当前位置：文档库 › cisco asa5510-K8防火墙实例教程

cisco asa5510-K8防火墙实例教程

cisco ASA5510配置实例

2008年11月11日 07:52

ASA5510# SHOW RUN

: Saved

ASA Version 7.0(6)

hostname ASA5510

enable password 2KFQnbNIdI.2KYOU encrypted

names

dns-guard

interface Ethernet0/0 此接口为外部网络接口

nameif outside 设置为 OUTSIDE 外部接口模式

security-level 0 外部接口模式安全级别为最低 0

ip address 192.168.3.234 255.255.255.0 添加外部IP地址（一般为电信/网通提供）

interface Ethernet0/1此接口为内部网络接口

nameif inside设置为 INSIDE 内部接口模式

security-level 100内部接口模式安全级别最高为 100

ip address 10.1.1.1 255.255.0.0添加内部IP地址

interface Ethernet0/2 没用到

shutdown

no nameif

no security-level

no ip address

interface Management0/0

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0 没用，用网线连接管理的端口。management-only

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

pager lines 24

logging asdm informational

mtu outside 1500

mtu inside 1500

mtu management 1500

no asdm history enable

arp timeout 14400

global (outside) 1 interface 一定要打表示 PAT端口扩展：“1”为其NAT ID nat (inside) 1 10.1.0.0 255.255.0.0 转换所有10.1.0.0 的内部地址

route outside 0.0.0.0 0.0.0.0 192.168.3.254 1 缺省路由

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable 打开http server

http 192.168.1.0 255.255.255.0 management 限定能通过http方式访问防火墙的机器

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 10.1.1.30-10.1.1.200 inside DHCP 自动提供分配范围为10.1.1.30－200

dhcpd address 192.168.1.2-192.168.1.254 management

dhcpd dns 192.168.0.1 DNS 添加：可以是电信网通提供直接添加，或者自己的DNS服务器地址。

dhcpd lease 3600

dhcpd ping_timeout 50

dhcpd domain suzhou.jy 域名

dhcpd enable inside 打开内部网段自动分配

dhcpd enable management

Cryptochecksum:6148633dac00f8f7a3418833f98d5ad4

access-group icmp_in in interface outside 这两句表示，

access-list icmp_in extended permit icmp any any 允许PING包发送或接收: end

关于CISCO asa5510防火墙端口映射配置

2009-05-21 14:18

先进思科防火墙，telnet 192.168.1.254

输入密码：

系统变成ciscoasa>

再输入en回车后

再次输入密码

系统变成ciscoasa#这个时候输入show running-config回车后

可以看到端口E0/0配的外网地址是多少，e0/配的内网地址是多少，和没有配的端口地址。还能看见访问列表access-list。再往下看可以看到具体的网络映射地址。可以看到公网地址的那个端口具体映射到内网地址的那个端口。

回到

ciscoasa#

后在里面输入conf t回车后变成

ciscoasa(config)#在到端口里面，再输入int e0/0命令后就到e0/0端口命令下面状态就变成

ciscoasa(config-if)#在此状态下再次输入

static (inside,outside) tcp 125.76.115.136 5222 192.168.1.132 5222 netmask 255.255.255.255

意思就是公网的5222端口映射到内网的192.168.1.132 的5222端口下面.这个时候命令符又变回

ciscoasa(config)#这个状态。这个时候你再次输入sh ru回车后就能看到自己编辑的端口映射了。然后再次做个访问列表。在

ciscoasa(config)#下面输入access-list outside-inside extended permit tcp any host 125.76.115.136 eq 5222

这个时候你就可以把内网的地址的5222端口映射到公网去了再输入wr写入并保存后，在输入exit就可以退出了

如果端口映射错了，也可以删除掉，具体做法是

在ciscoasa(config)#模式下输入no access-list outside-inside extended permit tcp any host 125.76.115.136 eq 5222就可以先将地址列表中的5222端口删除掉

再到ciscoasa(config)#进入e0/0端口下面输入 int e0/0模式就变成e0/0端口编辑状态下

cisco asa(asa5510 设置)防火墙的配置详解

2010-02-08 10:02

asa5510(config)#

asa5510(config)# show run

: Saved

ASA Version 7.0(7)

hostname asa5510主机名

domain-name https://www.wendangku.net/doc/7112041724.html, 域名

enable password FgQ836L.2fG/AEir encrypted ASDM的登陆密码

names

dns-guard

interface Ethernet0/0 外部接口

nameif outside 接口名

security-level 0

ip address X.X.X.X 255.255.255.248 IP地址

interface Ethernet0/1内部接口

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0 ip地址，内部电脑的网关

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

interface Management0/0

nameif management

security-level 100

ip address 1.1.1.1 255.255.255.0

management-only 管理接口可以关闭默认192.168.1.1

passwd WXjstPgDOxFTLAaA encrypted

ftp mode passive

object-group network Public 定义一个IP组组名为Public （做ACL的时候可以方便减少ACL条目、这里做的是IP组，其实还可以基于服务来做个组，）network-object host 192.168.1.2定义组内的IP

network-object host 192.168.1.3

network-object host 192.168.1.4

network-object host 192.168.1.5

network-object host 192.168.1.6

network-object host 192.168.1.7 这些组里的IP在后面将被引用

access-list 102 extended permit icmp any any

access-list 102 extended permit ip any any定义ACl

access-list 111 extended permit ip host 192.168.1.16 any

access-list 111 extended permit ip object-group Public any 定义ACL 注意这里的源地址引用的是一个我们前面定义的地址组，

access-list 111 extended deny ip any any 这里是拒绝所有，大家应该知道我的ACL的意思了吧，拒绝所有人上网。上面允许的除外

pager lines 24

logging asdm informational

mtu outside 1500

mtu inside 1500

mtu management 1500

asdm image disk0:/asdm-507.bin 指定ASDM路径，开启ASDM的命令之一，至于ASDM版本，大家可以DIR的命令来查看到，

no asdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 nAT转换，吧内部接口的所有IP转换到外部的公网IP，让所有内部IP可以上网，

access-group 102 in interface outside

access-group 111 in interface inside 这2个是引用前面定义的ACL一个外部接口一个内部接口如果没和我一样的只允许部分IP上网的需求的可以不要INSIDE的ACL以及ACL 111的条目

route outside 0.0.0.0 0.0.0.0 xx.x.x.x 1外部的默认路由 x.x.x.x为公网的网关

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

username cisco1 password W0ATeFBkCO3ErmVn encrypted privilege 15(asdm SSH登陆用户名和密码)

aaa authentication ssh console LOCAL (SSH 登陆启用本地认证,就是上面的cisco1)

http server enable(激活ASDM)

http 0.0.0.0 0.0.0.0 outside

http 0.0.0.0 0.0.0.0 inside(在外部和内部借口上启用ASDM)

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart telnet 0.0.0.0 0.0.0.0 inside启用内部的TELNET

telnet timeout 5

ssh 0.0.0.0 0.0.0.0 outside

ssh 0.0.0.0 0.0.0.0 inside(起用内部和外部接口的SSH) ssh timeout 30

ssh version 2 SSH版本2

console timeout 0

class-map inspection_default

match default-inspection-traffic

policy-map global_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp

inspect h323 h225

inspect h323 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

service-policy global_policy global Cryptochecksum:5ee69c74afd48da59841097fe14670ad

: end

ASA 5510 基本配置

caihuashe# show version

Cisco Adaptive Security Appliance Software Version 7.2(3)

Detected an old ASDM version.

You will need to upgrade it before using ASDM.

Compiled on Wed 15-Aug-07 16:08 by builders

System image file is "disk0:/asa723-k8.bin"

Config file at boot was "startup-config"

caihuashe up 358 days 0 hours

Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz Internal ATA Compact Flash, 256MB

BIOS Flash M50FW080 @ 0xffe00000, 1024KB

Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)

Boot microcode : CNlite-MC-Boot-Cisco-1.2

SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03

IPSec microcode : CNlite-MC-IPSECm-MAIN-2.04

0: Ext: Ethernet0/0 : address is 001d.70df.2cfc, irq 9

1: Ext: Ethernet0/1 : address is 001d.70df.2cfd, irq 9

2: Ext: Ethernet0/2 : address is 001d.70df.2cfe, irq 9

3: Ext: Ethernet0/3 : address is 001d.70df.2cff, irq 9

4: Ext: Management0/0 : address is 001d.70df.2d00, irq 11

5: Int: Not used : irq 11

6: Int: Not used : irq 5

Licensed features for this platform:

Maximum Physical Interfaces : Unlimited

Maximum VLANs : 100

Inside Hosts : Unlimited

Failover : Active/Active

VPN-DES : Enabled

VPN-3DES-AES : Enabled

Security Contexts : 2

GTP/GPRS : Disabled

VPN Peers : 250

WebVPN Peers : 2

This platform has an ASA 5510 Security Plus license.

从上面的硬件和ios，其实硬件配置并不高档，比我们用的普通电脑的档次低多了，我觉得其关键在于其稳定性好、ios系统强；现在市面上也出现一些网友用自己旧PC组装的防火墙，功能和性能也不错，如M0N0、pfsense等；

1.首先配置防火墙的端口一般会配置两个端口一个inside口一个outside口，asa5510有4个网络口，我们可随便使用那个口来设置inside口和outside口，关键在在于配置端口上面来确定是怎样的出口；

interface Ethernet0/0

speed 100

duplex full

nameif outside 设置外网口

security-level 0 安全级别0-100

ip address 192.168.55.2 255.255.255.252

interface Ethernet0/1

nameif inside 设置内网口

security-level 100 安全级别最高100

ip address 192.168.3.1 255.255.255.0

2.配置基本的访问策略；

access-group WAN_access_in in interface outside 定义外网口访问策略群组

access-group IN_access_WAN in interface inside 定义内网口访问策略群组

access-list IN_access_WAN extended permit ip 192.168.9.0 255.255.255.0 any 增加内网口出去的访问策略

access-list IN_access_WAN extended permit tcp 192.168.9.0 255.255.255.0 any 增加内网口出去的访问策略

access-list WAN_access_in extended permit tcp host 222.66.97.193 host 202.104.151.* eq 8317 增加一般的主机访问策略，允许ip 222.66.97.193 访问ip 202.104.151.* eq 8317

3.配置nat

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) 58.251.130.* 192.168.9.50 netmask 255.255.255.255 一对一NAT

static (inside,outside) 58.251.130.* 192.168.9.52 netmask 255.255.255.255

static (inside,outside) 58.251.130.* 192.168.9.53 netmask 255.255.255.255

4.配置默认网关也就是默认路由

route outside 0.0.0.0 0.0.0.0 10.90.22.1 1

防火墙基础

一、防火墙概述 1. 防火墙概述防火墙的主要作用是划分网络安全边界，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击。与路由器相比防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率。由于防火墙用于安全边界，因此往往兼备NAT、VPN等功能，并且在这方面的相比路由器更加强劲。我司防火墙：Eudemon系列 2. 防火墙分类包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每个包

都需要进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（application gateway）代理型防火墙使得防火墙做为一个访问的中间节点，对客户端来说防火墙是一个服务器，对服务器来说防火墙是一个客户端。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。状态检测防火墙状态检测是一种高级通信过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙二、防火墙的基础知识点 1. 安全区域（Zone）的概念安全区域（Security Zone），或者简称为区域（Zone），是一个安全概念，大部分的安全策略都基于安全区域实施。我们在防火墙上创建安全区域，并且定义该安全去区域的安全级别，然后将防火墙的接口关联到一个安全区域，那么该接口所连接的这个网络，就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。 Eudemon认为在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。

防火墙基础知识

防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包，拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP Filtering 功能，这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注：只检查包头的内容，不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基

础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接，则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种： .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤有些类型的攻击很难用基本包头信息加以鉴别，因为这些独立于服务。一些Router可以用来防止这类攻击，但过滤规则需要增加一些信息，而这些信息只有通过以下方式才能获

CIW网络安全基础与防火墙试卷(第三套)

一、单项选择题(本大题共15小题，每小题2分，共30分) 一．单选题a b d c a a b a a d b a c d c 二．多选题abcd P1-15 abc P3-10 abc P4-12 abcd P4-28 abcd P6-15 abcd P6-16 abcd P7-3 abcd P7-4 abc P7-18 abcd P9-3 abcd P9-6 abc P3-10 abd P cd abcd P8-4 三．判断题1 0 1 1 1 0 0 1 1 0 1 1 1 1 0 1.（ A ）使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么漏洞？。 A拒绝服务 B. 文件共享 C. BIND漏洞 D.远程过程调用 2.（ B ）使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用？ A访问控制列表 B.执行控制列表 C.身份验证D:数据加密 3.（D ）针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是哪种防火墙的特点？ A. 包过滤型; B. 应用级网关型; C. 复合型防火墙; D. 代理服务型 4.（ C ）计算机犯罪的统计数字都表明计算机安全问题主要来源于 A.黑客攻击; B. 计算机病毒侵袭; C. 系统内部; D. 信息辐射 5.（ A ）下列协议中哪个是VPN常用的安全协议? A. PPTP B. SSL C.帧中继 D.TLS 6.（ A ）电路级网关是以下哪一种软/硬件的类型? A.防火墙; B.入侵检测软件; C.端口; D.商业支付程序 7.（ B ）随着网络中用户数量的增长,Internet连接需求也不断增加,在考虑改善网络性能时,以下哪个是应该考虑的部分? A WINS服务器; B. 代理服务器; C. DHCP服务器; D.目录服务器 8.（ A ）哪种加密方式是使用一个共享的密钥? A.对称加密技术 B.非对称加密技术; C. HASH算法; D.公共密钥加密术; 页脚内容

win7防火墙设置指南、多重作用防火墙策略以及设置方法

win7防火墙设置指南、多重作用防火墙策略以及设置方法 214小游戏https://www.wendangku.net/doc/7112041724.html,/ windows XP集成防火强常被视为鸡肋，不过随着vista和WIN7的发布，微软对于防火墙的两次升级让windows的firewall不再是系统的累赘，特别是win7的firewall，强悍的功能让微软的防火墙也有了“专业”的味道。本文就教大家来了解一下windows7下的 firewall设置以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。Windows Firewall的演变过程。一、windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息，拦截任何不是由你主动发启入站连接的软件－－它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista Firewall 是建立在一个新的Windows Filtering Platform （WFP、Windows过滤平台）上、并通过Advanced Security MMC嵌入式管理单元添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调，使其更具可用性，尤其针对移动计算机，更是舔加了对多重作用防火墙策略的支持。二、windows 7 firewall（防火墙）设置方法与Vista相同的是，可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是，你还可以通过访问控制面板的方式对其进行高级配置（包括对出站连接过滤器的配置），而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。更多的网络配置 Vista firewall允许你去选择是在公共网格上还是在专用网络中，而在Windows 7中你有三个选择－－公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。如果你选择了“家庭网络”选项，你将可以建立一个“家庭组”。在这种环境中，“网路发现”会自动启动，你将可以看到网络中其它的计算机和设备，同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中，你还可以排除它们。如果你选择的是“工作网络”，“网路发现”同样会自动启动，但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域（通过控制面板－－系统和安全－－系统－－高级系统配置－－计算机名选项卡）并通过DC验证，那么防火墙将自动识别网络类型为域环境网络。而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi 网络时的适当选择，“网路发现”将默认关闭，这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。在全部的网络模式中，Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。多重作用防火墙策略在Vista中，尽管你有公用网络和私用网络两个配置文件，但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况，那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上，这意味着你可能无法在本地（私用）网络中做你想做的事，因为你是在公用网络在规则下操作。而在Windows 7 （和 Server 2008 R2）中，不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配，而与公用网络之间的流量则应用公用网络规则。起作用的是那些不显眼的小事在很多事例中，更好的可用性往往取决于小的改变，MS听取了用户的意见并将一些“不

防火墙基础知识

(一) 防火墙概念防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反，防火墙是一种获取安全性的方法；它有助于实施一个比较广泛的安全性政策，用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替静态口令的先进验证)来说，防火墙是该政策的具体实施。防火墙系统的主要用途就是控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处，但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。防火墙基本上是一个独立的进程或一组紧密结合的进程，运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说，防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关，它能实施安全路障并为管理人员提供对下列问题的答案： * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?

Cisco ASA5505防火墙详细配置教程及实际配置案例

Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS

网络安全基础与防火墙

1.防火墙对数据包进行状态检测过滤时，不可以进行检测过滤的是:D 源和目的IP地址;源和目的端口;IP协议号;数据包中的内容 2. 防火墙对要保护的服务器作端口映射的好处是:D 便于管理;提高防火墙的性能;提高服务器的利用率;隐藏服务器的网络结构，使服务器更加安全 3. 内网用户通过防火墙访问公众网中的地址需要对源地址进行转换，规则中的动作应选择：B Allow;NAT;SAT;FwdFast 4. 输入法漏洞通过什么端口实现的？D 21;23;445;3389 5. 不属于常见把被入侵主机的信息发送给攻击者的方法是：D E-MAIL;UDP;ICMP;连接入侵主机 6. 公司的WEB服务器受到来自某个IP地址的黑客反复攻击,你的主管要求你通过防火墙来阻止来自那个地址的所有连接,以保护WEB服务器,那么你应该选择哪一种防火墙?A 包过滤型;应用级网关型;复合型防火墙;代理服务型 7. 关于防火墙发展历程下面描述正确的是:A 第一阶段：基于路由器的防火墙; 第二阶段：用户化的防火墙工具集;第三阶段：具有安全操作系统的防火墙;第四阶段：基于通用操作系统防火墙 8. 防火墙能够:B 防范恶意的知情者;防范通过它的恶意连接;防备新的网络安全问题;完全防止传送己被病毒感染的软件和文件 9. 关于入侵检测技术，下列哪一项描述是错误的？A 入侵检测系统不对系统或网络造成任何影响;审计数据或系统日志信息是入侵检测系统的一项主要信息来源;入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵;基于网络的入侵检测系统无法检查加密的数据流 10. 安全扫描可以实现:C 弥补由于认证机制薄弱带来的问题;弥补由于协议本身而产生的问题;弥补防火墙对内网安全威胁检测不足的问题;扫描检测所有的数据包攻击，分析所有的数据流 11. 关于安全审计目的描述错误的是:D 识别和分析未经授权的动作或攻击;记录用户活动和系统管理;将动作归结到为其负责的实体;实现对安全事件的应急响应 12. 安全审计跟踪是: 安全审计系统检测并追踪安全事件的过程;安全审计系统收集并易于安全审计的数据;人利用日志信息进行安全事件分析和追溯的过程;对计算机系统中的某种行为的详尽跟踪和观察13. 以下哪一个最好的描述了数字证书？A 等同于在网络上证明个人和公司身份的身份证;浏览器的一标准特性，它使得黑客不能得知用户的身份;网站要求用户使用用户名和密码登陆的安全机制;伴随在线交易证明购买的收据14. 保证信息不能被未经授权者阅读,这需要用到:A 加密;数字签名;消息摘要;身份验证 15. DNS服务使用的端口是:C 21;80;53;20 16. 以下关于Cookies的说话正确的是：D Cookies是一个图形文件;Cookies会包含可被用户激活的病毒;Cookies会在用户计算机上占用大量空间;Cookies被放在HTTP请求头部发送

实验：防火墙基本配置

实验七交换机基本配置一、实验目的（1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。实验设备与器材熟悉交换机开机界面；（2）掌握Quidway S系列中低端交换机几种常用配置方法；（3）掌握Quidway S系列中低端交换机基本配置命令。二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。交换机，标准Console配置线。三、实验内容学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。预备知识 1、防火墙防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。访问控制列表(Access Control List )的作用访问控制列表可以用于防火墙；访问控制列表可用于Qos（Quality of Service），对数据流量进行控制；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。一个IP数据包如下图所示（图中IP所承载的上层协议为TCP） ACL示意图 ACL的分类按照访问控制列表的用途，可以分为四类： ●基本的访问控制列表（basic acl） ●高级的访问控制列表（advanced acl） ●基于接口的访问控制列表（interface-based acl） ●基于MAC的访问控制列表（mac-based acl）访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目防火墙的配置包括：

思科ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置准备工作：准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名，比如“ASA”,单击确定。选择连接时使用的COM口，单击确定。点击还原为默认值。点击确定以后就可能用串口来配置防火墙了。在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。在串口下输入以下命令： ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框，单击“是” 输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。出现也下对话框，点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本)，进入https://www.wendangku.net/doc/7112041724.html,下载安装，安装完后点击下面的“R un ASDM as a Java Applet ”。出现以下对话框，点击“是”。出现以下对话框，输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“是”。出现以下对话框，点击“是”。进入ASDM管理器。这样就可以通过ASDM来配置防火墙了。以后就可以直接使用ASDM来管理防火墙了。

CIW网络安全基础与防火墙试卷(第三套)

《CIW网络安全基础与防火墙》模拟试卷一、单项选择题(本大题共15小题，每小题2分，共30分) 一．单选题 a b d c a a b a a d b a c d c 二．多选题abcd P1-15 abc P3-10 abc P4-12 abcd P4-28 abcd P6-15 abcd P6-16 abcd P7-3 abcd P7-4 abc P7-18 abcd P9-3 abcd P9-6 abc P3-10 abd P cd abcd P8-4 三．判断题 1 0 1 1 1 0 0 1 1 0 1 1 1 1 0 1.（ A ）使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么漏洞？。 A拒绝服务 B. 文件共享 C. BIND漏洞 D.远程过程调用 2.（ B ）使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用？ A访问控制列表 B.执行控制列表 C.身份验证D:数据加密 3.（D ）针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是哪种防火墙的特点？ A. 包过滤型; B. 应用级网关型; C. 复合型防火墙; D. 代理服务型 4.（ C ）计算机犯罪的统计数字都表明计算机安全问题主要来源于 A.黑客攻击; B. 计算机病毒侵袭; C. 系统内部; D. 信息辐射 5.（ A ）下列协议中哪个是VPN常用的安全协议? A. PPTP B. SSL C.帧中继 D.TLS 6.（ A ）电路级网关是以下哪一种软/硬件的类型? A.防火墙; B.入侵检测软件; C.端口; D.商业支付程序 7.（ B ）随着网络中用户数量的增长,Internet连接需求也不断增加,在考虑改善网络性能时,以下哪个是应该考虑的部分? A WINS服务器; B. 代理服务器; C. DHCP服务器; D.目录服务器 8.（ A ）哪种加密方式是使用一个共享的密钥? A.对称加密技术 B.非对称加密技术; C. HASH算法; D.公共密钥加密术; 9.（A ）公司财务人员需要定期通过Email发送文件给他的主管,他希望只有主管能查阅该邮件,可以采取什么方法? A.加密; B.数字签名; C.消息摘要; D.身份验证 10.（D ）下列不属于WEB管理员的管理工作的是: A.监视WEB服务器性能; B.确保站点安全; C.维护站点更新链接等; D.根据站点的发展升级软件 11.（ B ）下列证书不使用X.509v3标准的是: A.服务器证书; B.数字证书; C.个人证书; D.发行者证书 12.（ A ）以下代理服务器哪个可被Linux客户端使用? A. Microsoft proxy; B. FTP proxy; C. Winsock proxy; D. SOCKS proxy. 13.（ C ）用户希望在Windows 2000上配置文件的审核功能,首先应该做什么? A.扩大磁盘容量 B.使用FAT32格式化磁盘 C.使用NTFS格式化磁盘 D.使用RAID5 14.（ D ）以下哪个命令或工具可以使用户从远程终端登录系统? A. HOST; B. Finger; C. SetRequest; D.Telnet 15.（ C ）防止盗用IP行为是利用防火墙的什么功能？ A.防御攻击的功能; B.访问控制功能; C. IP地址和MAC地址绑定功能; D. URL过滤功能二、多选题(本大题共15小题，每空3分，共45分) 16.（ABCD ）网络安全工作的目标包括：第1页，共8页

【最新推荐】关于电脑防火墙设置方法-推荐word版 (1页)

【最新推荐】关于电脑防火墙设置方法-推荐word版本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！ == 本文为word格式，下载后可方便编辑和修改！ == 关于电脑防火墙设置方法导语：为防止电脑被其他的一些病毒入侵，一般要开启防火墙设置。以下是小编收集的有关电脑技巧的知识，希望对您有所帮助。步骤1、首先需要了解电脑防火墙的位置，最简单的办法就是进入控制面板，找到windows 防火墙，打开就可以进入到具体设置页面。 2、打开电脑windows防火墙后，如果仅仅是想禁用或者启用防火墙，那么直接选定“启用”或者“关闭”，然后确定就可以了。 3、启用防火墙之后，如果想让一些软件可以进行网络连接，对另外一些程序和服务禁用网络连接，那么可以在电脑windows防火墙中选择例外菜单，如果要禁用已经联网的程序或服务，只需将勾选去除，按确定就可以了。 4、如果有一些需要的程序或服务没有在例外列表中，而防火墙又是开启的，那么这部分程序和服务就不能连接外网。添加方法如下，点击例外菜单下的添加程序按钮，然后在新窗口列表中选择要添加的程序，选择确定保存就可以了。 5、如果你设置了很多例外，到最后都想取消，取消一些不当的操作，只需要将防火墙还原为默认值就可以了，选择防火墙高级菜单，点击“还原为默认值”按钮即可。 6、还原后，也就是说以后有程序和服务要访问网络时，都会被阻止，这时需要在例外菜单中设置“防火墙阻止程序时通知我”，这样就可以通过辨别来对某些有用的程序放行了。 7、最后建议将防火墙一直开着，这是保护电脑不被利用的有利防线。

防火墙基础知识

防火墙基础知识一、防火墙与路由器的异同： 1、防火墙的登陆管理方式及基本配置是一样，有的防火墙多一个 DMZ端口。 2、路由器只能简单的路由策略，防火墙具备强大的访问控制：分组对象。 3、路由器是默认的端口是开放的，防火墙的端口默认的常见端口外都是关闭的。二、防火墙的登陆方式: 1、console口，路由器的登陆方式一样 2、telnet登陆，需要设置 3、SSH登陆，同telnet登陆一样三、防火墙的用户模式： 1、用户模式：PIX525> 2、特权模式PIX525# 3、全局配置模式PIX525（config）# 4、局部配置模式PIX525（config-if）# 四、防火墙基本配置 1、接口配置防火墙PIX525默认的的有3个端口，外网口、内网口、DMZ 端口，主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0

nameif outside security-level 0 ip address 218.28.202.97 255.255.255.0 duplex full 2、访问控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ access-list allownet extended permit ip host 192.168.0.123 object-group msn 3、设置网关地址 route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关 route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关路由的网关设置 Ip route 0.0.0.0 0.0.0.0 218.28.202.110 4、端口重定向 PIX525（config）# object-group service word TCP PIX525（config-if）port-object eq 8866 先在服务的对象分组中开放一个端口，在全局模式下 static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255

CiscoASAFailover防火墙冗余

Failover Failover是思科防火墙一种高可用技术，能在防火墙发生故障时数秒内转移配置到另一台设备，使网络保持畅通，达到设备级冗余的目的。原理前提需要两台设备型号一样（型号、内存、接口等），通过一条链路连接到对端（这个连接也叫）。该技术用到的两台设备分为Active设备（Primary）和Stanby设备（Secondary）,这种冗余也可以叫AS模式。活跃机器处于在线工作状态，备用处于实时监控活跃设备是否正常。当主用设备发生故障后（接口down，设备断电），备用设备可及时替换，替换为Avtive的角色。Failover启用后，Primary 设备会同步配置文件文件到Secondary设备，这个时候也不能在Scondary添加配置，配置必须在Active进行。远程管理Failover设备时，登录的始终是active设备这一点一定要注意，可以通过命令（show failover）查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步，比如NAT转换需要再次建立。配置Active设备： interface Ethernet0 nameif outside security-level 0 ip address standby //standby为备份设备地址

interface Ethernet1 nameif inside security-level 100 ip address standby ASA1(config)# failover lan unit primary //指定设备的角色主 ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名，可自定义 ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址 ASA1(config)# failover lan key xxxx //配置Failover 认证对端 ASA1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错；将一个接口指定为failover 接口后，再show inter 的时候，该接口就显示为：interface Ethernet3 description LAN Failover Interface //确保接口up 配置standby设备： ASA2(config)# inte Ethernet3 ASA2(configif)# no shutdown ASA2(configif)# exit

防火墙基础知识与配置

防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙，用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙，它是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设备（IBM6000、普通PC等）运行。它用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止一些非法的访问，保护自己的网络安全。现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进出的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行访问。

防火墙发展至今已经历经三代，分类方法也各式各样，例如按照形态划分可以分为硬件防火墙及软件防火墙；按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说，最主流的划分方法是按照处理方式进行分类。防火墙按照处理方式可以分为以下三类：包过滤防火墙包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL, Access Control List）实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。包过滤防火墙的设计简单，非常易于实现，而且价格便宜。包过滤防火墙的缺点主要表现以下几点： 1. 随着ACL 复杂度和长度的增加，其过滤性能呈指数下降趋势。 2. 静态的ACL 规则难以适应动态的安全要求。

防火墙的工作技术分类与基础原理介绍

防火墙的工作技术分类与基础原理介绍防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。这篇文章主要介绍了防火墙的工作技术分类与基础原理,需要的朋友可以参考下具体介绍防火墙是指设置在不同网络如可信任的企业内部网和不可信的公共网或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。防火墙技术分类防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包通常是大量的数据包通过散列算法，直接进行状态检查，从而使得性能得到了较大提高;而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。 1. 包过滤技术包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的

CiscoASA防火墙nat配置示例

ASA的NAT配置 1.nat-control命令解释 pix7.0版本前默认为nat-control,并且不可以更改 pix7.0版本后默认为no nat-control。可以类似路由器一样，直接走路由；如果启用nat-control，那就与pix7.0版本前同。 2.配置动态nat 把内部网段：172.16.25.0/24 转换成为一个外部的地址池 200.1.1.1-200.1.1.99 NAT配置命令 ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池）注意：id必须匹配，并且大于1，这里先使用1 检测命令： ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置PAT 把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149 NAT配置命令 ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 2 200.1.1.149 （定义地址） ASA(config)# global (outside) 2 interface（或者直接转换为外网接口地址）注意：id必须匹配，并且大于2，这里先使用2 4.配置static NAT 把内部网段：172.16.27.27/24 转换成为一个外部的一个地址：200.1.1.100 NAT配置命令 ASA(config)# static (inside,outside) 200.1.1.100 172.16.27.27 命令格式是内外对应的，红色的接口和红色的地址对应。实际工作中的应用： static主要是为内部服务器提供服务，如：web、ftp、telnet、mail等等。 access-list WEB perminttcp any host 200.1.1.100 eq 80 access-list WEB in interface outside 应用ACL ASA(config)# static (inside,outside) tcp 200.1.1.100 80 172.16.27.27 80 ASA(config)# static (inside,outside) tcp interface 80 172.16.27.27 80 5.防止DOS攻击防止外部对172.16.27.27/24 的攻击 ASA(config)# static (inside,outside) 200.1.1.100 172.16.27.27 tcp 100 1000 udp 1000 tcp 100 1000:表示正常tcp连接最大数量为100，半开连接最大的数量为1000。 udp 1000：表示正常udp连接最大的数量为1000，具体值设置为多少需要按工作中而定。 6.route配置网关：200.1.1.254 LAN的网关：172.16.25.2/24

CIW模拟试题----网络安全基础与防火墙2010-11)

CIW模拟试题----网络安全基础与防火墙试卷类型：客观（单选、多选、判断）创建试卷时间：2006-11-1 14:12:13 一、单选题（每题2分，共25 题）题号: 1)空气湿度过低对计算机造成的危害体现在： C A、使线路间的绝缘度降低，容易漏电 B、容易产生腐蚀，导致电路工作不可靠 C、容易产生静电积累，容易损坏半导体芯片和使存储器件中的数据丢失 D、计算机运行程序的速度明显变慢题号: 2)以下哪一个最好的描述了数字证书？A A、等同于在网络上证明个人和公司身份的身份证 B、浏览器的一标准特性，它使得黑客不能得知用户的身份 C、网站要求用户使用用户名和密码登陆的安全机制 D、伴随在线交易证明购买的收据题号: 3)在以下操作中，哪项不会传播计算机病毒？ C A、将别人使用的软件复制到自己的计算机中 B、通过计算机网络与他人交流软件 C、将自己的软盘与可能有病毒的软盘存放在一起 D、在自己的计算机上使用其他人的软盘题号: 4)包过滤工作在OSI模型的哪一层？A、表示层B、传输层C、网络层D、数据链路层题号: 5) 安全审计跟踪是: A、安全审计系统检测并追踪安全事件的过程 B、安全审计系统收集并易于安全审计的数据 C、人利用日志信息进行安全事件分析和追溯的过程 D、对计算机系统中的某种行为的详尽跟踪和观察题号: 6) TELNET协议主要应用于哪一层？ A、应用层 B、传输层 C、Internet层 D、网络层题号: 7) 如果内部网络的地址网段为192.168.1.0/24 ，需要用到下列哪个功能，才能使用户上网？ A、地址学习 B、地址转换 C、IP地址和MAC地址绑定功能 D、URL过滤功能题号: 8) WEB站点的管理员决定让站点使用SSL,那他得将WEB服务器监听的端口改为: A、80 B、119 C、443 D、433 题号: 9) 密码技术中,识别个人、网络上的机器或机构的技术称为： A、认证 B、数字签名 C、签名识别 D、解密题号: 10) 一个用户通过验证登录后,系统需要确定该用户可以做些什么,这项服务是？ A、认证 B、访问控制 C、不可否定性 D、数据完整性题号: 11) Windows NT主机推荐使用什么文件系统？A、FAT32 B、NTFS C、FAT D、EXT2 题号: 12)抵御电子邮箱入侵措施中，不正确的是： A、不用生日做密码 B、不要使用少于5位的密码 C、不要使用纯数字 D、自己做服务器题号: 13) SSL加密的过程包括以下步骤:①通过验证以后，所有数据通过密钥进行加密，使用DEC和RC4加密进行加密。②随后客户端随机生成一个对称密钥。③信息通过HASH加密，或者一次性加密（MD5/SHA）进行完整性确认。④客户端和服务器协商建立加密通道的特定算法。 A、④③①② B、④①③② C、④②③① D、④②①③ 题号: 14) 从事计算机系统及网络安全技术研究，并接收、检查、处理相关安全事件的服务性组织称为： A、CERT B、SANS C、ISSA D、OSCE 题号: 15) 用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段？ A、缓存溢出攻击 B、钓鱼攻击 C、暗门攻击 D、DDOS攻击题号: 16) 为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是： A、IDS B、防火墙 C、杀毒软件 D、路由器题号: 17) 在公钥密码体制中，用于加密的密钥为：A、公钥B、私钥C、公钥与私钥D、公钥或私钥题号: 18) IPSEC能提供对数据包的加密,与它联合运用的技术是: A、SSL B、PPTP C、L2TP D、VPN 题号: 19) 关于屏蔽子网防火墙,下列说法错误的是: A、屏蔽子网防火墙是几种防火墙类型中最安全的 B、屏蔽子网防火墙既支持应用级网关也支持电路级网关 C、内部网对于Internet来说是不可见的 D、内部用户可以不通过DMZ直接访问Internet 题号: 20) 在访问因特网过程中，为了防止Web页面中恶意代码对自己计算机的损害，可以采取以下哪种防范措施？ A、利用SSL访问Web站点 B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域 C、在浏览器中安装数字证书 D、要求Web站点安装数字证书