ccnp安全题库及答案解析

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页ccnp安全题库及答案解析（含答案及解析）姓名：科室/部门/班级：得分：题型单选题多选题判断题填空题简答题案例分析题总分得分

一、单选题（共20分）

1.在CCNP安全配置中，以下哪个协议用于在交换机上实现VTP（虚拟局域网修剪协议）的动态配置同步？（）______分

A.OSPF

B.EIGRP

C.VTP

D.BGP

2.以下哪种安全设备部署模式通常用于隔离受信任和不受信任的网络区域？（）______分

A.DemilitarizedZone(DMZ)

B.ScreenedSubnet

C.UntrustworthyNetwork

D.InternalNetwork

3.在CiscoASA防火墙上，使用哪种命令可以查看当前应用的访问控制策略？（）______分

A.showaccess-list

B.showpolicy-map

C.showcontext

D.showinterface

4.以下哪个安全漏洞类型通常与缓冲区溢出有关？（）______分

A.SQLInjection

B.Cross-SiteScripting(XSS)

C.BufferOverflow

D.Man-in-the-Middle

5.在配置CiscoIOS安全特性时，以下哪个命令用于启用AAA（认证、授权、计费）？（）______分

A.enableaaa

B.configureaaa

C.aaanew-model

D.aaaauthentication

6.以下哪种VPN技术使用IPsec协议进行加密？（）______分

A.SSLVPN

B.IPsecVPN

C.L2TPVPN

D.PPTPVPN

7.在CiscoPacketTracer中配置ACL（访问控制列表）时，以下哪个方向用于匹配从外部网络进入内部网络的数据包？（）______分

A.Inbound

B.Outbound

C.Both

D.None

8.以下哪种加密算法属于对称密钥加密？（）______分

A.RSA

B.AES

C.ECC

D.SHA-256

9.在配置HSRP（热备份路由协议）时，以下哪个参数用于指定优先级值？（）______分

A.ipverify

B.priority

C.preempt

D.track

10.以下哪个安全设备用于检测和阻止恶意软件和网络攻击？（）______分

A.Firewall

B.IDS

C.IPS

D.ProxyServer

11.在配置CiscoISR（集成服务路由器）安全特性时，以下哪个命令用于配置SSH认证？（）______分

A.ipsshauthentication

B.username<name>secret<password>

C.ipsshkey

D.cryptossh

12.以下哪种网络威胁属于社会工程学攻击？（）______分

A.DDoSAttack

B.Phishing

C.SQLInjection

D.Zero-DayExploit

13.在配置CiscoASA防火墙时，以下哪个命令用于启用状态检测防火墙？（）______分

A.setfirewallstateful

B.enablestatefulfirewall

C.configurefirewallstateful

D.firewallstatefulenable

14.以下哪种协议用于在路由器之间传输路由信息？（）______分

A.SNMP

B.OSPF

C.DNS

D.HTTP

15.在配置CiscoIOS安全特性时，以下哪个命令用于配置NTP（网络时间协议）服务器？（）______分

A.ntpserver

B.configurentp

C.ntpsource

D.ipntpserver

16.以下哪种安全设备用于监控网络流量并识别异常行为？（）______分

A.IDS

B.IPS

C.Firewall

D.VPN

17.在配置CiscoISR安全特性时，以下哪个命令用于配置AAA认证方法列表？（）______分

A.aaaauthenticationdefaultgrouptacacs+

B.configureaaaauthentication

C.aaaauthenticationmethod

D.setaaaauthentication

18.以下哪种安全漏洞类型与跨站脚本攻击有关？（）______分

A.SQLInjection

B.Cross-SiteScripting(XSS)

C.BufferOverflow

D.Man-in-the-Middle

19.在配置CiscoPacketTracer中，以下哪个命令用于配置RIPv2路由协议？（）______分

A.routerripv2

B.configureripv2

C.routerrip

D.enableripv2

20.以下哪种安全设备用于隔离网络中的故障设备？（）______分

A.Hub

B.Switch

C.VLAN

D.RedundantDevice

二、多选题（共15分，多选、错选均不得分）

21.以下哪些协议属于TCP/IP协议栈的应用层协议？（）______分

A.HTTP

B.FTP

C.DNS

D.TCP

22.以下哪些安全设备可以用于实现网络隔离？（）______分

A.Firewall

B.IDS

C.DMZ

D.VLAN

23.以下哪些安全漏洞类型与缓冲区溢出有关？（）______分

A.SQLInjection

B.BufferOverflow

C.Cross-SiteScripting(XSS)

D.Zero-DayExploit

24.以下哪些命令可以用于查看CiscoIOS设备的运行配置？（）______分

A.showrunning-config

B.showconfig

C.showcurrent-config

D.showstartup-config

25.以下哪些安全设备可以用于实现入侵检测？（）______分

A.IDS

B.IPS

C.Firewall

D.VPN

26.以下哪些参数可以用于配置HSRP？（）______分

A.priority

B.preempt

C.track

D.ip

27.以下哪些协议可以用于实现VPN连接？（）______分

A.IPsecVPN

B.SSLVPN

C.L2TPVPN

D.PPTPVPN

28.以下哪些命令可以用于配置CiscoASA防火墙的访问控制列表？（）______分

A.access-list

B.configureaccess-list

C.setaccess-list

D.firewallaccess-list

29.以下哪些安全设备可以用于实现网络地址转换（NAT）？（）______分

A.Firewall

B.IDS

C.NAT

D.VPN

30.以下哪些命令可以用于配置CiscoISR的AAA认证？（）______分

A.aaaauthentication

B.configureaaaauthentication

C.aaanew-model

D.ipaaaauthentication

三、判断题（共10分，每题0.5分）

31.VTP（虚拟局域网修剪协议）可以用于在交换机上实现VLAN的动态配置同步。______分

32.DMZ（隔离区）通常用于隔离受信任和不受信任的网络区域。______分

33.ACL（访问控制列表）可以用于实现网络地址转换（NAT）。______分

34.IPS（入侵防御系统）可以用于检测和阻止恶意软件和网络攻击。______分

35.HSRP（热备份路由协议）可以用于实现路由器的冗余备份。______分

36.SSH（安全外壳协议）可以用于远程管理Cisco设备。______分

37.SNMP（简单网络管理协议）可以用于监控网络设备。______分

38.IPsecVPN可以用于实现安全的远程访问。______分

39.VLAN（虚拟局域网）可以用于实现网络隔离。______分

40.RedundantDevice可以用于隔离网络中的故障设备。______分

四、填空题（共10空，每空1分，共10分）

41.在配置CiscoASA防火墙时，使用______命令可以查看当前应用的访问控制策略。________

42.在配置CiscoIOS安全特性时，使用______命令可以启用AAA（认证、授权、计费）。________

43.在配置HSRP（热备份路由协议）时，使用______参数可以指定优先级值。________

44.在配置CiscoISR安全特性时，使用______命令可以配置SSH认证。________

45.在配置CiscoPacketTracer中，使用______命令可以配置RIPv2路由协议。________

46.在配置CiscoASA防火墙时，使用______命令可以启用状态检测防火墙。________

47.在配置CiscoISR安全特性时，使用______命令可以配置NTP（网络时间协议）服务器。________

48.在配置CiscoPacketTracer中，使用______命令可以配置ACL（访问控制列表）。________

49.在配置CiscoISR安全特性时，使用______命令可以配置AAA认证方法列表。________

50.在配置CiscoASA防火墙时，使用______命令可以配置NAT（网络地址转换）。________

五、简答题（共30分，每题6分）

51.简述DMZ（隔离区）的作用及其配置步骤。

52.简述ACL（访问控制列表）的工作原理及其应用场景。

53.简述IPS（入侵防御系统）的工作原理及其与IDS（入侵检测系统）的区别。

54.简述HSRP（热备份路由协议）的工作原理及其配置步骤。

55.简述SSH（安全外壳协议）的工作原理及其优势。

六、案例分析题（共25分，每题25分）

案例背景：

某公司网络拓扑如下：

-内部网络（/24）

-外部网络（/8）

-DMZ（/24）

公司要求：

1.在CiscoASA防火墙上配置访问控制策略，允许内部网络访问DMZ，禁止外部网络访问DMZ。

2.在DMZ中配置一台Web服务器（00），允许外部网络访问该服务器。

3.配置NAT，将内部网络的私有IP地址转换为公网IP地址。

问题：

1.请给出具体的配置命令。

2.请分析配置过程中的关键步骤和注意事项。

3.请总结该配置方案的优势和不足。

参考答案及解析

一、单选题

1.C

解析：VTP（虚拟局域网修剪协议）用于在交换机上实现VLAN的动态配置同步，选项C正确。OSPF、EIGRP、BGP都是路由协议，不用于VTP配置。

2.A

解析：DMZ（隔离区）通常用于隔离受信任和不受信任的网络区域，选项A正确。ScreenedSubnet、UntrustworthyNetwork、InternalNetwork都不是标准的网络部署模式。

3.B

解析：showpolicy-map命令用于查看当前应用的访问控制策略，选项B正确。showaccess-list、showcontext、showinterface命令不用于查看访问控制策略。

4.C

解析：BufferOverflow（缓冲区溢出）通常与缓冲区溢出有关，选项C正确。SQLInjection、Cross-SiteScripting(XSS)、Man-in-the-Middle都不是与缓冲区溢出有关的漏洞类型。

5.C

解析：aaanew-model命令用于启用AAA（认证、授权、计费），选项C正确。enableaaa、configureaaa、aaaauthentication命令不用于启用AAA。

6.B

解析：IPsecVPN使用IPsec协议进行加密，选项B正确。SSLVPN、L2TPVPN、PPTPVPN都不是使用IPsec协议进行加密的VPN技术。

7.A

解析：Inbound方向用于匹配从外部网络进入内部网络的数据包，选项A正确。Outbound、Both、None都不是正确的方向描述。

8.B

解析：AES（高级加密标准）属于对称密钥加密，选项B正确。RSA、ECC、SHA-256都不是对称密钥加密算法。

9.B

解析：priority参数用于指定HSRP的优先级值，选项B正确。ipverify、preempt、track命令不用于指定优先级值。

10.C

解析：IPS（入侵防御系统）用于检测和阻止恶意软件和网络攻击，选项C正确。Firewall、IDS、ProxyServer都不是专门用于检测和阻止恶意软件和网络攻击的设备。

11.B

解析：username<name>secret<password>命令用于配置SSH认证，选项B正确。ipsshauthentication、ipsshkey、cryptossh命令不用于配置SSH认证。

12.B

解析：Phishing（网络钓鱼）属于社会工程学攻击，选项B正确。DDoSAttack、SQLInjection、Zero-DayExploit都不是社会工程学攻击。

13.A

解析：setfirewallstateful命令用于启用状态检测防火墙，选项A正确。enablestatefulfirewall、configurefirewallstateful、firewallstatefulenable命令不用于启用状态检测防火墙。

14.B

解析：OSPF（开放最短路径优先）用于在路由器之间传输路由信息，选项B正确。SNMP、DNS、HTTP都不是用于传输路由信息的协议。

15.D

解析：ipntpserver命令用于配置NTP（网络时间协议）服务器，选项D正确。ntpserver、configurentp、ntpsource命令不用于配置NTP服务器。

16.A

解析：IDS（入侵检测系统）用于监控网络流量并识别异常行为，选项A正确。IPS、Firewall、VPN都不是专门用于监控网络流量并识别异常行为的设备。

17.A

解析：aaaauthenticationdefaultgrouptacacs+命令用于配置AAA认证方法列表，选项A正确。configureaaaauthentication、aaaauthenticationmethod、setaaaauthentication命令不用于配置AAA认证方法列表。

18.B

解析：Cross-SiteScripting(XSS)（跨站脚本攻击）与跨站脚本攻击有关，选项B正确。SQLInjection、BufferOverflow、Man-in-the-Middle都不是与跨站脚本攻击有关的漏洞类型。

19.C

解析：routerrip命令用于配置RIPv2路由协议，选项C正确。routerripv2、configureripv2、enableripv2命令不用于配置RIPv2路由协议。

20.D

解析：RedundantDevice（冗余设备）可以用于隔离网络中的故障设备，选项D正确。Hub、Switch、VLAN都不是用于隔离故障设备的设备。

二、多选题

21.ABC

解析：HTTP、FTP、DNS属于TCP/IP协议栈的应用层协议，选项ABC正确。TCP属于传输层协议。

22.AC

解析：Firewall、DMZ可以用于实现网络隔离，选项AC正确。IDS、VLAN都不是用于实现网络隔离的设备。

23.B

解析：BufferOverflow与缓冲区溢出有关，选项B正确。SQLInjection、Cross-SiteScripting(XSS)、Zero-DayExploit都不是与缓冲区溢出有关的漏洞类型。

24.AD

解析：showrunning-config、showstartup-config命令可以用于查看CiscoIOS设备的运行配置，选项AD正确。showconfig、showcurrent-config命令不用于查看运行配置。

25.AB

解析：IDS、IPS可以用于实现入侵检测，选项AB正确。Firewall、VPN都不是专门用于入侵检测的设备。

26.ABC

解析：priority、preempt、track参数可以用于配置HSRP，选项ABC正确。ip参数不用于配置HSRP。

27.ABCD

解析：IPsecVPN、SSLVPN、L2TPVPN、PPTPVPN都可以用于实现VPN连接，选项ABCD正确。

28.AC

解析：access-list、setaccess-list命令可以用于配置CiscoASA防火墙的访问控制列表，选项AC正确。configureaccess-list、firewallaccess-list命令不用于配置访问控制列表。

29.AC

解析：Firewall、NAT可以用于实现网络地址转换，选项AC正确。IDS、VPN都不是用于实现网络地址转换的设备。

30.AB

解析：aaaauthentication、configureaaaauthentication命令可以用于配置CiscoISR的AAA认证，选项AB正确。aaanew-model、ipaaaauthentication命令不用于配置AAA认证。

三、判断题

31.√

解析：VTP（虚拟局域网修剪协议）可以用于在交换机上实现VLAN的动态配置同步，说法正确。

32.√

解析：DMZ（隔离区）通常用于隔离受信任和不受信任的网络区域，说法正确。

33.×

解析：ACL（访问控制列表）用于实现访问控制，不用于实现网络地址转换（NAT），说法错误。

34.√

解析：IPS（入侵防御系统）可以用于检测和阻止恶意软件和网络攻击，说法正确。

35.√

解析：HSRP（热备份路由协议）可以用于实现路由器的冗余备份，说法正确。

36.√

解析：SSH（安全外壳协议）可以用于远程管理Cisco设备，说法正确。

37.√

解析：SNMP（简单网络管理协议）可以用于监控网络设备，说法正确。

38.√

解析：IPsecVPN可以用于实现安全的远程访问，说法正确。

39.√

解析：VLAN（虚拟局域网）可以用于实现网络隔离，说法正确。

40.×

解析：RedundantDevice（冗余设备）用于实现冗余备份，不用于隔离故障设备，说法错误。

四、填空题

41.showpolicy-map

解析：showpolicy-map命令用于查看当前应用的访问控制策略。

42.aaanew-model

解析：aaanew-model命令用于启用AAA（认证、授权、计费）。

43.priority

解析：priority参数用于指定HSRP的优先级值。

44.username<name>secret<password>

解析：username<name>secret<password>命令用于配置SSH认证。

45.routerrip

解析：routerrip命令用于配置RIPv2路由协议。

46.setfirewallstateful

解析：setfirewallstateful命令用于启用状态检测防火墙。

47.ipntpserver

解析：ipntpserver命令用于配置NTP（网络时间协议）服务器。

48.access-list

解析：access-list命令用于配置ACL（访问控制列表）。

49.aaaauthentication

解析：aaaauthentication命令用于配置AAA认证方法列表。

50.setnat

解析：setnat命令用于配置NAT（网络地址转换）。

五、简答题

51.DMZ（隔离区）的作用是隔离受信任和不受信任的网络区域，通常用于放置需要对外提供服务的服务器（如Web服务器、邮件服务器等）。配置步骤如下：

1.创建VLAN并配置接口：

```plaintext

configureterminal

vlan10

nameDMZ

exit

interfacegigabitEthernet0/1

switchportmodeaccess

switchportaccessvlan10

exit

```

2.配置防火墙策略：

```plaintext

access-list100permitip5555

access-list100denyipanyany

access-group100ininterfacegigabitEthernet0/1

```

3.配置NAT：

```plaintext

ipnatinsidesourcelist101interfacegigabitEthernet0/0

access-list101permitip55any

```

52.ACL（访问控制列表）的工作原理是通过匹配数据包的源IP地址、目的IP地址、协议类型、端口号等信息来决定是否允许或拒绝数据包通过。应用场景包括：

1.防火墙：用于实现网络访问控制。

2.交换机：用于实现VLAN间的访问控制。

3.路由器：用于实现路由策略控制。

4.VPN：用于实现VPN访问控制。

53.IPS（入侵防御系统）的工作原理是通过实时监控网络流量，检测并阻止恶意软件和网络攻击。与IDS（入侵检测系统）的区别在于：

1.IDS仅检测和报告网络流量中的异常行为，不采取任何行动。

2.IPS在检测到恶意行为时，会立即采取措施阻止攻击。

54.HSRP（热备份路由协议）的工作原理是通过在多台路由器之间建立冗余备份关系，确保在主路由器故障时，备份路由器能够接管主路由器的角色，保证网络的连通性。配置步骤如下：

1.配置接口：

```plaintext

configureterminal

interfacegigabitEthernet0/1

standby1ip54

standby1priority100

standby1preempt

exit

interfacegigabitEthernet0/0

standby1ip54

standby1priority90

standby1preempt

exit

```

2