网络安全试题-答案.doc

网络安全高级应用一、选择题（共40题 每题2分 共80分）1）IP分片重装时，根据（ ）来判断是否属于同一个IP数据报。 （选择1项）a)源IPb)标识符（Identification）c)TTLd)标志（Flags）2）ICMP差错报告报文的类型3是（ ）报文。（选择1项）a)终点不可达b)源点抑制c)超时d)回送请求3）以下关于TCP的MSS的说法正确的是（ ）。（选择2项）a)MSS在TCP连接期间是可变的b)MSS只存在于SYN报文和SYN+ACK报文中c)MSS与MTU没有关联d)在建立TCP连接时，每一方在SYN报文中通报它将在连接期间接收的报文段的MSS4）在使用nat-control命令的情况下，以下（ ）命令可以实现从高安全级别（Inside）访问低安全级别（Outside）。（选择2项）a)nat (inside) 1 0 0global (inside) 1 intb)nat (inside) 1 0 0global (outside) 1 intc)nat (inside) 1 0 0global (outside) 2 intd)nat (inside) 2 0 0global (outside) 2 int5）将DMZ区Web主机IP地址192.168.1.1映射为公网IP地址219.22.1.26，配置命令为（ ）。（选择1项）a)global (dmz) 192.168.1.1 219.22.1.26b)global (dmz) 219.22.1.26 192.168.1.1c)static (dmz,outside) 192.168.1.1 219.22.1.26 d)static (dmz,outside) 219.22.1.26 192.168.1.16） 下列关于IPSec VPN说法正确的是（ ）。（选择1项）a)如果采用主模式建立IPSec连接，对等体发送的第4个数据报文及以后的数据将采用密文传输b)隧道模式将保护传输数据双方的真实IP地址c)3des加密算法比aes算法安全d)ESP协议只支持数据加密，AH协议只支持数据验证7）下列（ ）属于对称加密算法。（选择2项）a)MD5b)3DESc)AESd)RSA8）NAT-T（NAT穿越）使用的端口号是（ ）。（选择1项）a)TCP 50b)UDP 50c)TCP 4500d)UDP 45009）对等体之间ISAKMP策略协商成功后，处于（ ）状态。（选择1项）a)MM_NO_STATEb)MM_SA_SETUPc)MM_KEY_EXCHd)QM_IDLE10)在路由器上启动AAA的命令是（）。（选择1项）a)aaab)aaa authentication loginc)aaa new-modeld)new-model11)命令split-tunnel-policy tunnelspecified的作用是（）。（选择1项）a)建立隧道组b)定义组策略c)定义动态的Crypto Map条目d)启动分离隧道12)在交换机上启用802.1x的命令是（）。（选择1项）a)aaa authentication dot1xb)radius-server vsa send authenticationc)dot1x system-auth-controld)aaa authorization network13)以下关于802.1x的描述错误的是（）。（选择1项）a)交换机端口有2种状态：未授权状态和授权状态b)端口处于未授权状态时，不允许任何流量通过c)端口处于授权状态时，允许流量通过d)802.1x的认证可以由客户端主动发起，也可以由交换机发起14)下列关于RADIUS协议和TACACS+协议说法正确的是（ ）。（选择2项）a)RADIUS协议和TACACS+协议都是使用TCP协议传输b)RADIUS协议仅对请求报文中的密码进行加密，而TACACS+协议对整个请求报文进行加密c)RADIUS协议认证和授权一起完成，而TACACS+协议认证和授权分开完成d)RADIUS协议和TACACS+协议的认证和授权都是分开完成的15)下列关于使用RADIUS服务器下发ACL说法正确的是（ ）。（选择1项）a)当本地应用的ACL使用per-user-override参数时，用户流量必须符合动态ACL和本地应用的ACL时才能正常转发b)当本地应用的ACL使用per-user-override参数时，用户流量被服务器下发的动态ACL允许就可以转发c)使用RADIUS服务器下发ACL时，只能通过Downloadable IP ACLs方式下发ACLd)添加AAA Client时，认证使用的协议只能是标准的RADIUS（IETF）16）在IP数据包首部字段中，每经过路由器都会改变的是（）。 （选择一项） a) 总长度 b) 标识 c) 标志 d) 分片偏移 e) TTL17 ) DOS是目前最常见的攻击方式之一，下面（）情况不是DOS攻击。 （选择一项 ） a) 攻击者从伪造的，并不存在的IP 地址发出大量的连接请求 b) 攻击者占用了每个可用的会话（session） c) 攻击者利用服务器的弱口令特性实施攻击 d) 攻击者给接收方灌输大量的错误的或是特殊结构的数据包18) 在ASa上配置了以下命令：asa(config)#no ip audit signature 2000asa(config)#ip audit name outside_ids_info action alarmasa(config)#ip audit interface outside_ids_attack attack action alarm drop asa(config)#ip audit interface outside outside_ids_infoasa(config)#ip audit interface outside outsdie_ids_attack以下说法错误的是（）（选择两项）A禁用了ID为2000的签名B对info类型的消息进行告警C对attack类型的消息进行告警并丢弃数据包D对attack类型的消息进行告警并关闭连接19) 在ipsec VPN的实现过程中使用许多加密和验证技术，下列属于非对称加密技术的有（）（选择两项）ADESBRSACMD5DAES20) 默认情况下ASA防火墙禁止ICMP 报文从低安全等级转发到高安全等级。某ASA防火墙outside区域安全等级为0.inside区域可以正常访问outside区域。现在，在ASA防火墙上配置允许ICMP应答报文穿越防火墙，配置如下：access-list icmp extended permit icmp any any echo-replyaccess-group icmp in inteface outside配置完成后在inside接口连接一台计算机（windows XP系统），在outside接口连接一台服务器（IP地址是202.129.16.5）。如果在inside区域的计算机上使用ping命令测试outside区域服务器是否可达，使用ping命令后显示的信息可能是（）。（选择二项）A: 回送应答报文，例如“Reply from 202.129.16.5:bytes=32 time=3ms TTL=128B: 响应报文超时，例如“Request timed out。”C: 终点不可达报文，例如“Reply from 202.129.16.5：Destination host unreachable”D: TTL 值超时报文，例如“Reply from 202.129.16.5：TTL expired in transit.21) 下面是VPN遂道一端的路由器上的部分关键配置： access-list 101 permit ip 192.168.1.10 0.0.0.0 172.16.1.10 0.0.0.0 access-list 102 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 crypto ipsec transform-set myset ah-md5-hmac esp-des crypto map mymap 1 ipsec-isakm set peer 200.10.10.10 set transform-set myset match address 101 int s0/0 ip access-group 102 out crypto map mymap 从中可以判断出（）（选择二项）A 网段192.168.1.0/24与网段172.16.1.0/24内主机的通信将被vpn保护B 主机192.168.1.10与主机172.16.1.10的通信将被vpn保护C 该路由器s0/0端口的IP地址在200.10.10.0/24网段内D 该VPN连接选择了DES算法对数据进行加密22) 在cisco路由器上配置NATT(NAT穿越)，需要配置静态端口映射，必须包含以下（）命令。（选择二项）A ip nat inside source static udp local-ip 500 interface f0/1 500B ip nat inside source static udp local-ip 4500 interface f0/1 4500C ip nat inside source static tcp local-ip 4500 interface f0/1 4500D ip nat inside source static esp local-ip 50 interface f0/1 5023) 某IP数据报的标志字段中MF位为0，首部长度为20字节，总长度为300字节，标识为34904，分片偏移为2960字节，下列关于此数据包的说法正确的是（）。（选择二项）A 此IP数据报为第一个分片B 此IP数据报为最后一个分片C 此IP数据报包含280字节的数据D 此IP数据报不允许分片24）在ASA安全设备上配置了命令asa(config)#fragment chain 1,以下说法正确的是（）（选择一项）A 从高优先级接口到低优先级接口的IP数据报可以分片B 从低优先级接口到高优先级接口的IP数据报可以分片C 只允许一个分片穿越ASADIP分片不能穿越ASA25） 在ASA防火墙上，配置easy vpn 启用分离遂道，并定义ACL中permit语句的流量在遂道中加密传输，应使用（）命令。（选择一项）A split-tunnel-policy tunnelspecifiedB split-tunnle-network-list valueC tunnel-group vpn_group general-attributesD tunnel-group vpn_group type ipsec-ra26) 以下是benet公司交换机上所做的802.1x配置Switch(config)#aaa new-modelSwitch(config)#radius-server host 192.168.1.199 auth-port 1812 acct-port 1813 key benetSwitch(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server vsa send authenticationSwitch(config)#aaa authorization network default group radiusSwitch(config)#dot1x system-auth-controlSwitch(config)#interface fa0/24Switch(config-if)#switchport mode accessSwitch(config-if)#dot1x port-control auto根据配置判断以说法正确的是（）（选择二项）A 802.1x认证列表为group radius,认证方法为默认B 认证信息将被发送给vsa服务器进行认证C 将通过RADIUS服务器为网络相关的服务进行授权D 在fa0/24端口启用了认证27) 在asa上查看路由表的命令是（）（选择一项）A routeB show ip routeC show routeD show run28) 在使用nat-control命令的情况下，从高安全级别（inside）访问低安全级别（outside）,必须配置（）命令。（选择一项）A natB acl C globalD static29) 将DMZ区Web主机IP地址192.168.1.1映射为公网IP地址200.1.1.253，配置命令为（）（选择一项）A global (dmz) 192.168.1.1 200.1.1.253B global (dmz) 200.1.1.253 192.168.1.1C static (dmz,outside) 192.168.1.1 200.1.1.253D static (dmz,outside) 200.1.1.253 192.168.1.130) 下列（）属于对称加密算法（选择三项）A DESB 3DESC AESD RSA31) 下列关于ipsec VPN的说法，正确的是（）（选择一项）A 如果采用主模式建立IPSEC连接，对等体发送的第四个数据报文及以后的数据将采用密文传输。B 传输模式将保拟传输数据双方的真实IP地址。C 3des加密算法比des,aes算法都安全D ESP协议支持数据的加密和验证，AH协议只支持数据验证32）在ASA上配置IPsecVPN时，建立管理连接的默认参数有（）（选择二项）A encryption 3desB encryption desC group 2D group133) IPSec实现NAT穿越时，管理连接和ESP数据连接的端口号分别是（）（选择一项）A 500, 4500B 51, 50C 500, 10000D 50, 5134) 管理员发现IPSecVPN无法通信，通过调试命令发现有以下提示 IPSEC(validate_transform_proposal):peer address 10.0.0.1 not found %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mod failed with peer at 10.0.0.1可能是由于（）原因导致的。（选择一项）A Crypto ACL配置错误B 传输集协商失败C 将Crypto Map应用到错误的接口D 错误地配置了对等体的IP35） 在路由器上启动AAA的命令是（）。（选择1项）a)aaab)aaa authentication loginc)aaa new-modeld)new-model36)命令split-tunnel-policy tunnelsp