项目18 保护办公网接入服务安全
下列每道试题都有多个选项,请选择一个最优的答案。
1、在配置访问列表的规则时,以下描述不正确的是( B )。 A.加入的规则,都被追加到访问列表的最后 B.加入的规则,可以根据需要任意插入到需要的位置 C.修改现有的访问列表,需要删除重新配置 D.访问列表按照顺序检测,直到找到匹配的规则
2、创建一个扩展访问列表101,通过以下哪条命令可以把它应用到接口上( B )。 A.pemit access-list 101 out B.ip access-group 101 out C.access-list 101 out D.apply access-list 101 out
3、以下陈述中,IP ACL不能实现的是( B )。 A.拒绝从一个网段到另一个网段的ping流量 B.禁止客户端向某个非法DNS服务器发送请求 C.禁止以某个IP地址作为源发出的telnet流量 D.禁止某些客户端的P2P下载应用
4、扩展IP访问列表的号码范围( B )。 A.1-99 B.100-199 C.800-899 D.900-999
5、 如下访问控制列表的含义是( D )。
Access-list 102 deny udp 129.9.8.10 0.0.0.255 202.38.160.10 0.0.0.255 gt 128
A.规则序列号是102,禁止从202.38.160.0/24网段的主机到129.9.8.0/24网段的主机使用端口大于128的udp协议进行连接
B.规则序列号是102,禁止从202.38.160.0/24网段的主机到129.9.8.0/24网段的主机使用端口小于128的udp协议进行连接
C.规则序列号是102,禁止从129.9.8.0/24网段的主机到202.38.160.0/24网段的主机使用端口大
于128的udp协议进行连接
D.规则序列号是102,禁止从129.9.8.0/24网段的主机到202.38.160.0/24网段的主机使用端口小于128的udp协议进行连接
6、在访问控制列表中,有一条规则如下:access-list 131 permit ip any 192.168.10.0 0.0.0.255 eq ftp 在该规则中,any的意思是表示( C )。
A.检察源地址的所有bit位 B.检查目的地址的所有bit位 C.允许所有的源地址
D.允许255.255.255.255 0.0.0.0
7、以下为标准访问列表选项是( C )。 A.access-list 116 permit host 2.2.1.1 B.access-list 1 deny 172.168.10.198
C.access-list 1 permit 172.168.10.198 255.255.0.0 D.access-list standard 1.1.1.1
8、访问列表是路由器的一种安全策略,你决定用一个标准ip访问列表来做安全控制,以下为标准访问列表的例子为( B )。
A.access-list standart 192.168.10.23 B.access-list 10 deny 192.168.10.23 0.0.0.0 C.access-list 101 deny 192.168.10.23 0.0.0.0
D.access-list 101 deny 192.168.10.23 255.255.255.255 9、配置了访问列表如下所示,最后缺省的规则是什么 ( C )。
access-list 101 permit 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255 A.允许所有的数据报通过
B.仅允许到10.0.0.0 的数据报通过 C.拒绝所有数据报通过
D.仅允许到192.168.0.0的数据报通过
10、计费服务器的IP地址在192.168.1.0/24子网内,为了保证计费服务器的安全,不允许任何用户telnet到该服务器,则需要配置的访问列表条目为( B )。
A.access-list 11 deny tcp 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
B.access-list 111 deny tcp any 192.168.1.0 eq telnet/access-list 111 permit ip any any
C.access-list 111 deny udp 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
D.access-list 111 deny tcp any 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
项目19 保护办公网接出口安全
下列每道试题都有多个选项,请选择一个最优的答案。
1. 加密算法若按照密钥的类型划分可以分为( A )两种。
A. 非对称密钥加密算法和对称密钥加密算法; B. 公开密钥加密算法和分组密码算法; C. 序列密码算法和分组密码算法; D. 序列密码算法和公开密钥加密算法。 2. 关于防火墙的描述不正确的是( A )。
A. 防火墙不能防止内部攻击
B. 使用防火墙可防止一个网段的问题向另一个网段传播 C. 防火墙可以防止伪装成外部信任主机的IP 地址欺骗 D. 防火墙可以防止伪装成内部信任主机的IP 地址欺骗 3. 包过滤技术与代理服务技术相比较( B )。
A. 包过滤技术安全性较弱、但会对网络性能产生明显影响 B. 包过滤技术对应用和用户是绝对透明的
C. 代理服务技术安全性较高、但不会对网络性能产生明显影响 D. 代理服务技术安全性高,对应用和用户透明度也很高 4. 防止用户被冒名所欺骗的方法是( A )。
A. 对信息源进行身份验证 B. 进行数据加密
C. 对访问网络的流量进行过滤和保护 D. 采用防火墙
5. 以下关于VPN 说法正确的是( B )。
A. VPN 指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路 B. VPN 指的是用户通过公用网络建立的临时的、安全的连接 C. VPN 不能做到信息验证和身份认证
D. VPN 只能提供身份认证、不能提供加密数据的功能
6. 对状态检查技术(ASPF)的优缺点描述有误的是( C )。
A. 采用检测模块监测状态信息 B. 支持多种协议和应用
C. 不支持监测RPC 和UDP 的端口信息 D. 配置复杂会降低网络的速度
7. 关于防火墙的描述不正确的是:( A ) 。
A、防火墙不能防止内部攻击。
B、如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP 地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP 地址欺骗。 8.下列不属于防火墙的主要技术有哪些?( D )。
A.简单包过滤技术 B.状态检测包过滤技术 C.应用代理技术 D.复合技术 E.地址翻译技术
9. 防火墙的测试性能参数一般包括( ABCD )。
A.吞吐量 B.新建连接速率 C.并发连接数 D.处理时延
10.下列有关防火墙局限性描述哪些是正确的( A )。
A.防火墙不能防范不经过防火墙的攻击
B.防火墙不能解决来自内部网络的攻击和安全问题 C.防火墙不能对非法的外部访问进行过滤
D.防火墙不能防止策略配置不当或错误配置引起的安全威胁
项目20 把办公网接入互联网
下列每道试题都有多个选项,请选择一个最优的答案。
1、命令ip nat inside source static 10.1.1.5 172.35.16.5的作用是( D )。
A. 为所有的外部NAT创建一个全局的地址池 B. 为内部的静态地址创建动态的地址池
C. 它为所有内部本地PAT创建创建了动态源地址转换 D. 为内部本地地址和内部全局地址创建一对一的映射关系 2、下面关于地址转换,叙述不正确的是( D )
A. 地址转换技术(nat)技术不可以有效的隐藏内部局域网中的主机,但却是一种有效的网络安全保护技术
B. 一个局域网内部有很多主机,可是不能保证每台主机都拥有合法的公网 IP 地址,为了达到所有的内部主机都可以连接 Internet网络的目的,可以使用地址转换
C. 地址转换是在IP地址日益短缺的情况下提出的
D. 地址转换(nat)可以按照用户的需要,在局域网内部提供给外部 FTP、WWW、Telnet
4、不属于地址转换的配置是( C )。
A. 定义一个访问控制列表,规定什么样的主机可以访问 B. 根据选择的方式,在连接Internet接口上使能地址转换 C. 采用EASY IP或地址池方式提供私有地址 D. 根据局域网的需要,定义合适的内部服务器 5、地址转换NAT的优点是( B )。
A. 地址转换对于报文内容中含有有用的地址信息的情况很难处理 B. 地址转换可以缓解地地址短缺的问题 C. 地址转换不能处理IP报头加密的情况
D. 地址转换由于隐藏了内部主机地址,有时会使网络调试变得复杂 6、 以下关于私有地址的说法正确的是( B )。
A. 私有地址是由InterNIC组织预留
B. 私有地址转换为Internet可识别的公有IP 地址,可以采用地址转换(NAT)技术 C. 使用私有地址能直接访问Internet
D. A类、B类、C类、D类地址中划分一部分作为私有地址,E类地址中没有划分私有地址 7、 下面关于IP地址的说法不正确的是( B )。
A. IP地址由两部分组成:网络地址和主机地址
B. 地址转换(NAT)技术通常用于解决A类地址到C类地址的转换
C. D类地址作为组播地址, D 类地址网络地址部分第一个8位组十进制为224-239 D. A类地址的网络地址部分有8位,实际的有效位数为7位 8、在地址转换中,( B )用来规定哪些数据包需要进行地址转换。
A. 在线用户表 B. 访问控制列表 C. MAC地址表 D. 路由表
9、 ( C )技术,可以把内部网络中的某些私有的地址隐藏起来。
A. BGP B. CIDR C. NAT D. OSPF
10、对于NAT技术,下面( C )描述是正确。
A. 所有的数据流量不是都要经过NAT网关才能发出 B. 网络内部使用保留地址
C. 应用程序将经过地址转换过的包发给NAT,然后NAT再发出 D. 内部地址需要和外部地址一一对应,才能实现地址转换