一、单选题

1.关于网络安全性优化的内容，下列哪个选项是错误的?

管理安全

边界安全

访问控制

日志管理

2.如图所示，网络管理员为了抵御DHcP Server仿冒者攻击，在交换机上部署了DHcp snoping功能，那么以下哪一个接口应该被设置为DHCP信任接口

GE0/0/2
GE0/0/4
GE0/0/3
GE0/0/1

3.以下哪一选项不是IPSG可以设置的检查项?

IP地址

出接口

MAC地址

VLAN ID

4.关于IPSG下列说法错误的是?

IPSG可以防范IP地址欺骗攻击

IPSG是一种基于三层接口的源IP地址过滤技术

IPSG可以开启IP报文检查告警功能，联动网管进行告警

可以通过IPSG防止主机私自更改IP地址

5.下列关于IPSG的描述中，哪一项是错误的?

IPSG可以根据静态ARP表项进行IP包的过滤

IPSG可以开启IP报文检查告警功能，联动网管进行告警

IPSG是一种基于二层接口的源IP地址过滤技术

可以通过IPSG防止主机私自更改IP地址

6.如图所示，SW3是网络中的用户网关及DHCPRelay，管理员准备在SW3上部署DHCP Snoeping功能预防DHCP攻击。那么在SW3上不需要配置以下哪一条命令?

[SW3-GigabitEthernet0/0/2] dhcp snooping enable
[SW3-GigabitEthernet0/0/3]dhcp snooping trusted
[sW3]dhcp snooping enable ipv4
[Sw3-GigabitEthernet0/0/1]dhcp snooping enable

7.中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害，且在内网中比较常见。为了防止中间人攻击或IP/MAc spoofing攻击，可以采取的配置方法有

开启DHCP Snooping检查DHCP REQUEST报文中CHADDR字段的功能

限制交换机接口上允许学习到的最多MAC地址数目

配置Trusted/Untrusted接囗

在交换机上配置DHCP Snooping与DAI或IPSG进行联动

单远题 142/805、网络工程师发现局域网中的某些交换机频繁的删除MAC地址表项和ARP表项，那么您建议他部署以

下哪种功能，避免该现象出现?

根保护

B防TC-BPDU攻击

BPDU保护

环路保护

若使能了端口安全功能后，缺省情况下，接口学习的MAC地址数量是多少?

5

1

15

10

交换机的端口安全特性支持的保护动作不包括以下哪一项?

Shutdown

Trap

Restrict

Protect

如图，某工程师利用3台路由器进行IPv6业务测试，他想要通过运行OSPFV3实现IPv6网络的互联

若使能了接口sticky MAC功能后，缺省情况下，接口学习的MAC地址数量是多少?

15

5

10

1

MACsec可为用户提供安全的MAC层数据发送和接收服务。下列哪项不属于MACsec可提供的服务?

用户数据加密

完整性检查

数据源真实性校验

用户身份认证

管理员在交换机上配置了端口安全功能，并且将端口安全的保护动作设置为了restrict。那么当交换机端口上安全MAC地址数达到限制后，收到源MAC地址不存在的报文时，会执行以下哪一个动作?

只丢弃该报文，但不上报告警

将接口状态置为error-down，并上报告警

继续接收该报文，并将该报文的源MAC记录为安全动态IAC地址

丢弃该报文，并上报告警

网络工程师发现局域网中的某些交换机频繁的删除MAC地址表项和ARP表项，那么您建议他部署以下哪种功能，避免该现象出现?

根保护

防TC-BPDU攻击

BPDU保护

环路保护

安全MAC地址可以执行的安全保护动作不包括以下哪项?

Protect

Restrict

Shutdown

Remark

缺省情况下，以下哪种安全MAC地址类型在设备重启后表项会丢失?

黑洞MAC地址

Sticky MAC地址

安全动态MAC地址

安全静态MAC地址

ASPF(Application specific Packet Fiter)是种基于应用层的包过滤，它会检查应用层协议信息并且监控链接的应用层协议状态，并通过Server Map表实现了特殊的安全机制，那么关于ASPF和Server map表的说法，错误的是

ASPF监视通信过程中的报文

BASPF动态创建和删除过滤规则

ASPF通过Server map表实现动态允许多通道协议数据通过

五元组里Server-map表项实现了和会话表类似的功能

二、多远题

1.中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害，且在内网中比较常见，为了防止中间人攻击或IP/MACSpoofing攻击，可以采取以下哪些配置手段?

限制交换机接口上允许学习到的最多MAC地址数目

开启DHCP Snooping检查DHCP REOUEST报文中CHADDR字段的功能

在交换机上配置DHCP Snooping与IPSG进行联动

在交换机上配置DHCP Snooping与DAl进行联动

2.信息安全最关心的三个属性是什么?

机密性(confidentiality)

完整性(integrity)

可用性(availability)

身份验证(authentication)

配置DHCP Snooping可以用来防止仿写者攻击，那么配置过程中需要包含以下哪些步骤?

使能全局DHCP Snooping功能

使能全局DHCP功能

配置接口信任状态

使能接口或VLAN的DHCP Snooping功能

为了防止仿冒DHCP服务器接入网络，可以在交换机上开启DHCP Snooping功能，配置步骤包括以下哪些选项?

使能接口的IPSG功能

配置接口信任状态

使能接口或VLAN的DHCP Snooping功能

便能全局DHCP功能

IPSG能够防御IP地址欺骗攻击，那么以下关于IPSG的描述，错误的有哪些项?
IPSG可以利用DHCP Snooping绑定表对报文进行匹配检查

IPSG可以匹配检查主机发送的IP、ARP、PPPOE等报文

IPSG支持在二层物理接口或者VLAN上应用，也支持在三层物理接口或VLANIF等逻辑接口上应用

IPSG的信任接口/非信任接口就是DHCP Snooping中的信任接口/非信任接口

网络管理员在交换机上部署了IPSG功能来预防IP地址欺骗攻击，那么在如图所示的设备接口中，哪些接口收到报文后不会执行IPSG检查?

GEO/0/1
GEO/0/4
GEO/0/3
GEO/0/2

如图所示，网络管理员在交换机上部署了DHCP Snooping信任功能，其中GEO/0/2口为信任接GEO/0/3口为非信任接口。那么以下关于这两个接口的描述，正确的有哪些项?

当交换机从GEO/0/2口收到DHCP请求报文时，会将报文从GEO/0/3口转发出去
当交换机从GEO/0/2口收到DHCP响应报文时，会将报文从GEO/0/1口转发出去
当交换机从GEO/0/3口收到DHCP响应报文时，会将报文从GEO/0/1口转发出去
当交换机从GEO/0/3口收到DHCP请求报文时，会将报文从GEO/0/2口转发出去

信息安全体系是()三者的互动。

人员

管理

技术

设备

IPSG可以设置哪些检查项?

MAC地址

出接口

VLAN ID

IP地址

三、判断题

为了防止黑客通过MAC地址攻击用户设备或网络，可将非信任用户的MAC地址配置为黑洞MAC地址，过滤掉非法MAC地址。当且仅当设备收到源MAC地址为黑洞MAC地址的报文，直接丢弃。

为了防止黑客通过MAC地址攻击用户设备或网络，可将非信任用户的MAC地址配置为黑洞MAC地址，过滤掉非法MAC。√

IPSG是一种基于三层接口的源IP地址过滤技术，它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机访问合法网络资源的行为。√

、为防止攻击者伪造BGP报文对设备进行攻击，可以通过配置GTS功能检测IP报文头中的TIL值的范围来对设备进行保护。如果某台设备配置了“peer x.x.x.x valid-tt1-hops 100”，则被检测的报文的TTL值有效范围为【155.255】×

四、简答题

为防止攻击者伪造BGP报文对设备进行攻击，可以通过配置GTSM功能检测IP报文头中的TTL值的范围来对设备进行保护。如果某台设备配置了'peer x.x.x.x valid-tt1-hops100”，则被检测的报文的TTL值有效范围为{，255}。

156

网络管理员在接入交换机上部署IPSG功能来预防IP地址欺骗攻击，那么他需要在交换机的接口视图或0视图中使能IP报文检查功能。(若填写英文，请所有字母大写)

VLAN