网络安全期末考试题库答案Word下载.docx
《网络安全期末考试题库答案Word下载.docx》由会员分享,可在线阅读,更多相关《网络安全期末考试题库答案Word下载.docx(23页珍藏版)》请在冰豆网上搜索。
1表示对应的IP地址位需要比较,0表示对应IP地址为忽略比较。
(X)
2.扩展访问控制列表是访问控制列表应用范围最广的一类,在华为防火墙ACL中,扩展访问控制列表范围为3000-3099。
(X)
3.OSI七层模型中,传输层数据称为段(Segment),主要是用来建立主机端到端连接,包括TCP和UDP连接。
(√)
4.在配置域间缺省包过滤规则时,zone1和zone2的顺序是随意的。
(√)
5.路由器收到数据文件时,若没有匹配到具体的路由表时,可按照默认路由表进行转发。
6.IPV6使用128bit的IP地址,能满足未来很多年的IP地址需求,是代替IPV4的最终方案。
7.当配置NAT地址转换是使用了Address-group1没有加no-pat这个命令意味着使用的是NAPT的转换方式(√)
8.inbound方向的NAT使用一个外部地址来代表内部地址,用于隐藏外网服务器的实际IP地址。
9.防火墙中不存在两个具有相同安全级别的安全区域。
10.非对称密钥算法的优点是密钥安全性高,缺点是密钥分发问题。
三、简答题
1.什么是Outbound方向NAT,其转换方式有哪几种?
出方向是指数据由高安全级别的安全区域向低安全级别安全区域传输的方向。
三种转换方式:
1、一对一地址转换
2、多对多地址转换
3、多对一地址转换
2.请简要描述常见的网络安全攻击方式有哪些,并简要描述其防范方式
1、数据嗅探防范方式:
1.验证2.改变网络结构3.反嗅探工具4.加密
2、非法使用防范方式:
1.过滤2.验证3.加密4.关闭服务和端口
3、信息篡改防范方式:
1.明文加密2.数据摘要3.数字签名
4、拒绝服务防范方式:
1.屏蔽IP2.流量控制3.协议防范4.侦测5.策略
5、社会工程防范方式:
1.技术层面2.管理层面
6、BUG和病毒防范方式:
1.补丁2.定时扫描3.审计4.终端保护
3.简述ACL与ASPF的区别与联系
ACL
ASPF
配置
较繁琐
简单
设计实现
复杂
对系统性能影响
速度快
消耗部分系统资源
多通道协议的支持
不支持
支持
安全性
低
高
4。
防火墙的工作模式主要有哪几种,特点是什么
1、路由模式
特点:
如果防火墙通过网络层对外连接(接口具有IP地址),则防火墙工作在路由模式
2、透明模式
特点:
如果防火墙通过数据链路层对外连接(接口无IP地址),则认为防火墙工作在透明模式
3、混合模式
如果防火墙既存在工作在路由模式接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则认为防火墙工作在混合模式。
5.请列举出二层VPN和三层VPN区别是什么,并分别列举哪些属于二层VPN,哪些属于三层VPN
区别:
二层VPN工作在协议栈的数据链路层,三层VPN工作在协议栈的网络层
二层VPN:
PPTP(点到点隧道协议)、L2F(二层转发协议)、L2TP(二层隧道协议)
三层VPN:
GREVPN、IPSecVPN
6.访问控制列表作用及分类
在防火墙应用中,访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段,决定了后续的应用数据流是否被处理。
访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。
分类:
1、标准访问控制列表ACL2000-2999
2、扩展访问控制列表ACL3000-3999
四.配置题
1、实验四:
配置防火墙WEB管理实验
步骤1:
把Ethernet1/0/0接口加入VLAN,并将VLAN接口加入安全区域。
#输入用户名
admin
#输入密码
Admin@123
#切换语言模式为中文模式
<
USG2100>
language-modechinese
system-view
#创建编号为5的VLAN。
[USG2100]vlan5
[USG2100-vlan5]quit
#配置Ethernet1/0/0的链路类型并加入VLAN。
[USG2100]interfaceEthernet1/0/0
[USG2100-Ethernet1/0/0]portaccessvlan5
[USG2100-Ethernet1/0/0]quit
#创建VLAN5所对应的三层接口Vlanif5,并配置Vlanif5的IP地址,配置VLAN接口。
[USG2100]interfacevlanif5
[USG2100-Vlanif5]ipaddress129.9.0.18924
[USG2100-Vlanif5]quit
#配置Vlanif5加入Trust区域。
[USG2100]firewallzonetrust
[USG2100-zone-trust]addinterfaceVlanif5
[USG2100-zone-trust]quit
步骤2:
配置域间过滤规则。
[USG2100]acl2001
[USG2100-acl-basic-2001]rulepermitsource129.9.0.1890.0.0.0
[USG2100-acl-basic-2001]quit
[USG2100]acl2002
[USG2100-acl-basic-2002]rulepermitsource129.9.0.1010.0.0.0
[USG2100-acl-basic-2002]quit
[USG2100]firewallinterzonetrustlocal
[USG2100-interzone-local-trust]aspfpacket-filter2001outbound
[USG2100-interzone-local-trust]aspfpacket-filter2002inbound
步骤3:
启用Web管理功能(默认情况下是打开的)。
[USG2100]web-managerenable
步骤4:
配置Web用户。
[USG2100]aaa
[USG2100-aaa]local-userXunfangpasswordsimpleXunfang123
[USG2100-aaa]local-userXunfangservice-typeweb
[USG2100-aaa]local-userXunfanglevel3
[USG2100-aaa]quit
步骤5:
配置PC的IP地址。
将终端PC的IP地址设置为:
129.9.0.101,俺码设为:
255.255.255.0。
2、实验七:
配置IPSECVPN
配置USG2100A
#进入系统视图。
#配置本端设备的名称。
[USG2100]sysnameUSG2100A
[USG2100A]vlan5
[USG2100A-vlan5]quit
[USG2100A]interfaceEthernet1/0/0
[USG2100A-Ethernet1/0/0]portaccessvlan5
[USG2100A-Ethernet1/0/0]quit
#创建VLAN5所对应的三层接口Vlanif5,并配置Vlanif5的IP地址。
配置VLAN接口。
[USG2100A]interfacevlanif5
[USG2100A-Vlanif5]ipaddress200.39.1.124
[USG2100A]firewallzonetrust
[USG2100A-zone-trust]addinterfaceVlanif5
[USG2100A-zone-trust]quit
#进入Ethernet0/0/0视图。
[USG2100A]interfaceEthernet0/0/0
#配置Ethernet0/0/0的IP地址。
[USG2100A-Ethernet0/0/0]ipaddress202.39.160.124
#退回系统视图。
[USG2100A-Ethernet0/0/0]quit
#进入Untrust区域视图。
[USG2100A]firewallzoneuntrust
#配置Ethernet0/0/0加入Untrust区域。
[USG2100A-zone-untrust]addinterfaceEthernet0/0/0
[USG2100A-zone-untrust]quit
#配置到达对端防火墙202.39.160.3/24和Host2的静态路由。
[USG2100A]iproute-static172.70.2.024202.39.160.3
#配置ACL规则,允许Host1所在网段的主机访问Host2所在网段的主机。
[USG2100A]acl3000
[USG2100A-acl-adv-3000]rulepermitipsource200.39.1.00.0.0.255destination172.70.2.00.0.0.255
[USG2100A-acl-adv-3000]quit
#配置ACL规则,允许Host2所在网段的主机访问。
[USG2100A]acl3001
[USG2100A-acl-adv-3001]rulepermitipsource172.70.2.00.0.0.255
[USG2100A-acl-adv-3001]quit
#进入Trust和Untrust域间视图。
[USG2100A]firewallinterzonetrustuntrust
#配置域间包过滤规则。
[USG2100A-interzone-trust-untrust]aspfpacket-filter3000outbound
[USG2100A-interzone-trust-untrust]aspfpacket-filter3001inbound
[USG2100A-interzone-trust-untrust]quit
#配置域间缺省包过滤规则。
[USG2100A]firewallpacket-filterdefaultpermitall
#说明:
配置所有安全区域间缺省过滤规则为允许,使其能够协商SA。
#配置名为tran1的IPSec提议。
[USG2100A]ipsecproposaltran1
#配置安全协议。
[USG2100A-ipsec-proposal-tran1]transformesp
#配置ESP协议的认证算法。
[USG2100A-ipsec-proposal-tran1]espauthentication-algorithmmd5
#配置ESP协议的加密算法。
[USG2100A-ipsec-proposal-tran1]espencryption-algorithmdes
[USG2100A-ipsec-proposal-tran1]quit
#创建IKE提议10。
[USG2100A]ikeproposal10
#配置使用pre-shared-key验证方法。
[USG2100A-ike-proposal-10]authentication-methodpre-share
#配置使用MD5验证算法。
[USG2100A-ike-proposal-10]authentication-algorithmmd5
#配置ISAKMPSA的生存周期为5000秒。
[USG2100A-ike-proposal-10]saduration5000
[USG2100A-ike-proposal-10]quit
#进入IKEPeer视图。
[USG2100A]ikepeera
#引用IKE安全提议。
[USG2100A-ike-peer-a]ike-proposal10
#配置隧道对端IP地址。
[USG2100A-ike-peer-a]remote-address202.39.160.3
#配置验证字为“abcde”。
[USG2100A-ike-peer-a]pre-shared-keyabcde
验证字的配置需要与对端设备相同。
[USG2100A-ike-peer-a]quit
#创建安全策略。
[USG2100A]ipsecpolicymap110isakmp
#引用ike-peera。
[USG2100A-ipsec-policy-isakmp-map1-10]ike-peera
#引用名为tran1的安全提议。
[USG2100A-ipsec-policy-isakmp-map1-10]proposaltran1
#引用组号为3000的ACL。
[USG2100A-ipsec-policy-isakmp-map1-10]securityacl3000
[USG2100A-ipsec-policy-isakmp-map1-10]quit
#进入以太网接口视图。
#引用IPSec策略。
[USG2100A-Ethernet0/0/0]ipsecpolicymap1
配置USG2100B
language-modechinese
[USG2100]sysnameUSG2100B
[USG2100B]vlan5
[USG2100B-vlan5]quit
[USG2100B]interfaceEthernet1/0/0
[USG2100B-Ethernet1/0/0]portaccessvlan5
[USG2100B-Ethernet1/0/0]quit
[USG2100B]interfacevlanif5
[USG2100B-Vlanif5]ipaddress172.70.2.124
[USG2100B]firewallzonetrust
[USG2100B-zone-trust]addinterfaceVlanif5
[USG2100B-zone-trust]quit
[USG2100B]interfaceEthernet0/0/0
[USG2100B-Ethernet0/0/0]ipaddress202.39.160.324
[USG2100B]firewallzoneuntrust
[USG2100B-zone-untrust]addinterfaceEthernet0/0/0
[USG2100B-zone-untrust]quit
#配置到达对端防火墙202.39.160.1/24和Host1的静态路由。
[USG2100B]iproute-static200.39.1.024202.39.160.1
#配置ACL规则,允许Host2所在网段的主机访问Host1所在网段的主机。
[USG2100B]acl3000
[USG2100B-acl-adv-3000]rulepermitipsource172.70.2.00.0.0.255destination200.39.1.00.0.0.255
[USG2100B-acl-adv-3000]quit
#配置ACL规则,允许Host1所在网段的主机访问。
[USG2100B]acl3001
[USG2100B-acl-adv-3001]rulepermitipsource200.39.1.00.0.0.255
[USG2100B-acl-adv-3001]quit
[USG2100B]firewallinterzonetrustuntrust
[USG2100B-interzone-trust-untrust]aspfpacket-filter3000outbound
[USG2100B-interzone-trust-untrust]aspfpacket-filter3001inbound
[USG2100B-interzone-trust-untrust]quit
[USG2100B]firewallpacket-filterdefaultpermitall
#创建名为tran1的IPSec提议。
[USG2100B]ipsecproposaltran1
[USG2100B-ipsec-proposal-tran1]transformesp
#配置ESP协议认证算法。
[USG2100B-ipsec-proposal-tran1]espauthentication-algorithmmd5
#配置ESP协议加密算法。
[USG2100B-ipsec-proposal-tran1]espencryption-algorithmdes
[USG2100B-ipsec-proposal-tran1]quit
#创建号码为10的IKE提议。
[USG2100B]ikeproposal10
#配置使用pre-sharedkey验证方法。
[USG2100B-ike-proposal-10]authentication-methodpre-share
#配置采用MD5验证算法。
[USG2100B-ike-proposal-10]authentication-algorithmmd5
#配置ISAKMPSA生存周期为5000秒。
[USG2100B-ike-proposal-10]saduration5000
[USG2100B-ike-proposal-10]quit
#创建名为a的IKEPeer。
[USG2100B]ikepeera
#引用IKE提议。
[USG2100B-ike-peer-a]ike-proposal10
#配置对端IP地址。
[USG2100B-ike-peer-a]remote-address202.39.160.1
[USG2100B-ike-peer-a]pre-shared-keyabcde
[USG2100B-ike-peer-a]quit
#创建IPSec策略。
[USG2100B]ipsecpolicymap110isakmp
#引用IKEPeer。
[USG2100B-ipsec-policy-isakmp-map1-10]ike-peera
#引用IPSec提议。
[USG2100B-ipsec-policy-isakmp-map1-10]proposaltran1
[USG2100B-ipsec-policy-isakmp-map1-10]securityacl
升级会员 