您现在的位置是:首页 > 学无止境 > 其他网站首页其他 CCNA考点

CCNA考点

  • 莫愁
  • 其他
  • 2018-12-24
简介CCNA网络安全配置的考点要求。
字数 2815

 

CCNA期末复习补充题

  1. 包过滤就是分组过滤,就是数据包过滤。
  2. VLAN的安全:所有没有使用的交换机端口都应该被关掉或禁用。
  3. 机密性:DES、3-DES、AES。完整性:MD5、SHA。
  4. access才能配置为快速端口。
  5. DMZ是什么?作用是什么?
    答:①DMZ是非军事化管理区。②作用是:允许外部(区域)访问的内部服务器可以放在DMZ内(非军事化管理区内)。
  6. GRE(通用封装协议):只封装不加密。
  7. CA是什么?(P212)
    答:CA是一个第三方的授权信任机构。
  8. 密钥管理的特点?(P197)
    答:①生成。②验证。③存储。④交换。⑤撤销和销毁。
  9. ICMP协议有很多的echo消息。
    ①其中echo reply的意思是:回复。
    ②echo unreachable 的意思是:目标地址不可达。
    ③echo本身的意思是:请求回复。
  10. 最后一道大题20分是根据命令写出它的含义。

     

 

 

1.蠕虫、病毒、木马的特征分别是什么?(P10-12)

蠕虫:独立存在于内存中利用网络传播,蠕虫通常会使网络速度下降

病毒:依附文件存在,利用U盘、软盘传播

木马:具有伪装性

 

2.第一章所讲过的所有攻击有哪些?每一种的含义。(P15)

l  侦查攻击(Reconnaissance Attack)

利用端口扫描等软件或信息查询获得系统的薄弱之处。并不会对系统造成威胁。

l  接入攻击(Access Attack)

中间人攻击(攻击者位于收发双发之间,读取或篡改中间人攻击)、暴力破解(遍历所有密码)。

l  拒绝服务攻击(Denial of Service Attack)

在短时间内向受害者发送大量数据,使受害者无法处理正常数据以及服务,造成服务不可用。

 

3.有两种设置特权密码的方式,如何设置?这两种有什么区别?那种更安全?为什么?(P31)

enable secret password

enable password password

前者密码乱码显示,后者密码明文显示,当忘记密码,前者只能通过Cisco路由器密码恢复程序进行恢复(P41)

前者更加安全,因为它使用的是更为强大的算法——MD5哈希来隐匿密码

 

4.视图有哪些?每种视图有什么作用。(P38-39)

根视图、CLI视图、超级视图。

根视图可以创建CLI、超级视图。超级视图可以包括多个CLI视图,CLI可以捆绑多条命令 。

 

5.AAA认证是什么?身份认证有哪些方式?(P60-61)

AAA网络安全服务提供了在网络设备上建立访问控制的基本框架。其中有认证(Authentication)、授权(Authorization)、审计(Accounting and auditing)三个功能组件。

本地认证:(enable、console、line、local、local-case)

服务器认证:TACACS+和RADIUS认证

l  本地AAA认证

R1#Configure terminal

R1(config)#username username secret password 

R1(config)#aaa new-model//启动AAA认证
R1(config)#aaa authentication login default local-case//用本地case登录

R1(config)#aaa local authentication attempts max-fail 10//最大失效尝试次数

l  基于服务器的AAA认证

R1(config)# aaa new-model//全局启用AAA

R1(config)# radius-server host 192.168.1.100 //设置radius服务器的地址为192.168.1.100

R1(config)# radius-server key RADIUS-Pa55w0rd //设置radius服务器与R1之间的数据链接密钥为RADIUS-Pa55w0rd

R1(config)# tacacs-server host 192.168.1.101 single-connection  //单一连接  思科设备专属

R1(config)# tacacs-server key TACACS+Pa55w0rd

R1(config)# aaa authentication login default group tacacs+ group radius local-case //创建aaa认证登录列表,列表名为default,首先使用基于tacacs服务器的认证,该认证失效,再使用radius服务器的认证,该认证再失效,再使用区分大小写的本地数据库认证。

 

6.基于服务器的认证有哪两种,分别如何配置,配置命令的含义。

基于服务器认证:1TACACS+认证  2RADIUS认证

参考上面--基于服务器的AAA认证!

 

7.什么是ACL,什么是标准ACL,什么是扩展ACL,两者的区别。(P81)

ACL是访问控制列表,用于缓解网络攻击和控制网络流量。

l  标准ACL

基于源IP地址过滤

Router(config)#access-list 编号 {permit|deny|remark} source-addr

l  扩展ACL

基于源IP地址、目的IP地址、协议、端口来过滤。

Router(config)#access-list 编号 {permit|deny|remark} source-addr destination-addr

 

8.什么数据包防火墙,什么是状态防火墙,两者的区别。(PPT 4-72)

l  数据包防火墙

基于网络层(第三层)进行过滤,检查数据包头参数是否符合过滤。

l  状态防火墙

基于三四层过滤,追踪数据包前后连接状态,符合状态参数的正常范围。

 

9.什么是区域策划防火墙,相同区域之间默认能否通信(能),不同区域之间能否通信(不能),不能通信的话是否存在通信的可能(存在),如果存在如何才能通信(接口只要划入同一个区域,它们之间就可以任意互访了),区域的策略有哪些。(P110) 

区域策划防火墙:

建立不同的区域,与不同的区域策略,将接口分配到不同的区域,并实施配置策略。

区域策略:pass、drop、inspect、plice

                                                                                       

10.配置区域防火墙的命令?以及命令的含义?(PPT 4-131)

FW(config)#zone security zone-name//建立名为zone-name的区域

FW(config)#class-map type inspect match-all class-map-name//建立一个名为class-map-name的流量类型,检查下面所有条件

FW(config-cmap)#match acces-group number//匹配ACL number

FW(config)#policy-map type inspect policy-map-name//建立一个名为policy-map-name的防火墙策略

FW(config-pmap)#class type inspect class-map-name//将class-map-name应用于policy-map-name中

FW(config)#zone-pair security zone-pair-name source addr destination addr//建立一个名为zone-pair-name的区域对,将防火墙策略应用于源和目的区域

FW(config-if)#Zone-member security zone-name//将接口分配到zone-name区域

 

11.二层攻击有哪些?解释每一种攻击的原理。针对每一种攻击可以做什么防御?(P153)

二层攻击包括MAC地址欺骗攻击、MAC地址表溢出攻击、STP操纵攻击、LAN风暴攻击以及VLAN攻击。

l  MAC地址欺骗

黑客将自己的MAC地址改为受害者MAC地址,交换机收到发往受害者的流量将发往到黑客手中。

防御:通过在交换机上配置端口来消除攻击。

l  MAC地址表溢出攻击

使用大量假的源MAC地址来攻击交换机,让交换机的MAC地址表被充满,当收到发往受害者们的消息时由于地址表没受害者的,所以广播。

防御:通过在交换机上配置端口来消除攻击。

l  STP操纵攻击

也叫生成树协议攻击,黑客将自己的优先级设置最高,使其成为根桥,所有流量都会通过黑客。

防御:端口启用PortFast,或者根保护和BPDU保护。

l  LAN风暴攻击

也称泛洪,就是大量的广播导致。

防御:使用风暴控制来抑制过量的广播、组播和单播帧。

l  VLAN攻击

分为VLAN跳跃攻击和VLAN双重标签攻击。

n  VLAN跳跃攻击

攻击者发起欺骗DTP信息,导致交换机进入中继模式,转发多个VLAN信息。

防御:禁止DTP协商。

n  VLAN双重标签攻击

当攻击者VLAN和中继的本征VLAN一样时,允许攻击者将数据发往其他的VLAN。

防御:关闭不使用的接口,并配置正确的本征VLAN.

 

12.什么是IDS?什么是IPS?两者的优缺点是什么?(P121-123)

入侵检测系统(intrusion detection system

优点:

1、不会影响网络性能(延迟、抖动等)

2、如果传感器失效,也不会影响网络功能。

3、如果传感器溢出,也不会影响网络功能。

缺点:

1、响应行为不能停止触发数据包。

2、用户部署IDS传感器响应行为必须具有成熟的安全策略。

入侵防御系统(Intrusion Prevention System

优点:

1、可以停止触发数据包

2、可以使用流标准化技术(可降低网络逃避行为)

缺点:

1、传感器问题可能会影响网络流量。

2、如果传感器溢出会影响网络性能。

3、    对网络性能会有影响(延迟、抖动等)

 

13.IPS的特征类别有哪些?Retired true retired false的作用。(P138-139)

IPS的特征类别:allbasicadvanced

Retired true:隐退特征是指IOS IPS不会将这个特征编译到用于扫描的内存中。

Retired false:非隐退特征会命令IOS IPS将这个特征编译到内存中,并且使用它扫描数据流。

 

14.什么是风暴控制?进行风暴控制的数据流的单位有哪些?(PPT 6-65)

风暴控制可以防止VLAN上的流量在一个物理接口上的广播、组播和单播风暴的发生。

进行风暴控制的数据流的单位:

(1)广播(broadcast)、组播(multicast)或单播(unicast)流量可以使用端口可用总带宽的百分比

(2)接受到的广播、组播或单播数据包的流量速率(包/秒)

(3)接受到的广播、组播或单播数据包的流量速率(bit/s

Switch(config-if)#storm-control broadcast level 75.5//风暴控制广播总带宽上限75.5%

Switch(config-if)#storm-control multicast level bps 2k 1k//风暴控制组播上限2千比特/s、下限1千比特/s

Switch(config-if)#storm-control unicast level pps 2k  1k//风暴控制单播上限2千个数据包/s、下限1千个数据包/s

Switch(config-if)#storm-control action shutdown//超过上面配置的范围,端口关闭

 

15.保护数据的三大特性?分别是什么含义?(P187)

保护数据的三大特性有:认证、完整性、机密性

n  认证

保护消息不是伪造的,确实来自消息所宣称的源。

n  完整性

确保消息在传输过程中不被更改。

n  机密性

保证如果消息被捕获,它不能破解。

 

16.机密性有哪些算法?完整性有哪些算法?(P200)

数据机密性是通过对称加密算法(包括DES3DESAES)和非对称加密算法(包括RSAPKI)来保证的。

完整性是通过实施MD5SHA散列算法以及HMAC-SHA来保证的。

 

17.什么是非对称加密算法,什么是对称加密算法,非对称性算法如何保证数据的机密性?如何保证完整性?

对称性算法

对称性算法就是使用相同的密钥进行加密和解密。

非对称性算法

使用不同的密钥来加密和解密数据

公钥(加密)+私钥(解密)=机密性

私钥(加密)+公钥(解密)=认证

 

18.一些关键协议的端口号

SSH22HTTPS443HTTP80Telnet23FTP2021(主动被动)

 

 


转载: 感谢您对莫愁个人博客网站平台的认可,非常欢迎各位朋友分享到个人站长或者朋友圈,但转载请说明文章出处“来源莫愁个人博客 https://www.mochoublog.com/study/39.html”。

文章评论

    • 评论
    人参与,条评论

技术在线

服务时间

周一至周日 12:00-22:00

关闭下雪
关闭背景特效