原创试题专区
开通学校服务
试卷简介
本套试卷集合了考试编委会的理论成果。专家们为考生提供了题目的答案,并逐题进行了讲解和分析。每道题在给出答案的同时,也给出了详尽透彻的解析,帮助考生进行知识点的巩固和记忆,让考生知其然,也知其所以然,从而能够把知识灵活自如地运用到实际中去。
试卷预览
1.[说明]某学校的网络拓扑结构图如图2-1所示。
问题:2.1 常用的IP访问控制列表有两种,它们是编号为(1)和1300~1999标准访问控制列表和编为(2)和2000~2699的扩展访问控制列表、其中,标准访问控制列表是根据IP报的(3)来对IP报文进行过滤,扩展访问控制列表是根据IP报文的(4)、(5)、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近(6)的位置,扩展访问控制列表放置在靠近(7)的位置。
问题:2.2 为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下:
(1)家属区不能访问财务服务器,但可以访问互联网;
(2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网;
(3)办公区可以访问财务服务器和互联网;
(4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。
1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。
R1(config)#access-list 1 (8)(9) 0.0.0.255
R1(config)#access-Iist 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255
R1(config)#access-Iist 1 deny (10)0.0.0.255
R1(config)#interface (11)
R1(config-if)#ip access-group 1 (12)
2.使用ACL对Internt进行访问控制,请将下面配置补充完整。
Route-Switch(config)#time-range jsp //定义教学区时间范围
Route-Switch(config-time-range)# periodic daily (13)
Route-Switch(config)#time-range xsssq //定义学生宿舍区时间范围
Route-Switch(config-time-range)#periodic (14) 18:00 to 24:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 any
Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any
Route-Switch(config)#access-list 100 deny ip(15)0.0.0.255 time-range jsp
Route-Switch(config)#access-list 100 deny ip(16)0.0.0.255 time-range xsssq
Route-Switch (config)#interface(17)
Route-Switch(config-if)# ip access-group 100 out
问题:2.3 网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。
采用自反访问列表实现访问控制,请解释配置代码。
Route-Switch(config)#ip access-list extended infilter
Route-Switch(config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255 reflect jsp //(18)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#ip access-list extended outfilter
Route-Switch(config-ext-nacl)# evaluate jsp //(19)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#interface fastethernet 0/1
Route-Switch(config-if)#ip access-group infilter in
Route-Switch(config-if)#ip access-group outfilter out //(20)
问题:2.1 常用的IP访问控制列表有两种,它们是编号为(1)和1300~1999标准访问控制列表和编为(2)和2000~2699的扩展访问控制列表、其中,标准访问控制列表是根据IP报的(3)来对IP报文进行过滤,扩展访问控制列表是根据IP报文的(4)、(5)、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近(6)的位置,扩展访问控制列表放置在靠近(7)的位置。
问题:2.2 为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下:
(1)家属区不能访问财务服务器,但可以访问互联网;
(2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网;
(3)办公区可以访问财务服务器和互联网;
(4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。
1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。
R1(config)#access-list 1 (8)(9) 0.0.0.255
R1(config)#access-Iist 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255
R1(config)#access-Iist 1 deny (10)0.0.0.255
R1(config)#interface (11)
R1(config-if)#ip access-group 1 (12)
2.使用ACL对Internt进行访问控制,请将下面配置补充完整。
Route-Switch(config)#time-range jsp //定义教学区时间范围
Route-Switch(config-time-range)# periodic daily (13)
Route-Switch(config)#time-range xsssq //定义学生宿舍区时间范围
Route-Switch(config-time-range)#periodic (14) 18:00 to 24:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 any
Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any
Route-Switch(config)#access-list 100 deny ip(15)0.0.0.255 time-range jsp
Route-Switch(config)#access-list 100 deny ip(16)0.0.0.255 time-range xsssq
Route-Switch (config)#interface(17)
Route-Switch(config-if)# ip access-group 100 out
问题:2.3 网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。
采用自反访问列表实现访问控制,请解释配置代码。
Route-Switch(config)#ip access-list extended infilter
Route-Switch(config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255 reflect jsp //(18)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#ip access-list extended outfilter
Route-Switch(config-ext-nacl)# evaluate jsp //(19)
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#interface fastethernet 0/1
Route-Switch(config-if)#ip access-group infilter in
Route-Switch(config-if)#ip access-group outfilter out //(20)
2.[说明]某公司网络拓扑结构图如图4-1所示。公司内部的用户使用私有地址段
[问题1](2分)
为节省IP地址,在接口地址上均使用30位地址掩码,请补充下表中的空白
[问题2](9分)
将公司内部用户按照部门分别划分在3各vlan中:vlan10,vlan20和vlan30。均连接在交换机S1上,并通过S1实现vlan间通信,所有内网主机均采用DHCP获取IP地址。按照要求补充完成(或解释)以下配置命令。
[问题3](2分)
在S1上将F0/1接口配置为trunk模式时,出现了以下提示:Commandrejected:Aninterfacewhosetrunk encapsulationis“auto”cannotbeconfiguredto“trunkmode.应采取(12)方法解决该问题。
【问题4】(2分)
在S1上配置的三个SV1接口地址分别处在
和
网段,它们的子网掩码是(13)。
[问题1](2分)
为节省IP地址,在接口地址上均使用30位地址掩码,请补充下表中的空白
[问题2](9分)
将公司内部用户按照部门分别划分在3各vlan中:vlan10,vlan20和vlan30。均连接在交换机S1上,并通过S1实现vlan间通信,所有内网主机均采用DHCP获取IP地址。按照要求补充完成(或解释)以下配置命令。
[问题3](2分)
在S1上将F0/1接口配置为trunk模式时,出现了以下提示:Commandrejected:Aninterfacewhosetrunk encapsulationis“auto”cannotbeconfiguredto“trunkmode.应采取(12)方法解决该问题。
【问题4】(2分)
在S1上配置的三个SV1接口地址分别处在
和网段,它们的子网掩码是(13)。3.[说明]
某企业内部局域网拓扑如图2-1所示,局域网内分为办公区和服务器区。
[问题1](6分)
防火墙常用工作模式有透明模式、路由模式、混合模式,图2-1 中的出口防火墙工作于(1)模式:防火墙为办公区用户动态分配IP地址,需在防火墙完成开启(2)
功能:Server2为WEB服务器,服务端口为tep 443,外网用户通过https://100.1.9:8443访问,在防火墙上需要配置(3)
[问题2](14分)
为了使局城网中10.1.1.0/24网段的用户可以正常访问mtemet,需要在防火墙上完成NAT、安全略等配置,请根据需求求完善以下配置。
#将对应接口加入trust或者untrust区域。
[FW] firewall zone trust
[FW-zone-trust] add interface(4)
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface (5)
[FW-zone-untrust]quit
#配置安全策略,允许局域网指定网段与Intemet进行报文交互。
[FW] security-poliey
[FW-policy security]rule name policyl
#将局域网作为源信任区域,将互联网作为非信任区域
[FW-policy-security-rule-policyl]souree-zone(6)
[FW-policy-seeurity-rule-policyl]destination-zone untrust
#指定局域网办公区域的用户访同互联网
[FW-policy-security-rule-policyl]source-address(7)
#指定安全策略为允许
[FW-policy-security-rule-policyl] action(8)
[FWpoliey-security-rule-policyl] quit
[FW-policy-seeurity] quit
置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用。
[FW] nat address-group address groupl
[FW-address-group-addressgroupl] mode pat
[FWaddress-group-addressgroupl]section 0(9)
配置源NAT策略,实现局城网指定网段访问Intemet时自动进行源地址转换。
[FW] nat poliey
[FW-policy nat]rule name poliy_nat 1
#指定具体哪线区域为信任和非信任区域
[FW-policy-nat-rule policy_nat 1] source-zone trust
[PW-policy-nat-rule policy_nat 1] destination zone untrust
#指定局域网源IP地址
[FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24
[FW-policy-nal-rule-policy_nat 1]action source-nat address-group (10)
[FW-policy-nat-rule-policy_natl 1]quit
[PW-policy-nat] quit
某企业内部局域网拓扑如图2-1所示,局域网内分为办公区和服务器区。
[问题1](6分)防火墙常用工作模式有透明模式、路由模式、混合模式,图2-1 中的出口防火墙工作于(1)模式:防火墙为办公区用户动态分配IP地址,需在防火墙完成开启(2)
功能:Server2为WEB服务器,服务端口为tep 443,外网用户通过https://100.1.9:8443访问,在防火墙上需要配置(3)
[问题2](14分)
为了使局城网中10.1.1.0/24网段的用户可以正常访问mtemet,需要在防火墙上完成NAT、安全略等配置,请根据需求求完善以下配置。
#将对应接口加入trust或者untrust区域。
[FW] firewall zone trust
[FW-zone-trust] add interface(4)
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface (5)
[FW-zone-untrust]quit
#配置安全策略,允许局域网指定网段与Intemet进行报文交互。
[FW] security-poliey
[FW-policy security]rule name policyl
#将局域网作为源信任区域,将互联网作为非信任区域
[FW-policy-security-rule-policyl]souree-zone(6)
[FW-policy-seeurity-rule-policyl]destination-zone untrust
#指定局域网办公区域的用户访同互联网
[FW-policy-security-rule-policyl]source-address(7)
#指定安全策略为允许
[FW-policy-security-rule-policyl] action(8)
[FWpoliey-security-rule-policyl] quit
[FW-policy-seeurity] quit
置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用。
[FW] nat address-group address groupl
[FW-address-group-addressgroupl] mode pat
[FWaddress-group-addressgroupl]section 0(9)
配置源NAT策略,实现局城网指定网段访问Intemet时自动进行源地址转换。
[FW] nat poliey
[FW-policy nat]rule name poliy_nat 1
#指定具体哪线区域为信任和非信任区域
[FW-policy-nat-rule policy_nat 1] source-zone trust
[PW-policy-nat-rule policy_nat 1] destination zone untrust
#指定局域网源IP地址
[FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24
[FW-policy-nal-rule-policy_nat 1]action source-nat address-group (10)
[FW-policy-nat-rule-policy_natl 1]quit
[PW-policy-nat] quit
4.[说明]某企业网络拓扑如图1-1所示,A~E是网络设备的编号。
问题:1.1 根据图1-1,将设备清单表1-1所示内容补充完整。
问题:1.2 以下是AR2220的部分配置。
[AR2220]acl 2000
[AR2220-acl-2000]rule normal permit source 192.168.0.0 0.0.255.255
[AR2220-acl-2000]rule normal deny source any
[AR2220-acl-2000]quit
[AR2220]interface Ethernet0
[AR2220-Ethernet0]ip address 192.168.0.1 255.255.255.0
[AR2220-Ethernet0]quit
[AR2220]interface Ethernet1
[AR2220-Ethernet1]ip address 59.41.221.100 255.255.255.0
[AR2220-Ethernet1]nat outbound 2000 interface
[AR2220-Ethernet1]quit
[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74.221.254
设备AR2220应用(5)接口实现NAT功能,该接口地址网关是(6)。
问题:1.3 若只允许内网发起ftp、http连接,并且拒绝来自站点2.2.2.11的Java Applets报文。在USG3000设备中有如下配置,请补充完整。
[USG3000]acl number 3000
[USG3000-acl-adv-3000] rule permit tcp destination-port eq www
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp-data
[USG3000]acl number 2010
[USG3000-acl-basic-2010] rule(7)source 2.2.2.11.0.0.0.0
[USG3000-acl-basic-2010] rule permit source any
[USG3000](8) interzone trust untrust
[USG3000-interzone-tust-untrust] packet-filter 3000 (9)
[USG3000-interzone-tust-untrust] detect ftp
[USG3000-interzone-tust-untrust] detect http
[USG3000-interzone-tust-untrust] detect java-blocking 2010
问题:1.4 PC-1、PC-2、PC-3、网络设置如表1-2。
通过配置RIP,使得PC-1、PC-2、PC-3能相互访问,请补充设备E上的配置,或解释相关命令。
问题:1.1 根据图1-1,将设备清单表1-1所示内容补充完整。
问题:1.2 以下是AR2220的部分配置。
[AR2220]acl 2000
[AR2220-acl-2000]rule normal permit source 192.168.0.0 0.0.255.255
[AR2220-acl-2000]rule normal deny source any
[AR2220-acl-2000]quit
[AR2220]interface Ethernet0
[AR2220-Ethernet0]ip address 192.168.0.1 255.255.255.0
[AR2220-Ethernet0]quit
[AR2220]interface Ethernet1
[AR2220-Ethernet1]ip address 59.41.221.100 255.255.255.0
[AR2220-Ethernet1]nat outbound 2000 interface
[AR2220-Ethernet1]quit
[AR2220]ip route-static 0.0.0.0 0.0.0.0 59.74.221.254
设备AR2220应用(5)接口实现NAT功能,该接口地址网关是(6)。
问题:1.3 若只允许内网发起ftp、http连接,并且拒绝来自站点2.2.2.11的Java Applets报文。在USG3000设备中有如下配置,请补充完整。
[USG3000]acl number 3000
[USG3000-acl-adv-3000] rule permit tcp destination-port eq www
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp
[USG3000-acl-adv-3000] rule permit tcp destination-port eq ftp-data
[USG3000]acl number 2010
[USG3000-acl-basic-2010] rule(7)source 2.2.2.11.0.0.0.0
[USG3000-acl-basic-2010] rule permit source any
[USG3000](8) interzone trust untrust
[USG3000-interzone-tust-untrust] packet-filter 3000 (9)
[USG3000-interzone-tust-untrust] detect ftp
[USG3000-interzone-tust-untrust] detect http
[USG3000-interzone-tust-untrust] detect java-blocking 2010
问题:1.4 PC-1、PC-2、PC-3、网络设置如表1-2。
通过配置RIP,使得PC-1、PC-2、PC-3能相互访问,请补充设备E上的配置,或解释相关命令。
5.[说明]某公司采用Windows Server 2003操作系统搭建该公司的企业网站,要求用户在浏览器地址栏必须输入 https://www.gQngsi.com/index.html 或 https://117.112.89.67/index.html 来访问该公司网站。其中,index.html文件存放在网站所在服务器E:\gsdata目录中。在服务器上安装完成IIS6.0后,网站的属性窗口【网站】、【主目录】选项卡分别如图2-1 和图2-2所示。
[问题1](4分)
1.按照题目说明,图2-1中的“IP地址”文本框中的内容应为(1);“SSL端口”文本框中的内容为(2)。
2.在图2-2中,“本地路径”文本框中的内容为(3);同时要保障用户通过题目要求的方式来访问网站,必须至少勾选(4)复选框。
[问题2](6分)
1.配置该网站时,需要在如图2-3所示的【目录安全性】选项卡中单击【服务器证书】按钮来获取服务器证书。其中获取服务器证书的步骤顺序如下:①生成证书请求文件;②(5);③从CA导出证书文件;④在IIS服务器上导入并安装证书。
配置完成后,当用户登录该网站时,通过验证CA的签名来确认该数字证书的有效 性,从而(6),CA颁发给Web网站的数字证书中不包括(7)。
[问题3](2分)
配置该网站时,在图2-3所示的窗口中单击【安全通信】栏目中的【编辑】按钮,弹出如图2-4所示的窗口。按照题目要求,客户端浏览器只能通过HTTPS方式访问服务器,此时应勾选图2-4中的(8)框。如果要求客户端和服务器进行双向认证, 此时应该勾选图2-4中的(9)框。
[问题4](2分)
HTTPS用于在客户计算机和服务器之间提供安全通信,广泛用于因特网上安全敏感的应用,例如(10)应用。
HTTPS使用安全套接字层(SSL)进行信息交换。SSL目前的版本是3.0,被IETF定义在RFC 6101中。IETF对SSL讲行升级后的继任者是(11)。
[问题5](1分)
使用HTTPS能不能确保服务器自身的安全?
[问题1](4分)
1.按照题目说明,图2-1中的“IP地址”文本框中的内容应为(1);“SSL端口”文本框中的内容为(2)。
2.在图2-2中,“本地路径”文本框中的内容为(3);同时要保障用户通过题目要求的方式来访问网站,必须至少勾选(4)复选框。
[问题2](6分)
1.配置该网站时,需要在如图2-3所示的【目录安全性】选项卡中单击【服务器证书】按钮来获取服务器证书。其中获取服务器证书的步骤顺序如下:①生成证书请求文件;②(5);③从CA导出证书文件;④在IIS服务器上导入并安装证书。
配置完成后,当用户登录该网站时,通过验证CA的签名来确认该数字证书的有效 性,从而(6),CA颁发给Web网站的数字证书中不包括(7)。
[问题3](2分)
配置该网站时,在图2-3所示的窗口中单击【安全通信】栏目中的【编辑】按钮,弹出如图2-4所示的窗口。按照题目要求,客户端浏览器只能通过HTTPS方式访问服务器,此时应勾选图2-4中的(8)框。如果要求客户端和服务器进行双向认证, 此时应该勾选图2-4中的(9)框。
[问题4](2分)
HTTPS用于在客户计算机和服务器之间提供安全通信,广泛用于因特网上安全敏感的应用,例如(10)应用。
HTTPS使用安全套接字层(SSL)进行信息交换。SSL目前的版本是3.0,被IETF定义在RFC 6101中。IETF对SSL讲行升级后的继任者是(11)。
[问题5](1分)
使用HTTPS能不能确保服务器自身的安全?
最新推荐
相关试卷
