网络安全真题1

试题四（15分）阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某公司采用100M宽带接入Internet，公司内部有15台PC机，要求都能够上网。另外有2台服务器对外分别提供Web和E-mail服务，采用防火墙接入公网，拓扑结构如图4-1所示。工作站工作站···Internetweb服务器E-mail服务器e0e2e1图4-1【问题1】（2分）如果防火墙采用NAPT技术，则该单位至少需要申请（1）个可用的公网地址。试题解析：常识。答案：1【问题2】（3分）下面是防火墙接口的配置命令：fire(config)#ipaddressoutside202.134.135.98255.255.255.252fire(config)#ipaddressinside192.168.46.1255.255.255.0fire(config)#ipaddressdmz10.0.0.1255.255.255.0根据以上配置，写出图4-1中防火墙各个端口的IP地址：e0：（2）e1：（3）e2：（4）试题解析：很简单，对照答案看看就明白了。答案：（2）192.168.46.1，（3）202.134.135.98，（4）10.0.0.1【问题3】（4分）1．ACL默认执行顺序是（5），在配置时要遵循（6）原则、最靠近受控对象原则、以及默认丢弃原则。（5）、（6）备选项（A）最大特权（B）最小特权（C）随机选取（D）自左到右（E）自上而下（F）自下而上2．要禁止内网中IP地址为198.168.46.8的PC机访问外网，正确的ACL规则是（7）（A）access-list1permitip192.168.46.00.0.0.255anyaccess-list1denyiphost198.168.46.8any（B）access-list1permitiphost198.168.46.8anyaccess-list1denyip192.168.46.00.0.0.255any（C）access-list1denyip192.168.46.00.0.0.255anyaccess-list1permitiphost198.168.46.8any（D）access-list1denyiphost198.168.46.8anyaccess-list1permitip192.168.46.00.0.0.255any试题解析：很简单，对照答案看看就明白了。答案：（5）Eor自上而下，（6）Bor最小特权，（7）DorA【问题4】（6分）下面是在防火墙中的部分配置命令，请解释其含义：global(outside)1202.134.135.98-202.134.135.100（8）conduitpermittcphost202.134.135.99eq（9）access-list10permitipanyany（10）试题解析：很简单，对照答案看看就明白了。答案：（8）指定外网口IP地址范围为202.134.135.98-202.134.135.100（9）允许任意外网主机访问202.134.135.99提供的服务（10）允许任意IP数据包进出注：（8）（9）（10）意思正确即可试题四（共15分）阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某公司通过PIX防火墙接入Internet，网络拓扑如图4-1所示。图4-1在防火墙上利用show命令查询当前配置信息如下：PIX#showconfig…nameifeth0outsidesecurity0nameifeth1insidesecurity100nameifeth2dmzsecurity40…fixupprotocolftp21（1）fixupprotocolhttp80…ipaddressoutside61.144.51.42255.255.255.248ipaddressinside192.168.0.1255.255.255.0ipaddressdmz10.10.0.1255.255.255.0…global(outside)161.144.51.46nat(inside)10.0.0.00.0.0.0…routeoutside0.0.0.00.0.0.061.144.51.451（2）…【问题1】（4分）解析（1）、（2）处画线语句的含义。标准答案：（1）启用ftp服务（2）设置eth0口的默认路由，指向61.144.51.45，且跳步数为1【问题2】（6分）根据配置信息，在填充表4-1。表4-1标准答案：（3）192.168.0.1（4）255.255.255.248（5）eth2（6）10.10.0.1【问题3】（2分）根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是（7）。标准答案：（7）61.144.51.46【问题4】（3分）如果需要在DMZ域的服务器（IP地址为10.10.0.100）对Internet用户提供web服务（对外公开IP地址为61.144.51.43），请补充完成下列配置命令。PIX(config)#static(dmz,outside)（8）（9）PIX(config)#conduitpermittcphost（10）eq说明：static命令的格式是：static(nameif,outside)ip-outside,ip-nameif第（10）空要填写一个主机地址，这里填写的是对外公开的那个IP地址。标准答案：（8）61.144.51.43（9）10.10.0.100（10）61.144.51.43试题五（共15分）阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。【说明】某单位网络拓扑结构如图5-1所示，要求配置IPSecVPN使10.10.20.1/24网段能够连通10.10.10.2/24网段，但10.10.30.1/24网段不能连通10.10.10.2/24网段。图5-1【问题1】（4分）根据网络拓扑和要求，解释并完成路由器R1上的部分配置。R1(config)#cryptoisakmpenable（启用IKE）R1(config)#cryptoisakmp（1）20（配置IKE策略20）R1(config-isakmp)#authenticationpre-share（2）R1(config-isakmp)#exitR1(config)#cryptoisakmpkey378address192.168.2.2（配置预共享密钥为378）R1(config)#access-list101permitip（3）0.0.0.255（4）0.0.0.255（设置ACL）……说明：“access-list101permitip（3）0.0.0.255（4）0.0.0.255”的意思是“从本地站点（3）发出的和来自远点站点（4）的数据将得到保护。”标准答案：（1）policy（2）在IKE协商过程中使用预共享密钥认证方式（3）10.10.20.0（4）10.10.10.0扩展答案：（2）验证方法为使用预共享密钥【问题2】（4分）根据网络拓扑和要求，完成路由器R2上的静态路由配置。R2(config)#iproute（5）255.255.255.0192.168.1.1R2(config)#iproute10.10.30.0255.255.255.0（6）R2(config)#iproute10.10.10.0255.255.255.0192.168.2.2标准答案：（5）10.10.20.0（6）192.168.1.1【问题3】（空（9）1分，其他2分，共7分）根据网络拓扑和R1的配置，解释并完成路由器R3的部分配置。……R3(config)#cryptoisakmpkey（7）address（8）R3(config)#cryptotransform-settestvpnah-md5-hmacesp-desesp-md5-hmac（9）R3(cfg-crypto-trans)#exitR3(config)#cryptomaptest20ipsec-isakmpR3(config-crypto-map)#setpeer192.168.1.1R3(config-crypto-map)#settransform-set（10）……标准答案：（7）378（8）192.168.1.1（9）设置名为testvpn的VPN，采用MD5认证、DES进行数据加密（10）testvpn扩展答案：（9）设置IPSec变换集testvpn，AH鉴别采用ah-md5-hmac，ESP加密采用esp-des，ESP认证采用esp-md5-hmac。试题二（共15分）阅读以下说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。【说明】某公司总部服务器1的操作系统为WindowsServer2003，需安装虚拟专用网（VPN）服务，通过Internet与子公司实现安全通信，其网络拓扑结构和相关参数如图2-1所示。图2-1【问题1】（2分）在WindowsServer2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务：（1）和L2TP，L2TP协议将数据封装在（2）协议帧中进行传输。答案：（1）PPTP（2）PPP【问题2】（1分）在服务器1中，利用WindowsServer2003的管理工具打开“路由和远程访问”，在所列出的本地服务器上选择“配置并启用路由和远程访问”，然后选择配置“远程访问（拨号或VPN）”服务，在图2-2所示的界面中，“网络接口”应选择（3）。（3）备选答案：A．连接1B．连接2答案：（3）B图2-2【问题3】（4分）为了加强远程访问管理，新建一条名为“SubInc”的访问控制策略，允许来自子公司服务器2的VPN访问。在图2-3所示的配置界面中，应将“属性类型（A）”的名称为（4）的值设置为“LayerTwoTunnelingProtocol”，名称为（5）的值设置为“Virtual(VPN)”。编辑SubInc策略的配置文件，添加“入站IP筛选器”，在如图2-4所示的配置界面中，IP地址应填为（6），子网掩码应填为（7）。图2-3图2-4答案：（4）Tunnel-Type（5）NAS-Port-Type（6）202.115.12.34（7）255.255.255.255【问题4】（4分）子公司PC1安装WindowsXP操作系统，打开“网络和Internet连接”。若要建立与公司总部服务器的VPN连接，在如图2-5所示的窗口中应该选择（8），在图2-6所示的配置界面中填写（9）。（8）备选答案：A．设置或更改您的Internet连接B．创建一个到您的工作位置的网络连接C．设置或更改您的家庭或小型办公网络D．为家庭或小型办公室设置无线网络E．更改Windows防火墙设置答案：（8）B（9）61.134.1.37图2-5图2-6【问题5】（2分）用户建立的VPN连接xd2的属性如图2-7所示，启动该VPN连接时是否需要输入用户名和密码？为什么？图2-7答案：不需要，因为选中“自动使用我的Windows登录名和密码”，此时用本机Windows登录的用户名和密码进行VPN连接。【问题6】（2分）图2-8所示的配置窗口中所列协议“不加密的密码（PAP）”和“质询握手身份验证协议（CHAP）”有何区别？图2-8答案：PAP使用明文身份验证（1分）CHAP通过使用MD5和质询-相应机制提供一种安全身份验证（1分）（采用以下方式或相近方式回答也正确）PAP以明文的方式在网上传输登录名和密码，因此不安全；（1分）CHAP使用挑战消息及摘要技术处理验证消息，不在网上直接传输明文密码，因此具有较好的安全性，也具有防重发性。（1分）试题四（15分）阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。【说明】某公司内部服