《防火墻技術(shù)》課程期末考試復(fù)習(xí)題-理論部分

1、防火墻技術(shù)課程期末考試復(fù)習(xí)題-理論部分1、 防火墻的安全規(guī)則由匹配條件和處理方式兩部分組成。當(dāng)網(wǎng)絡(luò)流量與當(dāng)前的規(guī)則匹配時(shí)，就必須采用規(guī)則中的處理方式進(jìn)行處理。其中，拒絕數(shù)據(jù)包或信息通過，并且通 知信息源該信息被禁止的處理方式是（）。 A RefuseB Reject(正確答案)C AcceptD Drop2、下列關(guān)于防火墻功能的說法最準(zhǔn)確的是:（） A、內(nèi)容控制B、訪問控制(正確答案)C、查殺病毒D、數(shù)據(jù)加密3、在IPSec中，使用IKE建立通道時(shí)，使用的端口號是（） A、TCP 50B、UDP 50C、TCP 500D、UDP 500(正確答案)4、對于防火墻域間安全策略，下面描述正確的是（

2、） A、域間outbound方向安全策略可以全部放開B、防火墻域間可以配置缺省包過濾，即允許所有的流量通過C、域間inbound方向安全策略可以全部放開D、禁止使用缺省包過濾，域間要配置嚴(yán)格的包過濾策略;若要使用缺省包過濾，需得到客戶書面授權(quán)。(正確答案)5、最簡單的防火墻結(jié)構(gòu)是（） A、包過濾器B、路由器(正確答案)C、日志工具D、代理服務(wù)器6、網(wǎng)上銀行系統(tǒng)的一次轉(zhuǎn)賬操作過程中發(fā)生了轉(zhuǎn)賬金額被非法篡改的行為，這破壞了信息安全的（）屬性 A、不可否認(rèn)性B、可用性C、保密性D、完整性(正確答案)7、IPSec 協(xié)議中涉及到密鑰管理的重要協(xié)議是（） A、ESPB、IKE(正確答案)C、AHD、SS

3、L8、以下關(guān)于VPN 說法正確的是（） A、指的是用戶通過公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接(正確答案)B、指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路C、不能做到信息驗(yàn)證和身份認(rèn)證D、只能提供身份認(rèn)證、不能提供加密數(shù)據(jù)的功能9、PKI 所管理的基本元素是 （） A、密鑰B、數(shù)字簽名C、用戶身份D、數(shù)字證書(正確答案)10、在企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)之間，用來檢查網(wǎng)絡(luò)請求分組是否合法，保護(hù)網(wǎng)絡(luò)資源不被非法使用的技術(shù)是（）。 A、差錯(cuò)控制技術(shù)B、防病毒技術(shù)C、流量控制技術(shù)D、防火墻技術(shù)(正確答案)11、包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何處。它不

4、能進(jìn)行如下哪一種操作（） A、允許所有用戶使用HTTP瀏覽INTERNET。B、除了管理員可以從外部網(wǎng)絡(luò)Telnet內(nèi)部網(wǎng)絡(luò)外，其他用戶都不可以。(正確答案)C、禁止外部網(wǎng)絡(luò)用戶使用FTP。D、只允許某臺(tái)計(jì)算機(jī)通過NNTP發(fā)布新聞。12、防火墻提供的接入模式不包括（） A、網(wǎng)關(guān)模式B、旁路接入模式(正確答案)C、混合模式D、透明模式13、防火墻對要保護(hù)的服務(wù)器作端口映射的好處是:（） A、隱藏服務(wù)器的網(wǎng)絡(luò)結(jié)構(gòu)，使服務(wù)器更加安全(正確答案)B、提高服務(wù)器的利用率C、提高防火墻的性能D、便于管理14、對狀態(tài)檢查技術(shù)的優(yōu)缺點(diǎn)描述有誤的是:（） A、配置復(fù)雜會(huì)降低網(wǎng)絡(luò)的速度。B、支持多種協(xié)議和應(yīng)用。C

5、、采用檢測模塊監(jiān)測狀態(tài)信息。D、不支持監(jiān)測RPC和UDP的端口信息。(正確答案)15、VPN技術(shù)無法實(shí)現(xiàn)以下哪個(gè)服務(wù)?（） A、身份驗(yàn)證B、完整性校驗(yàn)C、可用性校驗(yàn)(正確答案)D、傳輸加密16、IPSec 協(xié)議中的AH 協(xié)議不能提供下列哪一項(xiàng)服務(wù)? （） A、機(jī)密性(正確答案)B、數(shù)據(jù)源認(rèn)證C、數(shù)據(jù)包重放D、訪問控制17、目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻設(shè)定可以訪問內(nèi)部網(wǎng)絡(luò)資源的用戶訪問權(quán)限是:（） A、會(huì)話認(rèn)證B、其余都不是C、用戶認(rèn)證(正確答案)D、客戶認(rèn)證18、IPSec屬于（）的安全解決方案。 A、應(yīng)用層B、網(wǎng)絡(luò)層(正確答案)C、物理層D、傳輸層19、某局點(diǎn)部署了兩臺(tái)防火墻

6、A/B，但是由于工程師的疏忽沒有部署雙機(jī)熱備。但現(xiàn)網(wǎng)中存在流量來回路徑不一致情況（即從A墻出去的流量會(huì)從B墻回來），在這種場景下TCP業(yè)務(wù)就會(huì)中斷。請問此時(shí)為了緊急恢復(fù)業(yè)務(wù)，需要怎么做?假設(shè)域間包過濾配置沒有問題（） A、兩臺(tái)防火墻上行接口配置hrp trackB、沒有辦法解決，只能部署雙機(jī)熱備C、兩臺(tái)防火墻配置undo firewall session link-state check(正確答案)D、兩臺(tái)防火墻配置hrp enable20、為控制企業(yè)內(nèi)部對外的訪問以及抵御外部對內(nèi)部網(wǎng)的攻擊,最好的選擇是（）。 A、殺毒軟件B、IDSC、防火墻(正確答案)D、路由器21、OSI模型中，LLC頭

7、數(shù)據(jù)封裝在數(shù)據(jù)包的過程是在（） A、傳輸層B、網(wǎng)絡(luò)層C、數(shù)據(jù)鏈路層(正確答案)D、物理層22、VPN 它有兩層含義:首先是“虛擬的”， 即用戶實(shí)際上并不存在一個(gè)獨(dú)立專用的網(wǎng)絡(luò)， 既不需要建設(shè)或租用專線， 也不需要裝備專用的設(shè)備， 而是將其建立在分布廣泛的公共網(wǎng)絡(luò)上， 就能組成一個(gè)屬于自己專用的網(wǎng)絡(luò)。 其次是“專用的”， 相對于“公用的”來說， 它強(qiáng)調(diào)私有性和安全可靠性。 不屬于 VPN 的核心技術(shù)是（） A、日志記錄(正確答案)B、訪問控制C、身份認(rèn)證D、隧道技術(shù)23、關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯(cuò)誤的是: （） A、內(nèi)部用戶可以不通過DMZ直接訪問Internet(正確答案)B、內(nèi)部網(wǎng)對于I

8、nternet來說是不可見的;C、屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān);D、屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的;24、下面關(guān)于外部網(wǎng)VPN的描述錯(cuò)誤的有: （） A、外部網(wǎng)VPN能保證包括TCP和UDP服務(wù)的安全。B、VPN服務(wù)器放在Internet上位于防火墻之外。(正確答案)C、其目的在于保證數(shù)據(jù)傳輸中不被修改。D、VPN可以建在應(yīng)用層或網(wǎng)絡(luò)層上。25、一般的防火墻不能實(shí)現(xiàn)以下哪些功能?（） A、隔離公司網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)B、隔離內(nèi)網(wǎng)C、提供對單點(diǎn)的監(jiān)控D、防止病毒和特絡(luò)依木馬程序(正確答案)26、關(guān)于防火墻和VPN的使用，下面說法不正確的是（）。 A、配置VPN網(wǎng)關(guān)防火墻的

9、一種方法是把它們并行放置，兩者要互相依賴B、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們并行放置，兩者獨(dú)立C、配置VPN網(wǎng)關(guān)防火墻一種方法是把它們串行放置，防火墻廣域網(wǎng)一側(cè)，VPN在局域網(wǎng)一側(cè)(正確答案)D、配置VPN網(wǎng)關(guān)防火墻的一種方法是把它們串行放置，防火墻局域網(wǎng)一側(cè)，VPN在廣域網(wǎng)一側(cè)27、目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供授權(quán)用戶特定的服務(wù)權(quán)限是:（） A、其余都不是B、會(huì)話認(rèn)證C、用戶認(rèn)證D、客戶認(rèn)證(正確答案)28、包過濾防火墻的缺點(diǎn)為:（） A、開發(fā)比較困難B、處理數(shù)據(jù)包的速度較慢C、代理的服務(wù)（協(xié)議）必須在防火墻出廠之前進(jìn)行設(shè)定D、容易受到IP欺騙攻擊(正確答案)29、

10、某工程師現(xiàn)網(wǎng)進(jìn)行IPSEC測試時(shí)，為了調(diào)測方便在連接internet接口的untrust域和local域inbound方向包過濾acl中配置了rule permit ip。測試完成后該工程師沒有刪除該配置，請問這樣做是否有風(fēng)險(xiǎn)，風(fēng)險(xiǎn)是什么?（） A、沒有風(fēng)險(xiǎn)，但是按照配置規(guī)范還是要把a(bǔ)cl中permit ip去掉B、有風(fēng)險(xiǎn)，ipsec隧道會(huì)一直建立C、沒有風(fēng)險(xiǎn)D、有風(fēng)險(xiǎn)，防火墻可能會(huì)遭受到來自internet的攻擊(正確答案)30、某單位通過防火墻進(jìn)行互聯(lián)網(wǎng)接入，外網(wǎng)口地址為，內(nèi)網(wǎng)口地址為，這種情況下防火墻工作模式為（） A、其余都不對B、路由模式(正確答案)C、代理模式D、透明模式31、防火

11、墻最主要被部署在（）位置 A、骨干線路B、重要服務(wù)器C、桌面終端D、網(wǎng)絡(luò)邊界(正確答案)32、IPSec協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是:（） A、不支持除TCP/IP外的其它協(xié)議。B、支持動(dòng)態(tài)的IP地址分配。(正確答案)C、適應(yīng)于向IPv6遷移。D、提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護(hù)。33、防火墻的安全性角度，最好的防火墻結(jié)構(gòu)類型是（） A、雙宿主主機(jī)結(jié)構(gòu)B、屏蔽子網(wǎng)結(jié)構(gòu)(正確答案)C、屏蔽主機(jī)結(jié)構(gòu)D、路由器型34目前，VPN使用了（）技術(shù)保證了通信的安全性。 A、隧道協(xié)議、身份認(rèn)證和數(shù)據(jù)加密(正確答案)B、隧道協(xié)議、數(shù)據(jù)加密C、身份認(rèn)證、數(shù)據(jù)加密D、隧道協(xié)議、身份認(rèn)證35 防火墻作為一

12、種被廣泛使用的網(wǎng)絡(luò)安全防御技術(shù)，其自身有一些限制，它不能阻止（） B、外部攻擊C、外部攻擊和外部威脅D、內(nèi)部威脅和病毒威脅(正確答案)A、外部攻擊、外部威脅和病毒威脅36組成IPSEC的主要安全協(xié)議不包括以下哪一項(xiàng):（） A、ESPB、IKEC、AHD、DSS(正確答案)37下列關(guān)于防火墻的說法正確的是（） A、默認(rèn)情況下防火墻允許所有傳入連接B、默認(rèn)情況下防火墻允許所有傳出連接(正確答案)C、出站規(guī)則即其他主機(jī)連入你的電腦的規(guī)則D、入棧規(guī)則即你的電腦連接其他主機(jī)的規(guī)則38某單位想用防火墻對telnet協(xié)議的命令進(jìn)行限制，應(yīng)選在什么類型的防火墻（） A、應(yīng)用代理技術(shù)B、NAT技術(shù)C、包過濾技術(shù)

13、(正確答案)D、狀態(tài)檢測技術(shù)39防火墻雙機(jī)熱備組網(wǎng)下流量轉(zhuǎn)發(fā)的描述正確的是 （） A、防火墻負(fù)載分擔(dān)組網(wǎng)（雙主組網(wǎng)），兩臺(tái)防火墻上都可以配置ACLB、防火墻主備組網(wǎng)（上下行業(yè)務(wù)口是二層口），送到備防火墻的流量仍然會(huì)被轉(zhuǎn)發(fā)C、防火墻主備組網(wǎng)（上下行業(yè)務(wù)口是三層口），送到備防火墻的流量無法轉(zhuǎn)發(fā)，會(huì)被備防火墻丟棄D、防火墻負(fù)載分擔(dān)組網(wǎng)（雙主組網(wǎng)），兩臺(tái)防火墻上的會(huì)話會(huì)相互向?qū)Χ藗浞?正確答案)40關(guān)于防火墻的描述不正確的是:（） A、如果一個(gè)公司信息安全制度不明確，擁有再好的防火墻也沒有用。B、防火墻不能防止內(nèi)部攻擊。C、防火墻可以防止偽裝成外部信任主機(jī)的IP地址欺騙。(正確答案)D、防火墻可以防止

14、偽裝成內(nèi)部信任主機(jī)的IP地址欺騙。二、多選題 （題數(shù):15，共 30.0 分）1防火墻一般需要檢測哪些掃描行為?（） A、icmp-scan(正確答案)B、tcp-synfloodC、Port-scan(正確答案)D、udp-scan(正確答案)2在地址翻譯原理中，防火墻根據(jù)什么來使要傳輸?shù)较嗤哪康腎P發(fā)送給內(nèi)部不同的主機(jī)上:（） A、防火墻使用廣播的方式發(fā)送。B、防火墻根據(jù)每個(gè)包的TCP序列號。(正確答案)C、防火墻根據(jù)每個(gè)包的時(shí)間順序。D、防火墻紀(jì)錄的包的目的端口。(正確答案)3防火墻能夠作到些什么?（）（2. A、包的透明轉(zhuǎn)發(fā)(正確答案)B、記錄攻擊(正確答案)C、包過濾(正確答案)D

15、、阻擋外部攻擊(正確答案)4按照不同的商業(yè)環(huán)境對VPN的要求和VPN所起的作用區(qū)分，VPN分為:（） A、內(nèi)部網(wǎng)VPN(正確答案)B、外部網(wǎng)VPN(正確答案)C、點(diǎn)對點(diǎn)專線VPND、遠(yuǎn)程訪問VPN(正確答案)5防火墻有哪些缺點(diǎn)和不足?（） A、防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯?正確答案)B、防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞(正確答案)C、防火墻可以阻止內(nèi)部主動(dòng)發(fā)起連接的攻擊D、防火墻對服務(wù)器合法開放的端口的攻擊大多無法阻止(正確答案)6JOHN的公司選擇采用IPSec協(xié)議作為公司分支機(jī)構(gòu)連接內(nèi)部網(wǎng)VPN的安全協(xié)議。以下那幾條是對IPSec的正確的描述:（）（2. A、在隧道模

16、式下，信息封裝隱藏了路由信息。B、加密IP地址和數(shù)據(jù)以保證私有性。(正確答案)C、保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時(shí)的完整性。(正確答案)D、它對主機(jī)和端點(diǎn)進(jìn)行身份鑒別。(正確答案)7使用基于路由器的防火墻使用訪問控制表實(shí)現(xiàn)過濾，它的缺點(diǎn)有:（） A、路由器本身具有安全漏洞。(正確答案)B、分組過濾規(guī)則的設(shè)置和配置存在安全隱患。(正確答案)C、無法防范“假冒”的地址。(正確答案)D、對訪問行為實(shí)施靜態(tài)、固定的控制與路由器的動(dòng)態(tài)、靈活的路由矛盾。(正確答案)8、IPSec 的兩種工作方式（） A、tunnel(正確答案)B、NAS-initiatedC、Client-initiatedD、transpor

17、t(正確答案)9防火墻的主要技術(shù)有哪些?（）（2. A、簡單包過濾技術(shù)(正確答案)B、地址翻譯技術(shù)(正確答案)C、狀態(tài)檢測包過濾技術(shù)(正確答案)D、復(fù)合技術(shù)(正確答案)E、應(yīng)用代理技術(shù)(正確答案)10、Network Address Translation技術(shù)將一個(gè)IP地址用另一個(gè)IP地址代替，它在防火墻上的作用是: （） A、由于IP地址匱乏而使用無效的IP地址。(正確答案)B、外網(wǎng)攻擊者不能攻擊到內(nèi)網(wǎng)主機(jī)。C、隱藏內(nèi)部網(wǎng)絡(luò)地址，保證內(nèi)部主機(jī)信息不泄露。(正確答案)D、使內(nèi)網(wǎng)的主機(jī)受網(wǎng)絡(luò)安全管理規(guī)則的限制。11、VPN中應(yīng)用的安全協(xié)議有哪些?（）（2. A、PPTP(正確答案)B、IPSec

18、(正確答案)C、TCPD、L2TP(正確答案)12下面關(guān)于GRE 協(xié)議描述正確的是（） A、GRE 提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制，使報(bào)文能夠在異種網(wǎng)絡(luò)中傳輸，異種報(bào)文傳輸?shù)耐ǖ婪Q為tunnel(正確答案)B、GRE 協(xié)議是二層VPN 協(xié)議C、GRE 協(xié)議實(shí)際上是一種承載協(xié)議(正確答案)D、GRE 是對某些網(wǎng)絡(luò)層協(xié)議（如:IP，IPX 等）的數(shù)據(jù)報(bào)文進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)文能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如:IP）中傳輸(正確答案)13使用基于路由器的防火墻使用訪問控制表實(shí)現(xiàn)過濾，它的缺點(diǎn)有:（） A、對訪問行為實(shí)施靜態(tài)、固定的控制與路由器的動(dòng)態(tài)、靈活的路由矛盾。(正確答案)B、分組過濾規(guī)則的設(shè)置和配置存在安全隱患。(正確答案)C、無法防范“假冒”的地址。(正確答案)D、路由器本身具有安全漏洞。(正確答案)14、