簡答題完整版

1、以下關(guān)于對稱加密的說法正確的是？ACDA、 在對稱加密中，只有一個密鑰用來加密和解密信息B、 在對稱加密中，用到了二個密鑰來加密和解密信息，分別是公共密鑰和私用密鑰C、 對稱加密是一個簡單的過程，雙方都必需完全相信對方，并持有這個密鑰的備份D、 對稱加密的速度非?？?，允許你加密大量的信息而只需要幾秒鐘2、以下不屬于對稱加密算法的是？CDA、 DESB、 RC4C、 HASHD、 RSA1．人為的惡意攻擊分為被動攻擊和主動攻擊，在以下的攻擊類型中屬于主動攻擊的是：（）數(shù)據(jù)GGB．?dāng)?shù)據(jù)篡改及破壞C.身份假冒D.數(shù)據(jù)流分析2.在安全服務(wù)中，不可否認(rèn)性包括兩種形式，分別是（）原發(fā)證明交付證明數(shù)據(jù)完整數(shù)據(jù)保密以下安全標(biāo)準(zhǔn)屬于IS07498-2規(guī)定的是（）數(shù)據(jù)完整性WindowsNT屬于C2級不可否認(rèn)性系統(tǒng)訪問控制利用密碼技術(shù)，可以實現(xiàn)網(wǎng)絡(luò)安全所要求的（ ）數(shù)據(jù)保密性數(shù)據(jù)完整性數(shù)據(jù)可用性身份認(rèn)證在加密過程中，必須用到的三個主要元素是（）所傳輸?shù)男畔ⅲ魑模┘用荑€匙（Encryptionkey）加密函數(shù)傳輸信道加密的強度主要取決于（）算法的強度密鑰的保密性明文的長度密鑰的強度以下對于對稱密鑰加密說法正確的是（）A.對稱加密算法的密鑰易于管理B．加解密雙方使用同樣的密鑰C．DES算法屬于對稱加密算法D．相對于非對稱加密算法，加解密處理速度比較快8.相對于對稱加密算法，非對稱密鑰加密算法（）A．加密數(shù)據(jù)的速率較低B．更適合于現(xiàn)有網(wǎng)絡(luò)中對所傳輸數(shù)據(jù)（明文）的加解密處理C．安全性更好D．加密和解密的密鑰不同9．以下對于混合加密方式說法正確的是（ ）A．使用公開密鑰密碼體制對要傳輸?shù)男畔ⅲ魑模┻M行加解密處理B．使用對稱加密算法隊要傳輸?shù)男畔ⅲ魑模┻M行加解密處理C．使用公開密鑰密碼體制對稱加密密碼體制的密鑰進行加密后的通信D．對稱密鑰交換的安全信道是通過公開密鑰密碼體制來保證的10．在通信過程中，只采用數(shù)字簽名可以解決（ ）等問題。A．?dāng)?shù)據(jù)完整性B．?dāng)?shù)據(jù)的抗抵賴性C．?dāng)?shù)據(jù)的篡改D．?dāng)?shù)據(jù)的保密性11．防火墻不能防止以下那些攻擊行為（ ）A．內(nèi)部網(wǎng)絡(luò)用戶的攻擊B．傳送已感染病毒的軟件和文件外部網(wǎng)絡(luò)用戶的IP地址欺騙D．?dāng)?shù)據(jù)驅(qū)動型的攻擊以下屬于包過濾技術(shù)的優(yōu)點的是（）能夠?qū)Ω邔訁f(xié)議實現(xiàn)有效過濾具有較快的數(shù)據(jù)包的處理速度為用戶提供透明的服務(wù)，不需要改變客戶端的程序和自己本身的行為能夠提供內(nèi)部地址的屏蔽和轉(zhuǎn)換功能以下關(guān)于包過濾技術(shù)與代理技術(shù)的比較，正確的是（）包過濾技術(shù)的安全性較弱，代理服務(wù)技術(shù)的安全性較高包過濾不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響代理服務(wù)技術(shù)會嚴(yán)重影響網(wǎng)絡(luò)性能代理服務(wù)技術(shù)對應(yīng)用和用戶是絕對透明的對于防火墻的設(shè)計準(zhǔn)則，業(yè)界有一個非常著名的標(biāo)準(zhǔn)，即兩個基本的策略（）允許從內(nèi)部站點訪問Internet而不允許從Internet訪問內(nèi)部站點沒有明確允許的就是禁止的沒有明確禁止的就是允許的只允許從Internet訪問特定的系統(tǒng)建立堡壘主機的一般原則（）最簡化原則復(fù)雜化原則預(yù)防原則網(wǎng)絡(luò)隔斷原則在安全服務(wù)中，不可否認(rèn)性包括兩種形式，分別是（ ）

A．原發(fā)證明B．交付證明C．?dāng)?shù)據(jù)完整D．?dāng)?shù)據(jù)保密23456789以下安全標(biāo)準(zhǔn)屬于IS07498-2規(guī)定的是（ ）A．?dāng)?shù)據(jù)完整性B．WindowsNT屬于C2級C．不可否認(rèn)性D．系統(tǒng)訪問控制利用密碼技術(shù)，可以實現(xiàn)網(wǎng)絡(luò)安全所要求的（ ）A．?dāng)?shù)據(jù)保密性B．?dāng)?shù)據(jù)完整性C．?dāng)?shù)據(jù)可用性D．身份認(rèn)證在加密過程中，必須用到的三個主要元素是（）A．所傳輸?shù)男畔ⅲ魑模〣．加密鑰匙（Encryptionkey）C．加密函數(shù)D．傳輸信道加密的強度主要取決于（）A．算法的強度B．密鑰的保密性C．明文的長度D．密鑰的強度以下對于對稱密鑰加密說法正確的是（）A．對稱加密算法的密鑰易于管理B．加解密雙方使用同樣的密鑰C．DES算法屬于對稱加密算法D．相對于非對稱加密算法，加解密處理速度比較快相對于對稱加密算法，非對稱密鑰加密算法（）A．加密數(shù)據(jù)的速率較低B．更適合于現(xiàn)有網(wǎng)絡(luò)中對所傳輸數(shù)據(jù)（明文）的加解密處理C．安全性更好D．加密和解密的密鑰不同以下對于混合加密方式說法正確的是（ ）A．使用公開密鑰密碼體制對要傳輸?shù)男畔ⅲ魑模┻M行加解密處理B．使用對稱加密算法隊要傳輸?shù)男畔ⅲ魑模┻M行加解密處理C．使用公開密鑰密碼體制對稱加密密碼體制的密鑰進行加密后的通信D．對稱密鑰交換的安全信道是通過公開密鑰密碼體制來保證的在通信過程中，只采用數(shù)字簽名可以解決（）等問題。A．?dāng)?shù)據(jù)完整性B．?dāng)?shù)據(jù)的抗抵賴性C．?dāng)?shù)據(jù)的篡改

D．?dāng)?shù)據(jù)的保密性10防火墻不能防止以下哪些攻擊行為（）A．內(nèi)部網(wǎng)絡(luò)用戶的攻擊B．傳送已感染病毒的軟件和文件C．外部網(wǎng)絡(luò)用戶的IP地址欺騙D．?dāng)?shù)據(jù)驅(qū)動型的攻擊簡答題1在交換機上配置端口安全的作用是什么？基于MAC地址限制、允許客戶端流量避免MAC地址擴散攻擊避免MAC地址欺騙攻擊（主機使用虛假MAC地址發(fā)送非法數(shù)據(jù)）狀態(tài)化防火墻的原理是什么？動態(tài)地根據(jù)實際需求，自動生成或刪除相應(yīng)的包過濾規(guī)則ASA上不同安全級別的接口之間互相訪問時，遵從的默認(rèn)規(guī)則是什么？允許出站（outbound）連接禁止入站（inbound）連接禁止相同安全級別的接口之間通信在ASA上配置ACL的作用是什么？允許入站連接；控制出站連接的流量NAT豁免有什么作用？允許雙向通信簡述ASA的遠(yuǎn)程管理方式有哪些？telnet、SSH、ASDM簡述NAT控制的作用做NAT控制內(nèi)網(wǎng)訪問外網(wǎng)需要做NAT轉(zhuǎn)換簡述VPN的類型有哪些？站點到站點VPN；遠(yuǎn)程訪問VPN；點到點VPN簡述常見的對稱加密算法有哪些？哪種更安全？DES、3DES、AES AES更安全。10簡述IPSecVPN階段一需要配置哪些參數(shù)?配置安全策略；配置預(yù)共享密鑰11簡述配置IPSecVPN時，ASA防火墻與路由器的區(qū)別？防火墻ike默認(rèn)關(guān)閉，路由器默認(rèn)開啟；默認(rèn)配置不同12在ASA上配置IPSecVPN時，NAT豁免的作用是什么？VPN不用做NAT轉(zhuǎn)換13簡述NAT-T的作用是什么？解決地址轉(zhuǎn)換的問題14簡述AAA服務(wù)指的是什么？認(rèn)證，授權(quán)，統(tǒng)計常見的AAA協(xié)議有哪些？區(qū)別是什么？RADIUS公有的，只加密用戶名和密碼，基于UDP協(xié)議TACACS+私有的，加密整個包，基于TCP協(xié)議簡述分離隧道的作用？分離隧道能夠使客戶端在進行VPN訪問時正常訪問Internet。17簡述DNS分離的作用使用內(nèi)部的DNS解析和外部的DNS解析18SSLVPN客戶端有哪3種模式？SSLVPN客戶端有3種模式：無客戶端模式、瘦客戶端模式、胖客戶端模式19簡述SSLVPN有哪些優(yōu)勢？不考慮Nat環(huán)境，簡單，易懂20802.1X中的交換機端口有哪2種狀態(tài)？交換機端口有2種狀態(tài)：未授權(quán)狀態(tài)和授權(quán)狀態(tài)，它們決定了客戶是否能夠訪問網(wǎng)絡(luò)。21命令dot1xport-control有哪3個參數(shù)？端口默認(rèn)處于什么狀態(tài)？force-authorized,force-unauthorized,auto；授權(quán)狀態(tài)802.1x身份驗證包含哪3個主要組件？客戶端，交換機，驗證服務(wù)器命令dot1xport-control有哪3個參數(shù)？端口默認(rèn)處于什么狀態(tài)？force-authorized，force-unauthorized,auto；授權(quán)狀態(tài)簡述穿越代理的原理和作用原理：1、PC訪問Web服務(wù)器2、 檢查流量，發(fā)送認(rèn)證提示給PC3、 輸入用戶名、密碼進行認(rèn)證4、 認(rèn)證成功，進行授權(quán)5、 PC訪問Web服務(wù)器正常作用：穿越代理一般用于企業(yè)要基于每個員工應(yīng)用不同的安全及權(quán)限策略或需要設(shè)置的安全策略過多時，而單一的安全策略一般都應(yīng)用于一組用戶或一個網(wǎng)段的用戶，而通過aaa服務(wù)器可以經(jīng)特定的安全策略應(yīng)用到通過認(rèn)證的單個用戶，使得配置更加靈活。在使用命令access-groupacl_nameininterfaceinsideper-user-override應(yīng)用ACL時，本地配置的ACL是否有效？無效26使用RADIUS服務(wù)器動態(tài)下發(fā)ACL常用方式是什么？DownloadableIPACLs（可下載的IPACLs）27在DownloadableIPACLs方式的配置中，添加AAAClient時，認(rèn)證使用的協(xié)議是選擇“RADIUS（CiscoVPN3000/ASA/PIX7.x+）"還是標(biāo)準(zhǔn)RADIUS（IETF）?RADIUS（CiscoVPN3000/ASA/PIX7.x+）IDS與IPS的主要區(qū)別是什么？IDS是入侵檢測系統(tǒng)，IPS是入侵防護系統(tǒng)IDS的工作原理是使用一個或多個監(jiān)聽端口“嗅探"不轉(zhuǎn)發(fā)任何流量；IPS的工作原理是提供主動性的防護，預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截IPS的分類有哪幾種？HIPS，NIPS30如何對IPS4200傳感器進行初始化配置進入cli；運行setup命令；（主機名，ip地址及掩碼，網(wǎng)關(guān)，telnet服務(wù)器狀態(tài)（禁用），web服務(wù)器端口（443））ids和ips分別以什么樣的方式接入網(wǎng)絡(luò)IDS可部署在防火墻外；IPS可部署在防火墻內(nèi)傳感接口可以運行在什么模式？混雜模式，在線模式網(wǎng)絡(luò)衛(wèi)士防火墻有幾大系列？網(wǎng)絡(luò)衛(wèi)士NGFWARES、NGFW4000、NGFW4000-UF三大系列網(wǎng)絡(luò)衛(wèi)士防火墻支持的雙機熱備功能有哪幾種模式？旁路接入模式，透明接入模式天融信網(wǎng)絡(luò)衛(wèi)士防火墻雙機熱備模式中“心跳線"的作用是什么？是協(xié)商狀態(tài)、同步對象及配置信息36簡述H3C產(chǎn)品體系包含哪些產(chǎn)品？IP網(wǎng)絡(luò)產(chǎn)品IP無線產(chǎn)品IP安全產(chǎn)品IP存儲產(chǎn)品IP多媒體產(chǎn)品IP管理產(chǎn)品服務(wù)及培訓(xùn)產(chǎn)品37簡述在H3C設(shè)備上OSPF協(xié)議配置的思路？啟用OSPF指定router-id；進入area1；重發(fā)靜態(tài)路由；重發(fā)直連路由；重發(fā)默認(rèn)路由；簡述淚滴攻擊的原理和防護方法操作系統(tǒng)在收到IP分片后，會根據(jù)偏移值將IP分片重新組裝成IP數(shù)據(jù)包如果偽造含有重疊偏移的分片，一些老的操作系統(tǒng)在收到這種分片時將崩潰方法：在ASA上配置fragmentchain每個IP包允許的分片數(shù)，默認(rèn)是24個禁止IP分片通過的配置命令什么是syn半開連接？有什么危害如果短時間內(nèi)接收到的SYN太多，半連接隊列就會溢出，則正常的客戶發(fā)送的SYN請求連接也會被服務(wù)器丟棄！常見的安全基本分類有哪幾種？物理安全系統(tǒng)安全網(wǎng)絡(luò)安全數(shù)據(jù)安全常見的攻擊方式有哪幾種？ARP攻擊SYNFlood攻擊網(wǎng)頁掛馬利用漏洞暴力破解木馬植入注冊表工具被禁用后，使用什么方法可以恢復(fù)？刪除文件C:\Windows\System32\rundll32.bat運行g(shù)pedit.msc組策略編輯器用戶配置--＞管理模板--＞系統(tǒng)，將“阻止訪問注冊表工具”設(shè) 為“已禁用”用戶配置一＞管理模板一＞W(wǎng)indows組件一＞InternetExplorer，將“禁止更改主頁設(shè)置"設(shè)為"已禁用"編輯注冊表，刪除開機啟動項“ctfmom"重新打開InternetExplorer瀏覽器，修復(fù)主頁設(shè)置在局域網(wǎng)中可以使用什么工具探測用戶名與密碼？使用Ettercap進行網(wǎng)絡(luò)嗅探掃描方式有哪幾種？Ping檢測端口掃描OS探測弱口令探測漏洞評估常見的掃描工具有哪幾種？SuperScanFluxay（流光）X-ScanMBSAWikto46對Windows安全性進行檢測的工具是什么？MBSA用什么工具探測系統(tǒng)弱口令賬戶？X-ScanFluxay常見的木馬有哪幾種？遠(yuǎn)程控制木馬冰河木馬鍵盤屏幕記錄木馬QQ密碼記錄器反彈端口型木馬廣外女生、網(wǎng)絡(luò)神偷DDoS攻擊木馬簡述如何使木馬開機自啟動？1在注冊表中更改開機啟動項常見的密碼破解方式有哪些？暴力破解與字典攻擊密碼窮舉字典攻擊鍵盤屏幕記錄網(wǎng)絡(luò)釣魚口偽造站點誘騙用戶登陸，獲取賬號與密碼Sniffer（嗅探器）口直接抓取網(wǎng)絡(luò)包，獲取未加密信息密碼心理學(xué)口通過個人習(xí)慣猜測密碼組成綜合實驗題試題一：在路由器上實現(xiàn)多點ipsecvpn（本題共35分）請認(rèn)真閱讀以下項目背景描述材料,之后分析相關(guān)需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細(xì)截圖方式進行記錄并給于相關(guān)文字說明背景描述某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：R1為公司總部網(wǎng)絡(luò)站點，R2、R3分別為兩個分公司的站點。三家公司都接入了互聯(lián)網(wǎng)。公司要求在不增加成本的情況下實現(xiàn)三家公司財務(wù)數(shù)據(jù)安全的傳輸?！?//24/30/30/30F0/0—///24/30/30/30F0/0F0/0需求描述3家分公司之間所有的流量必須通過IPSecVPN實現(xiàn)加密傳輸3家分公司各自訪問Internet的流量通過NAT技術(shù)實現(xiàn)評分標(biāo)準(zhǔn)搭建拓?fù)鋱D配置基本ip地址和路由⑸在R1與R2之間配置ipsecvpn（5）在R2與R3之間配置ipsecvpn（10）在R1與R3之間配置IPSecVPN（5）在所有站點上配置PAT實現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)對于Internet的訪問（5）驗證IPSecVPN（5）路由配置R1(config)#iprouteF0/0R2(config)#iprouteF0/0R3(config)#iprouteF0/0ISP(config)#iprouteISP(config)#iprouteISP(config)#iproute配置R1-R2之間的IPSecVPNR1(config)#cryptoisakmppolicy1R1(config-isakmap)#encryption3desR1(config-isakmap)#hashshaR1(config-isakmap)#authenticationpre-shareR1(config-isakmap)#group2R1(config)#cryptoisakmpkey0hdxy-001addressR1(config)#access-list100permitip5555R1(config)#cryptoipsectransform-sethdxy-setesp-desesp-sha-hmacR1(cfg-crypto-trans)#exitR1(config)#cryptomaphdxy-map1ipsec-isakmpR1(config-crypto-map)#setpeerR1(config-crypto-map)#settransform-sethdxy-setR1(config-crypto-map)#matchaddress100R1(config)#interfacef0/0R1(config-if)#cryptomaphdxy-map添加R1-R3的預(yù)共享密鑰R1(config)#cryptoisakmpkey0hdxy-002address添加R1-R3的CryptoACLR1(config)#access-list101permitip5555配置新的CryptoMap，要求映射名相同，而序號R1(config)#cryptomaphdxy-map2ipsec-isakmpR1(config-crypto-map)#setpeerR1(config-crypto-map)#settransform-sethdxy-setR1(config-crypto-map)#matchaddress101R2、R3關(guān)鍵配置R2(config)#cryptoisakmpkey0hdxy-001addressR2(config)#access-list101permitip5555R2(config)#cryptomaphdxy-map2ipsec-isakmpR2(config-crypto-map)#setpeerR2(config-crypto-map)#settransform-sethdxy-setR2(config-crypto-map)#matchaddress101R3(config)#cryptoisakmpkey0hdxy-002address

R3(config)#access-list101permitip5555R3(config)#cryptomaphdxy-map2ipsec-isakmpR3(config-crypto-map)#setpeerR3(config-crypto-map)#settransform-sethdxy-setR3(config-crypto-map)#matchaddress101試題二：在防火墻上配置ipsecvpn在路由器上實現(xiàn)nat-t穿越（本題共35分）請認(rèn)真閱讀以下項目背景描述材料,之后分析相關(guān)需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細(xì)截圖方式進行記錄并給于相關(guān)文字說明背景描述某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：R1為公司總部網(wǎng)絡(luò)站點，asa2為分公司的站點。兩家公司都接入了互聯(lián)網(wǎng)。為了減輕總部網(wǎng)絡(luò)設(shè)備的壓力，增加了一臺防火墻asal單獨實現(xiàn)ipsecvpn功能，要求vpn的流量能夠穿越nat設(shè)備ASA1NAT-T ISP需求描述才亠iR2路由器模擬ASA1NAT-T ISP需求描述才亠iR2路由器模擬ISP服務(wù)提供商，R1上配置PAT實現(xiàn)內(nèi)網(wǎng)對Internet的訪問ASA2兩臺防火墻之間建立IPSecVPN,連接穿過NAT設(shè)備，配置實現(xiàn)兩端對等體成功建立IPSec連接評分標(biāo)準(zhǔn)搭建拓?fù)鋱D實現(xiàn)基本配置(l0)在ASA防火墻上配置IPSecVPN(l0)配置實現(xiàn)NAT穿越 (10)驗證ipsecvpn(5)ASA1(config)#access-listnonatextendedpermitipASA1(config)#nat(inside)0access-listnonatASA1(config)#routeoutside00ASA1(config)#nat-controlASA1(config)#nat(inside)100

ASA1(config)#global(outside)1int建立ISAKMPASA1(config)#cryptoisakmpenableoutside配置管理連接策略ASA1(config)#cryptoisakmppolicy1ASA1(config-isakmp-policy)#encryptionaesASA1(config-isakmp-policy)#hashshaASA1(config-isakmp-policy)#authenticationpre-shareASA1(config-isakmp-policy)#group1配置預(yù)共享密鑰ASA1(config)#cryptoisakmpkeyhdxyaddress配置cryptoACLASA1(config)#access-listyfvpnextendedpermitip配置傳輸集ASA1(config)#cryptoipsectransform-sethdxy-setesp-aesesp-sha-hmac配置cryptomapASA1(config)#cryptomaphdxy-map1matchaddressyfvpnASA1(config)#cryptomaphdxy-map1setpeerASA1(config)#cryptomaphdxy-map1settransform-sethdxy-set將CryptoMap應(yīng)用到outside接口上ASA1(config)#cryptomaphdxy-mapinterfaceoutside試題三：防火墻實現(xiàn)遠(yuǎn)程vpn(本題共35分)請認(rèn)真閱讀以下項目背景描述材料,之后分析相關(guān)需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細(xì)截圖方式進行記錄并給于相關(guān)文字說明背景描述某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：防火墻為公司總部網(wǎng)絡(luò)站點，公司出差人員需要接入了公司內(nèi)部網(wǎng)絡(luò)查詢資料。要求不同級別的出差人員可以安全的訪問相應(yīng)的內(nèi)部網(wǎng)絡(luò)資源內(nèi)網(wǎng)地址/24hdxyffl戶-軽客戶端Ci生內(nèi)網(wǎng)地址/24hdxyffl戶-軽客戶端Ci生g用戶需求描述建立用戶分別是hdxy和cisco,口令任意指定要求使用hdxy用戶登錄時只能訪問00服務(wù)器資源；使用cisco用戶登錄是只能訪問00服務(wù)器資源這兩個用戶在訪問內(nèi)網(wǎng)資源的同時可以訪問評分標(biāo)準(zhǔn)搭建拓?fù)鋱D并實現(xiàn)基本配置（8）配置用戶名密碼 （5）ASA（config）#usernamehdxypasswordcisco配置組策略 （5）ASA(config)#iplocalpoolhdxy-pool00-10ASA(config)#group-policytest-group{internal|external}ASA(config)#group-policytest-groupattributesASA(config-group-policy)#dns-servervalue0ASA(config-group-policy)#address-poolvaluehdxy-poolASA(config-group-policy)#split-tunnel-policytunnelspecifiedASA(config-group-policy)#split-tunnel-network-listvaluesplit-aclASA(config-group-policy)#split-dnsASA(config)#usernamehdxyattributesASA(config-username)#vpn-group-policytest-groupASA(config-username)#vpn-tunnel-protocol[ipsec][webvpn■定義隧道組ASA(config)#iplocalpoolhdxy-pool00-10ASA(config)#tunnel-grouphdxy-grouptypeipsec-raASA(config)#tunnel-grouphdxy-groupgeneral-attributesASA(config-general)#address-poolhdxy-poolASA(config-general)#default-group-policytest-groupASA(config-general)#exitASA(config)#tunnel-grouphdxy-groupipsec-attributesASA(config-ipsec)#pre-shared-keyhdxy-key配置CryptoMap (5)ASA(config)#cryptoipsectransform-sethdxy-setesp-3desesp-sha-hmacASA(config)#cryptodynamic-maphdxy-dymap1settransform-sethdxy-setASA(config)#cryptomaphdxy-stamap1000ipsec-isakmpdynamichdxy-dymapASA(config)#cryptomaphdxy-stamapintoutside安裝客戶端并正確配置（2）驗證不同賬號并訪問相關(guān)資源（5）■配置IKEASA(config)#usernamehdxypasswordciscoASA(config)#cryptoisakmpenableoutsideASA(config)#cryptoisakmppolicy10ASA(config-isakmp-policy)#encryption3desASA(config-isakmp-policy)#hashshaASA(config-isakmp-policy)#authenticationpre-shareASA(config-isakmp-policy)#group2ASA(config-isakmp-policy)#exit配置組策略和隧道組ASA(config)#iplocalpoolhdxy-pool00—10ASA(config)#access-listsplit-aclpermitipanyASA(config)#group—policytest—groupinternalASA(config)#group—policytest—groupattributesASA(config—group—policy)#split—tunnel—policytunnelspecifiedASA(config—group—policy)#split—tunnel—network—listvaluesplit—aclASA(config—group—policy)#exitASA(config)#tunnel—grouphdxy—grouptypeipsec—raASA(config)#tunnel—grouphdxy—groupgeneral—attributesASA(config—tunnel—general)#address—poolhdxy—poolASA(config—tunnel—general)#default—group—policytest—groupASA(config—tunnel—general)#exitASA(config)#tunnel—grouphdxy—groupipsec—attributesASA(config—tunnel—ipsec)#pre—shared—keyhdxy—keyASA(config—tunnel—ipsec)#exit試題四：在防火墻上配置sslvpn的兩種模式（本題共35分）請認(rèn)真閱讀以下項目背景描述材料,之后分析相關(guān)需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細(xì)截圖方式進行記錄并給于相關(guān)文字說明背景描述某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：防火墻為公司總部網(wǎng)絡(luò)站點，公司出差人員需要接入了公司內(nèi)部網(wǎng)站查詢資料ASAl1.2需求描述防火墻內(nèi)部pc通過pat轉(zhuǎn)換訪問internet要求配置無客戶端模式驗證特性胖客戶端模式的SSLVPN驗證特性評分標(biāo)準(zhǔn)搭建拓?fù)鋱D并實現(xiàn)網(wǎng)絡(luò)基本配置 (5)搭建web服務(wù)器(5)在asa上配置SSLVPN無客戶端模式(10)在asa上配置SSLVPN胖客戶端模式(10)驗證無客戶端和胖客戶端sslvpn的特性(5)在ASA防火墻上配置無客戶端模式的SSLVPNASA(config)#webvpnASA(config-webvpn)#enableoutsideASA(config-webvpn)#exitASA(config)#usernamehdxypasswordcisco配置胖客戶端模式的SSLVPNASA(config)#usernamehdxypasswordciscoASA(config)#webvpnASA(config-webvpn)#enableoutsideASA(config-webvpn)#svcimagedisk0:/sslclient-win-73.pkgASA(config-webvpn)#svcenableASA(config-webvpn)#tunnel-group-listenableASA(config-webvpn)#exitASA(config)#iplocalpoolsslvpn_pool00-00ASA(config)#group-policyvpn_group_policyinternalASA(config)#group-policyvpn_group_policyattributesASA(config-group-policy)#vpn-tunnel-protocolwebvpnsvcASA(config-group-policy)#webvpnASA(config-group-webvpn)#svcaskenableASA(config-group-webvpn)#exitASA(config-group-policy)#exitASA(config)#tunnel-groupvpn_grouptypewebvpnASA(config)#tunnel-groupvpn_groupgeneral-attributesASA(config-tunnel-general)#address-poolsslvpn_poolASA(config-tunnel-general)#default-group-policyvpn_group_policyASA(config-tunnel-general)#exitASA(config)#tunnel-groupvpn_groupwebvpn-attributesASA(config-tunnel-webvpn)#group-aliasgroupsenableASA(config-tunnel-webvpn)#exit試題五：在防火墻上配置http協(xié)議穿越代理(本題共35分)請認(rèn)真閱讀以下項目背景描述材料,之后分析相關(guān)需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細(xì)截圖方式進行記錄并給于相關(guān)文字說明背景描述某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：防火墻為公司總部網(wǎng)絡(luò)站點，由于內(nèi)部產(chǎn)生的網(wǎng)絡(luò)攻擊越來越多公司要求用asa

實現(xiàn)穿越代理實現(xiàn)內(nèi)部服務(wù)器的安全InternetEO/2DMZEO/1insideEO/OoutsideEO/2DMZEO/1insidePC1PC2PC1PC2ASA*需求描述客戶端訪問服務(wù)器必須通過ASA認(rèn)證授權(quán)PCI用戶名：hdxy,密碼：hdxy；只能訪問WebServerPC2用戶名：cisco,密碼：cisco；可以訪問Web和ACS服務(wù)器評分標(biāo)準(zhǔn)搭建拓?fù)鋱D并進行基本配置(5)正確安裝acs服務(wù)器(5)配置穿越代理(10)配置AAA服務(wù)器使用RADIUS協(xié)議授權(quán)(10)驗證用戶權(quán)限(5)配置RADIUS服務(wù)器口配置AAAServer和AAAClient口添加用戶hdxy和ciscohdxy用戶加入組grouplcisco用戶加入組group2口配置動態(tài)下發(fā)ACLgroup1：permittcpany55eq80group2：permittcpany55eq80permittcpany55eq80配置ASA穿越代理ASA(config)#access-listhttppermittcpanyeq80ASA(config)#aaa-serveracsprotocolRADIUSASA(config-aaa-server-group)#aaa-serveracs(dmz)hostASA(config-aaa-server-host)#keyciscoASA(config-aaa-server-host)#exitASA(config)#aaaauthenticationmatchhttpinsideacsASA(config)#aaaauthenticationsecure-http-client

試題六：利用ips實現(xiàn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全（本題共35分）請認(rèn)真閱讀以下項目背景描述材料,之后分析相關(guān)需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細(xì)截圖方式進行記錄并給于相關(guān)文字說明背景描述某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：在交換機上串接一個ips要求fO/1到fO/2的流量經(jīng)過ips設(shè)備GQ/1G0/2F0//24FO/D:/24/24F0/1F0/11F0/12GQ/1G0/2F0//24FO/D:/24/24F0/1F0/11F0/12需求描述客戶端訪問服務(wù)器必須經(jīng)過ips設(shè)備在客戶機上發(fā)動syn攻擊Ips設(shè)備檢測到syn攻擊評分標(biāo)準(zhǔn)搭建拓?fù)鋱D并進行基本配置（5）配置ips的vlanpairs對（10）配置ips的web監(jiān)控和block設(shè)置 （10）客戶機發(fā)動syn攻擊（5）驗證ips的監(jiān)控效果和實際的block效果（5）試題七：在路由器上同時配置站到站ipsecvpn和遠(yuǎn)程訪問vpn(easyvpn)(本題共35分)請認(rèn)真閱讀以下項目背景描述材料,之后分析相關(guān)需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細(xì)截圖方式進行記錄并給于相關(guān)文字說明背景描述某公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：路由器R1為公司總部網(wǎng)絡(luò)站點，路由器R2為isp的路由器，路由器R3為分公司的網(wǎng)絡(luò)站點，pc1為出差人員，有時需要接入了公司內(nèi)部網(wǎng)絡(luò)查詢資料R1和R2之間實現(xiàn)站到站的ipsecvpnR1和vpnclient實現(xiàn)遠(yuǎn)程訪問vpn即(easyvpn)總部和分公司的內(nèi)網(wǎng)用loopback接口代替評分標(biāo)準(zhǔn)搭建拓?fù)鋱D并進行基本配置(5)配置R1和R2之間的ipsecvpn(10)配置R1的遠(yuǎn)程ipsecvpn(10)客戶機上vpn撥號成功(5)驗證vpnclient和總部內(nèi)網(wǎng)的通信、R2內(nèi)網(wǎng)(loopback)和R1內(nèi)網(wǎng)(loopback)的通信(5)EasyVPN應(yīng)用R1(config)#aaanew-modelR1(config)#aaaauthenticationloginhdxy-authenlocalR1(config)#aaaauthorizationnetworkhdxy-authorlocalR1(config)#usernamehdxysecretciscoR1(config)#cryptoisakmppolicy10R1(config-isakmp