一、多项选择题(每小题2分,共72分,错选得0分,漏选得0.5分)1.下列VPN技术中,属于第二层VPN的有____。
A. SSL VPNB. GRE VPNC. L2TP VPND. IPSec VPN2.数据在Internet上传输面临的威胁有_____。
A. 中间人攻击B. 篡改攻击C. 窃听攻击D. 以上都不是3.以下属于非对称密钥算法的是_______。
A.RSAB. DSAC. DESD. DH4.根据对报文的封装形式,IPsec工作模式分为_____。
A.隧道模式B. 主模式C.传输模式D.野蛮模式5.IPsec安全策略包括以下哪几种_______。
A. 手动配置参数的安全策略B. 用IKE协商参数的安全策略C.利用GRE自动协商方式D. 利用L2TP自动协商方式6.下列关于AH和ESP的说法正确的有_____。
A. AH不能提供数据完整性保护B. 两者都可以提供数据源验证及可选的抗重播服务C. 两者都可以提供机密性保护D. 两者可同时使用7.SSL远程接入方式包括_________。
A. Web接入B. TCP接入C. IP接入D. 手工接入8.IKE 阶段一协商中,SA 无法建立的原因可能有(ABC)。
A. 隧道对端地址不匹配B. 安全策略没应用到接口C. 共享密钥不匹配D. ACL 不匹配9.采用主模式进行IKE 第一阶段协商的三对消息中,哪一对消息的协商是加密进行的?A. 双方交换协商第一阶段SA 需要的参数B. 双方交换KE 和NonceC. 双方交换身份验证信息10.当使用IKE 为IPSec VPN 协商密钥的时候,下列哪些属于IKE 阶段的协商内容?A. ESP/HAB. 主模式/ 野蛮模式C. 使用PRE-SHAREKEY/RSA-SIGD. 传输模式/ 隧道模式11.IPSEC中推荐使用的转换方式是:A.AHB.AH+ESP(加密)C.ESP(验证+加密)D.ESP(加密)E.AH+ESP(验证+加密)12.对IPSEC安全策略的配置方式是:A.手工配置方式B.利用IKE协商方式C.利用GRE自协商方式D.利用L2TP自协商方式13.根据对报文的封装形式,IPSEC分为:A.传输模式B.隧道模式C.主模式D.快速模式14.IPSEC SA和IKE SA的主要区别是:A.IPSEC SA是单向的,IKE SA是双向的B.通道两端只有一个IKE SA,但IPSEC SA不止一对C.IKE SA没有生存期D.IPSEC SA有对端地址15.以下哪些选项可以用来唯一标识一个IPSEC SA:A.SPIB.对端地址C.安全协议号D.本端地址16.如果要实现IPSEC的防重放功能,可以使用以下哪几种转换方式:A.AHB.AH+ESP(加密)C.ESP(验证+加密)D.ESP(加密)17.关于IPSec(IP Security),以下说法正确的是:(ABC )A.IPSec是IETF制定的、在Internet上保证数据安全传输的一个框架协议B.它提供了在未提供保护的网络环境(如Internet)中传输敏感数据的保护机制C.它定义了IP 数据包格式和相关基础结构,以便为网络通信提供端对端、加强的身份验证、完整性、防重放和(可选)保密性D. IPSec是一个隧道压缩标准18.IPSec的安全特点包括哪些?A.私有性B.完整性C.真实性D.防重放E.在隧道模式下,AH协议验证全部的内部IP报文和外部IP头中的不变部分19.关于ESP协议的说法正确的有:A.ESP协议将用户数据进行加密后封装到IP包中,以保证数据的私有性B.用户可以选择使用带密钥的Hash算法保证报文的完整性和真实性C. ESP协议使用32比特序列号结合防重放窗口和报文验证,防御重放攻击D.在传输模式下,ESP协议对IP报文的有效数据进行加密E.在隧道模式下,ESP协议对整个内部IP报文进行加密20.关于安全联盟(SA)正确的说法包括哪些?A.SA包括协议、算法、密钥等内容B. SA具体确定了如何对IP报文进行处理C.安全联盟是双向的D.在两个安全网关之间的双向通信,需要两个SA来分别对输入数据流和输出数据流进行安全保护21.关于安全参数索引(SPI)正确的说法有哪些?A.SPI是一个32比特的数值,在每一个IPSec报文中都携带有该数值B.SPI和IP目的地址、安全协议号一起组成一个三元组,来唯一标识特定的安全联盟C.手工配置安全联盟时,需要手工指定SPI,为保证安全联盟的唯一性,必须使用不同的SPI配置不同的安全联盟D.IKE协商产生安全联盟时,使用用户设定的数据来生成SPI22.关于IKE正确的说法有哪些?A.IKE是个为双方获取共享密钥而存在的协议B.IKE的精髓在于它永远不在不安全的网络上直接传送密钥C.IKE通过一系列数据的交换,最终计算出双方共享的密钥D.IKE通过验证保证协商过程中交换的数据没有被篡改、确认建立安全通道的对端身份的真实性23.以下哪些是IKE所具有的特点?A.提供交换双方的身份验证机制B.提供交换双方的身份保护机制C.以往密钥的泄露影响以后的加密数据的安全性D.提供Diffie-Hellman交换及密钥分发机制24.IKE为IPSec提供了哪些功能?A.IPSec可以通过手工配置单独使用,但是IKE可以大大简化IPSec的配置B.可以设置IPSec SA 的生存时间,定时更换密钥,具有更高的安全性C.可以允许在IPSec通信期间更换密钥D.可以使IPSec具有防重放的功能E.可以使用认证中心(Certification Authority)提供的支持25.IKE的配置任务包括哪些主要步骤?(A.配置前准备B.配置IKE安全策略C.配置隧道的起点与终点D.配置转换方式E.配置身份验证字(pre-shared key)26.IKE配置前准备需要决定哪些内容?A.确定IKE交换过程中使用的验证算法B.确定IKE交换过程中使用的加密算法C.确定IKE交换过程中使用的DH算法强度D.确定交换双方的身份验证机制27.关于VPN,以下说法正确的有(A.VPN的本质是利用公网的资源构建企业的内部私网B.VPN技术的关键在于隧道的建立C.GRE是三层隧道封装技术,把用户的TCP/UDP数据包直接加上公网的IP报头发送到公网中去D.L2TP是二层隧道技术,可以用来构建VPDN34.设计VPN时,对于VPN的安全性应当考虑的问题包括哪些?( ABCE )A.数据加密B.数据验证C.用户验证D.隧道协议设计E.防火墙与攻击检测35.VPN按照组网应用分类,主要有哪几种类型?A.Access VPNB.Extranet VPNC.Intranet VPND.Client initiated VPNVPN给服务提供商(ISP)以及VPN用户带来的益处包括哪些?(ABCDE )A.ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量B.VPN用户节省费用C.VPN用户可以将建立自己的广域网维护系统的任务交由专业的ISP来完成D.VPN用户的网络地址可以由企业内部进行统一分配E.通过公用网络传输的私有数据的安全性得到了很好的保证1、L2TP协议是哪一层的隧道协议?(A)A.二层B.三层C.四层2、L2TP是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议,它包括以下哪些特性?(ABCD)A.适用于点到网的协议B.支持私有地址分配,不占用公有IP地址C.与PPP配合支持认证功能,与RADIUS配合支持灵活的本地和远端的AAAD.与IPSec结合,支持对报文的加密3、使用L2TP构建VPDN哪些设备是必需的?(AC)CB.TunnelC.LNSD.RADIUS Server4、在L2TP隧道建立过程中,需要在LAC和LNS间交互报文,下列不属于隧道建立过程中交互的报文有:(BDE)A.SCCRQ xB.ICRQC.SCCCN xD.HelloE.CDN5、在一个LNS和LAC对之间存在着哪两种类型的连接?(AD)A.隧道(tunnel)连接C.HDLC连接D.会话(session)连接6、用L2TP封装数据的报文格式按照1,2,3,4的次序,正确的是:(D)A.IP TCP L2TP PPPB.UDP IP PPP L2TPC.IP UDP PPP L2TPD.IP UDP L2TP PPP1Ipsec 协议和( )VPN隧道协议处于同一层.A.PPTPB.L2TPC.GRED.以上皆是2AH协议中必须实现的验证算法是( )A HMAC-MD5和HMAC-SHA1 B. NULL C.HMAC-RIPEMD-160 D. 以上皆是3ESP协议中不时必须实现的验证算法是: A. HMAC-MD5 B. HMAC-SHA1 C.NULL D.HMAC-RIPEMD-1604( ) 协议必须提供验证服务 A. AH B. ESP C.GRE D. 以上皆是 55IKE协商的第一阶段可以采用() A. 主模式,主动模式B. 主模式,快速模式C .快速模式,主动模式D. 新组模式6下列协议中,( )协议的数据可以受到IPSEC的保护A. TCP UDP IP B. ARP C.RARP D. 以上皆可以1. SHA1 散列算法具有()位摘要值。
A. 56B. 128C. 160D. 168Answer: C2. IKE 的主要功能包括()A. 建立IPSec 安全联盟B. 防御重放攻击C. 数据源验证D. 自动协商交换密钥Answer: AD3. 关于IKE 的描述正确的是()A.不是在网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥B. 是在网络上传送加密后的密钥,以保证密钥的安全性C. 采用完善前向安全特性PFS,一个密钥被破解,并不影响其他密钥的安全性D. 采用DH 算法计算出最终的共享密钥Answer: ACD4. AH 协议报文头中,32bit 的()结合防重放窗口和报文验证来防御重放攻击。
A. 安全参数索引SPIB. 序列号C. 验证数据D. 填充字段Answer: B5. 关于IPSec 与IKE 的关系描述正确的是()A. IKE 是IPSec 的信令协议B. IKE 可以降低IPSec 手工配置安全联盟的复杂度C. IKE 为IPSec 协商建立安全联盟,并把建立的参数及生成的密钥交给IPSecD. IPSec 使用IKE 建立的安全联盟对IP 报文加密或验证处理Answer: ABCD88. IPSec 的安全联盟与IKE 的安全联盟的区别是()A. IPSec 的安全联盟是单向的B. IPSec 的安全联盟是双向的C. IKE 的安全联盟是单向的D. IKE 的安全联盟是双向的Answer: AD6. IPSec 可以提供哪些安全服务()A. 数据机密性B. 数据完整性C. 数据来源认证D. 防端口扫描E. 防拒绝服务攻击F. 防重放攻击G. 防缓冲区溢出Answer: ABCF7. 在配置IPSec 的安全提议proposal 时,以下命令属于缺省配置的是()A. encapsulation-mode tunnelB. transform espC. esp encryption-algorithm desD. esp encryption-algorithm 3desE. esp authentication-algorithm md5Answer: ABCE8. AH 协议的协议号为()A. 50B. 51C. 52D. 53Answer: B9. ESP 协议的协议号为()A. 50B. 51C. 52D. 53Answer: A10. 基于web 的SSL 通信缺省使用端口()A. TCP 1025B. TCP 443C. TCP 80D. UDP 443Answer: BD11. 下列应用中哪些支持身份认证()A. telnetB. ftpC. sshD. tftpAnswer: ABC12. RFC2827 中定义了防范以下哪种攻击的方法()A. sniffing attackB. spoofing attackC. DOS attackD. port scan attackE. All of the aboveAnswer: B13. 下列关于DOS 攻击原理的描述中,正确的是()A. MS-DOS 使用的一种不安全的协议B. 当特定网络发起大量连接时,服务器将终止它们的连接C. 当主机存在大量TCP 半连接时,将无法响应实时的正常流量D. 当系统缓存过量时,容易导致操作错误Answer: C14. 在AAA 认证中,如果不希望计费需要配置的命令是()A. aaa accounting-scheme optionalB. aaa authentication-scheme loginC. aaa authentication-scheme pppD. aaa authentication-scheme login default localAnswer: A。