cisco防火墙试题

《cisco防火墙》

班级08交大计网 姓名 张羽麒 学号08526027 得分____

一．单项选择题（10分，每题1分）

1．评估不同类型的NAT的顺序中级别最高的是（B ） A．静态NAT

B．NAT豁免

C．静态PAT D．策略NAT（static access-list）

2．可能会发生恶意主机打开连接进入受保护网络的情况。如果入站访问列表策略配置不正确或不够严格，就有可以发生这种情况。发现这种情况后可采取（ A ） 措施，

A．手动规避

B．stop

C．立即修改access-list D．强制转换 3．发送日志到Telnet的命令是（ D ） A．logging asdm B．logging history C．logging trap D．logging monitor

4．默认情况下，所有以太网接口的最大传输单元（MTU）的大小均设置为（C ）A．64

B．2400 C．1500 D．1200

5．使用（ C ）命令可以在防火墙上监视所有活跃的Telnet会话 A．show B．dir C．who D．show telnet

6．在PIX平台上，必须从( B )服务器上将密码恢复工具下载到防火墙。 A．HTTPS服务器 B．TFTP服务器 C．FTP服务器

D．HTTP服务器

7．以下哪一种防火墙平台在故障切换中可以使用故障切换电缆（ C ） A．ASA B．FWSM C．PIX D．以上都不可以 8．启用故障切换处理进程的命令是（ C ）

A．failover B．setup C．failover up D．failover setup 9．日志消息的等级为（ A ）

A．0-15 B.1-7 C.1-15 D.0-7 10．输入一个新的许可证激活密钥的命令是（ B ）

A．setup setup-key-tuples B. setup-key setup-key-tuples

C. enter enter-key-tuples D. activation-key activation-key-tuples 二．多项选择题（40分，每题2分）

１．网络使用的IP流量的基本类型有（ ACD ） A．单播 B．多播

C．广播

D．组播

2．在multiple-context安全模式下，防火墙由以下（ ABC ）功能组成。 A．系统执行空间 B．管理context

C．用户context D．用户执行空间 3．实现防火墙负载均衡的方法有如下几种（ ABC ） A.．IOS FWLB

B．CSM FWLB

C．CSS FWLB D．server FWLB

第1页(共5页)

1

4．显示当前运行配置的命令有( AC )

A．write terminal B．dir C．show running-config D．show start-config 5．防火墙可以向任何管理用户显示文本标志，使用的标志有（ BCD ） A．通告 B．登录 C．执行 D．日期消息 6．可以将防火墙的用户分为以下为别（ ACD ）

A．管理级用户 B．服务器用户 C．终端用户 D．VPN用户 7．防火墙可以通过以下( ABD )基本方法管理用户的接入 A．验证 B．授权 C．加密 D． 统计

8． Cisco 防火墙使用以下（ CD ）基本原则提供安全策略和流量监测。239 A．加密数据 B．建立连接 C．地址转换

D．访问控制

9．对象组的类型有（ABCD） A．网络对象组 B．协议对象组 C ．ICMP对象组 D．基本服务对象组

10．防火墙故障切换有以下可能的形式（ ACD ） A．主用/备用模式 B．主用/主用模式 C．B/S模式 D．A/B模式

11．在multiple-context安全模式下，防火墙由以下功能组成（ ABC ），每个功能都有各自的用户界面。

A．系统执行空间 B．管理context C．用户context D．服务空间

12．在防火墙系统中设置系统时间的方法有（AC） A．手工 B．自动

C．使用网络时间协议 D．自同步时间协议 13．对于日志以下说法正确的有（ CD ）

A．可以改变消息的严重级别 B．可以修剪消息 C．从日志中可得到防火墙规则拒绝的连接信息 D．从日志中可得到防火墙规则允许的连接信息

14．使用show processes命令查看所有活跃防火墙的程序清单，显示的主要内容有（ ABCD ）。

A．ID号 B．CPU参数 C．进程 D．运行时间

15．防火墙内存可以被分块并分配给许多进程或用于其他用途，下列哪些项目可存储于防火墙内存中（ABCD）。

A．OS镜像 B．配置文件 C．路由选择信息 D．捕获会话

16．使用捕获会话可用到的命令有（ AB ） A．access-list B.capture C．show traffic D．conn

17．防火墙需要定期监控的项目有（ABCD）

第2页(共5页)

2

A．CPU利用率 B．故障切换活动 C．conn表大小 D．防火墙吞吐率

18．如果防火墙是正常负载且没有明显攻击，而CPU的的利用率一直处于80%以上，需考虑升级防火墙或减轻它的流量负载，可以考虑的措施有（BCD）

A．减少NAT数量

B．用更高性能型号的防火墙来替换。 C．实施防火墙负载均衡。

D．修改配置，减少防火墙处理负载；除去任何非必要的执行行为。 19．在防火墙检测和传递流量时，它维护的表项有（BC） A．list B.xlate C.cons D.syslog

20．Cisco防火墙可以通过以下方法交换故障切换切换信息（ BCD） A．第三层交换机 B．故障切换电缆 C．基于LAN的故障切换 D．状态化故障切换 三．配置填空题（20分，每题10分）

1．说明：假设两个分别使用私有IP地址192.168.100.100和192.168.100.170的主机驻留在防火墙内部。要求从主机A发起的出站连接应根据该连接的目的地显示为不同的全局地址，如图所示，根据要求在括号中补充完成配置。

pixfirewall(config-if)# access-list c10 permit ip host 192.168.100.100 10.10.0.0 255.255.0.0

pixfirewall(config)# （ dlobal (outside) 1 192.168.254.10 255.255.255.255 ） pixfirewall(config)# nat (inside) 1 access-list c10

pixfirewall(config)# （ access-list c50 permit ip host 192.168.100.100 10.50.0.0 255.255.0.0 ）

pixfirewall(config)# global (outside) 2 192.168.254.50 netmask 255.255.255.255 pixfirewall(config)# nat (inside) 2 access-list c50

pixfirewall(config)# （access-list c100 permit ip host 192.168.100.100 any）

pixfirewall(config)# global (outside) 3 192.168.254.100 netmask 255.255.255.255

pixfirewall(config)# （nat (inside) 3 access-list c100）

第3页(共5页)

3

2．为防火墙配置日志设置，根据要求在括号内填写合适命令。

1）．指定NTP服务器地址为192.168.2.100，服务器连接在内部接口。 PIXA(config)# （logging enable）

2）启用日志信息，级别为6，发送到缓存。

PIXA(config)#（logging list Mylist level errors） PIXA(config)#（logging console Mylist）

3）．建立一个日志策略，将所有错误消息和警告级别与IP（TCP/IP检测消息）有关的消息，发送到控制台。

PIXA(config)# logging list Mylist level errors

PIXA(config)# logging list Mylist level warnings class ip PIXA(config)# （ogging class event_class destination level [destination level ][destination level] ） 四．应用题（每题15分,共30分）

1．将防火墙配置为使用具有2个RADIUS服务器的群组来执行管理级用户验证： 本地验证用于支持单独用户ID，用户名admin，密码：adminpw。 服务器为于内部接口，地址分别为192.168.2.98和192.168.2.99。

这些服务器对连接到操作台端口．Telnet．SSH或基于Web的管理应用软件的用户验证。当所有的RADIUS服务器不可达时，启用本地验证。 Aaa-server RADIUS_FARM protocol rdius

Aaa-server RADIUS_FARM (inside) host 10.10.1.98 key server1key Aaa-server RADIUS_FARM (inside) host 10.10.1.99 key server2key Aaa authentication serial console RADIUS_FARM LOCAL Aaa authentication telnet RADIUS_FARM LOCAL Aaa authentication ssh RADIUS_FARM LOCAL Aaa authentication http RADIUS_FARM LOCAL

Aaa authentication enable console RADIUS_FARM LOCAL Username admin password adminpw privilege 15 2．根据拓扑图及图中地址说明，完成如下设置： 内部网络1向外连接时转为地址池1和PAT1。 内部网络2向外连接时转为地址池2和PAT2。

对于其它网络，默认转换规则使用防火墙外部接口为动态PAT。

当内部主机172.16.1.41向网络 192.168.200/24发起一个外部连接时，该地址不转换，配置NAT豁免。

设置只能由指定的内部网络地址访问外部网，其它自已设置IP地址均拒绝对外连接。

Firewall(config)#global (outside) 1 169.54.122.10-169.54.122.60 netmask 255.255.255.0

第4页(共5页)

4

Firewall(config)#global (outside )1 169.54.122.61

Firewall(config)#nat (inside) 1 172.16.0.0 255.255.0.0 0 0

Firewall(config)#global (outside) 2 169.54.122.65-169.54.122.125 netmask 255.255.255.0

Firewall(config)#global (outside) 2 169.54.122.126

Firewall(config)#nat (inside) 2 172.17.0.0 255.255.0.0 0 0 Firewall(config)#global (outside ) 3 interface Firewall(config)#nat (inside) 3 0 0 0 0

Firewall(config)#access-list acl_no_nat permit ip host 172.16.1.41 192.168.200.0 255.255.255.0

Firewall(config)#nat (inside) 0 access-list acl_no_nat

Firewall(config)#access-list acl_inside permit ip 172.16.0.0 255.240.0.0 any

Firewall(config)# access-list acl_inside permit ip 192.168.69.0 255.255.255.0 any Firewall(config)# access-list acl_inside deny ip any any

Firewall(config)#access-group acl_inside in interface inside

第5页(共5页) 5

本文来源：https://www.bwwdw.com/article/xgqg.html