《网络安全高级应用》【DOC精选】.docVIP

《网络安全高级应用》知识点 第一章TCP/IP高级技术 1.IPv4数据报首部格式中‘首部长度’最短为20字节 2.与分片有关的字段有三个：标识、标志、分片偏移 3.标志字段中，第2位是0，表示允许分片；1表示不允许分片 标志字段中，第3位是0，表示这是最后一个分片，1表示还有后续分片 4.ICMP报文分两类：差错报文和查询报文 5. ICMP查询报文中类型8表示回送请求，类型0表示回送应答 6. ICMP差错报文中有五种类型： 类型3－终点不可达 代码1：Host unreachable（主机不可达） 代码3：Port unreachable（端口不可达） 类型4－源点抑制报文 类型5－改变路由报文 类型11－超时报文 类型12－参数问题 7.TCP的MSS是最大报文长度， MSS=MTU－20（IP首部长度）－20（TCP首部长度） 8. TCP的MSS在连接建立阶段确定后，在连接期间保持不变 MSS只存在于SYN报文和SYN+ACK报文中 9.TCP的其他机制：流量控制、差错控制、拥塞控制 10.UDP协议首部长度是8字节 第二章：cisco防火墙 Cisco ASA的常见型号，适合什么规模的网络？ 常见型号：5505、5510、5520、5540、5550、5580 5505适应小型网络，5510、5520和5540适应中型企业，5550和5580适用于大型企业。P40页 配置主机名，域名，特权密码，Telnet或SSH密码 ciscoasa(config)# hostname asa802 asa802(config)# domain-name asa802(config)# enable password asa802 asa802(config)# passwd cisco ASA接口名字和安全级别 Inside默认安全级别为100 Outside默认安全级别为0 DMZ默认安全级别100，可以配置到Inside ＜ DMZ ＜ Outside ASA 5505的接口配置跟其他型号的接口配置有什么区别？ ASA 5505不支持在物理接口上直接配置，必须通过VLAN虚接口来配置，然后吧接口划分到相应的vlan中。 配置E0/1接口为inside，安全级别100，ip地址为并激活 asa802(config)# int E0/1 asa802(config-if)# nameif inside asa802(config-if)# security-level 100 asa802(config-if)# ip add asa802(config-if)# no shutdown asa802(config-if)# exit 配置5505的vlan1虚接口IP为，并命名为inside，安全级别100，e0/1口划分到vlan1中 asa802(config)# int vlan 1 asa802(config-if)# nameif inside asa802(config-if)# security-level 100 asa802(config-if)# ip add asa802(config-if)# no shutdown asa802(config-if)# exit asa802(config-if)# int e0/1 asa802(config-if)# switchport access vlan 1 asa802(config-if)# exit 配置默认路由指向外网，下一条为 asa802(config)# route outside ASA查看路由表的命令是？ show route”查看路由表， ASA远程管理的方式有那三种？ ASA支持3种主要的远程管理接入方式：Telnet、SSH和ASDM。 使用Telnet远程管理是不安全的，所以一般禁止从外部接口使用Telnet接入。 配置只允许内网的主机可以telnet ASA，超时时间为30分钟 telnet 55 inside telnet timeout 30 配置允许内网/24的网段和外网的所有网段可以通过SSH登录防火墙，超时时间30分钟，SSH版本2 ciscoasa(config)# hostname asa802 asa802(config)# domain-name asa802(config)# enable password asa802 asa802(config)# passwd cisco asa802(config)# crypto key generate rsa modulus 1024 asa802(config)# ssh inside asa80