CCIE sec面试题防火墙阴影选取复制.docx
《CCIE sec面试题防火墙阴影选取复制.docx》由会员分享,可在线阅读,更多相关《CCIE sec面试题防火墙阴影选取复制.docx(27页珍藏版)》请在冰点文库上搜索。
![CCIE sec面试题防火墙阴影选取复制.docx](https://file1.bingdoc.com/fileroot1/2023-5/16/c1374be8-96e7-4d4a-9e5c-9001d0b57c41/c1374be8-96e7-4d4a-9e5c-9001d0b57c411.gif)
CCIEsec面试题防火墙阴影选取复制
题目一:
图一:
10:
01showconn
202.1.1.1------x.x.x.x234
202.1.1.1------x.x.x.x323
图二:
shun202.1.1.1
描述:
10:
02发现很多TCPSYN连接,怀疑是攻击,然后使用shun来解决
图三:
10:
06
showconn
202.1.1.1------x.x.x.x5234
202.1.1.1------x.x.x.x5323
问:
这个主机能够进入多少个newconnections
答:
nonewconnections(2009.6.15晚11点18分)
题目二:
shun172.21.72.88cnt=988211time=0:
10:
10
shun202.1.1.1cnt=0time=10:
10:
11
shun202.10.1.2cnt=2211time=0:
03:
38
shun209.131.1.188cnt=10080time=23:
11:
12
shun10.1.2.2cnt=2009time=12:
1:
1
ferociouslyattack10.1.1.1inpast24hours
问:
是谁在24小时之内攻击了10.1.1.1
答:
172.21.72.88(注意:
只写地址,不要写成shun172.21.72.88。
有学员这么写,不得分)
(2010年5月18日下午5点17分)
题目三:
(内部文档P18)
¸øÁ˸öͼ£º
ÎÊ£ºÊ²Ã´ÊÇxʲôÊÇy
´ð£ºyissystemexecutionspaceandxisadmincontext£¨2009Äê6ÔÂ18ÈÕÍí23£º00£©
题目四:
(内部文档P65)
Cisco有一种可以配置在ASA上的用于防范SYNCflood攻击的技术
问:
这种技术的名称(也许还有别的)
答:
tcpintercept(2006年6月23日00点01分)
题目五:
a.currentxlateentries
b.Nat0+access-list
+subnetaddress
c.Static+address1access-list
+address1address2
d.NATnumberaddress+globalnumberdynamicnatentries
问:
上述NAT的优先顺序怎么排的?
答:
bacd(2006年6月25日11点10分)
nat0+acloutbound方向进natipinbound进
题目六:
请在ASA上找出下列正则表达式的正确写法,以匹配这个扩展名.gif
regextestregex"\.gif"
regextestregex"*.\.gif"
regextestregex"*+.\.gif"
答:
regextestregex"\.gif"(2009年6月26日晚23点40分)
2010年10月修改
regextestregex".*\.gif"(
题目七:
问:
AssumingthatauniqueMACisnotallowed,whatmustbeconfigureontheASAinorderforthemulticontexshardinterfacetoworkasshow?
答:
usestaticorglobalcommandtoconfigureaglobaladdressforeachdevice(2010年2月8日下午6:
21)
Uniqueinterface(2010年9月)
注意,题目有可能这么问:
WhendeployingtheCiscoASAfirewallinmulti-contextusingsharedinterfaces,thepacketclassifierfunctionisusedtodeterminethecorrectcontextpaththepacketwilltraverse.Namethethreecriteriathatthepacketclassifierfunctionusesintherightorderofselection.
答:
(2010年4月20日下午1点25分)
(1)Uniqueinterface
(2)UniqueMACaddress
(3)NATconfiguration
当部署在多上下文的思科ASA防火墙使用共享的接口,数据包分类器的功能是用来确定正确的上下文路径的数据包将遍历。
名称的三个标准,包分类功能的使用
题目八:
Static(insid,outside)10.1.1.110.1.1.1
Access-list101permittcpanyhost10.1.1.1eq2002
Access-list101permiticmpanyany
Access-group101ininterfaceoutside
AremoteadministratorcannotbringupACSGUIfrombroweranddoes’trecevice.
ASAinterfaceup.
UserpingACSOK.
Noroutingissue.
问:
Whatmightneedtobedonetoovercomethisissue?
答:
access-list101permittcpanyhost10.1.1.1range102465535(2009年7月8日下午15:
18分)
2010年10月19是个变种答案基本不变!
题目九:
问:
NAT-T通过ASA的端口号是多少?
答:
udp4500(2009年7月10日下午16:
55分)
题目十:
看图,本技术不加载服务器memory,请问是什么技术?
(内部文档P67)
答:
TCPsyncookies(2010年5月18日下午5:
08分)
如果是路由器就是tcpintercept不消耗内存的是intercept模式,消耗内存的是watchmode
题目十一:
(内部文档P35)
ASADefault_policy好像是考察(注意是好像是)*****实在没有记清楚
policy-mapglobal_policy
classinspection_default
inspecth323h225
inspecth323ras
inspectnetbios
inspectrsh
inspectrtsp
inspectskinny
inspectesmtp
inspectsqlnet
inspectsunrpc
inspecttftp
inspectsip
inspectxdmcp
注:
问题里边有howmay的关键字
问:
wolf估计是问此默认mpf的功能
答:
Defaultglobal_policyInordertosecurelyandproperlytransmitlegitimateclient-serverapplicationsandservicesthroughthefirewall,thedefaultglobalpolicymatchesalldefaultinspectedapplicationtrafficandappliescertaininspectionstothetrafficonallinterfaces.(2009年8月18日凌晨00:
01分)
legitimate[liˈdʒitimit]
a.合情合理的;合法的vt.使合法
以下是北京学员在2010年1月15日考试题目:
给了下面一段描述:
ModularPolicyFramework(MPF)
Firewallsoftwareoffersanadaptableandscalablemodularpolicyframeworktoconfigure
SecurityAppliancefeaturesinamannersimilartoCiscoIOSSoftwareQoSCLI(alsoknownasModularQoSCLI-MQC).Fortrafficflowstraversingthefirewall,flow-basedpolicies
canbeestablishedforanyadministrativelydefinedcriteriaandthenappliedtoasetof
securityservices,suchasfirewallpolicies,inspectionenginepolicies,QualityofService
(QoS)policies,VPNpolicies,eachspecifiedtrafficflowprovidingmoregranularand
flexibleinspectioncontrol.
防火墙软件提供了一个适应性和可扩展的模块化的政策框架,配置安全设备的功能,其方式类似于CiscoIOS软件的QoSCLI的(也称为模块化的QoSCLI的MQC的已知)。
对于流量穿越防火墙,流量为基础的政策可以建立任何行政规定的标准,然后应用,如防火墙的安全政策服务,设置,检查发动机的政策,服务质量(QoS)策略,虚拟专用网的政策,每指定的交通流提供更细致的控制和灵活的检查。
YoucanapplythePolicyGloballytoAllInterfaces.Howmanypoliciescanbeappliedtoeachinterfaces?
答:
onlyone.(2010年1月15日晚23:
14分)
题目十二:
(内部文档P13)
问:
asa的objectgroup有哪些
答:
Network
Protocol
ICMP-Type
service
(2009年8月24日下午4:
02分)
题目十三:
做FO,那些必须相同?
(题目一共给了7项选择)
答:
考官书描述
*Bethesamemodel
*Havethesamenumberandtypesofinterfaces
*HavethesameamountofFlashmemory,andthesameamountofRAM
*Beinthesameoperatingmode(routedortransparent,singleormultiplecontext)
*Havesamemajor(firstnumber)andminor(secondnumber)softwareversion;forexample,withversion8.0(3),thenumber3,whichisintheparenthesis,canvarybetweenthetwodevices,but8.0mustbesame.
(2009年8月10日下午23:
12分)
2010年1月12日学员考试题:
下面是ASA做Failover时的要求,请问是否正确:
1)samehardwareconfiguration//这个有变化
2)samemodel
2)samesoftwareversion
3)samenumbersofinterfaceandinterfacetype
4)sameflash
5)sameRAM//不是哪个扯淡的DRAM了
6)sameoperatingmode
答:
不正确(2010年8月12日晚上22:
46分)
题目十四:
问:
IfyouhaveonASA2-context'sand7-VLANinterfaceshowmanycanbeDMZ?
答:
可能会是3、5、7、10、14里的任意一种!
要看题目是否提到shareinterface没有
(2009年7月2日下午3点23分)
2010年3月9日学员考试如下:
modemultiple
!
contextadmin
allocate-interfacevlan100
config-urldisk0:
/admin.cfg
!
contextctx1
allocate-interfacerangevlan10-vlan15
config-urldisk0:
/ctx1.cfg
!
contextctx2
allocate-interfacerangevlan20-vlan21
config-urldisk0:
/ctx2.cfg
问:
HowmanyDMZinterfacesinthectx1?
答:
4(2010年3月9日晚上10点02分)
题目十五:
下面是ASA做Failover时的要求,请问是否正确:
1)samehardwaremodel
2)samesoftwareversion
3)samenumbersofinterfaceandinterfacetype
4)sameflash
5)sameDRAM
6)sameoperatingmode
答:
不正确(2009年9月13日晚上10点25分)
题目十六:
(内部文档P49)
考试的时候3写的是?
问:
上图里?
部分该写什么?
答:
existingconn(2009年8月24日下午4点49分)
题目十七:
A:
有xlate表,originalpacket怎么处理
B:
有配置static没有xlate表,originalpacket怎么处理
1.查staticcreatxlatebutnoroutingtablelookup
2.查conntable,butnoroutingtablelookup
3.查xlate表,butnoroutinglookup
4.查xlate表
问:
A对应哪个;B对应哪个?
答:
A对应3B对应1(2009年8月19日下午4点54分)
题目十八:
在GETVPN中,要让GM成功注册到KS
问:
防火墙上要打开什么协议和端口?
答:
udp协议848端口(2009年8月24日下午4点54分)
题目十九:
问:
ASA上的qosfeature,保证每个flow不能超过最大带宽,问是什么feature实现?
答:
policing(2010年5月26日中午12点57分)
题目二十:
asamulticontext,两个context使用同一个端口,
问:
回来的流量是如何区分进入那个context的接口的?
答:
UniqueMACAddressorAddressTranslation(2009年9月9日下午4点03分)
题目二十一:
OnASAQosPolicy,whichfeaturecancertaintrafficflow(suchasvoice,video)
aheadofothertraffic?
答:
priorityQueueing(2010年2月1日晚上10点38分)
policingqueueing
prirotyqueueing
Trafficshaping
题目二十二:
nat(inside)010.1.1.0255.255.255.0
问:
canbulitconncetonbothside,fromoutsideandinside?
?
?
答:
wrong(2009年9月16日下午5点53分)
题目二十三:
问:
tcpsequencerandomhowtowork?
答:
randomizestheISNoftheTCPSYNpassinginboththeinboundandoutbounddirections.protecthijackingthenewsession
随机化的TCP的SYN经过入站和出站方向.保护通过新的会话劫持
(2009年9月16日下午6点03分)
附:
ISN--初始序列号
题目二十四:
access-list102permittcpanyho192.168.1.1
class-mapconn
matchaccess-group102
policy-mapconn
class-mapconn
setconnenteb1
service-policyconnininterfaceoutside
问:
whattechnologythesameeffectwiththeASAMPFtechnologyinASA?
答:
static(2010年2月1日晚上10点48分)
题目二十五:
policy-mapgobal_policy已经应用到global,其它policy-map就不能再应用到global.
问:
其它policy如何应用到每个接口?
答:
usethe“Serivce-policypolicy-mapinterfaceinterface-name”applythepolicymaptoallinterfaces(2009年10月8日下午4点55分)
题目二十六:
问:
BPDU,MPLS能不能通过防火墙,如果能为什么.不能的话怎么解决?
答:
cannot,usetheether-typeaclpermitBPDUandMPLStrafficthroughthetransparentfirewall(2009年10月8日下午5点37分)
题目二十七:
问:
在透明防火墙下什么流量可以不受限制通过防火墙,和什么样的地址可以通过!
答:
ARP(2009年10月8日下午5点43分)
附录:
ThefollowingdestinationMACaddressesareallowedthroughthetransparentfirewall.AnyMAC
addressnotonthislistisdropped.
•TRUEbroadcastdestinationMACaddressequaltoFFFF.FFFF.FFFF
•IPv4multicastMACaddressesfrom0100.5E00.0000to0100.5EFE.FFFF
•IPv6multicastMACaddressesfrom3333.0000.0000to3333.FFFF.FFFF
•BPDUmulticastaddressequalto0100.0CCC.CCCD
•AppletalkmulticastMACaddressesfrom0900.0700.0000to0900.07FF.FFFF
题目二十八:
问:
ASAstaticroutetrackingcanonlybeusedinsingleroutedmode.对还是错?
答:
right(2009年10月27日下午4点57分)
2010年5月7日北京wolf学员考试如下:
问:
RoutetrackcansupportbyASAinwhichmode?
(singleormultiple&transparentorroute)
答:
single&routemode(2010年5月10日下午4点55分)
题目二十九:
处于outside接口的设备要和inside的设备进行NTP同步
问:
在outside接口要放什么流量?
答:
udpport123(2009年11月18日晚上10点58分)
题目三十:
nat(inside)010.176.4.0255.255.255.0
问:
从inside接口和outside接口发起的初始化链接能够穿越防火墙么?
答:
Thesessioninitializedfrominsideshouldbepassthrough,butnotinitializedfromoutside.(2010年2月8日下午6点02分)
题目三十一:
在ASA5505上
A.thevlaninterfacesinroutedmode3
B.thevlaninterfacesintransparentmode1
问:
下面那个是对的?
1.MACaddressareunique
2.MACaddressare802.1Qtag
3.MACaddressaresame
4.noneedmacaddress
答:
A:
3
B:
1
ASA8.0配置指南P112
VLANMACAddressesInroutedfirewallmode,allVLANinterfacesshareaMACaddress.Ensurethatanyconnectedswitchescansupportthisscenario.IftheconnectedswitchesrequireuniqueMACaddresses,youcanmanuallyassignMACaddresses.
Intransparentfirewallmode,eachVLANhasauniqueMACaddress.YoucanoverridethegeneratedMACaddresses