《防火墻技術》課程期末考試復習題-理論部分

1、防火墻技術課程期末考試復習題-理論部分基本信息：矩陣文本題 *姓名：_班級：_學號:_1、 防火墻的安全規(guī)則由匹配條件和處理方式兩部分組成。當網(wǎng)絡流量與當前的規(guī)則匹配時，就必須采用規(guī)則中的處理方式進行處理。其中，拒絕數(shù)據(jù)包或信息通過，并且通 知信息源該信息被禁止的處理方式是（）。 單選題 *A RefuseB Reject(正確答案)C AcceptD Drop2、下列關于防火墻功能的說法最準確的是:（） 單選題 *A、內(nèi)容控制B、訪問控制(正確答案)C、查殺病毒D、數(shù)據(jù)加密3、在IPSec中，使用IKE建立通道時，使用的端口號是（） 單選題 *A、TCP 50B、UDP 50C、TCP 50

2、0D、UDP 500(正確答案)4、對于防火墻域間安全策略，下面描述正確的是（） 單選題 *A、域間outbound方向安全策略可以全部放開B、防火墻域間可以配置缺省包過濾，即允許所有的流量通過C、域間inbound方向安全策略可以全部放開D、禁止使用缺省包過濾，域間要配置嚴格的包過濾策略;若要使用缺省包過濾，需得到客戶書面授權(quán)。(正確答案)5、最簡單的防火墻結(jié)構(gòu)是（） 單選題 *A、包過濾器B、路由器(正確答案)C、日志工具D、代理服務器6、網(wǎng)上銀行系統(tǒng)的一次轉(zhuǎn)賬操作過程中發(fā)生了轉(zhuǎn)賬金額被非法篡改的行為，這破壞了信息安全的（）屬性 單選題 *A、不可否認性B、可用性C、保密性D、完整性(正確

3、答案)7、IPSec 協(xié)議中涉及到密鑰管理的重要協(xié)議是（） 單選題 *A、ESPB、IKE(正確答案)C、AHD、SSL8、以下關于VPN 說法正確的是（） 單選題 *A、指的是用戶通過公用網(wǎng)絡建立的臨時的、安全的連接(正確答案)B、指的是用戶自己租用線路，和公共網(wǎng)絡物理上完全隔離的、安全的線路C、不能做到信息驗證和身份認證D、只能提供身份認證、不能提供加密數(shù)據(jù)的功能9、PKI 所管理的基本元素是 （） 單選題 *A、密鑰B、數(shù)字簽名C、用戶身份D、數(shù)字證書(正確答案)10、在企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)之間，用來檢查網(wǎng)絡請求分組是否合法，保護網(wǎng)絡資源不被非法使用的技術是（）。 單選題 *A、差錯控制技

4、術B、防病毒技術C、流量控制技術D、防火墻技術(正確答案)11、包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何處。它不能進行如下哪一種操作（） 單選題 *A、允許所有用戶使用HTTP瀏覽INTERNET。B、除了管理員可以從外部網(wǎng)絡Telnet內(nèi)部網(wǎng)絡外，其他用戶都不可以。(正確答案)C、禁止外部網(wǎng)絡用戶使用FTP。D、只允許某臺計算機通過NNTP發(fā)布新聞。12、防火墻提供的接入模式不包括（） 單選題 *A、網(wǎng)關模式B、旁路接入模式(正確答案)C、混合模式D、透明模式13、防火墻對要保護的服務器作端口映射的好處是:（） 單選題 *A、隱藏服務器的網(wǎng)絡結(jié)構(gòu)，使服務器

5、更加安全(正確答案)B、提高服務器的利用率C、提高防火墻的性能D、便于管理14、對狀態(tài)檢查技術的優(yōu)缺點描述有誤的是:（） 單選題 *A、配置復雜會降低網(wǎng)絡的速度。B、支持多種協(xié)議和應用。C、采用檢測模塊監(jiān)測狀態(tài)信息。D、不支持監(jiān)測RPC和UDP的端口信息。(正確答案)15、VPN技術無法實現(xiàn)以下哪個服務?（） 單選題 *A、身份驗證B、完整性校驗C、可用性校驗(正確答案)D、傳輸加密16、IPSec 協(xié)議中的AH 協(xié)議不能提供下列哪一項服務? （） 單選題 *A、機密性(正確答案)B、數(shù)據(jù)源認證C、數(shù)據(jù)包重放D、訪問控制17、目前在防火墻上提供了幾種認證方法，其中防火墻設定可以訪問內(nèi)部網(wǎng)絡資源

6、的用戶訪問權(quán)限是:（） 單選題 *A、會話認證B、其余都不是C、用戶認證(正確答案)D、客戶認證18、IPSec屬于（）的安全解決方案。 單選題 *A、應用層B、網(wǎng)絡層(正確答案)C、物理層D、傳輸層19、某局點部署了兩臺防火墻A/B，但是由于工程師的疏忽沒有部署雙機熱備。但現(xiàn)網(wǎng)中存在流量來回路徑不一致情況（即從A墻出去的流量會從B墻回來），在這種場景下TCP業(yè)務就會中斷。請問此時為了緊急恢復業(yè)務，需要怎么做?假設域間包過濾配置沒有問題（） 單選題 *A、兩臺防火墻上行接口配置hrp trackB、沒有辦法解決，只能部署雙機熱備C、兩臺防火墻配置undo firewall session li

7、nk-state check(正確答案)D、兩臺防火墻配置hrp enable20、為控制企業(yè)內(nèi)部對外的訪問以及抵御外部對內(nèi)部網(wǎng)的攻擊,最好的選擇是（）。 單選題 *A、殺毒軟件B、IDSC、防火墻(正確答案)D、路由器21、OSI模型中，LLC頭數(shù)據(jù)封裝在數(shù)據(jù)包的過程是在（） 單選題 *A、傳輸層B、網(wǎng)絡層C、數(shù)據(jù)鏈路層(正確答案)D、物理層22、VPN 它有兩層含義:首先是“虛擬的”， 即用戶實際上并不存在一個獨立專用的網(wǎng)絡， 既不需要建設或租用專線， 也不需要裝備專用的設備， 而是將其建立在分布廣泛的公共網(wǎng)絡上， 就能組成一個屬于自己專用的網(wǎng)絡。 其次是“專用的”， 相對于“公用的”來說

8、， 它強調(diào)私有性和安全可靠性。 不屬于 VPN 的核心技術是（） 單選題 *A、日志記錄(正確答案)B、訪問控制C、身份認證D、隧道技術23、關于屏蔽子網(wǎng)防火墻,下列說法錯誤的是: （） 單選題 *A、內(nèi)部用戶可以不通過DMZ直接訪問Internet(正確答案)B、內(nèi)部網(wǎng)對于Internet來說是不可見的;C、屏蔽子網(wǎng)防火墻既支持應用級網(wǎng)關也支持電路級網(wǎng)關;D、屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的;24、下面關于外部網(wǎng)VPN的描述錯誤的有: （） 單選題 *A、外部網(wǎng)VPN能保證包括TCP和UDP服務的安全。B、VPN服務器放在Internet上位于防火墻之外。(正確答案)C、其目的在于保

9、證數(shù)據(jù)傳輸中不被修改。D、VPN可以建在應用層或網(wǎng)絡層上。25、一般的防火墻不能實現(xiàn)以下哪些功能?（） 單選題 *A、隔離公司網(wǎng)絡和不可信網(wǎng)絡B、隔離內(nèi)網(wǎng)C、提供對單點的監(jiān)控D、防止病毒和特絡依木馬程序(正確答案)26、關于防火墻和VPN的使用，下面說法不正確的是（）。 單選題 *A、配置VPN網(wǎng)關防火墻的一種方法是把它們并行放置，兩者要互相依賴B、配置VPN網(wǎng)關防火墻的一種方法是把它們并行放置，兩者獨立C、配置VPN網(wǎng)關防火墻一種方法是把它們串行放置，防火墻廣域網(wǎng)一側(cè)，VPN在局域網(wǎng)一側(cè)(正確答案)D、配置VPN網(wǎng)關防火墻的一種方法是把它們串行放置，防火墻局域網(wǎng)一側(cè)，VPN在廣域網(wǎng)一側(cè)27、

10、目前在防火墻上提供了幾種認證方法，其中防火墻提供授權(quán)用戶特定的服務權(quán)限是:（） 單選題 *A、其余都不是B、會話認證C、用戶認證D、客戶認證(正確答案)28、包過濾防火墻的缺點為:（） 單選題 *A、開發(fā)比較困難B、處理數(shù)據(jù)包的速度較慢C、代理的服務（協(xié)議）必須在防火墻出廠之前進行設定D、容易受到IP欺騙攻擊(正確答案)29、某工程師現(xiàn)網(wǎng)進行IPSEC測試時，為了調(diào)測方便在連接internet接口的untrust域和local域inbound方向包過濾acl中配置了rule permit ip。測試完成后該工程師沒有刪除該配置，請問這樣做是否有風險，風險是什么?（） 單選題 *A、沒有風險，但

11、是按照配置規(guī)范還是要把acl中permit ip去掉B、有風險，ipsec隧道會一直建立C、沒有風險D、有風險，防火墻可能會遭受到來自internet的攻擊(正確答案)30、某單位通過防火墻進行互聯(lián)網(wǎng)接入，外網(wǎng)口地址為，內(nèi)網(wǎng)口地址為，這種情況下防火墻工作模式為（） 單選題 *A、其余都不對B、路由模式(正確答案)C、代理模式D、透明模式31、防火墻最主要被部署在（）位置 單選題 *A、骨干線路B、重要服務器C、桌面終端D、網(wǎng)絡邊界(正確答案)32、IPSec協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是:（） 單選題 *A、不支持除TCP/IP外的其它協(xié)議。B、支持動態(tài)的IP地址分配。(正確答案)

12、C、適應于向IPv6遷移。D、提供在網(wǎng)絡層上的數(shù)據(jù)加密保護。33、防火墻的安全性角度，最好的防火墻結(jié)構(gòu)類型是（） 單選題 *A、雙宿主主機結(jié)構(gòu)B、屏蔽子網(wǎng)結(jié)構(gòu)(正確答案)C、屏蔽主機結(jié)構(gòu)D、路由器型34目前，VPN使用了（）技術保證了通信的安全性。 單選題 *A、隧道協(xié)議、身份認證和數(shù)據(jù)加密(正確答案)B、隧道協(xié)議、數(shù)據(jù)加密C、身份認證、數(shù)據(jù)加密D、隧道協(xié)議、身份認證35 防火墻作為一種被廣泛使用的網(wǎng)絡安全防御技術，其自身有一些限制，它不能阻止（） 單選題 *B、外部攻擊C、外部攻擊和外部威脅D、內(nèi)部威脅和病毒威脅(正確答案)A、外部攻擊、外部威脅和病毒威脅36組成IPSEC的主要安全協(xié)議不包

13、括以下哪一項:（） 單選題 *A、ESPB、IKEC、AHD、DSS(正確答案)37下列關于防火墻的說法正確的是（） 單選題 *A、默認情況下防火墻允許所有傳入連接B、默認情況下防火墻允許所有傳出連接(正確答案)C、出站規(guī)則即其他主機連入你的電腦的規(guī)則D、入棧規(guī)則即你的電腦連接其他主機的規(guī)則38某單位想用防火墻對telnet協(xié)議的命令進行限制，應選在什么類型的防火墻（） 單選題 *A、應用代理技術B、NAT技術C、包過濾技術(正確答案)D、狀態(tài)檢測技術39防火墻雙機熱備組網(wǎng)下流量轉(zhuǎn)發(fā)的描述正確的是 （） 單選題 *A、防火墻負載分擔組網(wǎng)（雙主組網(wǎng)），兩臺防火墻上都可以配置ACLB、防火墻主備組

14、網(wǎng)（上下行業(yè)務口是二層口），送到備防火墻的流量仍然會被轉(zhuǎn)發(fā)C、防火墻主備組網(wǎng)（上下行業(yè)務口是三層口），送到備防火墻的流量無法轉(zhuǎn)發(fā)，會被備防火墻丟棄D、防火墻負載分擔組網(wǎng)（雙主組網(wǎng)），兩臺防火墻上的會話會相互向?qū)Χ藗浞?正確答案)40關于防火墻的描述不正確的是:（） 單選題 *A、如果一個公司信息安全制度不明確，擁有再好的防火墻也沒有用。B、防火墻不能防止內(nèi)部攻擊。C、防火墻可以防止偽裝成外部信任主機的IP地址欺騙。(正確答案)D、防火墻可以防止偽裝成內(nèi)部信任主機的IP地址欺騙。二、多選題 （題數(shù):15，共 30.0 分）1防火墻一般需要檢測哪些掃描行為?（） *A、icmp-scan(正確答案

15、)B、tcp-synfloodC、Port-scan(正確答案)D、udp-scan(正確答案)2在地址翻譯原理中，防火墻根據(jù)什么來使要傳輸?shù)较嗤哪康腎P發(fā)送給內(nèi)部不同的主機上:（） *A、防火墻使用廣播的方式發(fā)送。B、防火墻根據(jù)每個包的TCP序列號。(正確答案)C、防火墻根據(jù)每個包的時間順序。D、防火墻紀錄的包的目的端口。(正確答案)3防火墻能夠作到些什么?（）（2. *A、包的透明轉(zhuǎn)發(fā)(正確答案)B、記錄攻擊(正確答案)C、包過濾(正確答案)D、阻擋外部攻擊(正確答案)4按照不同的商業(yè)環(huán)境對VPN的要求和VPN所起的作用區(qū)分，VPN分為:（） *A、內(nèi)部網(wǎng)VPN(正確答案)B、外部網(wǎng)VP

16、N(正確答案)C、點對點專線VPND、遠程訪問VPN(正確答案)5防火墻有哪些缺點和不足?（） *A、防火墻的并發(fā)連接數(shù)限制容易導致?lián)砣蛘咭绯?正確答案)B、防火墻不能抵抗最新的未設置策略的攻擊漏洞(正確答案)C、防火墻可以阻止內(nèi)部主動發(fā)起連接的攻擊D、防火墻對服務器合法開放的端口的攻擊大多無法阻止(正確答案)6JOHN的公司選擇采用IPSec協(xié)議作為公司分支機構(gòu)連接內(nèi)部網(wǎng)VPN的安全協(xié)議。以下那幾條是對IPSec的正確的描述:（）（2. *A、在隧道模式下，信息封裝隱藏了路由信息。B、加密IP地址和數(shù)據(jù)以保證私有性。(正確答案)C、保證數(shù)據(jù)在通過網(wǎng)絡傳輸時的完整性。(正確答案)D、它對主機

17、和端點進行身份鑒別。(正確答案)7使用基于路由器的防火墻使用訪問控制表實現(xiàn)過濾，它的缺點有:（） *A、路由器本身具有安全漏洞。(正確答案)B、分組過濾規(guī)則的設置和配置存在安全隱患。(正確答案)C、無法防范“假冒”的地址。(正確答案)D、對訪問行為實施靜態(tài)、固定的控制與路由器的動態(tài)、靈活的路由矛盾。(正確答案)8、IPSec 的兩種工作方式（） *A、tunnel(正確答案)B、NAS-initiatedC、Client-initiatedD、transport(正確答案)9防火墻的主要技術有哪些?（）（2. *A、簡單包過濾技術(正確答案)B、地址翻譯技術(正確答案)C、狀態(tài)檢測包過濾技術(

18、正確答案)D、復合技術(正確答案)E、應用代理技術(正確答案)10、Network Address Translation技術將一個IP地址用另一個IP地址代替，它在防火墻上的作用是: （） *A、由于IP地址匱乏而使用無效的IP地址。(正確答案)B、外網(wǎng)攻擊者不能攻擊到內(nèi)網(wǎng)主機。C、隱藏內(nèi)部網(wǎng)絡地址，保證內(nèi)部主機信息不泄露。(正確答案)D、使內(nèi)網(wǎng)的主機受網(wǎng)絡安全管理規(guī)則的限制。11、VPN中應用的安全協(xié)議有哪些?（）（2. *A、PPTP(正確答案)B、IPSec(正確答案)C、TCPD、L2TP(正確答案)12下面關于GRE 協(xié)議描述正確的是（） *A、GRE 提供了將一種協(xié)議的報文封裝在

19、另一種協(xié)議報文中的機制，使報文能夠在異種網(wǎng)絡中傳輸，異種報文傳輸?shù)耐ǖ婪Q為tunnel(正確答案)B、GRE 協(xié)議是二層VPN 協(xié)議C、GRE 協(xié)議實際上是一種承載協(xié)議(正確答案)D、GRE 是對某些網(wǎng)絡層協(xié)議（如:IP，IPX 等）的數(shù)據(jù)報文進行封裝，使這些被封裝的數(shù)據(jù)報文能夠在另一個網(wǎng)絡層協(xié)議（如:IP）中傳輸(正確答案)13使用基于路由器的防火墻使用訪問控制表實現(xiàn)過濾，它的缺點有:（） *A、對訪問行為實施靜態(tài)、固定的控制與路由器的動態(tài)、靈活的路由矛盾。(正確答案)B、分組過濾規(guī)則的設置和配置存在安全隱患。(正確答案)C、無法防范“假冒”的地址。(正確答案)D、路由器本身具有安全漏洞。(正確答案)14、IPSec協(xié)議用密碼技術從三個方面來保證數(shù)據(jù)的