网络安全试题

《网络安全高级应用》一、选择题（共 40题每题2分共80分）1）IP分片重装时，根据（ ）来判断是否属于同一个 IP数据报。 （选择1项）源IP标识符（Identification）TTL标志（Flags）2）ICMP差错报告报文的类型 3是（ ）报文。（选择1项）终点不可达源点抑制超时回送请求3）以下关于TCP的MSS的说法正确的是（ ）。（选择2项）MSS在TCP连接期间是可变的MSS只存在于SYN报文和SYN+ACK报文中MSS与MTU没有关联在建立TCP连接时，每一方在SYN报文中通报它将在连接期间接收的报文段的MSS4）在使用nat-control命令的情况下，以下（）命令可以实现从高安全级别（Inside）访问低安全级别（Outside）。（选择2项）a) nat(inside)100global(inside)1intb) nat(inside)100global(outside)1intc) nat(inside)100global(outside)2intd) nat(inside)200global(outside)2int5）将DMZ区Web主机IP地址192.168.1.1映射为公网IP地址219.22.1.26，配置命令为（）。（选择1项）global(dmz)192.168.1.1219.22.1.26global(dmz)219.22.1.26192.168.1.1static(dmz,outside)192.168.1.1219.22.1.26static(dmz,outside)219.22.1.26192.168.1.16） 下列关于 IPSecVPN说法正确的是（ ）。（选择1项）a) 如果采用主模式建立 IPSec连接，对等体发送的第 4个数据报文及以后的数据将采用密文传输b) 隧道模式将保护传输数据双方的真实 IP地址3des加密算法比aes算法安全ESP协议只支持数据加密，AH协议只支持数据验证7）下列（ ）属于对称加密算法。（选择2项）MD53DESAESRSA8）NAT-T（NAT穿越）使用的端口号是（ ）。（选择1项）TCP50UDP50TCP4500UDP45009）对等体之间 ISAKMP策略协商成功后，处于（ ）状态。（选择1项）MM_NO_STATEMM_SA_SETUPMM_KEY_EXCHQM_IDLE10) 在路由器上启动 AAA的命令是（ ）。（选择1项）aaaaaaauthenticationloginaaanew-modelnew-model11) 命令split-tunnel-policytunnelspecified 的作用是（ ）。（选择1项）建立隧道组定义组策略定义动态的CryptoMap条目启动分离隧道12) 在交换机上启用 802.1x的命令是（ ）。（选择1项）aaaauthenticationdot1xradius-servervsasendauthenticationdot1xsystem-auth-controlaaaauthorizationnetwork13) 以下关于802.1x的描述错误的是（ ）。（选择1项）交换机端口有2种状态：未授权状态和授权状态端口处于未授权状态时，不允许任何流量通过端口处于授权状态时，允许流量通过802.1x的认证可以由客户端主动发起，也可以由交换机发起14) 下列关于RADIUS 协议和TACACS+协议说法正确的是（ ）。（选择2项）RADIUS协议和TACACS+协议都是使用TCP协议传输b) RADIUS协议仅对请求报文中的密码进行加密，而 TACACS+协议对整个请求报文进行加密c) RADIUS协议认证和授权一起完成，而 TACACS+协议认证和授权分开完成RADIUS协议和TACACS+协议的认证和授权都是分开完成的15) 下列关于使用

RADIUS

服务器下发

ACL

说法正确的是（

）。（选择

1项）a) 当本地应用的 ACL使用本地应用的 ACL时才能正常转发

per-user-override

参数时，用户流量必须符合动态

ACL

和当本地应用的ACL使用per-user-override参数时，用户流量被服务器下发的动态ACL允许就可以转发c) 使用RADIUS服务器下发 ACL时，只能通过 DownloadableIPACLs方式下发d) 添加AAAClient 时，认证使用的协议只能是标准的 RADIUS（IETF）16）在IP数据包首部字段中，每经过路由器都会改变的是（） 。（选择一项）

ACL总长度标识标志分片偏移TTL17)DOS是目前最常见的攻击方式之一，下面（）情况不是 DOS攻击。 （选择一项 ）攻击者从伪造的，并不存在的IP地址发出大量的连接请求攻击者占用了每个可用的会话（session）攻击者利用服务器的弱口令特性实施攻击攻击者给接收方灌输大量的错误的或是特殊结构的数据包在ASa上配置了以下命令：asa(config)#noipauditsignature2000asa(config)#ipauditnameoutside_ids_infoactionalarmasa(config)#ipauditinterfaceoutside_ids_attackattackactionalarmdropasa(config)#ipauditinterfaceoutsideoutside_ids_infoasa(config)#ipauditinterfaceoutsideoutsdie_ids_attack以下说法错误的是（）（选择两项）A>禁用了ID为2000的签名B>对info类型的消息进行告警C>对attack类型的消息进行告警并丢弃数据包D>对attack类型的消息进行告警并关闭连接19)在ipsecVPN的实现过程中使用许多加密和验证技术，

下列属于非对称加密技术的有

（）（选择两项）A>DESB>RSAC>MD5D>AES20)默认情况下 ASA防火墙禁止 ICMP 报文从低安全等级转发到高安全等级。墙outside区域安全等级为 0.inside区域可以正常访问 outside区域。现在，在配置允许 ICMP应答报文穿越防火墙，配置如下：

某ASA

ASA防火防火墙上access-listicmpextendedpermiticmpanyanyecho-replyaccess-groupicmpinintefaceoutside配置完成后在 inside接口连接一台计算机（ windows XP系统），在outside接口连接一台服务器（IP地址是202.129.16.5）。如果在inside区域的计算机上使用 ping命令测试 outside区域服务器是否可达，使用 ping命令后显示的信息可能是（） 。（选择二项）A:回送应答报文，例如“ Replyfrom202.129.16.5:bytes=32time=3msTTL=128"B:响应报文超时，例如“ Requesttimedout。”C:终点不可达报文，例如“ Replyfrom202.129.16.5：Destinationhostunreachable”D:TTL 值超时报文，例如“ Replyfrom202.129.16.5：TTLexpiredintransit."下面是VPN遂道一端的路由器上的部分关键配置：access-list101permitip192.168.1.100.0.0.0172.16.1.100.0.0.0access-list102permitip192.168.1.00.0.0.255172.16.1.00.0.0.255cryptoipsectransform-setmysetah-md5-hmacesp-descryptomapmymap1ipsec-isakmsetpeer200.10.10.10settransform-setmysetmatchaddress101ints0/0ipaccess-group102outcryptomapmymap从中可以判断出（）（选择二项）A 网段192.168.1.0/24与网段172.16.1.0/24内主机的通信将被 vpn保护主机192.168.1.10与主机172.16.1.10的通信将被vpn保护该路由器s0/0端口的IP地址在200.10.10.0/24网段内该VPN连接选择了DES算法对数据进行加密在cisco路由器上配置NAT—T(NAT穿越)，需要配置静态端口映射，必须包含以下（）命令。（选择二项）ipnatinsidesourcestaticudplocal-ip500interfacef0/1500ipnatinsidesourcestaticudplocal-ip4500interfacef0/14500ipnatinsidesourcestatictcplocal-ip4500interfacef0/14500ipnatinsidesourcestaticesplocal-ip50interfacef0/15023)某IP数据报的标志字段中MF位为0，首部长度为20字节，总长度为300字节，标识为34904，分片偏移为2960字节，下列关于此数据包的说法正确的是（）。（选择二项）A此IP数据报为第一个分片B此IP数据报为最后一个分片C此IP数据报包含280字节的数据D此IP数据报不允许分片24）在ASA安全设备上配置了命令asa(config)#fragmentchain1,以下说法正确的是（）（选择一项）A从高优先级接口到低优先级接口的IP数据报可以分片B从低优先级接口到高优先级接口的IP数据报可以分片C只允许一个分片穿越ASAIP分片不能穿越ASA25）在ASA防火墙上，配置easyvpn启用分离遂道，并定义ACL中permit语句的流量在遂道中加密传输，应使用（）命令。（选择一项）A split-tunnel-policy tunnelspecifiedsplit-tunnle-network-listvaluetunnel-groupvpn_groupgeneral-attributestunnel-groupvpn_grouptypeipsec-ra26)以下是benet公司交换机上所做的802.1x配置Switch(config)#aaanew-modelSwitch(config)#radius-serverhost192.168.1.199auth-port1812acct-port1813keybenetSwitch(config)#aaaauthenticationdot1xdefaultgroupradiusSwitch(config)#radius-servervsasendauthenticationSwitch(config)#aaaauthorizationnetworkdefaultgroupradiusSwitch(config)#dot1xsystem-auth-controlSwitch(config)#interfacefa0/24Switch(config-if)#switchportmodeaccessSwitch(config-if)#dot1xport-controlauto根据配置判断以说法正确的是（） （选择二项）802.1x认证列表为groupradius,认证方法为默认认证信息将被发送给vsa服务器进行认证将通过RADIUS服务器为网络相关的服务进行授权在fa0/24端口启用了认证在asa上查看路由表的命令是（）（选择一项）routeshowiprouteshowrouteshowrun28)在使用nat-control命令的情况下，从高安全级别（inside）访问低安全级别（outside）,必须配置（）命令。（选择一项）nataclglobalstatic29)将DMZ区Web主机IP地址192.168.1.1映射为公网 IP地址200.1.1.253，配置命令为（）（选择一项）global(dmz)192.168.1.1200.1.1.253global(dmz)200.1.1.253192.168.1.1static(dmz,outside)192.168.1.1200.1.1.253static(dmz,outside)200.1.1.253192.168.1.1下列（）属于对称加密算法（选择三项）DES3DESAESRSA下列关于ipsecVPN的说法，正确的是（）（选择一项）如果采用主模式建立IPSEC连接，对等体发送的第四个数据报文及以后的数据将采用密文传输。B 传输模式将保拟传输数据双方的真实 IP地址。C 3des加密算法比 des,aes算法都安全D ESP协议支持数据的加密和验证， AH协议只支持数据验证32）在ASA上配置IPsecVPN时，建立管理连接的默认参数有（）

（选择二项）encryption3desencryptiondesgroup2group133)IPSec实现NAT穿越时，管理连接和 ESP数据连接的端口号分别是（） （选择一项）500,450051,50500,1000050,51管理员发现IPSecVPN无法通信，通过调试命令发现有以下提示IPSEC(validate_transform_proposal):peeraddress10.0.0.1notfound%CRYPTO-6-IKMP_MODE_FAILURE:ProcessingofQuickmodfailedwithpeerat10.0.0.1可能是由于（）原因导致的。 （选择一项）CryptoACL配置错误传输集协商失败将CryptoMap应用到错误的接口错误地配置了对等体的IP35）在路由器上启动 AAA的命令是（ ）。（选择1项）aaaaaaauthenticationloginaaanew-modelnew-model36) 命令split-tunnel-policytunnelspecified 的作用是（ ）。（选择1项）建立隧道组定义组策略定义动态的