《cisco防火墙》
班级08交大计网 姓名 张羽麒 学号08526027 得分____
一.单项选择题(10分,每题1分)
1.评估不同类型的NAT的顺序中级别最高的是(B ) A.静态NAT
B.NAT豁免
C.静态PAT D.策略NAT(static access-list)
2.可能会发生恶意主机打开连接进入受保护网络的情况。如果入站访问列表策略配置不正确或不够严格,就有可以发生这种情况。发现这种情况后可采取( A ) 措施,
A.手动规避
B.stop
C.立即修改access-list D.强制转换 3.发送日志到Telnet的命令是( D ) A.logging asdm B.logging history C.logging trap D.logging monitor
4.默认情况下,所有以太网接口的最大传输单元(MTU)的大小均设置为(C )A.64
B.2400 C.1500 D.1200
5.使用( C )命令可以在防火墙上监视所有活跃的Telnet会话 A.show B.dir C.who D.show telnet
6.在PIX平台上,必须从( B )服务器上将密码恢复工具下载到防火墙。 A.HTTPS服务器 B.TFTP服务器 C.FTP服务器
D.HTTP服务器
7.以下哪一种防火墙平台在故障切换中可以使用故障切换电缆( C ) A.ASA B.FWSM C.PIX D.以上都不可以 8.启用故障切换处理进程的命令是( C )
A.failover B.setup C.failover up D.failover setup 9.日志消息的等级为( A )
A.0-15 B.1-7 C.1-15 D.0-7 10.输入一个新的许可证激活密钥的命令是( B )
A.setup setup-key-tuples B. setup-key setup-key-tuples
C. enter enter-key-tuples D. activation-key activation-key-tuples 二.多项选择题(40分,每题2分)
1.网络使用的IP流量的基本类型有( ACD ) A.单播 B.多播
C.广播
D.组播
2.在multiple-context安全模式下,防火墙由以下( ABC )功能组成。 A.系统执行空间 B.管理context
C.用户context D.用户执行空间 3.实现防火墙负载均衡的方法有如下几种( ABC ) A..IOS FWLB
B.CSM FWLB
C.CSS FWLB D.server FWLB
第1页(共5页)
1
4.显示当前运行配置的命令有( AC )
A.write terminal B.dir C.show running-config D.show start-config 5.防火墙可以向任何管理用户显示文本标志,使用的标志有( BCD ) A.通告 B.登录 C.执行 D.日期消息 6.可以将防火墙的用户分为以下为别( ACD )
A.管理级用户 B.服务器用户 C.终端用户 D.VPN用户 7.防火墙可以通过以下( ABD )基本方法管理用户的接入 A.验证 B.授权 C.加密 D. 统计
8. Cisco 防火墙使用以下( CD )基本原则提供安全策略和流量监测。239 A.加密数据 B.建立连接 C.地址转换
D.访问控制
9.对象组的类型有(ABCD) A.网络对象组 B.协议对象组 C .ICMP对象组 D.基本服务对象组
10.防火墙故障切换有以下可能的形式( ACD ) A.主用/备用模式 B.主用/主用模式 C.B/S模式 D.A/B模式
11.在multiple-context安全模式下,防火墙由以下功能组成( ABC ),每个功能都有各自的用户界面。
A.系统执行空间 B.管理context C.用户context D.服务空间
12.在防火墙系统中设置系统时间的方法有(AC) A.手工 B.自动
C.使用网络时间协议 D.自同步时间协议 13.对于日志以下说法正确的有( CD )
A.可以改变消息的严重级别 B.可以修剪消息 C.从日志中可得到防火墙规则拒绝的连接信息 D.从日志中可得到防火墙规则允许的连接信息
14.使用show processes命令查看所有活跃防火墙的程序清单,显示的主要内容有( ABCD )。
A.ID号 B.CPU参数 C.进程 D.运行时间
15.防火墙内存可以被分块并分配给许多进程或用于其他用途,下列哪些项目可存储于防火墙内存中(ABCD)。
A.OS镜像 B.配置文件 C.路由选择信息 D.捕获会话
16.使用捕获会话可用到的命令有( AB ) A.access-list B.capture C.show traffic D.conn
17.防火墙需要定期监控的项目有(ABCD)
第2页(共5页)
2
A.CPU利用率 B.故障切换活动 C.conn表大小 D.防火墙吞吐率
18.如果防火墙是正常负载且没有明显攻击,而CPU的的利用率一直处于80%以上,需考虑升级防火墙或减轻它的流量负载,可以考虑的措施有(BCD)
A.减少NAT数量
B.用更高性能型号的防火墙来替换。 C.实施防火墙负载均衡。
D.修改配置,减少防火墙处理负载;除去任何非必要的执行行为。 19.在防火墙检测和传递流量时,它维护的表项有(BC) A.list B.xlate C.cons D.syslog
20.Cisco防火墙可以通过以下方法交换故障切换切换信息( BCD) A.第三层交换机 B.故障切换电缆 C.基于LAN的故障切换 D.状态化故障切换 三.配置填空题(20分,每题10分)
1.说明:假设两个分别使用私有IP地址192.168.100.100和192.168.100.170的主机驻留在防火墙内部。要求从主机A发起的出站连接应根据该连接的目的地显示为不同的全局地址,如图所示,根据要求在括号中补充完成配置。
pixfirewall(config-if)# access-list c10 permit ip host 192.168.100.100 10.10.0.0 255.255.0.0
pixfirewall(config)# ( dlobal (outside) 1 192.168.254.10 255.255.255.255 ) pixfirewall(config)# nat (inside) 1 access-list c10
pixfirewall(config)# ( access-list c50 permit ip host 192.168.100.100 10.50.0.0 255.255.0.0 )
pixfirewall(config)# global (outside) 2 192.168.254.50 netmask 255.255.255.255 pixfirewall(config)# nat (inside) 2 access-list c50
pixfirewall(config)# (access-list c100 permit ip host 192.168.100.100 any)
pixfirewall(config)# global (outside) 3 192.168.254.100 netmask 255.255.255.255
pixfirewall(config)# (nat (inside) 3 access-list c100)
第3页(共5页)
3
2.为防火墙配置日志设置,根据要求在括号内填写合适命令。
1).指定NTP服务器地址为192.168.2.100,服务器连接在内部接口。 PIXA(config)# (logging enable)
2)启用日志信息,级别为6,发送到缓存。
PIXA(config)#(logging list Mylist level errors) PIXA(config)#(logging console Mylist)
3).建立一个日志策略,将所有错误消息和警告级别与IP(TCP/IP检测消息)有关的消息,发送到控制台。
PIXA(config)# logging list Mylist level errors
PIXA(config)# logging list Mylist level warnings class ip PIXA(config)# (ogging class event_class destination level [destination level ][destination level] ) 四.应用题(每题15分,共30分)
1.将防火墙配置为使用具有2个RADIUS服务器的群组来执行管理级用户验证: 本地验证用于支持单独用户ID,用户名admin,密码:adminpw。 服务器为于内部接口,地址分别为192.168.2.98和192.168.2.99。
这些服务器对连接到操作台端口.Telnet.SSH或基于Web的管理应用软件的用户验证。当所有的RADIUS服务器不可达时,启用本地验证。 Aaa-server RADIUS_FARM protocol rdius
Aaa-server RADIUS_FARM (inside) host 10.10.1.98 key server1key Aaa-server RADIUS_FARM (inside) host 10.10.1.99 key server2key Aaa authentication serial console RADIUS_FARM LOCAL Aaa authentication telnet RADIUS_FARM LOCAL Aaa authentication ssh RADIUS_FARM LOCAL Aaa authentication http RADIUS_FARM LOCAL
Aaa authentication enable console RADIUS_FARM LOCAL Username admin password adminpw privilege 15 2.根据拓扑图及图中地址说明,完成如下设置: 内部网络1向外连接时转为地址池1和PAT1。 内部网络2向外连接时转为地址池2和PAT2。
对于其它网络,默认转换规则使用防火墙外部接口为动态PAT。
当内部主机172.16.1.41向网络 192.168.200/24发起一个外部连接时,该地址不转换,配置NAT豁免。
设置只能由指定的内部网络地址访问外部网,其它自已设置IP地址均拒绝对外连接。
Firewall(config)#global (outside) 1 169.54.122.10-169.54.122.60 netmask 255.255.255.0
第4页(共5页)
4
Firewall(config)#global (outside )1 169.54.122.61
Firewall(config)#nat (inside) 1 172.16.0.0 255.255.0.0 0 0
Firewall(config)#global (outside) 2 169.54.122.65-169.54.122.125 netmask 255.255.255.0
Firewall(config)#global (outside) 2 169.54.122.126
Firewall(config)#nat (inside) 2 172.17.0.0 255.255.0.0 0 0 Firewall(config)#global (outside ) 3 interface Firewall(config)#nat (inside) 3 0 0 0 0
Firewall(config)#access-list acl_no_nat permit ip host 172.16.1.41 192.168.200.0 255.255.255.0
Firewall(config)#nat (inside) 0 access-list acl_no_nat
Firewall(config)#access-list acl_inside permit ip 172.16.0.0 255.240.0.0 any
Firewall(config)# access-list acl_inside permit ip 192.168.69.0 255.255.255.0 any Firewall(config)# access-list acl_inside deny ip any any
Firewall(config)#access-group acl_inside in interface inside
第5页(共5页) 5
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库cisco防火墙试题在线全文阅读。
相关推荐: