CCIE sec面试题防火墙阴影选取复制.docx

CCIE sec面试题防火墙阴影选取复制.docx

《CCIE sec面试题防火墙阴影选取复制.docx》由会员分享，可在线阅读，更多相关《CCIE sec面试题防火墙阴影选取复制.docx（27页珍藏版）》请在冰点文库上搜索。

CCIEsec面试题防火墙阴影选取复制

题目一：

图一:

10:

01showconn

202.1.1.1------x.x.x.x234

202.1.1.1------x.x.x.x323

图二:

shun202.1.1.1

描述:

10:

02发现很多TCPSYN连接，怀疑是攻击，然后使用shun来解决

图三:

10:

06

showconn

202.1.1.1------x.x.x.x5234

202.1.1.1------x.x.x.x5323

问：

这个主机能够进入多少个newconnections

答:

nonewconnections（2009.6.15晚11点18分）

题目二：

shun172.21.72.88cnt=988211time=0:

10:

10

shun202.1.1.1cnt=0time=10:

10:

11

shun202.10.1.2cnt=2211time=0:

03:

38

shun209.131.1.188cnt=10080time=23:

11:

12

shun10.1.2.2cnt=2009time=12:

1:

1

ferociouslyattack10.1.1.1inpast24hours

问：

是谁在24小时之内攻击了10.1.1.1

答：

172.21.72.88（注意：

只写地址，不要写成shun172.21.72.88。

有学员这么写，不得分）

（2010年5月18日下午5点17分）

题目三：

（内部文档P18）

¸øÁ˸öͼ£º

ÎÊ£ºÊ²Ã´ÊÇxʲôÊÇy

´ð£ºyissystemexecutionspaceandxisadmincontext£¨2009Äê6ÔÂ18ÈÕÍí23£º00£©

题目四：

（内部文档P65）

Cisco有一种可以配置在ASA上的用于防范SYNCflood攻击的技术

问：

这种技术的名称（也许还有别的）

答：

tcpintercept（2006年6月23日00点01分）

题目五：

a.currentxlateentries

b.Nat0+access-list

+subnetaddress

c.Static+address1access-list

+address1address2

d.NATnumberaddress+globalnumberdynamicnatentries

问：

上述NAT的优先顺序怎么排的？

答：

bacd（2006年6月25日11点10分）

nat0+acloutbound方向进natipinbound进

题目六：

请在ASA上找出下列正则表达式的正确写法，以匹配这个扩展名.gif

regextestregex"\.gif"

regextestregex"*.\.gif"

regextestregex"*+.\.gif"

答：

regextestregex"\.gif"（2009年6月26日晚23点40分）

2010年10月修改

regextestregex".*\.gif"（

题目七：

问：

AssumingthatauniqueMACisnotallowed,whatmustbeconfigureontheASAinorderforthemulticontexshardinterfacetoworkasshow?

答：

usestaticorglobalcommandtoconfigureaglobaladdressforeachdevice（2010年2月8日下午6：

21）

Uniqueinterface（2010年9月）

注意，题目有可能这么问：

WhendeployingtheCiscoASAfirewallinmulti-contextusingsharedinterfaces,thepacketclassifierfunctionisusedtodeterminethecorrectcontextpaththepacketwilltraverse.Namethethreecriteriathatthepacketclassifierfunctionusesintherightorderofselection.

答：

（2010年4月20日下午1点25分）

（1）Uniqueinterface

（2）UniqueMACaddress

（3）NATconfiguration

当部署在多上下文的思科ASA防火墙使用共享的接口，数据包分类器的功能是用来确定正确的上下文路径的数据包将遍历。

名称的三个标准，包分类功能的使用

题目八：

Static（insid,outside）10.1.1.110.1.1.1

Access-list101permittcpanyhost10.1.1.1eq2002

Access-list101permiticmpanyany

Access-group101ininterfaceoutside

AremoteadministratorcannotbringupACSGUIfrombroweranddoes’trecevice.

ASAinterfaceup.

UserpingACSOK.

Noroutingissue.

问：

Whatmightneedtobedonetoovercomethisissue?

答：

access-list101permittcpanyhost10.1.1.1range102465535（2009年7月8日下午15：

18分）

2010年10月19是个变种答案基本不变！

题目九：

问：

NAT-T通过ASA的端口号是多少？

答：

udp4500（2009年7月10日下午16：

55分）

题目十：

看图，本技术不加载服务器memory，请问是什么技术？

（内部文档P67）

答：

TCPsyncookies（2010年5月18日下午5：

08分）

如果是路由器就是tcpintercept不消耗内存的是intercept模式，消耗内存的是watchmode

题目十一：

（内部文档P35）

ASADefault_policy好像是考察（注意是好像是）*****实在没有记清楚

policy-mapglobal_policy

classinspection_default

inspecth323h225

inspecth323ras

inspectnetbios

inspectrsh

inspectrtsp

inspectskinny

inspectesmtp

inspectsqlnet

inspectsunrpc

inspecttftp

inspectsip

inspectxdmcp

注：

问题里边有howmay的关键字

问：

wolf估计是问此默认mpf的功能

答：

Defaultglobal_policyInordertosecurelyandproperlytransmitlegitimateclient-serverapplicationsandservicesthroughthefirewall,thedefaultglobalpolicymatchesalldefaultinspectedapplicationtrafficandappliescertaininspectionstothetrafficonallinterfaces.（2009年8月18日凌晨00：

01分）

legitimate[liˈdʒitimit]

a.合情合理的；合法的vt.使合法

以下是北京学员在2010年1月15日考试题目：

给了下面一段描述：

ModularPolicyFramework（MPF）

Firewallsoftwareoffersanadaptableandscalablemodularpolicyframeworktoconfigure

SecurityAppliancefeaturesinamannersimilartoCiscoIOSSoftwareQoSCLI（alsoknownasModularQoSCLI-MQC）.Fortrafficflowstraversingthefirewall,flow-basedpolicies

canbeestablishedforanyadministrativelydefinedcriteriaandthenappliedtoasetof

securityservices,suchasfirewallpolicies,inspectionenginepolicies,QualityofService

（QoS）policies,VPNpolicies,eachspecifiedtrafficflowprovidingmoregranularand

flexibleinspectioncontrol.

防火墙软件提供了一个适应性和可扩展的模块化的政策框架，配置安全设备的功能，其方式类似于CiscoIOS软件的QoSCLI的（也称为模块化的QoSCLI的MQC的已知）。

对于流量穿越防火墙，流量为基础的政策可以建立任何行政规定的标准，然后应用，如防火墙的安全政策服务，设置，检查发动机的政策，服务质量（QoS）策略，虚拟专用网的政策，每指定的交通流提供更细致的控制和灵活的检查。

YoucanapplythePolicyGloballytoAllInterfaces.Howmanypoliciescanbeappliedtoeachinterfaces?

答：

onlyone.（2010年1月15日晚23：

14分）

题目十二：

（内部文档P13）

问：

asa的objectgroup有哪些

答：

Network

Protocol

ICMP-Type

service

（2009年8月24日下午4：

02分）

题目十三：

做FO，那些必须相同？

（题目一共给了7项选择）

答：

考官书描述

*Bethesamemodel

*Havethesamenumberandtypesofinterfaces

*HavethesameamountofFlashmemory,andthesameamountofRAM

*Beinthesameoperatingmode（routedortransparent,singleormultiplecontext）

*Havesamemajor（firstnumber）andminor（secondnumber）softwareversion;forexample,withversion8.0（3）,thenumber3,whichisintheparenthesis,canvarybetweenthetwodevices,but8.0mustbesame.

（2009年8月10日下午23：

12分）

2010年1月12日学员考试题：

下面是ASA做Failover时的要求，请问是否正确：

1）samehardwareconfiguration//这个有变化

2）samemodel

2）samesoftwareversion

3）samenumbersofinterfaceandinterfacetype

4）sameflash

5）sameRAM//不是哪个扯淡的DRAM了

6）sameoperatingmode

答：

不正确（2010年8月12日晚上22：

46分）

题目十四：

问：

IfyouhaveonASA2-context'sand7-VLANinterfaceshowmanycanbeDMZ?

答：

可能会是3、5、7、10、14里的任意一种！

要看题目是否提到shareinterface没有

（2009年7月2日下午3点23分）

2010年3月9日学员考试如下：

modemultiple

!

contextadmin

allocate-interfacevlan100

config-urldisk0:

/admin.cfg

!

contextctx1

allocate-interfacerangevlan10-vlan15

config-urldisk0:

/ctx1.cfg

!

contextctx2

allocate-interfacerangevlan20-vlan21

config-urldisk0:

/ctx2.cfg

问：

HowmanyDMZinterfacesinthectx1?

答：

4（2010年3月9日晚上10点02分）

题目十五：

下面是ASA做Failover时的要求，请问是否正确：

1）samehardwaremodel

2）samesoftwareversion

3）samenumbersofinterfaceandinterfacetype

4）sameflash

5）sameDRAM

6）sameoperatingmode

答：

不正确（2009年9月13日晚上10点25分）

题目十六：

（内部文档P49）

考试的时候3写的是?

问：

上图里?

部分该写什么？

答：

existingconn（2009年8月24日下午4点49分）

题目十七：

A：

有xlate表，originalpacket怎么处理

B：

有配置static没有xlate表，originalpacket怎么处理

1.查staticcreatxlatebutnoroutingtablelookup

2.查conntable，butnoroutingtablelookup

3.查xlate表，butnoroutinglookup

4.查xlate表

问：

A对应哪个；B对应哪个？

答：

A对应3B对应1（2009年8月19日下午4点54分）

题目十八：

在GETVPN中，要让GM成功注册到KS

问：

防火墙上要打开什么协议和端口？

答：

udp协议848端口（2009年8月24日下午4点54分）

题目十九：

问：

ASA上的qosfeature，保证每个flow不能超过最大带宽，问是什么feature实现？

答：

policing（2010年5月26日中午12点57分）

题目二十：

asamulticontext，两个context使用同一个端口，

问：

回来的流量是如何区分进入那个context的接口的？

答：

UniqueMACAddressorAddressTranslation（2009年9月9日下午4点03分）

题目二十一：

OnASAQosPolicy，whichfeaturecancertaintrafficflow（suchasvoice,video）

aheadofothertraffic?

答：

priorityQueueing（2010年2月1日晚上10点38分）

policingqueueing

prirotyqueueing

Trafficshaping

题目二十二：

nat（inside）010.1.1.0255.255.255.0

问：

canbulitconncetonbothside,fromoutsideandinside?

?

?

答：

wrong（2009年9月16日下午5点53分）

题目二十三：

问：

tcpsequencerandomhowtowork?

答：

randomizestheISNoftheTCPSYNpassinginboththeinboundandoutbounddirections.protecthijackingthenewsession

随机化的TCP的SYN经过入站和出站方向.保护通过新的会话劫持

（2009年9月16日下午6点03分）

附：

ISN--初始序列号

题目二十四：

access-list102permittcpanyho192.168.1.1

class-mapconn

matchaccess-group102

policy-mapconn

class-mapconn

setconnenteb1

service-policyconnininterfaceoutside

问：

whattechnologythesameeffectwiththeASAMPFtechnologyinASA?

答：

static（2010年2月1日晚上10点48分）

题目二十五：

policy-mapgobal_policy已经应用到global，其它policy-map就不能再应用到global.

问：

其它policy如何应用到每个接口？

答：

usethe“Serivce-policypolicy-mapinterfaceinterface-name”applythepolicymaptoallinterfaces（2009年10月8日下午4点55分）

题目二十六：

问：

BPDU,MPLS能不能通过防火墙,如果能为什么.不能的话怎么解决?

答：

cannot,usetheether-typeaclpermitBPDUandMPLStrafficthroughthetransparentfirewall（2009年10月8日下午5点37分）

题目二十七：

问：

在透明防火墙下什么流量可以不受限制通过防火墙,和什么样的地址可以通过!

答：

ARP（2009年10月8日下午5点43分）

附录：

ThefollowingdestinationMACaddressesareallowedthroughthetransparentfirewall.AnyMAC

addressnotonthislistisdropped.

•TRUEbroadcastdestinationMACaddressequaltoFFFF.FFFF.FFFF

•IPv4multicastMACaddressesfrom0100.5E00.0000to0100.5EFE.FFFF

•IPv6multicastMACaddressesfrom3333.0000.0000to3333.FFFF.FFFF

•BPDUmulticastaddressequalto0100.0CCC.CCCD

•AppletalkmulticastMACaddressesfrom0900.0700.0000to0900.07FF.FFFF

题目二十八：

问：

ASAstaticroutetrackingcanonlybeusedinsingleroutedmode.对还是错？

答：

right（2009年10月27日下午4点57分）

2010年5月7日北京wolf学员考试如下：

问：

RoutetrackcansupportbyASAinwhichmode?

（singleormultiple&transparentorroute）

答：

single&routemode（2010年5月10日下午4点55分）

题目二十九：

处于outside接口的设备要和inside的设备进行NTP同步

问：

在outside接口要放什么流量？

答：

udpport123（2009年11月18日晚上10点58分）

题目三十：

nat（inside）010.176.4.0255.255.255.0

问：

从inside接口和outside接口发起的初始化链接能够穿越防火墙么？

答：

Thesessioninitializedfrominsideshouldbepassthrough,butnotinitializedfromoutside.（2010年2月8日下午6点02分）

题目三十一：

在ASA5505上

A.thevlaninterfacesinroutedmode3

B.thevlaninterfacesintransparentmode1

问：

下面那个是对的？

1.MACaddressareunique

2.MACaddressare802.1Qtag

3.MACaddressaresame

4.noneedmacaddress

答：

A:

3

B:

1

ASA8.0配置指南P112

VLANMACAddressesInroutedfirewallmode,allVLANinterfacesshareaMACaddress.Ensurethatanyconnectedswitchescansupportthisscenario.IftheconnectedswitchesrequireuniqueMACaddresses,youcanmanuallyassignMACaddresses.

Intransparentfirewallmode,eachVLANhasauniqueMACaddress.YoucanoverridethegeneratedMACaddresses