CCNA Exam pratiques de sécurité - 10 Questions sur le jeu de pare-feu IOS

Gagner votre CCNA Security certification est un formidable élan à votre carrière et vos perspectives de carrière! Pour vous aider à préparer à la réussite totale sur le jour de l'examen, voici 10 questions complémentaires sur l'ensemble de pare-feu IOS. Réponses sont à la fin de l'article. Amusez-vous!

1. Définir le terme "zone démilitarisée" que ce qui a trait à la sécurité du réseau, et de nommer trois différents périphériques réseau communs qui sont généralement trouvés là-bas.

2. Identifier les énoncés vrais.

Filtrage de paquets sans état A. considère l'état de connexion TCP.

B. Stateful Packet filtrage considère l'état de connexion TCP.

C. ni apatride ni Stateful Packet filtrage de surveiller l'état de connexion TCP.

D. Les deux paquets apatride et le filtrage dynamique de surveiller l'état de connexion TCP, et de garder une table d'état contenant cette information.

3. T la fonction pare-feu Cisco IOS mis agissent comme un filtre de paquets avec état ou sans état?

4. Lequel des énoncés suivants sont considérés comme faisant partie de l'ensemble IOS fonctionnalité Pare-feu?

A. IOS Firewall
B. Système de prévention des intrusions
RADIUS C.
D. proxy d'authentification
Mot de passe de cryptage E.

5. Identifier les énoncés vrais concernant le proxy d'authentification.

A. Il fait partie de l'Ensemble IOS Firewall Feature.
B. Il permet de créer des profils de sécurité par utilisateur, plutôt que des profils plus généraux.
C. Il permet de créer des profils de sécurité générales, mais pas par utilisateur profils.
Profils D. peuvent être stockées localement, mais pas à distance.
Profils coli peut être stockée sur un serveur RADIUS.
Profils F. peuvent être stockées sur un serveur TACACS +.

6. Configuration des LCA est une partie importante de travailler avec le pare-feu IOS. Qu'est-ce masques génériques sont remplacés dans les ACL par l'hôte mots et tout?

7. Qu'est-ce que le signe du dollar dans la ligne suivante ACL indiquent?

R1 (config) # $ 150 deny ip 172.50.50.0 0.0.0.255 172.50.100.0 0.0.0.255

8. Fondamentalement, comment un pare-feu IOS prévenir une attaque TCP SYN?

9. Que signifie le terme "coup de poing un trou dans le pare-feu» font référence à? (Logiquement, c'est, non pas physiquement.)

10. Que signifie exactement l'option routeur de trafic dans la configuration suivante faire?

R4 (config) # ip inspecter PASSCCNASECURITY nom tcp routeur de trafic
R4 (config) # ip inspecter udp PASSCCNASECURITY nom du routeur du trafic
R4 (config) # ip inspecter PASSCCNASECURITY nom icmp routeur de trafic

Voici les réponses!

1. Il est facile de penser à votre réseau comme «l'intérieur», et tout le reste comme «l'extérieur». Toutefois, nous avons une troisième zone quand il s'agit de pare-feu - la zone démilitarisée.

Du point de vue informatique, la DMZ est la partie de notre réseau qui est exposée à des réseaux extérieurs. Il est fréquent de trouver des dispositifs suivants dans une DMZ:

Serveur FTP
Serveur e-mail
E-Commerce Server
Serveurs DNS
Serveurs Web

2. (B.) de paquets Le filtrage avec état ne surveiller l'état de la connexion, et c'est particulièrement important quand il s'agit de prévenir les attaques TCP. Un pare-feu stateful non seulement de surveiller l'état de la connexion TCP, mais aussi les numéros de séquence. Pare-feu Stateful accomplir cela en gardant une table de session, ou table d'état.

3. Le Cisco IOS Firewall est un filtre stateful.

4. (A, B, D.) Il ya trois composantes principales à l'ensemble IOS fonctionnalité Pare-feu: le pare-feu IOS, le système IPS (Intrusion Prevention), et le proxy d'authentification.

5. (Un proxy, d'authentification B, E, F. T, il nous permet de créer des profils de sécurité qui seront appliquées sur une base par utilisateur, plutôt que d'une base par sous-réseau ou par adresse. Ces profils peuvent être conservés sur une ou l'autre ce qui suit:

Serveur RADIUS

Serveur TACACS +

Une fois l'authentification réussie, la politique de sécurité que l'utilisateur particulier est téléchargé à partir du serveur RADIUS ou TACACS + serveur et appliqués par le routeur pare-feu IOS.

6. Nous avons la possibilité d'utiliser l'hôte mot pour représenter un joker 0.0.0.0. Considérons une configuration où seuls les paquets de la source IP 10.1.1.1 doit être accueilli et tous les autres paquets refusé. Les ACL suivants à la fois le faire.

R3 # conf t

R3 (config) # access-list 6 Permis 10.1.1.1 0.0.0.0

R3 (config) # conf t

R3 (config) # access-list 7 hôte permis 10.1.1.1

Le mot-clé tout peut être utilisé pour représenter un masque joker de 255.255.255.255. Les deux lignes suivantes autoriser tout le trafic.

R3 (config) # access-list 15 permettre à tout

R3 (config) # access-list 15 permis 0.0.0.0 255.255.255.255

Il n'y a pas de «droit» ou «mauvaise» décision à prendre lorsque vous configurez les ACL dans le monde réel. Pour votre examen, si, je serais très familier avec l'utilisation correcte de l'hôte et tout.

7. Le signe dollar indique simplement que le cadre de la commande vous entrez ou la visualisation ne peut pas être affichée car l'entrée est si longue. Cela ne signifie pas la commande est illégal.

8. Le pare-feu IOS peut utiliser tout ou partie des valeurs suivantes pour détecter le moment où une attaque TCP SYN est en cours:

Montant global des sessions TCP incomplète

Nombre de sessions TCP incomplètes dans un certain laps de temps

Nombre de sessions TCP incomplète sur une base par-hôte

Lorsque l'un de ces seuils sont atteints, que ce soit des actions suivantes peuvent être prises:

Bloquer tous les paquets entrants SYN pour une certaine période de temps

Transmettre une TVD pour les deux parties dans la plus ancienne session de incomplète

Nous allons examiner les cas spécifiques dans des tutoriels à venir.

9. Ce terme se réfère simplement à la configuration du pare-feu pour ouvrir un port qui a été précédemment fermé. Ne pas oublier de le fermer lorsque vous n'en avez plus besoin d'être ouvert!

10. Si vous allez inspecter le trafic qui est réellement généré sur le routeur, vous devez inclure l'option routeur-circulation à la fin de cette ip notamment à la vérification déclaration.

Rechercher des examens de Cisco plus pratique de certification et entièrement illustrés de tutoriaux sur mon site!...