outside接口连接一台服 务器(IP地址是202.129.16.5 )。如果在in side区域的计算机上使用 域服务器是否可达,使用 A:回送应答报文,例如“
ping命令测试outside区
ping命令后显示的信息可能是()。(选择二项) Reply from 202.129.16.5:bytes=32 time=3ms TTL=128\
B:响应报文超时,例如\Request timed out。” C:终点不可达报文,例如\
Reply from 202.129.16.5 : Destination host unreachable”
D: TTL 值超时报文,例如“ Reply from 202.129.16.5 : TTL expired in transit.\21) 下面是VPN遂道一端的路由器上的部分关键配置:
access-list 101 permit ip 192.168.1.10 0.0.0.0 172.16.1.10 0.0.0.0 access-list 102 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 crypto ipsec tran sform-set myset ah-md5-hmac esp-des
crypto map mymap 1 ipsec-isakm set peer 200.10.10.10 set tran sform-set myset match address 101 int s0/0
ip access-group 102 out crypto map mymap
从中可以判断出()(选择二项)
A 网段192.168.1.0/24与网段172.16.1.0/24内主机的通信将被 vpn保护 B 主机192.168.1.10与主机172.16.1.10的通信将被 vpn保护 C 该路由器S0/0端口的IP地址在200.10.10.0/24网段内 D该VPN连接选择了 DES算法对数据进行加密
22) 在cisco路由器上配置 NAT — T(NAT穿越),需要配置静态端口映射,必须包含以下() 命令。(选择二项)
A ip nat in side source static udp local-ip 500 in terface fO/1 500 B C D 23)
为300字节,标识
为34904,分片偏移为2960字节,下列关于此数据包的说法正确的是() A此IP数据报为第一个分片 B此IP数据报为最后一个分片 C此IP数据报包含280字节的数据 D此IP数据报不允许分片
24) 在ASA安全设备上配置了命令 择一项)
A 从高优先级接口到低优先级接口的 B 从低优先级接口到高优先级接口的 C只允许一个分片穿越 D IP分片不能穿越ASA
25) 在ASA防火墙上,配置easy vpn启用分离遂道,并定义 ACL中permit语句的流量在 遂道中加密传输,应使用()命令。 A split-t unn el-policy
B split-t unnle-n etwork-list value
C tunn el-group vpn _group gen eral-attributes D tunn el-group vpn _group type ipsec-ra 26)
Switch(c on fig)#aaa n ew-model
Switch(config)#radius-server host 192.168.1.199 auth-port 1812 acct-port 1813 key benet Switch(c on fig)#aaa authe nticati on dot1x default group radius Switch(config)#radius-server vsa send authentication
Switch(c on fig)#aaa authorizati on n etwork default group radius Switch(c on fig)#dot1x system-auth-co ntrol Switch(co nfig)#i nterface fa0/24
Switch(c on fig-if)#switchport mode access Switch(c on fig-if)#dot1x port-c on trol auto
以下是be net公司交换机上所做的 802.1x配置 (选择一项)
tunn elspecified ASA
IP数据报可以分片 IP数据报可以分片
asa(config)#fragment chain 1,以下说法正确的是()(选
ip nat in side source static udp local-ip 4500 in terface f0/1 4500 | ip nat in side source static tcp local-ip 4500 in terface f0/1 4500 ip nat in side source static esp local-ip 50 in terface f0/1 50
某IP数据报的标志字段中 MF位为0,首部长度为20字节,总长度
。(选择二项)