cisco网络安全技术第4章测试及考试

测试

以下 ACE 将放置在何处？
 
permit icmp any any nd-na

试题 1选择一项：

在连接到另一个路由器并已启用 IPv6 的路由器接口上

使用下一代防火墙而不是状态防火墙的一个好处是什么？

试题 2选择一项：

主动而不是被动防护互联网威胁

在连接到互联网的路由器接口上应该拒绝哪两种类型的地址入站？（选择两项。）

试题 3选择一项或多项：

专用 IP 地址

以数字 127 开头的任何 IP 地址

以下哪项陈述描述了状态防火墙？

试题 4选择一项：

它可以确定连接是处于启动、数据传输还是终止阶段。

使用下一代防火墙而不是状态防火墙的一个好处是什么？

试题 5选择一项：

集成使用入侵防御系统 (IPS)

如果路由器是流量的来源或目的地，那么自身区域的结果是什么？

试题 6选择一项：

会允许所有流量。

考虑一下在路由器串行接口上应用出站的访问列表命令。 
 
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo reply


应用此访问列表命令有什么影响？

试题 7选择一项：

串行接口上不允许出站流量。

使用传统防火墙时，在哪里应用防火墙策略？

试题 8选择一项：

接口

ACL 有哪两个特点？（选择两项。）

试题 9选择一项或多项：

扩展 ACL 可以在目的 TCP 端口和 UDP 端口上过滤流量。

扩展 ACL 可以根据源 IP 地址和目的 IP 地址过滤流量。

以下哪项陈述是数据包过滤防火墙的特征？

试题 10选择一项：

容易受到 IP 欺骗。

哪种 ICMP 消息类型应该停止入站？

试题 11选择一项：

echo

请考虑配置的访问列表。 

R1# show access-lists
extended IP access list 100
   deny tcp host 10.1.1.2 host 10.1.1.1 eq telnet
   deny tcp host 10.1.2.2 host 10.1.2.1 eq telnet
   permit ip any any (15 matches)

此访问列表的两个特征是什么？（选择两项。）

试题 12选择一项或多项：

访问列表已应用于接口。

10.1.1.0/24 网络上的任何设备（除 10.1.1.2 设备之外）可以通过 telnet 连接到分配了 IP 地址 10.1.1.1 的路由器。

考试（还未修正）

1在配置思科 IOS 基于区域的策略防火墙时，哪两个操作可应用于流量类？（选择两项。）

• 检查
• 丢弃

2状态防火墙的一个限制是什么？

• 对基于 UDP 或 ICMP 的流量不那么有效

思科 IOS 基于区域的策略防火墙上的传递操作具有哪项功能？

• 将流量从一个区域转发到另一个区域

网络管理员正在路由器上同时实施传统防火墙和基于区域的防火墙。下列哪项是对此实施的最佳描述？

• 这两个模型不能在单个接口上实施。

出站 ACL 无法过滤哪种类型的数据包？

• 路由器生成的数据包

一家公司正在部署一种新的网络设计，其中边界路由器有三个接口。串行接口 0/0/0 连接到 ISP，GigabitEthernet0/0 连接到 DMZ，GigabitEthernet/01 连接到内部专用网络。哪种类型的流量将获得最少的检查（拥有最大的传输自由）？

• 来自公共网络并且发往 DMZ 的流量

在实施入站互联网流量 ACL 时，应该包含哪些内容以防止内部网络欺骗？

• 阻止来自私有地址空间的流量的 ACE

请参见图示。ACL 语句是路由器上唯一明确配置的语句。根据此信息，可以得出关于远程接入网络连接的哪两个结论？（选择两项。）

• 允许从 192.168.1.0/24 网络到 192.168.2.0/24 网络的 Telnet 连接。
• 允许从 192.168.1.0/24 网络到 192.168.2.0/24 网络的 SSH 连接。

请参见图示。网络 "A" 包含多台可通过互联网主机进行访问以了解企业相关信息的企业服务器。用于描述标记为 "A" 的网络的术语是什么？

• DMZ

以下哪项陈述描述了 DMZ 防火墙配置的典型安全策略？

• 源自内部接口的流量通常被完全阻止，或仅允许少量有选择性地到达外部接口。

通过 CLI 配置思科 IOS 基于区域的策略防火墙时，必须在创建区域后执行哪个步骤？

• 为区域分配接口。

请考虑以下访问列表。

access-list 100 permit ip host 192.168.10.1 any
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo
access-list 100 permit ip any any

如果该访问列表被置于已分配 IP 地址 192.168.10.254 路由器千兆以太网端口上，则会采取两项操作？（选择两项。）

• 192.168.10.0/24 网络上的设备不能回应任何 ping 请求。
• 仅允许已分配 IP 地址 192.168.10.1 的网络设备访问路由器。

除了扩展 ACL 使用的标准之外，传统防火墙使用什么条件来过滤流量？

• TCP/IP 协议号

请参见图示。如果外部网络上的黑客发送的 IP 数据包的源地址为172.30.1.50，目的地址为 10.0.0.3，源端口为 23，目的端口为 2447，那么思科 IOS 防火墙对数据包的作用是什么？

• 数据包被转发，而不生成警报。

为方便故障排除过程，应在外部接口上允许哪些入站 ICMP 消息？

• 时间戳应答

请参见图示。下列哪一项陈述正确描述了 ACE 的功能？

• 以下 ACE 允许 IPv6 邻居发现流量。

哪个命令将验证基于区域的策略防火墙配置？

• show zones

如果提供的 ACE 位于同一 ACL 中，则应根据最佳实践在 ACL 中首先列出哪个 ACE？

• deny tcp any any eq telnet

使用状态防火墙而不使用代理服务器有什么好处？

• 能够执行包过滤

哪个安全工具可在网络流量流入和流出组织时进行监控，并确定数据包属于现有连接还是来自未经授权的来源？

• 状态防火墙

在实施基于区域的策略防火墙时，关于接口的哪两个规则有效？（选择两项。）

• 如果两个接口属于同一个区域对并且存在策略，则将传递所有流量。
• 如果两个接口都是同一区域的成员，则将传递所有流量。

哪条命令可用于激活接口上名为“ENG_ACL”的 IPv6 ACL，以便路由器在访问路由表之前先过滤流量？

• ipv6 access-class ENG_ACL in