思科网络学院网络安全

1、1路由器己配置为传统防火墙，入站ACL已应用于外部接I在检查入站到出站流量并在 状态表中创建了新条目后，路由器采取了哪些操作？-、七流批从其II的地返mi时.：会话终止后.该条目仍保吊M!.以便主机可以重用该条目。动态ACL条目将添加到外部接口的入站方向。、 里新阳近内部接口 ACL以允许主机IP地址访问互联网。2哪个安全工具可在网络流量流入和流出组织时进行监控，并确定数据包属于现有连接还是 来自未经授权的来源？- Web安全设备入侵防御系统r 状态防火坊3出站ACL无法过滤哪种类型的数据包？回广播包回路由器生成的数据包回ICMP数据包回多播数据包4在配置思科IOS基于区域的策略防火墙时，哪两

2、个操作可应用于流量类？（选择两项。）回丢弃回copy回前进回暂候回口志回检查导航条5除了扩展ACL使用的标准之外，传统防火墙使用什么条件来过滤流量？回应用层协议会话信息回TCP/UDP源和目的端I】号回源IP地址和目的IP地址回TCP/IP协议号6在实施基于区域的策略防火墙时，关于接11的哪两个规则有效？（选择两项。）回如果两个接11都是同一区域的成员，则将传递所有流量。回如果两个接II都不是区域成员，则操作是传递流量。回如果一个接II是区域成员，但另一个接II不是，则将传递所有流量。回如果两个接11属于同一个区域对并且存在策略，则将传递所有流量。回如果一个接11是区域成员并旦存在区域对，则将

3、传递所有流量。导航条7通过CLI配置思科IOS基于区域的策略防火墙时，必须在创建区域后执行哪个步骤？ 回在区域之间建立策略。回识别区域内的子集。回设计物理基础设施。回为区域分配接II 导航条8在实施入站互联网流量ACL时，应该包含哪些内容以防止内部网络欺骗？回阻止来自私有地址空间的流量的ACE回阻止ICMP流量的ACE回阻止HTTP流量的ACE回阻止SNMP流量的ACE回阻止广播地址流量的ACE9网络管理员正在路由器上同时实施传统防火墙和基于区域的防火墙。下列哪项是对此实施的最佳描述？回这两个模型不能在单个接11上实施。回不能同时使用传统防火墙和基于区域的防火墙。回必须先将接II分配给安全区域

4、，然后才能进行IP检查。回两种模型都必须在所有接11上实施。导航条10回请参见图示。网络包含多台可通过互联网主机进行访问以了解企业相关信息的企业 服务器。用于描述标记为的网络的木语是什么？ 回 内网回DMZ回不受信任网络回周边安全边界导航条11回请参见图示。如果外部网络上的黑客发送的IP数据包的源地址为0,目的地址 为,源端II为23,目的端II为2447,那么思科IOS防火墙对数据包的作用是什 么？回丢弃初始数据包，但转发后续数据包。回数据包被转发，并生成警报。回系统丢弃此数据包。回数据包被转发，而不生成警报。12permit icmp any any nd-na permit icmp a

5、ny any nd-ns deny ipv6 any any回请参见图示。下列哪一项陈述正确描述了 ACE的功能？回这些是可选的ACE,可以添加到IPv6 ACL的末尾，以允许在名为nd-na和nd-ns的对象 组中定义的ICMP消息。回必须手动将这些ACE添加到每个IPV6ACL的末尾，以允许进行IPv6路由。回以下ACE允许IPv6邻居发现流量。回这些ACE自动出现在每个IPv6 ACL的末尾，以允许进行IPv6路由。13R1（config）# access-list 101 permit tcp 192168.1.0 55 55 eq 22 log国请参见图示。ACL语句是路由器上唯一明

6、确配置的语句。根据此信息，可以得出关于远程 接入网络连接的哪两个结论？（选择两项。）回允许从 /24 网络到 /24 网络的 Telnet 连接。回从/24网络到/24网络的Telnet连接被阻止。回允许从/24网络到/24网络的SSH连接。回从/24网络到/24网络的SSH连接被阻止。回允许从/24网络到/24网络的SSH连接。回允许从 /24 网络到 /24 网络的 Telnet 连接。导航条14状态防火墙的一个限制是什么？回无法过滤不必要的流量回弱用户认证回日志信息不佳回对基于UDP或ICMP的流量不那么有效导航条15请考虑以下访问列表。access-list 100 permit ip

7、 host anyaccess-list 100 deny icmp 55 any echoaccess-list 100 permit ip any any如果该访问列表被置于己分配IP地址54路由器T兆以太网端I I上，则会采 取两项操作？（选择两项。）回/24网络上的设备可以成功ping通网络上的设备。回/24网络上的设备不能回应任何ping请求。回分配此访问列表后，允许从上的任何设备到路由器的Telnet或SSH会话。回仅允许己分配IP地址的网络设备访问路由器。回只允许从路由器到任何其他网络设备的第3层连接。16为方便故障排除过程，应在外部接II上允许哪些入站ICMP消息？回时间戳请求

8、回时间戳应答回发送响应时回路由器通告回回应请求17哪条命令可用于激活接II上名为“ENG_ACL”的IPV6ACL,以便路由器在访问路由表之前先 过滤流量？回ipv6 traffic-filter ENG_ACL in回ipv6 traffic-filter ENG_ACL out回ipv6 access-class ENG_ACL in回ipv6 access-class ENG_ACL out导航条18思科IOS基于区域的策略防火墙上的传递操作具有哪项功能？回检查区域之间的流量以进行流量控制回记录被拒绝或丢弃的数据包回将流量从一个区域转发到另一个区域回跟踪区域之间的连接状态导航条19如果提

9、供的ACE位于同一 ACL中，则应根据最佳实践在ACL中首先列出哪个ACE?回deny tcp any any eq telnet回deny udp any host eq snmptrap回permit tcp 55 any established回permit udp any any range 10000 20000回permit ip any any回permit udp 55 host eq snmptrap20一家公司正在部署一种新的网结设计，其中边界路由器有三个接I I。串行接II 0/0/0连接 到ISP, GigabitEthernetO/O连接到DMZ, GigabitEt

10、hernet/01连接到内部专用网络。哪种类 型的流量将获得最少的检查（拥有最大的传输自由）？回从私有网络发出后从DMZ返回的流量回从私有网络发出后从公共网络返回的流量0从专用网络到DMZ的流量0来自公共网络并且发往DMZ的流量导航条21以下哪项陈述描述了 DMZ防火墙配置的典型安全策略？回允许来自外部接I I的流量通过防火墙到这内部接I I，几乎没有或没有限制。0源自内部接I I的流量通常被完全阻止，或仅允许少量有选择性地到这外部接I L回对于与来自内部的流量相关联的外部返回流量，允许其由外部接II流向DMZ接II。回对于与来自外部的流量相关联的内部返回流量，允许其由内部接I I流向外部接I L0有选择性地允许源自DMZ接I