网络安全真题1精编版[21页].docx

最新资料推荐试题四（15分）阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某公司采用100M宽带接入Internet，公司内部有15台PC机，要求都能够上网。另外有2台服务器对外分别提供Web和E-mail服务，采用防火墙接入公网，拓扑结构如图4-1所示。图4-1【问题1】（2分）如果防火墙采用NAPT技术，则该单位至少需要申请 （1） 个可用的公网地址。试题解析：常识。答案：1【问题2】（3分）下面是防火墙接口的配置命令：fire(config)# ip address outside 202.134.135.98 255.255.255.252fire(config)# ip address inside 192.168.46.1 255.255.255.0fire(config)# ip address dmz 10.0.0.1 255.255.255.0根据以上配置，写出图4-1中防火墙各个端口的IP地址：e0： （2） e1： （3） e2： （4） 试题解析：很简单，对照答案看看就明白了。答案：（2）192.168.46.1，（3）202.134.135.98，（4）10.0.0.1【问题3】（4分）1ACL默认执行顺序是 （5） ，在配置时要遵循 （6） 原则、最靠近受控对象原则、以及默认丢弃原则。（5）、（6）备选项（A）最大特权（B）最小特权（C）随机选取（D）自左到右（E）自上而下（F）自下而上2要禁止内网中IP地址为198.168.46.8的PC机访问外网，正确的ACL规则是（7） （A）access-list 1 permit ip 192.168.46.0 0.0.0.255 anyaccess-list 1 deny ip host 198.168.46.8 any（B）access-list 1 permit ip host 198.168.46.8 anyaccess-list 1 deny ip 192.168.46.0 0.0.0.255 any（C）access-list 1 deny ip 192.168.46.0 0.0.0.255 anyaccess-list 1 permit ip host 198.168.46.8 any（D）access-list 1 deny ip host 198.168.46.8 anyaccess-list 1 permit ip 192.168.46.0 0.0.0.255 any试题解析：很简单，对照答案看看就明白了。答案：（5）E or 自上而下，（6）B or最小特权，（7）D or A【问题4】（6分）下面是在防火墙中的部分配置命令，请解释其含义：global (outside) 1 202.134.135.98-202.134.135.100 （8） conduit permit tcp host 202.134.135.99 eq www any （9） access-list 10 permit ip any any （10） 试题解析：很简单，对照答案看看就明白了。答案：（8）指定外网口IP地址范围为202.134.135.98-202.134.135.100（9）允许任意外网主机访问202.134.135.99提供的WWW服务（10）允许任意IP数据包进出注：（8）（9）（10）意思正确即可试题四（共15分）阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某公司通过PIX防火墙接入Internet，网络拓扑如图4-1所示。 图4-1在防火墙上利用show命令查询当前配置信息如下：PIX# show confignameif eth0 outside security 0nameif eth1 inside security 100nameif eth2 dmz security 40fixup protocol ftp 21            （1） fixup protocol http 80ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1 255.255.255.0ip address dmz 10.10.0.1 255.255.255.0global(outside) 1 61.144.51.46nat(inside) 1 0.0.0.0 0.0.0.0route outside 0.0.0.0 0.0.0.0 61.144.51.45 1       （2）  【问题1】（4分）解析（1）、（2）处画线语句的含义。标准答案：（1）启用ftp服务（2）设置eth0口的默认路由，指向61.144.51.45，且跳步数为1 【问题2】（6分）根据配置信息，在填充表4-1。表4-1标准答案：（3）192.168.0.1    （4）255.255.255.248（5）eth2     （6）10.10.0.1 【问题3】（2分）根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是  （7）  。标准答案：（7）61.144.51.46 【问题4】（3分）如果需要在DMZ域的服务器（IP地址为10.10.0.100）对Internet用户提供web服务（对外公开IP地址为61.144.51.43），请补充完成下列配置命令。PIX(config)# static(dmz, outside)  （8）     （9） PIX(config)# conduit permit tcp host   （10）   eq www any说明：static命令的格式是：static(nameif,outside) ip-outside, ip-nameif第（10）空要填写一个主机地址，这里填写的是对外公开的那个IP地址。标准答案：（8）61.144.51.43  （9）10.10.0.100  （10）61.144.51.43 试题五（共15分）阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。【说明】某单位网络拓扑结构如图5-1所示，要求配置IPSec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段，但10.10.30.1/24网段不能连通10.10.10.2/24网段。 图5-1【问题1】（4分）根据网络拓扑和要求，解释并完成路由器R1上的部分配置。R1(config)# crypto isakmp enable      （启用IKE）R1(config)# crypto isakmp   （1）   20    （配置IKE策略20）R1(config-isakmp)# authentication pre-share      （2） R1(config-isakmp)# exitR1(config)# crypto isakmp key 378 address 192.168.2.2 （配置预共享密钥为378）R1(config)# access-list 101 permit ip   （3）   0.0.0.255   （4）   0.0.0.255             （设置ACL）说明：“access-list 101 permit ip   （3）   0.0.0.255   （4）   0.0.0.255”的意思是“从本地站点（3）发出的和来自远点站点（4）的数据将得到保护。”标准答案：（1）policy（2）在IKE协商过程中使用预共享密钥认证方式（3）10.10.20.0（4）10.10.10.0扩展答案：（2）验证方法为使用预共享密钥【问题2】（4分）根据网络拓扑和要求，完成路由器R2上的静态路由配置。R2(config)# ip route   （5）   255.255.255.0 192.168.1.1R2(config)# ip route 10.10.30.0 255.255.255.0   （6） R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2标准答案：（5）10.10.20.0（6）192.168.1.1 【问题3】（空（9）1分，其他2分，共7分）根据网络拓扑和R1的配置，解释并完成路由器R3的部分配置。R3(config)# crypto isakmp key   （7）   address   （8）   R3(config)# crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac   （9） R3(cfg-crypto-trans)# exitR3(config)# crypto map test 20 ipsec-isakmpR3(config-crypto-map)# set peer 192.168.1.1R3(config-crypto-map)# set transform-set   （10） 标准答案：（7）378（8）192.168.1.1（9）设置名为testvpn的VPN，采用MD5认证、DES进行数据加密（10）testvpn扩展答案：（9）设置IPSec变换集testvpn，AH鉴别采用ah-md5-hmac，ESP加密采用esp-des，ESP认证采用esp-md5-hmac。试题二（共15分）阅读以下说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。【说明】某公司总部服务器1的操作系统为Windows Server 2003，需安装虚拟专用网（VPN）服务，通过Internet与子公司实现安全通信，其网络拓扑结构和相关参数如图2-1所示。 图2-1【问题1】（2分）在Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务：   （1）  和L2TP，L2TP协议将数据封装在  （2）  协议帧中进行传输。答案：（1）PPTP（2）PPP【问题2】（1分）在服务器1中，利用Windows Server 2003的管理工具打开“路由和远程访问”，在所列出的本地服务器上选择“配置并启用路由和远程访问”，然后选择配置“远程访问（拨号或VPN）”服务，在图2-2所示的界面中，“网络接口”应选择  （3）  。（3）备选答案：A连接1B连接2答案：（3）B 图2-2【问题3】（4分）为了加强远程访问管理，新建一条名为“SubInc”的访问控制策略，允许来自子公司服务器2的VPN访问。在图2-3所示的配置界面中，应将“属性类型（A）”的名称为  （4）  的值设置为“Layer Two Tunneling Protocol”，名称为  （5）  的值设置为“Virtual (VPN)”。编辑SubInc策略的配置文件，添加“入站IP筛选器”，在如图2-4所示的配置界面中，IP地址应填为  （6）  ，子网掩码应填为  （7）  。 图2-3 图2-4答案：（4）Tunnel-Type（5）NAS-Port-Type（6）202.115.12.34（7）255.255.255.255【问题4】（4分）子公司PC1安装Windows XP操作系统，打开“网络和Internet连接”。若要建立与公司总部服务器的VPN连接，在如图2-5所示的窗口中应该选择  （8）  ，在图2-6所示的配置界面中填写  （9）  。（8）备选答案：A设置或更改您的Internet连接B创建一个到您的工作位置的网络连接C设置或更改您的家庭或小型办公网络D为家庭或小型办公室设置无线网络E更改Windows防火墙设置答案：（8）B（9）61.134.1.37图2-5 图2-6【问题5】（2分）用户建立的VPN连接xd2的属性如图2-7所示，启动该VPN连接时是否需要输入用户名和密码？为什么？  图2-7答案：不需要，因为选中“自动使用我的Windows登录名和密码”，此时用本机Windows登录的用户名和密码进行VPN连接。【问题6】（2分）图2-8所示的配置窗口中所列协议“不加密的密码（PAP）”和“质询握手身份验证协议（CHAP）”有何区别？ 图2-8 答案：PAP使用明文身份验证（1分）CHAP通过使用MD5和质询-相应机制提供一种安全身份验证（1分）（采用以下方式或相近方式回答也正确）PAP以明文的方式在网上传输登录名和密码，因此不安全；（1分）CHAP使用挑战消息及摘要技术处理验证消息，不在网上直接传输明文密码，因此具有较好的安全性，也具有防重发性。（1分） 试题四（15分）阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。【说明】某公司内部服务器S1部署了重要的应用，该应用只允许特权终端PC1访问，如图4-1所示。为保证通信安全，需要在S1上配置相应的IPSec策略。综合考虑后，确定该IPSec策略如下：l S1与终端PC1通过TCP协议通信，S1提供的服务端口为6000；l S1与PC1的通信数据采用DES算法加密；l 管理员可以在PCn上利用“远程桌面连接”对S1进行系统维护；l 除此以外，任何终端与S1的通信被禁止。图4-1【问题1】（每空1分，共5分）IPSec工作在TCP/IP协议栈的 （1） ，为TCP/IP通信提供访问控制、 （2） 、数据源验证、抗重放、 （3） 等多种安全服务。IPSec的两种工作模式分别是 （4） 和 （5） 。（1）（5）备选答案：A、应用层B、网络层C、数据链路层D、传输层E、机密性F、可用性G、抗病毒性H、数据完整性I、传输模式J、单通道模式K、多通道模式L、隧道模式答案：（1）B或网络层（2）E或机密性（3）H或数据完整性 （4）I或传输模式（5）L或隧道模式注释：（2）和（3）可以互换，（4）和（5）可以互换【问题2】（每空2分，共4分）针对如图4-2所示“服务器S1的IPSec策略”，下列说法中错误的是（6）和（7）。图4-2（6）、（7）备选答案：A由于所有IP通讯量均被阻止，所以PC1无法与S1通信B特定TCP消息可以通过协商安全的方式与S1通信C特定TCP消息通信是通过预先共享的密钥加密D允许特定的远程桌面连接与S1通信EPC1无法通过ping命令测试是否与S1连通F图4-2中的筛选器相互矛盾，无法同时生效答案：（6）A（7）F注释：（6）和（7）可以互换【问题3】（每空1分，共2分）表4-1为图4-2中所示“IP筛选器列表”中“TCP消息”筛选器相关内容。将表4-1填写完整，使其满足题目中IPSec策略的要求。表4-1通信协议源端口目标端口源IP目标IPTCP任意 （8） （9） 192.168.0.100答案：（8）6000（9）192.168.0.20【问题4】（每空1分，共2分）TCP消息的协商安全属性如图4-3所示，根据规定的IPSec安全策略，需要将（10）改成 （11） 。图4-3答案：（10）3DES（11）DES【问题5】（2分）在Windows系统中，采用TCP的3389端口提供远程桌面连接服务。图4-2中的“远程桌面连接（RDP）”对应的筛选器属性配置如图4-4所示，请问图中配置是否有误？如果有误，应该如何修改？ 图4-4答案一：有误，将“从此端口3389”改为 “从任意端口”。答案二：有误，将TCP改为RDP。最新精品资料整理推荐，更新于二二一年一月十八日2021年1月18日星期一17:52:16