网络安全真题1

试题四（15分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某公司采用100M宽带接入Internet，公司内部有15台PC机，要求都能够上网。另外有2台服务器对外分别提供Web和E-mail 服务，采用防火墙接入公网，拓扑结构如图4-1所示。

图4-1

【问题1】（2分）

如果防火墙采用NAPT技术，则该单位至少需要申请（1）个可用的公网地址。

试题解析：

常识。

答案：1

【问题2】（3分）

下面是防火墙接口的配置命令：

fire(config)# ip address outside 202.134.135.98 255.255.255.252 fire(config)# ip address inside 192.168.46.1 255.255.255.0

fire(config)# ip address dmz 10.0.0.1 255.255.255.0

根据以上配置，写出图4-1中防火墙各个端口的IP地址：e0：（2）

e1：（3）

e2：（4）

试题解析：

很简单，对照答案看看就明白了。

答案：（2）192.168.46.1，（3）202.134.135.98，（4）10.0.0.1

【问题3】（4分）

1．ACL默认执行顺序是（5），在配置时要遵循（6）原则、最靠近受控对象原则、以及默认丢弃原则。

（5）、（6）备选项

（A）最大特权（B）最小特权（C）随机选取

（D）自左到右（E）自上而下（F）自下而上

2．要禁止内网中IP地址为198.168.46.8的PC机访问外网，正确的ACL规则是（7）

（A）access-list 1 permit ip 192.168.46.0 0.0.0.255 any

access-list 1 deny ip host 198.168.46.8 any

（B）access-list 1 permit ip host 198.168.46.8 any

access-list 1 deny ip 192.168.46.0 0.0.0.255 any （C）access-list 1 deny ip 192.168.46.0 0.0.0.255 any

access-list 1 permit ip host 198.168.46.8 any （D）access-list 1 deny ip host 198.168.46.8 any

access-list 1 permit ip 192.168.46.0 0.0.0.255 any

试题解析：

很简单，对照答案看看就明白了。

答案：（5）E or 自上而下，（6）B or最小特权，（7）D or A

【问题4】（6分）

下面是在防火墙中的部分配置命令，请解释其含义：

global (outside) 1 202.134.135.98-202.134.135.100 （8）

conduit permit tcp host 202.134.135.99 eq www any （9）access-list 10 permit ip any any （10）

试题解析：

很简单，对照答案看看就明白了。

答案：（8）指定外网口IP地址范围为202.134.135.98-202.134.135.100

（9）允许任意外网主机访问202.134.135.99提供的WWW 服务

（10）允许任意IP数据包进出

注：（8）（9）（10）意思正确即可

试题四（共15分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某公司通过PIX防火墙接入Internet，网络拓扑如图4-1所示。

图4-1

在防火墙上利用show命令查询当前配置信息如下：

PIX# show config

…

nameif eth0 outside security 0

nameif eth1 inside security 100

nameif eth2 dmz security 40

…

fixup protocol ftp 21 （1）

fixup protocol http 80

…

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0

ip address dmz 10.10.0.1 255.255.255.0

…

global(outside) 1 61.144.51.46

nat(inside) 1 0.0.0.0 0.0.0.0

…

route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 （2）…

【问题1】（4分）

解析（1）、（2）处画线语句的含义。

标准答案：

（1）启用ftp服务

（2）设置eth0口的默认路由，指向61.144.51.45，且跳步数为1

【问题2】（6分）

根据配置信息，在填充表4-1。

表4-1

标准答案：

（3）192.168.0.1 （4）255.255.255.248

（5）eth2 （6）10.10.0.1

【问题3】（2分）

根据所显示的配置信息，由inside域发往Internet的IP分组，在到达路由器R1时的源IP地址是（7）。

标准答案：

（7）61.144.51.46

【问题4】（3分）

如果需要在DMZ域的服务器（IP地址为10.10.0.100）对Internet用户提供web服务（对外公开IP地址为61.144.51.43），请补充完成下列配置命令。

PIX(config)# static(dmz, outside) （8）（9）

PIX(config)# conduit permit tcp host （10） eq www any

说明：

static命令的格式是：static(nameif,outside) ip-outside, ip-nameif

第（10）空要填写一个主机地址，这里填写的是对外公开的那个IP地址。

标准答案：

（8）61.144.51.43 （9）10.10.0.100 （10）61.144.51.43

试题五（共15分）

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。

【说明】

某单位网络拓扑结构如图5-1所示，要求配置IPSec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段，但

10.10.30.1/24网段不能连通10.10.10.2/24网段。

图5-1

根据网络拓扑和要求，解释并完成路由器R1上的部分配置。R1(config)# crypto isakmp enable （启用IKE）

R1(config)# crypto isakmp （1） 20 （配置IKE策略20）

R1(config-isakmp)# authentication pre-share （2）

R1(config-isakmp)# exit

R1(config)# crypto isakmp key 378 address 192.168.2.2 （配置预共享密钥为378）

R1(config)# access-list 101 permit

ip （3） 0.0.0.255 （4） 0.0.0.255

（设置ACL）

……

说明：

“access-list 101 permit

ip （3） 0.0.0.255 （4） 0.0.0.255”的意思是“从本地站点（3）发出的和来自远点站点（4）的数据将得到保护。”

标准答案：

（1）policy

（2）在IKE协商过程中使用预共享密钥认证方式

（3）10.10.20.0

（4）10.10.10.0

扩展答案：

（2）验证方法为使用预共享密钥

根据网络拓扑和要求，完成路由器R2上的静态路由配置。

R2(config)# ip route （5） 255.255.255.0 192.168.1.1 R2(config)# ip route 10.10.30.0 255.255.255.0 （6）

R2(config)# ip route 10.10.10.0 255.255.255.0 192.168.2.2 标准答案：

（5）10.10.20.0

（6）192.168.1.1

【问题3】（空（9）1分，其他2分，共7分）

根据网络拓扑和R1的配置，解释并完成路由器R3的部分配置。

……

R3(config)# crypto isakmp key （7） address （8）

R3(config)# crypto transform-set testvpn ah-md5-hmac

esp-des esp-md5-hmac （9）

R3(cfg-crypto-trans)# exit

R3(config)# crypto map test 20 ipsec-isakmp

R3(config-crypto-map)# set peer 192.168.1.1

R3(config-crypto-map)# set transform-set （10）

……

标准答案：

（7）378

（8）192.168.1.1

（9）设置名为testvpn的VPN，采用MD5认证、DES进行数据加密

（10）testvpn

扩展答案：

（9）设置IPSec变换集testvpn，AH鉴别采用ah-md5-hmac，ESP 加密采用esp-des，ESP认证采用esp-md5-hmac。

试题二（共15分）

阅读以下说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。

【说明】

某公司总部服务器1的操作系统为Windows Server 2003，需安装虚拟专用网（VPN）服务，通过Internet与子公司实现安全通信，其网络拓扑结构和相关参数如图2-1所示。

图2-1 【问题1】（2分）

在Windows Server 2003的“路由和远程访问”中提供两种隧道协议来实现VPN服务：（1）和L2TP，L2TP协议将数据封装在（2）协议帧中进行传输。

答案：

（1）PPTP （2）PPP

【问题2】（1分）

在服务器1中，利用Windows Server 2003的管理工具打开“路由和远程访问”，在所列出的本地服务器上选择“配置并启用路由和远程访问”，然后选择配置“远程访问（拨号或VPN）”服务，在图2-2所示的界面中，“网络接口”应选择（3）。

（3）备选答案：

A．连接1 B．连接2

答案：

（3）B

图2-2

【问题3】（4分）

为了加强远程访问管理，新建一条名为“SubInc”的访问控

制策略，允许来自子公司服务器2的VPN访问。在图2-3所示的配置界面中，应将“属性类型（A）”的名称为（4）的值设置为“Layer Two Tunneling Protocol”，名称为（5）的值设置为“Virtual (VPN)”。

编辑SubInc策略的配置文件，添加“入站IP筛选器”，在如图2-4所示的配置界面中，IP地址应填为（6），子网掩码应填为（7）。

图2-3

图2-4

答案：

（4）Tunnel-Type （5）NAS-Port-Type

（6）202.115.12.34 （7）255.255.255.255

【问题4】（4分）

子公司PC1安装Windows XP操作系统，打开“网络和Internet 连接”。若要建立与公司总部服务器的VPN连接，在如图2-5所示的窗口中应该选择（8），在图2-6所示的配置界面中填写（9）。

（8）备选答案：

A．设置或更改您的Internet连接

B．创建一个到您的工作位置的网络连接

C．设置或更改您的家庭或小型办公网络

D．为家庭或小型办公室设置无线网络

E．更改Windows防火墙设置

答案：

（8）B

（9）61.134.1.37

图2-5

图2-6

【问题5】（2分）

用户建立的VPN连接xd2的属性如图2-7所示，启动该VPN 连接时是否需要输入用户名和密码？为什么？

图2-7

答案：

不需要，因为选中“自动使用我的Windows登录名和密码”，此时用本机Windows登录的用户名和密码进行VPN连接。

【问题6】（2分）

图2-8所示的配置窗口中所列协议“不加密的密码（PAP）”

和“质询握手身份验证协议（CHAP）”有何区别？

图2-8

答案：

PAP使用明文身份验证（1分）

CHAP通过使用MD5和质询-相应机制提供一种安全身份验证（1分）

（采用以下方式或相近方式回答也正确）

PAP以明文的方式在网上传输登录名和密码，因此不安全；（1分）

CHAP使用挑战消息及摘要技术处理验证消息，不在网上直接传输明文密码，因此具有较好的安全性，也具有防重发性。（1分）

试题四（15分）

阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

【说明】

某公司内部服务器S1部署了重要的应用，该应用只允许特权终端PC1访问，如图4-1所示。为保证通信安全，需要在S1上配置相应的IPSec策略。综合考虑后，确定该IPSec策略如下：

●S1与终端PC1通过TCP协议通信，S1提供的服务端口为

6000；

●S1与PC1的通信数据采用DES算法加密；

●管理员可以在PCn上利用“远程桌面连接”对S1进行系统

维护；

●除此以外，任何终端与S1的通信被禁止。

图4-1

【问题1】（每空1分，共5分）

IPSec工作在TCP/IP协议栈的（1），为TCP/IP通信提供访问控制、（2）、数据源验证、抗重放、（3）等多种安全服务。IPSec的两种工作模式分别是（4）和（5）。

（1）～（5）备选答案：

A、应用层

B、网络层

C、数据链路层

D、传输层

E、机密性

F、可用性

G、抗病毒性

H、数据完整性

I、传输模式J、单通道模式K、多通道模式L、隧道

模式

答案：（1）B或网络层（2）E或机密性

（3）H或数据完整性（4）I或传输模式

（5）L或隧道模式

注释：（2）和（3）可以互换，（4）和（5）可以互换

【问题2】（每空2分，共4分）

针对如图4-2所示“服务器S1的IPSec策略”，下列说法中错误的是（6）和（7）。

图4-2

（6）、（7）备选答案：

A．由于所有IP通讯量均被阻止，所以PC1无法与S1通信B．特定TCP消息可以通过协商安全的方式与S1通信

C．特定TCP消息通信是通过预先共享的密钥加密

D．允许特定的远程桌面连接与S1通信

E．PC1无法通过ping命令测试是否与S1连通

F．图4-2中的筛选器相互矛盾，无法同时生效

答案：（6）A （7）F

注释：（6）和（7）可以互换

【问题3】（每空1分，共2分）

表4-1为图4-2中所示“IP筛选器列表”中“TCP消息”筛选器相关内容。将表4-1填写完整，使其满足题目中IPSec策略的要求。

表4-1

答案：（8）6000 （9）192.168.0.20

【问题4】（每空1分，共2分）

TCP消息的协商安全属性如图4-3所示，根据规定的IPSec安全策略，需要将（10）改成（11）。

图4-3

答案：（10）3DES （11）DES

【问题5】（2分）

在Windows系统中，采用TCP的3389端口提供远程桌面连接服务。图4-2中的“远程桌面连接（RDP）”对应的筛选器属性配置如图4-4所示，请问图中配置是否有误？如果有误，应该如何修改？