測(cè)試

以下 ACE 將放置在何處？
?
permit icmp any any nd-na

試題 1選擇一項(xiàng)：

在連接到另一個(gè)路由器并已啟用 IPv6 的路由器接口上

使用下一代防火墻而不是狀態(tài)防火墻的一個(gè)好處是什么？

試題 2選擇一項(xiàng)：

主動(dòng)而不是被動(dòng)防護(hù)互聯(lián)網(wǎng)威脅

在連接到互聯(lián)網(wǎng)的路由器接口上應(yīng)該拒絕哪兩種類型的地址入站？（選擇兩項(xiàng)。）

試題 3選擇一項(xiàng)或多項(xiàng)：

專用 IP 地址

以數(shù)字 127 開(kāi)頭的任何 IP 地址

以下哪項(xiàng)陳述描述了狀態(tài)防火墻？

試題 4選擇一項(xiàng)：

它可以確定連接是處于啟動(dòng)、數(shù)據(jù)傳輸還是終止階段。

使用下一代防火墻而不是狀態(tài)防火墻的一個(gè)好處是什么？

試題 5選擇一項(xiàng)：

集成使用入侵防御系統(tǒng) (IPS)

如果路由器是流量的來(lái)源或目的地，那么自身區(qū)域的結(jié)果是什么？

試題 6選擇一項(xiàng)：

會(huì)允許所有流量。

考慮一下在路由器串行接口上應(yīng)用出站的訪問(wèn)列表命令。?
?
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo reply


應(yīng)用此訪問(wèn)列表命令有什么影響？

試題 7選擇一項(xiàng)：

串行接口上不允許出站流量。

使用傳統(tǒng)防火墻時(shí)，在哪里應(yīng)用防火墻策略？

試題 8選擇一項(xiàng)：

接口

ACL 有哪兩個(gè)特點(diǎn)？（選擇兩項(xiàng)。）

試題 9選擇一項(xiàng)或多項(xiàng)：

擴(kuò)展 ACL 可以在目的 TCP 端口和 UDP 端口上過(guò)濾流量。

擴(kuò)展 ACL 可以根據(jù)源 IP 地址和目的 IP 地址過(guò)濾流量。

以下哪項(xiàng)陳述是數(shù)據(jù)包過(guò)濾防火墻的特征？

試題 10選擇一項(xiàng)：

容易受到 IP 欺騙。

哪種 ICMP 消息類型應(yīng)該停止入站？

試題 11選擇一項(xiàng)：

echo

請(qǐng)考慮配置的訪問(wèn)列表。?

R1#?show access-lists
extended IP access list 100
?? deny tcp host 10.1.1.2 host 10.1.1.1 eq telnet
?? deny tcp host 10.1.2.2 host 10.1.2.1 eq telnet
?? permit ip any any (15 matches)

此訪問(wèn)列表的兩個(gè)特征是什么？（選擇兩項(xiàng)。）

試題 12選擇一項(xiàng)或多項(xiàng)：

訪問(wèn)列表已應(yīng)用于接口。

10.1.1.0/24 網(wǎng)絡(luò)上的任何設(shè)備（除 10.1.1.2 設(shè)備之外）可以通過(guò) telnet 連接到分配了 IP 地址 10.1.1.1 的路由器。

考試（還未修正）

1在配置思科 IOS 基于區(qū)域的策略防火墻時(shí)，哪兩個(gè)操作可應(yīng)用于流量類？（選擇兩項(xiàng)。）

• 檢查
• 丟棄

2狀態(tài)防火墻的一個(gè)限制是什么？

• 對(duì)基于 UDP 或 ICMP 的流量不那么有效

思科 IOS 基于區(qū)域的策略防火墻上的傳遞操作具有哪項(xiàng)功能？

• 將流量從一個(gè)區(qū)域轉(zhuǎn)發(fā)到另一個(gè)區(qū)域

網(wǎng)絡(luò)管理員正在路由器上同時(shí)實(shí)施傳統(tǒng)防火墻和基于區(qū)域的防火墻。下列哪項(xiàng)是對(duì)此實(shí)施的最佳描述？

• 這兩個(gè)模型不能在單個(gè)接口上實(shí)施。

出站 ACL 無(wú)法過(guò)濾哪種類型的數(shù)據(jù)包？

• 路由器生成的數(shù)據(jù)包

一家公司正在部署一種新的網(wǎng)絡(luò)設(shè)計(jì)，其中邊界路由器有三個(gè)接口。串行接口 0/0/0 連接到 ISP，GigabitEthernet0/0 連接到 DMZ，GigabitEthernet/01 連接到內(nèi)部專用網(wǎng)絡(luò)。哪種類型的流量將獲得最少的檢查（擁有最大的傳輸自由）？

• 來(lái)自公共網(wǎng)絡(luò)并且發(fā)往 DMZ 的流量

在實(shí)施入站互聯(lián)網(wǎng)流量 ACL 時(shí)，應(yīng)該包含哪些內(nèi)容以防止內(nèi)部網(wǎng)絡(luò)欺騙？

• 阻止來(lái)自私有地址空間的流量的 ACE

請(qǐng)參見(jiàn)圖示。ACL 語(yǔ)句是路由器上唯一明確配置的語(yǔ)句。根據(jù)此信息，可以得出關(guān)于遠(yuǎn)程接入網(wǎng)絡(luò)連接的哪兩個(gè)結(jié)論？（選擇兩項(xiàng)。）

• 允許從 192.168.1.0/24 網(wǎng)絡(luò)到 192.168.2.0/24 網(wǎng)絡(luò)的 Telnet 連接。
• 允許從 192.168.1.0/24 網(wǎng)絡(luò)到 192.168.2.0/24 網(wǎng)絡(luò)的 SSH 連接。

請(qǐng)參見(jiàn)圖示。網(wǎng)絡(luò) "A" 包含多臺(tái)可通過(guò)互聯(lián)網(wǎng)主機(jī)進(jìn)行訪問(wèn)以了解企業(yè)相關(guān)信息的企業(yè)服務(wù)器。用于描述標(biāo)記為 "A" 的網(wǎng)絡(luò)的術(shù)語(yǔ)是什么？

• DMZ

以下哪項(xiàng)陳述描述了 DMZ 防火墻配置的典型安全策略？

• 源自內(nèi)部接口的流量通常被完全阻止，或僅允許少量有選擇性地到達(dá)外部接口。

通過(guò) CLI 配置思科 IOS 基于區(qū)域的策略防火墻時(shí)，必須在創(chuàng)建區(qū)域后執(zhí)行哪個(gè)步驟？

• 為區(qū)域分配接口。

請(qǐng)考慮以下訪問(wèn)列表。

access-list 100 permit ip host 192.168.10.1 any
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo
access-list 100 permit ip any any

如果該訪問(wèn)列表被置于已分配 IP 地址 192.168.10.254 路由器千兆以太網(wǎng)端口上，則會(huì)采取兩項(xiàng)操作？（選擇兩項(xiàng)。）

• 192.168.10.0/24 網(wǎng)絡(luò)上的設(shè)備不能回應(yīng)任何 ping 請(qǐng)求。
• 僅允許已分配 IP 地址 192.168.10.1 的網(wǎng)絡(luò)設(shè)備訪問(wèn)路由器。

除了擴(kuò)展 ACL 使用的標(biāo)準(zhǔn)之外，傳統(tǒng)防火墻使用什么條件來(lái)過(guò)濾流量？

• TCP/IP 協(xié)議號(hào)

請(qǐng)參見(jiàn)圖示。如果外部網(wǎng)絡(luò)上的黑客發(fā)送的 IP 數(shù)據(jù)包的源地址為172.30.1.50，目的地址為 10.0.0.3，源端口為 23，目的端口為 2447，那么思科 IOS 防火墻對(duì)數(shù)據(jù)包的作用是什么？

• 數(shù)據(jù)包被轉(zhuǎn)發(fā)，而不生成警報(bào)。

為方便故障排除過(guò)程，應(yīng)在外部接口上允許哪些入站 ICMP 消息？

• 時(shí)間戳應(yīng)答

請(qǐng)參見(jiàn)圖示。下列哪一項(xiàng)陳述正確描述了 ACE 的功能？

• 以下 ACE 允許 IPv6 鄰居發(fā)現(xiàn)流量。

哪個(gè)命令將驗(yàn)證基于區(qū)域的策略防火墻配置？

• show zones

如果提供的 ACE 位于同一 ACL 中，則應(yīng)根據(jù)最佳實(shí)踐在 ACL 中首先列出哪個(gè) ACE？

• deny tcp any any eq telnet

使用狀態(tài)防火墻而不使用代理服務(wù)器有什么好處？

• 能夠執(zhí)行包過(guò)濾

哪個(gè)安全工具可在網(wǎng)絡(luò)流量流入和流出組織時(shí)進(jìn)行監(jiān)控，并確定數(shù)據(jù)包屬于現(xiàn)有連接還是來(lái)自未經(jīng)授權(quán)的來(lái)源？

• 狀態(tài)防火墻

在實(shí)施基于區(qū)域的策略防火墻時(shí)，關(guān)于接口的哪兩個(gè)規(guī)則有效？（選擇兩項(xiàng)。）

• 如果兩個(gè)接口屬于同一個(gè)區(qū)域?qū)Σ⑶掖嬖诓呗?#xff0c;則將傳遞所有流量。
• 如果兩個(gè)接口都是同一區(qū)域的成員，則將傳遞所有流量。

哪條命令可用于激活接口上名為“ENG_ACL”的 IPv6 ACL，以便路由器在訪問(wèn)路由表之前先過(guò)濾流量？

• ipv6 access-class ENG_ACL in