一、选择题1.通过获得Root/administrator密码以及权限进行非法系统操作,这属于那一种攻击手段?A.暴力攻击B.电子欺骗C.权限提升D.系统重启攻击2.以下不属于...防火墙NAT地址转换优点..的是A.实现IP地址复用,节约宝贵的地址资源B.地址转换过程对用户透明C.网络监控难度加大D.可实现对内部服务器的负载均衡3.内部服务器和NATinbound共同使用,应配置何种NAT?A.基于源地址的NATB.基于目的地址的NATC.双向NATD.基于源IP地址和端口的NAT4.以下哪一种加密算法不属于对称加密算法:()A.ECCB.3DESC.IDEAD.DES5.下列属于多通道协议的是A.FTPB.HTTPC.SNMPD.TELNET6.以下哪种VPN最适合出差人员访问公司内部网络A.IPSecVPNB.GREVPNC.L2fVPND.L2tpVPN7.下列哪项不是数字签名的主要功能?A.防抵赖B.完整性检验C.身份认证D.数据加密8.以下不属于防火墙默认安全区域的是A.trustB.untrustC.LocalD.Default9.华为防火墙定义ACL时默认步长是A.2B.5C.8D.1010.用户收到一封可疑电子邮件,要求用户提供银行账户和密码,这属于那一种攻击手段?A.缓冲区溢出B.DDOSC.钓鱼攻击D.暗门攻击二、判断题1.反子网掩码和子网掩码的格式相似,但取值含义不同:1表示对应的IP地址位需要比较,0表示对应IP地址为忽略比较。(X)2.扩展访问控制列表是访问控制列表应用范围最广的一类,在华为防火墙ACL中,扩展访问控制列表范围为3000-3099。(X)3.OSI七层模型中,传输层数据称为段(Segment),主要是用来建立主机端到端连接,包括TCP和UDP连接。(√)4.在配置域间缺省包过滤规则时,zone1和zone2的顺序是随意的。(√)5.路由器收到数据文件时,若没有匹配到具体的路由表时,可按照默认路由表进行转发。(√)6.IPV6使用128bit的IP地址,能满足未来很多年的IP地址需求,是代替IPV4的最终方案。(√)7.当配置NAT地址转换是使用了Address-group1没有加no-pat这个命令意味着使用的是NAPT的转换方式(√)8.inbound方向的NAT使用一个外部地址来代表内部地址,用于隐藏外网服务器的实际IP地址。(X)9.防火墙中不存在两个具有相同安全级别的安全区域。(√)10.非对称密钥算法的优点是密钥安全性高,缺点是密钥分发问题。(X)三、简答题1.什么是Outbound方向NAT,其转换方式有哪几种?出方向是指数据由高安全级别的安全区域向低安全级别安全区域传输的方向。三种转换方式:1、一对一地址转换2、多对多地址转换3、多对一地址转换2.请简要描述常见的网络安全攻击方式有哪些,并简要描述其防范方式1、数据嗅探防范方式:1.验证2.改变网络结构3.反嗅探工具4.加密2、非法使用防范方式:1.过滤2.验证3.加密4.关闭服务和端口3、信息篡改防范方式:1.明文加密2.数据摘要3.数字签名4、拒绝服务防范方式:1.屏蔽IP2.流量控制3.协议防范4.侦测5.策略5、社会工程防范方式:1.技术层面2.管理层面6、BUG和病毒防范方式:1.补丁2.定时扫描3.审计4.终端保护3.简述ACL与ASPF的区别与联系ACLASPF配置较繁琐简单设计实现简单复杂对系统性能影响速度快消耗部分系统资源多通道协议的支持不支持支持安全性低高4。防火墙的工作模式主要有哪几种,特点是什么1、路由模式特点:如果防火墙通过网络层对外连接(接口具有IP地址),则防火墙工作在路由模式2、透明模式特点:如果防火墙通过数据链路层对外连接(接口无IP地址),则认为防火墙工作在透明模式3、混合模式如果防火墙既存在工作在路由模式接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则认为防火墙工作在混合模式。5.请列举出二层VPN和三层VPN区别是什么,并分别列举哪些属于二层VPN,哪些属于三层VPN区别:二层VPN工作在协议栈的数据链路层,三层VPN工作在协议栈的网络层二层VPN:PPTP(点到点隧道协议)、L2F(二层转发协议)、L2TP(二层隧道协议)三层VPN:GREVPN、IPSecVPN6.访问控制列表作用及分类在防火墙应用中,访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段,决定了后续的应用数据流是否被处理。访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。分类:1、标准访问控制列表ACL2000-29992、扩展访问控制列表ACL3000-3999四.配置题1、实验四:配置防火墙WEB管理实验步骤1:把Ethernet1/0/0接口加入VLAN,并将VLAN接口加入安全区域。#输入用户名admin#输入密码Admin@123#切换语言模式为中文模式USG2100language-modechineseUSG2100system-view#创建编号为5的VLAN。[USG2100]vlan5[USG2100-vlan5]quit#配置Ethernet1/0/0的链路类型并加入VLAN。[USG2100]interfaceEthernet1/0/0[USG2100-Ethernet1/0/0]portaccessvlan5[USG2100-Ethernet1/0/0]quit#创建VLAN5所对应的三层接口Vlanif5,并配置Vlanif5的IP地址,配置VLAN接口。[USG2100]interfacevlanif5[USG2100-Vlanif5]ipaddress129.9.0.18924[USG2100-Vlanif5]quit#配置Vlanif5加入Trust区域。[USG2100]firewallzonetrust[USG2100-zone-trust]addinterfaceVlanif5[USG2100-zone-trust]quit步骤2:配置域间过滤规则。[USG2100]acl2001[USG2100-acl-basic-2001]rulepermitsource129.9.0.1890.0.0.0[USG2100-acl-basic-2001]quit[USG2100]acl2002[USG2100-acl-basic-2002]rulepermitsource129.9.0.1010.0.0.0[USG2100-acl-basic-2002]quit[USG2100]firewallinterzonetrustlocal[USG2100-interzone-local-trust]aspfpacket-filter2001outbound[USG2100-interzone-local-trust]aspfpacket-filter2002inbound步骤3:启用Web管理功能(默认情况下是打开的)。[USG2100]web-managerenable步骤4:配置Web用户。[USG2100]aaa[USG2100-aaa]local-userXunfangpasswordsimpleXunfang123[USG2100-aaa]local-userXunfangservice-typeweb[USG2100-aaa]local-userXunfanglevel3[USG2100-aaa]quit步骤5:配置PC的IP地址。将终端PC的IP地址设置为:129.9.0.101,俺码设为:255.255.255.0。2、实验七:配置IPSECVPN步骤1:配置USG2100A#输入用户名admin#输入密码Admin@123#切换语言模式为中文模式USG2100language-modechinese#进入系统视图。USG2100system-view#配置本端设备的名称。[USG2100]sysnameUSG2100A#创建编号为5的VLAN。[USG2100A]vlan5[USG2100A-vlan5]quit#配置Ethernet1/0/0的链路类型并加入VLAN。[USG2100A]interfaceEthernet1/0/0[USG2100A-Ethernet1/0/0]portaccessvlan5[USG2100A-Ethernet1/0/0]quit#创建VLAN5所对应的三层接口Vlanif5,并配置Vlanif5的IP地址。配置VLAN接口。[USG2100A]interfacevlanif5[USG2100A-Vlanif5]ipaddress200.39.1.124#配置Vlanif5加入Trust区域。[USG2100A]firewallzonetrust[USG2100A-zone-trust]addinterfaceVlanif5[USG2100A-zone-trust]quit#进入Ethernet0/0/0视图。[USG2100A]interfaceEthernet0/0/0#配置Ethernet0/0/0的IP地址。[USG2100A-Ethernet0/0/0]ipaddress202.39.160.124#退回系统视图。[USG2100A-Ethernet0/0/0]quit#进入Untrust区域视图。[USG2100A]firewallzoneuntrust#配置Ethernet0/0/0加入Untrust区域。[USG2100A-zone-untrust]addinterfaceEthernet0/0/0#退回系统视图。[USG2100A-zone-untrust]quit#配置到达对端防火墙202.39.160.3/24和Host2的静态路由。[USG2100A]iproute-static172.70.2.024202.39.160.3#配置ACL规则,允许Host1所在网段的主机访问Host2所在网段的主机。[USG2100A]acl3000[USG2100A-acl-adv-3000]rulepermitipsource200.39.1.00.0.0.255destination172.70.2.00.0.0.255#退回系统视图。[USG2100A-acl-adv-3000]quit#配置ACL规则,允许Host2所在网段的主机访问。[USG2100A]acl3001[USG2100A-acl-adv-3001]rulepermitipsource172.70.2.00.0.0.255#退回系统视图。[USG2100A-acl-adv-3001]quit#进入Trust和Untrust域间视图。[USG2100A]firewallinterzonetrustuntrust#配置域间包过滤规则。[USG2100A-interzone-trust-untrust]aspfpacket-filter3000outbound[USG2100A-interzone-trust-untrust]aspfpacket-filter3001inbound#退回系统视图。[USG2100A-interzone-trust-untrust]quit#配置域间缺省包过滤规则。[USG2100A]firewallpacket-filterdefaultpermitall#说明:配置所有安全区域间缺省过滤规则为允许,使其能够协商SA。#配置名为tran1的IPSec提议。[USG2100A]ipsecproposaltran1#配置安全协议。[USG2100A-ipsec-proposal-tran1]transformesp#配置ESP协议的认证算法。[USG2100A-ipsec-proposal-tran1]espauthentication-algorithmmd5#配置ESP协议的加密算法。[USG2100A-ipsec-pro