简答题完整版

1、以下关于对称加密的说法正确的是？ ACD

A、 在对称加密中，只有一个密钥用来加密和解密信息

B、 在对称加密中，用到了二个密钥来加密和解密信息，分别是公共密钥和私用密钥

C、 对称加密是一个简单的过程，双方都必需完全相信对方，并持有这个密钥的备份

D、 对称加密的速度非常快，允许你加密大量的信息而只需要几秒钟

2、以下不属于对称加密算法的是？ CD

A、 DES

B、 RC4

C、 HASH

D、 RSA

1．人为的恶意攻击分为被动攻击和主动攻击，在以下的攻击类型中属于主动攻击的是：（ ）

A． 数据GG

B． 数据篡改及破坏

C． 身份假冒

D． 数据流分析

2．在安全服务中，不可否认性包括两种形式，分别是（A． 原发证明

B． 交付证明

C． 数据完整

D． 数据保密

3． 以下安全标准属于ISO7498-2规定的是（ ）

A． 数据完整性

B． Windows NT属于C2级

C． 不可否认性

D． 系统访问控制

）

4． 利用密码技术，可以实现网络安全所要求的（ ）

A． 数据保密性

B． 数据完整性

C． 数据可用性

D． 身份认证

5． 在加密过程中，必须用到的三个主要元素是（ A． 所传输的信息（明文）

B． 加密钥匙（Encryption key）

C． 加密函数

D． 传输信道

6． 加密的强度主要取决于（ ）

A． 算法的强度

B． 密钥的保密性

）

C． 明文的长度

D． 密钥的强度

7． 以下对于对称密钥加密说法正确的是（ ）

A． 对称加密算法的密钥易于管理

B． 加解密双方使用同样的密钥

C． DES算法属于对称加密算法

D． 相对于非对称加密算法，加解密处理速度比较快

8. 相对于对称加密算法，非对称密钥加密算法（ ）

A． 加密数据的速率较低

B． 更适合于现有网络中对所传输数据（明文）的加解密处理

C． 安全性更好

D． 加密和解密的密钥不同

9． 以下对于混合加密方式说法正确的是（ ）

A． 使用公开密钥密码对要传输的信息（明文）进行加解密处理

B． 使用对称加密算法队要传输的信息（明文）进行加解密处理

C． 使用公开密钥密码对称加密密码的密钥进行加密后的通信

D． 对称密钥交换的安全信道是通过公开密钥密码来保证的

10． 在通信过程中，只采用数字签名可以解决（ ）等问题。

A． 数据完整性

B． 数据的抗抵赖性

C． 数据的篡改

D． 数据的保密性

11． 防火墙不能防止以下那些攻击行为（ ）

A． 内部网络用户的攻击

B． 传送已感染病毒的软件和文件

C． 外部网络用户的IP地址欺骗

D． 数据驱动型的攻击

12． 以下属于包过滤技术的优点的是（ ）

A． 能够对高层协议实现有效过滤

B． 具有较快的数据包的处理速度

C． 为用户提供透明的服务，不需要改变客户端的程序和自己本身的行为

D． 能够提供内部地址的屏蔽和转换功能

13． 以下关于包过滤技术与代理技术的比较，正确的是（ ）

A． 包过滤技术的安全性较弱，代理服务技术的安全性较高

B． 包过滤不会对网络性能产生明显影响

C． 代理服务技术会严重影响网络性能

D． 代理服务技术对应用和用户是绝对透明的

14． 对于防火墙的设计准则，业界有一个非常著名的标准，即两个基本的策略（A． 允许从内部站点访问Internet而不允许从Internet访问内部站点

）

B． 没有明确允许的就是禁止的

C． 没有明确禁止的就是允许的

D． 只允许从Internet访问特定的系统

15． 建立堡垒主机的一般原则（ ）

A． 最简化原则

B． 复杂化原则

C． 预防原则

D． 网络隔断原则

1在安全服务中，不可否认性包括两种形式，分别是（A． 原发证明

B． 交付证明

C． 数据完整

D． 数据保密

）

2 以下安全标准属于ISO7498-2规定的是（ ）

A． 数据完整性

B． Windows NT属于C2级

C． 不可否认性

D． 系统访问控制

3 利用密码技术，可以实现网络安全所要求的（ A． 数据保密性

B． 数据完整性

C． 数据可用性

D． 身份认证

4 在加密过程中，必须用到的三个主要元素是（ A． 所传输的信息（明文）

B． 加密钥匙（Encryption key）

）

）

C． 加密函数

D． 传输信道

5 加密的强度主要取决于（ ）

A． 算法的强度

B． 密钥的保密性

C． 明文的长度

D． 密钥的强度

6 以下对于对称密钥加密说法正确的是（ ）

A． 对称加密算法的密钥易于管理

B． 加解密双方使用同样的密钥

C． DES算法属于对称加密算法

D． 相对于非对称加密算法，加解密处理速度比较快

7 相对于对称加密算法，非对称密钥加密算法（ ）

A． 加密数据的速率较低

B． 更适合于现有网络中对所传输数据（明文）的加解密处理

C． 安全性更好

D． 加密和解密的密钥不同

8 以下对于混合加密方式说法正确的是（ ）

A． 使用公开密钥密码对要传输的信息（明文）进行加解密处理

B． 使用对称加密算法队要传输的信息（明文）进行加解密处理

C． 使用公开密钥密码对称加密密码的密钥进行加密后的通信

D． 对称密钥交换的安全信道是通过公开密钥密码来保证的

9 在通信过程中，只采用数字签名可以解决（ ）等问题。

A． 数据完整性

B． 数据的抗抵赖性

C． 数据的篡改

D． 数据的保密性

10防火墙不能防止以下哪些攻击行为（ ）

A． 内部网络用户的攻击

B． 传送已感染病毒的软件和文件

C． 外部网络用户的IP地址欺骗

D． 数据驱动型的攻击

简答题

1 在交换机上配置端口安全的作用是什么？

①基于MAC地址、允许客户端流量

②避免MAC地址扩散攻击

③避免MAC地址欺骗攻击（主机使用虚假MAC地址发送非法数据）

2 状态化防火墙的原理是什么？

动态地根据实际需求，自动生成或删除相应的包过滤规则

3 ASA上不同安全级别的接口之间互相访问时，遵从的默认规则是什么？

①允许出站（outbound）连接

②禁止入站（inbound）连接

③禁止相同安全级别的接口之间通信

4 在ASA上配置ACL的作用是什么？

允许入站连接；控制出站连接的流量

5 NAT豁免有什么作用？

允许双向通信

6 简述ASA的远程管理方式有哪些？

telnet、SSH、ASDM

7 简述NAT控制的作用

做NAT控制 内网访问 需要做NAT转换

8 简述VPN的类型有哪些？

站点到站点VPN；远程访问VPN；点到点VPN

9简述常见的对称加密算法有哪些？哪种更安全？

DES、3DES、AES AES更安全。

10 简述IPSec VPN阶段一需要配置哪些参数？

配置安全策略；配置预共享密钥

11 简述配置IPSec VPN 时，ASA防火墙与路由器的区别？

防火墙ike默认关闭，路由器默认开启；默认配置不同

12 在ASA上配置IPSec VPN时，NAT豁免的作用是什么？

VPN不用做NAT转换

13 简述NAT-T的作用是什么？

解决地址转换的问题

14 简述AAA服务指的是什么？

认证，授权，统计

15 常见的AAA协议有哪些？区别是什么？

RADIUS 公有的，只加密用户名和密码，基于UDP协议

TACACS+ 私有的，加密整个包，基于TCP协议

16 简述分离隧道的作用？

分离隧道能够使客户端在进行VPN访问时正常访问Internet。

17 简述DNS分离的作用？

使用内部的DNS解析和外部的DNS解析

18 SSL VPN客户端有哪3种模式？

SSL VPN客户端有3种模式：无客户端模式 、瘦客户端模式 、胖客户端模式

19简述SSL VPN有哪些优势？

不考虑Nat环境，简单，易懂

20 802.1x中的交换机端口有哪2种状态？

交换机端口有2种状态：未授权状态和授权状态，它们决定了客户是否能够访问网络。

21命令dot1x port-control有哪3个参数？端口默认处于什么状态？

force-authorized，force-unauthorized,auto；授权状态

22 802.1x身份验证包含哪3个主要组件？

客户端，交换机，验证服务器

23 命令dot1x port-control有哪3个参数？端口默认处于什么状态？

force-authorized，force-unauthorized,auto；授权状态

24 简述穿越代理的原理和作用

原理：1、PC访问Web服务器

2、检查流量，发送认证提示给PC

3、输入用户名、密码进行认证

4、认证成功，进行授权

5、PC访问Web服务器正常

作用：穿越代理一般用于企业要基于每个员工应用不同的安全及权限策略或需要设置的安全策略过多时，而单一的安全策略一般都应用于一组用户或一个网段的用户，而通过

aaa服务器可以经特定的安全策略应用到通过认证的单个用户，使得配置更加灵活。

25 在使用命令access-group acl_name in interface inside per-user-override应用ACL时，本地配置的ACL是否有效？

无效

26 使用RADIUS服务器动态下发ACL常用方式是什么？

Downloadable IP ACLs（可下载的IP ACLs）

27在Downloadable IP ACLs方式的配置中，添加AAA Client时，认证使用的协议是选择 “RADIUS (Cisco VPN 3000/ASA/PIX 7.x+)”还是标准RADIUS(IETF)？

RADIUS (Cisco VPN 3000/ASA/PIX 7.x+)

28 IDS与IPS的主要区别是什么？

IDS是入侵检测系统，IPS是入侵防护系统

IDS的工作原理是使用一个或多个监听端口“嗅探”

不转发任何流量；

IPS的工作原理是提供主动性的防护，预先对入侵活动和攻击性网络流量进行拦截

29 IPS的分类有哪几种？

HIPS，NIPS

30 如何对IPS 4200传感器进行初始化配置

进入cli；

运行setup命令；（主机名，ip地址及掩码，网关，telnet服务器状态（禁用），web服务器端口（443））。

31 ids和ips分别以什么样的方式接入网络

IDS 可部署在防火墙外；

IPS 可部署在防火墙内

32 传感接口可以运行在什么模式？

混杂模式，在线模式

33 网络卫士防火墙有几大系列？

网络卫士NGFWARES、NGFW4000、NGFW4000-UF三大系列

34 网络卫士防火墙支持的双机热备功能有哪几种模式？

旁路接入模式，透明接入模式

35 天融信网络卫士防火墙双机热备模式中“心跳线”的作用是什么？

是协商状态、同步对象及配置信息

36 简述H3C产品体系包含哪些产品？

IP网络产品

IP无线产品

IP安全产品

IP存储产品

IP多媒体产品

IP管理产品

服务及培训产品

37 简述在H3C设备上OSPF协议配置的思路？

启用OSPF指定router-id；

进入area1；

重发静态路由；

重发直连路由；

重发默认路由；

38 简述泪滴攻击的原理和防护方法

操作系统在收到IP分片后，会根据偏移值将IP分片重新组装成IP数据包

如果伪造含有重叠偏移的分片，一些老的操作系统在收到这种分片时将崩溃

方法： 在ASA上配置fragment chain

每个IP包允许的分片数，默认是24个

禁止IP分片通过的配置命令

39 什么是syn半开连接？有什么危害

如果短时间内接收到的SYN太多，半连接队列就会溢出，则

正常的客户发送的SYN请求连接也会被服务器丢弃！

40 常见的安全基本分类有哪几种？

物理安全

系统安全

网络安全

数据安全

41 常见的攻击方式有哪几种？

ARP攻击 SYN Flood攻击 网页挂马 利用漏洞 暴力破解 木马植入

42 注册表工具被禁用后，使用什么方法可以恢复？

删除文件C:\\Windows\\System32\\rundll32.bat

运行gpedit.msc组策略编辑器

用户配置-->管理模板-->系统，将“阻止访问注册表工具”设 为“已禁用”

用户配置-->管理模板-->Windows组件-->Internet Explorer，将“禁止更改主页设置”设为“已禁用”

编辑注册表，删除开机启动项“ctfmom”

重新打开Internet Explorer浏览器，修复主页设置

43 在局域网中可以使用什么工具探测用户名与密码？

使用Ettercap进行网络嗅探

44 扫描方式有哪几种？

Ping检测 端口扫描 OS探测 弱口令探测 漏洞评估

45 常见的扫描工具有哪几种？

SuperScan

Fluxay（流光）

X-Scan

MBSA

Wikto

46 对Windows安全性进行检测的工具是什么？

MBSA

47 用什么工具探测系统弱口令账户？

X-Scan Fluxay

48 常见的木马有哪几种？远程控制木马

冰河木马

键盘屏幕记录木马

QQ密码记录器

反弹端口型木马

广外女生、网络神偷

DDoS攻击木马

49 简述如何使木马开机自启动？

1在注册表中更改开机启动项

50 常见的密码破解方式有哪些？

暴力破解与字典攻击

密码穷举

字典攻击

键盘屏幕记录

网络钓鱼

 伪造站点诱骗用户登陆，获取账号与密码

 Sniffer（嗅探器）

 直接抓取网络包，获取未加密信息

 密码心理学

 通过个人习惯猜测密码组成

综合实验题

试题一：在路由器上实现多点ipsec （本题共35分）

请认真阅读以下项目背景描述材料,之后分析相关需求,创建虚拟环境完成实验操作,实验过程以详细截图方式进行记录并给于相关文字说明

.

背景描述

某公司网络拓扑结构如下：R1为公司总部网络站点，R2、R3分别为两个分公司的站点。三家公司都接入了互联网。公司要求在不增加成本的情况下实现三家公司财务数据安全的传输。

3家分公司之间所有的流量必须通过IPSec VPN实现加密传输

3家分公司各自访问Internet的流量通过NAT技术实现

评分标准

搭建拓扑图配置基本ip地址和路由 (5)

在R1与R2之间配置ipsec （5）

在R2与R3之间配置ipsec （10）

在R1与R3之间配置IPSec VPN （5）

需求描述

在所有站点上配置PAT实现内网数据对于Internet的访问 （5）

验证IPSec VPN （5）

路由配置

R1(config)#ip route 0.0.0.0 0.0.0.0 F0/0

R2(config)#ip route 0.0.0.0 0.0.0.0 F0/0

R3(config)#ip route 0.0.0.0 0.0.0.0 F0/0

ISP(config)#ip route 1.1.1.0 255.255.255.0 ISP(config)#ip route 2.2.2.0 255.255.255.0 ISP(config)#ip route 3.3.3.0 255.255.255.0 配置R1-R2之间的IPSec VPN

R1(config)#crypto isakmp policy 1

R1(config-isakmap)#encryption 3des

R1(config-isakmap)#hash sha

10.0.0.1

20.0.0.1

30.0.0.1

R1(config-isakmap)#authentication pre-share

R1(config-isakmap)#group 2

R1(config)#crypto isakmp key 0 hdxy-001 address 20.0.0.1

R1(config)#access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

R1(config)#crypto ipsec transform-set hdxy-set esp-des esp-sha-hmac

R1(cfg-crypto-trans)#exit

R1(config)#crypto map hdxy-map 1 ipsec-isakmp

R1(config-crypto-map)#set peer 20.0.0.1

R1(config-crypto-map)#set transform-set hdxy-set

R1(config-crypto-map)#match address 100

R1(config)#interface f0/0

R1(config-if)#crypto map hdxy-map

添加R1-R3的预共享密钥

R1(config)#crypto isakmp key 0 hdxy-002 address 30.0.0.1

添加R1-R3的Crypto ACL

 R1(config)#access-list 101 permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255

配置新的Crypto Map，要求映射名相同，而序号

R1(config)#crypto map hdxy-map 2 ipsec-isakmp

R1(config-crypto-map)#set peer 30.0.0.1

R1(config-crypto-map)#set transform-set hdxy-set

R1(config-crypto-map)#match address 101

R2、R3关键配置

R2(config)#crypto isakmp key 0 hdxy-001address 10.0.0.1

R2(config)#access-list 101 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

R2(config)#crypto map hdxy-map 2 ipsec-isakmp

R2(config-crypto-map)#set peer 10.0.0.1

R2(config-crypto-map)#set transform-set hdxy-set

R2(config-crypto-map)#match address 101

R3(config)#crypto isakmp key 0 hdxy-002 address 10.0.0.1

R3(config)#access-list 101 permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255

R3(config)#crypto map hdxy-map 2 ipsec-isakmp

R3(config-crypto-map)#set peer 10.0.0.1

R3(config-crypto-map)#set transform-set hdxy-set

R3(config-crypto-map)#match address 101

试题二：在防火墙上配置ipsec 在路由器上实现nat-t穿越（本题共35分）

请认真阅读以下项目背景描述材料,之后分析相关需求,创建虚拟环境完成实验操作,实验过程以详细截图方式进行记录并给于相关文字说明

.

背景描述

某公司网络拓扑结构如下：R1为公司总部网络站点，asa2为分公司的站点。两家公

司都接入了互联网。为了减轻总部网络设备的压力，增加了一台防火墙asa1单独实现ipsec 功能，要求的流量能够穿越nat设备

需求描述

R2路由器模拟ISP服务提供商，R1上配置PAT实现内网对Internet的访问

两台防火墙之间建立IPSec VPN，连接穿过NAT设备，配置实现两端对等体成功建立IPSec连接

评分标准

搭建拓扑图实现基本配置 （10）

在ASA防火墙上配置IPSec VPN （10）

配置实现NAT穿越 （10）

验证ipsec （5）

ASA1(config)#access-list nonat extended permit ip 172.16.10.0

255.255.255.0 10.10.33.0 255.255.255.0

ASA1(config)#nat (inside) 0 access-list nonat

ASA1(config)#route outside 0 0 100.0.0.2

ASA1(config)#nat-control

ASA1(config)#nat (inside) 1 0 0

ASA1(config)#global (outside) 1 int

建立ISAKMP

ASA1(config)#crypto isakmp enable outside

配置管理连接策略

ASA1(config)#crypto isakmp policy 1

ASA1(config-isakmp-policy)#encryption aes

ASA1(config-isakmp-policy)#hash sha

ASA1(config-isakmp-policy)#authentication pre-share

ASA1(config-isakmp-policy)#group 1

配置预共享密钥

ASA1(config)#crypto isakmp key hdxy address 200.0.0.1

配置crypto ACL

ASA1(config)#access-list yf extended permit ip 172.16.10.0

255.255.255.0 10.10.33.0 255.255.255.0

配置传输集

ASA1(config)#crypto ipsec transform-set hdxy-set esp-aes esp-sha-hmac

配置crypto map

ASA1(config)#crypto map hdxy-map 1 match address yf

ASA1(config)#crypto map hdxy-map 1 set peer 200.0.0.1

ASA1(config)#crypto map hdxy-map 1 set transform-set hdxy-set

将Crypto Map应用到outside接口上

ASA1(config)#crypto map hdxy-map interface outside

试题三：防火墙实现远程（本题共35分）

请认真阅读以下项目背景描述材料,之后分析相关需求,创建虚拟环境完成实验操作,实验过程以详细截图方式进行记录并给于相关文字说明

.

背景描述

某公司网络拓扑结构如下：防火墙为公司总部网络站点，公司出差人员需要接入了公司内部网络查询资料。要求不同级别的出差人员可以安全的访问相应的内部网络资源

需求描述

建立用户分别是hdxy和cisco，口令任意指定

要求使用hdxy用户登录时只能访问192.168.0.100服务器资源；使用cisco用户登录是只能访问192.168.0.200服务器资源

这两个用户在访问内网资源的同时可以访问

评分标准

搭建拓扑图并实现基本配置 （8）

配置用户名密码 （5）

ASA(config)# username hdxy password cisco

配置组策略 （5）

ASA(config)# ip local pool hdxy-pool 192.168.1.200-192.168.1.210

ASA(config)# group-policy test-group {internal|external}

ASA(config)# group-policy test-group attributes

ASA(config-group-policy)# dns-server value 192.168.0.10

ASA(config-group-policy)# address-pool value hdxy-pool

ASA(config-group-policy)# split-tunnel-policy tunnelspecified

ASA(config-group-policy)# split-tunnel-network-list value split-acl

ASA(config-group-policy)# split-dns hdxy.com

配置用户组 （5）

ASA(config)# username hdxy attributes

ASA(config-username)# -group-policy test-group

ASA(config-username)# -tunnel-protocol [ipsec] [web

 定义隧道组

ASA(config)# ip local pool hdxy-pool 192.168.1.200-192.168.1.210

ASA(config)# tunnel-group hdxy-group type ipsec-ra

ASA(config)# tunnel-group hdxy-group general-attributes

ASA(config-general)# address-pool hdxy-pool

ASA(config-general)# default-group-policy test-group

ASA(config-general)# exit

ASA(config)# tunnel-group hdxy-group ipsec-attributes

ASA(config-ipsec)# pre-shared-key hdxy-key

配置Crypto Map （5）

ASA(config)# crypto ipsec transform-set hdxy-set esp-3des esp-sha-

hmac

ASA(config)# crypto dynamic-map hdxy-dymap 1 set transform-set

hdxy-set

ASA(config)# crypto map hdxy-stamap 1000 ipsec-isakmp dynamic

hdxy-dymap

ASA(config)# crypto map hdxy-stamap int outside

安装客户端并正确配置 （2）

验证不同账号并访问相关资源 （5）

 配置IKE

ASA(config)# username hdxy password cisco

ASA(config)# crypto isakmp enable outside

ASA(config)# crypto isakmp policy 10

ASA(config-isakmp-policy)# encryption 3des

ASA(config-isakmp-policy)# hash sha

ASA(config-isakmp-policy)# authentication pre-share

ASA(config-isakmp-policy)# group 2

ASA(config-isakmp-policy)# exit

 配置组策略和隧道组

 ASA(config)# ip local pool hdxy-pool 192.168.1.200-192.168.1.210

 ASA(config)# access-list split-acl permit ip 192.168.0.0 255.255.255.0 any

 ASA(config)# group-policy test-group internal

 ASA(config)# group-policy test-group attributes

 ASA(config-group-policy)# split-tunnel-policy tunnelspecified

 ASA(config-group-policy)# split-tunnel-network-list value split-acl

 ASA(config-group-policy)# exit

 ASA(config)# tunnel-group hdxy-group type ipsec-ra

 ASA(config)# tunnel-group hdxy-group general-attributes

 ASA(config-tunnel-general)# address-pool hdxy-pool

 ASA(config-tunnel-general)# default-group-policy test-group

 ASA(config-tunnel-general)# exit

 ASA(config)# tunnel-group hdxy-group ipsec-attributes

 ASA(config-tunnel-ipsec)# pre-shared-key hdxy-key

 ASA(config-tunnel-ipsec)# exit

试题四：在防火墙上配置ssl 的两种模式（本题共35分）

请认真阅读以下项目背景描述材料,之后分析相关需求,创建虚拟环境完成实验操作,实验过程以详细截图方式进行记录并给于相关文字说明

.

背景描述

某公司网络拓扑结构如下：防火墙为公司总部网络站点，公司出差人员需要接入了公司内部网站查询资料

需求描述

防火墙内部pc通过pat转换192.168.2.1访问internet

要求配置无客户端模式验证特性

胖客户端模式的SSL VPN验证特性

评分标准

搭建拓扑图并实现网络基本配置 （5）

搭建web服务器（5）

在asa上配置SSL VPN无客户端模式 （10）

在asa上配置SSL VPN胖客户端模式 (10)

验证无客户端和胖客户端ssl 的特性 （5）

 在ASA防火墙上配置无客户端模式的SSL VPN

ASA(config)# web

ASA(config-web)# enable outside

ASA(config-web)# exit

ASA(config)# username hdxy password cisco

 配置胖客户端模式的SSL VPN

ASA(config)# username hdxy password cisco

ASA(config)# web

ASA(config-web)# enable outside

ASA(config-web)# svc image disk0:/sslclient-win-1.1.3.173.pkg

ASA(config-web)# svc enable

ASA(config-web)# tunnel-group-list enable

ASA(config-web)# exit

ASA(config)# ip local pool ssl_pool 192.168.1.100-192.168.1.200

ASA(config)# group-policy _group_policy internal

ASA(config)# group-policy _group_policy attributes

ASA(config-group-policy)# -tunnel-protocol web svc

ASA(config-group-policy)# web

ASA(config-group-web)# svc ask enable

ASA(config-group-web)# exit

ASA(config-group-policy)# exit

ASA(config)# tunnel-group _group type web

ASA(config)# tunnel-group _group general-attributes

ASA(config-tunnel-general)# address-pool ssl_pool

ASA(config-tunnel-general)# default-group-policy _group_policy

ASA(config-tunnel-general)# exit

ASA(config)# tunnel-group _group web-attributes

ASA(config-tunnel-web)# group-alias groups enable

ASA(config-tunnel-web)# exit

试题五：在防火墙上配置http协议穿越代理（本题共35分）

请认真阅读以下项目背景描述材料,之后分析相关需求,创建虚拟环境完成实验操作,实验过程以详细截图方式进行记录并给于相关文字说明

背景描述

某公司网络拓扑结构如下：防火墙为公司总部网络站点，由于内部产生的网络攻击越来越多公司要求用asa实现穿越代理实现内部服务器的安全

需求描述

客户端访问服务器必须通过ASA认证授权

PC1用户名：hdxy，密码：hdxy；只能访问Web Server

PC2用户名：cisco，密码：cisco；可以访问Web和ACS服务器

评分标准

搭建拓扑图并进行基本配置 （5）

正确安装acs服务器 （5）

配置穿越代理 （10）

配置AAA服务器使用RADIUS协议授权 （10）

验证用户权限 （5）

 配置RADIUS服务器

 配置AAA Server和AAA Client

 添加用户hdxy和cisco

 hdxy用户加入组group1

 cisco用户加入组group2

 配置动态下发ACL

group1：

permit tcp any 192.168.100.3 255.255.255.255 eq 80

group2：

permit tcp any 192.168.100.2 255.255.255.255 eq 80

permit tcp any 192.168.100.3 255.255.255.255 eq 80

 配置ASA穿越代理

ASA(config)# access-list http permit tcp any 192.168.100.0 255.255.255.0 eq 80

ASA(config)# aaa-server acs protocol RADIUS

ASA(config-aaa-server-group)# aaa-server acs (dmz) host 192.168.100.2

ASA(config-aaa-server-host)# key cisco

ASA(config-aaa-server-host)# exit

ASA(config)# aaa authentication match http inside acs

ASA(config)# aaa authentication secure-http-client

试题六：利用ips实现内部网络服务器的安全（本题共35分）

请认真阅读以下项目背景描述材料,之后分析相关需求,创建虚拟环境完成实验操作,实验过程以详细截图方式进行记录并给于相关文字说明

.

背景描述

某公司网络拓扑结构如下：在交换机上串接一个ips 要求f0/1到f0/2的流量经过ips设备

需求描述

客户端访问服务器必须经过ips设备

在客户机上发动syn攻击

Ips设备检测到syn攻击

评分标准

搭建拓扑图并进行基本配置 （5）

配置ips的vlan pairs对 （10）

配置ips的web监控和block设置 （10）

客户机发动syn攻击（5）

验证ips的监控效果和实际的block效果 （5）

试题七：在路由器上同时配置站到站ipsec 和远程访问（easy ）（本题共35分）

请认真阅读以下项目背景描述材料,之后分析相关需求,创建虚拟环境完成实验操作,实验过程以详细截图方式进行记录并给于相关文字说明

.

背景描述

某公司网络拓扑结构如下：路由器R1为公司总部网络站点，路由器R2为isp的路由器，路由器R3为分公司的网络站点，pc1为出差人员，有时需要接入了公司内部网络查询资料

需求描述

R1和R2之间实现站到站的ipsec

R1和 client 实现远程访问即(easy )

总部和分公司的内网用 loopback接口代替

评分标准

搭建拓扑图并进行基本配置 （5）

配置R1和R2之间的ipsec （10）

配置R1的远程ipsec （10）

客户机上拨号成功（5）

验证 client 和总部内网的通信、R2内网（loopback）和R1内网（loopback）的通信 （5）

Easy VPN应用

R1(config)# aaa new-model

R1(config)# aaa authentication login hdxy-authen local

R1(config)# aaa authorization network hdxy-author local

R1(config)# username hdxy secret cisco

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# encryption 3des

R1(config-isakmp)# hash sha

R1(config-isakmp)# authentioncation pre-share

R1(config-isakmp)# group 2

R1(config-isakmp)# exit

 配置组策略

R1(config)# ip local pool hdxy-pool 192.168.1.200 192.168.1.210

R1(config)# ip access-list extended split-acl

R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 any

R1(config-ext-nacl)# exit

R1(config)# crypto isakmp client configuration group test-group

R1(config-isakmp-group)# key hdxy-key

R1(config-isakmp-group)# pool hdxy-pool

R1(config-isakmp-group)# dns 192.168.0.10

R1(config-isakmp-group)# acl split-acl

R1(config-isakmp-group)# split-dns hdxy.com

R1(config-isakmp-group)# exit

 配置MAP并应用

R1(config)# crypto ipsec transform-set hdxy-set esp-3des esp-sha-hmac

R1(cfg-crypto-tran)#exit

R1(config)# crypto dynamic-map hdxy-dymap 1

R1(config-crypto-m)# set transform-set hdxy-set

R1(config-crypto-m)# exit

R1(config)# crypto map hdxy-stamap 1000 ipsec-isakmp dynamic hdxy-dymap

R1(config)# crypto map hdxy-stamap client authentication list hdxy-authen

R1(config)# crypto map hdxy-stamap isakmp authorization list hdxy-author

R1(config)# crypto map hdxy-stamap client configuration address respond

R1(config)# int f0/1

R1(config)# crypto map hdxy-stamap

试题八：在交换局域网环境下利用x-scan、ettercap-NG-0.7.3工具抓取网络中的明文ftp密码（本题共35分）

请认真阅读以下项目背景描述材料,之后分析相关需求,创建虚拟环境完成实验操作,实验过程以详细截图方式进行记录并给于相关文字说明

.

背景描述

某公司局域网拓扑结构如下：c1为普通员工pc机，c2为公司的ftp服务器系统为2003 server，c3为内部网络攻击者，c3利用黑客工具监听网络中的通信。

需求描述

在vmware上添加vnet2

c3利用x-scan工具扫描网络中c2为windows2003 server系统

c3对c2进行详细的端口扫描 2003开放了21号端口

c3利用ettercap对2003所有流量进行监控获取了密码

评分标准

搭建拓扑图并进行基本配置 （10）

在2003 server上搭建ftp服务器并禁止匿名访问（5）

在c3上进行整个网段扫描找出2003 server的ip地址 （5）

在c3上利用x-scan对2003系统进行端口扫描发现ftp服务开放（5）

在c3上利用ettercap工具对2003进行监听获得c1和c2之间ftp访问密码 （10）