防火墻安全配置規(guī)范試題參考Word

1、防火墻安全配置規(guī)范試題總分：100分 時(shí)間：70分鐘 姓名：_ 工號(hào)：_一、 判斷題（每題2分，共20分）1、 工程師開(kāi)局需要使用推薦版本和補(bǔ)丁。（對(duì) ）2、 防火墻Console口缺省沒(méi)有密碼，任何人都可以使用Console口登錄設(shè)備。（錯(cuò) ）3、 一般情況下把防火墻連接的不安全網(wǎng)絡(luò)加入低優(yōu)先級(jí)域，安全網(wǎng)絡(luò)加入高優(yōu)先級(jí)域（ 對(duì)）4、 防火墻缺省包過(guò)濾默認(rèn)是打開(kāi)的。（錯(cuò) ）5、 防火墻local域和其它域inbound方向可以不做安全策略控制。（ 錯(cuò)）6、 防火墻雙機(jī)熱備場(chǎng)景下，HRP心跳線可以只用一條物理鏈路。（ 錯(cuò)）7、 原則上SNMP需要采用安全的版本，不得采用默認(rèn)的community，

2、禁用SNMP寫(xiě)功能，配置SNMP訪問(wèn)列表限制訪問(wèn)。（對(duì) ）8、 防火墻可以一直開(kāi)啟ftp server功能。（錯(cuò)）9、 遠(yuǎn)程登錄防火墻建議使用SSH方式。（對(duì) ）10、 正確設(shè)置設(shè)備的系統(tǒng)時(shí)間，確保時(shí)間的正確性。（ 對(duì)）二、 單選題（每題3分，共36分）1. 防火墻一般部署在內(nèi)網(wǎng)和外網(wǎng)之間，為了保護(hù)內(nèi)網(wǎng)的安全，防火墻提出了一種區(qū)別路由器的新概念（A），用來(lái)保障網(wǎng)絡(luò)安全。A. 安全區(qū)域B. 接口檢測(cè)C. 虛擬通道D. 認(rèn)證與授權(quán)2. 防火墻默認(rèn)有4 個(gè)安全區(qū)域，安全域優(yōu)先級(jí)從高到低的排序是（C）A. Trust、Untrust 、DMZ、LocalB. Local、DMZ 、Trust 、Unt

3、rustC. Local、Trust、DMZ 、UntrustD. Trust 、Local、DMZ 、Untrust3. 針對(duì)防火墻安全功能描述錯(cuò)誤的是（D）A. 防火墻可以劃分為不同級(jí)別的安全區(qū)域，優(yōu)先級(jí)從1-100B. 一般將內(nèi)網(wǎng)放入Trust 域，服務(wù)器放入 DMZ 域，外網(wǎng)屬于Untrust 域C. 要求在域間配置嚴(yán)格的包過(guò)濾策略D. 防火墻默認(rèn)域間缺省包過(guò)濾是permit 的4. 防火墻Console口缺省用戶名和密碼是（ D）A. huawei；huaweiB. huawei；huawei123C. root；huaweiD. admin；Admin1235. 防火墻登錄密碼必須

4、使用強(qiáng)密碼，什么是強(qiáng)密碼？（D ）A. 長(zhǎng)度大于8，同時(shí)包含數(shù)字、字母 B. 包含數(shù)字，字母、特殊字符 C. 包含數(shù)字，字母 D. 長(zhǎng)度大于8，同時(shí)包含數(shù)字、字母、特殊字符 6. 對(duì)于防火墻域間安全策略，下面描述正確的是（ ）A. 防火墻域間可以配置缺省包過(guò)濾，即允許所有的流量通過(guò) B. 域間inbound方向安全策略可以全部放開(kāi)C. 域間outbound方向安全策略可以全部放開(kāi) D. 禁止使用缺省包過(guò)濾，域間要配置嚴(yán)格的包過(guò)濾策略；若要使用缺省包過(guò)濾，需得到客戶書(shū)面授權(quán)。7. 若防火墻連接internet的接口在untrust區(qū)域，內(nèi)網(wǎng)服務(wù)器在DMZ區(qū)域，防火墻做了服務(wù)器公網(wǎng)地址到私網(wǎng)地址的

5、映射（nat server）。請(qǐng)問(wèn)untrust和DMZ域間安全策略如何做？（）A. 使用域間缺省包過(guò)濾 B. 在inbound方向配置源地址為any，目的地址為私網(wǎng)地址的aclC. 在inbound方向配置源地址為any，目的為服務(wù)器私網(wǎng)地址+目的端口的aclD. 在inbound方向配置源地址為any，目的為服務(wù)器公網(wǎng)地址+目的端口的acl8. 某工程師現(xiàn)網(wǎng)進(jìn)行IPSEC測(cè)試時(shí)，為了調(diào)測(cè)方便在連接internet接口的untrust域和local域inbound方向包過(guò)濾acl中配置了rule permit ip。測(cè)試完成后該工程師沒(méi)有刪除該配置，請(qǐng)問(wèn)這樣做是否有風(fēng)險(xiǎn)，風(fēng)險(xiǎn)是什么？（ ）A

6、. 沒(méi)有風(fēng)險(xiǎn)B. 有風(fēng)險(xiǎn)，防火墻可能會(huì)遭受到來(lái)自internet的攻擊C. 沒(méi)有風(fēng)險(xiǎn)，但是按照配置規(guī)范還是要把a(bǔ)cl中permit ip去掉D. 有風(fēng)險(xiǎn)，ipsec隧道會(huì)一直建立9. 某局點(diǎn)untrust和trust域間inbound配置了嚴(yán)格包過(guò)濾，但acl的最后一個(gè)rule沒(méi)有配置deny ip，同時(shí)域間缺省包過(guò)濾配置為permit。請(qǐng)問(wèn)此時(shí)從untrust域訪問(wèn)trust域的報(bào)文如何處理（）A. 由于先匹配域間acl，若沒(méi)有命中rule報(bào)文直接被丟棄B. 先匹配域間acl，如果沒(méi)有匹配到相應(yīng)的rule，但是由于域間缺省包過(guò)濾是permit，所以報(bào)文仍然轉(zhuǎn)發(fā)C. 由于先匹配了域間缺省包過(guò)濾

7、，所以報(bào)文仍然可以轉(zhuǎn)發(fā)D. 以上都不對(duì)10. 某局點(diǎn)部署了兩臺(tái)防火墻A/B，但是由于工程師的疏忽沒(méi)有部署雙機(jī)熱備。但現(xiàn)網(wǎng)中存在流量來(lái)回路徑不一致情況（即從A墻出去的流量會(huì)從B墻回來(lái)），在這種場(chǎng)景下TCP業(yè)務(wù)就會(huì)中斷。請(qǐng)問(wèn)此時(shí)為了緊急恢復(fù)業(yè)務(wù)，需要怎么做？假設(shè)域間包過(guò)濾配置沒(méi)有問(wèn)題（ ）A. 兩臺(tái)防火墻配置hrp enableB. 兩臺(tái)防火墻上行接口配置hrp trackC. 沒(méi)有辦法解決，只能部署雙機(jī)熱備D. 兩臺(tái)防火墻配置undo firewall session link-state check11. 關(guān)于雙機(jī)熱備配置，以下說(shuō)明不正確的是 （ ）A. 配置VRRP的接口的類(lèi)型、編號(hào)要一致B

8、. 對(duì)應(yīng)插槽上的接口/子接口配置的VRRP要一致C. 對(duì)應(yīng)插槽上的接口/子接口必須加入到相同的安全區(qū)域D. 主備防火墻的HRP備份通道配置必須一致E. HRP默認(rèn)可以自動(dòng)調(diào)整備防火墻通過(guò)ospf發(fā)布路由的cost值12. 防火墻雙機(jī)熱備組網(wǎng)下流量轉(zhuǎn)發(fā)的描述正確的是 ( )A. 防火墻主備組網(wǎng)（上下行業(yè)務(wù)口是三層口），送到備防火墻的流量無(wú)法轉(zhuǎn)發(fā)，會(huì)被備防火墻丟棄B. 防火墻主備組網(wǎng)（上下行業(yè)務(wù)口是二層口），送到備防火墻的流量仍然會(huì)被轉(zhuǎn)發(fā)C. 防火墻負(fù)載分擔(dān)組網(wǎng)（雙主組網(wǎng)），兩臺(tái)防火墻上的會(huì)話會(huì)相互向?qū)Χ藗浞軩. 防火墻負(fù)載分擔(dān)組網(wǎng)（雙主組網(wǎng)），兩臺(tái)防火墻上都可以配置ACL三、 多選題（每題4分，

9、共44分）1. 在域間配置嚴(yán)格包過(guò)濾時(shí)，下列說(shuō)法正確的是（ ）A. 域間包過(guò)濾acl最后一個(gè)rule需要配置deny ip B. 域間包過(guò)濾acl內(nèi)不允許配置rule permit ip C. 必要時(shí)域間包過(guò)濾acl內(nèi)rule配置需要精確到端口D. 域間包過(guò)濾acl可以隨意配置rule的策略 2. 在PS網(wǎng)絡(luò)中，防火墻承擔(dān)了NAT設(shè)備和內(nèi)部網(wǎng)絡(luò)的安全防護(hù)作用。假如防火墻所連接的內(nèi)網(wǎng)中存在DNS服務(wù)器，對(duì)GPRS/3G用戶提供DNS服務(wù)，GPRS/3G用戶的IP地址是由GGSN來(lái)分配，并在防火墻上轉(zhuǎn)換成公網(wǎng)地址訪問(wèn)internet。 防火墻連接GGSN接口位于gi_trust域，DNS位于DMZ

10、區(qū)域（DMZ域優(yōu)先級(jí)高于gi_trust），請(qǐng)問(wèn)DMZ和gi_trust域間安全策略如何配置（ ）A. 因?yàn)閮蓚€(gè)域都處于內(nèi)網(wǎng)中，所以inbound和outbound方向安全策略可以完全放開(kāi)B. inbound方向配置源為GGSN地址池，目的為DNS地址的aclC. inbound方向配置源為GGSN地址池，目的為DNS地址+目的端口的aclD. outbound方向雖然存在安全風(fēng)險(xiǎn)可能性很小，但是根據(jù)規(guī)范要求也不能使用缺省包過(guò)濾。3. 客戶需要對(duì)從untrust域遠(yuǎn)程通過(guò)SSH登錄防火墻的IP地址進(jìn)行限制，假設(shè)防火墻上只有四個(gè)域：local、untrust、trust、dmz下列哪些配置是正確

11、的（ ）A. 在user-interface vty 0 4下配置aclB. 在untrust和trust之間配置嚴(yán)格包過(guò)濾，域間只允許特定地址互訪C. 在untrust和dmz之間配置嚴(yán)格包過(guò)濾，域間只允許特定地址互訪D. 在untrust和local之間配置嚴(yán)格包過(guò)濾，域間只允許特定地址互訪4. 防火墻部署雙機(jī)熱備的主要目的是什么？（）A. 提供設(shè)備冗余備份B. 提供防火墻session備份C. 提供備防火墻可以備份主防火墻所有配置功能D. 當(dāng)網(wǎng)絡(luò)中存在流量來(lái)回路徑不一致時(shí)，可以使業(yè)務(wù)不中斷5. 對(duì)于防火墻inbound和outbound描述正確的是（）A. Inbound是指數(shù)據(jù)流從高優(yōu)

12、先級(jí)域到低優(yōu)先級(jí)域B. outbound是指數(shù)據(jù)流從高優(yōu)先級(jí)域到低優(yōu)先級(jí)域C. inbound是指數(shù)據(jù)流從低優(yōu)先級(jí)域到高優(yōu)先級(jí)域D. outbound是指數(shù)據(jù)流從低優(yōu)先級(jí)域到高優(yōu)先級(jí)域6. ACL 是實(shí)現(xiàn)數(shù)據(jù)流控制的手段之一，在防火墻中，ACL一般用到的有哪些特性（）A. 源地址和通配符掩碼B. 基于時(shí)間段的ACL 控制C. 使用地址組和端口組進(jìn)行流控D. 基本ACL 和高級(jí)ACL 都是通過(guò)五元組來(lái)實(shí)現(xiàn)流量控制7. 設(shè)備割接入網(wǎng)前，雙機(jī)熱備要做哪些驗(yàn)證（）A. 模擬設(shè)備業(yè)務(wù)接口DOWN驗(yàn)證B. 模擬接口板故障驗(yàn)證C. 有多塊業(yè)務(wù)板時(shí)，要模擬業(yè)務(wù)板故障驗(yàn)證D. 模擬主用防火墻整機(jī)重啟驗(yàn)證8. 關(guān)

13、于防火墻的包過(guò)濾以下說(shuō)法中正確的是（）A. 包過(guò)濾一般應(yīng)用于域間安全策略中B. 包過(guò)濾通過(guò)ACL 定義過(guò)濾規(guī)則C. 防火墻通過(guò)檢查包頭，并與ACL 進(jìn)行匹配，決定數(shù)據(jù)的丟棄與否D. 包過(guò)濾ACL最后一個(gè)rule必須配置deny ip9. 域間安全策略先通過(guò)策略條件的匹配，然后再執(zhí)行permit or deny，域間策略匹配條件包括以下哪幾項(xiàng)（）A. IP 報(bào)文的標(biāo)準(zhǔn)五元組B. 時(shí)間段C. IP 報(bào)文中的優(yōu)先級(jí)字段和服務(wù)類(lèi)型字段D. 地址集、端口集10. 在有內(nèi)網(wǎng)服務(wù)器資源時(shí)，以下哪幾項(xiàng)可以避免服務(wù)器被攻擊（）A. 將服務(wù)器放入安全區(qū)域內(nèi)，配置域間策略，通過(guò)嚴(yán)格的ACL進(jìn)行數(shù)據(jù)流的控制B. 在作NAT server時(shí)只把業(yè)務(wù)端口映射到內(nèi)網(wǎng)服務(wù)器，禁止公網(wǎng)到私網(wǎng)一對(duì)一IP地址映射C. 服務(wù)器要使用強(qiáng)密碼，并進(jìn)行安全加固D. 開(kāi)啟部分攻擊防范檢測(cè)功能11. 某運(yùn)營(yíng)商購(gòu)買(mǎi)我司兩臺(tái)E8000E-X8高端防火墻，主要用來(lái)做3G用戶NAT網(wǎng)關(guān)，同時(shí)要對(duì)內(nèi)部