試題一：閱讀以下說明，回答問題1～5，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
SSL（Secure Socket Layer）是目前解決傳輸層安全問題的一個(gè)主要協(xié)議，其設(shè)計(jì)的初衷是基于TCP協(xié)議之上提供可靠的端到端安全服務(wù)，SSL的實(shí)施對于上層的應(yīng)用程序是透明的。應(yīng)用SSL協(xié)議最廣泛的是HTTPS，它為客戶瀏覽器和Web服務(wù)器之間交換信息提供安全通信支持，如圖C2-3-1所示。圖C2-3-2給出了IIS5.0 Web服務(wù)器軟件中啟用HTTPS服務(wù)之后的默認(rèn)配置。


【問題1】（3分）     SSL協(xié)議使用 （1） 密鑰體制進(jìn)行密鑰協(xié)商。在IIS 5.0中，Web服務(wù)器管理員必須首先安裝Web站點(diǎn)數(shù)字證書，然后Web服務(wù)器才能支持SSL會(huì)話，數(shù)字證書的格式遵循ITU-T （2） 標(biāo)準(zhǔn)。通常情況下，數(shù)字證書需要由 （3） 頒發(fā)。
【問題2】（3分）
如果管理員希望Web服務(wù)器既可以接收http請求，也可以接收https請求，并且Web服務(wù)器要求客戶端提供數(shù)字證書，在圖C2-3-2中如何進(jìn)行配置?
【問題3】（3分）
如果Web服務(wù)器管理員希望Web服務(wù)器只接收https請求，并要求在客戶IE和Web服務(wù)器之間實(shí)現(xiàn)128位加密，并且不要求客戶端提供數(shù)字證書，在圖C2-3-2中如何進(jìn)行配置?
【問題4】（3分）
如果Web服務(wù)器管理員希望Web服務(wù)器對客戶端證書進(jìn)行強(qiáng)制認(rèn)證，在圖C2-3-2如何進(jìn)行配置?
【問題5】（3分）
如果Web服務(wù)器管理員準(zhǔn)備預(yù)先設(shè)置一些受信任的客戶端證書，在圖C2-3-2中如何進(jìn)行配置?

查看答案

試題二：閱讀以下說明，回答問題1至問題2，將解答填入答題紙對應(yīng)的解答欄內(nèi)。
【說明】
某企業(yè)內(nèi)部局域網(wǎng)拓?fù)淙鐖D2-1所示，局域網(wǎng)內(nèi)分為辦公區(qū)和服務(wù)器區(qū)。

圖2-1中，辦公區(qū)域的業(yè)務(wù)網(wǎng)段為10.1.1.0/24，服務(wù)器區(qū)網(wǎng)段為10.2.1.0/24服務(wù)網(wǎng)段的網(wǎng)關(guān)均在防火墻上，網(wǎng)關(guān)分別對應(yīng)為10.1.1.254。10.2.1.254；防火墻作為DHCP服務(wù)器，為辦公區(qū)終端自動(dòng)下發(fā)IP地址，并通過NAT實(shí)現(xiàn)用戶訪問互聯(lián)網(wǎng)。防火墻外網(wǎng)服務(wù)部IP地址為100.1.1.2/28，辦公區(qū)用戶出口IP地址池為100.1.1.10-100.1.1.15。
【問題1】(6分) 防火墻常用工作模式有透明模式、路由模式、混合模式，圖2-1 中的出口防火墻工作于(1)模式：防火墻為辦公區(qū)用戶動(dòng)態(tài)分配IP地址，需在防火墻完成開啟(2)
功能：Server2為WEB服務(wù)器，服務(wù)端口為tcp 443，外網(wǎng)用戶通過https://100.1.1.9:8443訪問，在防火墻上需要配置(3)
(3)備選答案：
A.nat server policy _web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2.443 unr-route
B.nat server policy _web protocol tcp global 10.2.1.2.8443 inside 100.1.1.9 443 unr-route
C.nat server policy _web protocol tcp global 100.1.1.9 443 inside 10.2.1.2.8443 unr-route
D.nat server policy _web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route
【問題2】(14分)
為了使局城網(wǎng)中1.1.0/24網(wǎng)段的用戶可以正常訪問intemet，需要在防火墻上完成NAT、安全策略等配置，請根據(jù)需求完善以下配置。
#將對應(yīng)接口加入trust或者untrust區(qū)域。
[FW] firewall zone trust
[FW-zone-trust] add interface(4)
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface_(5)
[FW-zone-untrust]quit
#配置安全策略，允許局域網(wǎng)指定網(wǎng)段與Intemet進(jìn)行報(bào)文交互。
[FW] security-poliey
[FW-policy security]rule name policyl
#將局域網(wǎng)作為源信任區(qū)域，將互聯(lián)網(wǎng)作為非信任區(qū)域
[FW-policy-security-rule-policyl]souree-zone(6)
[FW-policy-seeurity-rule-policyl]destination-zone untrust
#指定局域網(wǎng)辦公區(qū)域的用戶訪問互聯(lián)網(wǎng)
[FW-policy-security-rule-policyl]source-address(7)
#指定安全策略為允許
[FW-policy-security-rule-policyl] action(8)
[FWpoliey-security-rule-policyl] quit
[FW-policy-seeurity] quit
置NAT地址池，配置時(shí)開啟允許端口地址轉(zhuǎn)換，實(shí)現(xiàn)公網(wǎng)地址復(fù)用。
[FW] nat address-group address groupl
[FW-address-group-addressgroupl] mode pat
[FWaddress-group-addressgroupl]section 0(9)
配置源NAT策略，實(shí)現(xiàn)局城網(wǎng)指定網(wǎng)段訪問Intemet時(shí)自動(dòng)進(jìn)行源地址轉(zhuǎn)換。
[FW] nat poliey
[FW-policy nat]rule name poliy_nat 1
#指定具體哪線區(qū)域?yàn)樾湃魏头切湃螀^(qū)域
[FW-policy-nat-rule policy_nat 1] source-zone trust
[PW-policy-nat-rule policy_nat 1] destination zone untrust
#指定局域網(wǎng)源IP地址
[FW-policy-nat-rule policy_nat 1] source-address 10.1.1.0 24
[FW-policy-nal-rule-policy_nat 1]action source-nat address-group (10)
[FW-policy-nat-rule-policy_natl 1]quit
[PW-policy-nat] quit

查看答案