网络安全高级应用内测试题-1

1.IP分片重装是，根据（）来判断是否属于统一个IP数据报。（单选）A.源IPB.目的IPC.标识符（Identification）D.标志（Flags）2.关于最后一个IP分片的标志（Flags）字段，以下说法正确的是（）。（单选）A.第2位一定是1B.第3位一定是0C.第3位一定是1D.第3位可以是0，也可以是13.ICMP差错报告报文的类型4是（）报文。（单选）A.终点不可达B.源点抑制C.超时D.回送请求4.断开TCP连接可以通过发送（）控制位为“1”的报文段来实现。（选择2项）。A.SYNB.ACKC.RSTD.FIN5.TCP的（）控制位为1时，要求接收方尽快将数据送达应用层。（单选）A.SYNB.PSHC.URGD.FIN6.在ASA上查看路由表的命令是（）。（单选）A.routeB.showiprouteC.showrouteD.showrun7.在ASA上启用HTTPS服务器功能的命令是（）。A.httpenableB.httpsenableC.httpserverenableD.iphttpserverenable8.在适用nat-control命令的情况下，从高安全级别（Inside）访问低安全级别（Outside），必须配置（）命令。（选择2项）A.natB.aclC.globalD.static9.在ASA上保存runningconfiguration配置到startupconfiguration，可以适用（）命令。（选择2项）A.writememoryB.copyrunning-configstartup-configC.copystartup-configrunning-configD.write10.将DMZ区Web主机IP地址192.168.1.1映射为公网IP地址200.1.1.253，配置命令（）。（单选）A.global（dmz）192.168.1.1200.1.1.253B.global（dmz）200.1.1.253192.168.1.1C.global（dmz,outside）192.168.1.1200.1.1.253D.global（dmz,outside）200.1.1.253192.168.1.111.下列（）属于对称加密算法。（选择三项）A.DESB.3DESC.AESD.RSA12.IPSec阶段2有两种安全协议可以实现相关安全性服务机制，分别为（）。（选择2项）A.ISAKMPB.IKEC.AHD.ESP13.下列关于IPSecVPN的说法，正确的是（）。（单选）A.如果采用主模式建立IPSec连接，对等体发送的第4个数据报文及以后的数据将采用密文传输。B.传输模式将保护传输数据双方的真实IP地址。C.3des加密算法比des、aes算法都安全。D.ESP协议支持数据的加密和验证，AH协议只支持数据验证。14.下列（）命令用于设置空闲超时计时器。（单选）A.Router(config-crypto-m)#setsecurity-associationlifetimesecondssecondsB.Router(config-crypto-m)#setsecurity-associationidle-timesecondsC.Router(config)#setsecurity-associationlifetimesecondssecondsD.Router(config)#setsecurity-associationidle-timeseconds15.在ASA上配置预共享密钥的命令正确的是（）（选择2项）A.ASA(config)#isakmpkeybenetaddress200.0.0.1B.ASA(config)#cryptoisakmpkeybenetaddress200.0.0.1C.ASA(config)#tunnel-group200.0.0.1typeipsec-l2lASA(config)#tunnel-group200.0.0.1ipsec-attributesASA(config)#pre-shared-keybenetD.ASA(config)#tunnel-group200.0.0.1typeipsec-l2lASA(config)#pre-shared-keybenet16.在ASA上配置IPSecVPN时，建立管理连接的默认参数有（）。（选择两项）A.encryption3desB.encryptiondesC.group2D.group117.IPSes实现NAT穿越时，管理连接和ESP数据连接的端口分别是（）。（选择一项）A.500，4500B.51，50C.500，10000D.50，5118.对等体之间ISAKMP策略协商成功后，处于以下（）状态。（选择一项）A.MM_NO_STATEB.MM_SA_SETUPC.MM_KEY_EXCHD.QM_IDLE19.管理员发现IPSecVPN无法连通，通过调试命令发现有一下提示。IPSEC（validate_transform_proposal）：peeraddress10.0.0.1notfound%CRYPTO-6-IKMP_MODE_FAILURE：ProcessingofQuickmodefailedwithpeerat10.0.0.1可能是由于（）原因导致的。（选择一项）A.CryptoACL配置错误B.传输集协商失败C.将CryptoMap应用到错误的接口D.错误地配置了对等体的IP20.以下关于EasyVPN的描述错误的是（）。（选择一项）A.EasyVPN服务器可以是ASA或IOS路由器B.EasyVPN客户端可以是软件或硬件客户端C.EasyVPN硬件客户端不需要任何配置D.EasyVPN硬件客户端有三种模式：客户端模式、网络扩展模式和网络扩展Plus模式21.在路由器上启动AAA的命令是（）。（选择一项）A.aaanew-modelB.aaaauthenticationloginC.aaaauthenticationnetworkD.new-model22.命令split-tunnel-policytunnelspecified的作用（）。（选择一项）A.建立隧道组B.定义组策略C.定义传输集D.启动分离隧道23.以下关于SSLVPN的描述错误的是（）。（选择一项）A.SSLVPN客户端可以有三种模式：无客户端模式、瘦客户端模式和胖客户端模式B.SSLVPN只能实现基于网页内容的访问C.SSLVPN可以提供所有应用程序的全网络层访问D.SSLVPN服务器可以是ASA或IOS路由器24.在基于ASA的SSLVPN实现中，建立隧道组的命令是（）。（选择一项）A.tunnel-groupvpn_grouptypewebvpnB.tunnel-groupvpn_grouptypeipsec-raC.tunnel-groupvpn_groupgeneral-attributesD.tunnel-groupvpn_grouptypewebvpn-attributes25.Cisco交换机配置RADIUS服务器时默认的认证授权端口是（）。（选择一项）A.1645B.1646C.1812D.181326.在交换机上启动8021.x的命令是（）。（选择一项）A.aaanet-modelB.radius-servervsasendauthenticationC.dot1xsystem-auth-controlD.aaaauthorizationnetwork27.在启用8021.x后，所有端口默认都处于（）状态。（选择一项）A.force-authorizedB.force-unauthorizedC.auto28.在启动802.x后，以下关于交换机端口状态的描述错误的是（）。（选择一项）A.交换机端口有两种状态：未授权状态和授权状态B.端口处于未授权状态时，不允许任何流量通过C.端口处于授权状态时，允许流量通过29.要配置动态分配的VLAN号，需要在ACSServer中配置的RADIUS属性是（）（单选）A.[064]Tunnel-TypeB.[065]Tunnel-Medium-TypeC.[081]Tunnel-Private-Group-ID30.下列关于RADIUS协议和TACACS+协议说法，正确的是（）。（选择两项）A.RADIUS协议和TACACS+协议都使用TCP协议传输B.RADIUS协议认证和授权一起完成，而TACACS+协议认证和授权分开完成C.在ASA防火墙上配置RADIUS服务器认证授权时，不需要配置授权命令D.RADIUS协议和TACACS+协议都是使用UDP协议传输31.关于RADIUS服务器下发的ACL和本地ACL结合使用时，下列说法正确的是（）。（单选）A.任何情况下，用户的流量都必须得到这两种ACL的允许才能正常转发。B.当本地应用的ACL使用per-user-override参数时，用户流量必须符合动态ACL和本地应用的ACL时才能正常转发。C.下发的ACL和本地ACL无法同时有效，所以用户流量只要符合其中一个ACL允许就可以正常转发。D.当本地应用的ACL使用per-user-override参数时，则本地ACL无效，用户流量被服务器下发的动态ACL允许就可以转发。32.下列关于SSLVPN说法，正确的是（）。（选择两项）A.URL列表能够在SSLVPN页面中提供链接目录。B.使用无客户端SSLVPN不能够通过Web界面访问公司内部共享文件C.任何版本的ASA防火墙都可以通过importwebvpnurl-list命令添加URL列表D.使用客户端的SSLVPN接入，可以使用非Web化的应用程序访问公司内部服务器33.要关闭SSLVPN页面的地址输入栏，在ASA防火墙上不需要配置（）命令。（单选）A.ASA(config-group-webvpn)#url-entrydisableB.ASA(config-group-webvpn)#file-entrydisableC.ASA(config-group-webvpn)#url-listvalueurllistnameD.ASA(config-group-webvpn)#file-browsingdisable34.下列关于使用RADIUS服务器下发ACL的说法，正确的是（）（选择两项）A.服务器会对每个认证通过用户单独下发ACL，且ACL只对此用户有效而对其他用户无效B.当认证通过后，对接口上所有用户的流量都起作用C.使用RAIDUS服务器下发ACL时，只能通过DownloadableIPACLs方式下发ACLD.添加AAAClient时，认证使用的协议不能是标准的RADIUS（IETF）35.在VPN配置中，命令tunnel-groupvpn_grouptypeipsec-ra的作用是（）。选择1项A.建立隧道组B.定义组策略C.定义传输集D.启用分离隧道36.以下关于SSLVPN的描述正确的是（）。（选择1项）A.SSLVPN客户端都是无客户端模式B.SSLVPN只能实现基于网页内容的访问C.SSLVPN也可以提供对所有应用程序的全网络层访问D.SSLVPN服务器必须是ASA安全设备37.在ASA安全设备上，从低安全级别接口访问高安全级别接口，必须配置（）。（选择2项）A.静态NATB.动态NATC.Global命令D.ACL38.DMZ区的Web主机IP地址为192.168.1.1，映射为公网的IP地址为200.1.1.2，要使外网（outside接口）主机能够访问DMZ区的Web站点，以下配置命令正确的是（）单选A.Asa(config)#static(dmz,outside)200.1.1.2192.168.1.1Asa(config)#access-listout_to_dmzpermittcpanyhost200.1.1.2eq(config)#ac