aspose - jpnshiken.com · cisco.210-260.v2019-08-10.q179 試験コード： 210-260 試験名称：...

Cisco.210-260.v2019-08-10.q179

試験コード： 210-260試験名称： Implementing Cisco Network Security認証ベンダー： Cisco無料問題の数： 179バージョン： v2019-08-10ページの閲覧量： 146問題集の閲覧量： 2067https://www.jpnshiken.com/shiken/Cisco.210-260.v2019-08-10.q179.html

質問: 1ARPスプーフィング攻撃を軽減できる対策はどれですか？（2つ選んでください。）A.ポートセキュリティB. DHCPスヌーピングC. IPソースガードD.ダイナミックARPインスペクション正解：B,D説明/参照：Explanation:最善策は、ARPスプーフィング攻撃に対してDHCPスヌーピングとダイナミックARPインスペクションを有効にすることです。

参照先：http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/white_paper_c11_603839.html

質問: 2ユーザがアクセスできるかどうかを判断するためにAAA認証をイネーブルにするために使用するコマンド

特権コマンドレベル？

A. AAA認証イネーブルローカルB. AAA認証有効レベルC. AAA認証がデフォルトのローカルを有効にします。D. AAA認証イネーブル方式のデフォルト正解：C

質問: 3ご使用の環境にSNMPv3をデプロイしました。あなたの上司はあなたに、SNMPエージェントはSNMPマネージャとのみ通信できます。この要求を満たすためにSNMPエージェントに何を設定しますか？A. SNMPマネージャを含むSNMPグループB. SNMPマネージャを含むSNMPビュー

https://www.jpnshiken.com/shiken/Cisco.210-260.v2019-08-10.q179.html

C. SNMP設定に適用されたSNMPマネージャを含む標準のACLD.内部にSNMPマネージャを持つルーティングフィルタ正解：A,C

質問: 4RADIUSの特徴はどれですか？（2つ選んでください。）A. UDPポート49を使用B. TCPポート49を使用C. TCPポート1812/1813を使用D.ユーザーとサーバー間のパスワードのみを暗号化しますE. UDPポート1812/1813を使用します正解：D,E

質問: 5どのコマンドを入力すると、ユーザを認証するようにCisco ASAファイアウォールを設定します。フォールバック方法なしでローカルデータベースを使用して構文？

A. aaa認証有効コンソールLOCAL SERVER_GROUPB. AAA認証イネーブルコンソールSERVER_GROUP LOCALC. AAA認証が有効なコンソールローカルD. AAA認証有効コンソールLOCAL正解：D説明/参照：Explanation:CONSOLEリストは、con 0行目のデフォルトの方式リストdefaultを上書きします。パスワードを入力する必要があります。

コンソールアクセスを取得するための「cisco」（line con 0で設定）デフォルトリストは、tty、vty、お

よびauxでまだ使用されています。注：コンソールアクセスをローカルのユーザー名とパスワードで認証するには、次のコマンドを使

用してください。

Router（config）＃aaa認証ログインCONSOLE local参照先：http://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs / 10384-security.html＃login_auth

質問: 6FirePOWERは悪意のある電子メールの添付ファイルをどのようにブロックできますか？A.メール要求を外部の署名エンジンに転送します。B.インバウンドEメールメッセージで既知の不正なURLをスキャンします。C.ファイルポリシーを通じてトラフィックを送信します。D.疑わしい電子メールメッセージを確認するために管理者に警告を送信します。

正解：C説明/参照：Explanation:悪意のあるソフトウェア、またはマルウェアは、複数のルートを経由して組織のネットワークに

侵入する可能性があります。あなたを助けること

マルウェアの影響、ASA FirePOWERモジュールのファイル制御、および高度な機能を識別して軽減します。

マルウェア対策コンポーネントは、マルウェアの感染を検出、追跡、保存、分析、およびオプション

でブロックすることができます。

ネットワークトラフィックに含まれるマルウェアやその他の種類のファイル。

全体的なアクセスの一環として、マルウェア対策とファイル管理を実行するようにシステムを設

定します。

制御構成作成してアクセス制御規則に関連付けるファイルポリシーはネットワークを処理しま

す。

ルールに一致するトラフィック

参照先：http://www.cisco.com/c/en/us/td/docs/security/firesight/541/firepower-module-user-guide/asa-火力モジュールユーザガイドv541 / AMP-Config.html

質問: 7ゾーンペアを通過するときにゾーンベースのファイアウォールがパケットに適用できるアクショ

ンは2つありますか。（2つ選んでください。）A.検疫B.ブロックC.点検するD.キューE.落とす正解：C,E

質問: 8トランクポートのネイティブVLANを未使用のVLANに変更した場合、攻撃者が攻撃を試みるとどうなりますか。

二重タグ攻撃

A.トランクポートはerrdisableステートになります。B. VLANホッピング攻撃が成功します。C. VLANホッピング攻撃を防ぐことができます。D.攻撃を受けたVLANは削除されます。正解：C説明/参照：Explanation:

二重タギング攻撃の主な特徴は、ネイティブVLANを悪用することです。VLAN 1がデフォルトのVLANであるためトランク上のアクセスポートとデフォルトのネイティブVLANの場合、これは簡単なターゲットです。最初の対策は

攻撃者のポートはスイッチのポートと一致する必要があるため、デフォルトのVLAN 1からアクセスポートを削除します。

ネイティブVLAN参照：https://www.nlogic.co/understanding-vlan-hopping-attacks/

質問: 9トラフィックがセキュリティアプライアンスを通過したときと同じインターフェイスを通過する

ことを許可するVPN機能は何ですか。A.ヘアピンB. NATC. NATトラバーサルD.スプリットトンネリング正解：A説明/参照：Explanation:この機能は、インターフェイスに入るがそのインターフェイスからルーティングされるVPNトラフィックに役立ちます。

たとえば、セキュリティアプライアンスがハブとなり、ハブアンドスポークVPNネットワークが1つのスポークが別のスポークトラフィックと通信するためには、リモートVPNネットワークはスポークです。

セキュリティアプライアンスに行き、そしてもう一方のスポークに再度出て下さい。

トラフィックが同じインターフェイスに出入りできるようにするには、same-security-trafficコマンドを入力します。

ciscoasa（config）＃同一セキュリティトラフィックがイントラインターフェイスを許可する参照先：http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls / 100918-asa-sslvpn-00.html

質問: 10どのプロトコルがセキュアコピーにセキュリティを提供しますか？

A. IPsecB. SSHC. HTTPSD. ESP正解：B説明/参照：Explanation:

セキュアコピー（SCP）機能は、デバイスをコピーするための安全で認証された方法を提供します。

構成またはデバイスイメージファイル。SCPはSecure Shell（SSH）、そのアプリケーションとプロトコルに依存しています。

Berkeleyのr-toolsスイート（Berkeley大学独自のネットワーキングのセット）の安全な代替品を提供する

アプリケーション）。

参照先：http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_ssh/configuration/15-s/sec-usr-ssh-15-s-book / sec-secure-copy.html

質問: 11ゾーンベースのファイアウォールでのトラフィックの2つのデフォルトの動作は何ですか？（2つ選んでください。）

A.同じゾーンのメンバーであるインターフェース間で通信が許可されますB.同じゾーンのメンバーであるインターフェース間の通信がブロックされていますC.ルーターインターフェイスに設定されているCBACルールはゾーンインターフェイスに適用されます。

D.ゾーン間のすべてのトラフィックが暗黙的にブロックされていますE.セルフゾーン内のトラフィックは暗黙のdeny allを使用します正解：A,D

質問: 12Cisco ASAでNATルールを設定しています。マッピングされたインタフェースのどの記述が正しいですか？

A.すべてのファイアウォールモードに必須です。B.透過モードではオプションです。C.ルーテッドモードではオプションです。D. NATのみを識別するために必須です。正解：C説明/参照：参照先：https://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config / nat_objects.html

質問: 13ASAファイアウォールで複数のセキュリティコンテキストを設定する理由は何ですか。A.さまざまな部署と部署を分けます。B.隣接して接続されているルータでVRFを使用できるようにします。C.組織内に冗長性と高可用性を提供します。D.ファイアウォール経由のマルチキャストルーティングとQoSの使用を有効にします。

正解：A説明/参照：Explanation:異なる部署グループと各部署を持つ大企業を管理しています独自のセキュリティポリシーを実装したいと考えています。

参照：http://www.ciscopress.com/articles/article.asp?p=426641

質問: 14ip scp server enableコマンドの効果は何ですか？A.ルーターはSCPサーバーへの要求を開始できます。B.ルーターはSCPサーバーになることができます。C. SCPを許可されたコピー機能のリストに追加します。D.特定のSCPサーバーを許可するアクセスリストを参照します。正解：B

質問: 15スイッチが上位BPDUを受信して直接ブロック状態になる場合は、どのメカニズムを使用する必要があります。

つかいます？

A.ルートガードB. EtherChannelガードC.ループガードD. BPDUガード正解：A説明/参照：Explanation:ルートガード機能は、そのような問題からネットワークを保護します。

ルートガードの設定はポート単位です。ルートガードはポートがになることを可能にしません

STPルートポート。ポートは常にSTP指定です。より良いBPDUがこのポートに到着した場合、ルートガードは

BPDUを考慮に入れずに新しいSTPルートを選択します。代わりに、ルートガードはポートをルートにします。

STPの状態が矛盾しています。ルートブリッジが表示されるべきではないすべてのポートでルートガードを有効にする必要があります。

ある意味では、STPルートが存在する可能性があるネットワーク部分の周囲に境界を設定できます。

見つけた。

次の図で、スイッチDに接続しているスイッチCのポートでルートガードを有効にします。下の図のスイッチCは、スイッチが優先を受信した後、スイッチDに接続するポートをブロックします。

BPDUルートガードはポートをルート不整合STPステートにします。ポートを通過するトラフィックはありません。

この状態です。デバイスDが上位BPDUの送信を停止した後、ポートは再びブロック解除されます。STP経由、ポートリスニングステートからラーニングステートに移行し、最終的にフォワーディングステートに移

行します。

回復は自動的に行われます。人間の介入は必要ありません。

このメッセージはルートガードがポートをブロックした後現われます：

％SPANTREE-2-ROOTGUARDBLOCK：ポート1/1がVLAN 77で非指定になろうとしました。root-inconsistent状態に移行しました

参照先：http://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-protocol/10588-74.html

質問: 16どのようなソーシャルエンジニアリング攻撃で、攻撃ベクトルとして通常の電話サービスが使用

されていますか？

A.ヴィシングB.戦争ダイヤルC.フィッシングD.しつこい正解：A

有効的な210-260問題集はPasstest.jp提供され、210-260試験に合格することに役に立ちます！Passtest.jpは今最新210-260試験問題集を提供します。Passtest.jp 210-260試験問題集はもう更新されました。ここで210-260問題集のテストエンジンを手に入れます。最新版のアクセス、https://www.passtest.jp/210-260-exam.html「502問、３０％ディスカウント、特別な割引

コード：JPNshiken」

質問: 17NTPはどのネットワークデバイスを認証しますか？A.タイムソースのみ

https://www.passtest.jp/210-260-exam.html

B.クライアント機器だけC.ファイアウォールとクライアントデバイスD.クライアントデバイスとタイムソース正解：A説明/参照：Explanation:NTP認証。送信元が次のいずれかを実行している場合に限り、デバイスはタイムソースに同期します。

ntp trusted-keyコマンドで指定された認証キー。デバイスは、失敗したパケットをすべてドロップします。

認証を確認し、それらがローカルクロックを更新できないようにします。NTP認証はデフォルト。

参照先：http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/5_x/nx-os/system_management/設定/ guide / sm_nx_os_cg / sm_3ntp.html＃wp1100303

質問: 18MDM展開のオンプレミスモデルがクラウドベースよりも優れている点は2つあります。モデル？（2つ選んでください。）A.オンプレミスモデルはクラウドベースモデルよりも展開が簡単で迅速ですB.オンプレミスモデルはクラウドベースモデルよりもスケーラブルですC.オンプレミスモデルは一般にクラウドベースモデルよりも安価ですD.オンプレミスモデルはクラウドベースモデルよりもMDMソリューションをより細かく制御できます。

E.一般的に、オンプレミスモデルはクラウドベースモデルよりも待ち時間が少ない正解：D,E説明/参照：参照先：https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access / BYOD_Design_Guide / BYOD_MDMs.html

質問: 19SNMPv2よりもSNMPv3を推奨する2つの理由は何ですか？（2つ選んでください。）A. SNMPv3はシスコ独自のプロトコルです。B.認証とプライバシーを設定できるため、SNMPv2は安全です。C. SNMPv3は平文で情報を送信するため安全ではありませんD.認証とプライバシーを設定できるのでSNMPv3は安全ですE. SNMPv2は情報を平文で送信するため安全ではありません正解：D,E

質問: 20

router ospf 200コマンドで、200という値は何の略ですか？A.プロセスIDB.エリアIDC.管理距離の値D. ABR ID正解：A説明/参照：このコマンドは、アクセスリストで使用されたdistanceコマンドと同じ機能を実行します。しかしながら、

distance ospfコマンドを使用すると、特定のルートではなく、ルートグループ全体の距離を設定できます。

アクセスリストを通過するルート。

distance ospfコマンドを使用する一般的な理由は、複数のOSPFプロセスがある場合です。相互再配布、そしてあなたは他からの外部経路よりも一方からの内部経路を好むことを望みま

す。

参照先：http://www.cisco.com/c/en/us/td/docs/ios/12_2/iproute/command / reference / fiprrp_r /rfospf.html

質問: 21トラフィックを見たときにゾーンベースのファイアウォールが実行できるアクションは2つありますか。（2つ選んでください。）A.点検するB.進むC.落とすD.フィルタE.放送正解：A,C説明/参照：Explanation:トラフィックは、ゾーンメンバーインターフェイスと、ゾーンメンバーではないインターフェイ

ス間を流れることはできません。パス、

検査し、ドロップアクションは2つのゾーン間にのみ適用できます。参照先：https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/98628-zone-design-guide.html

質問: 22ゾーンベースのファイアウォール実装は、同じゾーン内のインタフェース間のトラフィックをど

のように処理しますか？

A.同じゾーン内の2つのインターフェース間のトラフィックはデフォルトで許可されています。

B.同じセキュリティ許可を設定しない限り、同じゾーン内のインターフェイス間のトラフィックはブロックされます。

コマンド。

C.同じゾーン内のインターフェース間のトラフィックは常にブロックされています。D.ゾーンにサービスポリシーを適用しない限り、同じゾーン内のインターフェイス間のトラフィックはブロックされます。

ペア。

正解：A説明/参照：Explanation:デフォルトでは、同じゾーン内のインターフェース間のトラフィックはポリシーの影響を受けません。

自由に通ります。ファイアウォールゾーンはセキュリティ機能に使用されます。

参照先：http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book / sec-zone-pol-fw.html

質問: 23IOS authentication priorityコマンドを実行することによって有効にできる2つの802.1x機能はどれですか。

（2つ選んでください。）A.強制認証ポート状態B. Telnet認証C.自動選択D.Web認証E. MAC認証バイパス正解：D,E説明/参照：参照先：https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configuration/xe-3se/3850/sec-user-8021x-xe-3se-3850-book / sec-ieee-802x-fa.html

質問: 24どのワイルドカードマスクが/ 27のサブネットマスクに関連付けられていますか？A. 0.0.0.31B. 0.0.027C. 0.0.0.224D. 0.0.0.255正解：A説明/参照：Explanation:

シスコ製ルータでは、次の場合にワイルドカードサブネットマスクが使用されます。

* ACLでサブネットを定義する* OSPFエリア内のサブネットメンバーの定義参照先：http://www.dslreports.com/faq/15216

質問: 25どの2つのコマンドがCisco IOS Resilient Configurationの実装に使用されますか。（2つ選んでください。）

A.セキュアブートイメージB.セキュアブート設定C.フラッシュコピー：/ios.bin tftpD. running-config stratup-configをコピーしますE. running-config tftpをコピーします。正解：A,B説明/参照：参照先：https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/15-mt/sec-usr-cfg-15-mt-book / sec-resil-config.html

質問: 26展示を参照してください。

サイト間VPNのトラブルシューティング中に、show crypto isakmp saコマンドを発行しました。何が

与えられた出力ショー？

A. IKEフェーズ1メインモードは10.1.1.5で作成されましたが、10.10.10.2とネゴシエートできませんでした。

B. IKEフェーズ1メインモードが10.1.1.5と10.10.10.2の間でネゴシエートしました。C. IKEフェーズ1アグレッシブモードが10.1.1.5で作成されましたが、10.10.10.2とネゴシエートできませんでした。

D. IKEフェーズ1アグレッシブモードが10.1.1.5と10.10.10.2の間でネゴシエートしました。正解：A説明/参照：Explanation:IKEフェーズ1メインモードは10.1.1.5で作成されましたが、10.10.10.2とネゴシエートできませんでした。

参照先：http://www.juniper.net/techpubs/software/screenos/screenos6.3.0/630_ce_VPN.pdf

質問: 27どのコマンドが合法的傍受ビューを初期化しますか？

A. username cisco1 view合法的傍受パスワードciscoB.パーサービューcisco li-viewC. li-view ciscoユーザーcisco1パスワードciscoD.パーサービューli-view正解：C説明/参照：Explanation:パーサービューcisco li-viewは、合法的傍受ビューを初期化するコマンドです。参照先：http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/xe-3s/sec-usr-cfg-xe-3s-book / sec-role-base-cli.html＃GUID-682CE43D-C9FC-4F47-848E-0DBC84ED6F32

質問: 28シスコのベストプラクティスによると、デフォルトACLでアクセスポートで許可されるプロトコルは3つです。有線BYODデバイスが有効な認証情報を提供し、ネットワークに接続できるようにしますか？（3つ選んでください。）

A. BOOTPB. TFTPC. DNSD. MABE. HTTPF. 802.1x正解：A,B,C説明/参照：Explanation:ACL-DEFAULTはDHCP、DNS、ICMP、およびTFTPトラフィックを許可し、それ以外のすべてを拒否します。

参照先：http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access / BYOD_Design_Guide / BYOD_Wired.html

質問: 29BYODソリューションを使用して軽減できるセキュリティ上の主な問題はどれですか？（2つ選んでください。）

A.公衆Wi-Fiネットワークへの接続B.適用される方針の遵守C.デバイスへのパッチ適用スケジュールD.信頼できる企業ネットワークへのアクセスを保護する

E.デバイスのタグ付けとインベントリ正解：B,D

質問: 30機密性を追加するためにMPLS VPN上で使用できるテクノロジはどれですか。A. SSLB. AESC. IPsecD. 3DES正解：C

質問: 31エンドポイント用のCisco AMPソリューションの2つの高度な機能は何ですか？（2つ選んでください。）

A.評判B.サンドボックス化C.熟考D.先見の明E.反射正解：A,B



質問: 32モバイルデバイス管理の主な展開モデルは2つありますか。（2つ選んでください。）A.マルチサイトB.ハイブリッドクラウドベースC.シングルサイトD.オンプレミスE.クラウドベース正解：D,E説明/参照：参照先：https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access / BYOD_Design_Guide / BYOD_MDMs.html


質問: 33着信メールと発信メールに使用できるESAサービスは2つありますか。（2つ選んでください。）A.スパム対策B. DLPC.コンテンツフィルタD.レピュテーションフィルターE.アンチDoS正解：A,C説明/参照：参照先：https://www.cisco.com/c/en/us/td/docs/security/esa/esa11-0/user_guide_fs/b_ESA_Admin_Guide_11_0 / b_ESA_Admin_Guide_chapter_01001.pdf

質問: 34どのタイプの攻撃でも、アプリケーションの実装における設計上の欠陥を悪用することなく悪用

することができます。

気づいた？

A. DHCP飢餓攻撃B.ボリュームベースのDDoS攻撃C.アプリケーションDDoSフラッド攻撃D.低速DoS攻撃正解：D

質問: 35ダウンロードしたイメージの整合性を検証するためにシスコはどのようなハッシュタイプを使用

しますか。

A. Sha1B. Sha2C. Md 5D. Md1正解：C説明/参照：MD5ファイル検証機能を使用すると、保存されているCisco IOSイメージのMD5チェックサムを生成できます。

ルータのイメージがCisco.comに投稿されている値と比較され、ルータのイメージが破損していません。

参照先：http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sys-image-mgmt/configuration/15-s/sysimgmgmt-15-s-book / sysimgmgmt-md5.html＃GUID-9E5A6790-5E81-442B-8F6F-54271B25A9F8

質問: 36無差別モードでIPSを実行するときの制限とはどのような3つのアクションですか。（3つ選んでください。）

A.攻撃者を拒否B.パケットを拒否しますC.パケットを修正するD.ブロック接続要求E.リクエストブロックホストF. TCP接続をリセットします正解：A,B,C説明/参照：Explanation:次の操作では、デバイスをインラインモードで展開する必要があり、ユーザーに影響があります。

3600秒（60分）の設定可能なデフォルト時間。Deny attacker inline：このアクションは最も深刻で、すべての通信をネットワークからブロックします。

指定された期間IPSを通過する攻撃ホスト。このイベントアクションは重大なことに、管理者は誤警報やなりすましの可能性が高い場合にのみこれを使用することをお

勧めします。

最小限です。

攻撃者サービスペアのインライン拒否：この操作により、攻撃者のIPアドレス間の通信が阻止されます。

イベントが検出されたポート上の保護されたネットワーク。しかし、攻撃者は

保護されたネットワーク上にホストがある別のポートで通信できます。このイベントアクション

はうまくいきます

同じサービスポート上の多数のホストを攻撃するワームの場合同じホスト上で攻撃が行われた場

合

別のポート、この通信は許可されます。このイベントアクションは、

誤警報やなりすましは最小限です。

攻撃者と被害者のペアのインライン拒否：この操作により、攻撃者は被害者との通信を停止しま

す。

任意のポートただし、攻撃者は他のホストと通信する可能性があるため、このアクションは次の

目的に適しています。

特定のホストを標的とするエクスプロイト。このイベントアクションは、誤警報の可能性が

なりすましは最小限です。

インライン接続拒否：このアクションは、特定のTCPフローに対するそれ以上の通信を防止します。この行動

誤った警告やなりすましの可能性がある場合、および管理者がしたい場合に適しています。

行動を妨げるが、それ以上のコミュニケーションを否定しないでください。

パケットのインライン拒否：このアクションは、特定の問題のあるパケットが意図したパケットに

到達するのを防ぎます。

先。攻撃者と被害者または被害者のネットワークとの間に他の通信がまだ存在している可能性が

あります。この

誤警報やなりすましの可能性がある場合には、適切な措置がとられます。このアクションでは、

デフォルトの時間は効果がありません。

パケットのインライン変更：このアクションにより、IPSデバイスはパケットの問題のある部分を変更できます。

ただし、それは修正されたパケットを宛先に転送します。この動作はパケットに適しています

TCPセグメンテーションやIPフラグメンテーションの並べ替えなど、正規化およびその他の異常。参照先：http://www.cisco.com/c/en/us/about/security-center/ips-mitigation.html

質問: 37ホストレベルIPSを展開するときの2つの課題は何ですか？（2つ選んでください。）A.検出したすべての攻撃の結果を判断することはできません。B.攻撃のネットワーク全体像を把握できません。C.展開は複数のオペレーティングシステムをサポートする必要があります。D.オフサイトコンピュータを保護しません。E.フラグメンテーション攻撃を検出できません。正解：B,C説明/参照：Explanation:HIPSの利点：攻撃の成否は容易に判断できます。ネットワークIPSが送信する侵入行為の存在に対する警告ですが、そのような行為の成功または失敗を常に確認できるわけで

はありません。

攻撃。HIPSは、フラグメンテーション攻撃や可変TTL（Time to Live）攻撃について心配する必要はありません。

ホストスタックがこれらの問題を処理するからです。ネットワークトラフィックストリームが暗

号化されている場合、HIPSは暗号化されていない形式でトラフィックにアクセスする。

HIPSの制限HIPSには2つの大きな欠点があります。+ HIPSは完全なネットワーク図を提供するわけではありません。HIPSはローカルでしか情報を調べないためです。

ホストレベルでは、HIPSは正確なネットワーク画像の構築やイベントの調整が困難です。ネットワーク全体で起こっています。+ HIPSには、複数のオペレーティングシステムをサポートするという要件があります。

HIPSはネットワーク内のすべてのシステムで実行する必要があります。これには、すべての異なる人々に対するサポートの確認が必要です。

ネットワークで使用されているオペレーティングシステム。

参照：http://www.ciscopress.com/articles/article.asp?p=1336425&seqNum=3

質問: 38アプリケーションのブロックに関する正しい記述はどれですか。

A.特定のプログラムへのアクセスをブロックします。B.特定の拡張子を持つファイルへのアクセスをブロックします。C.特定のネットワークアドレスへのアクセスをブロックします。D.特定のネットワークサービスへのアクセスをブロックします。正解：A説明/参照：Explanation:アプリケーションフィルタを使用すると、アクセス制御ルールの適用条件をすばやく作成できま

す。それらは単純化します

ポリシーの作成と管理を行い、システムがWebトラフィックを次のように制御することを保証します。

期待されています。たとえば、高リスク、低リスクをすべて識別してブロックするアクセス制御

ルールを作成できます。

ビジネス関連アプリケーション。ユーザーがこれらのアプリケーションのいずれかを使用しよう

とすると、セッションは次のようになります。

ブロックされました。

参照先：http://www.cisco.com/c/en/us/td/docs/security/firesight/541/firepower-module-user-guide/asa-firepower-module-user-guide-v541 / ACルールアプリURL -Reputation.html＃pgfId-1576835

質問: 39データを保護するために非対称暗号化はどのようなメカニズムを使用しますか？

A.公開鍵と秘密鍵のペアB.共有秘密鍵C. RSAナンスD. MD5ハッシュ正解：A説明/参照：Explanation:公開鍵暗号方式とも呼ばれる非対称暗号方式は、公開鍵と秘密鍵を使用して暗号化します。

データを復号化します。キーは、ペアになっているだけで、同一ではない、単なる大きな数字です。

（非対称）ペアの一方の鍵は全員と共有できます。それは公開鍵と呼ばれます。他のキー

ペアは秘密にされています。それは秘密鍵と呼ばれます。どちらの鍵もメッセージの暗号化に使

用できます。の

メッセージの暗号化に使用されたものとは反対の鍵が復号化に使用されます。

参照：http://searchsecurity.techtarget.com/definition/asymmetric-cryptography

質問: 40Cisco ASAがトランスペアレントモードの場合、どのタイプのアドレス変換を使用する必要がありますか。

A.スタティックNATB.ダイナミックNATC.過負荷D.ダイナミックPAT正解：A説明/参照：トランスペアレントモードで動作しているセキュリティアプライアンスでNATを使用すると、アップストリームネットワークやアップストリームネットワークの必要がなくなります。

ネットワークに対してNATを実行するためのダウンストリームルータ。参照先：

http://www.cisco.com/c/en/us/td/docs/security/security_management/cisco_security_manager/security_manager / 4-1 / user / guide / CSMUserGuide_wrapper / NATchap.html＃51621

質問: 41階層ネットワーク設計の3層は何ですか？（3つ選んでください。）A.アクセスB.コアC.配付D.ユーザーE.サーバF.インターネット正解：A,B,C説明/参照：Explanation:階層ネットワーク設計には、アクセス層、コア層、および配布層があります。


質問: 42ネイティブVLANに関する正しい記述はどれですか。A. VLAN 1に割り当てられていると最も安全です。B.スイッチ管理トラフィック用にシスコが推奨するVLANです。C. VLANホッピング攻撃を受けやすい。D.これは、シスコが推奨するユーザトラフィック用のVLANです。正解：C

質問: 43Sourcefire IPSを実装し、セキュリティを利用して特定のアドレスをブロックするように設定しました

インテリジェンスIPアドレスの評価ユーザーが電話をかけ、特定のIPアドレスにアクセスできない。何

ユーザーにIPアドレスへのアクセスを許可するための措置をとることができますか？A.ホワイトリストを作成してトラフィックを許可するための適切なIPアドレスを追加します。B.トラフィックを許可するためのカスタムブラックリストを作成します。C.トラフィックを許可するためのユーザーベースのアクセス制御規則を作成します。D.トラフィックを許可するようにネットワークベースのアクセス制御規則を作成します。E.トラフィックを許可するために検査を回避するためのルールを作成します。正解：A説明/参照：ブラックリストの範囲が広すぎる、または許可したいトラフィックを誤ってブロックしている（た

とえば、

重要なリソース）、ブラックリストをカスタムホワイトリストで上書きすることができます。

参照先：http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-ユーザーガイド-v5401 / AC-Secint-Blacklisting.html

質問: 44ネットワーク上のユーザーが潜在的な脅威を一元的に軽減するためにどのテクノロジを実装でき

るか

悪意のある可能性があるファイルをダウンロードしますか？

A.会社のIPSがすべての既知の悪意のあるWebサイトをブロックしていることを確認します。B.境界ファイアウォールにURLフィルタリングを実装します。C.ウイルス対策ソフトウェアがインストールされており、ネットワーク上のすべてのユーザーに対して最新であることを確認します。

D.ファイルレピュテーションサービスを有効にして、社内ネットワークを通過するすべてのファイルを検査し、ファイルをブロックします。

評判が低い。

正解：D

質問: 45無差別IPSは攻撃を軽減するためにどのような行動を取ることができますか？（3つ選んでください。）

A.パケットを変更するB.接続遮断要求C.パケットを拒否していますD. TCP接続をリセットする

E.ホストブロッキングを要求中F.フレーム拒否正解：B,D,E説明/参照：Explanation:次のイベントアクションは無差別モードでデプロイできます。これらの動作はユーザーに影響を

及ぼします。

設定可能なデフォルト時間は30分です。IPSセンサーは別のデバイスに要求を送信する必要があるため

パケットを作成したり、パケットを作成したりすると、待ち時間がこれらのアクションに関連付

けられ、一部の攻撃が成功する可能性があります。

Attack Response Controller（ARC）の使用によるブロックには、次のことができるという潜在的な利点があります。

ネットワークエッジまたはネットワーク内の複数の場所で実行します。

ホストのブロックを要求：このイベントアクションは、指定された時間ホストをブロックするため

のARC要求を送信します。それ以上の通信を妨げます。これがあるときに最も適切な重大なアクションです。

誤警報やなりすましの可能性は最小限です。

ブロック接続の要求：このアクションは特定の接続をブロックするためにARC応答を送信します。この

誤警報やなりすましの可能性がある場合には、適切な措置がとられます。

TCP接続のリセット：このアクションはTCP固有のものであり、攻撃に複数の攻撃が必要な場合には有効です。

TCPパケット。これは成功したアクションです。ただし、攻撃に必要なのが1つだけの場合もあります。

パケットそれは同様に動作しないかもしれません。さらに、TCPリセットはSMTPなどのプロトコルではあまり効果的ではありません。

それは一貫して新しい接続を確立することを試みます、またリセットがに到達できない場合それ

らは有効ではないです

時間内の宛先ホスト

参照先：http://www.cisco.com/c/en/us/about/security-center/ips-mitigation.html

質問: 46攻撃者をインラインで拒否できるのはどのセンサーモードですか？

A. IPSB.フェールクローズC. IDSD.フェールオープン正解：A説明/参照：

Explanation:攻撃拒否攻撃のインラインイベントアクションの特定の側面を設定できます。あなたは番号を設

定することができます

攻撃者をインラインで拒否したい秒数、および拒否したい攻撃者の数を制限できます

いつでもシステム。

参照先：http://www.cisco.com/c/en/us/td/docs/security/ips/5-1/configuration/guide/cli/cliguide/cliEvAct.html



質問: 47IPSの誤検知をどのように検出できますか？A. IPSでアラートを表示します。B. IPSログを見直してください。C. IPSコンソールを確認してください。D.侵入テストを実行するのにサードパーティシステムを使用して下さい。E.サードパーティを使用して次世代ファイアウォールの規則を監査します。正解：D説明/参照：Explanation:IPSの誤検知を特定するために侵入テストを実行するには、サードパーティシステムが必要です。参照先：http://airccse.org/journal/ijsptm/papers/4115ijsptm04.pdf

質問: 48ASAでは、どのマップがトラフィックの識別に使用されますか。A.路線図B.サービスマップC.クラスマップD.ポリシーマップ正解：C

質問: 49データ侵害が発生し、会社のデータベースがコピーされました。どのセキュリティ原則がありま

すか


違反された？

A.機密性B.空室状況C.アクセスD.管理正解：A説明/参照：Explanation:データ侵害が社内で発生し、データベースがコピーされた場合、機密性

違反されました。

DuPontで見られるように、従業員が貴重な企業秘密情報を盗むことがあります。しかし、すべての事業が

これらの種類の企業秘密があります。従業員が最も盗む可能性が高い情報の種類は、

彼または彼女の特定の仕事をするのに必要な情報、通常彼らにとってすぐに利用可能な情報。に

競争上の優位性を維持するには、従業員が毎日使用する電子情報は

保護されています。日常の従業員は、次のようなさまざまな電子情報にアクセスできます。

重要（電子メールリストおよび非金融ビジネス情報）、機密（顧客情報）、

最も機密性が高く、潜在的に有害なデータを通じた個人的な（従業員記録）：財務記録

膨大な会社歴、企業秘密、知的財産を含むデータベース。

参照：https://www.nowsecure.com/blog/2010/08/31/departing-employees-and-data-theft/

質問: 50スプリットトンネリングの利点は何ですか？

A. VPNを使用して企業ネットワークにVPN接続しているユーザーがインターネットにアクセスできるようにします。

セキュリティのために。

B. VPNサーバーはトラフィックをより効率的にフィルタリングできます。C.企業ネットワークにVPN接続しているユーザーは、送信せずにインターネットにアクセスできます。

企業ネットワーク上のトラフィック。

D.プライベートネットワーク上のトラフィックをパブリックネットワーク上のユーザーから保護します。

正解：C

質問: 51どのIDS / IPS状態が攻撃として許容可能な動作を誤認していますか？A.真の否定B.真陽性C.偽陰性D.誤検知

正解：D

質問: 52あなたの組織が新しい技術を採用するときあなたはどの定量化可能な項目を考慮すべきですか？

A.脆弱性B.エクスプロイトC.脅威D.リスク正解：D

質問: 53安全なネットワーク管理プロトコルとしての機能をサポートする2つのSNMPv3サービスはどれですか。（を選択してください

二。）

A.共有秘密鍵B.アクセス制御C.認証D.承認E.経理正解：B,C説明/参照：Explanation:SNMPv3には、認証、プライバシー、およびアクセス制御という3つの重要なサービスがあります。参照先：https://www.cisco.com/c/en/us/about/press/internet-protocol-journal/back-issues/table-contents-20 / snmpv3.html


管理ユーザは、指定された設定のデバイスで設定モードに入ることができません。何

問題を解決するために設定を変更できますか。

A. Username Admin特権行からautocommandキーワードと引数を削除します。B.特権実行レベルの値を15に変更します。C. Username Adminの2行を削除します。D.特権実行行を削除します。

正解：A説明/参照：Explanation:autocommandは、ユーザーがログインした後に指定されたコマンドを自動的に発行するようにします。

コマンドが完了すると、セッションは終了します。コマンドは任意の長さにすることができ、

スペースを埋め込むには、autocommandキーワードを使用するコマンドを最後のオプションにする必要があります。

ライン。

参照先：http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/reference/fsecur_r/srfpass.html＃wp1030793

質問: 55ネットワークベースのIPSを使用する上での2つの課題は何ですか？（2つ選んでください。）A.ネットワーク全体の攻撃を検知できませんB.ネットワークが拡大するにつれて、センサーを追加する必要がありますC. syslogサーバーに追加の記憶容量とプロセッサ容量が必要D.複数のオペレーティングシステムをサポートする必要がありますE.検出された攻撃が成功したかどうかを判断できません正解：A,B

質問: 56地理的に制限されたエリア内の複数のLANを記述するネットワークトポロジはどれですか？A. PANB. SOHOC. MAND.できます正解：C

質問: 57パケットが個々の機能タイプのポリシーマップ内の複数のクラスマップと一致する場合、ASAはどのように機能しますか。

パケットを処理する？

A. ASAは、機能タイプに対して最初に一致したクラスマップからのみアクションを適用します。B.適応型セキュリティアプライアンスは、機能に対して見つかった最も具体的に一致するクラスマップだけからアクションを適用します。

タイプ。

C.適応型セキュリティアプライアンスは、機能タイプに対して検出したすべての一致クラスマップからアクションを適用します。

D.適応型セキュリティアプライアンスは、機能タイプに対して最後に一致したクラスマップだけからアクションを適用します。

正解：A説明/参照：Explanation:パケットが機能タイプのクラスマップと一致する場合、ASAは一致を試みません。その機能タイプの後続のクラスマップにそれを割り当てます。

参照先：http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config / mpf_service_policy.html

質問: 58OSPFはどの2つの認証タイプをサポートしますか？（2つ選んでください。）A.平文B. MD5C. HMACD. AES 256E. SHA-1F. DES正解：A,B説明/参照：Explanation:これらはOSPFでサポートされている3種類の認証です。NULL認証 -これはタイプ0とも呼ばれ、認証情報が含まれていないことを意味します。

パケットヘッダー内。これがデフォルトです。

プレーンテキスト認証 -これはタイプ1とも呼ばれ、単純なクリアテキストパスワードを使用します。

MD5認証 -これはタイプ2とも呼ばれ、MD5暗号化パスワードを使用します。

認証を設定する必要はありません。ただし、設定されている場合、同じセグメント上のすべてのピ

アルータは

同じパスワードと認証方法があります。この資料の例はデモンストレーションします

プレーンテキスト認証とMD5認証の両方の設定。参照先：http://www.cisco.com/c/en/us/support/docs/ip/open-shortest-path-first-ospf/13697-25.html

質問: 59IKEフェーズ1トンネルのステータスと設定を確認するためにどのコマンドを入力しますか。A. show crypto isakmp saB. show crypto ipsec transform-setC.暗号ipsecを出力として表示D. show crypto isakmp policy正解：A

質問: 60トランク上のネイティブVLANがリンクの両端で異なる場合、どのような影響がありますか？A.両方のスイッチのインターフェースがシャットダウンしている可能性がありますB. STPループが発生する可能性がありますC.上位ネイティブVLANのスイッチがシャットダウンする可能性がありますD.下位のネイティブVLANとのインタフェースがシャットダウンする可能性があります正解：B説明/参照：Explanation:トランク上のネイティブVLANがリンクの両端で異なる場合、STPループが発生する可能性があります。

参照：https://supportforums.cisco.com/discussion/12477986/using-different-native-vlans-different-ポートスイッチ設定トランク

質問: 61失敗した認証試行レコードをAAAサーバに送信するために使用されるアカウンティング通知はどれですか。

（2つ選んでください。）A.スタートストップB.ストップレコードC.停止専用D.停止正解：A,C説明/参照：Explanation:開始 -停止および停止のみの通知は、失敗した認証試行レコードをAAAサーバに送信するために使用されます。

参照先：http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_aaa/configuration/xe-3s/sec-usr-aaa-xe-3s-book / sec-cfg-accountg.html




質問: 62シナリオ

このシミュレーションでは、ASDMだけにアクセスできます。ASDMを使用してさまざまなASA設定を確認する

それからASA SSLVPN設定についての4つの多肢選択質問に答えて下さい。ASDMにアクセスするには、トポロジ図のASAアイコンをクリックします。注：このシミュレーションでは、すべてのASDM機能が有効になっているわけではありません。左側のナビゲーションペインで使用可能なすべてのメニューオプションを表示するには、必要に

応じて

最初にメニューを展開しました。

ユーザがを使用してクライアントレスSSLVPNポータルにログインするときに使用されるユーザ認証方法

https://209.165.201.2/testA.ローカルデータベースを持つAAAB. RADIUSサーバを使用するAAAC.証明書D.ローカルデータベースを持つ証明書とAAAの両方E.証明書とRADIUSサーバーを持つAAAの両方正解：A説明/参照：Explanation:これは、リモートアクセスVPN設定の[Connection Profiles]タブで確認できます。testの別名が使用されています

質問: 63サイト上でサイト間VPNを設定するときのDiffie-Hellmanグループのデフォルト値はどれですか。ASAデバイス？A.グループ7B.グループ5C.グループ1D.グループ2正解：D

質問: 64動的PATプールがPATプール内の次のアドレスではなく次のアドレスを選択できるようにする機能

既存のアドレスのポート？

A.次のIPB.ラウンドロビンC.動的回転D. NATアドレスローテーション正解：B説明/参照：Explanation:ラウンドロビン方式でアドレス/ポートを割り当てるには、[Round Robin]チェックボックスをオンにします。デフォルトではなし

ラウンドロビンでは、PATアドレスのすべてのポートは次のPATアドレスが使用される前に割り当てられます。ラウンド -robinメソッドは、最初のアドレスの使用に戻る前に、プール内の各PATアドレスから1つのアドレス/ポートを割り当てます。もう一度アドレスを入力し、次に2番目のアドレスを入力します。参照先：http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/asdm65/configuration_guide/asa_cfg_asdm_65 / nat_objects.html

質問: 65パーソナルファイアウォールに関する正しい記述はどれですか。

A.プロービング要求を拒否することでシステムを保護できます。B.カーネル攻撃に対して耐性があります。C. VPNと同じ方法で、電子メールメッセージと個人用文書を保護できます。D.攻撃からネットワークを保護できます。正解：A説明/参照：Explanation:システム上の特定のサービスポートに送信されたプローブ要求を削除または無視します。これは

隠すことができます

攻撃者からのコンピュータの存在。これは、マシンが存在しないと考えることにだまされていま

す。

参照：https://www.polyu.edu.hk/~ags/itsnews0604/security.html

質問: 66FirePOWER影響フラグは何に使用されますか？A.攻撃の潜在的な深刻度を示す値。B.管理者が各署名に割り当てる値C.署名の優先順位を設定する値。D.アプリケーションの認識度を測定する値。正解：A説明/参照：Explanation:このフィールドの影響レベルは、侵入データ、ネットワーク検出データ、および

脆弱性情報

参照先：http://www.cisco.com/c/en/us/td/docs/security/firesight/541/firepower-module-user-guide/asa-firepower-module-user-guide-v541 / ViewingEvents.html

質問: 67VPN接続のフェーズ1ステータスを確認するためにどのコマンドを入力しますか？

A. sh crypto isakmp saB. sh crypto ipsec saC. debug crypto isakmpD. sh暗号化セッション正解：A説明/参照：参照先：https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols / 119425-configure-ipsec-00.html＃anc25

質問: 68IKEには2つのバージョンがあります。IKEv1とIKEv2です。IKEv1とIKEv2の両方のプロトコルは段階的に動作します。

IKEv1は2段階で動作します。IKEv2はいくつのフェーズで動作しますか？A. 5B. 3C. 4D. 2正解：D

質問: 69NATルールが誤ったインターフェイスにトラフィックを送信しないようにするにはどうすればよいですか。

A. nat行にno-proxy-arpコマンドを追加B. NAT命令で出力インタフェースを割り当てますC.誤った経路指定のNATエントリを再経路指定するためにパケットトレーサー規則を使用するD.オブジェクトNATではなくTwice NATを構成します。正解：A

質問: 70次のうちどれがIPsecトランスポートモードの機能ですか？（3つ選んでください。）A.端末間でIPsec転送モードを使用B.ゲートウェイ間でIPsec転送モードが使用されますC. IPsecトランスポートモードはマルチキャストをサポートしていますD. IPsec転送モードはユニキャストをサポートしますE. IPsecトランスポートモードはペイロードのみを暗号化しますF. IPsecトランスポートモードはパケット全体を暗号化します正解：A,D,E説明/参照：Explanation:

IPSecは、トンネルモードまたはトランスポートモードのどちらでも実行できます。これらの各モードには、それぞれ固有の特徴があります。

解決策として正しいものを選択するように注意して使用してください。

トンネルモードは、ゲートウェイ間、またはエンドステーションからゲートウェイへの間で最も

一般的に使用されます。

その背後にあるホストのプロキシとして機能するゲートウェイ。

トランスポートモードは、端末間または端末とゲートウェイ間で使用されます。

たとえば、ワークステーションからルーターへの暗号化されたTelnetセッションなど、ホストとして扱われます。

実際の宛先はルータです。

参照：http://www.ciscopress.com/articles/article.asp?p=25477

質問: 71攻撃者はどの形式の詐欺でログイン資格情報やアカウントなどの情報を入手しようとしますか

電子メール、IM、またはその他のコミュニケーションにおいて、信頼できる実体または人物になりすますことによる情報

チャンネル？

A.ハッキングB.スマーフC.フィッシングD.なりすまし正解：C

質問: 72どのCisco Security Managerアプリケーションがデバイスステータスに関する情報を収集し、それを生成に使用するか

通知と警告？

A. FlexConfigB.デバイスマネージャC.レポートマネージャD.正常性とパフォーマンスモニタ正解：D説明/参照：Explanation:Health and Performance Monitor（HPM）は、監視対象のASAデバイス、IPSデバイス、およびASAを定期的にポーリングします。

以下のような重要な問題と重要ではない問題を含む、主要な正常性とパフォーマンスのデータを

ホストするVPNサービス

メモリ使用量、インターフェイスステータス、ドロップされたパケット、トンネルステータスなど

として。この情報は

アラート生成とEメール通知、および使用可能な集約データに基づいて傾向を表示する毎時、毎日、毎週。

参照先：

http://www.cisco.com/c/en/us/td/docs/security/security_management/cisco_security_manager/security_manager / 4-4 / user / guide / CSMUserGuide_wrapper / wfplan.html

質問: 73シナリオ

このシミュレーションでは、ASDMだけにアクセスできます。ASDMを使用してさまざまなASA設定を確認する

それからASA SSLVPN設定についての4つの多肢選択質問に答えて下さい。ASDMにアクセスするには、トポロジ図のASAアイコンをクリックします。注：このシミュレーションでは、すべてのASDM機能が有効になっているわけではありません。左側のナビゲーションペインで使用可能なすべてのメニューオプションを表示するには、必要に

応じて

最初にメニューを展開しました。

ASA VPN設定に関して正しい文はどれですか。（2つ選んでください）A. ASAに関連付けられている外部認証局によって発行された証明書があります。ASDM_TrustPoint1B. DefaultWEBVPNGroup Connectionプロファイルは、AAAサーバとRADIUSサーバ方式を使用しています。

C. Inside-SRVブックマークはhttps://192.168.1.2のURLを参照していますD. SalesグループポリシーではクライアントレスSSL VPNアクセスのみが許可されていますE. AnyConnect、IPSec IKEv1、およびIPSec IKEv2のVPNアクセスが外部インターフェイスで有効になっています

F. Inside-SRVブックマークはSalesグループポリシーに適用されていません正解：B,C説明/参照：Explanation:Bの場合：

Cの場合は、[ブックマーク]タブに移動します。

それから "edit"を押すとこれが表示されます。

これは、CA証明書ではなくID証明書の下にリストされているので、Aではありません。

注E：

質問: 74組織がパーソナルファイアウォールを導入する理由は何ですか？

A.デスクトップなどのエンドポイントを悪意のある活動から保護します。B.ある仮想ネットワークセグメントを別の仮想ネットワークセグメントから保護します。C.ホストが最低限のセキュリティポスチャ要件を満たしているかどうかを判断します。D.セッション後に破壊される可能性がある、独立した非永続的な仮想環境を作成します。E. DoS攻撃やsyn-flood攻撃からネットワークを保護します。正解：A説明/参照：Explanation:ファイアウォールの唯一の目的は、悪意のある活動からエンドポイント（ワークステーション、お

よびその他のデバイス）を保護することです。

不正な目的を伴うネットワーク接続。

参照：http://searchmidmarketsecurity.techtarget.com/definition/personal-firewall


サプリカントがスイッチに設定されているすべての認証方式に対して誤ったクレデンシャルを提

供すると、

スイッチは応答しますか。

A.サプリカントはwebauthメソッドを超えて進むことに失敗します。B.スイッチは設定された認証方法を無期限に繰り返します。C.認証の試行はタイムアウトし、スイッチはポートを無許可ステートにします。D.認証の試行はタイムアウトし、スイッチはポートをVLAN 101に配置します。正解：A説明/参照：Explanation:誤った認証情報を入力すると、Web認証方法を超えて進むことができなくなります。認証展示物に見られるように正しい信任状を必要とします。

質問: 76インターフェイスでOSPFの認証を有効にするために入力したコマンドはどれですか。A. router（config-if）＃ip ospf認証メッセージダイジェストB. router（config-router）＃ip ospf認証キーCISCOPASSC. router（config-router）#area 0認証メッセージダイジェストD. router（config-if）＃ip ospfメッセージダイジェストキー1 md 5 CISCOPASS正解：D



質問: 77ネットワークベースのIPSの制限は何ですか？A.個別ホストレベルで最も効果的です。B.大規模な設置では、ネットワークを完全に保護するために多数のセンサーが必要です。C.ネットワーク全体の攻撃を監視することはできません。D.ネットワーク上のすべてのオペレーティングシステムをサポートするように個別に設定する必要があります。

正解：B

質問: 78ネットワーク内で増殖しているワームを識別できるのはどのタイプのIPSですか。


A.ポリシーベースのIPSB.異常ベースのIPSC.評判ベースのIPSD.署名ベースのIPS正解：B説明/参照：Explanation:シスコのクラス最高の異常検出機能は、「正常な」トラフィックパターンを学習してワームを検出

します。

ネットワークを調べ、異常な動作を探します。高速増殖ネットワークワームは、

他のホストに感染するためのネットワーク。各プロトコルまたはサービスについて、異常検出プ

ログラムは調査します

通常のスキャン活動とは何か、そしてこの情報をしきい値ヒストグラムと

絶対スキャナしきい値。スキャナーしきい値は、それを超えると絶対スキャン速度を指定します。

ソースは悪意があると見なされます。

参照先：http://www.cisco.com/c/en/us/products/collateral/security/ips-4200-series-sensors/prod_brochure0900aecd805baea7.html

質問: 79エラーメッセージの考えられる原因は何ですか？Router（config）#aaa server？％認識できないコマンド

A.コマンド構文では、"server"という単語の後にスペースが必要ですB.対象機器でコマンドが不正C.ルーターはすでに最新のオペレーティングシステムを実行していますD.ルータは、続行する前にaaa new-modelコマンドを適用する必要がある新しいデバイスです。正解：D説明/参照：Explanation:これは、ルータがaaa new modelコマンドを適用する前の新しいデバイスであることを意味します。

システムにそれを誘導する。

参照先：http://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs / 10384-security.html

質問: 80どのIPSモードが最大アクション数を提供しますか？A.インラインB.無差別C.スパン

D.フェイルオーバーE.バイパス正解：A説明/参照：Explanation:IPSインラインは最大数のアクションを提供します。参照先：http://www.cisco.com/c/en/us/td/docs/security/ips/5-1/configuration/guide/cli/cliguide/cliEvAct.html

質問: 81Cisco ASAファイアウォールではどのTACACS +サーバ認証プロトコルがサポートされていますか。（3つ選んでください。）A. EAPB. ASCIIC. PAPD. PEAPE. MS-CHAPv1F. MS-CHAPv2正解：B,C,E説明/参照：Explanation:ASAは、次のプロトコルでTACACS +サーバ認証をサポートします。ASCII、PAP、CHAP、およびMS-CHAPv1参照先：http://www.cisco.com/c/en/us/td/docs/security/asa/asa92/asdm72/general/asa-general-asdm/aaa-tacacs.html

質問: 82データが不正に変更された場合、どのセキュリティ原則に違反したのですか？

A.完全性B.機密性C.説明責任D.空室状況正解：A


書き込み操作を試行するために、読み取り専用の文字列が何回使用されましたか？

A. 9B. 6C. 4D. 3E. 2正解：A説明/参照：Explanation:図のように、読み取り専用文字列が9回書き込み操作を試みました。それは言う、9違法指定されたコミュニティ名に対する操作は、読み取り専用ストリングが9回の書き込み操作を試みたことを意味します。

参照先：http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

質問: 84どのNATタイプで、オブジェクトまたはグループだけがIPアドレスを参照できますか？A.ダイナミックNATB.ダイナミックPATC.静的NATD.アイデンティティNAT正解：B説明/参照：Explanation:ダイナミックPATは、実際のアドレスを変換することによって、複数の実際のアドレスを単一のマッピングIPアドレスに変換します。

マップされたアドレスおよび一意のマップされたポートへの送信元アドレスおよび送信元ポー

ト。各コネクション

送信元ポートは接続ごとに異なるため、個別の変換セッションが必要です。

参照先：http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls / 111842-asa-dynamic-pat-00.html

質問: 85AAA認証が正しく機能していることを確認するための最良の方法は何ですか？A. test aaaコマンドを使用してください。B. NASにpingを実行して接続を確認します。C. AAA認証にシスコ推奨の設定を使用します。D.ルーターにログインしてからログアウトし、NAS認証ログを確認します。正解：A説明/参照：Explanation:着信番号識別サービス（DNIS）または発信者番号識別（CLID）ユーザープロファイルを関連付けるには

RADIUSサーバーに送信されるレコード、または負荷分散サーバーのステータスを手動でテストするには、

特権EXECモードでtest aaa groupコマンドを入力します。参照先：http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/s1/sec-s1-xe-3se-3850-cr-book/sec-s1-xe-3se-3850-cr-book_chapter_0101.html＃wp1375904793

質問: 86Cisco IPSソリューションの実装によって防ぐことができる攻撃の種類はどれですか。（2つ選んでください。）

A. ARPスプーフィングB.ワームC.中間者D. DDoSE. VLANホッピング正解：B,C

質問: 87Cisco IOS Resilient Configuration機能についてはどうですか。A.この機能は、イメージまたは構成バージョンの不一致を自動的に検出します。B.プライマリCisco IOSイメージファイルを保護するために必要な追加スペースがあります。C.この機能はリモートセッションで無効にできます。D.ファイルを保護するためにリモート記憶域が使用されています。

正解：A

質問: 88どのステートメントがプライベートVLANの機能を正しく説明していますか？A.プライベートVLANは、VLANのレイヤ2ブロードキャストドメインをサブドメインに分割します。

B.プライベートVLANは、VLANのレイヤ3ブロードキャストドメインをサブドメインに分割します。

C.プライベートVLANにより、1つのブロードキャストドメインを使用して複数のVLANを作成できます

D.プライベートVLANは、多数のVLANのレイヤ2ブロードキャストドメインを1つの主要ブロードキャストにまとめます。

ドメイン

正解：A説明/参照：プライベートVLANは、VLANのレイヤ2ブロードキャストドメインをサブドメインに分割します。スイッチのポートを互いに分離します。サブドメインは、プライマリVLANと1つ以上のVLANで構成されています。

セカンダリVLAN参照先：

http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli / CLIC設定ガイド/ PrivateVLANs.pdf

質問: 892つのゾーン間でトラフィックが双方向に流れるようにするには、どのファイアウォール設定を実行する必要がありますか。

A.各方向に1つずつ、合計2つのゾーンペアを設定する必要があります。B.任意のゾーンに対して双方向のトラフィックフローを許可する単一のゾーンペアを設定できます。

C.自分以外のゾーンに対して双方向のトラフィックフローを許可する単一のゾーンペアを設定できます。

ゾーン。

D.送信元ゾーンがネットワークの場合にだけ双方向トラフィックフローを許可する単一のゾーンペアを設定できます。

安全性が低いゾーンです。

正解：A説明/参照：Explanation:2つのゾーンがあり、両方向（Z1からZ2およびZ2からZ2へのトラフィック）のポリシーが必要です。

Z1）、2つのゾーンペア（各方向に1つずつ）を設定する必要があります。参照先：http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/xe-3s/sec-data-zbf-xe-book / sec-zone-pol-fw.html＃GUID-16FD9685-CB43-45AF-9D24-F6E2E6467FF3


与えられたコマンドシーケンスの効果は何ですか？

A.宛先が10.100.100.0 / 24で、10.10.10.0 / 24から送信されたトラフィックのIPSecポリシーを定義します。

B.宛先が10.10.10.0/24で、10.100.100.0 / 24から送信されたトラフィックのIPSecポリシーを定義します。

C.宛先が10.100.100.0 / 24で、10.10.10.0 / 24から送信されたトラフィックのIKEポリシーを定義します。

D.宛先が10.10.10.0/24で、10.100.100.0 / 24から送信されたトラフィックのIKEポリシーを定義します。

正解：A説明/参照：Explanation:暗号マップエントリ「mymap 30」は、動的暗号マップセット「mydynamicmap」を参照します。"mymap"エントリと一致しない受信セキュリティアソシエーションのネゴシエーション要求を処理するために使用されます。

この場合、ピアが、で指定されたトランスフォームセットの1つと一致するトランスフォームセットを指定している場合

「mydynamicmap」、アクセスリスト103によって「許可された」フローの場合、IPSecは要求を受け

入れてセットアップします。

リモートピアについて事前に知らなくても、リモートピアとのセキュリティアソシエーション。

受け入れられた場合

結果として得られるセキュリティアソシエーション（および一時的な暗号マップエントリ）は、次

に従って確立されます。

リモートピアによって指定された設定。

参照先：http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/reference/srfipsec.html

質問: 91SIEMソフトウェアの2つの用途は何ですか？（2つ選んでください。）A. syslogデータの収集とアーカイブB.リアルタイムでセキュリティイベントを管理者に知らせる

C.自動ネットワーク監査を実行しますD.ファイアウォールとIDSデバイスの設定E.疑わしい添付ファイルの電子メールスキャン正解：A,B説明/参照：Explanation:SIEMは、syslogデータを収集およびアーカイブし、実際にセキュリティイベントを管理者に警告するために使用できます。

時間。

参照先：http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise/design-zone-smart-business-architecture / sbaSIEM_deployG.pdf



質問: 92展示を参照してください。与えられた設定の影響は何ですか？

A. 2つのデバイスは互いにメッセージダイジェストを渡すことができますB.キーチェーン認証を防ぎますC.認証を有効にしますD. 2つのルーターは互いに通常のアップデートを受け取ります正解：C

質問: 93ネイティブVLANとしてVLAN 1を残すことの潜在的な欠点は何ですか。A. VLANホッピング攻撃を受けやすい可能性があります。


B. Gratuitous ARPが中間者攻撃を仕掛ける可能性があります。C. CAMが過負荷になっていて、スイッチが事実上ハブになっている可能性があります。D. VLAN 1はIPアドレスのなりすましに対して脆弱です。正解：A説明/参照：Explanation:VLAN 1をネイティブのままにしておくと、ネットワークがVLANホッピング攻撃を受けやすくなる可能性があります。


質問: 94ローカルに割り当てられた固有のローカルアドレス用に予約されているアドレスブロックはどれ

ですか。

A. 2002 :: / 16B. FD00 :: / 8C. 2001 :: / 32D. FB00 :: / 8正解：B説明/参照：Explanation:Acmeコーポレートネットワークは、一般的なUnique Local IPv6グローバルプレフィックスジェネレータの1つを使用していました。6D8D64AF0Cのグローバルプレフィックスを割り当てました。ローカルで共通のユニークなローカルと一緒にプッシュされたとき

割り当てられたプレフィックス（FD00 :: / 8）は、プレフィックスがFD6D：8D64：AF0C :: / 48に展開されます。これでAcmeはサイト間のサブネット化に使用する追加の16ビットのスペース。参照：http://www.ciscopress.com/articles/article.asp?p=2154678&seqNum=2

質問: 95どのタイプのパケットがネットワークデバイス上でネットワーク操作を作成し実行しますか？

A.コントロールプレーンパケットB.データプレーンパケットC.管理プレーンパケットD.サービスプレーンパケット正解：A説明/参照：Explanation:通常のネットワーク動作条件下では、ネットワークデバイスによって処理されるパケットの大多

数は

データプレーンパケット。これらのパケットは高速パスで処理されます。ネットワークデバイス

は、処理に最適

これらの高速機能パケットは効率的です。通常、かなり少ないコントロールプレーンおよび管理

プレーンパケット

IPネットワークの構築と運用に必要です。したがって、パントパスとルートプロセッサは大幅にファストパスで発生した種類のパケットレートを処理することは不可能です。

データプレーンパケットの転送に直接関与

参照先：http://www.cisco.com/c/en/us/about/security-center/copp-best-practices.html

質問: 96ISEから有線または無線デバイスをロックするための1つの要件は何ですか？A. ISEエージェントがデバイスにインストールされている必要があります。B. lockコマンドが実行されたときにデバイスがネットワークに接続されている必要があります。C.ユーザーはロック操作を承認する必要があります。D.組織は、デバイスのロックを許可する許容される使用ポリシーを実装する必要があります。正解：A説明/参照：Explanation:有線または無線のデバイスをISEからロックするには、まずそのデバイスにISEエージェントをインストールする必要があります。エージェント

すぐにデバイスをロックするのに役立ちます。

質問: 97SPANテクノロジーはどのタイプのミラーリングを実行しますか。A.レイヤ2経由のリモートミラーリングB.レイヤ3経由のリモートミラーリングC.レイヤ2経由のローカルミラーリングD.レイヤ3経由のローカルミラーリング正解：C説明/参照：Explanation:各RSPANセッションのトラフィックは、ユーザ指定のRSPANを介したレイヤ2ルーティング不可能トラフィックとして伝送されます。

参加しているすべてのスイッチで、そのRSPANセッション専用のVLAN。参加しているすべてのスイッチは

レイヤ2でトランク接続されている。参照先：http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/ガイド/本/ span.html

質問: 98

TCPポート25トラフィックにアプリケーション層保護を提供するために使用できる製品はどれですか。

A. ESAB.WSAC. CWSD. ASA正解：A

質問: 99IPSをネットワークの内側に配置する利点は何ですか？A.高いスループットが得られます。B.すでにフィルタリングされているトラフィックを受信します。C.すべての受信パケットを受け取ります。D.セキュリティが向上します。正解：B説明/参照：Explanation:あなたのIPSは通常、ネットワークのすぐ内側など、ネットワークの端に置かれます。インターネットファイアウォール、またはサーバーファームの正面最小限のトラフィックしか表

示されない場所にIPSを配置します。パフォーマンスの問題を厳重に管理するために必要です。

参照先：

http://www.pcworld.com/article/144634/guide_network_intrusion_prevention_systems.html

質問: 100Cisco ASAファイアウォールでサポートされているRADIUSサーバ認証プロトコルはどれですか。（3つ選んでください。）A. EAPB. ASCIIC. PAPD. PEAPE. MS-CHAPv1F. MS-CHAPv2正解：C,E,F説明/参照：Explanation:ASAは、RADIUSサーバで次の認証方式をサポートしています。PAP -すべての接続タイプ用

CHAPおよびMS-CHAPv1 - L2TP-over-IPsec接続用。

MS-CHAPv2 - L2TP-over-IPsec接続用、および通常のIPsecリモートアクセス接続用

パスワード管理機能が有効になっているとき。クライアントレスでMS-CHAPv2を使用することもできます。

接続

認証プロキシモード - RADIUSからActive Directory、RADIUSからRSA / SDI、RADIUSから

トークンサーバ、およびRSA / SDIからRADIUSへの接続参照先：http://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/general/asa_91_general_config / aaa_radius.html＃pgfId-1211697

質問: 101単一の方式リストに含めることができる方式の最大数はいくつですか。

A. 3B. 5C. 2D. 4正解：B

質問: 102ルータがTACACSサーバからの応答を待つデフォルトのタイムアウト間隔はいくつですか。タイムアウト失敗を宣言する前に？

A. 5秒B. 10秒C. 15秒D. 20秒正解：A説明/参照：Explanation:すべてのTACACS +サーバにグローバルタイムアウト間隔を設定できます。タイムアウト間隔はどのくらいの期間を決定します

Cisco CG-OSルータは、タイムアウトエラーを宣言する前に、TACACS +サーバからの応答を待ちます。

参照先：http://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/cgr1000/1_0/software/設定/ガイド/ security / security_Book / sec_tacacspl_cgr1000.html

質問: 103ファイル分析プロセスの一環として、標準的なウイルス対策ソフトウェアはどのようなアクショ

ンを実行しますか？

A.ファイル内の実行命令を調べます

B.未検査のファイルに潜在的な脅威としてのフラグを付けますC.ファイルのバックアップコピーを作成しますD.シミュレートされた環境でファイルを実行してその動作を調べます正解：A

質問: 104ルータをリロードした後、dirコマンドを発行してインストールを確認し、イメージファイルが欠けているようです。イメージファイルがdirの出力に表示されない理由は何ですか？A. secure boot-imageコマンドが設定されています。B. secure boot-comfitコマンドが設定されています。C. confreg 0x24コマンドが設定されています。D. ROMMONからreloadコマンドが発行されました。正解：A説明/参照：Explanation:セキュリティ保護されたファイルは、エグゼクティブシェルから発行されたdirコマンドの出力には表示されません。

IFSは、ディレクトリ内の安全なファイルが一覧に表示されるのを防ぎます。ROMモニタ（ROMMON）モードはありませんそのような制限はありません。保護されたファイルの一覧表示と起動に使用できます。

参照先：http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cfg/configuration/15-mt/sec-usr-cfg-15-mt-book / sec-resil-config.html

質問: 105どのIPS検出方法で事前設定パターンのネットワークトラフィックが検査されますか？A.シグネチャベースの検出B.ポリシーベースの検出C.異常検知D.ハニーポット検出正解：A

質問: 106RADIUSのどの3つの説明が正しいのでしょうか。（3つ選んでください。）A.トランスポートプロトコルとしてUDPを使用します。B.トランスポートプロトコルとしてTCPを使用します。C.パスワードだけが暗号化されています。D.認証と承認を組み合わせたものです。E.認証、承認、および会計を分けます。F.複数のトランスポートプロトコルをサポートしています。

正解：A,C,D



質問: 107クライアント側の802.1Xを使用せずにActive Directoryに対してクライアントを認証するEAP方式証明書？

A. EAP-PEAPB. EAP-GTCC. EAP-TLSD. EAP-MSCHAPv2正解：D

質問: 108IPSを実装するときにSPANとTAPのどちらを選択する場合、2つの重要な考慮事項がありますか？

（2つ選んでください。）A.ドロップされたパケットが処理される方法B. RX信号とTX信号が別々のポートを使用するかどうかC. IPSが実行する分析の種類D.利用可能な帯域幅の量E.メディアエラーが処理される方法正解：B,C

質問: 109最大10個のセンサーをサポートするために、どのアラートプロトコルがCisco IPS ManagerExpressで使用されていますか。A. SDEEB. syslogC. SNMPD. CSM正解：A説明/参照：


シスコのIPSセンサーは、Security Device Event Exchange（SDEE）プロトコルを使用したイベント取得をサポートしています。

SDEEは業界標準のプロトコルであり、で使用できるオープンソースのライブラリがいくつかあります。

イベント収集および保管ソリューションの作成

参照先：https://supportforums.cisco.com/discussion/10988211/how-monitor-cisco-ids-4215-v60

質問: 110基本的なセキュリティ原則と考えられているものはどれですか？（2つ選んでください。）A.冗長性B.機密性C.高可用性D.説明責任E.誠実さ正解：B,E

質問: 111インターネットトラフィックとローカルLAN / WANトラフィックが同じネットワーク接続を使用できるようにするVPN機能は何ですか。A.スプリットトンネリングB.ヘアピンC.トンネルモードD.透明モード正解：A説明/参照：Explanation:スプリットトンネリングが有効になっていると、インターネットトラフィックはコンピュータか

らインターネットに直接行き来します。

まったくVPNを関与させずに。分割トンネリングはまたあなたのローカルの他のシステムにアクセスすることを可能にします

これは軽減することができますが、すべてのトラフィックが最初に社内ネットワークに送信され

た場合は不可能なネットワーク

いくつかの構成では。

参照先：http://www.tripwire.com/state-of-security/security-data-protection/36th-article-vpn-split-トンネリング/

質問: 112オペレーティングシステムを保護するための最も幅広いプラットフォームサポートがある暗号化

テクノロジの種類は何ですか？

A.ソフトウェア

B.ハードウェアC.ミドルウェアD.ファイルレベル正解：A説明/参照：Explanation:ソフトウェア暗号化は、オペレーティングシステムを保護するための最も広いプラットフォーム

サポートを持っています

参照先：https://marketplace.cisco.com/catalog/companies/vormetric/products/vormetric-data-security

質問: 113ゾーンベースのファイアウォール設定について正しい説明はどれですか。

A. Selfゾーン宛てのトラフィックまたはSelfゾーンからのトラフィックは、デフォルトで拒否されます。

B. 1つのインターフェースを複数のゾーンに割り当てることができます。C.同じゾーン内のインタフェース間では、トラフィックはデフォルトで暗黙的に拒否されます。D.ゾーンを割り当てる前に設定する必要があります。正解：D

質問: 114どのコマンドがシスコ製ルータに「cisco」というパスワードを持つ管理ユーザを正常に作成しま

すか。

A.ユーザ名オペレータパスワードcisco特権15B.ユーザ名オペレータ権限7パスワードciscoC.ユーザ名オペレータ権限15パスワードciscoD.ユーザ名オペレータ権限1パスワードcisco正解：C

質問: 115トラフィックパスの対称性を検証することによってスプーフィング攻撃を軽減するのに役立つシ

スコの機能はどれですか。

A.単方向リンク検出B.ユニキャストリバースパス転送C. TrustSecD. IPソースガード正解：B説明/参照：ユニキャストRPF機能は、不正なIPソースや偽造されたIPソースによって引き起こされる問題を軽減するのに役立ちます。

ルータを通過しているアドレス。

参照先：

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfrpf.html

質問: 116ユーザがにログインしたときにAnyConnectが自動的にVPNセッションを確立できるようにする設定

コンピューター？

A.常時点灯B.プロキシC.透過モードD.信頼ネットワーク検出正解：A説明/参照：Explanation:ユーザがログインした後にVPNセッションを自動的に確立するようにAnyConnectを設定できます。

コンピューター。VPNセッションは、ユーザーがコンピュータからログアウトするか、セッションタイマーが終了するまで開いたままになります。

アイドルセッションタイマーが期限切れになります。セッションに割り当てられたグループポリ

シーは、これらのタイマー値を指定します。もし

AnyConnectはASAとの接続を失い、ASAとクライアントは割り当てられたリソースを保持します。

これらのタイマーのいずれかが期限切れになるまでのセッション。AnyConnectは継続的に接続の再確立を試みます。

セッションがまだ開いている場合は、セッションを再アクティブ化します。それ以外の場合は、継

続的に新しいVPNセッションを確立しようとします。参照先：http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect30/管理/ガイド/ anyconnectadmin30 / ac03vpn.html

質問: 117VLAN 10での攻撃者からのVLANホッピング攻撃を防ぐことができるのはどの2つの構成ですか？（2つ選んでください。）A. VLAN 99を作成し、トランクポートでswitchport trunk native vlan 99コマンドを使用B.すべてのアクセスポートでBPDUガードを有効にしますC. VLAN間でACLを適用D.すべてのホストポートでswitchport mode accessコマンドを使用E.トランクポートでswitchport trunk native vlan 10コマンドを使用F.動的に望ましいポートでswitchport nonegotiateコマンドを使用正解：A,D

質問: 118適応型セキュリティデバイスマネージャ（ASDM）を使用する場合は、次の2つの方法があります。新しいルート証明書（2つ選んでください。）A.ファイルからインストールするB. SCEPを使うC. SFTPサーバからインストールD. HTTPSを使用E. LDAPを使う正解：A,B

質問: 119バインディングテーブルのステータスを確認するために使用できるコマンドは何ですか？

A. show ip dhcp snoopingデータベースB. show ip dhcp snooping bindingC. show ip dhcp snooping statisticsD. show ip dhcp poolE. ip dhcp source bindingを表示します。F. show ip dhcp snooping正解：A説明/参照：Explanation:リロード間でバインディングを保持するには、DHCPスヌーピングデータベースエージェントを使用する必要があります。これなしで

エージェント、DHCPスヌーピングによって確立されたバインディングはリロード時に失われ、接続も同様に失われます。

データベースエージェントは、設定された場所のファイルにバインディングを保存します。リ

ロードすると、スイッチは

バインディング用のデータベースを構築するためのファイル。スイッチとしてファイルに書き込

むことで、ファイルを最新の状態に保ちます。

データベースの変更

参照先：http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/ガイド/本/ snoodhcp.html＃wp1090624

質問: 120ASAへのTelnetアクセスについて正しい文はどれですか。（2つ選んでください）A.あなたは内部インターフェースにtelnetするために最低のセキュリティインターフェースにVPNすることができます。B. Telnetを有効にするようにAAAサーバを設定する必要があります。C. Telnetを使用してASAのすべてのインターフェイスにアクセスできます。

D. Telnetを有効にするには、コマンドvirtual telnetを使用する必要があります。E. Telnetを無効にしてSSHを使用することをお勧めします。正解：A,E説明/参照：Explanation:SSHが使用可能になっていないと、JavaアプレットはTelnetを使用します。しかしSSHサービスができるとすぐにスイッチで有効にすると、JavaアプレットはTelnetの使用を停止し、代わりにSSHを使用します。参照：https://www.alliedtelesis.com/sites/default/files/alliedwareplus-best-practice-guide_reva.pdf

質問: 121シスコ製ルータのコントロールプレーンを保護できるセキュリティ対策はどれですか。（2つ選んでください。）

A. CCPrB.パーサビューC.アクセス制御リストD.ポートセキュリティE. CoPP正解：A,E説明/参照：Explanation:Cisco IOSソフトウェアリリース12.4（4）T以降、コントロールプレーン保護（CPPr）を使用して制限することができます。

Cisco IOSデバイスのルートプロセッサ宛てのコントロールプレーントラフィック。ですがコントロールプレーンポリシング（CoPP）と同様に、CPPrには、より細かい粒度を使用してトラフィックを制限/規制する機能があります。CoPPによって使用されるものより。CPPrは集約コントロールプレーンを3つの別々のコントロールプレーンに分割します

サブインターフェイスと呼ばれるカテゴリ：（1）ホスト、（2）中継、および（3）CEF例外。さらに、CPPrには次の追加のコントロールプレーン保護機能

ポートフィルタリング機能は、クローズまたは非リスニングTCP /に向かうパケットのポリシング/ドロップを可能にします。

UDPポートキューしきい値処理では、指定したプロトコルで許可されるパケット数を制限します。

コントロールプレーンIP入力キュー参照先：http://www.cisco.com/c/en/us/about/security-center/understanding-cppr.html



質問: 122802.1xサプリカントはどのように認証サーバと通信しますか。A.サプリカントはRADIUSパケットを作成し、それらを変換するオーセンティケータに送信します。

EAPに変換して認証サーバーに転送します。B.サプリカントはEAPパケットを作成し、それらをカプセル化するオーセンティケータに送信します。

RADIUSにそれらを認証サーバに転送します。C.サプリカントはRADIUSパケットを作成し、それらをカプセル化するオーセンティケータに送信します。

それらをEAPに送信し、それらを認証サーバーに転送します。D.サプリカントはEAPパケットを作成し、それらをオーセンティケータに送信します。RADIUSし、それらを認証サーバに転送します。正解：D

質問: 123管理者がISEからデバイスワイプコマンドを開始したときの直接的な影響は何ですか。A.すべてのデバイスデータを消去するか管理対象企業のみを消去するかを管理者に選択するよう要求します。

データ。

B.操作を続行する前に管理者にデバイスのPINまたはパスワードの入力を要求します。C.デバイスユーザーに通知し、消去操作を続行します。D.すぐにデバイス上のすべてのデータが消去されます。正解：A説明/参照：Explanation:この場合、ISEは管理者にすべてのデバイスデータを消去するか管理された企業のみを消去するかを選択するように依頼します。

データ。

質問: 124システムプロセスとリソースを監視できるIDS / IPSソリューションはどれですか。A. IDS


B.ヒップC. IPSD.プロキシ正解：B説明/参照：Explanation:HIPSは、ホストログファイル、ホストファイルシステム、およびリソースを監査します。HIPSの大きな利点は、

オペレーティングシステムのプロセスを監視し、存在する可能性があるファイルを含む重要なシ

ステムリソースを保護する

その特定のホスト上でのみ。

質問: 125どのステートメントがマルウェアの最良の定義を提供しますか？

A.マルウェアは有害または破壊的な迷惑ソフトウェアです。B.マルウェアは、国家がサイバー犯罪を犯すために使用するソフトウェアです。C.マルウェアは、1つのパッケージとして配布されるワーム、ウイルス、およびトロイの木馬の集まりです。

D.マルウェアは、不要なプログラムを駆除するためのツールやアプリケーションです。正解：A説明/参照：Explanation:

「マルウェア」は悪意のあるソフトウェアの略語で、ウイルス、スパイウェア、ワームなどを指す単

一の用語として使用されます。

マルウェアは、スタンドアロンコンピュータまたはネットワーク接続されたPCに損傷を与えるように設計されています。だからどこでも

マルウェアの用語が使用されているそれはあなたのコンピュータを損傷するように設計されてい

るプログラムを意味し、それはウイルスかもしれません、

ワーム、またはトロイの木馬。

参照先：http://www.symantec.com/connect/articles/what-are-malware-viruses-spyware- and-cookies-そして、何を区別するのか

質問: 126接続に関する最も詳細な情報を記録するには、どのSourcefireロギングアクションを選択しますか？

A.セッション終了時にログを有効にします。B.セッション開始時にログ記録を有効にします。C. SNMPによるアラートを有効にして、イベントをログオフします。D. eStreamerがイベントをオフボックスでログに記録できるようにします。

正解：A説明/参照：Explanation:システムが接続を検出すると、ほとんどの場合、接続を最初または最後に記録できます。

ただし、ブロックされたトラフィックはそれ以上検査されずにただちに拒否されるため、ほとん

どの場合は

ブロックまたはブラックリストに登録されたトラフィックの接続開始イベントのみをログに記録

します。のユニークな終わりはありません

ログへの接続。暗号化トラフィックをブロックすると例外が発生します。接続を有効にしたとき

SSLポリシーにログインすると、システムは接続開始イベントではなく接続終了イベントをログに記録します。

これは、接続が最初のパケットを使用して暗号化されているかどうかをシステムが判断できない

ためです。

したがって、暗号化されたセッションをすぐにブロックすることはできません。

参照先：http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401 / AC-Connection-Logging.html＃pgfId-1604681

質問: 127送信中にどの3つのESPフィールドを暗号化できますか？（3つ選んでください。）A.セキュリティパラメータインデックスB.シーケンス番号C. MACアドレスD.パディングE.パッド長F.次のヘッダ正解：D,E,F説明/参照：Explanation:ESPの残りの4つの部分は、ネットワークを介した伝送中にすべて暗号化されます。それらの部品以下の通り：

ペイロードデータは、パケットによって運ばれる実際のデータです。

0から255バイトのデータまでのパディングにより、特定のタイプの暗号化アルゴリズムでは、

データは特定のバイト数の倍数になります。パディングはメッセージのテキストを確実にしま

す。

4バイト境界（IP内のアーキテクチャ要件）で終了します。Pad Lengthフィールドは、データではなくペイロードのどれだけをパディングするかを指定します。

Next Headerフィールドは、標準のIP Next Headerフィールドと同様に、伝送されるデータの種類と

プロトコル。

参照先：http://www.cisco.com/c/en/us/td/docs/net_mgmt/vpn_solutions_center/2-0/ip_security/プロビジョニング/ guide / IPsecPG1.html

質問: 128WebトラフィックをCisco Cloud Web Securityにリダイレクトするための2つの直接的な方法は何ですか。（を選択してください

二。）

A. Cisco NACエージェントB. Cisco CatalystプラットフォームC.ホストされているPACファイルD.サードパーティプロキシE. Cisco ISE正解：C,D

質問: 129CiscoルータでSSHサポートを有効にするために必要なコマンドはどれですか。A.暗号鍵ロックrsaB.暗号鍵生成rsaC.暗号鍵ゼロ化rsaD.暗号鍵ロック解除rsa正解：B説明/参照：Explanation:Cisco IOSルータでSSHサポートを有効にするために必要な4つのステップがあります。1. hostnameコマンドを設定します。2. DNSドメインを設定します。3.使用するSSHキーを生成します。4.仮想タイプ端末（vtys）のSSH転送サポートを有効にします。あるデバイスを他のデバイスに対してSSHクライアントとして機能させたい場合は、別のデバイスにSSHを追加できます。リードと呼ばれる。その場合、これらのデバイスは、Carterがサーバとして機能するクライアント-サーバ構成になります。リードはクライアントとして機能します。ReedのCisco IOS SSHクライアント設定は、Reedの必須設定と同じです。

CarterでのSSHサーバー構成参照先：http://www.cisco.com/c/en/us/support/docs/security-vpn/secure-shell-ssh/4145-ssh.html

質問: 130アプリケーション層ファイアウォールの2つの特徴はどちらが正しいですか？（2つ選んでください。）

A.複数のアプリケーションを保護しますB.リバースプロキシサービスを提供しますC.ステートフルファイアウォール機能を提供しますD. URL操作の影響を受けませんE.プロセッサ使用率が低い正解：A,B

質問: 131EAP-FASTv2はEAP-FASTに対してどのような改善をもたらしますか？A.単一のEAP交換で複数の資格情報を渡すことができます。B.より安全な暗号化プロトコルをサポートしています。C.パケット数を減らすことで認証を高速化できます。D.元のプロトコルに存在するセキュリティ上の脆弱性を解決します。正解：A説明/参照：Explanation:EAP-FASTv2が提供する改善点の1つは、複数の資格情報を1つのパスに渡せるようになることです。

EAP交換EAP-FASTは単一のEAP交換でそれを行うことができませんでした。参照：https://tools.ietf.org/html/draft-zhou-emu-eap-fastv2-00

質問: 132どのタイプの悪意のあるソフトウェアがデバイスまたはネットワークへのバックドアを作成する

可能性がありますか？

A.ウイルスB.トロイの木馬C.ボットD.ワーム正解：B

質問: 133レイヤ2スイッチインターフェイスのSTPステートの遷移順序は何ですか。A.リスニング、学習、ブロック、転送、無効B.リスニング、ブロック、学習、転送、無効C.ブロック、リスニング、学習、転送、無効D.転送、リスニング、学習、ブロック、無効正解：C

説明/参照：Explanation:スパニングツリーを使用するアクセスポイントの各インターフェイスは、次のいずれかの状態に

あります。

ブロッキング -インターフェイスはフレーム転送に参加していません。

リスニング -スパニングツリーが次のように判断したときのブロッキングステートの後の最初の遷移ステート

インターフェイスはフレーム転送に参加する必要があります。

ラーニング -インターフェイスはフレーム転送に参加する準備をします。

Forwarding -インターフェイスはフレームを転送します。

Disabled -シャットダウンポートのため、インターフェイスはスパニングツリーに参加していません。

port、またはポート上でスパニングツリーインスタンスが実行されていません。参照先：http://www.cisco.com/c/en/us/td/docs/wireless/access_point/12-3_7_JA / configuration /guide /i1237sc / s37span.html＃wp1040509

質問: 134Windows Vistaコンピュータに接続しているクライアントレスSSL VPNユーザーに、次のメニューオプションがありません。

ポータルWebページのリモートデスクトッププロトコル。トラブルシューティングを開始するためにどのアクションを取りますか。

A. RDP2プラグインがVPNゲートウェイにインストールされていることを確認してください。B. VPNゲートウェイを再起動しますC. VPNゲートウェイに再接続するようにユーザーに指示しますD. RDPプラグインがVPNゲートウェイにインストールされていることを確認します正解：D説明/参照：Explanation:RDPプラグインは、Secure Shellなどの他のユーザーと共に、ユーザーが利用できるプラグインの1つにすぎません。（SSH）、Virtual Network Computing（VNC）、およびCitrix。RDPプラグインは最も頻繁に使用されるものの1つです。このコレクションのプラグインこの資料は配置およびトラブルシューティングについての詳細を

提供したものです

このプラグインの手順

参照先：http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls / 113600-technote-product-00.html

質問: 135内部アドレスを隠すようにファイアウォールを設定するためにどのコマンドを入力しますか？

A. IPロギング機能なしB. IPダイレクトブロードキャストなしC.プロキシARPなしD. no ip inspect監査証跡E. ip検査なしF. no ip source-route正解：C

質問: 136データセンターで使用される傾向があるASAの2つのモデルはどれですか。（2つ選んでください。）

A. 5512XB. 5555XC. 5585XD. ASAサービスモジュールE. 5540F. 5520正解：C,D



質問: 1372つのVPNゲートウェイ間でNATが検出された場合、IKEはどの送信元ポートを使用しますか？A. TCP 4500B. TCP 500C. UDP 4500D. UDP 500正解：C説明/参照：Explanation:NATの背後にあるイニシエータの一般的なケースを考えてください。イニシエータはすぐにポート4500に変更する必要があります。


NATがIPsec対応NATの問題のウィンドウを最小化するために検出されたら。参照：https://tools.ietf.org/html/rfc3947

質問: 138どのコンフィギュレーションモードでip ospf authentication-key 1コマンドを設定しますか。A.ルーティング処理B.特権C.グローバルD.インタフェース正解：D

質問: 139どの2つの状況でアウトオブバンド管理を使用しますか？（2つ選んでください。）A.ネットワーク機器がパケットの転送に失敗した場合B. ROMMONアクセスが必要な場合C.管理アプリケーションがデバイスへの同時アクセスを必要とするときD.複数の場所から管理者アクセスが必要な場合E.コントロールプレーンが応答しない場合正解：A,B説明/参照：Explanation:アウトオブバンドとは、管理プロトコルトラフィックだけを転送または転送できるようにするイ

ンターフェイスのことです。

処理しました。帯域外管理インターフェースは、ネットワーク事業者が明確に受信するために定

義します。

ネットワーク管理トラフィック利点は、転送（またはカスタマー）トラフィックがトラフィックに

干渉しないことです。

これにより、サービス拒否攻撃の可能性が大幅に減少します。

帯域外インタフェースは、帯域外インタフェース間でのみトラフィックを転送するか、管理を終

了します。

ルータ宛てのパケット。さらに、帯域外インタフェースは動的に参加できます。

ルーティングプロトコルサービスプロバイダーは、ルータのアウトオブバンドインターフェイス

に接続して、

ルータが提供できるすべてのルーティングおよびポリシーツールを備えた、独立したオーバーレ

イ管理ネットワーク。

参照先：http://www.cisco.com/c/en/us/td/docs/routers/asr9000/software/asr9k_r4-0/security/設定/ガイド/ b_sc40asr9kbook / b_sc40asr9kbook_chapter_0101.pdf

質問: 140SDMを介してAAAを有効にするためにどのパスをたどりますか。

A.設定>追加認証> AAAB.設定>タスク> AAAC.設定>認証> AAAD.設定>追加のタスク> AAAE.設定> AAA正解：D

質問: 141FirePOWERのSMTPプリプロセッサは何を正規化できますか？A.クライアントからサーバーへのトラフィックで電子メールの添付ファイルを抽出してデコードできます。

B.メール送信者を検索できます。C.メール送信者に対する既知の脅威を比較します。D. SMTPトラフィックを電子メールフィルタサーバーに転送できます。E. Traffic Anomaly Detectorを使用します。正解：A説明/参照：Explanation:トランスポート層およびネットワーク層のプリプロセッサは、IPの断片化、チェックサムを悪用する攻撃を検出します。

検証、TCPおよびUDPセッションの前処理パケットがプリプロセッサに送信される前に、パケットデコーダは、パケットヘッダとペイロードを簡単に使用できる形式に変換します。

プリプロセッサと侵入ルールは、パケットヘッダ内のさまざまな異常な振る舞いをエンジン処理

して検出します。

パケットのデコード後、他のプリプロセッサにパケットを送信する前に、インライン正規化

プリプロセッサはインライン展開のトラフィックを正規化します。

参照先：http://www.cisco.com/c/en/us/td/docs/security/firesight/541/firepower-module-user-guide/asa-firepowerモジュールのユーザガイドv541 / NAPトランスポートネットワークレイヤ.html


どのNTPサーバーとルーターが同期していますか？A. 192.168.10.7B. 108.61.73.243C. 209.114.111.1D. 132.163.4.103E. 204.2.134.164F. 241.199.164.101正解：A説明/参照：Explanation:展示物には192.168.10.7がはっきりと示されています。ルータと同期するのはNTPサーバアドレスです。

質問: 143ASAファイアウォールは、通常の動作中にインバウンドHTTP GET要求をどの3つのケースで許可しますか。

（3つ選んでください）A.一致するTCP接続が見つかったときB.ファイアウォールで厳密なHTTP検査が必要な場合C.ファイアウォールがFINパケットを受信したときD.一致するACLエントリが設定されている場合E.ファイアウォールでHTTP検査が必要な場合F.一致するNATエントリが設定されている場合正解：A,D,F説明/参照：

Explanation:通常の動作中、ASAファイアウォールは、一致するTCPが一致すると、着信HTTP GET要求を許可します。

接続が見つかり、一致するACLエントリーが構成されているか、ファイアウォールがHTTPを必要とする場合

検査。

参照：https://supportforums.cisco.com/document/69281/asa-using-packet-capture-troubleshoot-asa-ファイアウォールの設定とシナリオ

質問: 144どのコマンドがCiscoルータ上のIPsec VPNのフェーズ1を検証しますか？A.暗号マップを表示B. show crypto ipsec saC. show crypto isakmp saD.暗号エンジン接続をアクティブにします。正解：C説明/参照：Explanation:接続に問題があると、VPNのフェーズ1でも起動しません。ASAでは、接続が失敗すると、SAの出力はこの例のようになります。これは、おそらく誤った暗号ピアを示しています。

設定または誤ったISAKMPプロポーザル設定Router＃show crypto isakmp sa1 IKEピア：XX.XX.XX.XXタイプ：L2Lロール：イニシエータキーの再生成：なし状態：MM_WAIT_MSG2参照先：http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls / 81824-common-ipsec-trouble.html

質問: 145データの忠実度を評価し、データに認証済みのハッシュを提供するために使用できるテクノロジ

はどれですか。

A.ファイルレピュテーションB.ファイル解析C.署名の更新D.ネットワークブロック正解：A説明/参照：Explanation:

ファイル分析は、データの認証済みハッシュを提供するためのデータの忠実度を評価します。

参照先：http://www.cisco.com/c/en/us/td/docs/security/ips/7-1/configuration/guide/idm/idmguide71/idm_collaboration.html


どの地域がデータセンターですか。

A. DB. AC. BD. C正解：B

質問: 147

展示を参照してください。

サイト間VPNのトラブルシューティング中に、show crypto ipsec saコマンドを発行しました。何が

与えられた出力ショー？

A. IPSecフェーズ2が10.1.1.1と10.1.1.5の間に確立されています。B. ISAKMPセキュリティアソシエーションが10.1.1.5と10.1.1.1の間に確立されています。C. IKEバージョン2セキュリティアソシエーションは10.1.1.1と10.1.1.5の間に確立されています。

D.暗号化パケットと復号化パケットの不一致が原因で、IPSecフェーズ2が停止しています。正解：A説明/参照：Explanation:フェーズ1からの安全なトンネルが確立されたら、フェーズ2を開始します。ファイアウォールは、IPsec内のトラフィックを保護するために使用されるIPsecセキュリティパラメータについてネゴシエートします。

トンネル。要するに、これはフェーズ2で起こることです：フェーズ1から安全なトンネルを通してIPsecセキュリティパラメータをネゴシエートして下さい。

IPsecセキュリティアソシエーションを確立します。

定期的にセキュリティのためにIPsecセキュリティアソシエーションを再交渉します。

参照先：https://networklessons.com/security/cisco-asa-site-site-ikev1-ipsec-vpn/

質問: 148ポートセキュリティのデフォルト設定はどれですか？（2つ選んでください。）A.違反は保護されていますB.最大MACアドレス数は1C.違反は制限されていますD.違反はシャットダウンですE.最大MACアドレス数は2正解：B,D説明/参照：Explanation:

参照先：https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide / conf / port_sec.html

質問: 149レイヤ4以上で動作するファイアウォールは2種類ありますか。（2つ選んでください。）A.アプリケーションレベルのファイアウォールB.回線レベルゲートウェイC.静的パケットフィルタD.ネットワークアドレス変換E.ステートフル検査正解：A,E説明/参照：参照先：https://supportforums.cisco.com/t5/security-documents/firewall-and-types/ta-p/3112038

質問: 150どのタイプのセキュリティ管理が徹底的に防御されていますか？

A.脅威の軽減B.リスク分析C.ボットネット緩和D.チャンネルを覆い隠し正解：A説明/参照：Explanation:多層防御は、ネットワークを保護するために多数のネットワーク防御層を使用し、すべての

そのネットワークに接続されているデバイス。多層防御の背後にある理論は、さまざまな層を展

開することです。

攻撃を検出し、封じ込め、そして最終的に阻止するためのネットワークの主要部分におけるセ

キュリティ。

参照：http://security2b.blogspot.com/2006/12/what-is-defense-in-depth-and-why-is-it.html

質問: 151PVLANのどの2つの特徴が本当ですか？（2つ選んでください。）A.独立ポートは、同じVLAN上の他のポートと通信できません。B.コミュニティポートはトランクの一部にする必要があります。C.無差別ポートはPVLANポートと通信できます。D. PVLANポートはEtherChannelポートとして設定できます。E.サーバーモードでVTPを有効にする必要があります。正解：A,C



質問: 152透過ファイアウォールモードの2つの機能は何ですか？（2つ選んでください。）A.攻撃者からファイアウォールの存在を隠します。B.ネットワーク内のルーテッドホップとして機能します。C. ASAがルータとして機能できるようにします。D.デフォルトで設定されています。E.ルーテッドモードでブロックされているトラフィックを許可します。正解：A,E

質問: 153悪意のあるトラフィックだけをブロックしたい場合は、どのSourcefireイベントアクションを選択する必要があります。

特定のエンドユーザー？

A.検査ありB.検査なしで許可C.ブロックD.信頼


E.モニター正解：A説明/参照：Explanation:特定のエンドユーザからの悪意のあるトラフィックのみをブロックするには、[検査を許可]を選択します。

参照：https://popravak.wordpress.com/2015/05/20/sourcefire-access-control-policies-part-two/

質問: 154どの用語がネットワークケーブルから放射される可能性がある電磁干渉を指しますか。

A.マルチモード歪み〈B〉ドップラー波

B.ガウス分布C.発散正解：C説明/参照：

質問: 155ステートレスファイアウォールについて正しい文はどれですか。（2つ選んでください。）A.各着信パケットの5タプルを構成可能なルールと比較します。B.接続を追跡できません。C. HTTPやHTTPSなどのステートレスプロトコルで最も効率的に機能するように設計されています。

D.プラットフォームは本質的にステートフルであるため、Cisco IOSはそれらを実装できません。E. Cisco ASAは、デフォルトですべてのトラフィックをブロックするため、暗黙的にステートレスです。

正解：A,B説明/参照：Explanation:ただし、iptablesとNetfilterが導入され、特に接続追跡が行われたため、このオプションは取り除かれました。その理由は、接続追跡はデフラグを行わないと正しく機能しないためです。

パケット、したがってデフラグはconntrackに組み込まれており、自動的に実行されます。それ接続追跡をオフにする以外はオフにできません。次の場合は常に最適化が実行されます。

接続追跡がオンになっています。

参照：http://www.iptables.info/en/connection-state.html

質問: 156BPDUが無効の場合、どの機能が非トランキングポートをerrdisableステートにすることでループを防止します。

そのポートで受信？

A. DHCPスヌーピングB. BPDUガードC. BPDUフィルタD. PortFast正解：B

質問: 157CIAモデルを参照すると、どのシナリオでハッシュ専用関数が最も適していますか？A.ファイル内のデータを保護するB.リアルタイムトラフィックの確保C.保管中のデータを保護するD.無線通信を保護する正解：C

質問: 158ASAのアクセスリストとASAのアクセスリストの違いを表すステートメントルーター？

A. ASAは標準アクセスリストをサポートしませんB. ASAはワイルドカードマスクを使用しません。C. ASAは番号付きアクセスリストをサポートしません。D. ASAは拡張アクセスリストをサポートしません正解：A説明/参照：参照：http://www.ciscopress.com/articles/article.asp?p=2104953

質問: 159IOSの特権レベルに関する正しい記述はどれですか。A.各特権レベルは、それ自身のレベルおよびそれより下のすべてのレベルでコマンドをサポートします。

B.各特権レベルは、それ自身のレベルおよびそれより上のすべてのレベルでコマンドをサポートします。

C.特権レベルのコマンドは各ユーザーに対して明示的に設定されます。D.各特権レベルは他のすべての特権レベルから独立しています。正解：A説明/参照：Explanation:特定の特権レベルのパスワードを定義するには、levelオプションを付けてこれらのコマンドのいずれかを使用します。後に

あなたはレベルを指定してパスワードを設定し、これにアクセスする必要があるユーザーだけに

パスワードを与えます。

レベル。さまざまなレベルでアクセス可能なコマンドを指定するには、特権レベルコンフィギュ

レーションコマンドを使用します。

参照先：http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfpass.html

質問: 160CDPを偵察攻撃からどのように保護できますか？A.トランクポートでCDPを無効にします。B.他のスイッチに接続されているすべてのポートでdot1xを有効にします。C.すべての信頼できないポートで動的ARP検査を有効にします。D.エンドポイントに接続されているポートでCDPを無効にします。正解：D

質問: 161CIAトライアドのIntegrityコンポーネントの目的は何ですか？A.権限のある当事者だけがデータを変更できるようにするB.データが関連性があるかどうかを判断するためC.データにアクセスするためのプロセスを作成しますD.権限のある当事者のみがデータを閲覧できるようにする正解：A説明/参照：Explanation:CIAのIは整合性、具体的にはデータの整合性を表します。CIA Triadのこのコンポーネントへの鍵は

許可されていない当事者による変更または削除からデータを保護し、許可されたときに確実に

人々は、加えられてはならないような変更を加えることで、被害を元に戻すことができます。

参照：http://www.techrepublic.com/blog/it-security/the-cia-triad/

質問: 162クライアントとサーバーのVPNエンドポイント間のトラフィックを直接暗号化するために使用されるIPSecモードはどれですか。A.アグレッシブモードB.トンネルモードC.移送モードD.クイックモード正解：C

質問: 163ISEが信頼できるCAによって発行された独自の証明書を必要とするのはなぜですか。A. ISEの証明書により、ネットワークセキュリティフレームワークに参加することができます。

B.独自の証明書に基づいてゲストデバイス用の証明書を生成します。C.自身の証明書に基づいて、CAサーバーにゲストデバイスの証明書を要求します。D. ISEの証明書により、ゲストデバイスはそれを信頼できるネットワークデバイスとして検証できます。

正解：D

質問: 164PVLANを使用する2種類のVLANはどれが有効ですか。（2つ選んでください。）A.バックアップB.孤立C.コミュニティD.乱交E.二次正解：B,C

質問: 165Stuxnetウイルスはどのような種類の攻撃でしたか？A.サイバー戦争B.ハクティビズムC.ボットネットD.ソーシャルエンジニアリング正解：A説明/参照：Explanation:Stuxnetウイルスは、彼らの対戦相手のコンピュータを妨害するために政府によって解放されたサイバー戦争の一部です。

システムと重要情報の盗用

参照：https://en.wikipedia.org/wiki/Stuxnet


与えられたコマンドの2つの効果は何ですか？（2つ選んでください。）A. AES 256を使用するように認証を設定します。B. MD5 HMACを使用するように認証を設定します。C.認証用途AES 256を設定します。D. MD5 HMACを使用するように暗号化を設定します。E. AES 256を使用するように暗号化を設定します。

正解：B,E説明/参照：トランスフォームセット（セキュリティプロトコルとアルゴリズムの許容できる組み合わせ）を定

義するには

crypto ipsec transform-setグローバルコンフィギュレーションコマンドトランスフォームセットを削除するには、no形式を使用します。コマンドの

暗号ipsecトランスフォームセットトランスフォームセット名トランスフォーム1 [トランスフォーム2 [トランスフォーム3]]no crypto ipsecトランスフォームセットトランスフォームセット名参照先：http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/reference/srfipsec.html＃wp1017694



質問: 167Cisco Eメールセキュリティアプライアンスのどの機能がスノーシュースパムの影響を軽減できるか

高度なフィッシング攻撃

A.グレーメールの管理とフィルタリングB.レピュテーションベースのフィルタリングC.コンテキスト分析D.署名ベースのIPS正解：C

質問: 168send-lifetime local 23:59:00 2013年12月31日無限コマンドの効果は何ですか？A.ローカルの00:00:00に他のデバイスに認証キーの送信を開始するようにデバイスを設定します2014年1月1日に期限を設定し、無期限にキーを使用し続けます。B.ローカルの23:59:00に他のデバイスに認証キーの送信を開始するようにデバイスを設定します。

2013年12月31日に期限を設定し、無期限にキーを使用し続けます。C.すぐに他の機器からの認証キーの受け入れを開始するように機器を設定し、2013年12月31日の現地時間23:59:00に、キーの受け入れを中止します。


D.新しい認証キーを生成し、それを他のデバイスに送信するようにデバイスを設定します。2013年12月31日の現地時間23:59:00。E.ローカルの23:59:00に他のデバイスからの認証キーの受け入れを開始するようにデバイスを設定します。

2013年12月31日に予定し、無期限にキーを受け入れ続けます。F.ローカルの00:00:00に他のデバイスからの認証キーの受け入れを開始するようにデバイスを設定します。

2014年1月1日に期限が切れ、キーを無期限に受け入れ続けます。正解：B説明/参照：Explanation:send-lifetime infiniteコマンドは、認証キーを他のユーザに送信し始めるようにデバイスを設定します。

2013年12月31日の現地時間23:59:00にデバイスを使用し、無期限にキーを使用し続ける

質問: 169攻撃者はどのタイプの攻撃でスイッチのCAMテーブルに過負荷をかけようとしますか。ハブとして機能する？

A. MACなりすましB.無償ARPC. MACフラッディングD.サービス拒否正解：C説明/参照：Explanation:MACフラッディングは、スイッチのCAM（Content Addressable Memory）テーブルに過負荷をかけようとする行為です。

ランダムなアドレスを持つ大量のパケットを送信することによって、スイッチのCAMテーブルは均等に一杯になります。

そしてスイッチはそれ以上エントリを保持できません。スイッチによっては、「フェールオープ

ン」状態に変わることがあります。この意味は

すべてのフレームがスイッチのすべてのポートのフラッディングを開始します。

参照：http://howdoesinternetwork.com/2011/mac-address-flooding

質問: 170メッセージの信頼性と完全性を判断するためにHMACはどのコンポーネントを使用しますか？（を選択してください

二。）

A.パスワードB.ハッシュ

C.鍵D.トランスフォームセット正解：B,C説明/参照：Explanation:HMACはハッシュ関数に基づくMACである。基本的な考え方は、キーとキーを連結することです。メッセージを送り、それらを一緒にハッシュします。暗号ハッシュを考えると、それが何であるか

を見つけることは不可能です。

ハッシュ（あるいはそのようなハッシュの集合）を知っているというハッシュは、それを見つける

ことを可能にしません。

キー。基本的な考え方は、長さ拡張攻撃のせいで、あまりうまくいきません。

HMACの構築はもう少し複雑です。参照：http://security.stackexchange.com/questions/20129/how-and-when-do-i-use-hmac/20301

質問: 171会社の方針に違反するWebサイトへのユーザーアクセスをブロックすることを任務としていましたが、サイトは

動的IPアドレスこの問題を解決するためのURLフィルタリングのベストプラクティスは何ですか？

A. URLフィルタリングを有効にし、URL分類を使用して会社のポリシーに違反するWebサイトをブロックします。

B. URLフィルタリングを有効にし、会社の方針に違反するWebサイトをブロックするためのブラックリストを作成します。

C. URLフィルタリングを有効にして、ホワイトリストを作成して会社のポリシーに違反しているWebサイトをブロックします。D. URLフィルタリングを有効にし、URL分類を使用して会社のポリシーで許可されているWebサイトのみを許可する

アクセスするユーザー

E. URLフィルタリングを有効にしてホワイトリストを作成し、会社のポリシーでユーザーに許可されているWebサイトのみを許可するアクセスするために。

正解：A説明/参照：Explanation:ポリシーを有効にする -個々のポリシーを有効または無効にします。グローバルURLフィルタ設定は、

個々のポリシーの仕様

URLカテゴリ -アクセスを制限したいと思うURLカテゴリのためのフィルタリングアクションを選択して下さい。

7つの論理グループに分割された80を超えるカテゴリがあります。カスタムカテゴリを作成できます

HTTP>設定>カスタムカテゴリで。以下に、利用可能なフィルタリングアクションについて説明します。

-ターゲットサーバーへのAllow-Connectionが許可され、ユーザーはWebサイトにアクセスできます。

-ターゲットサーバへのブロック接続が確立されず、ユーザがサーバにアクセスすることが許可されていません。

Webサイトこのイベントのログエントリも作成されます。-ユーザーがaを入力できない限り、ターゲットサービスへのOverride-Connectionを使用したブロックは確立されません。

カテゴリブロックを無効にするための特定のパスワード。

参照先：https://docs.trendmicro.com/all/ent/iwsva/v5.5/en-us/iwsva_5.5_olh/urlf_policy_rule.htm

質問: 172トランスペアレントモードのASAに関する正しい記述はどれですか。A.ダイナミックNATを使用できます。B.各インタフェースにIPアドレスが必要です。C.管理IPアドレスが必要です。D. OSPFをサポートしています。正解：C説明/参照：Explanation:IPv4の場合、管理IPアドレスは管理トラフィックと通過するトラフィックの両方に必要です。適応型セキュリティアプライアンスマルチコンテキストモードの場合、各コンテキストにIPアドレスが必要です。

参照先：https://www.cisco.com/c/en/us/td/docs/security/asa/asa83/configuration/guide/config/fwmode.html

質問: 173どのタイプの攻撃で、攻撃者はCAMテーブルのエントリを上書きして、自分宛のトラフィックを迂回しますか。

正規のホスト？

A. ARPスプーフィングB. DHCPなりすましC. CAMテーブルオーバーフローD. MACなりすまし正解：D

質問: 174

どの攻撃が偽装された送信元IPアドレスを持つ多数のICMPパケットを含みますか？A.ティアドロップアタックB.スマーフアタックC. SYNフラッド攻撃D.ぬけ攻撃正解：B

質問: 175DHグループとは何のことですか？A.鍵交換用の鍵の長さB.認証用の鍵の長さC.ハッシュ用のキーの長さD.暗号化キー長E.トンネルライフタイムキー正解：A

質問: 176攻撃にもかかわらずルータまたはスイッチがパケット転送およびプロトコル状態を維持するのを

助けることができる機能

またはルータやスイッチに大きなトラフィックがかかりますか。

A.シスコエクスプレスフォワーディングB.サービスポリシーC.ポリシーマップD.コントロールプレーンポリシング正解：D説明/参照：参照先：https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_plcshp/configuration/15-mt/qos-plcshp-15-mt-book / qos-plcshp-ctrl-pln-plc.html

質問: 177VLANホッピングの主な攻撃方法は何ですか？（2つ選んでください。）A. VoIPホッピングB.スイッチのなりすましC. CAMテーブルオーバーフローD.ダブルタギング正解：B,D説明/参照：Explanation:

VLANホッピングはコンピュータセキュリティの悪用、仮想LAN上のネットワークリソースを攻撃する方法です。

（VLAN）すべてのVLANホッピング攻撃の背後にある基本概念は、VLANを攻撃しているホストが攻撃を受けることです。

通常はアクセスできない他のVLAN上のトラフィックへのアクセス。2つの主な方法があります。VLANホッピング：スイッチスプーフィングとダブルタギング。どちらの攻撃方法も、次の方法で簡単に軽減できます。

適切なスイッチポート設定。

参照：https://en.wikipedia.org/wiki/VLAN_hopping

質問: 178シスコが推奨する次世代暗号化アルゴリズムは2つありますか。（2つ選んでください。）A. AESB. 3DESC. DESD. MD5E. DH-1024F. SHA-384正解：A,F次の表に、推奨アルゴリズムとNGEアルゴリズムによって提供される相対的なセキュリティレベルを示します。

セキュリティレベルは、アルゴリズムの相対的な強さです。セキュリティレベルがxビットのアルゴリズムは

x> yの場合、yビットの1より強い。アルゴリズムがxビットのセキュリティレベルを持っているなら、それが相対的な努力

アルゴリズムを「打ち負かす」ことは、安全なXビット対称鍵アルゴリズムを破るのと同じ大きさ

である

（減少や他の攻撃なしで）128ビットのセキュリティレベルは機密情報用で、192ビットのセキュリティレベルは

レベルは重要性の高い情報です。

参照先：http://www.cisco.com/c/en/us/about/security-center/next-generation-cryptography.html

質問: 179AAAサーバに対する認証をテストするためにどのIOSコマンドを入力しますか。A. AAA認証でデフォルトのテストグループのTACACSを有効にします+B. ppp認証チャップパップテストC.ダイヤラAAAのサフィックス<サフィックス>パスワード<パスワード>D. AAAサーバ認証ダイヤラグループのユーザ名<ユーザ>のパスワード<パスワード>をテストします。

正解：D




aspose - jpnshiken.com · cisco.210-260.v2019-08-10.q179 試験コード： 210-260 試験名称：...

Documents