CCNAセキュリティの実践試験 - IOSファイアウォールの設定で10の質問

あなたのCCNAのセキュリティ認定を獲得すると、あなたのキャリアとあなたのキャリアの見通しへの多大なブーストです！あなたは試験日の総成功のための準備を支援するために、ここでIOSファイアウォールのセットで10の無料の質問があります。答えは記事の最後にあります。お楽しみください！

1。それはネットワークセキュリティに関係している用語 "DMZ"を定義し、通常はそこにあるされている3つの異なる一般的なネットワークデバイスに名前を付けます。

2。真文を識別します。

A.ステートレスのパケットフィルタリングは、TCP接続状態を考慮します。

B.ステートフルパケットフィルタリングは、TCP接続の状態を考慮します。

C.ステートレスでもステートフルのどちらのパケットはTCP接続の状態を監視、フィルタリング。

フィルタリングD.ステートレスとステートフルの両方のパケットはTCP接続の状態を監視し、その情報を含む状態テーブルを保持します。

3。 Cisco IOSファイアウォールの機能は、ステートフルまたはステートレスのパケットフィルタとしての行為を設定していますか？

4。次のうちどれIOSファイアウォールフィーチャセットの一部と考えられていますか？

A. IOSファイアウォール
B.侵入防御システム
C.のRADIUS
D.認証プロキシ
E.パスワードの暗号化

5。認証プロキシについての真のステートメントを識別します。

A.それはIOSファイアウォールフィーチャセットの一部です。
B.それは、ユーザごとのセキュリティプロファイルの作成ではなく、より一般的なプロファイルを可能にします。
C.それは一般的なセキュリティプロファイルの作成ではなく、ユーザごとのプロファイルを可能にします。
D.プロファイルがローカルに格納されているではなく、リモートすることができます。
E.プロファイルは、RADIUSサーバ上で保存することができます。
F.プロファイルは、TACACS +サーバ上に保存することができます。

6。 ACLを設定すると、IOSファイアウォールでの作業の重要な部分です。どのようなワイルドカードマスクは、言葉のホストといずれかでACLに置き換えられていますか？

7。次のACL行にドル記号は何を示すのでしょうか？

R1（設定）＃150ドルは、ip 172.50.50.0 0.0.0.255 172.50.100.0 0.0.0.255を拒否

8。基本的に、どのようにIOS Firewallは、TCP SYN攻撃を防ぐのですか？

9。用語 "ファイアウォールのパンチ穴"とは何を参照しているかどうか（論理的に、それは物理的に、ではありません。）

10。以下の構成でルータトラフィックのオプションは、正確に何をしますか？

R4（設定）＃ipは名前PASSCCNASECURITY TCPルータのトラフィックを検査する
R4（設定）＃ipは名前PASSCCNASECURITY UDPルータのトラフィックを検査する
R4（設定）＃ipは名前PASSCCNASECURITY ICMPルータのトラフィックを検査する

ここに答えがある！

1。それは "内部"と "外部"として他のすべてのようにネットワークを考えることは簡単です。 DMZ - それは、ファイアウォールに来るときしかし、我々は第三の分野を持っている。

ITの観点から、DMZは外部ネットワークに公開される私たちのネットワークの一部です。それは、DMZ内の次のデバイスを見つけることが一般的です。

FTPサーバ
電子メールサーバ
E-コマースサーバ
DNSサーバ
Webサーバー

2。 （B.）、ステートフルパケットフィルタリングは、接続状態を監視して、それはTCPの攻撃を防ぐことに来るとき、それは特に重要です。ステートフルファイアウォールは、TCP接続の状態を監視するだけでなく、シーケンス番号はありません。ステートフルファイアウォールは、セッションテーブル、または状態テーブルを保持することによってこれを達成する。

3。 Cisco IOS Firewallは、ステートフルなフィルタです。

4。 IOSファイアウォール、侵入防止システム（IPS）、および認証プロキシ - （A、B、D.）のIOS Firewallフィーチャセットには3つの主要コンポーネントがあります。

5。 （A、B、E、F、T彼認証プロキシは、私たちではなくごとのサブネット単位またはアドレス単位ではなく、ユーザーごとに適用されるセキュリティプロファイルを作成することができます。これらのプロファイルは、いずれかの上に保持することができます次のとおりです。

RADIUSサーバ

TACACS +サーバ

認証に成功すると、その特定のユーザーのセキュリティポリシーは、RADIUSサーバまたはTACACS +サーバからダウンロードされ、IOSファイアウォールルータによって適用されます。

6。我々は、0.0.0.0のワイルドカードマスクを表現する単語のホストを使用するオプションがあります。送信元IP 10.1.1.1からのパケットのみ許可され、他のすべてのパケットが拒否されなければならない設定を考えてみましょう。次のACLは、両方のことを行います。

R3＃confにトン

R3（設定）＃access-listの6 permitを10.1.1.1 0.0.0.0

R3（設定）＃confにトン

R3（設定）＃access-listの7許可ホスト10.1.1.1

キーワードは、任意の255.255.255.255のワイルドカードマスクを表すために使用することができます。次の行の両方がすべてのトラフィックを許可します。

R3は、（config）＃access-listの15は、いずれかを許可する

R3（設定）＃アクセスリスト15の許可0.0.0.0 255.255.255.255

あなたは現実の世界でACLを設定しているときにする "正しい"または "間違った"決断はありません。あなたの試験のために、しかし、私は、ホストと任意の適切な使用に精通していると思います。

7。ドル記号は、単純にエントリがとても長いので、入力または表示しているコマンドの一部が表示できないことを示します。これは、コマンドが違法であるという意味ではありません。

8。 IOS Firewallは、TCP SYN攻撃が進行中であるときに検出するために次の値のいずれかまたはすべてを使用することができます。

不完全なTCPセッションの総数

一定の時間で不完全なTCPセッションの数

ホストごとに不完全なTCPセッションの数

これらのいずれかのしきい値に達している場合は、次のいずれかのアクションを撮影することができます。

一定期間のすべての着信SYNパケットをブロックする

最も古い不完全なセッションでは、両当事者にRSTを送信する

我々は将来のチュートリアルでは、特定のインスタンスを見てみましょう。

9。その用語は、単に以前に閉鎖されたポートを開くようにファイアウォールを設定するを参照します。あなたは、もはやオープンであることがそれを必要としないときにそれを閉じることを忘れてはいけない！

10。あなたが実際にルータで生成されるトラフィックを検査しようとしている場合は、ステートメントを検査し、その特定のIPアドレスの末尾にルータトラフィックのオプションを含める必要があります。

私のウェブサイト上の複数のCiscoの認定模擬試験と完全に図示のチュートリアルを見て！...