您现在的位置是:首页 > 学无止境 > 其他网站首页其他 CCNA考点
CCNA考点
- 其他
- 2018-12-24
简介CCNA网络安全配置的考点要求。字数
2815
CCNA期末复习补充题
- 包过滤就是分组过滤,就是数据包过滤。
- VLAN的安全:所有没有使用的交换机端口都应该被关掉或禁用。
- 机密性:DES、3-DES、AES。完整性:MD5、SHA。
- access才能配置为快速端口。
- DMZ是什么?作用是什么?
答:①DMZ是非军事化管理区。②作用是:允许外部(区域)访问的内部服务器可以放在DMZ内(非军事化管理区内)。
- GRE(通用封装协议):只封装不加密。
- CA是什么?(P212)
答:CA是一个第三方的授权信任机构。
- 密钥管理的特点?(P197)
答:①生成。②验证。③存储。④交换。⑤撤销和销毁。
- ICMP协议有很多的echo消息。
①其中echo reply的意思是:回复。
②echo unreachable 的意思是:目标地址不可达。
③echo本身的意思是:请求回复。
-
最后一道大题20分是根据命令写出它的含义。
1.蠕虫、病毒、木马的特征分别是什么?(P10-12)
蠕虫:独立存在于内存中利用网络传播,蠕虫通常会使网络速度下降。
病毒:依附文件存在,利用U盘、软盘传播。
木马:具有伪装性。
2.第一章所讲过的所有攻击有哪些?每一种的含义。(P15)
l 侦查攻击(Reconnaissance Attack)
利用端口扫描等软件或信息查询获得系统的薄弱之处。并不会对系统造成威胁。
l 接入攻击(Access Attack)
中间人攻击(攻击者位于收发双发之间,读取或篡改中间人攻击)、暴力破解(遍历所有密码)。
l 拒绝服务攻击(Denial of Service Attack)
在短时间内向受害者发送大量数据,使受害者无法处理正常数据以及服务,造成服务不可用。
3.有两种设置特权密码的方式,如何设置?这两种有什么区别?那种更安全?为什么?(P31)
enable secret password
enable password password
前者密码乱码显示,后者密码明文显示,当忘记密码,前者只能通过Cisco路由器密码恢复程序进行恢复(P41)。
前者更加安全,因为它使用的是更为强大的算法——MD5哈希来隐匿密码
4.视图有哪些?每种视图有什么作用。(P38-39)
根视图、CLI视图、超级视图。
根视图可以创建CLI、超级视图。超级视图可以包括多个CLI视图,CLI可以捆绑多条命令 。
5.AAA认证是什么?身份认证有哪些方式?(P60-61)
AAA网络安全服务提供了在网络设备上建立访问控制的基本框架。其中有认证(Authentication)、授权(Authorization)、审计(Accounting and auditing)三个功能组件。
本地认证:(enable、console、line、local、local-case)
服务器认证:TACACS+和RADIUS认证
l 本地AAA认证
R1#Configure terminal
R1(config)#username username secret password
R1(config)#aaa new-model//启动AAA认证
R1(config)#aaa authentication login default local-case//用本地case登录
R1(config)#aaa local authentication attempts max-fail 10//最大失效尝试次数
l 基于服务器的AAA认证
R1(config)# aaa new-model//全局启用AAA
R1(config)# radius-server host 192.168.1.100 //设置radius服务器的地址为192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd //设置radius服务器与R1之间的数据链接密钥为RADIUS-Pa55w0rd
R1(config)# tacacs-server host 192.168.1.101 single-connection //单一连接 思科设备专属
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)# aaa authentication login default group tacacs+ group radius local-case //创建aaa认证登录列表,列表名为default,首先使用基于tacacs服务器的认证,该认证失效,再使用radius服务器的认证,该认证再失效,再使用区分大小写的本地数据库认证。
6.基于服务器的认证有哪两种,分别如何配置,配置命令的含义。
基于服务器认证:1、TACACS+认证。 2、RADIUS认证。
参考上面--基于服务器的AAA认证!
7.什么是ACL,什么是标准ACL,什么是扩展ACL,两者的区别。(P81)
ACL是访问控制列表,用于缓解网络攻击和控制网络流量。
l 标准ACL
基于源IP地址过滤
Router(config)#access-list 编号 {permit|deny|remark} source-addr
l 扩展ACL
基于源IP地址、目的IP地址、协议、端口来过滤。
Router(config)#access-list 编号 {permit|deny|remark} source-addr destination-addr
8.什么数据包防火墙,什么是状态防火墙,两者的区别。(PPT 4-72)
l 数据包防火墙
基于网络层(第三层)进行过滤,检查数据包头参数是否符合过滤。
l 状态防火墙
基于三四层过滤,追踪数据包前后连接状态,符合状态参数的正常范围。
9.什么是区域策划防火墙,相同区域之间默认能否通信(能),不同区域之间能否通信(不能),不能通信的话是否存在通信的可能(存在),如果存在如何才能通信(接口只要划入同一个区域,它们之间就可以任意互访了),区域的策略有哪些。(P110)
区域策划防火墙:
建立不同的区域,与不同的区域策略,将接口分配到不同的区域,并实施配置策略。
区域策略:pass、drop、inspect、plice
10.配置区域防火墙的命令?以及命令的含义?(PPT 4-131)
FW(config)#zone security zone-name//建立名为zone-name的区域
FW(config)#class-map type inspect match-all class-map-name//建立一个名为class-map-name的流量类型,检查下面所有条件
FW(config-cmap)#match acces-group number//匹配ACL number
FW(config)#policy-map type inspect policy-map-name//建立一个名为policy-map-name的防火墙策略
FW(config-pmap)#class type inspect class-map-name//将class-map-name应用于policy-map-name中
FW(config)#zone-pair security zone-pair-name source addr destination addr//建立一个名为zone-pair-name的区域对,将防火墙策略应用于源和目的区域
FW(config-if)#Zone-member security zone-name//将接口分配到zone-name区域
11.二层攻击有哪些?解释每一种攻击的原理。针对每一种攻击可以做什么防御?(P153)
二层攻击包括MAC地址欺骗攻击、MAC地址表溢出攻击、STP操纵攻击、LAN风暴攻击以及VLAN攻击。
l MAC地址欺骗
黑客将自己的MAC地址改为受害者MAC地址,交换机收到发往受害者的流量将发往到黑客手中。
防御:通过在交换机上配置端口来消除攻击。
l MAC地址表溢出攻击
使用大量假的源MAC地址来攻击交换机,让交换机的MAC地址表被充满,当收到发往受害者们的消息时由于地址表没受害者的,所以广播。
防御:通过在交换机上配置端口来消除攻击。
l STP操纵攻击
也叫生成树协议攻击,黑客将自己的优先级设置最高,使其成为根桥,所有流量都会通过黑客。
防御:端口启用PortFast,或者根保护和BPDU保护。
l LAN风暴攻击
也称泛洪,就是大量的广播导致。
防御:使用风暴控制来抑制过量的广播、组播和单播帧。
l VLAN攻击
分为VLAN跳跃攻击和VLAN双重标签攻击。
n VLAN跳跃攻击
攻击者发起欺骗DTP信息,导致交换机进入中继模式,转发多个VLAN信息。
防御:禁止DTP协商。
n VLAN双重标签攻击
当攻击者VLAN和中继的本征VLAN一样时,允许攻击者将数据发往其他的VLAN。
防御:关闭不使用的接口,并配置正确的本征VLAN.
12.什么是IDS?什么是IPS?两者的优缺点是什么?(P121-123)
入侵检测系统(intrusion detection system)
优点:
1、不会影响网络性能(延迟、抖动等)
2、如果传感器失效,也不会影响网络功能。
3、如果传感器溢出,也不会影响网络功能。
缺点:
1、响应行为不能停止触发数据包。
2、用户部署IDS传感器响应行为必须具有成熟的安全策略。
入侵防御系统(Intrusion Prevention System)
优点:
1、可以停止触发数据包
2、可以使用流标准化技术(可降低网络逃避行为)
缺点:
1、传感器问题可能会影响网络流量。
2、如果传感器溢出会影响网络性能。
3、 对网络性能会有影响(延迟、抖动等)
13.IPS的特征类别有哪些?Retired true 和retired false的作用。(P138-139)
IPS的特征类别:all、basic、advanced
Retired true:隐退特征是指IOS IPS不会将这个特征编译到用于扫描的内存中。
Retired false:非隐退特征会命令IOS IPS将这个特征编译到内存中,并且使用它扫描数据流。
14.什么是风暴控制?进行风暴控制的数据流的单位有哪些?(PPT 6-65)
风暴控制可以防止VLAN上的流量在一个物理接口上的广播、组播和单播风暴的发生。
进行风暴控制的数据流的单位:
(1)广播(broadcast)、组播(multicast)或单播(unicast)流量可以使用端口可用总带宽的百分比
(2)接受到的广播、组播或单播数据包的流量速率(包/秒)
(3)接受到的广播、组播或单播数据包的流量速率(bit/s)
Switch(config-if)#storm-control broadcast level 75.5//风暴控制广播总带宽上限75.5%
Switch(config-if)#storm-control multicast level bps 2k 1k//风暴控制组播上限2千比特/s、下限1千比特/s
Switch(config-if)#storm-control unicast level pps 2k 1k//风暴控制单播上限2千个数据包/s、下限1千个数据包/s
Switch(config-if)#storm-control action shutdown//超过上面配置的范围,端口关闭
15.保护数据的三大特性?分别是什么含义?(P187)
保护数据的三大特性有:认证、完整性、机密性
n 认证
保护消息不是伪造的,确实来自消息所宣称的源。
n 完整性
确保消息在传输过程中不被更改。
n 机密性
保证如果消息被捕获,它不能破解。
16.机密性有哪些算法?完整性有哪些算法?(P200)
数据机密性是通过对称加密算法(包括DES、3DES和AES)和非对称加密算法(包括RSA和PKI)来保证的。
完整性是通过实施MD5或SHA散列算法以及HMAC-SHA来保证的。
17.什么是非对称加密算法,什么是对称加密算法,非对称性算法如何保证数据的机密性?如何保证完整性?
对称性算法
对称性算法就是使用相同的密钥进行加密和解密。
非对称性算法
使用不同的密钥来加密和解密数据
公钥(加密)+私钥(解密)=机密性
私钥(加密)+公钥(解密)=认证
18.一些关键协议的端口号
SSH:22、HTTPS:443、HTTP:80、Telnet:23、FTP:20,21(主动被动)
转载:
感谢您对莫愁个人博客网站平台的认可,非常欢迎各位朋友分享到个人站长或者朋友圈,但转载请说明文章出处“来源莫愁个人博客 https://www.mochoublog.com/study/39.html”。
- 其他
- 2018-12-24
CCNA期末复习补充题
- 包过滤就是分组过滤,就是数据包过滤。
- VLAN的安全:所有没有使用的交换机端口都应该被关掉或禁用。
- 机密性:DES、3-DES、AES。完整性:MD5、SHA。
- access才能配置为快速端口。
- DMZ是什么?作用是什么?
答:①DMZ是非军事化管理区。②作用是:允许外部(区域)访问的内部服务器可以放在DMZ内(非军事化管理区内)。 - GRE(通用封装协议):只封装不加密。
- CA是什么?(P212)
答:CA是一个第三方的授权信任机构。 - 密钥管理的特点?(P197)
答:①生成。②验证。③存储。④交换。⑤撤销和销毁。 - ICMP协议有很多的echo消息。
①其中echo reply的意思是:回复。
②echo unreachable 的意思是:目标地址不可达。
③echo本身的意思是:请求回复。 -
最后一道大题20分是根据命令写出它的含义。
1.蠕虫、病毒、木马的特征分别是什么?(P10-12)
蠕虫:独立存在于内存中利用网络传播,蠕虫通常会使网络速度下降。
病毒:依附文件存在,利用U盘、软盘传播。
木马:具有伪装性。
2.第一章所讲过的所有攻击有哪些?每一种的含义。(P15)
l 侦查攻击(Reconnaissance Attack)
利用端口扫描等软件或信息查询获得系统的薄弱之处。并不会对系统造成威胁。
l 接入攻击(Access Attack)
中间人攻击(攻击者位于收发双发之间,读取或篡改中间人攻击)、暴力破解(遍历所有密码)。
l 拒绝服务攻击(Denial of Service Attack)
在短时间内向受害者发送大量数据,使受害者无法处理正常数据以及服务,造成服务不可用。
3.有两种设置特权密码的方式,如何设置?这两种有什么区别?那种更安全?为什么?(P31)
enable secret password
enable password password
前者密码乱码显示,后者密码明文显示,当忘记密码,前者只能通过Cisco路由器密码恢复程序进行恢复(P41)。
前者更加安全,因为它使用的是更为强大的算法——MD5哈希来隐匿密码
4.视图有哪些?每种视图有什么作用。(P38-39)
根视图、CLI视图、超级视图。
根视图可以创建CLI、超级视图。超级视图可以包括多个CLI视图,CLI可以捆绑多条命令 。
5.AAA认证是什么?身份认证有哪些方式?(P60-61)
AAA网络安全服务提供了在网络设备上建立访问控制的基本框架。其中有认证(Authentication)、授权(Authorization)、审计(Accounting and auditing)三个功能组件。
本地认证:(enable、console、line、local、local-case)
服务器认证:TACACS+和RADIUS认证
l 本地AAA认证
R1#Configure terminal
R1(config)#username username secret password
R1(config)#aaa new-model//启动AAA认证
R1(config)#aaa authentication login default local-case//用本地case登录
R1(config)#aaa local authentication attempts max-fail 10//最大失效尝试次数
l 基于服务器的AAA认证
R1(config)# aaa new-model//全局启用AAA
R1(config)# radius-server host 192.168.1.100 //设置radius服务器的地址为192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd //设置radius服务器与R1之间的数据链接密钥为RADIUS-Pa55w0rd
R1(config)# tacacs-server host 192.168.1.101 single-connection //单一连接 思科设备专属
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)# aaa authentication login default group tacacs+ group radius local-case //创建aaa认证登录列表,列表名为default,首先使用基于tacacs服务器的认证,该认证失效,再使用radius服务器的认证,该认证再失效,再使用区分大小写的本地数据库认证。
6.基于服务器的认证有哪两种,分别如何配置,配置命令的含义。
基于服务器认证:1、TACACS+认证。 2、RADIUS认证。
参考上面--基于服务器的AAA认证!
7.什么是ACL,什么是标准ACL,什么是扩展ACL,两者的区别。(P81)
ACL是访问控制列表,用于缓解网络攻击和控制网络流量。
l 标准ACL
基于源IP地址过滤
Router(config)#access-list 编号 {permit|deny|remark} source-addr
l 扩展ACL
基于源IP地址、目的IP地址、协议、端口来过滤。
Router(config)#access-list 编号 {permit|deny|remark} source-addr destination-addr
8.什么数据包防火墙,什么是状态防火墙,两者的区别。(PPT 4-72)
l 数据包防火墙
基于网络层(第三层)进行过滤,检查数据包头参数是否符合过滤。
l 状态防火墙
基于三四层过滤,追踪数据包前后连接状态,符合状态参数的正常范围。
9.什么是区域策划防火墙,相同区域之间默认能否通信(能),不同区域之间能否通信(不能),不能通信的话是否存在通信的可能(存在),如果存在如何才能通信(接口只要划入同一个区域,它们之间就可以任意互访了),区域的策略有哪些。(P110)
区域策划防火墙:
建立不同的区域,与不同的区域策略,将接口分配到不同的区域,并实施配置策略。
区域策略:pass、drop、inspect、plice
10.配置区域防火墙的命令?以及命令的含义?(PPT 4-131)
FW(config)#zone security zone-name//建立名为zone-name的区域
FW(config)#class-map type inspect match-all class-map-name//建立一个名为class-map-name的流量类型,检查下面所有条件
FW(config-cmap)#match acces-group number//匹配ACL number
FW(config)#policy-map type inspect policy-map-name//建立一个名为policy-map-name的防火墙策略
FW(config-pmap)#class type inspect class-map-name//将class-map-name应用于policy-map-name中
FW(config)#zone-pair security zone-pair-name source addr destination addr//建立一个名为zone-pair-name的区域对,将防火墙策略应用于源和目的区域
FW(config-if)#Zone-member security zone-name//将接口分配到zone-name区域
11.二层攻击有哪些?解释每一种攻击的原理。针对每一种攻击可以做什么防御?(P153)
二层攻击包括MAC地址欺骗攻击、MAC地址表溢出攻击、STP操纵攻击、LAN风暴攻击以及VLAN攻击。
l MAC地址欺骗
黑客将自己的MAC地址改为受害者MAC地址,交换机收到发往受害者的流量将发往到黑客手中。
防御:通过在交换机上配置端口来消除攻击。
l MAC地址表溢出攻击
使用大量假的源MAC地址来攻击交换机,让交换机的MAC地址表被充满,当收到发往受害者们的消息时由于地址表没受害者的,所以广播。
防御:通过在交换机上配置端口来消除攻击。
l STP操纵攻击
也叫生成树协议攻击,黑客将自己的优先级设置最高,使其成为根桥,所有流量都会通过黑客。
防御:端口启用PortFast,或者根保护和BPDU保护。
l LAN风暴攻击
也称泛洪,就是大量的广播导致。
防御:使用风暴控制来抑制过量的广播、组播和单播帧。
l VLAN攻击
分为VLAN跳跃攻击和VLAN双重标签攻击。
n VLAN跳跃攻击
攻击者发起欺骗DTP信息,导致交换机进入中继模式,转发多个VLAN信息。
防御:禁止DTP协商。
n VLAN双重标签攻击
当攻击者VLAN和中继的本征VLAN一样时,允许攻击者将数据发往其他的VLAN。
防御:关闭不使用的接口,并配置正确的本征VLAN.
12.什么是IDS?什么是IPS?两者的优缺点是什么?(P121-123)
入侵检测系统(intrusion detection system)
优点:
1、不会影响网络性能(延迟、抖动等)
2、如果传感器失效,也不会影响网络功能。
3、如果传感器溢出,也不会影响网络功能。
缺点:
1、响应行为不能停止触发数据包。
2、用户部署IDS传感器响应行为必须具有成熟的安全策略。
入侵防御系统(Intrusion Prevention System)
优点:
1、可以停止触发数据包
2、可以使用流标准化技术(可降低网络逃避行为)
缺点:
1、传感器问题可能会影响网络流量。
2、如果传感器溢出会影响网络性能。
3、 对网络性能会有影响(延迟、抖动等)
13.IPS的特征类别有哪些?Retired true 和retired false的作用。(P138-139)
IPS的特征类别:all、basic、advanced
Retired true:隐退特征是指IOS IPS不会将这个特征编译到用于扫描的内存中。
Retired false:非隐退特征会命令IOS IPS将这个特征编译到内存中,并且使用它扫描数据流。
14.什么是风暴控制?进行风暴控制的数据流的单位有哪些?(PPT 6-65)
风暴控制可以防止VLAN上的流量在一个物理接口上的广播、组播和单播风暴的发生。
进行风暴控制的数据流的单位:
(1)广播(broadcast)、组播(multicast)或单播(unicast)流量可以使用端口可用总带宽的百分比
(2)接受到的广播、组播或单播数据包的流量速率(包/秒)
(3)接受到的广播、组播或单播数据包的流量速率(bit/s)
Switch(config-if)#storm-control broadcast level 75.5//风暴控制广播总带宽上限75.5%
Switch(config-if)#storm-control multicast level bps 2k 1k//风暴控制组播上限2千比特/s、下限1千比特/s
Switch(config-if)#storm-control unicast level pps 2k 1k//风暴控制单播上限2千个数据包/s、下限1千个数据包/s
Switch(config-if)#storm-control action shutdown//超过上面配置的范围,端口关闭
15.保护数据的三大特性?分别是什么含义?(P187)
保护数据的三大特性有:认证、完整性、机密性
n 认证
保护消息不是伪造的,确实来自消息所宣称的源。
n 完整性
确保消息在传输过程中不被更改。
n 机密性
保证如果消息被捕获,它不能破解。
16.机密性有哪些算法?完整性有哪些算法?(P200)
数据机密性是通过对称加密算法(包括DES、3DES和AES)和非对称加密算法(包括RSA和PKI)来保证的。
完整性是通过实施MD5或SHA散列算法以及HMAC-SHA来保证的。
17.什么是非对称加密算法,什么是对称加密算法,非对称性算法如何保证数据的机密性?如何保证完整性?
对称性算法
对称性算法就是使用相同的密钥进行加密和解密。
非对称性算法
使用不同的密钥来加密和解密数据
公钥(加密)+私钥(解密)=机密性
私钥(加密)+公钥(解密)=认证
18.一些关键协议的端口号
SSH:22、HTTPS:443、HTTP:80、Telnet:23、FTP:20,21(主动被动)
转载: 感谢您对莫愁个人博客网站平台的认可,非常欢迎各位朋友分享到个人站长或者朋友圈,但转载请说明文章出处“来源莫愁个人博客 https://www.mochoublog.com/study/39.html”。
上一篇:信息安全案例作业整理
下一篇:信息安全案例知识点