试题四(15分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司采用100M宽带接入Internet,公司内部有15台PC机,要求都能够上网。另外有2台服务器对外分别提供Web和E-mail 服务,采用防火墙接入公网,拓扑结构如图4-1所示。
图4-1
【问题1】(2分)
如果防火墙采用NAPT技术,则该单位至少需要申请(1)个可用的公网地址。
试题解析:
常识。
答案:1
【问题2】(3分)
下面是防火墙接口的配置命令:
fire(config)# ip address outside 202.134.135.98 255.255.255.252 fire(config)# ip address inside 192.168.46.1 255.255.255.0
fire(config)# ip address dmz 10.0.0.1 255.255.255.0
根据以上配置,写出图4-1中防火墙各个端口的IP地址:e0:(2)
e1:(3)
e2:(4)
试题解析:
很简单,对照答案看看就明白了。
答案:(2)192.168.46.1,(3)202.134.135.98,(4)10.0.0.1
【问题3】(4分)
1.ACL默认执行顺序是(5),在配置时要遵循(6)原则、最靠近受控对象原则、以及默认丢弃原则。
(5)、(6)备选项
(A)最大特权(B)最小特权(C)随机选取
(D)自左到右(E)自上而下(F)自下而上
2.要禁止内网中IP地址为198.168.46.8的PC机访问外网,正确的ACL规则是(7)
(A)access-list 1 permit ip 192.168.46.0 0.0.0.255 any
access-list 1 deny ip host 198.168.46.8 any
(B)access-list 1 permit ip host 198.168.46.8 any
access-list 1 deny ip 192.168.46.0 0.0.0.255 any (C)access-list 1 deny ip 192.168.46.0 0.0.0.255 any
access-list 1 permit ip host 198.168.46.8 any (D)access-list 1 deny ip host 198.168.46.8 any
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
试题解析:
很简单,对照答案看看就明白了。
答案:(5)E or 自上而下,(6)B or最小特权,(7)D or A
【问题4】(6分)
下面是在防火墙中的部分配置命令,请解释其含义:
global (outside) 1 202.134.135.98-202.134.135.100 (8)
conduit permit tcp host 202.134.135.99 eq www any (9)access-list 10 permit ip any any (10)
试题解析:
很简单,对照答案看看就明白了。
答案:(8)指定外网口IP地址范围为202.134.135.98-202.134.135.100
(9)允许任意外网主机访问202.134.135.99提供的WWW 服务
(10)允许任意IP数据包进出
注:(8)(9)(10)意思正确即可
试题四(共15分)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。
图4-1
在防火墙上利用show命令查询当前配置信息如下:
PIX# show config
…
nameif eth0 outside security 0
nameif eth1 inside security 100
nameif eth2 dmz security 40
…
fixup protocol ftp 21 (1)
fixup protocol http 80
…
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip address dmz 10.10.0.1 255.255.255.0
…
global(outside) 1 61.144.51.46
nat(inside) 1 0.0.0.0 0.0.0.0
…
route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 (2)…
【问题1】(4分)
解析(1)、(2)处画线语句的含义。
标准答案:
(1)启用ftp服务
(2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1
【问题2】(6分)
根据配置信息,在填充表4-1。
表4-1
标准答案:
(3)192.168.0.1 (4)255.255.255.248
(5)eth2 (6)10.10.0.1
【问题3】(2分)
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是(7)。
标准答案:
(7)61.144.51.46
【问题4】(3分)
如果需要在DMZ域的服务器(IP地址为10.10.0.100)对Internet用户提供web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
PIX(config)# static(dmz, outside) (8)(9)
PIX(config)# conduit permit tcp host (10) eq www any
说明:
static命令的格式是:static(nameif,outside) ip-outside, ip-nameif
第(10)空要填写一个主机地址,这里填写的是对外公开的那个IP地址。
标准答案:
(8)61.144.51.43 (9)10.10.0.100 (10)61.144.51.43
试题五(共15分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某单位网络拓扑结构如图5-1所示,要求配置IPSec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段,但
10.10.30.1/24网段不能连通10.10.10.2/24网段。
图5-1
根据网络拓扑和要求,解释并完成路由器R1上的部分配置。R1(config)# crypto isakmp enable (启用IKE)
R1(config)# crypto isakmp (1) 20 (配置IKE策略20)
R1(config-isakmp)# authentication pre-share (2)
R1(config-isakmp)# exit
R1(config)# crypto isakmp key 378 address 192.168.2.2 (配置预共享密钥为378)
R1(config)# access-list 101 permit
ip (3) 0.0.0.255 (4) 0.0.0.255
(设置ACL)
……
说明:
“access-list 101 permit
ip (3) 0.0.0.255 (4) 0.0.0.255”的意思是“从本地站点(3)发出的和来自远点站点(4)的数据将得到保护。”
标准答案:
(1)policy
(2)在IKE协商过程中使用预共享密钥认证方式
(3)10.10.20.0
(4)10.10.10.0
扩展答案:
(2)验证方法为使用预共享密钥
根据网络拓扑和要求,完成路由器R2上的静态路由配置。
R2(config)# ip route (5) 255.255.255.0 192.168.1.1 R2(config)# ip route 10.10.30.0 255.255.255.0 (6)
R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2 标准答案:
(5)10.10.20.0
(6)192.168.1.1
【问题3】(空(9)1分,其他2分,共7分)
根据网络拓扑和R1的配置,解释并完成路由器R3的部分配置。
……
R3(config)# crypto isakmp key (7) address (8)
R3(config)# crypto transform-set testvpn ah-md5-hmac
esp-des esp-md5-hmac (9)
R3(cfg-crypto-trans)# exit
R3(config)# crypto map test 20 ipsec-isakmp
R3(config-crypto-map)# set peer 192.168.1.1
R3(config-crypto-map)# set transform-set (10)
……
标准答案:
(7)378
(8)192.168.1.1
(9)设置名为testvpn的VPN,采用MD5认证、DES进行数据加密
(10)testvpn
扩展答案:
(9)设置IPSec变换集testvpn,AH鉴别采用ah-md5-hmac,ESP 加密采用esp-des,ESP认证采用esp-md5-hmac。
试题二(共15分)
阅读以下说明,回答问题1至问题6,将解答填入答题纸对应的解答栏内。
【说明】
某公司总部服务器1的操作系统为Windows Server 2003,需安装虚拟专用网(VPN)服务,通过Internet与子公司实现安全通信,其网络拓扑结构和相关参数如图2-1所示。
图2-1 【问题1】(2分)
在Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务:(1)和L2TP,L2TP协议将数据封装在(2)协议帧中进行传输。
答案:
(1)PPTP (2)PPP
【问题2】(1分)
在服务器1中,利用Windows Server 2003的管理工具打开“路由和远程访问”,在所列出的本地服务器上选择“配置并启用路由和远程访问”,然后选择配置“远程访问(拨号或VPN)”服务,在图2-2所示的界面中,“网络接口”应选择(3)。
(3)备选答案:
A.连接1 B.连接2
答案:
(3)B
图2-2
【问题3】(4分)
为了加强远程访问管理,新建一条名为“SubInc”的访问控
制策略,允许来自子公司服务器2的VPN访问。在图2-3所示的配置界面中,应将“属性类型(A)”的名称为(4)的值设置为“Layer Two Tunneling Protocol”,名称为(5)的值设置为“Virtual (VPN)”。
编辑SubInc策略的配置文件,添加“入站IP筛选器”,在如图2-4所示的配置界面中,IP地址应填为(6),子网掩码应填为(7)。
图2-3
图2-4
答案:
(4)Tunnel-Type (5)NAS-Port-Type
(6)202.115.12.34 (7)255.255.255.255
【问题4】(4分)
子公司PC1安装Windows XP操作系统,打开“网络和Internet 连接”。若要建立与公司总部服务器的VPN连接,在如图2-5所示的窗口中应该选择(8),在图2-6所示的配置界面中填写(9)。
(8)备选答案:
A.设置或更改您的Internet连接
B.创建一个到您的工作位置的网络连接
C.设置或更改您的家庭或小型办公网络
D.为家庭或小型办公室设置无线网络
E.更改Windows防火墙设置
答案:
(8)B
(9)61.134.1.37
图2-5
图2-6
【问题5】(2分)
用户建立的VPN连接xd2的属性如图2-7所示,启动该VPN 连接时是否需要输入用户名和密码?为什么?
图2-7
答案:
不需要,因为选中“自动使用我的Windows登录名和密码”,此时用本机Windows登录的用户名和密码进行VPN连接。
【问题6】(2分)
图2-8所示的配置窗口中所列协议“不加密的密码(PAP)”
和“质询握手身份验证协议(CHAP)”有何区别?
图2-8
答案:
PAP使用明文身份验证(1分)
CHAP通过使用MD5和质询-相应机制提供一种安全身份验证(1分)
(采用以下方式或相近方式回答也正确)
PAP以明文的方式在网上传输登录名和密码,因此不安全;(1分)
CHAP使用挑战消息及摘要技术处理验证消息,不在网上直接传输明文密码,因此具有较好的安全性,也具有防重发性。(1分)
试题四(15分)
阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
某公司内部服务器S1部署了重要的应用,该应用只允许特权终端PC1访问,如图4-1所示。为保证通信安全,需要在S1上配置相应的IPSec策略。综合考虑后,确定该IPSec策略如下:
●S1与终端PC1通过TCP协议通信,S1提供的服务端口为
6000;
●S1与PC1的通信数据采用DES算法加密;
●管理员可以在PCn上利用“远程桌面连接”对S1进行系统
维护;
●除此以外,任何终端与S1的通信被禁止。
图4-1
【问题1】(每空1分,共5分)
IPSec工作在TCP/IP协议栈的(1),为TCP/IP通信提供访问控制、(2)、数据源验证、抗重放、(3)等多种安全服务。IPSec的两种工作模式分别是(4)和(5)。
(1)~(5)备选答案:
A、应用层
B、网络层
C、数据链路层
D、传输层
E、机密性
F、可用性
G、抗病毒性
H、数据完整性
I、传输模式J、单通道模式K、多通道模式L、隧道
模式
答案:(1)B或网络层(2)E或机密性
(3)H或数据完整性(4)I或传输模式
(5)L或隧道模式
注释:(2)和(3)可以互换,(4)和(5)可以互换
【问题2】(每空2分,共4分)
针对如图4-2所示“服务器S1的IPSec策略”,下列说法中错误的是(6)和(7)。
图4-2
(6)、(7)备选答案:
A.由于所有IP通讯量均被阻止,所以PC1无法与S1通信B.特定TCP消息可以通过协商安全的方式与S1通信
C.特定TCP消息通信是通过预先共享的密钥加密
D.允许特定的远程桌面连接与S1通信
E.PC1无法通过ping命令测试是否与S1连通
F.图4-2中的筛选器相互矛盾,无法同时生效
答案:(6)A (7)F
注释:(6)和(7)可以互换
【问题3】(每空1分,共2分)
表4-1为图4-2中所示“IP筛选器列表”中“TCP消息”筛选器相关内容。将表4-1填写完整,使其满足题目中IPSec策略的要求。
表4-1
答案:(8)6000 (9)192.168.0.20
【问题4】(每空1分,共2分)
TCP消息的协商安全属性如图4-3所示,根据规定的IPSec安全策略,需要将(10)改成(11)。
图4-3
答案:(10)3DES (11)DES
【问题5】(2分)
在Windows系统中,采用TCP的3389端口提供远程桌面连接服务。图4-2中的“远程桌面连接(RDP)”对应的筛选器属性配置如图4-4所示,请问图中配置是否有误?如果有误,应该如何修改?