防火墻試題和答案解析

1、武漢職業(yè)技術學院總復習二班級：姓名：學號：一.選擇題1、對于防火墻缺乏之處,描述錯誤的選項是D.A.無法防護基于尊重作系統(tǒng)漏洞的攻擊B.無法防護端口反彈木馬的攻擊C.無法防護病毒的侵襲D.無法進行帶寬治理2 .防火墻對數(shù)據(jù)包進行狀態(tài)檢測包過濾是,不可以進行過濾的是：DqA:源和目的IP地址B:源和目的端口C:IP協(xié)議號D:數(shù)據(jù)包中的內(nèi)容3 .防火墻對要保護的效勞器作端口映射的好處是：D.A:便于治理B:提升防火墻的性能C:提升效勞器的利用率D:隱藏效勞器的網(wǎng)絡結構,使效勞器更加平安4 .關于防火墻開展歷程下面描述正確的選項是A.A.第一階段：基于路由器的防火墻B.第二階段：用戶化的防火墻工具集

2、C.第三階段：具有平安尊重作系統(tǒng)的防火墻D:第四階段：基于通用尊重作系統(tǒng)防火墻5 .包過濾防火墻白缺點為：A.A.容易受到IP欺騙攻擊B.處理數(shù)據(jù)包的速度較慢C:開發(fā)比擬困難D:代理的效勞協(xié)議必須在防火墻出廠之前進行設定6 .內(nèi)網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址需要對源地址進行轉換,規(guī)那么中的動作應選擇：B.A:AllowB:NATC:SATD:FwdFast7 .從平安屬性對各種網(wǎng)絡攻擊進行分類,阻斷攻擊是針對B的攻擊.A.機密性B.可用性C.完整性D.真實性8 .VPN的加密手段為CA.具有加密功能的防火墻B.具有加密功能的路由器C.VPN內(nèi)的各臺主機對各自的信息進行相應的加密D.單獨的加

3、密設備9 .根據(jù)ISO的信息平安定義,以下選項中B是信息平安三個根本屬性之一.A真實性B可用性C可審計性D可靠性10 .計算機病毒最本質的特性是_C.A寄生性B潛伏性C破壞性D攻擊性11 .預防盜用IP行為是利用防火墻的C功能.A:防御攻擊的功能B:訪問限制功能C:IP地址和MAC%址綁定功能D:URL過濾功能12 .F300-Pro是屬于那個級別的產(chǎn)品C.A:SOHOa小型企業(yè)級B:低端產(chǎn)品中小型企業(yè)級C:中段產(chǎn)品大中型企業(yè)級D:高端產(chǎn)品電信級13 .一般而言,Internet防火墻建立在一個網(wǎng)絡的C.A.內(nèi)部子網(wǎng)之間傳送信息的中樞B.每個子網(wǎng)的內(nèi)部C.內(nèi)部網(wǎng)絡與外部網(wǎng)絡的交叉點D.局部內(nèi)部

4、網(wǎng)絡與外部網(wǎng)絡的結合處14.目前,VPN使用了A技術保證了通信的平安性.A.隧道協(xié)議、身份認證和數(shù)據(jù)加密B.身份認證、數(shù)據(jù)加密C.隧道協(xié)議、身份認證D.隧道協(xié)議、數(shù)據(jù)加密15.我國在1999年發(fā)布的國家標準C為信息平安等級保護奠定了根底A.GB17799B.GB15408C.GB17859D.GB1443016 .網(wǎng)絡平安最終是一個折衷的方案,即平安強度和平安操作代價的折衷,除增加平安設施投資外,還應考慮D.A.用戶的方便性B.治理的復雜性C.對現(xiàn)有系統(tǒng)的影響及對不同平臺的支持D.上面3項都是17 .網(wǎng)上銀行系統(tǒng)的一次轉賬操作過程中發(fā)生了轉賬金額被非法篡改的行為,這破壞了信息平安的B屬性.A保

5、密性B完整性C不可否認性D可用性18 .下面所列的A平安機制不屬于信息平安保證體系中的事先保護環(huán)節(jié).A殺毒軟件B數(shù)字證書認證C防火墻D數(shù)據(jù)庫加密才能使19 .如果內(nèi)部網(wǎng)絡的地址網(wǎng)段為/24,需要用到防火墻的哪個功能,用戶上網(wǎng).BA:地址映射B:地址轉換C: IP地址和MAC%址綁定功能D: URL過濾功能20.防火墻的測試性能參數(shù)一般包括ABCD.多項選擇A） 吞吐量B） 新建連接速率C并發(fā)連接數(shù)D處理時延二.判斷題1 .防火墻對內(nèi)部網(wǎng)起到了很好的保護作用,并且它是堅不可摧的.X2 .防火墻策略也稱為防火墻的平安規(guī)那么,它是防火墻實施網(wǎng)絡保護的重要依據(jù).V3 .雙重宿主主

6、機體系結構中,雙重宿主主機至少有三個網(wǎng)絡接口.x4 .包過濾又稱“報文過濾,它是防火墻最傳統(tǒng)、最根本的過濾技術.V5 .包過濾防火墻通常工作在OSI的三層及三層以上.(X)6 .應用級網(wǎng)關的平安性高并且有較好的訪問限制,是目前最平安的防火墻技術.(,)7 .狀態(tài)檢測技術最早是CiSCo提出來的.(X)8 .NetScreen防火墻是一種高性能的軟件防火墻.(x)9 .CheckPoint防火墻的特點是以狀態(tài)檢查體系結構為根底,能夠在OSI模型的所有七層中對通信信息進行分析和篩選.(V)10 .CiSco公司只做防火墻產(chǎn)品.(X)三.名詞解釋1. 網(wǎng)絡平安網(wǎng)絡平安是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)

7、中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡效勞不中斷.2. 防火墻防火墻(Firewall),也稱防護墻,是由CheckPoint創(chuàng)立者GilShwed于1993年創(chuàng)造并引入國際互聯(lián)網(wǎng)(US5606668(A)1993-12-15).它是一種位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡平安系統(tǒng).一項信息平安的防護系統(tǒng),依照特定的規(guī)那么,允許或是限制傳輸?shù)臄?shù)據(jù)通過.3. PPTP4. PPTP(PointtoPointTunnelingProtocol),即點對點隧道協(xié)議.該協(xié)議是在PPP協(xié)還的根底上開發(fā)的一種新的增強型平安協(xié)議,支持多協(xié)議虛擬專用網(wǎng)(V

8、PN,可以通過密碼驗證協(xié)議(PAP、可擴展認證協(xié)議(EAP等方法增強平安性.可以使遠程用戶通過撥入ISP、通過直接連接Internet或其他網(wǎng)絡平安地訪問企業(yè)網(wǎng).5. IPSEC6. "Internet協(xié)議平安性(IPSec)是一種開放標準的框架結構,通過使用加密的安全效勞以保證在Internet協(xié)議(IP)網(wǎng)絡上進行保密而平安的通訊.Microsoft?Windows?2000WindowsXP和WindowsServer2003家族實施IPSec是基于"Internet工程任務組(IETF)"IPSec工作組開發(fā)的標準.7. IPSec(InternetPro

9、tocolSecurity)是平安聯(lián)網(wǎng)的長期方向.它通過端對端的平安性來提供主動的保護以預防專用網(wǎng)絡與Internet的攻擊.在通信中,只有發(fā)送方和接收方才是唯一必須了解IPSec保護的計算機.在Windows2000、WindowsXP和WindowsServer2003家族中,IPSec提供了一種水平,以保護工作組、局域網(wǎng)計算機、域客戶端和效勞器、分支機構物理上為遠程機構、Extranet以及漫游客戶端之間的通信.IPSec是IETFInternetEngineeringTaskForce,Internet工程任務組的IPSec小組建立的一組IP平安協(xié)議集.IPSec定義了在網(wǎng)際層使用的平

10、安效勞,其功能包括數(shù)據(jù)加密、對網(wǎng)絡單元的訪問限制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和預防重放攻擊.8. QOSQoSQualityofService,效勞質量指一個網(wǎng)絡能夠利用各種根底技術,為指定的網(wǎng)絡通信提供更好的效勞水平,是網(wǎng)絡的一種平安機制,是用來解決網(wǎng)絡延遲和阻塞等問題的一種技術.在正常情況下,如果網(wǎng)絡只用于特定的無時間限制的應用系統(tǒng),并不需要QoS,比方Web應用,或E-mail設置等.但是對關鍵應用和多媒體應用就十分必要.當網(wǎng)絡過載或擁塞時,QoS能保證重要業(yè)務量不受延遲或丟棄,同時保證網(wǎng)絡的高效運行.在RFC3644上有對QoS的說明.9. DMZ兩個防火墻之間的空間被稱為DMZ與

11、Internet相比,DMZT以提供更高的平安性,但是其平安性比內(nèi)部網(wǎng)絡低.1DMZI!英文"demilitarizedzone的縮寫,中文名稱為“隔離區(qū)",也稱“非軍事化區(qū).它是為了解決安裝防火墻后外部網(wǎng)絡的訪問用戶不能訪問內(nèi)部網(wǎng)絡效勞器的問題,而設立的一個非平安系統(tǒng)與平安系統(tǒng)之間的緩沖區(qū).該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi).在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設遒,如企業(yè)Web效勞器、FTP效勞器和論壇等.另一方面,通過這樣一個DMZ區(qū)域,更加有效地保護了內(nèi)部也.由于這種網(wǎng)絡部署,比起一般的防火墻方案,對來自外網(wǎng)的攻擊者來說又多了一道關卡.1

12、0. NATNATNetworkAddressTranslation,網(wǎng)絡地址轉換是1994年提出的.當在專用網(wǎng)內(nèi)部的一些主機本來已經(jīng)分配到了本地IP地址即僅在本專用網(wǎng)內(nèi)使用的專用地址但現(xiàn)在又想和因特網(wǎng)上的主機通信并不需要加密時,可使用NATT法.這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件.裝有NAT軟件的路由器叫做NAT路由器,它至少有一個有效的外部全球IP地址.這樣,所有使用本地地址的主機在和外界通信時,都要在NAT路由器上將其本地地址轉換成全球IP地址,才能和因特網(wǎng)連接.另外,這種通過使用少量的公有IP地址代表較多的私有IP地址的方式,將有助于減緩可用的IP地址空間的枯竭.在RFC1632中有對NAT的說明.11. DOSdos