软考网络工程师 软考网络工程师试题

2022年上半年网络工程师案例分析试题模拟试题及答案（8）

• 试题一：阅读以下说明，回答问题1～5，将解答填入答题纸的对应栏内。
• 【说明】
• SSL（Secure Socket Layer）是目前解决传输层安全问题的一个主要协议，其设计的初衷是基于TCP协议之上提供可靠的端到端安全服务，SSL的实施对于上层的应用程序是透明的。应用SSL协议最广泛的是HTTPS，它为客户浏览器和Web服务器之间交换信息提供安全通信支持，如图C2-3-1所示。图C2-3-2给出了IIS5.0 Web服务器软件中启用HTTPS服务之后的默认配置。
• 
  
• 
  
• 【问题1】（3分）     SSL协议使用 （1） 密钥体制进行密钥协商。在IIS 5.0中，Web服务器管理员必须首先安装Web站点数字证书，然后Web服务器才能支持SSL会话，数字证书的格式遵循ITU-T （2） 标准。通常情况下，数字证书需要由 （3） 颁发。
• 【问题2】（3分）
• 如果管理员希望Web服务器既可以接收http请求，也可以接收https请求，并且Web服务器要求客户端提供数字证书，在图C2-3-2中如何进行配置?
• 【问题3】（3分）
• 如果Web服务器管理员希望Web服务器只接收https请求，并要求在客户IE和Web服务器之间实现128位加密，并且不要求客户端提供数字证书，在图C2-3-2中如何进行配置?
• 【问题4】（3分）
• 如果Web服务器管理员希望Web服务器对客户端证书进行强制认证，在图C2-3-2如何进行配置?
• 【问题5】（3分）
• 如果Web服务器管理员准备预先设置一些受信任的客户端证书，在图C2-3-2中如何进行配置?
  查看答案
  
  
• 参考解析
• 
  考友试题答案分享：
• 试题二：阅读以下说明，回答问题1至问题2，将解答填入答题纸对应的解答栏内。
• 【说明】
• 某企业内部局域网拓扑如图2-1所示，局域网内分为办公区和服务器区。
• 
  
• 图2-1中，办公区域的业务网段为10.1.1.0/24，服务器区网段为10.2.1.0/24服务网段的网关均在防火墙上，网关分别对应为10.1.1.254。10.2.1.254；防火墙作为DHCP服务器，为办公区终端自动下发IP地址，并通过NAT实现用户访问互联网。防火墙外网服务部IP地址为100.1.1.2/28，办公区用户出口IP地址池为100.1.1.10-100.1.1.15。
• 【问题1】(6分) 防火墙常用工作模式有透明模式、路由模式、混合模式，图2-1 中的出口防火墙工作于(1)模式：防火墙为办公区用户动态分配IP地址，需在防火墙完成开启(2)
• 功能：Server2为WEB服务器，服务端口为tcp 443，外网用户通过https://100.1.1.9:8443访问，在防火墙上需要配置(3)
• (3)备选答案：
• A.nat server policy _web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2.443 unr-route
• B.nat server policy _web protocol tcp global 10.2.1.2.8443 inside 100.1.1.9 443 unr-route
• C.nat server policy _web protocol tcp global 100.1.1.9 443 inside 10.2.1.2.8443 unr-route
• D.nat server policy _web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route
• 【问题2】(14分)
• 为了使局城网中1.1.0/24网段的用户可以正常访问intemet，需要在防火墙上完成NAT、安全策略等配置，请根据需求完善以下配置。
• #将对应接口加入trust或者untrust区域。
• [FW] firewall zone trust
• [FW-zone-trust] add interface(4)
• [FW-zone-trust] quit
• [FW] firewall zone untrust
• [FW-zone-untrust] add interface_(5)
• [FW-zone-untrust]quit
• #配置安全策略，允许局域网指定网段与Intemet进行报文交互。
• [FW] security-poliey
• [FW-policy security]rule name policyl
• #将局域网作为源信任区域，将互联网作为非信任区域
• [FW-policy-security-rule-policyl]souree-zone(6)
• [FW-policy-seeurity-rule-policyl]destination-zone untrust
• #指定局域网办公区域的用户访问互联网
• [FW-policy-security-rule-policyl]source-address(7)
• #指定安全策略为允许
• [FW-policy-security-rule-policyl] action(8)
• [FWpoliey-security-rule-policyl] quit
• [FW-policy-seeurity] quit
• 置NAT地址池，配置时开启允许端口地址转换，实现公网地址复用。
• [FW] nat address-group address groupl
• [FW-address-group-addressgroupl] mode pat
• [FWaddress-group-addressgroupl]section 0(9)
• 配置源NAT策略，实现局城网指定网段访问Intemet时自动进行源地址转换。
• [FW] nat poliey
• [FW-policy nat]rule name poliy_nat 1
• #指定具体哪线区域为信任和非信任区域
• [FW-policy-nat-rule policy_nat 1] source-zone trust
• [PW-policy-nat-rule policy_nat 1] destination zone untrust
• #指定局域网源IP地址
• [FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24
• [FW-policy-nal-rule-policy_nat 1]action source-nat address-group (10)
• [FW-policy-nat-rule-policy_natl 1]quit
• [PW-policy-nat] quit
  查看答案
  
  
• 参考解析：
• 
  考友试题答案分享：
  505775440184：
• 1.透明 2.dhcp 3.c 4.ge0/0/1-2 5.ge0/0/3 6.trust 7.10.1.1.0 255.255.255.0 8.enable 9.outbound 10.outbound
  535681176367：
• （1）路由（2）dhcp（3）a（4）ge0/0/1（5）ge0/0/3（6）trust（7）10.1.1.0 24 （8）premit （9）100.1.1.10 100.1.1.15（10）address group 1
  wonuie：
• 1.路由模式 2.dhcp 3.a 4.ge0/0/1 5.ge0/0/3 6.100.1.1.2/28 7.10.1.1.0/24 8.0 9.nat 10.0
  515627379429：
• 1.混合模式 2.dhcp功能 3.a 4.10.1.1.0 24  5.100.1.1.2 28   6.trust  7.10.1.1.0 24  8.permit  9.apt
  499149492432：
• （1）混合模式 （2）dhcp服务 （3）a （4）ge0/0/1 （5）ge0/0/3 （6）trust （7）10.1.1.0 24 （8）permit （9）100.1.1.10 100.1.1.15 （10）groupl