ASA笔记
1、从低安全级别接口到高安全级别接口的流量叫做inbound流量,这种流量默认是拒绝的,但是我们可以使用acl放行inbound流量
2、证数据源的方式有预共享密钥和数字证书两种方式,在网络安全策略vpn配置中网络工程师最常用的源认证方式为预共享密钥
--3、VPN可以解决不同局域网之间的连通性问题,以及保证它们之间的数据安全性,vpn 通过封装,加新IP头部解决局域网之间的连通性
4、非对称算法RSA DH ECC
5 vpn设备认证peer默认使用预共享密钥认证
6.路由模式防火墙基于路由表转发数据包。
7.防火墙acl只对穿越防火墙的流量生效
5、在L2L-vpn中,当加密点等于通讯点时,用传输模式建立隧道
6、那么路由模式防火墙基于路由表转发数据包
8、为了避免数据在传输过程中被篡改,我们选择了一种函数算法来校验数据的完整性,该算法是md5、sha
站点到站点隧道
9、路由器配置IPsec VPN (lan-to-lan)的时候在crypto map策略中出现match address 字样是指匹配一个感兴趣流
10、通过配置基于时间的访问控制列表可以使用绝对时间配置来控制列表的开始和终于时间,那么相对时间配置可以决定列表的生效规律为周期性的生效
11、墙在工作中支持的动态路由协议有ospf、eigrp、rip,关于防火墙上配置动态路由协议的说法正确路由模式防火墙支持动态路由协议
12、staticNAT静态转换通常应用于内网存在对公网用户提供服务的server转换上,最总实现公网用户能够准确访问到服务器的目的,其转换方式是将内部地址转换为一个全局公网地址
区域13、一在下列防火墙网络地址转换中属于PAT端口复用的转换配置方式的有global (outside) 2 interface
2 接口
14、NAT+ACL为策略网络地址转换的配置方式,其特性可以将同一个内网用户在去往不同目的地的时候转换成不同的公网ip地址NAT0+ACL的优先级最高
15、防火墙一般架设于局域网边界处负责提高局域网安全性,通常防火墙会把server、数据库等设备放置在DMZ区域(特殊区域即服务器所在区域)
16、当防火墙上配置的NAT1+global、NAT0和static三种转换策略同时涉及到同一个内网用户时,那么该用户在访问互联网时将会采取NAT0
17、防火墙的外网接口仅支持ssh这种远程登录方式,故如需远程防火墙outside接口必须做ssh 0 0 outside
18、Object Group允许把任意多个,可设置同一访问策略的,IP地址,IP协议及端口号组成一组,共享一条ACE,还可以重复使用。大大减少了必须的ACE数量,简化了访问控制列表策略配置
19、acs支持在unix安装
隧道的组类型20、下列IPSec Lan to Lan VPN配置中属于防火墙特有的配置命令tunnel-group xxx type IPSec-L2L
21、ACS支持多种认证协议,假设需要为网络中的juniper与H3C设备做登录认证,那我们需要使用Radius 协议。
22、在网络中部署IPsec VPN (lan-to-lan),要放行需求流量还要放行esp和UDP500的流量,挂在MAP接口下的流量是.需求流量
23、我们在配置GRE over IPSec VPN时,动态路由协议启用后需要宣告.tunnel接口及通信点所属网段
24、在部署了ACS对登录用户认证授权与审计后,ACS服务器指定了Client端IP地址,Client 端需要指定Server IP地址。
25、我们在给远程登录(telnet)本设备的用户做级别授权时,用户级别范围应该是0-15
路由模式透明模式(2层)
26、防火墙从router mode切换为transparent mode后,原有配置将全部丢失
27、. ASA OS8中object network是对主机或网段的汇总
28.(1分) 散列函数中长度为128位的算法哪种?举例说明它的应用场景md5,ospf链路验证
29、ASA OS8 是否支持状态监控包过滤放行,外网流量如何能够穿越防火墙进入内网支持,使用ACL在outside接口in方向放行
30、中心有固定IP地址但是分支机构没有固定IP地址的情况,运用ezvpn xauth认证用户名+密码进行验证
31、ASA OS8中访问控制列表分为那几个类型?其特性与路由器ACL有哪些区别
标准ACL和扩展ACL,ASA中acl只控制穿越流量
32、防火墙中配置静态路由时是否需要注明接口命名(出接口),配置为需要,route inside 1.1.1.0 255.255.255.0 10.1.1.1
33、在防火墙上使用http/https的方式登录ASDM图形化管理界面,开启http/https服务的命令为http server enable
http 服务开
34、ASA OS8中内网server地址需要在外网改变端口并服务的转换命令是static+协议+公网ip端口号+私网ip和端口号
35 ACS服务器支持验证授权审计服务,不支持计费服务。
36、VPN 设备认证PEER通常使用域共享密钥数字证书方式
37、在ASA 远程vpn的client拨号软件中创建拨号连接时必须要设置的选项有vpn server的ip地址、组名和组密码
38、在防火墙做NAT大于等于1+global动态转换时,nat(inside)1 0 0代表什么?等同于哪种配置方式?nat(inside)1 0 0表示匹配所有inside区域用户该命令等同于nat(inside)1 0.0.0.0 0.0.0.0
39、使用ASDM配置防火墙需要确认flash中的哪些内容?且ASDM通过什么方式开启网管防火墙页面需要在flash中导入ASDM.bin文件. . ASDM通过https连接网管防火墙
40. ) 在防火墙上配置访问控制列表时,关于命令access-group in in interface inside的作用是将列表调用将列表调用在inside接口. 将列表调用在接口的入方向
41、路由模式防火墙支持nat、acl、动态路由等策略,而透明模式防火墙的工作模式却与路由模式防火墙截然不同,所以它不支持nat. 动态路由配置接口IP地址
42、使用散列函数SHA算法校验时,通过对接收的传输数据执行散列运算来检查数据的正确性。计算出的散列值拿来和散列值比较。如果两个相同说明数据完整. 数据无误
数据未篡改过
43.(1分) 网络设备普遍支持远程登录,其中最常用的是telnet与ssh,下面哪些设备支持telnet与ssh远程接入CISCO 3945路由器CISCO 3750X交换机CISCO ASA 5545防火墙
44、远程访问VPN在ASA接口上启用后,创建阶1段策略后,在二阶段策略中我们可以选择的策略参数有. esp-des. esp-3des esp-aes
45、在网络中我们部署vpn,为了实现两内网跨互联网进行通信,搭建vpn,而建立vpn之前,必须考虑的问题:带宽安全
46. 企业之间跨互联网要通信,共用互联网一根专线,vpn包含两个模型点到点vpn 和远程接入vpn。
47.在路由器上创建tunnel隧道时,虚拟tunnel口下除配置ip地址外,还需配置tunnel 源地址和tunnel目的地址
48 vpn常见认证方式是预共享密钥
49. 在IPSEC-VPN网络中,对称密码学中对数据进行加密,3des算法的长度为168 bit。
50.(4分) 防火墙配置从outside接口去往目的网络202.100.1.0/24,下一跳地址为202.100.1.254的静态路由配置是route (outside )202.100.1.0 255.255.255.0 202.100.1.254
51 访问控制列表分为标准访问控制列表和扩展访问控制列表,标准访问控制列表只可以对源ip 进行控制。扩展访问列表可对源IP、源协议、源端口、目的IP、目的协议、目的端口进行控制。
52、在路由模式防火墙上配置静态路由时,0.0.0.0 0.0.0.0 可以使用0 0 来替代,其意义为缺省默认路由,代表所有。
53.防火墙根据(接口安全级别)来划分安全区域,当划为内部网络防火墙主要保护对象,其包括全部企业内部网络中需要保护设备和用户主机。
54.(2分) 区分防火墙版本是K8或者K9的方法是使用show vesion ,其中对(3des )加密算法支持的是K9版本。显示版本