第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁ccnp安全題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.在CCNP安全配置中，以下哪個協(xié)議用于在交換機(jī)上實(shí)現(xiàn)VTP（虛擬局域網(wǎng)修剪協(xié)議）的動態(tài)配置同步？（）______分

A.OSPF

B.EIGRP

C.VTP

D.BGP

2.以下哪種安全設(shè)備部署模式通常用于隔離受信任和不受信任的網(wǎng)絡(luò)區(qū)域？（）______分

A.DemilitarizedZone(DMZ)

B.ScreenedSubnet

C.UntrustworthyNetwork

D.InternalNetwork

3.在CiscoASA防火墻上，使用哪種命令可以查看當(dāng)前應(yīng)用的訪問控制策略？（）______分

A.showaccess-list

B.showpolicy-map

C.showcontext

D.showinterface

4.以下哪個安全漏洞類型通常與緩沖區(qū)溢出有關(guān)？（）______分

A.SQLInjection

B.Cross-SiteScripting(XSS)

C.BufferOverflow

D.Man-in-the-Middle

5.在配置CiscoIOS安全特性時，以下哪個命令用于啟用AAA（認(rèn)證、授權(quán)、計費(fèi)）？（）______分

A.enableaaa

B.configureaaa

C.aaanew-model

D.aaaauthentication

6.以下哪種VPN技術(shù)使用IPsec協(xié)議進(jìn)行加密？（）______分

A.SSLVPN

B.IPsecVPN

C.L2TPVPN

D.PPTPVPN

7.在CiscoPacketTracer中配置ACL（訪問控制列表）時，以下哪個方向用于匹配從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包？（）______分

A.Inbound

B.Outbound

C.Both

D.None

8.以下哪種加密算法屬于對稱密鑰加密？（）______分

A.RSA

B.AES

C.ECC

D.SHA-256

9.在配置HSRP（熱備份路由協(xié)議）時，以下哪個參數(shù)用于指定優(yōu)先級值？（）______分

A.ipverify

B.priority

C.preempt

D.track

10.以下哪個安全設(shè)備用于檢測和阻止惡意軟件和網(wǎng)絡(luò)攻擊？（）______分

A.Firewall

B.IDS

C.IPS

D.ProxyServer

11.在配置CiscoISR（集成服務(wù)路由器）安全特性時，以下哪個命令用于配置SSH認(rèn)證？（）______分

A.ipsshauthentication

B.username<name>secret<password>

C.ipsshkey

D.cryptossh

12.以下哪種網(wǎng)絡(luò)威脅屬于社會工程學(xué)攻擊？（）______分

A.DDoSAttack

B.Phishing

C.SQLInjection

D.Zero-DayExploit

13.在配置CiscoASA防火墻時，以下哪個命令用于啟用狀態(tài)檢測防火墻？（）______分

A.setfirewallstateful

B.enablestatefulfirewall

C.configurefirewallstateful

D.firewallstatefulenable

14.以下哪種協(xié)議用于在路由器之間傳輸路由信息？（）______分

A.SNMP

B.OSPF

C.DNS

D.HTTP

15.在配置CiscoIOS安全特性時，以下哪個命令用于配置NTP（網(wǎng)絡(luò)時間協(xié)議）服務(wù)器？（）______分

A.ntpserver

B.configurentp

C.ntpsource

D.ipntpserver

16.以下哪種安全設(shè)備用于監(jiān)控網(wǎng)絡(luò)流量并識別異常行為？（）______分

A.IDS

B.IPS

C.Firewall

D.VPN

17.在配置CiscoISR安全特性時，以下哪個命令用于配置AAA認(rèn)證方法列表？（）______分

A.aaaauthenticationdefaultgrouptacacs+

B.configureaaaauthentication

C.aaaauthenticationmethod

D.setaaaauthentication

18.以下哪種安全漏洞類型與跨站腳本攻擊有關(guān)？（）______分

A.SQLInjection

B.Cross-SiteScripting(XSS)

C.BufferOverflow

D.Man-in-the-Middle

19.在配置CiscoPacketTracer中，以下哪個命令用于配置RIPv2路由協(xié)議？（）______分

A.routerripv2

B.configureripv2

C.routerrip

D.enableripv2

20.以下哪種安全設(shè)備用于隔離網(wǎng)絡(luò)中的故障設(shè)備？（）______分

A.Hub

B.Switch

C.VLAN

D.RedundantDevice

二、多選題（共15分，多選、錯選均不得分）

21.以下哪些協(xié)議屬于TCP/IP協(xié)議棧的應(yīng)用層協(xié)議？（）______分

A.HTTP

B.FTP

C.DNS

D.TCP

22.以下哪些安全設(shè)備可以用于實(shí)現(xiàn)網(wǎng)絡(luò)隔離？（）______分

A.Firewall

B.IDS

C.DMZ

D.VLAN

23.以下哪些安全漏洞類型與緩沖區(qū)溢出有關(guān)？（）______分

A.SQLInjection

B.BufferOverflow

C.Cross-SiteScripting(XSS)

D.Zero-DayExploit

24.以下哪些命令可以用于查看CiscoIOS設(shè)備的運(yùn)行配置？（）______分

A.showrunning-config

B.showconfig

C.showcurrent-config

D.showstartup-config

25.以下哪些安全設(shè)備可以用于實(shí)現(xiàn)入侵檢測？（）______分

A.IDS

B.IPS

C.Firewall

D.VPN

26.以下哪些參數(shù)可以用于配置HSRP？（）______分

A.priority

B.preempt

C.track

D.ip

27.以下哪些協(xié)議可以用于實(shí)現(xiàn)VPN連接？（）______分

A.IPsecVPN

B.SSLVPN

C.L2TPVPN

D.PPTPVPN

28.以下哪些命令可以用于配置CiscoASA防火墻的訪問控制列表？（）______分

A.access-list

B.configureaccess-list

C.setaccess-list

D.firewallaccess-list

29.以下哪些安全設(shè)備可以用于實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）？（）______分

A.Firewall

B.IDS

C.NAT

D.VPN

30.以下哪些命令可以用于配置CiscoISR的AAA認(rèn)證？（）______分

A.aaaauthentication

B.configureaaaauthentication

C.aaanew-model

D.ipaaaauthentication

三、判斷題（共10分，每題0.5分）

31.VTP（虛擬局域網(wǎng)修剪協(xié)議）可以用于在交換機(jī)上實(shí)現(xiàn)VLAN的動態(tài)配置同步。______分

32.DMZ（隔離區(qū)）通常用于隔離受信任和不受信任的網(wǎng)絡(luò)區(qū)域。______分

33.ACL（訪問控制列表）可以用于實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。______分

34.IPS（入侵防御系統(tǒng)）可以用于檢測和阻止惡意軟件和網(wǎng)絡(luò)攻擊。______分

35.HSRP（熱備份路由協(xié)議）可以用于實(shí)現(xiàn)路由器的冗余備份。______分

36.SSH（安全外殼協(xié)議）可以用于遠(yuǎn)程管理Cisco設(shè)備。______分

37.SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）可以用于監(jiān)控網(wǎng)絡(luò)設(shè)備。______分

38.IPsecVPN可以用于實(shí)現(xiàn)安全的遠(yuǎn)程訪問。______分

39.VLAN（虛擬局域網(wǎng)）可以用于實(shí)現(xiàn)網(wǎng)絡(luò)隔離。______分

40.RedundantDevice可以用于隔離網(wǎng)絡(luò)中的故障設(shè)備。______分

四、填空題（共10空，每空1分，共10分）

41.在配置CiscoASA防火墻時，使用______命令可以查看當(dāng)前應(yīng)用的訪問控制策略。________

42.在配置CiscoIOS安全特性時，使用______命令可以啟用AAA（認(rèn)證、授權(quán)、計費(fèi)）。________

43.在配置HSRP（熱備份路由協(xié)議）時，使用______參數(shù)可以指定優(yōu)先級值。________

44.在配置CiscoISR安全特性時，使用______命令可以配置SSH認(rèn)證。________

45.在配置CiscoPacketTracer中，使用______命令可以配置RIPv2路由協(xié)議。________

46.在配置CiscoASA防火墻時，使用______命令可以啟用狀態(tài)檢測防火墻。________

47.在配置CiscoISR安全特性時，使用______命令可以配置NTP（網(wǎng)絡(luò)時間協(xié)議）服務(wù)器。________

48.在配置CiscoPacketTracer中，使用______命令可以配置ACL（訪問控制列表）。________

49.在配置CiscoISR安全特性時，使用______命令可以配置AAA認(rèn)證方法列表。________

50.在配置CiscoASA防火墻時，使用______命令可以配置NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）。________

五、簡答題（共30分，每題6分）

51.簡述DMZ（隔離區(qū)）的作用及其配置步驟。

52.簡述ACL（訪問控制列表）的工作原理及其應(yīng)用場景。

53.簡述IPS（入侵防御系統(tǒng)）的工作原理及其與IDS（入侵檢測系統(tǒng)）的區(qū)別。

54.簡述HSRP（熱備份路由協(xié)議）的工作原理及其配置步驟。

55.簡述SSH（安全外殼協(xié)議）的工作原理及其優(yōu)勢。

六、案例分析題（共25分，每題25分）

案例背景：

某公司網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

-內(nèi)部網(wǎng)絡(luò)（/24）

-外部網(wǎng)絡(luò)（/8）

-DMZ（/24）

公司要求：

1.在CiscoASA防火墻上配置訪問控制策略，允許內(nèi)部網(wǎng)絡(luò)訪問DMZ，禁止外部網(wǎng)絡(luò)訪問DMZ。

2.在DMZ中配置一臺Web服務(wù)器（00），允許外部網(wǎng)絡(luò)訪問該服務(wù)器。

3.配置NAT，將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公網(wǎng)IP地址。

問題：

1.請給出具體的配置命令。

2.請分析配置過程中的關(guān)鍵步驟和注意事項(xiàng)。

3.請總結(jié)該配置方案的優(yōu)勢和不足。

參考答案及解析

一、單選題

1.C

解析：VTP（虛擬局域網(wǎng)修剪協(xié)議）用于在交換機(jī)上實(shí)現(xiàn)VLAN的動態(tài)配置同步，選項(xiàng)C正確。OSPF、EIGRP、BGP都是路由協(xié)議，不用于VTP配置。

2.A

解析：DMZ（隔離區(qū)）通常用于隔離受信任和不受信任的網(wǎng)絡(luò)區(qū)域，選項(xiàng)A正確。ScreenedSubnet、UntrustworthyNetwork、InternalNetwork都不是標(biāo)準(zhǔn)的網(wǎng)絡(luò)部署模式。

3.B

解析：showpolicy-map命令用于查看當(dāng)前應(yīng)用的訪問控制策略，選項(xiàng)B正確。showaccess-list、showcontext、showinterface命令不用于查看訪問控制策略。

4.C

解析：BufferOverflow（緩沖區(qū)溢出）通常與緩沖區(qū)溢出有關(guān)，選項(xiàng)C正確。SQLInjection、Cross-SiteScripting(XSS)、Man-in-the-Middle都不是與緩沖區(qū)溢出有關(guān)的漏洞類型。

5.C

解析：aaanew-model命令用于啟用AAA（認(rèn)證、授權(quán)、計費(fèi)），選項(xiàng)C正確。enableaaa、configureaaa、aaaauthentication命令不用于啟用AAA。

6.B

解析：IPsecVPN使用IPsec協(xié)議進(jìn)行加密，選項(xiàng)B正確。SSLVPN、L2TPVPN、PPTPVPN都不是使用IPsec協(xié)議進(jìn)行加密的VPN技術(shù)。

7.A

解析：Inbound方向用于匹配從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，選項(xiàng)A正確。Outbound、Both、None都不是正確的方向描述。

8.B

解析：AES（高級加密標(biāo)準(zhǔn)）屬于對稱密鑰加密，選項(xiàng)B正確。RSA、ECC、SHA-256都不是對稱密鑰加密算法。

9.B

解析：priority參數(shù)用于指定HSRP的優(yōu)先級值，選項(xiàng)B正確。ipverify、preempt、track命令不用于指定優(yōu)先級值。

10.C

解析：IPS（入侵防御系統(tǒng)）用于檢測和阻止惡意軟件和網(wǎng)絡(luò)攻擊，選項(xiàng)C正確。Firewall、IDS、ProxyServer都不是專門用于檢測和阻止惡意軟件和網(wǎng)絡(luò)攻擊的設(shè)備。

11.B

解析：username<name>secret<password>命令用于配置SSH認(rèn)證，選項(xiàng)B正確。ipsshauthentication、ipsshkey、cryptossh命令不用于配置SSH認(rèn)證。

12.B

解析：Phishing（網(wǎng)絡(luò)釣魚）屬于社會工程學(xué)攻擊，選項(xiàng)B正確。DDoSAttack、SQLInjection、Zero-DayExploit都不是社會工程學(xué)攻擊。

13.A

解析：setfirewallstateful命令用于啟用狀態(tài)檢測防火墻，選項(xiàng)A正確。enablestatefulfirewall、configurefirewallstateful、firewallstatefulenable命令不用于啟用狀態(tài)檢測防火墻。

14.B

解析：OSPF（開放最短路徑優(yōu)先）用于在路由器之間傳輸路由信息，選項(xiàng)B正確。SNMP、DNS、HTTP都不是用于傳輸路由信息的協(xié)議。

15.D

解析：ipntpserver命令用于配置NTP（網(wǎng)絡(luò)時間協(xié)議）服務(wù)器，選項(xiàng)D正確。ntpserver、configurentp、ntpsource命令不用于配置NTP服務(wù)器。

16.A

解析：IDS（入侵檢測系統(tǒng)）用于監(jiān)控網(wǎng)絡(luò)流量并識別異常行為，選項(xiàng)A正確。IPS、Firewall、VPN都不是專門用于監(jiān)控網(wǎng)絡(luò)流量并識別異常行為的設(shè)備。

17.A

解析：aaaauthenticationdefaultgrouptacacs+命令用于配置AAA認(rèn)證方法列表，選項(xiàng)A正確。configureaaaauthentication、aaaauthenticationmethod、setaaaauthentication命令不用于配置AAA認(rèn)證方法列表。

18.B

解析：Cross-SiteScripting(XSS)（跨站腳本攻擊）與跨站腳本攻擊有關(guān)，選項(xiàng)B正確。SQLInjection、BufferOverflow、Man-in-the-Middle都不是與跨站腳本攻擊有關(guān)的漏洞類型。

19.C

解析：routerrip命令用于配置RIPv2路由協(xié)議，選項(xiàng)C正確。routerripv2、configureripv2、enableripv2命令不用于配置RIPv2路由協(xié)議。

20.D

解析：RedundantDevice（冗余設(shè)備）可以用于隔離網(wǎng)絡(luò)中的故障設(shè)備，選項(xiàng)D正確。Hub、Switch、VLAN都不是用于隔離故障設(shè)備的設(shè)備。

二、多選題

21.ABC

解析：HTTP、FTP、DNS屬于TCP/IP協(xié)議棧的應(yīng)用層協(xié)議，選項(xiàng)ABC正確。TCP屬于傳輸層協(xié)議。

22.AC

解析：Firewall、DMZ可以用于實(shí)現(xiàn)網(wǎng)絡(luò)隔離，選項(xiàng)AC正確。IDS、VLAN都不是用于實(shí)現(xiàn)網(wǎng)絡(luò)隔離的設(shè)備。

23.B

解析：BufferOverflow與緩沖區(qū)溢出有關(guān)，選項(xiàng)B正確。SQLInjection、Cross-SiteScripting(XSS)、Zero-DayExploit都不是與緩沖區(qū)溢出有關(guān)的漏洞類型。

24.AD

解析：showrunning-config、showstartup-config命令可以用于查看CiscoIOS設(shè)備的運(yùn)行配置，選項(xiàng)AD正確。showconfig、showcurrent-config命令不用于查看運(yùn)行配置。

25.AB

解析：IDS、IPS可以用于實(shí)現(xiàn)入侵檢測，選項(xiàng)AB正確。Firewall、VPN都不是專門用于入侵檢測的設(shè)備。

26.ABC

解析：priority、preempt、track參數(shù)可以用于配置HSRP，選項(xiàng)ABC正確。ip參數(shù)不用于配置HSRP。

27.ABCD

解析：IPsecVPN、SSLVPN、L2TPVPN、PPTPVPN都可以用于實(shí)現(xiàn)VPN連接，選項(xiàng)ABCD正確。

28.AC

解析：access-list、setaccess-list命令可以用于配置CiscoASA防火墻的訪問控制列表，選項(xiàng)AC正確。configureaccess-list、firewallaccess-list命令不用于配置訪問控制列表。

29.AC

解析：Firewall、NAT可以用于實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換，選項(xiàng)AC正確。IDS、VPN都不是用于實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換的設(shè)備。

30.AB

解析：aaaauthentication、configureaaaauthentication命令可以用于配置CiscoISR的AAA認(rèn)證，選項(xiàng)AB正確。aaanew-model、ipaaaauthentication命令不用于配置AAA認(rèn)證。

三、判斷題

31.√

解析：VTP（虛擬局域網(wǎng)修剪協(xié)議）可以用于在交換機(jī)上實(shí)現(xiàn)VLAN的動態(tài)配置同步，說法正確。

32.√

解析：DMZ（隔離區(qū)）通常用于隔離受信任和不受信任的網(wǎng)絡(luò)區(qū)域，說法正確。

33.×

解析：ACL（訪問控制列表）用于實(shí)現(xiàn)訪問控制，不用于實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），說法錯誤。

34.√

解析：IPS（入侵防御系統(tǒng)）可以用于檢測和阻止惡意軟件和網(wǎng)絡(luò)攻擊，說法正確。

35.√

解析：HSRP（熱備份路由協(xié)議）可以用于實(shí)現(xiàn)路由器的冗余備份，說法正確。

36.√

解析：SSH（安全外殼協(xié)議）可以用于遠(yuǎn)程管理Cisco設(shè)備，說法正確。

37.√

解析：SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）可以用于監(jiān)控網(wǎng)絡(luò)設(shè)備，說法正確。

38.√

解析：IPsecVPN可以用于實(shí)現(xiàn)安全的遠(yuǎn)程訪問，說法正確。

39.√

解析：VLAN（虛擬局域網(wǎng)）可以用于實(shí)現(xiàn)網(wǎng)絡(luò)隔離，說法正確。

40.×

解析：RedundantDevice（冗余設(shè)備）用于實(shí)現(xiàn)冗余備份，不用于隔離故障設(shè)備，說法錯誤。

四、填空題

41.showpolicy-map

解析：showpolicy-map命令用于查看當(dāng)前應(yīng)用的訪問控制策略。

42.aaanew-model

解析：aaanew-model命令用于啟用AAA（認(rèn)證、授權(quán)、計費(fèi)）。

43.priority

解析：priority參數(shù)用于指定HSRP的優(yōu)先級值。

44.username<name>secret<password>

解析：username<name>secret<password>命令用于配置SSH認(rèn)證。

45.routerrip

解析：routerrip命令用于配置RIPv2路由協(xié)議。

46.setfirewallstateful

解析：setfirewallstateful命令用于啟用狀態(tài)檢測防火墻。

47.ipntpserver

解析：ipntpserver命令用于配置NTP（網(wǎng)絡(luò)時間協(xié)議）服務(wù)器。

48.access-list

解析：access-list命令用于配置ACL（訪問控制列表）。

49.aaaauthentication

解析：aaaauthentication命令用于配置AAA認(rèn)證方法列表。

50.setnat

解析：setnat命令用于配置NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）。

五、簡答題

51.DMZ（隔離區(qū)）的作用是隔離受信任和不受信任的網(wǎng)絡(luò)區(qū)域，通常用于放置需要對外提供服務(wù)的服務(wù)器（如Web服務(wù)器、郵件服務(wù)器等）。配置步驟如下：

1.創(chuàng)建VLAN并配置接口：

```plaintext

configureterminal

vlan10

nameDMZ

exit

interfacegigabitEthernet0/1

switchportmodeaccess

switchportaccessvlan10

exit

```

2.配置防火墻策略：

```plaintext

access-list100permitip5555

access-list100denyipanyany

access-group100ininterfacegigabitEthernet0/1

```

3.配置NAT：

```plaintext

ipnatinsidesourcelist101interfacegigabitEthernet0/0

access-list101permitip55any

```

52.ACL（訪問控制列表）的工作原理是通過匹配數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型、端口號等信息來決定是否允許或拒絕數(shù)據(jù)包通過。應(yīng)用場景包括：

1.防火墻：用于實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制。

2.交換機(jī)：用于實(shí)現(xiàn)VLAN間的訪問控制。

3.路由器：用于實(shí)現(xiàn)路由策略控制。

4.VPN：用于實(shí)現(xiàn)VPN訪問控制。

53.IPS（入侵防御系統(tǒng)）的工作原理是通過實(shí)時監(jiān)控網(wǎng)絡(luò)流量，檢測并阻止惡意軟件和網(wǎng)絡(luò)攻擊。與IDS（入侵檢測系統(tǒng)）的區(qū)別在于：

1.IDS僅檢測和報告網(wǎng)絡(luò)流量中的異常行為，不采取任何行動。

2.IPS在檢測到惡意行為時，會立即采取措施阻止攻擊。

54.HSRP（熱備份路由協(xié)議）的工作原理是通過在多臺路由器之間建立冗余備份關(guān)系，確保在主路由器故障時，備份路由器能夠接管主路由器的角色，保證網(wǎng)絡(luò)的連通性。配置步驟如下：

1.配置接口：

```plaintext

configureterminal

interfacegigabitEthernet0/1

standby1ip54

standby1priority100

standby1preempt

exit

interfacegigabitEthernet0/0

standby1ip54

standby1priority90

standby1preempt

exit

```

2