网络安试题

共10页第1页得分诚信考试杜绝作弊姓名专业班级学号|||||||||||||||||||||||||||||||||||||||||||试卷使用班级：计算机网络技1421、1422班开卷课程编号：1103081110总答题时间：120分钟题号一二三四总分得分答题纸一、填空题（本题共15分，每空1分）1、网络安全的定义，凡是涉及网络上信息的（保密性），（完整性），（可用性），相关技术和理论都是网络安全的研究领域。2、在远程访问的AAA模型中，AAA分别代表（认证），（授权），（计费）。3、SSl协议客户机和服务器之间通过（记录层）和（握手层）的协商，建立起一个安全通道4、IKE第一阶段协商模式的有（主模式），（野蛮模式）。5、这种攻击利用多台主机进行DOS攻击，攻击者首先使用各种工具和技术破坏一些有漏洞的主机，并对进行控制，然后以这些被控制的主机为基础向目标发起DOS攻击，这种攻击是（拒绝服务型攻击）。6、SecPath防火墙上保留四个安全区域，其安全级别由高到底依次排列，分别是LoCAL区域和（trust区域），（dmz区域），（untrust区域）。7、黑名单，指根据报文的（源IP地址）进行过滤的一种方式。共10页第2页得分二、选择题（本题共30分，单选题每题1分）1、所谓计算机安全，是对（B）进行保护A、计算机的硬件、操作系统和数据B、计算机的硬件、软件和数据C、计算机硬件、软件和用户信息D、计算机主机、软件和数据、2、承载网IP头以（C）标识GRE协议。A.50B.51C.47D.483、向有限的空间输入超长的字符串是（A）攻击手段。A、缓冲区溢出B、网络监听C、端口扫描D、IP欺骗4、在网络安全中IPS是（C）简称。A、入侵检测系统B、分布式入侵检测系统C、入侵防御系统D、下一代入侵检测系统5、下列说法正确的有（D）。A、L2TP可以保证用户的合法性B、L2TP可以保证用户的安全性C、L2TP可以保证QOSD、L2TP可以保证网络的可靠性。6、SHA-1输出的长度是（C）？A、64比特B、128比特共10页第3页得分C、160比特D、168比特多项选择题（24分，每题2分）7、按照业务用途的不同，可以将VPN分为以下哪些类型？（BC）A、VPRNB、IntranetVPNC、ExtranetVPND、VPDN8、关于GRE说法正确的是（BC）A、GRE封装只能用于GREVPNB、GRE封装并非只能用于GREVPNC、GREVPN不能分隔地址空间D、GREVPN可以分隔地址空间9、Internet上常见的攻击方式包括：（AD）A、DoS/DDOS攻击B、扫描窥探攻击C、木马D、畸形报文攻击10、IKE的主要功能包括（AD）A.建立IPSec安全联盟B.防御重放攻击C.数据源验证D.自动协商交换密钥11、访问控制列表是路由器提供的一种重要的安全策略，请问我们通常所指的5元组包括（ABCFG）A.源IP地址B.目的IP地址C.协议号D.crc校验E.checksumF.源端口号G.目的端口号12、关于IPSec安全联盟（SecurityAssociation）的说法正确的是（ABCD）A.、IPSec对数据流提供的安全服务通过安全联盟SA来实现共10页第4页B.、一个安全联盟SA就是两个IPSec系统之间的一个单向逻辑连接C.、输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理D.、安全联盟可通过手工配置和自动协商两种方式建立13、广域网进行业务隔离的手段有哪些？（ABC）A、专线B、SSLVPNC、MPLSVPND、IPSec隧道14、在配置IPSec的安全提议proposal时，以下命令属于缺省配置的是（ABCE）A.encapsulation-modetunnelB.transformespC.espencryption-algorithmdesD.espencryption-algorithm3desE.espauthentication-algorithmmd515.关于IKE的描述正确的是（ACD）A.、IKE不是在网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥B.、IKE是在网络上传送加密后的密钥，以保证密钥的安全性C.、IKE采用完善前向安全特性PFS，一个密钥被破解，并不影响其他密钥的安全性共10页第5页得分D、IKE采用DH算法计算出最终的共享密钥16、对IKE和IPSec描述正确的是（BCD）。A.、IKE是IP之上的一个应用层协议，是IPSec的信令协议。B.、IKE为IPSec协商建立安全联盟，并把建立的参数及生成的密钥交给IPSec。C.、IPSec使用IKE建立的安全联盟对IP报文进行加密或验证处理。D.、IPSec处理做为IP层的一部分，在IP层对报文进行处理。E、AH协议和ESP协议有自己的协议号，分别是50和51。17、SSLVPN中，握手层的主要作用是（ABCD）A、协商加密能力B、协商密钥参数C、验证对方身份D、建立并维护SSL会话18.以下关于安全区域的域间方向描述正确的有（AD）。A.数据由低级别的安全区域向高级别的安全区域传输的方向为入方向B.数据由高级别的安全区域向低级别的安全区域传输的方向为入方向C.数据由低级别的安全区域向高级别的安全区域传输的方向为出方向D.数据由高级别的安全区域向低级别的安全区域传输的方向为出方向三、判断题（本题共10分）1、VPN的主要特点是通过加密使信息能安全的通过Internet传递。（对）2、备份就是复制。（错）3、GRE是GenericRoutingEncapsulation通用路由封装的简称。（对）共10页第6页得分得分得分4、访问控制列表只能通过源/目的地址、源/目的端口控制通过路由器的数据流（错）5、TCPSYNFlood攻击是一种DOS攻击，这种攻击随机的打开多个TCP端口。（对）6、ESP可以对报头和有效载荷进行验证，而AH只能对有效载荷进行验证，所以ESP验证比AH验证安全性高。（错）7、会话劫持就是在一次正常的通信过程中，攻击者作为第三方参与到其中,直接联系变成了通过攻击者的间接联系。（对）8、为了穿越NAT，IPSec两端的设备都必需支持NAT穿越（对）9、IPsec是一个开放的标准框架，主要用于数据完整性的认证。（对）10、状态防火墙也可以检查数据内容以及检查协议异常。（对）四、按要求完成问题（45分）1、ESP和AH都可以传输和隧道模式不同的方式应用至IP数据分组，描述这两种方式并解释二者的主要区别？（图解方式说明）（5分）ah比esp少了一个整体包的加密功能。而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。2、GRE隧道处理流程步骤包括什么？（简要回答）（5分）1.隧道起点路由查找。2.加封装。3.承载协议路由转发。4.中途转发。5.解封装。6.隧道终点路由查找。3、在802.1x协议体系结构中，主要由哪三部分构成？(2分)客户端、认证系统、认证服务器根据下图所示：写出“三层交换机”的802.1X配置清单，保共10页第7页得分证客户端能通过三层交换机的认证。（6分）客户端PC10.1.1.2/24三层交换机Radius认证服务器10.2.1.88/24Vlan1010.1.1.1/24Vlan2010.2.1.1/24E1/0/1E1/0/3dot1xdot1xinterfaceeth0/0/1toeth1/0/3radiusschemeradius1primaryauthentication10.2.1.88primaryauthorization10.2.1.88primaryaccounting10.2.1.88keyauthenticationexpertkeyauthorizationexpertkeyaccountingexpertuser-name-formatwithout-domaindomainccitsoftradius-schemeradius14、（1）Internet上的移动办公用户安装iNode智能客户端，通过和公司出口VPN网关建立L2TP隧道方式，访问公司内部资源。组网图：安装iNode客户端的PC机地址为202.0.0.2/24，不需要配置网关。（6分）要求：只写出防火墙配置。客户端INode部分省略。l2tpenable//使能L2TP：domainsystem共10页第8页得分ippool11.1.1.21.1.1.255//给用户分配地址池：local-usertestpasswordsimple123service-typeppp//创建L2TP帐号：interfaceVirtual-Template1//使能L2TP的虚接口：pppauthentication-modechapipaddress10.1.1.1255.255.255.0remoteaddresspool1interfaceGigabitEthernet0/0ipaddress202.0.0.1255.255.255.0//配置外网口：natoutbound300012tp-group1//创建L2TP组：tunnelauthentication123456iproute-static0.0.0.00.0.0.0202.0.0.2preference60.//配置默认路由（2）写出L2TP数据包封装格式并写出源地址与目的地址（3分）5、并且根据下列组网需求写出配置：运行IP协议的两个子网SiteA和SiteB，通过路由器RouterA和路由器RouterB路由器RouterC之间使用三层隧道协议GRE实现互联。（6分）SiteASiteBRouterARouterCRouterB202.38.1.0/24202.38.2.0/2410.1.1.0/2410.1.2.0/24Tunnel0192.168.1.1/24Tunnel0192.168.1.2/24E0/1S0/1E0/1S0/1S1/1S1/1共10页第9页得分6、组网需求：某公司杭州和北京各有一个公网出口VPN网关，两网关之间通过建立GRE隧道，实现两机构私网互访。由于GRE协议本身无法对私网数据进行加密封装，因此我们配置IPSec来保护GRE的报文。（7分）组网图：UTM侧配置ikelocal-nameutm//配置IKE本地名字aclnumber3000ikepeerpeerikepeerfirewall//配置IKE对等体pre-shared-keycipherxz8n+yXxN+I=//预共享密钥123456remote-address202.0.0.2//指定对端地址local-address202.0.0.1//指定本端地址ipsecproposal1//配置安全提议ipsecpolicyutm1isakmp//配置IPSec策略interfaceGigabitEthernet0/1ipaddress202.0.0.1255.255.255.0//在物理口上应用IPSec策略interfaceTunnel1共10页第10页ipaddress2.1.1.1255.255.255.252source202.0.0.1destination202.0.0.2ospf1area0.0.0.0问题2：在这种VPN嵌套的环境下，数据是如何封装的？请写出数据包封装的格式并给出源地址与目的地址（5分）