协议安全机制

语音通信的安全

远程访问安全管理

多媒体协作

管理电子邮件安全

虚拟专用网

交换与虚拟局域网

网络地址转换

第三方连接

交换技术

WAN技术

光纤链路安全控制特征

防止或减轻网络攻击

了解 PPP。点对点协议(PPP)是一种封装协议，旨在支持通过拨号或点对点链路传输IP流量。最初用于身份认证的 PPP选项是 PAP、CHAP 和 EAP。

PAP、CHAP 和 EAP定义。PAP 以明文形式传输用户名和密码。CHAP 使用无法重播的质询-响应对话执行身份认证。EAP 允许定制身份认证安全解决方案。

能够提供EAP 的示例。大约40多种EAP定义，包括LEAP、PEAP、EAP-SIM、EAP-FAST、EAP-MDS、EAP-POTP、EAP-TLS 和 EAP-TTLS。

了解 IEEE 802.1X • IEEE 802.1x 定义了封装EAP 的使用，以支持 LAN 连接的广泛身份

认证选项。IEEE802.1X 标准被正式命名为 “基于端口的网络访问控制”。

了解端口安全性。端口安全性可以指对所有连接点的物理控制，如 RJ-45 墙壁插孔或设备端口。端口安全性是对TCP 和用户数据报协议(UDP)端口的管理。端口安全性还可以指在允许通过端口或跨端口通信之前对端口进行身份认证的需要(即 IEEE 802.1X)。

理解语音通信安全。语音通信易受多种攻击的威胁，随着语音通信成为网络服务的一个重要部分，尤其如此。通过使用加密通信，能够提高保密性。需要采取一些技术手段来防止拦截、纷听、tapping 以及其他类型的攻击。熟悉与语音通信相关的主题，如 POTS、PSTN、PBX A VolP.

了解与 PBX 系统有关的威胁以及应对 PBX 欺骗的措施。抵御 PBX 欺骗与滥用的措施在很大程度 上与保护计算机网络的方法相同：逻镇、技术控制、管理控制及物理控制。

理解与XoIP 有关的安全问题。XoIP 面临的安全风险包括：来电显示数诈、语音钧鱼、拨号管理软件/固件攻击、电话硬件攻击、DoS、 MITM/路径、欺骗及交换机跳跃攻击。

理解飞客攻击的内容。飞客攻击(phreaking)是一种特定类型的攻击，此类攻击使用各种技术今过电话系给的计故功能，以便免费提打长途电话， 更改电话服务的功能，滥用专业化服务或直接导致服务崩溃。飞客是执行飞客攻击的人。

理解还程访问安全管理的问题。远程访问交全管理要求安全系统设计者按照安全策略、工作任务及加密的要求，来选择硬件与软件组件。

了解与远程访问安全相关的各种问题。熟悉远程访问、拨号连接、屏幕截取器、虚拟应用/桌面及普通远程办公的安全重点。

了解多媒体协作。多媒体协作是指利用各种多媒体支持通信解决方案来增强远程协作和通信。

了解负载均衡器的用途。负载均衡的目的是获得更优化的基础设施利用率，最小化响应时间，最大化吞吐-量，减少过载和消除瓶颈。负载均衡器用于在多个网络链路或网络设备上分散/分配网络负载。

了解主动-主动系统。主动-主动系统是一种负载均衡形式，在正常操作期间使用所有可用路径或系统，但在不利条件下容量会降低。

了解主动-被动系统。主动-被动系统是一种负载均衡形式，它在正常操作期间使某些路径或系统处于未使用的休眠状态，并且能够在异常情况下保持一致的容量。

理解电子邮件安全的工作机理。互联网邮件基于 SMTP、POP3 及IAP 协议。它存在固有的不安全性。为使邮件变得安全，需要在安全策略中加入一些安全手段。解决邮件安全的技术包括：SMIME、PGP、DKIM、SPF、DMARC、 STARTTLS 和隐式 SMTPS。

了解如何保护数据通信。保护措施应包括实施安全的 VoIP、 VPN、 VLAN 和 NAT。

了解虚拟化网络。虚拟化网络或网络虚拟化是指将硬件和软件网络组件组合成单个集成实体。示例包括：软件定义网络(SAN)、 VIAN、 VPN、虚拟交换机、虛拟 SAN、来宾操作系统、端口隔离和 NAT。

定义隧道。隧道是指用第二种协议封装一种传输协议的消息。第二种协议经常利用加密来保护消息内容。

理解 VPN。 VPN 基于加密隧道。能提供具备身份认证及数据保护功能的点对点连接。常见的 VPN 协议有 PPTP、L2TP、SSH、TLS 和 Psec。

了解分割隧道与全隧道。分割隧道是一种 VPN 配置，允许 VPN 连接的客户端系统(即远程节点)同时通过 VPN 和互联网直接访问组织网络。全隧道是另一种 VPN 配置，在该配置中，客户端的所有流量都通过 VPN 链路发送到组织网络，然后任何以互联网为目的地的流量从组织网络的代理或防火墙接口路由到互联网。

能够解释什么是 NAT。NAT 为私有网络提供寻址方案，允许使用私有卫地址，并支持多个内部用户通过较少的公共 卫 地址来访问互联网。很多安全边界设备都支持 NAT，如防火墙、路由器、网关、WAP 及代理服务器。

了解第三方连接。大多数组织与外部第三方提供商进行交互。大部分外部实体不需要直接与组织的IT/IS 进行交互，然而，尽管很少，仍须考虑风险和后果。这包括合作伙伴关系、云服务和远程工作人员。

理解分组交换与电路交换之间的差异。在电路交换中，通信双方之间建立专用的物理路径。在分组交换中，消息或通信内容被分成很多小段，然后通过中间网络传送到目的端。分组交换系统有两种通信路径或虚电路：永久虚电路(PVC)及交换式虚电路(SVC)。

理解各种头型的网络攻击以及与通信安全有关的应对措施。通信系统易受多种攻击的威胁，这些攻击包括分布式拒绝服务(DDoS)、分听、假冒、重放、篡改、欺骗、ARP 攻击与DNS 攻击。要能针对每种攻击提出有效的应对措施。

1.关于安全解决方案，最重要的是它是否满足资产的特定需求(即威胁）。但是，很多其他方面的安全问题也需要你考虑。安全控制的一个显著优点是不被用户察觉，该优点是什么？ A. 不可见性 B.透明性 C.分区 D.隐藏在显眼的地方

2. 可扩限出份以证协议EAP起点对点协议（PPP）能提供的三种等份认证项之一，EAP名许定制身份认证安全解快方案。以下哪些选项是 EAP 方法的示例？(选择所有适用的 选项。） A. LEAP B. EAP-VPN C. PEAP D. EAP-SIM E. EAP-FAST F. EAP-MBL G. EAP-MD5 H. VEAP I. EAP-POTP J. EAP-TLS K. EAP-TTLS

3. 除了维护更新的系统和控制物理访问外，以下哪项是针对 PBX 欺诈和滥用的最有效 对策？ A. 通信加密 B. 更改默认密码 C.使用传输日志 D. 录制和归档所有通话

4.一名飞客被逮捕，他一直在使用办公大楼中部署的技术。这名飞客被捕时拥有的几件手工制作的工具和电子产品被用作证据。这个对手可能在试图破坏组织的什么？ A. 账号 B. NAT C. PBX D. Wi-Fi

5. 多媒体协作是指使用各种文持多媒体的通信解决方案增强远程协作(共同远程处理项目)。通常，协作允许员工同时工作，也可路越不同的时区。以下哪些选项是对多媒体协作工具实施的重要安全机制？（选择所有适用的选项。） A. 通信加密 B. 多因素身份认证 C.定制虚拟身份和过滤器 D 事件和活动的记录

6. Michael 正在配置一个新的 Web 服务器，以便向客户提供说明手册和规格表。web 服务器己定位在屏蔽子网中，并分配了 卫 地址(172.31,201.17)，公司拆分 DNS 的公共端己将documents.myexamplecompany.com 域名与分配的IP相关联。在确认网站可以从他的管理站(通过跳转箱访问屏蔽子网)以及几个员工的桌面系统访问后，他宣布项目完成并回家。几个小时后，Michael 想到了一些额外的修改来改进站点导航。但是，当他尝试使用 FQDN 连接到新网站时，他收到了一个连接错误一一他无法访问该网站。这个问题的原因是什么？ A. 跳转箱未重新启动。 B. 拆分 DNS 不支持 Internet 域名解析。 C.浏览器与网站编码不兼容。 D. 将RFC 1918 中的私有卫地址分配给 Web 服务器。

7. Mark 正在配置远程访问服务器以接收来自远程工作者的入站连接。他正在遵循配置清单，以确保远程办公链接符合公司安全政策。哪一种身份认证协议不提供对登录凭证的加密及保护？ A. PAP B. CHAP C. EAP D. RADIUS

8. 一些独立的自动化数据收集工具在其操作中使用搜索引擎。他们可以通过自动与人机界面 Web 门户界面交互来实现。是什么实现了这一功能？ A.远程控制 B. 虚拟桌面 C.远程节点操作 D. 屏幕抓取

9.在评估网络流量时，你发现几个不熟悉的地址。其中几个地址在分配给内部网段的地址范围内。以下哪些 IP地址是 RFC 1918定义的私有 IPv4 地址？（选择所有适用的选项。） A. 10.0.0.18 B. 169.254.1.119 C. 172.31.8.204 D. 192.168.6.43

10. CISO 已要求提交一份关于整个公司潜在通信合作伙伴的报告。有一项计划是，在所有网段之间实施 VPN，以提高防御窃听和数据操纵的能力。下列哪一项不能通过 VPN 进行连接？ A. 两个远距离的互联网连接的 LAN B. 同一LAN 中的两个系统 C.一个接入互联网的系统与一个接入互联网的 LAN D.两个没有中间网络连接的系统

11 什么网络设备可用于创建数字虚拟网段，而且可根据需要调整设备内部署的更改？ A. 路由器 B.交换机 C. 代理 D.防火墙

12.CISO 担心，若將子网用作网段的唯一形式，会限制网络的增长和灵活性。他们正在考虑实施支持 VLAN 的交换机，但不确定 VLAN 是不是最佳选择。以下哪项不是 VLAN的优点？ A.流量隔离 B.数据/流量加密 C.拥塞管理 D.降低组织对嗅探器的脆弱性

13. CISO 己委托你设计和实施 IT 端口安全策略。在研究这些选项时，你意识到有几个港在的概念被标记为端口安全性。你准各了一份报告，向 CISO 提供选项。你应该在此报告中加入以下哪些端口安全概念？（选择所有适用的选项。） A. 集装箱存储(shipping container storage) B. NAC C. 传输层 D. RJ-45 插孔

14._______是对网络通信效率和性能的监督和管理。要测量的项目包括吞吐量、比特率、数据包丢失、延迟、抖动、传输延迟和可用性。 A. VPN B. Qos C. SDN D.嗅探

15. 你正在配置 VPN 以提供系统之间的安全通信。你希望通过所选解決方案的加密机制最大限度地减少明文中留下的信息。哪种 IPsee 模式提供完整数据包(包括报头信息)的加密？ A.传输模式 B. 封装安全载荷(ESP) C身份认证头(AH) D.隧道模式

16. 互联网协议安全(IPsec)是卫安全扩展的标准，被用作IPv4 的附加组件，并集成到IPv6中。什么IPsec 组件确保消息完整性和不可否认性？ A. 身份认证头(AHD B.封装安全载荷(ESP) C.IP有效负载压缩协议 D.互联网密钥交换(IKE)

17. 为互联网邮件设计安全系统时，下列哪一项最不重要？ A.不可否认性 B.数据残余销毀 C．消息完整性 D.访问限制

18. 你的任务是制订组织的电子邮件保留策略。下列哪一项不是必须与终端用户商议的 耍素？ A. 隐私 B.审计者审核 C.保留的时间长度 D.备份方法

19. 现代网络是建立在多层协议上的，如TCP/IP。这为复杂网络结构提供了灵活性和韧性。以下各项中，哪一项不是多层协议的含义？ A. VLAN跳转 B. 多重封装 C.使用隧道规避过滤 D. 静态IP地址

20. 以下哪种连接类型可以被描述为始终存在的并等待客户发送数据的逻辑电路？ A. SDN B. PVC C. VPN D. SVC