思科网络学院网络安全(CCNASecurity-CCNAS第4章)VIP免费

1路由器已配置为传统防火墙，入站ACL已应用于外部接口。在检查入站到出站流量并在状态表中创建了新条目后，路由器采取了哪些操作？?当流量从其目的地返回时，将对齐进行重新检查，并将新条目添加到状态表中。?会话终止后，该条目仍保留在状态表中，以便主机可以重用该条目。?动态ACL条目将添加到外部接口的入站方向。?重新配置内部接口ACL以允许主机IP地址访问互联网。2哪个安全工具可在网络流量流入和流出组织时进行监控，并确定数据包属于现有连接还是来自未经授权的来源？?Web安全设备?应用程序代理?入侵防御系统?状态防火墙3出站ACL无法过滤哪种类型的数据包？?广播包??路由器生成的数据包?ICMP数据包?多播数据包4在配置思科IOS基于区域的策略防火墙时，哪两个操作可应用于流量类？（选择两项。）?丢弃?copy?前进?暂候?日志?检查导航条5除了扩展ACL使用的标准之外，传统防火墙使用什么条件来过滤流量？?应用层协议会话信息?TCP/UDP源和目的端口号?源IP地址和目的IP地址?TCP/IP协议号6在实施基于区域的策略防火墙时，关于接口的哪两个规则有效？（选择两项。）?如果两个接口都是同一区域的成员，则将传递所有流量。?如果两个接口都不是区域成员，则操作是传递流量。?如果一个接口是区域成员，但另一个接口不是，则将传递所有流量。?如果两个接口属于同一个区域对并且存在策略，则将传递所有流量。?如果一个接口是区域成员并且存在区域对，则将传递所有流量。导航条7通过CLI配置思科IOS基于区域的策略防火墙时，必须在创建区域后执行哪个步骤？?在区域之间建立策略。?识别区域内的子集。?设计物理基础设施。?为区域分配接口。导航条8在实施入站互联网流量ACL时，应该包含哪些内容以防止内部网络欺骗？?阻止来自私有地址空间的流量的ACE?阻止ICMP流量的ACE?阻止HTTP流量的ACE?阻止SNMP流量的ACE?阻止广播地址流量的ACE9网络管理员正在路由器上同时实施传统防火墙和基于区域的防火墙。下列哪项是对此实施的最佳描述？?这两个模型不能在单个接口上实施。?不能同时使用传统防火墙和基于区域的防火墙。?必须先将接口分配给安全区域，然后才能进行IP检查。?两种模型都必须在所有接口上实施。导航条10?请参见图示。网络"A"包含多台可通过互联网主机进行访问以了解企业相关信息的企业服务器。用于描述标记为"A"的网络的术语是什么？?内网?DMZ?不受信任网络?周边安全边界导航条11?请参见图示。如果外部网络上的黑客发送的IP数据包的源地址为172.30.1.50，目的地址为10.0.0.3，源端口为23，目的端口为2447，那么思科IOS防火墙对数据包的作用是什么？?丢弃初始数据包，但转发后续数据包。?数据包被转发，并生成警报。?系统丢弃此数据包。?数据包被转发，而不生成警报。12?请参见图示。下列哪一项陈述正确描述了ACE的功能？?这些是可选的ACE，可以添加到IPv6ACL的末尾，以允许在名为nd-na和nd-ns的对象组中定义的ICMP消息。?必须手动将这些ACE添加到每个IPv6ACL的末尾，以允许进行IPv6路由。?以下ACE允许IPv6邻居发现流量。?这些ACE自动出现在每个IPv6ACL的末尾，以允许进行IPv6路由。13?请参见图示。ACL语句是路由器上唯一明确配置的语句。根据此信息，可以得出关于远程接入网络连接的哪两个结论？（选择两项。）?允许从192.168.1.0/24网络到192.168.2.0/24网络的Telnet连接。?从192.168.1.0/24网络到192.168.2.0/24网络的Telnet连接被阻止。?允许从192.168.2.0/24网络到192.168.1.0/24网络的SSH连接。?从192.168.1.0/24网络到192.168.2.0/24网络的SSH连接被阻止。?允许从192.168.1.0/24网络到192.168.2.0/24网络的SSH连接。?允许从192.168.2.0/24网络到192.168.1.0/24网络的Telnet连接。导航条14状态防火墙的一个限制是什么？?无法过滤不必要的流量?弱用户认证?日志信息不佳?对基于UDP或ICMP的流量不那么有效导航条15请考虑以下访问列表。access-list100permitiphost192.168.10.1anyaccess-list100denyicmp192.168.10.00.0.0.255anyechoaccess-list100permitipanyany如果该访问列表被置于已分配IP地址192.168.10.254路由器千兆以太网端口上，则会采取两项操作？（选择两项。）?192.168.10.0...