-
哪种安全措施最适合用于限制来自园区区域网络的侦察攻击的成功?
A. 在边界路由器上实现访问列表。
B. 为敏感流量实施加密。
C. 在网络边缘实施防火墙。
D. 实现对使用 ICMP 回显回复消息的限制。
答案:B
解析:访问列表的实现可以通过允许拒绝流量来提供额外的安全性,但它不会提供直接响应来限制攻击的成功。在网络边缘实施防火墙可以防止来自 Internet 的侦测攻击,但无法阻止本地网络内的攻击。通过在本地网络中对发送 ICMP 回显回复消息实施限制,设备可能无法响应 ping 消息,但无法阻止端口扫描,并且网络上发送的明文数据仍然容易受到攻击。最好的安全措施是加密尽可能多的网络流量,包括用户数据和网络管理流量。 -
哪种安全实现将为网络设备提供控制平面保护?
A. 路由协议身份验证
B. 远程访问连接的加密
C. NTP 用于在记录消息时提供一致的时间戳
D. 用于对管理访问进行身份验证的 AAA
答案:A
解析:控制平面流量(如 ARP 消息或路由协议通告)由网络设备生成,以便支持网络操作。路由协议身份验证提供额外的安全措施来验证路由更新的来源。加密远程访问连接、利用 NTP 协议和使用 AAA 都是为保护管理平面流量而实施的措施。 -
哪两种做法与保护路由器操作系统的功能和性能相关联?(选择两个)。
A. 安装 UPS。
B. 保留路由器操作系统映像的安全副本。
C. 禁用不必要的默认路由器服务。
D. 减少可用于访问路由器的端口数。
E. 为路由器配置可能的最大内存量。
答案:BE
解析:配置具有最大可用内存的路由器可以支持最广泛的安全服务,并有助于防范某些DoS攻击。路由器操作系统映像和配置文件的安全副本提供设备恢复所需的备份。安装 UPS 设备可为网络设备提供物理安全性,但不会影响其操作系统的安全性。禁用不必要的端口和服务是路由器强化过程的一部分,并不特别涉及路由器操作系统。 -
请参阅展览。管理员发出这些 IOS 登录增强命令以提高登录连接的安全性。关于它们能得出什么结论?
A. 由于未使用登录延迟命令,因此假定登录尝试之间有一分钟的延迟。
B. 这些增强功能适用于所有类型的登录连接。
C. 在 ACL 中标识的主机将有权访问该设备。
D. 登录阻止命令允许攻击者尝试 150 次尝试,然后停止重试。
答案:C
解析:实现登录 block-for 命令后,它会自动在登录尝试之间调用一秒钟的延迟。显示的 login block-for 命令意味着,如果在 60 秒内发生超过 5 次登录失败,则将禁用登录 150 秒。这些增强功能不适用于控制台连接。启用安静模式后,除 ACL 中允许的主机外,所有登录尝试都将被拒绝。
5. 基于角色的路由器配置的 CLI 视图的特征是什么?
A. CLI 视图具有命令层次结构,具有较高和较低的视图。
B. 删除超级视图时,将删除关联的 CLI 视图。
C. 只有超级视图用户才能配置新视图并在现有视图中添加或删除命令。
D. 单个 CLI 视图可以在多个超级视图中共享。
答案:D
解析:CLI 视图没有命令层次结构,因此没有更高或更低的视图。删除超级视图不会删除关联的 CLI 视图。只有根视图用户才能配置新视图并在现有视图中添加或删除命令。
6. 使用思科 IOS 弹性配置功能保护思科 IOS 映像的结果是什么?
A. Cisco IOS 映像文件在 show flash 命令的输出中不可见。
B. 思科 IOS 映像已加密,然后自动备份到 TFTP 服务器。
C. 思科 IOS 映像已加密,然后自动备份到 NVRAM。
D. 当路由器启动时,将从安全的 FTP 位置加载 Cisco IOS 映像。
答案:A
解析:使用 Cisco IOS 弹性配置功能时,IOS 映像的安全副本存储在闪存中,从视图中隐藏,并且不包含在任何目录列表中。
7. 请参阅展览。可以从生成的消息中收集哪两条信息?(选择两个。
A. 此消息是五级通知消息。
B. 出现此消息的原因是发生了需要进一步调查的小错误。
C. 出现此消息的原因是发生了需要立即采取措施的重大错误。
D. 此消息表示服务时间戳已全局启用。
E. 此消息表示已在 vty 端口上配置增强的安全性。
答案:AD
解析:思科路由器日志消息由三部分组成:
1) 时间戳
2) 日志消息和严重性级别
3) 消息文本
-
什么代表了有关网络设备上的发现协议(如 CDP 和 LLDP)的最佳实践?
A. 使用开放标准 LLDP 而不是 CDP。
B. 在不需要的所有接口上禁用这两种协议。
C. 使用 CDP 和 LLDP 的默认路由器设置。
D. 在边缘设备上启用 CDP,并在内部设备上启用 LLDP。
答案:B
解析:这两种发现协议都可以为黑客提供敏感的网络信息。不应在边缘设备上启用它们,并且应全局禁用它们,如果不需要,则应基于每个接口禁用它们。默认情况下,CDP 处于启用状态。 -
本地 AAA 身份验证与配置设备访问身份验证时使用登录本地命令之间的主要区别是什么?
A. 本地 AAA 身份验证允许配置多个用户帐户,但本地登录不允许。
B. 登录本地命令使用存储在路由器上的本地用户名和密码,但本地 AAA 身份验证不使用。
C. 本地 AAA 身份验证提供了一种配置身份验证备份方法的方法,但本地登录则不提供。
D. 登录本地命令要求管理员手动配置用户名和密码,但本地 AAA 身份验证不需要。
解析:本地 AAA 身份验证的工作方式与登录本地命令非常相似,不同之处在于它还允许您指定备份身份验证方法。这两种方法都要求在路由器上手动配置本地用户名和密码。 -
请参阅展览。网络管理员在路由器 R1 上配置 AAA 身份验证。ACS 服务器已配置并正在运行。管理员通过远程登录到 R1 来测试配置。如果管理员尝试使用不正确的凭据通过 RADIUS 服务器进行身份验证,会发生什么情况?
A. 身份验证过程停止。
B. 启用密钥密码可以在下次登录尝试时使用。
C. 启用密钥密码和随机用户名可以在下次登录尝试中使用。
D. 本地用户数据库的用户名和密码可以在下次登录尝试时使用。
答案:A
解析:Telnet 连接的身份验证由 AAA 方法列表 AUTHEN 定义。AUTHEN 列表定义第一种身份验证方法是通过使用 RADIUS 协议(或 RADIUS 服务器)的 ACS 服务器,第二种身份验证方法是使用本地用户数据库,第三种方法是使用启用密码。但是,在这种情况下,由于管理员无法通过第一种方法传递身份验证,因此身份验证过程将停止,并且不允许使用其他身份验证方法。
- 请参阅展览。管理员可以 ping 通路由器 B 的 S0/0/1 接口,但无法使用密码 cisco123 获取对路由器的 Telnet 访问权限。问题的可能原因是什么?
A. 配置了错误的 vty 线路。
B. 管理员使用了错误的密码。
C. 未配置 AAA 授权。
D. 管理员对正在使用的电脑没有足够的权限。
答案:B
解析:要使用 Telnet vty 线路进行身份验证和登录,网络管理员需要使用已在本地路由器上配置的本地用户名和密码。应用 aaa 身份验证登录 telnet local-case 命令可以证明这一点。管理员必须在 Cisco123 中使用大写字母 C 才能匹配应用的配置。
-
TACACS+ 协议的一个功能是什么?
A. 它将身份验证和授权组合为一个过程。
B. 它对数据包的整个正文进行加密,以实现更安全的通信。
C. 它利用UDP提供更高效的数据包传输。
D. 它在使用PAP传输期间隐藏密码,并以明文形式发送数据包的其余部分。
答案:B
解析:
TACACS+具有以下特点:分离认证和授权
加密所有使用TCP端口49的通信 -
在启用了 AAA 的网络中,用户从特权执行操作模式发出配置终端命令。如果此命令被拒绝,什么 AAA 函数正在起作用?
A. 认证
B. 授权
C. 会计学
D. 审计
解析:
身份验证必须确保设备或最终用户是合法的。授权涉及允许和禁止经过身份验证的用户访问网络上的某些区域和程序。配置终端命令被拒绝,因为用户无权执行该命令。 -
网络管理员输入单连接命令。此命令对 AAA 操作有什么影响?
A. 允许设备仅与启用了 AAA 的服务器建立单个连接
B. 根据在思科 ACS 服务器上的 ACL 中配置的 IP 地址列表授权连接
C. 允许思科 ACS 服务器通过建立持久的 TCP 连接来最大程度地减少延迟
D. 允许为每个授权请求建立新的 TCP 会话
答案:C
解析:
默认情况下,TACACS+ 为每个授权请求建立一个新的 TCP 会话。这可能会导致延迟。为了提高性能,思科安全 ACS 支持使用单连接命令配置的持久性 TCP 会话。 -
请参阅展览。在显示的网络中,哪个 AAA 命令记录了 EXEC 会话命令的使用?
A. aaa 记帐连接开始-停止组半径
B. aaa 会计连接启动-停止组 tacacs+
C. aaa 会计执行官启停组半径
D. aaa会计主管开始停止组tacacs+
E. aaa 会计网络启停组半径
F. aaa 会计网络启停组 tacacs+
答案:D
解析:
aaa 记帐 exec 启动-停止组 tacacs+ 命令用于配置路由器以记录 EXEC 命令的使用。
-
与高端防火墙设备相比,使用数据包过滤防火墙的优势是什么?
A. 数据包过滤器以一小部分成本执行高端防火墙的几乎所有任务。
B. 数据包筛选器表示完整的防火墙解决方案。
C. 数据包筛选器不容易受到 IP 欺骗的影响。
D. 数据包筛选器在数据链路和网络层提供初始安全级别。
答案:A
解析:
使用数据包过滤防火墙有几个优点:
允许实现简单的允许或拒绝规则集。
对网络性能
影响很小 - 易于实施,并且大多数路由器都支持
在网络层
提供初始安全程度 - 以更低的成本执行高端防火墙的几乎所有任务 -
使用下一代防火墙而不是有状态防火墙有什么好处?
A. 支持日志记录
B. 支持基于 TCP 的数据包过滤
C. 针对互联网攻击的被动保护
D. 应用程序内的粒度控制
答案:D
解析:
有状态防火墙和下一代防火墙提供比数据包过滤防火墙更好的日志信息。有状态防火墙和下一代防火墙都通过过滤不需要的流量来防御欺骗。但是,与有状态防火墙相比,下一代防火墙具有以下优势:应用程序内的粒度控制、基于站点信誉的网站和应用程序流量过滤、主动而不是被动保护免受 Internet 威胁基于多个标准实施安全策略、通过 NAT、VPN 和状态检查提高性能集成 IPS。 -
有状态防火墙的两个特征是什么?(选择两个。
A. 使用静态数据包过滤技术
B. 使用状态表中维护的连接信息
C. 分析 OSI 模型第 3、4 和 5 层的流量
D. 使用难以配置的复杂 ACL
E. 防止第 7 层攻击
答案:BC
解析:
有状态防火墙是使用中最通用和最常见的防火墙技术。有状态防火墙通过使用状态表中维护的连接信息来提供有状态数据包筛选。有状态筛选是在网络层分类的防火墙体系结构。它还分析 OSI 第 4 层和第 5 层的流量。有状态防火墙无法阻止应用程序层攻击,因为它们不检查 HTTP 连接的实际内容。 -
使用ZPF而不是经典防火墙的两个好处是什么?(选择两个。
A. ZPF 不依赖于 ACL。
B. 使用 ZPF,路由器将允许数据包,除非它们被显式阻止。
C. ZPF 策略易于阅读和故障排除。
D. 多个检查操作与 ZPF 一起使用。
E. ZPF 允许将接口放置在区域中以进行 IP 检查。
答案:AC
解析:
ZPF有几个好处:
·它不依赖于 ACL。
·路由器安全状况是阻止,除非明确允许。
·策略易于阅读,并使用 C3PL 进行故障排除。
·一个策略会影响任何给定的流量,而不需要多个 ACL 和检查操作。
此外,不能同时将接口配置为安全区域成员和 IP 检查。 -
思科 IOS 基于区域的策略防火墙的功能是什么?
A. 必须手动将路由器管理接口分配给自区域。
B. 服务策略在接口配置模式下应用。
C. 路由器接口一次只能属于一个区域。
D. 传递操作在多个方向上工作。
答案:C
解析:
通过操作仅允许一个方向的流量。接口自动成为自区的成员。接口在接口配置模式下分配给区域,但大多数配置在全局配置模式和关联的子模式下进行。一个接口一次只能属于一个区域。 -
哪个 IDS/IPS 签名警报将查找发往或来自特定端口的数据包?
A. 基于签名
B. 基于策略
C. 基于异常
D. 以蜜罐为主
答案:A
解析:
思科 IDS 和 IPS 传感器可以使用四种类型的特征码警报或触发器:
基于模式的检测 – 也称为基于特征码的检测,用于搜索特定的预定义模式。在大多数情况下,仅当可疑数据包与特定服务关联或发往或发往特定端口或发往特定端口时,模式才与签名匹配。
基于异常的检测 (也称为基于配置文件的检测) 涉及首先定义网络或主机正常情况的配置文件。定义正常活动后,如果发生过多的活动超过正常配置文件中未包含的指定阈值,则签名将触发操作。
基于策略的检测(也称为基于行为的检测)类似于基于模式的检测,但管理员不会尝试定义特定模式,而是根据历史分析定义可疑行为。
基于蜜罐的检测 – 使用虚拟服务器来吸引攻击。 -
当检测到入侵活动时,可以将 Cisco IOS 防火墙 IPS 功能配置为执行哪三项操作?(选择三个。
A. 警报
B. 丢弃
C. 接种
D. 隔离
E. 重置 TCP 连接
F. 重置 UDP 连接
答案:AE
解析:
在 IPS 实现中,当特征码检测到匹配的活动时,特征码会触发以下一项或多项操作:生成警报
记录活动
丢弃或阻止活动
重置 TCP 连接
阻止将来的活动
允许活动 -
组织已将 IPS 解决方案配置为使用原子警报。检测到签名时将发生什么类型的响应?
A. TCP 连接已重置。
B. 每次检测到特征码时都会触发警报。
C. 当计数达到预配置的数字时,计数器启动并发出摘要警报。
D. 触发警报的接口已关闭。
答案:B
解析:
每次触发特征码时都会生成原子警报。摘要警报是单个警报,指示来自同一源地址或端口的相同特征码的多次出现。拒绝数据包和拒绝流操作不会自动导致 TCP 重置操作发生。原子警报不会关闭接口。 -
哪个 Cisco IOS 子命令用于将 IPS 签名编译到内存中?
A. 退休真
B. 退休假(retired false)
C. 事件-操作生成-警报
D. 事件操作拒绝攻击内联
答案:B
解析:
停用的 Cisco IOS 子命令可用于停用(不编译到内存)或取消停用(编译到内存)属于某个签名类别的单个签名或一组签名。命令已停用 false 指示 IOS 将 IPS 签名编译到内存中。命令退役 true 指示 IOS 不要将 IPS 签名编译到内存中。 事件-操作生成-警报和事件-操作拒绝-攻击者内联命令定义在启用的特征码匹配时的操作。 -
请参阅展览。根据显示的配置,哪个语句对 IPS 签名类别是正确的?
A. 只有ios_ips基本类别中的特征码才会编译到内存中进行扫描。
B. 只有ios_ips高级类别中的特征码才会被编译到内存中进行扫描。
C. 所有特征码类别都将编译到内存中进行扫描,但只有ios_ips基本类别中的那些特征码才会用于扫描目的。
D. 所有特征码类别都将编译到内存中以进行扫描,但只有ios_ips高级类别中的那些特征码才会用于扫描目的。
解析:
当使用命令 retired true 将签名类别标记为已停用时,IPS 不会将属于该类别的签名编译到内存中以进行检查(扫描)。停用的 false 命令执行相反的操作。此命令指示 IPS 将属于该类别的那些签名包含在内存中以进行扫描。
- 请参阅展览。网络管理员正在交换机 SWC 上配置端口安全功能。管理员发出命令 show port-security interface fa 0/2 来验证配置。从显示的输出中可以得出什么结论?(选择三个。
A. 此端口当前已启动。
B. 端口配置为中继链路。
C. 当前没有设备连接到此端口。
D. 在此接口上检测到三个安全违规。
E. 此接口的交换机端口模式为接入模式。
F. 安全违规将导致此端口立即关闭。
答案:AEF
解析:
由于安全违规计数为 0,因此未发生任何违规。系统显示端口 fa0/2 上允许 3 个 MAC 地址,但只配置了一个,并且没有获知到粘性 MAC 地址。由于安全端口状态,端口已启动。冲突模式是将未经授权的设备连接到端口时发生的情况。端口必须处于访问模式才能激活和使用端口安全性。
-
哪两个端口可以从 PVLAN 上的社区端口发送和接收第 2 层流量?(选择两个。
A. 属于其他社区的社区港口
B. 混杂端口
C. 同一社区内的隔离端口
D. 属于同一社区的社区端口
E. PVLAN 边缘保护端口
答案:BD
解析:
社区端口可以使用同一社区内的端口或混杂端口发送和接收信息。隔离端口只能与混杂端口通信。混杂端口可以与所有接口通信。PVLAN 边缘保护端口仅将流量通过第 3 层设备转发到其他受保护端口。 -
通过禁用动态中继协议可以缓解哪些第 2 层攻击?
A. 网络局域网跳频
B. DHCP 欺骗
C. 抗逆转录病毒中毒
D. ARP 欺骗
答案:A
解析:
通过禁用动态中继协议 (DTP) 并将中继链路的本地 VLAN 设置为未使用的 VLAN,可以缓解 VLAN 跳频攻击。 -
应在交换机上配置动态 ARP 检测 (DAI) 的哪个端口?
A. 一个上行链路端口到另一个交换机
B. 任何不受信任的端口
C. 仅接入端口
D. 在禁用 DHCP 监听的任何端口上
答案:A
解析:
必须在配置了 DAI 的端口上启用 DHCP 侦听,因为 DAI 需要 DHCP 侦听表才能运行。只有受信任的接口(如交换机之间的上行链路端口)配置为实现 DAI。所有访问端口都不受信任。 -
请参阅展览。IP 验证源命令应用于不受信任的接口。使用此配置可以缓解哪种类型的攻击?
A. MAC 和 IP 地址欺骗
B. 直通式处理操作
C. DHCP饥饿
D. DHCP 欺骗
答案:A
解析:
若要防止 MAC 和 IP 地址欺骗,请使用 IP 验证源命令在不受信任的端口上应用 IP 源防护安全功能。 -
为什么与循环冗余校验 (CRC) 相比,哈希加密更强大?
A. 使用相同的CRC生成数据很困难。
B. 两组不同的数据几乎不可能计算出相同的哈希输出。
C. 散列始终使用 128 位摘要,而 CRC 可以是可变长度。
D. 哈希永远不会以纯文本形式发送。
答案:B
解析:
当使用CRC值确保完整性时,很容易使用相同的CRC生成数据。使用哈希函数,两组不同的数据在计算上无法得出相同的哈希输出。哈希可以使用许多位值,具体取决于算法。这些特征使加密方式的哈希更加强大。 -
为什么 DES 密钥被视为弱密钥?
A. 它们占用的资源更多。
B. DES 弱密钥难以管理。
C. 它们生成相同的子项。
D. DES 弱密钥使用非常长的密钥大小。
解析:
弱密钥,无论是现有加密算法的一部分还是手动生成的,都揭示了加密的规律性。这创建了一个快捷方式,黑客可以通过该快捷方式破解加密。DES 有四个密钥,其加密与解密相同。 -
什么类型的算法要求发送方和接收方交换用于确保消息机密性的密钥?
A. 哈希算法
B. 公钥算法
C. 对称算法
D. 非对称算法
答案:C
解析:
对称算法使用相同的密钥(密钥)来加密和解密数据。必须先预先共享此密钥,然后才能进行通信。非对称算法需要在通信设备上具有更大的处理能力和开销,因为这些密钥可能很长,以避免被黑客入侵。 -
对于从 Internet 下载的代码,数字签名提供了哪两个保证?(选择两个。
A. 该代码是真实的,实际上由发布者提供。
B. 该代码不包含任何错误。
C. 该代码已使用私钥和公钥进行加密。
D. 该代码自离开软件发布者以来尚未修改。
E. 该代码不包含病毒。
答案:AD
解析:
数字签名代码提供了有关代码的几种保证:
代码是真实的,并且实际上由发布者提供。
该代码自离开软件发布者以来尚未修改。
不可否认,出版商发布了代码。这提供了对发布行为的不尊重。 -
哪个语句描述了在 PKI 中使用证书类?
A. 类号越低,证书越受信任。
B. 供应商在充当 CA 时只能颁发一类证书。
C. 5 类证书比 4 类证书更值得信赖。
D. 电子邮件安全性由供应商提供,而不是由证书提供。
答案:C
解析:
证书编号越高,证书越可信。1类证书适用于个人,重点是电子邮件验证。企业可以充当自己的 CA 并实现供内部使用的 PKI。在这种情况下,供应商可以根据需要为各种目的颁发证书。 -
哪两种算法可以成为 IPsec 策略的一部分,以提供加密和哈希来保护感兴趣的流量?(选择两个。
A. AES
B. SHA
C. DH
D. RSA
E. PSK
答案:AB
解析:
IPsec 框架使用各种协议和算法来提供数据机密性、数据完整性、身份验证和安全密钥交换。可以在 IPsec 策略中用于保护相关流量的两种算法是 AES(一种加密协议)和 SHA(一种哈希算法)。 -
使用什么算法通过使用计算的哈希值来提供消息的数据完整性?
A. HMAC
B. DH
C. RSA
D. AES
答案:A
解析:
IPsec 框架使用各种协议和算法来提供数据机密性、数据完整性、身份验证和安全密钥交换。为了确保数据不被截获和修改(数据完整性),使用哈希消息身份验证代码 (HMAC)。AES 是一种加密协议,可提供数据机密性。DH(Diffie-Hellman)是一种用于密钥交换的算法。RSA 是一种用于身份验证的算法。 -
在 IKE 阶段 1 期间,在两个 IPsec 主机之间建立 IPsec 隧道时协商了什么?
A. ISAKMP SA 政策
B. 变换集
C. 有趣的交通
D. 卫生署小组
答案:A
解析:
建立 IPsec 隧道涉及五个步骤:检测由 ACL
IKE 阶段 1 定义的相关流量,其中对等方协商 ISAKMP SA 策略
IKE 阶段 2,其中对等方协商 IPsec SA 策略
创建 IPsec 隧道
终止 IPsec 隧道 -
请参阅展览。从 R1 上显示的 show crypto map 命令输出中可以得出哪个结论?
A. 转换集之间存在不匹配。
B. 隧道配置已建立,可以使用扩展 ping 进行测试。
C. 加密映射尚未应用于接口。
D. 当前对等 IP 地址应为 172.30.2.1。
答案:C
解析:
根据 show crypto map 命令输出,所有必需的 SA 都已就绪,但当前没有接口正在使用加密映射。要完成隧道配置,必须将加密映射应用于每个路由器的出站接口。
-
在哪两种情况量在通过 ASA 5505 设备时将被拒绝?(选择两个。
A. 来自内部网络到外部网络的流量
B. 来自内部网络流向 DMZ 网络的流量
C. 来自外部网络的流量流向内部网络
D. 来自外部网络流向 DMZ 网络的流量
E. 来自 DMZ 网络的流量流向内部网络
解析:
当使用 ASA 5505 设备时,流量在从较低安全区域传输到较高安全区域时被拒绝。最高安全区域是内部网络,DMZ 通常是下一个最高的,外部网络是最低的。仅当流量响应于较高安全区域内的原始流量时,才允许流量从较低的安全级别移动到较高的安全级别。 -
ASA 5505 设备使用什么机制来允许已检查的出站流量返回到内部网络上的原始发件人?
A. 有状态数据包检测
B. 安全区域
C. 访问控制列表
D. 网络地址转换
解析:
有状态数据包检查允许来自外部网络的返回流量由内部网络上的原始发送方接收。 -
哪种类型的流量在 ASA 5505 设备上需要筛选?
A. 公共互联网到内部
B. 非军事区到内部
C. 内部到 DMZ
D. 公共互联网到非军事区
答案:C
解析:
筛选仅适用于从较高安全级别到较低安全级别的方向传输的流量。 -
请参阅展览。根据 ASA 上接口的安全级别,哪个语句正确描述了接口上允许的流量流?
A. 从 DMZ 和 Internet 发送到 LAN 的流量被视为出站流量。
B. 从 DMZ 和 LAN 发送到互联网的流量被视为出站流量。
C. 从 LAN 和 Internet 发送到 DMZ 的流量被视为入站流量。
D. 从 LAN 发送到 DMZ 的流量被视为入站流量。
答案:B
解析:
当流量从具有较高安全级别的接口移动到具有较低安全级别的接口时,它被视为出站流量。相反,从具有较低安全级别的接口移动到具有较高安全级别的接口的数据流被视为入站流量。
-
要使网络管理员能够使用思科 ASDM 远程管理多个 ASA,必须满足哪两个条件?(选择两个。
A. ASDM 必须作为本地应用程序运行。
B. 每个 ASA 必须具有相同的启用密钥密码。
C. ASA 必须都运行相同的 ASDM 版本。
D. 每个 ASA 必须启用相同的主密码。
E. ASA 必须通过至少一个内部接口相互连接。
答案:AC
解析:
思科 ASDM 是一种基于 Java 的 GUI 工具,使 ASA 配置更加轻松。为了使用思科 ASDM 远程管理多个 ASA,每个 ASA 必须具有相同的 ASDM 版本。当 ASDM 作为本地应用程序运行时,不需要浏览器,并且可以管理多个 ASA 设备。 -
可以通过 ASDM 为思科 ASA 设置哪个接口选项?
A. 访问列表
B. NAT/PAT
C. 网络局域网 ID
D. 默认路由
答案:C
解析:
要为接口分配 VLAN 编号,请选择配置>设备设置>接口,然后添加或选择一个接口。选择“高级”选项卡以分配 VLAN。可以分配给接口的其他选项包括 IP 地址、掩码和安全级别。 -
请参阅展览。如果网络管理员使用 ASDM 在 CCNAS-ASA 和 R3 之间配置站点到站点 VPN,那么如果要在两个远程 LAN 之间加密数据流量,管理员将使用哪个 IP 地址作为 ASA 上的对等 IP 地址文本框?
A. 172.16.3.1
B. 172.16.3.3
C. 192.168.1.1
D. 192.168.1.3
E. 209.165.201.1
答案:E
解析:
当使用 ASDM 配置 ASA 时,对等地址是 VPN 的其他站点的 IP 地址。在此实例中,R3 的外部 IP 地址为 209.165.201.1,因此该地址必须是 ASA 的对等 IP 地址。相反,R3 必须使用 209.165.200.226 的对等 IP 地址进行配置。
47. 哪两个端点可以位于使用 ASDM 配置的 ASA 站点到站点 VPN 的另一端?(选择两个。
A. DSL 交换机
B. ISR 路由器
C. 另一个 ASA
D. 多层交换机
E. 帧中继开关
答案:BC
解析:
ASDM 支持在两个 ASA 之间或 ASA 和 ISR 路由器之间创建 ASA 站点到站点 VPN。
-
管理员使用以下命令为用户 ADMIN 分配了路由器访问级别。路由器(config)# 权限 执行级别 14 显示 ip 路由路由器(配置)# 启用算法类型 scrypt 机密级别 14 cisco 级别-10路由器(配置)# 用户名 ADMIN 权限 14 算法类型 scrypt 机密 cisco-level-10允许用户 ADMIN 执行哪两个操作?(选择两个。
A. 用户可以在 show ip interfaces 命令下执行所有子命令。
B. 用户可以发出 ip 路由命令。
C. 用户可以发出所有命令,因为此权限级别可以执行所有 Cisco IOS 命令。
D. 用户可以发出显示版本命令。
E. 用户只能在 show ip route 命令下执行子命令。
答案:AD
解析:
将命令(如 show ip 路由)分配到特定权限级别会自动将与前几个关键字关联的所有命令分配到指定的权限级别。因此,show 和 show ip 命令会自动设置为设置 show ip 路由的权限级别,这是必需的,因为如果不访问 show 和 show ip 命令,则无法执行 show ip 路由命令。分配 show ip 路由命令允许用户发出所有 show 命令,例如 show version。 -
可以使用Cisco AnyConnect VPN向导选择哪两种协议来保护VPN隧道内的流量?(选择两个。
A. SSH
B. IPsec
C. Telnet
D. ESP
E. SSL
答案:BE
解析:
使用 Cisco AnyConnect VPN 向导创建完整隧道时,应选择 VPN 协议来保护隧道内的流量。VPN 协议选项是 SSL 和/或 IPsec。否则,可以配置第三方证书。最初选择 SSL 和 IPsec。 -
网络分析师想要监视所有新实习生的活动。哪种类型的安全测试将跟踪实习生何时登录和注销网络?
A. 完整性检查器
B. 网络扫描
C. 密码破解
D. 漏洞扫描
答案:A
解析:
完整性检查系统可以报告登录和注销活动。网络扫描可以通过扫描侦听 TCP 端口来检测用户名、组和共享资源。密码破解用于测试和检测弱密码。漏洞扫描可以检测系统中的潜在弱点,例如配置错误、默认密码或 DoS 攻击目标。 -
SIEM的三个特征是什么?(选择三个。
A. 检查来自系统和应用程序的日志和事件,以检测安全威胁
B. 微软端口扫描工具专为Windows设计
C. 使用渗透测试来确定大多数网络漏洞
D. 整合重复的事件数据,以最大限度地减少收集的数据量
E. 为短期安全事件分析提供实时报告
F. 可以作为软件或服务实现
答案:ADF
解析:
安全信息事件管理 (SIEM) 是一种提供安全事件实时报告和长期分析的技术。SIEM 提供了从不同系统或应用程序搜索日志和事件以检测威胁的功能。SIEM 聚合重复事件以减少事件数据量。SIEM 可以作为软件或托管服务实现。SuperScan是一种Microsoft Windows端口扫描工具,可在大多数版本的Windows上运行,工具(如Nmap和SuperScan)可以在网络上提供有效的渗透测试并确定网络漏洞,同时帮助预测可能的攻击机制。 -
使用Nmap和Zenmap网络工具可以完成哪两个任务?(选择两个。
A. TCP 和 UDP 端口扫描
B. 识别主机上的第 3 层协议支持
C. 密码审核
D. 密码恢复
E. 验证 IT 系统配置
答案:AB
解析:
Nmap是一种低级网络扫描仪,可供公众使用,并且能够执行端口扫描,识别开放的TCP和UDP端口以及执行系统识别。它还可用于识别在系统上运行的第 3 层协议。 -
一家公司部署了思科 ASA,其中启用了思科 CWS 连接器作为企业网络边界上的防火墙。内部网络上的员工正在访问公共网站。员工应该怎么做才能确保网络流量受到思科CWS的保护?
A. 在思科 ASA 上注册目标网站。
B. 使用 Web 浏览器访问目标网站。
C. 首先使用思科 AnyConnect 安全移动客户端。
D. 首先访问位于思科 CWS 基础设施中的 Web 服务器上的网站。
答案:B
解释:
在 Cisco ASA 设备上启用连接器后,内部网络上的用户在访问外部网站时可以透明地连接到 Cisco CWS。思科 CWS 充当 Web 访问的代理,以扫描流量以查找恶意软件和策略实施。用户通过直接在 Web 浏览器上访问 URL 来访问外部网站。 -
企业安全策略规定,来自远程访问 VPN 客户端的流量必须在发往企业子网的受信任流量和发往公共 Internet 的不可信流量之间分隔。应实施哪种 VPN 解决方案以确保符合公司策略?
A. GRE
B. MPLS
C. hairpinning
D. split tunneling
答案:D
解释:
发夹允许将单个接口上接收的 VPN 流量路由回同一接口。拆分隧道允许根据流量是必须通过 VPN 还是流量发往公共 Internet 来拆分来自远程访问客户端的流量。MPLS和GRE是两种类型的第3层VPN。 -
建立 VPN 链路时,NAT 的自动检测和协商需要什么?
A. 任何一个 VPN 终端设备上都不能应用 ACL。
B. 两个 VPN 终端设备都必须使用 IPv6。
C. 两个 VPN 终端设备都必须支持 NAT-T。
D. 必须为 NAT 配置两个 VPN 终端设备。
答案:C
解析:
当隧道的任一端都涉及 NAT 时,在两个站点之间建立 VPN 一直是一个挑战。 原始 IKE 的增强版本,即 IKE 版本 2,现在支持 NAT Traversal (NAT-T)。 NAT-T 能够将 ESP 数据包封装在 UDP 中。 在 IKE 版本 2 阶段 1 期间,VPN 终端设备可以检测另一台设备是否支持 NAT-T,以及任一设备是否通过启用 NAT 的设备连接以建立隧道。 -
与基于主机的 IPS (HIPS) 部署模型相比,基于网络的 IPS (NIPS) 有什么优势?
A. NIPS提供单个主机保护。
B. NIPS依赖于集中管理的软件代理。
C. NIPS监视操作系统中的所有操作。
D. NIPS监视网段。
答案:D
解析:
基于网络的 IPS (NIPS) 部署在网络中以监视网络中的流量。与基于主机的 IPS (HIPS) 不同,NIPS不为特定的单个主机提供保护。NIPS的操作既不依赖于单个主机的操作系统,也不依赖于集中管理的软件代理。 -
哪个安全策略特征定义了标准的用途?
A. 有关如何快速配置所有公司交换机的建议列表
B. 确保所有公司交换机配置一致的必要步骤
C. 有关部署公司交换机的方法的分步详细信息
D. 放置所有公司交换机的推荐最佳做法
答案:B
解析:
标准可帮助 IT 人员保持网络操作的一致性。指南是有关如何更高效,更安全地做事的建议列表。它们类似于标准,但更灵活,通常不是强制性的。程序文档比标准和指南更长、更详细。过程文档包括通常包含分步说明和图形的实现详细信息。 -
与原始 ASA 5500 系列相比,思科 ASA 5500-X 与 FirePOWER 服务提供了哪两项新功能?(选择两个。
A. IPsec VPN
B. 有状态防火墙
C. 安全级别设置
D. 高级恶意软件防护
E. 应用程序控制和 URL 筛选
答案:DE
解析:
思科 ASA 5500-X 系列与 FirePOWER 服务合并了 ASA 5500 系列设备,并集成了一些新功能,例如高级恶意软件防护以及应用程序控制和 URL 过滤。有状态防火墙、IPsec VPN 和安全级别设置是 ASA 5500 和 ASA 5500-X 系列设备通用的功能。 -
哪两个语句描述了思科 ASA 5506-X 设备背板中的 8 个以太网端口?(选择两个。
A. 它们都是路由端口。
B. 端口 1 是路由端口,其余端口是交换机端口。
C. 它们都可以配置为路由端口或交换机端口。
D. 其中 3 个是路由端口,5 个是交换机端口。
E. 这些端口都需要 IP 地址。
答案:AE
解析:
与 ASA 5505 不同,ASA 5506-X 不使用交换机端口。背板中的所有以太网端口都经过路由,需要 IP 地址。 -
将网络安全测试技术与使用它来测试网络安全的方式相匹配。(并非所有选项都使用。
解析:
网络扫描工具用于探测网络设备、服务器和主机,以查找开放的 TCP 或 UDP 端口。漏洞扫描工具用于发现网络或计算机系统中的安全漏洞。渗透测试工具用于确定对网络或计算机系统的成功攻击的可能结果。