网络安全真题

试题四（15分）阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某公司采用100M宽带接入Internet，公司内部有15台PC机，要求都能够上网。另外有2台服务器对外分别提供Web和E-mail服务，采用防火墙接入公网，拓扑结构如图4-1所示。图4-1【问题1】（2分）如果防火墙采用NAPT技术，则该单位至少需要申请 （1） 个可用的公网地址。试题解析：常识。答案：1【问题2】（3分）下面是防火墙接口的配置命令：fire(config)# ip address outside 202.134.135.98 255.255.255.252fire(config)# ip address inside 192.168.46.1 255.255.255.0fire(config)# ip address dmz 10.0.0.1 255.255.255.0根据以上配置，写出图4-1中防火墙各个端口的IP地址：e0： （2） e1： （3） e2： （4） 试题解析：很简单，对照答案看看就明白了。答案：（2）192.168.46.1，（3）202.134.135.98，（4）10.0.0.1【问题3】（4分）1ACL默认执行顺序是 （5） ，在配置时要遵循 （6） 原则、最靠近受控对象原则、以及默认丢弃原则。（5）、（6）备选项（A）最大特权（B）最小特权（C）随机选取（D）自左到右（E）自上而下（F）自下而上2要禁止内网中IP地址为198.168.46.8的PC机访问外网，正确的ACL规则是（7） （A）access-list 1 permit ip 192.168.46.0 0.0.0.255 anyaccess-list 1 deny ip host 198.168.46.8 any（B）access-list 1 permit ip host 198.168.46.8 anyaccess-list 1 deny ip 192.168.46.0 0.0.0.255 any（C）access-list 1 deny ip 192.168.46.0 0.0.0.255 anyaccess-list 1 permit ip host 198.168.46.8 any（D）access-list 1 deny ip host 198.168.46.8 anyaccess-list 1 permit ip 192.168.46.0 0.0.0.255 any试题解析：很简单，对照答案看看就明白了。答案：（5）E or 自上而下，（6）B or最小特权，（7）D or A【问题4】（6分）下面是在防火墙中的部分配置命令，请解释其含义：global (outside) 1 202.134.135.98-202.134.135.100 （8） conduit permit tcp host 202.134.135.99 eq www any （9） access-list 10 permit ip any any （10） 试题解析：很简单，对照答案看看就明白了。答案：（8）指定外网口IP地址范围为202.134.135.98-202.134.135.100（9）允许任意外网主机访问202.134.135.99提供的WWW服务（10）允许任意IP数据包进出注：（8）（9）（10）意思正确即可试题四（共15分）阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某公司通过PIX防火墙接入Internet，网络拓扑如图4-1所示。图4-1在防火墙上利用show命令查询当前配置信息如下：PIX# show confignameif eth0 outside security 0nameif eth1 inside security 100nameif eth2 dmz security 40fixup protocol ftp 21 （1）fixup protocol http 80ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1 255.255.255.0ip address dmz 10.10.0.1 255.255.255.0global(outside) 1 61.144.51.46nat(inside) 1 0.0.0.0 0.0.0.0route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 （2）【问题1】（4分）解析（1）、（2）处画线语句的含义。标准答案：（1）启用ftp服务（2）设置eth0口的默认路由，指向61.144.51.45，且跳步数为1【问题2】（6分）根据配置信息，在填充表4-1。表4-1标准答案：（3）192.168.0.1（4）255.255.255.248（5）eth2（6）10.10.0.1【问题3】（2分）根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是 （7） 。标准答案：（7）61.144.51.46【问题4】（3分）如果需要在DMZ域的服务器（IP地址为10.10.0.100）对Internet用户提供web服务（对外公开IP地址为61.144.51.43），请补充完成下列配置命令。PIX(config)# static(dmz, outside) （8） （9）PIX(config)# conduit permit tcp host （10） eq www any说明：static命令的格式是：static(nameif,outside) ip-outside, ip-nameif第（10）空要填写一个主机地址，这里填写的是对外公开的那个IP地址。标准答案：（8）61.144.51.43（9）10.10.0.100（10）61.144.51.43试题五（共15分）阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。【说明】某单位网络拓扑结构如图5-1所示，要求配置IPSec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段，但10.10.30.1/24网段不能连通10.10.10.2/24网段。图5-1【问题1】（4分）根据网络拓扑和要求，解释并完成路由器R1上的部分配置。R1(config)# crypto isakmp enable（启用IKE）R1(config)# crypto isakmp （1） 20（配置IKE策略20）R1(config-isakmp)# authentication pre-share （2）R1(config-isakmp)# exitR1(config)# crypto isakmp key 378 address 192.168.2.2（配置预共享密钥为378）R1(config)# access-list 101 permit ip （3） 0.0.0.255 （4） 0.0.0.255（设置ACL）说明：“access-list 101 permit ip （3） 0.0.0.255 （4） 0.0.0.255”的意思是“从本地站点（3）发出的和来自远点站点（4）的数据将得到保护。”标准答案：（1）policy（2）在IKE协商过程中使用预共享密钥认证方式（3）10.10.20.0（4）10.10.10.0扩展答案：（2）验证方法为使用预共享密钥【问题2】（4分）根据网络拓扑和要求，完成路由器R2上的静态路由配置。R2(config)# ip route （5） 255.255.255.0 192.168.1.1R2(config)# ip route 10.10.30.0 255.255.255.0 （6）R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2标准答案：（5）10.10.20.0（6）192.168.1.1【问题3】（空（9）1分，其他2分，共7分）根据网络拓扑和R1的配置，解释并完成路由器R3的部分配置。R3(config)# crypto isakmp key （7） address （8） R3(config)# crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac （9）R3(cfg-crypto-trans)# exitR3(config)# crypto map test 20 ipsec-isakmpR3(config-crypto-map)# set peer 192.168.1.1R3(config-crypto-map)# set transform-set （10）标准答案：（7）378（8）192.168.1.1（9）设置名为testvpn的VPN，采用MD5认证、DES进行数据加密（10）testvpn扩展答案：（9）设置IPSec变换集testvpn，AH鉴别采用ah-md5-hmac，ESP加密采用esp-des，ESP认证采用esp-md5-hmac。试题二（共15分）阅读以下说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。【说明】某公司总部服务器1的操作系统为Windows Server 2003，需安装虚拟专用网（VPN）服务，通过Internet与子公司实现安全通信，其网络拓扑结构和相关参数如图2-1所示。图2-1【问题1】（2分）在Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务： （1） 和L2TP，L2TP协议将数据封装在 （2） 协议帧中进行传输。答案：（1）PPTP（2）PPP【问题2】（1分）在服务器1中，利用Windows Server 2003的管理工具打开“路由和远程访问”，在所列出的本地服务器上选择“配置并启用路由和远程访问”，然后选择配置“远程访问（拨号或VPN）”服务，在图2-2所示的界面中，“网络接口”应选择 （3） 。（3）备选答案：A连接1B连接2答案：（3）B图2-2【问题3】（4分）为了加强远程访问管理，新建