CISCO ASA防火墙安全应用问题集锦全集

防火墙试题1.“NDR”的中文释义是什么（）A.基于网络的检测与响应(正确答案)B.基于主机的杀毒C.基于网络的漏洞防护D.基于网络的反病毒2.智慧墙支持哪种封装模式（）A.IP模式B.隧道模式(正确答案)C.TCP模式D.传输模式3.不能与智慧墙实现智能化的协同联动的是（）A、沙箱B.云端威胁情报中心C.终端安全管理系统D.上网行为管理(正确答案)4、下面那个选项可以查看智慧墙的设备信息？A.show systemB.show system info(正确答案)C.show system lsD.show capacity5、以下那些属于7层隧道技术？A.L2TPB.PPTPC.GRED.SSL(正确答案)6、MD5值的长度是？A.128bit(正确答案)B.64bitC.32bitD.16bit7、智慧墙不支持那些过滤？A.URL过滤B.文件过滤C.内容过滤D.行为过滤(正确答案)8、虚拟系统数量由License控制, NSG9000设备建议的虚拟系统最大个数为？A、6B、8C.10(正确答案)D、129、智慧墙如何开启debug？A.debug dp onB.debug dp upC.debug dp flow(正确答案)D.debug dp start10、HA主备模式下链路探测到某地址探测失败的原因？A.接口FLOAT地址未正常同步B.接口未UPC.安全策略未正常同步D.接口未配置STATIC地址(正确答案)11、在没有NAT环境下, IKE 协商的端口是A.500(正确答案)B.4500C、50D、5112.IKE协商由几个阶段组成（）A、1B.2(正确答案)C、3D、413.ipsec vpn支持以下哪种引流方式（）A.策略引流B.路由引流C.策略和路由引流(正确答案)D.安全引流14、IPSEC SA是基于以下哪种方式协商的？A.利用SSL VPN自协商方式B.利用PPTP协商方式C.利用GRE自协商方式D.利用IKE自协商方式(正确答案)15、Blacklist在智慧墙的Flow流程中属于第几个处理单元？A.1(正确答案)B、2C、3D、416.以下关于Flow流程中的慢转发说法正确的是（）A.慢转发流程中SNAT,路由,DNAT的匹配顺序为:SNAT-DNAT-路由B.慢转发流程中SNAT,路由,DNAT的匹配顺序为:路由-SNAT-DNATC.慢转发流程中SNAT,路由,DNAT的匹配顺序为:DNAT-路由-SNAT(正确答案)D.无顺序17、通常是需要放行（）流量的时候使用SNAT功能中动态地址NAT为不转换类型？A.用户认证B.ADSL拨号C.IPSEC(正确答案)D.策略路由18、以下关于SSL代理功能的主要作用描述正确的是（）A.SSL代理功能包含SSL VPN模块B.SSL代理功能包含IPSECVPN模块C.SSL代理功能是对SSL加密的数据进行代理解密,解析用户的行为以及数据,进而对用户的行为进行控制,主要应用于对高级功能IPS,AV,内容检测,文件检测,上网行为管理,URL过滤(正确答案)D.SSL代理功能是为了创建SESSION19、TCP/Ip体系结构中的TCP协议所提供的服务是（）A.链路层服务B.网络层服务C.传输层服务(正确答案)D.应用层服务20、在TCP三次握手中, 第一次握手时客户端向服务端发送一个（）来请求建立连接A.SYN包(正确答案)B.SCK包C.UDP包D.NULL包21.以下哪种原因会引起的穿透防火墙的内网PC无法访问外网A.LICENSE过期,已重启B.未设置安全策略C.未设置源NATD.以上都是(正确答案)22、当发现防火墙日志中有大量的某ip对防火墙进行暴力破解时防火墙应开启哪个功能进行防护？A.安全策略B.地址黑名单和登陆安全策略(正确答案)C.IPSD、AV23.以下哪个选项是防火墙产品的核心功能A.路由转发B.抗攻击C.用户认证D.访问控制(正确答案)24.以下哪个选项是防火墙产品的主要性能指标A.防火墙重量B.防火墙高度C.网络接口数D.并发连接数(正确答案)25、攻击防护策略是基于以下哪个模块的？A.安全域B.物理接口(正确答案)C、IPD.VLAN接口26、以下防火墙恢复出厂配置的方法错误的是？A.页面点击恢复出厂设置按钮B.在CLI下执行reset命令并重启C.掉电重启(正确答案)D、27、防火墙接口不支持以下哪种工作模式A.路由模式B.交换模式C.旁路模式D.透明模式(正确答案)28、防火墙的Channel模式不包括以下哪一项（）A.FloatB、热备C.802.3ad(正确答案)D、轮询29、以下关于智慧墙中路由的优先处理顺序错误的是（）A.策略路由--ISP路由--缺省路由B.直连路由 -- 静态路由 --策略路由C.静态路由-- 策略路由 -- ISP路由D.ISP路由--策略路由---缺省路由(正确答案)30、防火墙无法与时间服务器进行同步, 在防火墙与NTP服务器路由可达的情况下, 以下最有可能产生此问题的是？A.防火墙HOSTNAME配置错误B.未将NTP服务器设置为主用服务器C.NTP最大调整时间超过误差时间(正确答案)D.防火墙未配置安全策略31、智慧墙中针对虚拟系统接口的作用说法正确的是？A.用于虚拟系统间通信(正确答案)B.用于LOOPBACKC.用于动态路由ROUTER-IDD.无意义32.拒绝某些非法的IP地址或MAC地址流量的有效手段是哪个A.安全策略B.黑白名单(正确答案)C.服务器负载均衡D.IP-MAC绑定33、根据对报文的封装形式, IPsec工作模式分为A.隧道模式(正确答案)B.主模式C.野蛮模式D.B和C34、新配置的关键字或对关键字修改后必须单击哪个功能按钮, 配置或修改才生效A、查看B、增加C、编辑D.提交(正确答案)35、关于安全域, 下列说法错误的是（）A.一个物理口不可同时属于二层安全域和三层安全域B.一个安全域必须包含任何物理接口(正确答案)C.物理接口配置为路由模式,则该接口需手动加入三层安全域D.物理接口配置为交换模式,则该接口手动加入二层安全域36、关于本地地址类型, 下列说法正确的是（）A.在开启HA功能时,STATIC类型的IP地址仅用于管理防火墙(正确答案)B.STATIC类型地址可以用于NAT、VPN等功能使用C.FLOAT类型的地址和Static类型的地址无差别D.在HA环境中,STATIC类型的IP地址会同步给对端防火墙37、关于防火墙HA功能说法错误的是？A.HA组优先级数字越小,优先等级越高(正确答案)B.HA支持配置和动态信息同步C.HA心跳接口支持channel口D.HA只支持配置0和1两个HA组38、关于非对称加密, 下列说法错误的是（）A.相比对称加密,非对称加密效率高(正确答案)B.公钥密钥和私钥密钥总是成对出现,公钥用来加密,私钥用来解密C.公钥和私钥不能互相导推D.安全性高39、关于桥功能说法错误的是？A.只能将两个物理接口加入桥(正确答案)B.桥模式可以传输带VLAN TAG的报文C.桥配置可以通过HA做主备同步D.桥可以配置为桥接口并添加IP地址40、关于日志查询, 以下说法哪个是正确的（）A.不勾选记录日志也可产生模糊日志B.不勾选记录日志也可产生流量日志C.勾选记录日志不可产生模糊日志,但可以产生流量日志D.勾选记录日志才可以产生流量日志(正确答案)41、黑客利用IP地址进行攻击的方法有？A.IP欺骗(正确答案)B、解密C.窃取口令D.发送病毒42.以下哪个选项可以帮助用户在安全策略列表中寻找是否存在冗余或无法生效的规则A.应急响应消息B.策略命中优化C.冗余策略检查(正确答案)D.协同联动43、建立IPSEC vpn隧道建立时, IKE协商支持的模式不包括（）A.主模式B.野蛮模式C、国密D.ESP(正确答案)44、将一个局域网连入Internet, 首选的设备是（）A.中继器B.交换机C、网桥D.防火墙(正确答案)45.接口下的对称路由模块一般应用在以下哪种场景下（）A.多出口场景(正确答案)B.HA主备场景C.路由条目较多的场景D.HA负载均衡场景46、在多台设备双机串行环境下, 当设备上行/下行的链路出现故障时, 为了让下行/上行的链路也能够快速感知故障并进行切换, 此时需要什么功能（）A.安全策略B.IPSECC.接口联动(正确答案)D、HA47、高可用性环境下如果HA心跳口不通会出现以下哪种情况？A.主备墙的配置无法同步(正确答案)B.流经防火墙的业务断掉C.接口上的动态地址无法生效D.路由无法生效48、某用户内网有web服务器对外提供服务, 某天发现web站点访问异常缓慢, 甚至无法访问, 同时服务器cpu利用率高, 请问最有可能受到了什么攻击？A.UDP FLOODB.TCPFLOOD(正确答案)C.IP欺骗D.圣诞树攻击49、文件过滤支持的应用协议有____A.邮件协议(POP3.IMAP、SMTP)B.FTPC.HTTPD.以上所有选项(正确答案)50、如果某一数据包不能命中安全策略列表中的任何一条安全策略时, 执行的动作为？A、放行B.禁止(正确答案)C、转发D.以上都不对。

106 问题：CacheEngine是否具有URL过滤功能？ 答案：CacheEngine1.7-2.0版本的软件⽀持⼀种叫URL Blocking的功能，该功能是在 CacheEngine的适配器接⼝上进⾏配置实现的，它可以将由特定地址来的流量阻断。

CacheEngine2.1版本的软件可以通过与基于WindowsNT、UNIX系统的Websense软件结合使⽤实现⽀持URL Filtering功能。

107 问题：PIX-520-FO-BUN在购买时是否需要额外定购License? 答案：PIX-520-FO-BUN本⾝已经包含有⽆限制版本的License，因⽽不需额外定购软件。

108 问题：对于能够⽀持IPSec的PIX 防⽕墙，客户端的VPN软件是否有特殊要求？ 答案：Cisco公司有⾃⼰的客户端VPN软件，它可与PIX防⽕墙进⾏完美的互操作。

109 问题：PIX防⽕墙如果要实现URL过滤功能，需要额外的软件吗？ 答案：需要购买第三⽅软件产品，Websense。

110 问题：Netsonar上的软件可以应⽤于哪些操作系统？ 答案：Netsonar具有以下软件系统：NS-20-NT；NS-201-S-2500。

前者⽤于WindowsNT 环境中，后者⽤于Solaris环境中。

111 问题：⽬前Cisco 公司PIX防⽕墙系列产品有那些型号，有何区别？ 答案：在⽬前的PIX防⽕墙系列产品中，主要有两种型号PIX515和PIX520。

其主要区别如下： PIX515适合在中⼩型企业应⽤，可提供128，000同时连接数。

络接⼝卡只⽀持以太卡，可⽀持到6个以太卡。

其机箱上带有2个固定的10/100M 以太卡，并带有两个扩展插槽。

PIX520适合在电信⾏业和⼤型的企业中应⽤，能提供256，000个同时连接数。

可⽀持多种介质类型：以太，令牌环和FDDI。

最多能够提供6个以太接⼝，⽀持3个令牌环接⼝和2个FDDI络接⼝，并且以太接⼝卡只能和令牌环接⼝混合使⽤。

1.1 XX将Ｃｉscｏ AＳA ５50０作为一种卓越的防火墙解决方案CiscｏASＡ5500 系列自适应安全设备提供领先的防火墙功能，并能够通过扩展支持其它安全服务。

在所有机构的网络安全基础设施中，防火墙都提供第一道防线。

它采用的具体作法是，将XX制定的用户网络访问权限策略与每次访问操作的连接信息进行比较.如果用户策略与连接信息不匹配,防火墙就不允许建立连接。

如果相互匹配，则防火墙允许流量流经网络。

通过这种方式,防火墙XX了XX机构网络安全基础设施的基本模块。

由于防火墙能够提供卓越的性能,延长关键业务运作的网络正常运行时间，因而物超所值。

但是，随着XX网络上XX、XX和协作流量的快速增长,企业不但要求防火墙引擎以超高速度运行，还要求它支持应用级检查.标准的L2和L3防火墙能够防止对内部和外部网络的非法接入，如果增加了应用级检测，防火墙将能够在L7检测、识别和验证应用类型，有效阻止不需要或误操作的应用流量。

利用这些功能，防火墙不但能执行端点用户XX和认证,还能有效控制多XX应用的使用。

1.1.1 对速度的要求在网络能够不断增强业务生产率、协作和通信的同时，防火墙也得到了同步的.例如，Ciｓco® ASA 5５00 系列自适应安全设备就是专门为数百种应用协议的标准策略实施和应用级防火墙检测而开发的。

XX的第三方测试表明,这种防火墙的性能远远超过了同类产品.另外，在全球市场调查XXGaｒｔnｅｒ于2021年６月进行的防火墙“魔方”调查中,Cｉsco ASＡ５５００系列自适应安全设备在概念和技术上都名列榜首。

利用Ｃisｃo ASＡ５5００系列的高性能应用检测功能,网络对待流量的详细策略依据不但能基于端口、状态和地址信息，还能基于深埋在数据帧头与负载中的应用信息。

通过对这种深度数据包检测信息与XX策略的比较，防火墙能够允许或阻止某些流量通过。

例如，如果XX策略禁止企图通过XX端口进入网络的应用流量通过网络，那么,即使这种流量在用户和连接水平上看似合法流量，也会被自动丢弃。

主要特性和优势CiscoASA5500CSC-SSM提供了丰富的安全和控制功能，其中部分如表1所示。

表1CSC-SSM的特性和优势特性优势防病毒屡获大奖的防病毒技术可在您的基础设施中最有效的防御点－互联网网关处防止内部网络资源遭受病毒攻击的影响。

在周边清洁电子邮件和互联网流量有助于确保业务连续性，避免了耗费大量资源的对恶意软件感染进行清除的工作。

防间谍软件阻挡间谍软件随同互联网Web和电子邮件流量进入网络。

不必再将IT支持资源用于成本高昂的间谍软件删除工作，并可通过在网关阻挡间谍软件而提高员工生产率。

防垃圾邮件有效阻挡垃圾邮件，且误报率极低，有助于保持电子邮件通信的高效性—使得与客户、厂商和合作伙伴的联系不受干扰。

防泄密(网络钓鱼) 防止伪装身份，并对泄密攻击进行根源查找，因此可防止通常会导致经济损失的、员工无意中泄漏公司或个人信息的现象。

从TrendLabs自动更新获得业界最庞大的防病毒、间谍软件和垃圾邮件专家团队之一的支持，全天候工作以确保您的解决方案可自动提供最新防御功能。

集中管理通过一个可远程访问的Web控制台和自动更新功能，实现“即设即忘”式管理，缩短部署时间、减少投入和重复性的IT支持成本。

为Web访问、邮件和文件传输提供实时保护即使已对公司电子邮件进行了保护，但许多员工仍会通过公司PC或笔记本电脑访问他们的私人邮箱，从而为互联网炸弹威胁带来了另一个入点。

员工也有可能直接下载被感染的程序或文件。

在互联网网关对所有Web 流量进行的实时保护可大大减少这一常被忽略的安全易损点。

利用分类、调度和缓存提供的全面URL过滤功能URL过滤可有效阻拦员工访问不适当的或与工作无关的Web站点，从而控制员工对于互联网的使用，籍此提高员工的生产率，并减少因访问了不应访问的Web内容而承担法律责任的机会。

电子邮件内容过滤电子邮件过滤减少了通过电子邮件传输违法敏感信息，或者在电子邮件中夹带攻击信息而要承担相应法律责任的机率，且有助于符合法律法规，可帮助机构达到GrahamLeachBliley和数据保护法案等的要求。

试题代码：3.3.1试题名称：防火墙配置1规定用时：40 分钟1、操作条件（1）PC机1台,安装了Windows操作系统。

（2）Cisco的ASA防火墙一台。

2、操作内容某公司建有内部局域网，机器数量颇多，并接入了因特网。

为了保障内部网络的信息安全，公司决定采用思科公司的ASA系列防火墙作为防护设备。

现需要对ASA防火墙做正确设置，以保证它的正常运行。

你需要进行如下操作：（1）由于ASA防火墙拥有三个快速以太网接口，需要根据实际连接情况命名各个接口，命名防火墙的e0/0接口为内部端口inside，安全级别为100；e0/1接口为外部端口outside，安全级别为0；e0/2接口为DMZ（非军事区）端口，安全级别为50。

ASAfirewall(config)# int e0/0ASAfirewall(config-if)# nameif insideASAfirewall(config-if)# security-level 100ASAfirewall(config-if)# no shutASAfirewall(config)# int e0/1ASAfirewall(config-if)# nameif outsideASAfirewall(config-if)# security-level 0ASAfirewall(config-if)# no shutASAfirewall(config)# int e0/2ASAfirewall(config-if)# nameif dmzASAfirewall(config-if)# security-level 50ASAfirewall(config-if)# no shut（2）公司申请了合法注册地址段221.120.68.34-221.120.68.40，内部网络地址段为192.168.1.0网段，内部服务器处于172.16.0.0网段；请配置防火墙内部端口IP地址为192.168.1.254，外部端口IP地址为221.120.68.33，DMZ端口地址为172.16.0.2。

ASA5500百问百答- 进行时:)1. ASA5510 + Security Plus License ! ASA系列对高可用性的支持情况答：ASA5505基本许可不支持HA，通过Security Plus license.可以支持stateless Active/Standby and redundant ISPASA5510基本许可不支持HA，通过Security Plus license可以支持A/A和A/S的FOASA5520以上系列，基本许可就支持A/A和A/S的FO。

2.ASA5510到底有几个端口可用？速率是多少？答：Cisco ASA 5510 7.2.2以前的版本Base License可用3个FE，Plus License可用5个FE。

Cisco ASA 5510 7.2.2及以后的版本可用5个FE，无论是Base还是Plus。

Cisco ASA 5510 7.2.3及以后的版本Base可用5个FE，Plus会升级两个FE端口为GE端口（2GE+3FE）。

3.关于PIX的HA的授权问题.答：如果要实现A/A必须一个防火墙使用UR授权，另一个防火墙使用Failover-Active/Active (FO-A/A)授权,或两台设备都是UR license如果要实现A/S必须一个防火墙使用UR授权，另一个防火墙使用Failover (FO)或者Failover-Active/Active (FO-A/A)如果只有一个防火墙，购买FO或者FO-A/A授权是不能够使用的，必须与具有UR授权的防火墙一起使用。

4.请问FWSM在multi context模式下支持路由模式和透明模式共存吗？答：FWSM在3.1版本后multi context模式下支持路由模式和透明模式混用.5.ISR路由器的IPS功能只能由IOS软件来实现吗？答:可以选择IPS模块。

型号为AIM-IPS-K9，使用平台为ISR 1841、2800、3800系列路由器。

思科防⽕墙 PIX ASA 配置总结⼀（基础）： 思科防⽕墙已经从PIX发展到ASA了，IOS也已经从早期的6.0发展到7.2。

但总体的配置思路并没有多少变化。

只是更加⼈性化，更加容易配置和管理了。

下⾯是我⼯作以来的配置总结，有些东西是6.3版本的，但不影响在7.＊版本的配置。

⼀：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。

⼆：基本配置步骤： step1: 命名接⼝名字 nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 ＊＊7版本的配置是先进⼊接⼝再命名。

step2：配置接⼝速率 interface ethernet0 10full auto interface ethernet1 10full auto interface ethernet2 10full step3：配置接⼝地址 ip address outside 218.106.185.82 ip address inside 192.168.100.1 255.255.255.0 ip address dmz 192.168.200.1 255.255.255.0 step4：地址转换（必须） * 安全⾼的区域访问安全低的区域（即内部到外部）需NAT和global; nat(inside) 1 192.168.1.1 255.255.255.0 global(outside) 1 222.240.254.193 255.255.255.248 ＊＊＊ nat (inside) 0 192.168.1.1 255.255.255.255 表⽰192.168.1.1这个地址不需要转换。

直接转发出去。

* 如果内部有服务器需要映射到公地址(外访问内)则需要static和conduit或者acl. static (inside, outside) 222.240.254.194 192.168.1.240 static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 后⾯的10000为限制连接数，10为限制的半开连接数。

CiscoASA防火墙巨有效的排错命令packet-tracerCisco ASA 防火墙巨有效的排错命令packet-tracer大家经常用电脑或者网络设备上的traceroute，跟踪一个包从一个设备到另一个设备中间的路径，其实在PIX上还有一个命令可以跟踪一个数据包从一个接口到另一个接口内部处理时经过的各个步骤，如acl,nat,vpn等Packet-TracerNew Reader Tip: Troubleshooting Access Problems Using Packet-TracerTroubleshooting access problems through a firewall is often very difficult, especially when speed to resolution is critical. Errors in long complex ACLs can beeasily overlooked, and access failures caused by NAT, IDS, and routing make the problem even more difficult.Cisco has released an incredible new feature in ASA software version 7.2(1) that virtually eliminates the guesswork. Packet-tracer allows a firewall administrator toinject a virtual packet into the security appliance and track the flow from ingress to egress. Along the way, the packet is evaluated against flow and route lookups,ACLs, protocol inspection, NAT, and IDS. The power of the utility comes from the ability to simulate real-world traffic by specifying source and destination addresseswith protocol and port information.Packet-tracer is available both from the CLI and in the ASDM. The ASDM version even includes animation (the value of which is questionable, but it is fun to watch),and the ability to navigate quickly to a failed policy.Here is the CLI syntax:packet-tracer input [src_int] protocol src_addr src_port dest_addr dest_port [detailed] [xml]A few examples of truncated output show some of the most useful features. Not only does the tool show the result of an ACL evaluation, but also the specificACE that either permits or denies the packet, including a hit on the implicit deny.asaTestlab# "packet-tracer input inside tcp 10.1.1.1 1024 10.4.1.1 23"Phase: 3Type: ACCESS-LISTSubtype: logResult: ALLOWConfig:access-group inside in interface inside access-list inside extended permit ip any 10.4.1.0 255.255.255.0Additional Information:asaTestlab# "packet-tracer input inside tcp 10.1.1.1 1024 10.4.2.1 5282"Phase: 3Type: ACCESS-LISTSubtype: logResult: DROPConfig:access-group inside in interface inside access-list inside extended deny tcp any host 10.4.2.1 eq 5282Additional Information:Evaluations of other elements of the config are similarlyspecific. Here is an example with nat-control enabled but without proper address translation defined:asaTestlab# "packet-tracer input DMZ tcp 10.2.1.1 1024 10.4.2.1 http"Phase: 7Type: NATSubtype:Result: DROPConfig:nat (DMZ) 0 access-list NoNATnat-controlmatch ip DMZ any outside anyno translation group, implicit denypolicy_hits = 1－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－实例，在PIX515E，OS7.2上配置remote access vpn，配置好了用vpn client连接，正常，但怎么也ping不通防火墙内网的IP地址，这时看cliet statistics的discard的包很多，sent bytes很多，received byte为0，decrypted 为0，可以判断是包过去了，但回不来，但出在哪个地方呢，看配置文件一条一条看很烦的，也不容易查找问题，这时用packet-tracer 模拟一个包从外口进来到内口的数据包处理过程，Pix1(config)# packet-tracer input outside tcp 172.16.70.200 1024 172.16.10 23-----------------------模拟outside接口的地址172.16.70.200 telnet到inside接口的172.16.10-----------------------数据包从outside口进来Phase: 1Type: FLOW-LOOKUPSubtype:Result: ALLOWConfig:Additional Information:Found no matching flow, creating a new flow -----------------------查找路由，OK Phase: 2Type: ROUTE-LOOKUPSubtype: inputResult: ALLOWConfig:Additional Information:in 172.16.100.0 255.255.255.0 inside-----------------------检查outside的ACL，OK Phase: 3Type: ACCESS-LISTSubtype: logResult: ALLOWConfig:access-group 102 in interface outside access-list 102 extended permit ip any any Additional Information:Phase: 4Type: IP-OPTIONSSubtype:Result: ALLOWConfig:Additional Information:Phase: 5Type: CP-PUNTSubtype:Result: ALLOWConfig:Additional Information:-----------------------应用ipsec 协议加密，OK，这时应该是数据包从inside到outside发送了Phase: 6Type: VPNSubtype: ipsec-tunnel-flowResult: ALLOWConfig:Additional Information:-----------------------返回的数据包本应该是ipsec 加密的，这时却被NAT检查，很明显nat 0忘了定义。

安全防火墙面试题库及答案1. 什么是防火墙？防火墙是一种网络安全设备，用于监控和控制进出网络的数据包，以防止未授权访问和保护内部网络免受外部威胁。

2. 列举防火墙的几种类型。

- 包过滤防火墙- 状态检测防火墙- 代理防火墙- 深度包检测防火墙3. 描述包过滤防火墙的工作原理。

包过滤防火墙根据预设的规则对数据包进行检查，这些规则基于数据包的源地址、目的地址、端口号等信息来决定是否允许数据包通过。

4. 状态检测防火墙与包过滤防火墙的主要区别是什么？状态检测防火墙除了检查数据包的基本信息外，还会跟踪会话状态，能够更准确地判断数据包是否合法。

5. 代理防火墙如何工作？代理防火墙作为客户端和服务器之间的中间人，对所有传输的数据进行代理，确保只有符合安全策略的数据包才能通过。

6. 深度包检测技术的优势是什么？深度包检测技术能够分析数据包的内容，包括应用层协议和数据，从而提供更高级的入侵检测和防御功能。

7. 什么是入侵检测系统（IDS）？入侵检测系统是一种网络安全技术，用于监测网络或系统上的活动，以发现恶意行为或违反安全策略的行为。

8. 列举几种常见的入侵检测方法。

- 签名检测- 异常检测- 行为分析9. 描述入侵防御系统（IPS）与入侵检测系统（IDS）的区别。

IPS不仅能够检测到入侵行为，还能够采取措施阻止攻击，而IDS仅能检测并报告潜在的安全威胁。

10. 什么是虚拟专用网络（VPN）？VPN是一种技术，允许通过加密的方式在公共网络（如互联网）上创建一个安全的连接，使得远程用户可以安全地访问私有网络资源。

11. 列举几种常见的VPN协议。

- PPTP- L2TP/IPsec- SSL/TLS12. 为什么需要在防火墙上实施访问控制列表（ACL）？访问控制列表用于定义哪些网络流量可以进入或离开网络，从而增强网络的安全性和控制网络流量。

13. 描述状态检测防火墙如何提高网络性能。

状态检测防火墙通过跟踪会话状态，减少不必要的检查，从而提高数据包处理速度和网络性能。

思科ASA防火墙笔记防火墙命令1、可以在config下面直接show run int，而路由器是do show run int2、查看路由表show route 而路由器是show ip route3、查看接口状态show int ip b 而路由器是show ip int b4、防火墙检测是a、初始化状态化检测b、access-list c、默认防火墙策略MPF模块化策略框架class-map match -----> policy-map class inspect -----> service-policy5、Icmp包中的id和序列号，一般是把id当做端口号6、可以在config下面clear config all 清除running-configure 或者叫做出厂重置，wr erase清空start-config而路由器不能清除running-configure7、网管telnet23 ssh22 snmp(get set trap ) asdm（ASA设备管理，java程序，通过https443）在configure模式下telnet 0 0 inside 表示从inside进来的所有的源允许telnet，注意telnet不能从接口级别最低的接口AAA authentication telnet console LOCAL8、SSH 路由器需要hostname+domain-name，而防火墙不需要9、Managerment-only把防火墙的任何接口都变成纯网管管理接口，不能穿越ASA10、redundant冗余接口不能起子接口11、channel捆绑接口带宽叠加ON LACP( ACTIVE PASSIVE)公有PAgp私有捆绑接口根据源MAC做HASH 可以起子接口12、静态路由route nameif 前缀掩码next-hop13、防火墙所有的都是正掩码比如是255.255.255.0 255.255.255.22414、SLA(service-level Aggrement服务等级协议探测probe线路是否可用，依托ipicmpecho 即ping包测试) ECMP (equal cost mutil path等价开销多路径)15、防火墙配置PBR解决浮动静态路由(调整管理距离)问题，既主备又流量分担的问题。

SN:CASE-T20130417
Subject: ASA防火墙处理网络拥堵Requirement:
在公司网络环境中，边缘安全设备仅一台防火墙，出口互联网带宽仅4Mbps,在网络出现拥堵时，可以通过防火墙进行故障处理。

Solution:
首先，通过查看防火墙上的连接数情况，可以判断总体的会话占用：
Show xlate count //查看连接计数器
可看到当前的占用的连接数，以及峰值连接数show xlate//查看详细的连接数条目。

如果想查看具体的IP占用的会话情况
Show xlate | in 252.243
通过翻屏可以大概查看会话占用比例。

如果发现某一个IP占用较多的连接数，通常可以推断此IP在进行P2P的下载或者在线视频的播放等。

这些应用会发起大量的P2P连接，获取种子汇聚流量。

对异常IP可以根据管理IP与用户的对应表找到用户，进而去客户端检查。

另外，如果想快速的解决网络拥堵问题，可以快速的清掉当前的所有连接。

Clear xlate // 清理所有连接会话
Clear xlate local 10.15.252.243 //清理指定的IP连接
此外，还可以借助ACL或者QOS手段进行网络流量的控制。

但当网络接入用户过多的时候，升级带宽就非常必要。

一．inside接口地址为192.168.1.1/24outside接口地址为200.1.1.1/30dmz接口地址为192.168.2.1/24Global：200.1.1.1/30192.168.2.100-192.168.2.200/241.配置ASA1和ASA2防火墙的各个接口的名称，安全级别，IP地址2.配置ASA1和ASA2到对端的路由3.配置NAT,global允许192.168.1.0/25网络数据出外网和DMZ网络。

4.DNS服务器安全解决方案配置（Object-group）5.配置ASA1的内部其他部门与ASA2内部其他部门的安全虚拟专用网IPSEC.一．inside接口地址为192.168.1.1/24outside接口地址为200.1.1.1/24dmz接口地址为192.168.3.1/24Global:200.1.1.5-200.1.1.50/24192.168.310-192.168.3.50/241.配置ASA1和ASA2防火墙的各个接口的名称，安全级别，IP地址2.配置ASA1和ASA2到对端的路由3.配置NAT,global允许192.168.1.25/25网络数据出外网和DMZ网络。

4.允许192.168.1.0/25网络访问internet，允许外网所有用户访问www，拒绝192.168.1.129/25访问www（Object-group）5.配置ASA1的内部其他部门与ASA2内部其他部门的安全虚拟专用网IPSEC.一．动态NAT多接口需求1. Inside 10.1.2.0/24访问使用global 1地址池的地址出去2. Inside 192.168.1.0/24访问使用global 2地址池的地址出去二．动态，静态，NAT，PAT混合1. DMZ 10.1.1.0/24访问Outside使用地址池209.165.201.3-102. DMZ 10.1.1.0/24访问Inside使用地址池10.1.2.30-403. Inside出于安全性考虑，需要隐藏真实地址10.1.2.27,使用10.1.1.5代替三．配置ASA防火墙上LAN-to-LAN IPSEC。

思科ASA虚拟防火墙学习总结(昊昊)第1章激活多CONTEXT模式1.1安全的上下文概述3 1.2M ULTIPLE CONTEXT的使用环境3 1.2.1ISP想把一台ASA给更多的客户提供保护.那么实施MULTIPLE CONTEXT能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费. 3 1.2.2在一个企业网或者是园区网中,想要保证各个部门是绝对独立的3 1.2.3你的网络需要不止一台防火墙3 1.3不支持的特性3 1.3.1动态路由协议3 1.3.2VPN 4 1.3.3组播路由和组播桥接4 1.3.4威胁检查4 1.4虚拟墙的配置文件4 1.4.1C ONTEXT配置4 1.4.2系统配置4 1.4.3管理CONTEXT配置4 1.5ASA对数据包的分类4 1.5.1有效的分类标准5 1.5.2分类的例子5 1.6重叠安全CONTEXT9 1.7管理接入安全的虚拟墙10 1.7.1系统管理员访问10 1.8开启和关闭防火墙的MULTIPLE CONTEXT模式11 1.8.1激活虚拟墙11 1.8.2恢复到单一模式11第1章激活多context模式1.1 安全的上下文概述ASA可以把单一的安全设备分割成多个虚拟的防火墙.叫做安全的context.每一个context就是一个独立的设备,拥有自己的安全策略,接口,管理.多个context有点类似于多个独立真实的防火墙一样.包括路由表,防火墙特性,IPS,管理.一些特性是不支持的,例如:动态路由协议,VPN等1.2 Multiple context的使用环境1.2.1 ISP 想把一台ASA给更多的客户提供保护.那么实施multiple context能够为更多的客户提供独立的安全策略,更多的保护.并且节省的花费.1.2.2 在一个企业网或者是园区网中,想要保证各个部门是绝对独立的1.2.3 你的网络需要不止一台防火墙1.3 不支持的特性Multiple context不支持的特性:1.3.1 动态路由协议虚拟墙只能够支持静态路由协议,动态(OSPF,RIP,EIGRP)不被支持1.3.2 VPN1.3.3 组播路由和组播桥接1.3.4 威胁检查1.4 虚拟墙的配置文件每一个虚拟墙都会有它独立的配置,具体分为3种:1.4.1 Context配置ASA包括每一个context的配置目的为了区分安全策略,接口,几乎配置单独ASA的所有配置.可以存储context配置在内部或者外部的flash上,或者上传下载到TFTP,FTP,HTTPS服务器上1.4.2 系统配置这个系统配置文件是通过配置每一个context的配置文件来管理context(虚拟墙),例如分配接口,其他的context的操作.类似于一个单一模式的配置.1.4.3 管理context配置这个admin context有点类似于其他的context.主要用于对虚拟墙进行管理.1.5 ASA对数据包的分类每一个数据包进入ASA的话是必须要被分类的,以至于ASA能够决定哪个虚拟墙去转发数据包.1.5.1 有效的分类标准1.5.1.1 唯一的接口如果只有一个虚拟墙互联了一个进入的接口,那么ASA会把数据包分给这个context.在透明模式下,唯一的接口是必须的.1.5.1.2 唯一的MAC地址如果多个context共享一个接口的话, 不管是共享物理接口还是子接口.默认的共享接口那么这个分类器会使用共享接口的MAC地址,ASA会让你指定不通的MAC地址给每一个context.1.5.1.3 NAT配置如果没有唯一的MAC地址,分类器会截获数据包,发起一个目的IP地址的查找.只使用IP数据包中的目的地址字段.如果有context NAT的地址是改数据包的目的地址,那么分类器就会把该数据包分配给这个context.1.5.2 分类的例子多个虚拟墙共享一个OUTSIDE接口,分类器把数据包分配给了context B,因为context B包含了改数据包的目的MAC地址.数据包分配给了context B.因为数据包的目的地址是context B转换后的地址.所有新进入的流量必须被分类,及时是从内部网络.如下图:分类器指定了该数据包去context B,因为内部接口gi0/1.3被指定了contextB.对于透明模式,必须设置使用唯一接口.1.6 重叠安全context把一个context放置在另外一个context的前面叫做重叠安全context.一个context的外部接口和另外一个context的内部接口是同一个接口.1.7 管理接入安全的虚拟墙在multiple模式下ASA提供了系统管理,和管理单一防火墙是一样的.1.7.1 系统管理员访问可以用两种方法以系统管理员的身份访问防火墙:1.7.1.1 采用console线连接ASA的console口1.7.1.2 采用telnet,SSH,ASDM登入防火墙做为系统管理员,可以接入所有的context1.8 开启和关闭防火墙的multiple context模式1.8.1 激活虚拟墙上下文模式(single or multiple)并没有存储在配置文件中.当从单一模式转换成多重模式的时候,ASA将会把当前配置转换到两个文件:一个新的启动配置(包含系统配置),另外一个文件为admin.cfg(包括admin配置).原来的running-config被保存成了old_running.cfg(内部flash根文件夹中).原来的startup配置不会被保存,ASA会针对系统配置的管理context自动加入一个条目,名字为admin.激活虚拟墙:需要重启生效.1.8.2 恢复到单一模式如果从多重模式转换到单一模式的时候,需要将以前的完整startup-config 恢复过来.也就是old_running.cfg文件.1.8.2.1 将old_running.cfg恢复到当前的startup-config1.8.2.2 改变多重模式为单一模式PDF 文件使用 "pdfFactory Pro" 试用版本创建w 。

CiscoASA防火墙同安全级别端口互相访问的问题问一个ASA同安全级别端口互相访问的问题 --问题解决了，总结了一下和大家分享！在输入same-security-traffic permit inter-interface命令之后，如果不添加任何ACL，同安全级别的端口之间所能做到的互相访问是不是应该像在同一台未作任何配置的交换机上面一样？包括FTP之类的应用服务～谢谢啦！--------------------------------------------------------------------------- 原问题如上 -------------------------------------------------------------------------------------------首先，一个防火墙上的两个端口之间如果需要建立链接，必须满足两个条件：1，两个端口对儿上要有相应的地址转换策略；2，有安全策略对转发数据放行，一般以ACL体现；这样，当高安全级别区域访问低安全级别区域的时候，安全策略是允许的；低安全级别区域访问高安全级别区域就需要ACL放行了；当2个同安全级别区域互相访问的时候，如果端口没有关联NAT 策略，那么通过same-security-traffic permit inter-interface可以实现互访，如果关联的NAT策略的话，就需要对这两个同安全级别端口进行端口之间的NAT调整，我这里使用了static(natserver,vlan300)192.168.30.0 192.168.30.0 netmask 255.255.255.0，static(vlan300,natserver)192.168.12.0 192.168.12.0 netmask 255.255.255.0这一对儿对应的NAT来实现对2个同安全级别区域自身网段NAT的转换，目的就是让ASA受到packet之后，不只关联到nat()1，而搞不清楚正确的转发方向。

思科产品常见问题一百问1.1600 系列路由器支持什么广域网卡，什么广域网链路，特点是什么？Cisco1600系列路由器支持WIC-1T、WIC-1B-S/T、WIC-1D SU-56K4（在中国不支持的WIC在这里未列出），WIC-1T 可支持异步链接，速率可达到1 15.Kbps;也可支持同步连接（如帧中继、专线、X.25）,速率可达2.048 Mbps。

Cisco16 00不支持WIC-2T。

2. Cisco3600 系列路由器目前是否支持广域网接口卡WIC-2T 和WIC-2A/S？Cisco3600 系列路由器在12.007XK 及以上版本支持WIC-2T 和WIC-2A/S 这两种广域网接口卡。

但是需要注意的是：只有快速以太网混合网络模块能够支持这两种广域网接口卡。

支持这两种接口卡的网络模块如下所示：NM-1FE2W，NM-2FE 2W，NM-1FE1R2W，NM-2W 。

而以太网混合网络模块不支持，如下所示：NM-1E2W，NM-2E2W，NM1E1R2W。

3. Cisco 7000 系列上的ME1 与Cisco 2600/3600 上的E1、CE1 有什么区别？Cisco 7000上的ME1 可配置为E1、CE1，而Cisco 260 0/3600 上的E1、CE1 仅支持自己的功能。

4. Cisco 2600 系列路由器，是否支持VLAN 间路由，对IOS软件有何需求？Cisco 2600 系列路由器中，只有Cisco2620 和Cisco2621 可以支持VLAN 间的路由(百兆端口才支持VLAN 间路由)。

并且如果支持VLAN 间路由，要求IOS 软件必须包括IP Plus 特性集。

5. Cisco 1750 路由器是否支持数据加密？CISCO 1750 是否支持ISL 或者802.1q 功能？支持。

1750 支持2 种加密技术：IPSec Data Encryption Standard (DES)56 和IPSec 3 DES. CISCO1750不支持802.1Q及ISL，CISCO1700系列中只有CISCO1710及CISCO1751 支持802.1 Q,但不支持ISL。