測試

以下 ACE 將放置在何處？
?
permit icmp any any nd-na

試題 1選擇一項：

在連接到另一個路由器并已啟用 IPv6 的路由器接口上

使用下一代防火墻而不是狀態(tài)防火墻的一個好處是什么？

試題 2選擇一項：

主動而不是被動防護互聯(lián)網(wǎng)威脅

在連接到互聯(lián)網(wǎng)的路由器接口上應(yīng)該拒絕哪兩種類型的地址入站？（選擇兩項。）

試題 3選擇一項或多項：

專用 IP 地址

以數(shù)字 127 開頭的任何 IP 地址

以下哪項陳述描述了狀態(tài)防火墻？

試題 4選擇一項：

它可以確定連接是處于啟動、數(shù)據(jù)傳輸還是終止階段。

使用下一代防火墻而不是狀態(tài)防火墻的一個好處是什么？

試題 5選擇一項：

集成使用入侵防御系統(tǒng) (IPS)

如果路由器是流量的來源或目的地，那么自身區(qū)域的結(jié)果是什么？

試題 6選擇一項：

會允許所有流量。

考慮一下在路由器串行接口上應(yīng)用出站的訪問列表命令。?
?
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo reply


應(yīng)用此訪問列表命令有什么影響？

試題 7選擇一項：

串行接口上不允許出站流量。

使用傳統(tǒng)防火墻時，在哪里應(yīng)用防火墻策略？

試題 8選擇一項：

接口

ACL 有哪兩個特點？（選擇兩項。）

試題 9選擇一項或多項：

擴展 ACL 可以在目的 TCP 端口和 UDP 端口上過濾流量。

擴展 ACL 可以根據(jù)源 IP 地址和目的 IP 地址過濾流量。

以下哪項陳述是數(shù)據(jù)包過濾防火墻的特征？

試題 10選擇一項：

容易受到 IP 欺騙。

哪種 ICMP 消息類型應(yīng)該停止入站？

試題 11選擇一項：

echo

請考慮配置的訪問列表。?

R1#?show access-lists
extended IP access list 100
?? deny tcp host 10.1.1.2 host 10.1.1.1 eq telnet
?? deny tcp host 10.1.2.2 host 10.1.2.1 eq telnet
?? permit ip any any (15 matches)

此訪問列表的兩個特征是什么？（選擇兩項。）

試題 12選擇一項或多項：

訪問列表已應(yīng)用于接口。

10.1.1.0/24 網(wǎng)絡(luò)上的任何設(shè)備（除 10.1.1.2 設(shè)備之外）可以通過 telnet 連接到分配了 IP 地址 10.1.1.1 的路由器。

考試（還未修正）

1在配置思科 IOS 基于區(qū)域的策略防火墻時，哪兩個操作可應(yīng)用于流量類？（選擇兩項。）

• 檢查
• 丟棄

2狀態(tài)防火墻的一個限制是什么？

• 對基于 UDP 或 ICMP 的流量不那么有效

思科 IOS 基于區(qū)域的策略防火墻上的傳遞操作具有哪項功能？

• 將流量從一個區(qū)域轉(zhuǎn)發(fā)到另一個區(qū)域

網(wǎng)絡(luò)管理員正在路由器上同時實施傳統(tǒng)防火墻和基于區(qū)域的防火墻。下列哪項是對此實施的最佳描述？

• 這兩個模型不能在單個接口上實施。

出站 ACL 無法過濾哪種類型的數(shù)據(jù)包？

• 路由器生成的數(shù)據(jù)包

一家公司正在部署一種新的網(wǎng)絡(luò)設(shè)計，其中邊界路由器有三個接口。串行接口 0/0/0 連接到 ISP，GigabitEthernet0/0 連接到 DMZ，GigabitEthernet/01 連接到內(nèi)部專用網(wǎng)絡(luò)。哪種類型的流量將獲得最少的檢查（擁有最大的傳輸自由）？

• 來自公共網(wǎng)絡(luò)并且發(fā)往 DMZ 的流量

在實施入站互聯(lián)網(wǎng)流量 ACL 時，應(yīng)該包含哪些內(nèi)容以防止內(nèi)部網(wǎng)絡(luò)欺騙？

• 阻止來自私有地址空間的流量的 ACE

請參見圖示。ACL 語句是路由器上唯一明確配置的語句。根據(jù)此信息，可以得出關(guān)于遠程接入網(wǎng)絡(luò)連接的哪兩個結(jié)論？（選擇兩項。）

• 允許從 192.168.1.0/24 網(wǎng)絡(luò)到 192.168.2.0/24 網(wǎng)絡(luò)的 Telnet 連接。
• 允許從 192.168.1.0/24 網(wǎng)絡(luò)到 192.168.2.0/24 網(wǎng)絡(luò)的 SSH 連接。

請參見圖示。網(wǎng)絡(luò) "A" 包含多臺可通過互聯(lián)網(wǎng)主機進行訪問以了解企業(yè)相關(guān)信息的企業(yè)服務(wù)器。用于描述標記為 "A" 的網(wǎng)絡(luò)的術(shù)語是什么？

• DMZ

以下哪項陳述描述了 DMZ 防火墻配置的典型安全策略？

• 源自內(nèi)部接口的流量通常被完全阻止，或僅允許少量有選擇性地到達外部接口。

通過 CLI 配置思科 IOS 基于區(qū)域的策略防火墻時，必須在創(chuàng)建區(qū)域后執(zhí)行哪個步驟？

• 為區(qū)域分配接口。

請考慮以下訪問列表。

access-list 100 permit ip host 192.168.10.1 any
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo
access-list 100 permit ip any any

如果該訪問列表被置于已分配 IP 地址 192.168.10.254 路由器千兆以太網(wǎng)端口上，則會采取兩項操作？（選擇兩項。）

• 192.168.10.0/24 網(wǎng)絡(luò)上的設(shè)備不能回應(yīng)任何 ping 請求。
• 僅允許已分配 IP 地址 192.168.10.1 的網(wǎng)絡(luò)設(shè)備訪問路由器。

除了擴展 ACL 使用的標準之外，傳統(tǒng)防火墻使用什么條件來過濾流量？

• TCP/IP 協(xié)議號

請參見圖示。如果外部網(wǎng)絡(luò)上的黑客發(fā)送的 IP 數(shù)據(jù)包的源地址為172.30.1.50，目的地址為 10.0.0.3，源端口為 23，目的端口為 2447，那么思科 IOS 防火墻對數(shù)據(jù)包的作用是什么？

• 數(shù)據(jù)包被轉(zhuǎn)發(fā)，而不生成警報。

為方便故障排除過程，應(yīng)在外部接口上允許哪些入站 ICMP 消息？

• 時間戳應(yīng)答

請參見圖示。下列哪一項陳述正確描述了 ACE 的功能？

• 以下 ACE 允許 IPv6 鄰居發(fā)現(xiàn)流量。

哪個命令將驗證基于區(qū)域的策略防火墻配置？

• show zones

如果提供的 ACE 位于同一 ACL 中，則應(yīng)根據(jù)最佳實踐在 ACL 中首先列出哪個 ACE？

• deny tcp any any eq telnet

使用狀態(tài)防火墻而不使用代理服務(wù)器有什么好處？

• 能夠執(zhí)行包過濾

哪個安全工具可在網(wǎng)絡(luò)流量流入和流出組織時進行監(jiān)控，并確定數(shù)據(jù)包屬于現(xiàn)有連接還是來自未經(jīng)授權(quán)的來源？

• 狀態(tài)防火墻

在實施基于區(qū)域的策略防火墻時，關(guān)于接口的哪兩個規(guī)則有效？（選擇兩項。）

• 如果兩個接口屬于同一個區(qū)域?qū)Σ⑶掖嬖诓呗?#xff0c;則將傳遞所有流量。
• 如果兩個接口都是同一區(qū)域的成員，則將傳遞所有流量。

哪條命令可用于激活接口上名為“ENG_ACL”的 IPv6 ACL，以便路由器在訪問路由表之前先過濾流量？

• ipv6 access-class ENG_ACL in