簡答題完整版

1、以下關于對稱加密的說法正確的是？ACDA、 在對稱加密中，只有一個密鑰用來加密和解密信息B、 在對稱加密中，用到了二個密鑰來加密和解密信息，分別是公共密鑰和私用密鑰C、 對稱加密是一個簡單的過程，雙方都必需完全相信對方，并持有這個密鑰的備份D、 對稱加密的速度非?？?，允許你加密大量的信息而只需要幾秒鐘2、以下不屬于對稱加密算法的是？CDA、 DESB、 RC4C、 HASHD、 RSA1．人為的惡意攻擊分為被動攻擊和主動攻擊，在以下的攻擊類型中屬于主動攻擊的是：（）數(shù)據GGB．數(shù)據篡改及破壞C.身份假冒D.數(shù)據流分析2.在安全服務中，不可否認性包括兩種形式，分別是（）原發(fā)證明交付證明數(shù)據完整數(shù)據保密以下安全標準屬于IS07498-2規(guī)定的是（）數(shù)據完整性WindowsNT屬于C2級不可否認性系統(tǒng)訪問控制利用密碼技術，可以實現(xiàn)網絡安全所要求的（ ）數(shù)據保密性數(shù)據完整性數(shù)據可用性身份認證在加密過程中，必須用到的三個主要元素是（）所傳輸?shù)男畔ⅲ魑模┘用荑€匙（Encryptionkey）加密函數(shù)傳輸信道加密的強度主要取決于（）算法的強度密鑰的保密性明文的長度密鑰的強度以下對于對稱密鑰加密說法正確的是（）A.對稱加密算法的密鑰易于管理B．加解密雙方使用同樣的密鑰C．DES算法屬于對稱加密算法D．相對于非對稱加密算法，加解密處理速度比較快8.相對于對稱加密算法，非對稱密鑰加密算法（）A．加密數(shù)據的速率較低B．更適合于現(xiàn)有網絡中對所傳輸數(shù)據（明文）的加解密處理C．安全性更好D．加密和解密的密鑰不同9．以下對于混合加密方式說法正確的是（ ）A．使用公開密鑰密碼體制對要傳輸?shù)男畔ⅲ魑模┻M行加解密處理B．使用對稱加密算法隊要傳輸?shù)男畔ⅲ魑模┻M行加解密處理C．使用公開密鑰密碼體制對稱加密密碼體制的密鑰進行加密后的通信D．對稱密鑰交換的安全信道是通過公開密鑰密碼體制來保證的10．在通信過程中，只采用數(shù)字簽名可以解決（ ）等問題。A．數(shù)據完整性B．數(shù)據的抗抵賴性C．數(shù)據的篡改D．數(shù)據的保密性11．防火墻不能防止以下那些攻擊行為（ ）A．內部網絡用戶的攻擊B．傳送已感染病毒的軟件和文件外部網絡用戶的IP地址欺騙D．數(shù)據驅動型的攻擊以下屬于包過濾技術的優(yōu)點的是（）能夠對高層協(xié)議實現(xiàn)有效過濾具有較快的數(shù)據包的處理速度為用戶提供透明的服務，不需要改變客戶端的程序和自己本身的行為能夠提供內部地址的屏蔽和轉換功能以下關于包過濾技術與代理技術的比較，正確的是（）包過濾技術的安全性較弱，代理服務技術的安全性較高包過濾不會對網絡性能產生明顯影響代理服務技術會嚴重影響網絡性能代理服務技術對應用和用戶是絕對透明的對于防火墻的設計準則，業(yè)界有一個非常著名的標準，即兩個基本的策略（）允許從內部站點訪問Internet而不允許從Internet訪問內部站點沒有明確允許的就是禁止的沒有明確禁止的就是允許的只允許從Internet訪問特定的系統(tǒng)建立堡壘主機的一般原則（）最簡化原則復雜化原則預防原則網絡隔斷原則在安全服務中，不可否認性包括兩種形式，分別是（ ）

A．原發(fā)證明B．交付證明C．數(shù)據完整D．數(shù)據保密23456789以下安全標準屬于IS07498-2規(guī)定的是（ ）A．數(shù)據完整性B．WindowsNT屬于C2級C．不可否認性D．系統(tǒng)訪問控制利用密碼技術，可以實現(xiàn)網絡安全所要求的（ ）A．數(shù)據保密性B．數(shù)據完整性C．數(shù)據可用性D．身份認證在加密過程中，必須用到的三個主要元素是（）A．所傳輸?shù)男畔ⅲ魑模〣．加密鑰匙（Encryptionkey）C．加密函數(shù)D．傳輸信道加密的強度主要取決于（）A．算法的強度B．密鑰的保密性C．明文的長度D．密鑰的強度以下對于對稱密鑰加密說法正確的是（）A．對稱加密算法的密鑰易于管理B．加解密雙方使用同樣的密鑰C．DES算法屬于對稱加密算法D．相對于非對稱加密算法，加解密處理速度比較快相對于對稱加密算法，非對稱密鑰加密算法（）A．加密數(shù)據的速率較低B．更適合于現(xiàn)有網絡中對所傳輸數(shù)據（明文）的加解密處理C．安全性更好D．加密和解密的密鑰不同以下對于混合加密方式說法正確的是（ ）A．使用公開密鑰密碼體制對要傳輸?shù)男畔ⅲ魑模┻M行加解密處理B．使用對稱加密算法隊要傳輸?shù)男畔ⅲ魑模┻M行加解密處理C．使用公開密鑰密碼體制對稱加密密碼體制的密鑰進行加密后的通信D．對稱密鑰交換的安全信道是通過公開密鑰密碼體制來保證的在通信過程中，只采用數(shù)字簽名可以解決（）等問題。A．數(shù)據完整性B．數(shù)據的抗抵賴性C．數(shù)據的篡改

D．數(shù)據的保密性10防火墻不能防止以下哪些攻擊行為（）A．內部網絡用戶的攻擊B．傳送已感染病毒的軟件和文件C．外部網絡用戶的IP地址欺騙D．數(shù)據驅動型的攻擊簡答題1在交換機上配置端口安全的作用是什么？基于MAC地址限制、允許客戶端流量避免MAC地址擴散攻擊避免MAC地址欺騙攻擊（主機使用虛假MAC地址發(fā)送非法數(shù)據）狀態(tài)化防火墻的原理是什么？動態(tài)地根據實際需求，自動生成或刪除相應的包過濾規(guī)則ASA上不同安全級別的接口之間互相訪問時，遵從的默認規(guī)則是什么？允許出站（outbound）連接禁止入站（inbound）連接禁止相同安全級別的接口之間通信在ASA上配置ACL的作用是什么？允許入站連接；控制出站連接的流量NAT豁免有什么作用？允許雙向通信簡述ASA的遠程管理方式有哪些？telnet、SSH、ASDM簡述NAT控制的作用做NAT控制內網訪問外網需要做NAT轉換簡述VPN的類型有哪些？站點到站點VPN；遠程訪問VPN；點到點VPN簡述常見的對稱加密算法有哪些？哪種更安全？DES、3DES、AES AES更安全。10簡述IPSecVPN階段一需要配置哪些參數(shù)?配置安全策略；配置預共享密鑰11簡述配置IPSecVPN時，ASA防火墻與路由器的區(qū)別？防火墻ike默認關閉，路由器默認開啟；默認配置不同12在ASA上配置IPSecVPN時，NAT豁免的作用是什么？VPN不用做NAT轉換13簡述NAT-T的作用是什么？解決地址轉換的問題14簡述AAA服務指的是什么？認證，授權，統(tǒng)計常見的AAA協(xié)議有哪些？區(qū)別是什么？RADIUS公有的，只加密用戶名和密碼，基于UDP協(xié)議TACACS+私有的，加密整個包，基于TCP協(xié)議簡述分離隧道的作用？分離隧道能夠使客戶端在進行VPN訪問時正常訪問Internet。17簡述DNS分離的作用使用內部的DNS解析和外部的DNS解析18SSLVPN客戶端有哪3種模式？SSLVPN客戶端有3種模式：無客戶端模式、瘦客戶端模式、胖客戶端模式19簡述SSLVPN有哪些優(yōu)勢？不考慮Nat環(huán)境，簡單，易懂20802.1X中的交換機端口有哪2種狀態(tài)？交換機端口有2種狀態(tài)：未授權狀態(tài)和授權狀態(tài)，它們決定了客戶是否能夠訪問網絡。21命令dot1xport-control有哪3個參數(shù)？端口默認處于什么狀態(tài)？force-authorized,force-unauthorized,auto；授權狀態(tài)802.1x身份驗證包含哪3個主要組件？客戶端，交換機，驗證服務器命令dot1xport-control有哪3個參數(shù)？端口默認處于什么狀態(tài)？force-authorized，force-unauthorized,auto；授權狀態(tài)簡述穿越代理的原理和作用原理：1、PC訪問Web服務器2、 檢查流量，發(fā)送認證提示給PC3、 輸入用戶名、密碼進行認證4、 認證成功，進行授權5、 PC訪問Web服務器正常作用：穿越代理一般用于企業(yè)要基于每個員工應用不同的安全及權限策略或需要設置的安全策略過多時，而單一的安全策略一般都應用于一組用戶或一個網段的用戶，而通過aaa服務器可以經特定的安全策略應用到通過認證的單個用戶，使得配置更加靈活。在使用命令access-groupacl_nameininterfaceinsideper-user-override應用ACL時，本地配置的ACL是否有效？無效26使用RADIUS服務器動態(tài)下發(fā)ACL常用方式是什么？DownloadableIPACLs（可下載的IPACLs）27在DownloadableIPACLs方式的配置中，添加AAAClient時，認證使用的協(xié)議是選擇“RADIUS（CiscoVPN3000/ASA/PIX7.x+）"還是標準RADIUS（IETF）?RADIUS（CiscoVPN3000/ASA/PIX7.x+）IDS與IPS的主要區(qū)別是什么？IDS是入侵檢測系統(tǒng)，IPS是入侵防護系統(tǒng)IDS的工作原理是使用一個或多個監(jiān)聽端口“嗅探"不轉發(fā)任何流量；IPS的工作原理是提供主動性的防護，預先對入侵活動和攻擊性網絡流量進行攔截IPS的分類有哪幾種？HIPS，NIPS30如何對IPS4200傳感器進行初始化配置進入cli；運行setup命令；（主機名，ip地址及掩碼，網關，telnet服務器狀態(tài)（禁用），web服務器端口（443））ids和ips分別以什么樣的方式接入網絡IDS可部署在防火墻外；IPS可部署在防火墻內傳感接口可以運行在什么模式？混雜模式，在線模式網絡衛(wèi)士防火墻有幾大系列？網絡衛(wèi)士NGFWARES、NGFW4000、NGFW4000-UF三大系列網絡衛(wèi)士防火墻支持的雙機熱備功能有哪幾種模式？旁路接入模式，透明接入模式天融信網絡衛(wèi)士防火墻雙機熱備模式中“心跳線"的作用是什么？是協(xié)商狀態(tài)、同步對象及配置信息36簡述H3C產品體系包含哪些產品？IP網絡產品IP無線產品IP安全產品IP存儲產品IP多媒體產品IP管理產品服務及培訓產品37簡述在H3C設備上OSPF協(xié)議配置的思路？啟用OSPF指定router-id；進入area1；重發(fā)靜態(tài)路由；重發(fā)直連路由；重發(fā)默認路由；簡述淚滴攻擊的原理和防護方法操作系統(tǒng)在收到IP分片后，會根據偏移值將IP分片重新組裝成IP數(shù)據包如果偽造含有重疊偏移的分片，一些老的操作系統(tǒng)在收到這種分片時將崩潰方法：在ASA上配置fragmentchain每個IP包允許的分片數(shù)，默認是24個禁止IP分片通過的配置命令什么是syn半開連接？有什么危害如果短時間內接收到的SYN太多，半連接隊列就會溢出，則正常的客戶發(fā)送的SYN請求連接也會被服務器丟棄！常見的安全基本分類有哪幾種？物理安全系統(tǒng)安全網絡安全數(shù)據安全常見的攻擊方式有哪幾種？ARP攻擊SYNFlood攻擊網頁掛馬利用漏洞暴力破解木馬植入注冊表工具被禁用后，使用什么方法可以恢復？刪除文件C:\Windows\System32\rundll32.bat運行gpedit.msc組策略編輯器用戶配置--＞管理模板--＞系統(tǒng)，將“阻止訪問注冊表工具”設 為“已禁用”用戶配置一＞管理模板一＞Windows組件一＞InternetExplorer，將“禁止更改主頁設置"設為"已禁用"編輯注冊表，刪除開機啟動項“ctfmom"重新打開InternetExplorer瀏覽器，修復主頁設置在局域網中可以使用什么工具探測用戶名與密碼？使用Ettercap進行網絡嗅探掃描方式有哪幾種？Ping檢測端口掃描OS探測弱口令探測漏洞評估常見的掃描工具有哪幾種？SuperScanFluxay（流光）X-ScanMBSAWikto46對Windows安全性進行檢測的工具是什么？MBSA用什么工具探測系統(tǒng)弱口令賬戶？X-ScanFluxay常見的木馬有哪幾種？遠程控制木馬冰河木馬鍵盤屏幕記錄木馬QQ密碼記錄器反彈端口型木馬廣外女生、網絡神偷DDoS攻擊木馬簡述如何使木馬開機自啟動？1在注冊表中更改開機啟動項常見的密碼破解方式有哪些？暴力破解與字典攻擊密碼窮舉字典攻擊鍵盤屏幕記錄網絡釣魚口偽造站點誘騙用戶登陸，獲取賬號與密碼Sniffer（嗅探器）口直接抓取網絡包，獲取未加密信息密碼心理學口通過個人習慣猜測密碼組成綜合實驗題試題一：在路由器上實現(xiàn)多點ipsecvpn（本題共35分）請認真閱讀以下項目背景描述材料,之后分析相關需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細截圖方式進行記錄并給于相關文字說明背景描述某公司網絡拓撲結構如下：R1為公司總部網絡站點，R2、R3分別為兩個分公司的站點。三家公司都接入了互聯(lián)網。公司要求在不增加成本的情況下實現(xiàn)三家公司財務數(shù)據安全的傳輸。—///24/30/30/30F0/0—///24/30/30/30F0/0F0/0需求描述3家分公司之間所有的流量必須通過IPSecVPN實現(xiàn)加密傳輸3家分公司各自訪問Internet的流量通過NAT技術實現(xiàn)評分標準搭建拓撲圖配置基本ip地址和路由⑸在R1與R2之間配置ipsecvpn（5）在R2與R3之間配置ipsecvpn（10）在R1與R3之間配置IPSecVPN（5）在所有站點上配置PAT實現(xiàn)內網數(shù)據對于Internet的訪問（5）驗證IPSecVPN（5）路由配置R1(config)#iprouteF0/0R2(config)#iprouteF0/0R3(config)#iprouteF0/0ISP(config)#iprouteISP(config)#iprouteISP(config)#iproute配置R1-R2之間的IPSecVPNR1(config)#cryptoisakmppolicy1R1(config-isakmap)#encryption3desR1(config-isakmap)#hashshaR1(config-isakmap)#authenticationpre-shareR1(config-isakmap)#group2R1(config)#cryptoisakmpkey0hdxy-001addressR1(config)#access-list100permitip5555R1(config)#cryptoipsectransform-sethdxy-setesp-desesp-sha-hmacR1(cfg-crypto-trans)#exitR1(config)#cryptomaphdxy-map1ipsec-isakmpR1(config-crypto-map)#setpeerR1(config-crypto-map)#settransform-sethdxy-setR1(config-crypto-map)#matchaddress100R1(config)#interfacef0/0R1(config-if)#cryptomaphdxy-map添加R1-R3的預共享密鑰R1(config)#cryptoisakmpkey0hdxy-002address添加R1-R3的CryptoACLR1(config)#access-list101permitip5555配置新的CryptoMap，要求映射名相同，而序號R1(config)#cryptomaphdxy-map2ipsec-isakmpR1(config-crypto-map)#setpeerR1(config-crypto-map)#settransform-sethdxy-setR1(config-crypto-map)#matchaddress101R2、R3關鍵配置R2(config)#cryptoisakmpkey0hdxy-001addressR2(config)#access-list101permitip5555R2(config)#cryptomaphdxy-map2ipsec-isakmpR2(config-crypto-map)#setpeerR2(config-crypto-map)#settransform-sethdxy-setR2(config-crypto-map)#matchaddress101R3(config)#cryptoisakmpkey0hdxy-002address

R3(config)#access-list101permitip5555R3(config)#cryptomaphdxy-map2ipsec-isakmpR3(config-crypto-map)#setpeerR3(config-crypto-map)#settransform-sethdxy-setR3(config-crypto-map)#matchaddress101試題二：在防火墻上配置ipsecvpn在路由器上實現(xiàn)nat-t穿越（本題共35分）請認真閱讀以下項目背景描述材料,之后分析相關需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細截圖方式進行記錄并給于相關文字說明背景描述某公司網絡拓撲結構如下：R1為公司總部網絡站點，asa2為分公司的站點。兩家公司都接入了互聯(lián)網。為了減輕總部網絡設備的壓力，增加了一臺防火墻asal單獨實現(xiàn)ipsecvpn功能，要求vpn的流量能夠穿越nat設備ASA1NAT-T ISP需求描述才亠iR2路由器模擬ASA1NAT-T ISP需求描述才亠iR2路由器模擬ISP服務提供商，R1上配置PAT實現(xiàn)內網對Internet的訪問ASA2兩臺防火墻之間建立IPSecVPN,連接穿過NAT設備，配置實現(xiàn)兩端對等體成功建立IPSec連接評分標準搭建拓撲圖實現(xiàn)基本配置(l0)在ASA防火墻上配置IPSecVPN(l0)配置實現(xiàn)NAT穿越 (10)驗證ipsecvpn(5)ASA1(config)#access-listnonatextendedpermitipASA1(config)#nat(inside)0access-listnonatASA1(config)#routeoutside00ASA1(config)#nat-controlASA1(config)#nat(inside)100

ASA1(config)#global(outside)1int建立ISAKMPASA1(config)#cryptoisakmpenableoutside配置管理連接策略ASA1(config)#cryptoisakmppolicy1ASA1(config-isakmp-policy)#encryptionaesASA1(config-isakmp-policy)#hashshaASA1(config-isakmp-policy)#authenticationpre-shareASA1(config-isakmp-policy)#group1配置預共享密鑰ASA1(config)#cryptoisakmpkeyhdxyaddress配置cryptoACLASA1(config)#access-listyfvpnextendedpermitip配置傳輸集ASA1(config)#cryptoipsectransform-sethdxy-setesp-aesesp-sha-hmac配置cryptomapASA1(config)#cryptomaphdxy-map1matchaddressyfvpnASA1(config)#cryptomaphdxy-map1setpeerASA1(config)#cryptomaphdxy-map1settransform-sethdxy-set將CryptoMap應用到outside接口上ASA1(config)#cryptomaphdxy-mapinterfaceoutside試題三：防火墻實現(xiàn)遠程vpn(本題共35分)請認真閱讀以下項目背景描述材料,之后分析相關需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細截圖方式進行記錄并給于相關文字說明背景描述某公司網絡拓撲結構如下：防火墻為公司總部網絡站點，公司出差人員需要接入了公司內部網絡查詢資料。要求不同級別的出差人員可以安全的訪問相應的內部網絡資源內網地址/24hdxyffl戶-軽客戶端Ci生內網地址/24hdxyffl戶-軽客戶端Ci生g用戶需求描述建立用戶分別是hdxy和cisco,口令任意指定要求使用hdxy用戶登錄時只能訪問00服務器資源；使用cisco用戶登錄是只能訪問00服務器資源這兩個用戶在訪問內網資源的同時可以訪問評分標準搭建拓撲圖并實現(xiàn)基本配置（8）配置用戶名密碼 （5）ASA（config）#usernamehdxypasswordcisco配置組策略 （5）ASA(config)#iplocalpoolhdxy-pool00-10ASA(config)#group-policytest-group{internal|external}ASA(config)#group-policytest-groupattributesASA(config-group-policy)#dns-servervalue0ASA(config-group-policy)#address-poolvaluehdxy-poolASA(config-group-policy)#split-tunnel-policytunnelspecifiedASA(config-group-policy)#split-tunnel-network-listvaluesplit-aclASA(config-group-policy)#split-dnsASA(config)#usernamehdxyattributesASA(config-username)#vpn-group-policytest-groupASA(config-username)#vpn-tunnel-protocol[ipsec][webvpn■定義隧道組ASA(config)#iplocalpoolhdxy-pool00-10ASA(config)#tunnel-grouphdxy-grouptypeipsec-raASA(config)#tunnel-grouphdxy-groupgeneral-attributesASA(config-general)#address-poolhdxy-poolASA(config-general)#default-group-policytest-groupASA(config-general)#exitASA(config)#tunnel-grouphdxy-groupipsec-attributesASA(config-ipsec)#pre-shared-keyhdxy-key配置CryptoMap (5)ASA(config)#cryptoipsectransform-sethdxy-setesp-3desesp-sha-hmacASA(config)#cryptodynamic-maphdxy-dymap1settransform-sethdxy-setASA(config)#cryptomaphdxy-stamap1000ipsec-isakmpdynamichdxy-dymapASA(config)#cryptomaphdxy-stamapintoutside安裝客戶端并正確配置（2）驗證不同賬號并訪問相關資源（5）■配置IKEASA(config)#usernamehdxypasswordciscoASA(config)#cryptoisakmpenableoutsideASA(config)#cryptoisakmppolicy10ASA(config-isakmp-policy)#encryption3desASA(config-isakmp-policy)#hashshaASA(config-isakmp-policy)#authenticationpre-shareASA(config-isakmp-policy)#group2ASA(config-isakmp-policy)#exit配置組策略和隧道組ASA(config)#iplocalpoolhdxy-pool00—10ASA(config)#access-listsplit-aclpermitipanyASA(config)#group—policytest—groupinternalASA(config)#group—policytest—groupattributesASA(config—group—policy)#split—tunnel—policytunnelspecifiedASA(config—group—policy)#split—tunnel—network—listvaluesplit—aclASA(config—group—policy)#exitASA(config)#tunnel—grouphdxy—grouptypeipsec—raASA(config)#tunnel—grouphdxy—groupgeneral—attributesASA(config—tunnel—general)#address—poolhdxy—poolASA(config—tunnel—general)#default—group—policytest—groupASA(config—tunnel—general)#exitASA(config)#tunnel—grouphdxy—groupipsec—attributesASA(config—tunnel—ipsec)#pre—shared—keyhdxy—keyASA(config—tunnel—ipsec)#exit試題四：在防火墻上配置sslvpn的兩種模式（本題共35分）請認真閱讀以下項目背景描述材料,之后分析相關需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細截圖方式進行記錄并給于相關文字說明背景描述某公司網絡拓撲結構如下：防火墻為公司總部網絡站點，公司出差人員需要接入了公司內部網站查詢資料ASAl1.2需求描述防火墻內部pc通過pat轉換訪問internet要求配置無客戶端模式驗證特性胖客戶端模式的SSLVPN驗證特性評分標準搭建拓撲圖并實現(xiàn)網絡基本配置 (5)搭建web服務器(5)在asa上配置SSLVPN無客戶端模式(10)在asa上配置SSLVPN胖客戶端模式(10)驗證無客戶端和胖客戶端sslvpn的特性(5)在ASA防火墻上配置無客戶端模式的SSLVPNASA(config)#webvpnASA(config-webvpn)#enableoutsideASA(config-webvpn)#exitASA(config)#usernamehdxypasswordcisco配置胖客戶端模式的SSLVPNASA(config)#usernamehdxypasswordciscoASA(config)#webvpnASA(config-webvpn)#enableoutsideASA(config-webvpn)#svcimagedisk0:/sslclient-win-73.pkgASA(config-webvpn)#svcenableASA(config-webvpn)#tunnel-group-listenableASA(config-webvpn)#exitASA(config)#iplocalpoolsslvpn_pool00-00ASA(config)#group-policyvpn_group_policyinternalASA(config)#group-policyvpn_group_policyattributesASA(config-group-policy)#vpn-tunnel-protocolwebvpnsvcASA(config-group-policy)#webvpnASA(config-group-webvpn)#svcaskenableASA(config-group-webvpn)#exitASA(config-group-policy)#exitASA(config)#tunnel-groupvpn_grouptypewebvpnASA(config)#tunnel-groupvpn_groupgeneral-attributesASA(config-tunnel-general)#address-poolsslvpn_poolASA(config-tunnel-general)#default-group-policyvpn_group_policyASA(config-tunnel-general)#exitASA(config)#tunnel-groupvpn_groupwebvpn-attributesASA(config-tunnel-webvpn)#group-aliasgroupsenableASA(config-tunnel-webvpn)#exit試題五：在防火墻上配置http協(xié)議穿越代理(本題共35分)請認真閱讀以下項目背景描述材料,之后分析相關需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細截圖方式進行記錄并給于相關文字說明背景描述某公司網絡拓撲結構如下：防火墻為公司總部網絡站點，由于內部產生的網絡攻擊越來越多公司要求用asa

實現(xiàn)穿越代理實現(xiàn)內部服務器的安全InternetEO/2DMZEO/1insideEO/OoutsideEO/2DMZEO/1insidePC1PC2PC1PC2ASA*需求描述客戶端訪問服務器必須通過ASA認證授權PCI用戶名：hdxy,密碼：hdxy；只能訪問WebServerPC2用戶名：cisco,密碼：cisco；可以訪問Web和ACS服務器評分標準搭建拓撲圖并進行基本配置(5)正確安裝acs服務器(5)配置穿越代理(10)配置AAA服務器使用RADIUS協(xié)議授權(10)驗證用戶權限(5)配置RADIUS服務器口配置AAAServer和AAAClient口添加用戶hdxy和ciscohdxy用戶加入組grouplcisco用戶加入組group2口配置動態(tài)下發(fā)ACLgroup1：permittcpany55eq80group2：permittcpany55eq80permittcpany55eq80配置ASA穿越代理ASA(config)#access-listhttppermittcpanyeq80ASA(config)#aaa-serveracsprotocolRADIUSASA(config-aaa-server-group)#aaa-serveracs(dmz)hostASA(config-aaa-server-host)#keyciscoASA(config-aaa-server-host)#exitASA(config)#aaaauthenticationmatchhttpinsideacsASA(config)#aaaauthenticationsecure-http-client

試題六：利用ips實現(xiàn)內部網絡服務器的安全（本題共35分）請認真閱讀以下項目背景描述材料,之后分析相關需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細截圖方式進行記錄并給于相關文字說明背景描述某公司網絡拓撲結構如下：在交換機上串接一個ips要求fO/1到fO/2的流量經過ips設備GQ/1G0/2F0//24FO/D:/24/24F0/1F0/11F0/12GQ/1G0/2F0//24FO/D:/24/24F0/1F0/11F0/12需求描述客戶端訪問服務器必須經過ips設備在客戶機上發(fā)動syn攻擊Ips設備檢測到syn攻擊評分標準搭建拓撲圖并進行基本配置（5）配置ips的vlanpairs對（10）配置ips的web監(jiān)控和block設置 （10）客戶機發(fā)動syn攻擊（5）驗證ips的監(jiān)控效果和實際的block效果（5）試題七：在路由器上同時配置站到站ipsecvpn和遠程訪問vpn(easyvpn)(本題共35分)請認真閱讀以下項目背景描述材料,之后分析相關需求,創(chuàng)建虛擬環(huán)境完成實驗操作,實驗過程以詳細截圖方式進行記錄并給于相關文字說明背景描述某公司網絡拓撲結構如下：路由器R1為公司總部網絡站點，路由器R2為isp的路由器，路由器R3為分公司的網絡站點，pc1為出差人員，有時需要接入了公司內部網絡查詢資料R1和R2之間實現(xiàn)站到站的ipsecvpnR1和vpnclient實現(xiàn)遠程訪問vpn即(easyvpn)總部和分公司的內網用loopback接口代替評分標準搭建拓撲圖并進行基本配置(5)配置R1和R2之間的ipsecvpn(10)配置R1的遠程ipsecvpn(10)客戶機上vpn撥號成功(5)驗證vpnclient和總部內網的通信、R2內網(loopback)和R1內網(loopback)的通信(5)EasyVPN應用R1(config)#aaanew-modelR1(config)#aaaauthenticationloginhdxy-authenlocalR1(config)#aaaauthorizationnetworkhdxy-authorlocalR1(config)#usernamehdxysecretciscoR1(config)#cryptoisakmppolicy10R1(config-isakmp