防火墻試題和答案解析

1、武漢職業(yè)技術(shù)學(xué)院總復(fù)習(xí)二班級(jí)：姓名：學(xué)號(hào)：一.選擇題1、對(duì)于防火墻缺乏之處,描述錯(cuò)誤的選項(xiàng)是D.A.無法防護(hù)基于尊重作系統(tǒng)漏洞的攻擊B.無法防護(hù)端口反彈木馬的攻擊C.無法防護(hù)病毒的侵襲D.無法進(jìn)行帶寬治理2 .防火墻對(duì)數(shù)據(jù)包進(jìn)行狀態(tài)檢測包過濾是,不可以進(jìn)行過濾的是：DqA:源和目的IP地址B:源和目的端口C:IP協(xié)議號(hào)D:數(shù)據(jù)包中的內(nèi)容3 .防火墻對(duì)要保護(hù)的效勞器作端口映射的好處是：D.A:便于治理B:提升防火墻的性能C:提升效勞器的利用率D:隱藏效勞器的網(wǎng)絡(luò)結(jié)構(gòu),使效勞器更加平安4 .關(guān)于防火墻開展歷程下面描述正確的選項(xiàng)是A.A.第一階段：基于路由器的防火墻B.第二階段：用戶化的防火墻工具集

2、C.第三階段：具有平安尊重作系統(tǒng)的防火墻D:第四階段：基于通用尊重作系統(tǒng)防火墻5 .包過濾防火墻白缺點(diǎn)為：A.A.容易受到IP欺騙攻擊B.處理數(shù)據(jù)包的速度較慢C:開發(fā)比擬困難D:代理的效勞協(xié)議必須在防火墻出廠之前進(jìn)行設(shè)定6 .內(nèi)網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址需要對(duì)源地址進(jìn)行轉(zhuǎn)換,規(guī)那么中的動(dòng)作應(yīng)選擇：B.A:AllowB:NATC:SATD:FwdFast7 .從平安屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類,阻斷攻擊是針對(duì)B的攻擊.A.機(jī)密性B.可用性C.完整性D.真實(shí)性8 .VPN的加密手段為CA.具有加密功能的防火墻B.具有加密功能的路由器C.VPN內(nèi)的各臺(tái)主機(jī)對(duì)各自的信息進(jìn)行相應(yīng)的加密D.單獨(dú)的加

3、密設(shè)備9 .根據(jù)ISO的信息平安定義,以下選項(xiàng)中B是信息平安三個(gè)根本屬性之一.A真實(shí)性B可用性C可審計(jì)性D可靠性10 .計(jì)算機(jī)病毒最本質(zhì)的特性是_C.A寄生性B潛伏性C破壞性D攻擊性11 .預(yù)防盜用IP行為是利用防火墻的C功能.A:防御攻擊的功能B:訪問限制功能C:IP地址和MAC%址綁定功能D:URL過濾功能12 .F300-Pro是屬于那個(gè)級(jí)別的產(chǎn)品C.A:SOHOa小型企業(yè)級(jí)B:低端產(chǎn)品中小型企業(yè)級(jí)C:中段產(chǎn)品大中型企業(yè)級(jí)D:高端產(chǎn)品電信級(jí)13 .一般而言,Internet防火墻建立在一個(gè)網(wǎng)絡(luò)的C.A.內(nèi)部子網(wǎng)之間傳送信息的中樞B.每個(gè)子網(wǎng)的內(nèi)部C.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點(diǎn)D.局部內(nèi)部

4、網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處14.目前,VPN使用了A技術(shù)保證了通信的平安性.A.隧道協(xié)議、身份認(rèn)證和數(shù)據(jù)加密B.身份認(rèn)證、數(shù)據(jù)加密C.隧道協(xié)議、身份認(rèn)證D.隧道協(xié)議、數(shù)據(jù)加密15.我國在1999年發(fā)布的國家標(biāo)準(zhǔn)C為信息平安等級(jí)保護(hù)奠定了根底A.GB17799B.GB15408C.GB17859D.GB1443016 .網(wǎng)絡(luò)平安最終是一個(gè)折衷的方案,即平安強(qiáng)度和平安操作代價(jià)的折衷,除增加平安設(shè)施投資外,還應(yīng)考慮D.A.用戶的方便性B.治理的復(fù)雜性C.對(duì)現(xiàn)有系統(tǒng)的影響及對(duì)不同平臺(tái)的支持D.上面3項(xiàng)都是17 .網(wǎng)上銀行系統(tǒng)的一次轉(zhuǎn)賬操作過程中發(fā)生了轉(zhuǎn)賬金額被非法篡改的行為,這破壞了信息平安的B屬性.A保

5、密性B完整性C不可否認(rèn)性D可用性18 .下面所列的A平安機(jī)制不屬于信息平安保證體系中的事先保護(hù)環(huán)節(jié).A殺毒軟件B數(shù)字證書認(rèn)證C防火墻D數(shù)據(jù)庫加密才能使19 .如果內(nèi)部網(wǎng)絡(luò)的地址網(wǎng)段為/24,需要用到防火墻的哪個(gè)功能,用戶上網(wǎng).BA:地址映射B:地址轉(zhuǎn)換C: IP地址和MAC%址綁定功能D: URL過濾功能20.防火墻的測試性能參數(shù)一般包括ABCD.多項(xiàng)選擇A） 吞吐量B） 新建連接速率C并發(fā)連接數(shù)D處理時(shí)延二.判斷題1 .防火墻對(duì)內(nèi)部網(wǎng)起到了很好的保護(hù)作用,并且它是堅(jiān)不可摧的.X2 .防火墻策略也稱為防火墻的平安規(guī)那么,它是防火墻實(shí)施網(wǎng)絡(luò)保護(hù)的重要依據(jù).V3 .雙重宿主主

6、機(jī)體系結(jié)構(gòu)中,雙重宿主主機(jī)至少有三個(gè)網(wǎng)絡(luò)接口.x4 .包過濾又稱“報(bào)文過濾,它是防火墻最傳統(tǒng)、最根本的過濾技術(shù).V5 .包過濾防火墻通常工作在OSI的三層及三層以上.(X)6 .應(yīng)用級(jí)網(wǎng)關(guān)的平安性高并且有較好的訪問限制,是目前最平安的防火墻技術(shù).(,)7 .狀態(tài)檢測技術(shù)最早是CiSCo提出來的.(X)8 .NetScreen防火墻是一種高性能的軟件防火墻.(x)9 .CheckPoint防火墻的特點(diǎn)是以狀態(tài)檢查體系結(jié)構(gòu)為根底,能夠在OSI模型的所有七層中對(duì)通信信息進(jìn)行分析和篩選.(V)10 .CiSco公司只做防火墻產(chǎn)品.(X)三.名詞解釋1. 網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)

7、中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)效勞不中斷.2. 防火墻防火墻(Firewall),也稱防護(hù)墻,是由CheckPoint創(chuàng)立者GilShwed于1993年創(chuàng)造并引入國際互聯(lián)網(wǎng)(US5606668(A)1993-12-15).它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)平安系統(tǒng).一項(xiàng)信息平安的防護(hù)系統(tǒng),依照特定的規(guī)那么,允許或是限制傳輸?shù)臄?shù)據(jù)通過.3. PPTP4. PPTP(PointtoPointTunnelingProtocol),即點(diǎn)對(duì)點(diǎn)隧道協(xié)議.該協(xié)議是在PPP協(xié)還的根底上開發(fā)的一種新的增強(qiáng)型平安協(xié)議,支持多協(xié)議虛擬專用網(wǎng)(V

8、PN,可以通過密碼驗(yàn)證協(xié)議(PAP、可擴(kuò)展認(rèn)證協(xié)議(EAP等方法增強(qiáng)平安性.可以使遠(yuǎn)程用戶通過撥入ISP、通過直接連接Internet或其他網(wǎng)絡(luò)平安地訪問企業(yè)網(wǎng).5. IPSEC6. "Internet協(xié)議平安性(IPSec)是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過使用加密的安全效勞以保證在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而平安的通訊.Microsoft?Windows?2000WindowsXP和WindowsServer2003家族實(shí)施IPSec是基于"Internet工程任務(wù)組(IETF)"IPSec工作組開發(fā)的標(biāo)準(zhǔn).7. IPSec(InternetPro

9、tocolSecurity)是平安聯(lián)網(wǎng)的長期方向.它通過端對(duì)端的平安性來提供主動(dòng)的保護(hù)以預(yù)防專用網(wǎng)絡(luò)與Internet的攻擊.在通信中,只有發(fā)送方和接收方才是唯一必須了解IPSec保護(hù)的計(jì)算機(jī).在Windows2000、WindowsXP和WindowsServer2003家族中,IPSec提供了一種水平,以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶端和效勞器、分支機(jī)構(gòu)物理上為遠(yuǎn)程機(jī)構(gòu)、Extranet以及漫游客戶端之間的通信.IPSec是IETFInternetEngineeringTaskForce,Internet工程任務(wù)組的IPSec小組建立的一組IP平安協(xié)議集.IPSec定義了在網(wǎng)際層使用的平

10、安效勞,其功能包括數(shù)據(jù)加密、對(duì)網(wǎng)絡(luò)單元的訪問限制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和預(yù)防重放攻擊.8. QOSQoSQualityofService,效勞質(zhì)量指一個(gè)網(wǎng)絡(luò)能夠利用各種根底技術(shù),為指定的網(wǎng)絡(luò)通信提供更好的效勞水平,是網(wǎng)絡(luò)的一種平安機(jī)制,是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù).在正常情況下,如果網(wǎng)絡(luò)只用于特定的無時(shí)間限制的應(yīng)用系統(tǒng),并不需要QoS,比方Web應(yīng)用,或E-mail設(shè)置等.但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要.當(dāng)網(wǎng)絡(luò)過載或擁塞時(shí),QoS能保證重要業(yè)務(wù)量不受延遲或丟棄,同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行.在RFC3644上有對(duì)QoS的說明.9. DMZ兩個(gè)防火墻之間的空間被稱為DMZ與

11、Internet相比,DMZT以提供更高的平安性,但是其平安性比內(nèi)部網(wǎng)絡(luò)低.1DMZI!英文"demilitarizedzone的縮寫,中文名稱為“隔離區(qū)",也稱“非軍事化區(qū).它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)效勞器的問題,而設(shè)立的一個(gè)非平安系統(tǒng)與平安系統(tǒng)之間的緩沖區(qū).該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi).在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)遒,如企業(yè)Web效勞器、FTP效勞器和論壇等.另一方面,通過這樣一個(gè)DMZ區(qū)域,更加有效地保護(hù)了內(nèi)部也.由于這種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對(duì)來自外網(wǎng)的攻擊者來說又多了一道關(guān)卡.1

12、0. NATNATNetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換是1994年提出的.當(dāng)在專用網(wǎng)內(nèi)部的一些主機(jī)本來已經(jīng)分配到了本地IP地址即僅在本專用網(wǎng)內(nèi)使用的專用地址但現(xiàn)在又想和因特網(wǎng)上的主機(jī)通信并不需要加密時(shí),可使用NATT法.這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件.裝有NAT軟件的路由器叫做NAT路由器,它至少有一個(gè)有效的外部全球IP地址.這樣,所有使用本地地址的主機(jī)在和外界通信時(shí),都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址,才能和因特網(wǎng)連接.另外,這種通過使用少量的公有IP地址代表較多的私有IP地址的方式,將有助于減緩可用的IP地址空間的枯竭.在RFC1632中有對(duì)NAT的說明.11. DOSdos