防火墻考試復(fù)習(xí)題

單選題1．以下哪種技術(shù)不是實(shí)現(xiàn)防火墻的主流技術(shù)？ DA.包過濾技術(shù);B.應(yīng)用級(jí)網(wǎng)關(guān)技術(shù);C.代理服務(wù)器技術(shù);D.NAT技術(shù)2．關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯(cuò)誤的是: DA.屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的;B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級(jí)網(wǎng)關(guān)也支持電路級(jí)網(wǎng)關(guān);C.內(nèi)部網(wǎng)對(duì)于Internet來說是不可見的;D.內(nèi)部用戶可以不通過DMZ直接訪問Internet3．最簡單的防火墻結(jié)構(gòu)是（A）A.路由器B、代理服務(wù)器C、日志工具D、包過濾器4．為確保企業(yè)局域網(wǎng)的信息安全，防止來自internet的黑客入侵，采用（）可以實(shí)現(xiàn)一定的防范作用。A.網(wǎng)管軟件B.操作系統(tǒng)C防火墻D.防病毒軟件5．防火墻采用的最簡單的技術(shù)是（）A．安裝保護(hù)卡B.隔離C.包過濾D.設(shè)置進(jìn)入密碼6.防火墻技術(shù)可分為（）等到3大類型A包過濾、入侵檢測和數(shù)據(jù)加密B.包過濾、入侵檢測和應(yīng)用代理“

C包過濾、應(yīng)用代理和入侵檢測D.包過濾、狀態(tài)檢測和應(yīng)用代理7.防火墻系統(tǒng)通常由（）組成，防止不希望的、未經(jīng)授權(quán)的進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)A．殺病毒卡和殺毒軟件代理服務(wù)器和入檢測系統(tǒng)過濾路由器和入侵檢測系統(tǒng)過濾路由器和代理服務(wù)器8.防火墻技術(shù)是一種（）網(wǎng)絡(luò)系統(tǒng)安全措施。3)A．被動(dòng)的B.主動(dòng)的C．能夠防止內(nèi)部犯罪的D.能夠解決所有問題的9．防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的一類安全保護(hù)機(jī)制，它的安全架構(gòu)基于（）。A．流量控制技術(shù)B加密技術(shù)C．信息流填充技術(shù)D．訪問控制技術(shù)10.一般為代理服務(wù)器的保壘主機(jī)上裝有（）。A．一塊網(wǎng)卡且有一個(gè)IP地址B．兩個(gè)網(wǎng)卡且有兩個(gè)不同的IP地址C．兩個(gè)網(wǎng)卡且有相同的IP地址D．多個(gè)網(wǎng)卡且動(dòng)態(tài)獲得IP地址11.一般為代理服務(wù)器的保壘主機(jī)上運(yùn)行的是（）A．代理服務(wù)器軟件B．網(wǎng)絡(luò)操作系統(tǒng)C．?dāng)?shù)據(jù)庫管理系統(tǒng)D．應(yīng)用軟件12.下列關(guān)于防火墻的說法正確的是（）A防火墻的安全性能是根據(jù)系統(tǒng)安全的要求而設(shè)置的B防火墻的安全性能是一致的，一般沒有級(jí)別之分C防火墻不能把內(nèi)部網(wǎng)絡(luò)隔離為可信任網(wǎng)絡(luò)D一個(gè)防火墻只能用來對(duì)兩個(gè)網(wǎng)絡(luò)之間的互相訪問實(shí)行強(qiáng)制性管理的安全系統(tǒng)13．在ISOOSI/RM中對(duì)網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進(jìn)行分析，要求每個(gè)協(xié)議層都能提供網(wǎng)絡(luò)安全服務(wù)。其中用戶身份認(rèn)證在（1）進(jìn)行。A網(wǎng)絡(luò)層B會(huì)話層C物理層D應(yīng)用層14.在ISOOSI/RM中對(duì)網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進(jìn)行分析，要求每個(gè)協(xié)議層都能提供網(wǎng)絡(luò)安全服務(wù)。IP過濾型防火墻在（）通過控制網(wǎng)落邊界的信息流動(dòng)，來強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全性。A網(wǎng)絡(luò)層B會(huì)話層C物理層D應(yīng)用層15.()不是防火墻的功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包保護(hù)存儲(chǔ)數(shù)據(jù)包封堵某些禁止的訪問行為記錄通過防火墻的信息內(nèi)容和活動(dòng)16.包過濾型防火墻工作在（

C

）A.會(huì)話層

B.應(yīng)用層C.網(wǎng)絡(luò)層

D.數(shù)據(jù)鏈路層17.入侵檢測是一門新興的安全技術(shù)，是作為繼________之后的第二層安全防護(hù)措施。（

B

）A.路由器

B.防火墻C.交換機(jī)

D.服務(wù)器18.下面屬于單鑰密碼體制算法的是（C

）A.RSA

B.LUCC.DES

D.DSA19.對(duì)網(wǎng)絡(luò)中兩個(gè)相鄰節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)的是（

A

）A.節(jié)點(diǎn)加密

B.鏈路加密C.端到端加密

D.DES加密20.一般而言，Internet防火墻建立在一個(gè)網(wǎng)絡(luò)的（

A

）A.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點(diǎn)

B.每個(gè)子網(wǎng)的內(nèi)部C.部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處

D.內(nèi)部子網(wǎng)之間傳送信息的中樞21、以下不屬于代理服務(wù)技術(shù)優(yōu)點(diǎn)的是（D）可以實(shí)現(xiàn)身份認(rèn)證內(nèi)部地址的屏蔽和轉(zhuǎn)換功能可以實(shí)現(xiàn)訪問控制可以防范數(shù)據(jù)驅(qū)動(dòng)侵襲22、包過濾技術(shù)與代理服務(wù)技術(shù)相比較（B）包過濾技術(shù)安全性較弱、但會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生明顯影響包過濾技術(shù)對(duì)應(yīng)用和用戶是絕對(duì)透明的代理服務(wù)技術(shù)安全性較高、但不會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生明顯影響代理服務(wù)技術(shù)安全性高，對(duì)應(yīng)用和用戶透明度也很高23、在建立堡壘主機(jī)時(shí)（A）在堡壘主機(jī)上應(yīng)設(shè)置盡可能少的網(wǎng)絡(luò)服務(wù)在堡壘主機(jī)上應(yīng)設(shè)置盡可能多的網(wǎng)絡(luò)服務(wù)對(duì)必須設(shè)置的服務(wù)給與盡可能高的權(quán)限不論發(fā)生任何入侵情況，內(nèi)部網(wǎng)始終信任堡壘主機(jī)24、當(dāng)同一網(wǎng)段中兩臺(tái)工作站配置了相同的IP地址時(shí)，會(huì)導(dǎo)致(B)先入者被后入者擠出網(wǎng)絡(luò)而不能使用雙方都會(huì)得到警告，但先入者繼續(xù)工作，而后入者不能雙方可以同時(shí)正常工作，進(jìn)行數(shù)據(jù)的傳輸雙主都不能工作，都得到網(wǎng)址沖突的警告25、代理服務(wù)作為防火墻技術(shù)主要在OSI的哪一層實(shí)現(xiàn)（D）A．?dāng)?shù)據(jù)鏈路層B．網(wǎng)絡(luò)層C．表示層D．應(yīng)用層26、防火墻的安全性角度，最好的防火墻結(jié)構(gòu)類型是（D）A．路由器型B．雙宿主主機(jī)結(jié)構(gòu)C．屏蔽主機(jī)結(jié)構(gòu)D．屏蔽子網(wǎng)結(jié)構(gòu)27、邏輯上，防火墻是(D)。A．過濾器B．限制器C．分析器D．A、B、C28、以下不屬于代理服務(wù)技術(shù)優(yōu)點(diǎn)的是(D)可以實(shí)現(xiàn)應(yīng)用層上的文件類型過濾內(nèi)部地址的屏蔽和轉(zhuǎn)換功能可以實(shí)現(xiàn)訪問控制可以防范病毒入侵29、一般而言，Internet防火墻建立在一個(gè)網(wǎng)絡(luò)的（

A

）A.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點(diǎn)

B.每個(gè)子網(wǎng)的內(nèi)部C.部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處

D.內(nèi)部子網(wǎng)之間傳送信息的中樞30、下面是個(gè)人防火墻的優(yōu)點(diǎn)的是（

D

）運(yùn)行時(shí)占用資源對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口只能保護(hù)單機(jī)，不能保護(hù)網(wǎng)絡(luò)系統(tǒng)增加保護(hù)級(jí)別31、包過濾型防火墻工作在（

C

）A.會(huì)話層

B.應(yīng)用層C.網(wǎng)絡(luò)層

D.數(shù)據(jù)鏈路層32、下面關(guān)于防火墻的說法中，正確的是（B）防火墻可以解決來自內(nèi)部網(wǎng)絡(luò)的攻擊防火墻可以防止受病毒感染的文件的傳輸防火墻會(huì)削弱計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的性能防火墻可以防止錯(cuò)誤配置引起的安全威脅33.Tom的公司申請(qǐng)到5個(gè)IP地址，要使公司的20臺(tái)主機(jī)都能聯(lián)到INTERNET上，他需要防火墻的那個(gè)功能？ BA 假冒IP地址的偵測。B 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。C 內(nèi)容檢查技術(shù)D 基于地址的身份認(rèn)證。34.Smurf攻擊結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。管理員可以在源站點(diǎn)使用的解決辦法是： CA 通過使用防火墻阻止這些分組進(jìn)入自己的網(wǎng)絡(luò)。B 關(guān)閉與這些分組的URL連接C 使用防火墻的包過濾功能，保證網(wǎng)絡(luò)中的所有傳輸信息都具有合法的源地址。D 安裝可清除客戶端木馬程序的防病毒軟件模塊，35.包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何處。它不能進(jìn)行如下哪一種操作： CA 禁止外部網(wǎng)絡(luò)用戶使用FTP。B 允許所有用戶使用HTTP瀏覽INTERNET。C 除了管理員可以從外部網(wǎng)絡(luò)Telnet內(nèi)部網(wǎng)絡(luò)外，其他用戶都不可以(身份認(rèn)證)。D 只允許某臺(tái)計(jì)算機(jī)通過NNTP發(fā)布新聞。36.UDP是無連接的傳輸協(xié)議，由應(yīng)用層來提供可靠的傳輸。它用以傳輸何種服務(wù)： DA TELNETB SMTPC FTPD TFTP36.OSI模型中，LLC頭數(shù)據(jù)封裝在數(shù)據(jù)包的過程是在： CA 傳輸層B 網(wǎng)絡(luò)層C 數(shù)據(jù)鏈路層D 物理層37.TCP協(xié)議是Internet上用得最多的協(xié)議，TCP為通信兩端提供可靠的雙向連接。以下基于TCP協(xié)議的服務(wù)是： AA DNSB TFTPC SNMPD RIP38.端口號(hào)用來區(qū)分不同的服務(wù)，端口號(hào)由IANA分配，下面錯(cuò)誤的是： DA TELNET使用23端口號(hào)。B DNS使用53端口號(hào)。C 1024以下為保留端口號(hào)，1024以上動(dòng)態(tài)分配。D SNMP使用69端口號(hào)。39.包過濾是有選擇地讓數(shù)據(jù)包在內(nèi)部與外部主機(jī)之間進(jìn)行交換，根據(jù)安全規(guī)則有選擇的路由某些數(shù)據(jù)包。下面不能進(jìn)行包過濾的設(shè)備是： CA 路由器B 一臺(tái)獨(dú)立的主機(jī)C 二層交換機(jī)D 網(wǎng)橋40.TCP可為通信雙方提供可靠的雙向連接，在包過濾系統(tǒng)中，下面關(guān)于TCP連接描述錯(cuò)誤的是： CA 要拒絕一個(gè)TCP時(shí)只要拒絕連接的第一個(gè)包即可。B TCP段中首包的ACK＝0，后續(xù)包的ACK＝1。C 確認(rèn)號(hào)是用來保證數(shù)據(jù)可靠傳輸?shù)木幪?hào)。 D "在CISCO過濾系統(tǒng)中，當(dāng)ACK＝1時(shí)，“established""關(guān)鍵字為T，當(dāng)ACK＝0時(shí)，“established""關(guān)鍵字為F。" 41.下面對(duì)電路級(jí)網(wǎng)關(guān)描述正確的是： BA 它允許內(nèi)部網(wǎng)絡(luò)用戶不受任何限制地訪問外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)用戶在訪問內(nèi)部網(wǎng)絡(luò)時(shí)會(huì)受到嚴(yán)格的控制。B 它在客戶機(jī)和服務(wù)器之間不解釋應(yīng)用協(xié)議，僅依賴于TCP連接，而不進(jìn)行任何附加包的過濾或處理。C 大多數(shù)電路級(jí)代理服務(wù)器是公共代理服務(wù)器，每個(gè)協(xié)議都能由它實(shí)現(xiàn)。D 對(duì)各種協(xié)議的支持不用做任何調(diào)整直接實(shí)現(xiàn)。42.在Internet服務(wù)中使用代理服務(wù)有許多需要注意的內(nèi)容，下述論述正確的是： CA UDP是無連接的協(xié)議很容易實(shí)現(xiàn)代理。B 與犧牲主機(jī)的方式相比，代理方式更安全。C 對(duì)于某些服務(wù)，在技術(shù)上實(shí)現(xiàn)相對(duì)容易。D 很容易拒絕客戶機(jī)與服務(wù)器之間的返回連接。43.狀態(tài)檢查技術(shù)在OSI那層工作實(shí)現(xiàn)防火墻功能： CA 鏈路層B 傳輸層C 網(wǎng)絡(luò)層D 會(huì)話層44.對(duì)狀態(tài)檢查技術(shù)的優(yōu)缺點(diǎn)描述有誤的是：C A 采用檢測模塊監(jiān)測狀態(tài)信息。B 支持多種協(xié)議和應(yīng)用。C 不支持監(jiān)測RPC和UDP的端口信息。D 配置復(fù)雜會(huì)降低網(wǎng)絡(luò)的速度。45.JOE是公司的一名業(yè)務(wù)代表，經(jīng)常要在外地訪問公司的財(cái)務(wù)信息系統(tǒng)，他應(yīng)該采用的安全、廉價(jià)的通訊方式是： BA PPP連接到公司的RAS服務(wù)器上。B 遠(yuǎn)程訪問VPNC 電子郵件D 與財(cái)務(wù)系統(tǒng)的服務(wù)器PPP連接。46.下面關(guān)于外部網(wǎng)VPN的描述錯(cuò)誤的有： CA 外部網(wǎng)VPN能保證包括TCP和UDP服務(wù)的安全。B 其目的在于保證數(shù)據(jù)傳輸中不被修改。C VPN服務(wù)器放在Internet上位于防火墻之外。D VPN可以建在應(yīng)用層或網(wǎng)絡(luò)層上。47.IPSec協(xié)議是開放的VPN協(xié)議。對(duì)它的描述有誤的是： CA 適應(yīng)于向IPv6遷移。B 提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護(hù)。C 支持動(dòng)態(tài)的IP地址分配。D 不支持除TCP/IP外的其它協(xié)議。48.IPSec在哪種模式下把數(shù)據(jù)封裝在一個(gè)IP包傳輸以隱藏路由信息： AA 隧道模式B 管道模式C 傳輸模式D 安全模式49.有關(guān)PPTP（Point-to-PointTunnelProtocol)說法正確的是： CA PPTP是Netscape提出的。B 微軟從NT3.5以后對(duì)PPTP開始支持。C PPTP可用在微軟的路由和遠(yuǎn)程訪問服務(wù)上。D 它是傳輸層上的協(xié)議。50.有關(guān)L2TP（Layer2TunnelingProtocol)協(xié)議說法有誤的是： DA L2TP是由PPTP協(xié)議和Cisco公司的L2F組合而成。B L2TP可用于基于Internet的遠(yuǎn)程撥號(hào)訪問。C 為PPP協(xié)議的客戶建立撥號(hào)連接的VPN連接。D L2TP只能通過TCT/IP連接。51.針對(duì)下列各種安全協(xié)議，最適合使用外部網(wǎng)VPN上，用于在客戶機(jī)到服務(wù)器的連接模式的是： CA IPsecB PPTPC SOCKSv5D L2TP52.下列各種安全協(xié)議中使用包過濾技術(shù)，適合用于可信的LAN到LAN之間的VPN，即內(nèi)部網(wǎng)VPN的是： DA PPTPB L2TPC SOCKSv5D IPsec53.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻設(shè)定可以訪問內(nèi)部網(wǎng)絡(luò)資源的用戶訪問權(quán)限是： CA 客戶認(rèn)證B 回話認(rèn)證C 用戶認(rèn)證D 都不是54.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供授權(quán)用戶特定的服務(wù)權(quán)限是： AA 客戶認(rèn)證B 回話認(rèn)證C 用戶認(rèn)證D 都不是55.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供通信雙方每次通信時(shí)的會(huì)話授權(quán)機(jī)制是： BA 客戶認(rèn)證B 回話認(rèn)證C 用戶認(rèn)證D 都不是56.使用安全內(nèi)核的方法把可能引起安全問題的部分沖操作系統(tǒng)的內(nèi)核中去掉，形成安全等級(jí)更高的內(nèi)核，目前對(duì)安全操作系統(tǒng)的加固和改造可以從幾個(gè)方面進(jìn)行。下面錯(cuò)誤的是： DA 采用隨機(jī)連接序列號(hào)。B 駐留分組過濾模塊。C 取消動(dòng)態(tài)路由功能。D 盡可能地采用獨(dú)立安全內(nèi)核。57.在防火墻實(shí)現(xiàn)認(rèn)證的方法中，采用通過數(shù)據(jù)包中的源地址來認(rèn)證的是： BA Password-BasedAuthenticationB Address-BasedAuthenticationC CryptographicAuthenticationD NoneofAbove.58.網(wǎng)絡(luò)入侵者使用sniffer對(duì)網(wǎng)絡(luò)進(jìn)行偵聽，在防火墻實(shí)現(xiàn)認(rèn)證的方法中，下列身份認(rèn)證可能會(huì)造成不安全后果的是： AA Password-BasedAuthenticationB Address-BasedAuthenticationC CryptographicAuthenticationD NoneofAbove.59.隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代：DA 使用IP加密技術(shù)。B 日志分析工具。C 攻擊檢測和報(bào)警。D 對(duì)訪問行為實(shí)施靜態(tài)、固定的控制。60.以下關(guān)于VPN說法正確的是（）BVPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時(shí)的、安全的連接VPN不能做到信息驗(yàn)證和身份認(rèn)證VPN只能提供身份認(rèn)證、不能提供加密數(shù)據(jù)的功能61.IPSec協(xié)議是開放的VPN協(xié)議。對(duì)它的描述有誤的是（）D適應(yīng)于向IPv6遷移提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護(hù)可以適應(yīng)設(shè)備動(dòng)態(tài)IP地址的情況支持除TCP/IP外的其它協(xié)議62.部署IPSECVPN時(shí)，配置什么樣的安全算法可以提供更可靠的數(shù)據(jù)加密（）BDES3DESSHA128位的MD563.部署IPSECVPN時(shí)，配置什么安全算法可以提供更可靠的數(shù)據(jù)驗(yàn)證（）CDES3DESSHA128位的MD564.為控制企業(yè)內(nèi)部對(duì)外的訪問以及抵御外部對(duì)內(nèi)部網(wǎng)的攻擊,最好的選擇是（）。

A、IDSB、殺毒軟件C、防火墻D、路由器

65、以下關(guān)于防火墻的設(shè)計(jì)原則說法正確的是（）。

不單單要提供防火墻的功能，還要盡量使用較大的組件

保持設(shè)計(jì)的簡單性

保留盡可能多的服務(wù)和守護(hù)進(jìn)程，從而能提供更多的網(wǎng)絡(luò)服務(wù)

一套防火墻就可以保護(hù)全部的網(wǎng)絡(luò)

66、防火墻能夠（）。

防范惡意的知情者

防范通過它的惡意連接

防備新的網(wǎng)絡(luò)安全問題

完全防止傳送己被病毒感染的軟件和文件

67、防火墻中地址翻譯的主要作用是（）。

A、提供代理服務(wù)B、進(jìn)行入侵檢測

C、隱藏內(nèi)部網(wǎng)絡(luò)地址D、防止病毒入侵

68、防火墻是隔離內(nèi)部和外部網(wǎng)的一類安全系統(tǒng)。通常防火墻中使用的技術(shù)有過

濾和代理兩種。路由器可以根據(jù)（）進(jìn)行過濾，以阻擋某些非法訪問。

網(wǎng)卡地址B、IP地址C、用戶標(biāo)識(shí)D、加密方法

69、在企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)之間，用來檢查網(wǎng)絡(luò)請(qǐng)求分組是否合法，保護(hù)網(wǎng)絡(luò)資

源不被非法使用的技術(shù)是（）。

A、防病毒技術(shù)B、防火墻技術(shù)C、差錯(cuò)控制技術(shù)D、流量控制技術(shù)

70、防火墻是指（）。

防止一切用戶進(jìn)入的硬件

阻止侵權(quán)進(jìn)入和離開主機(jī)的通信硬件或軟件

記錄所有訪問信息的服務(wù)器

處理出入主機(jī)的郵件的服務(wù)器

71、防火墻的基本構(gòu)件包過濾路由器工作在OSI的哪一層（）

A、物理層B、傳輸層C、網(wǎng)絡(luò)層D、應(yīng)用層

72、包過濾防火墻對(duì)通過防火墻的數(shù)據(jù)包進(jìn)行檢查，只有滿足條件的數(shù)據(jù)包才能

通過，對(duì)數(shù)據(jù)包的檢查內(nèi)容一般不包括（）。

A、源地址B、目的地址C、協(xié)議D、有效載荷

73、防火墻對(duì)數(shù)據(jù)包進(jìn)行狀態(tài)檢測過濾時(shí)，不可以進(jìn)行檢測過濾的是（）。

A、源和目的IP地址B、源和目的端口

C、IP協(xié)議號(hào)D、數(shù)據(jù)包中的內(nèi)容

74、下列屬于防火墻的功能的是（）。

A、識(shí)別DNS服務(wù)器B、維護(hù)路由信息表

C、提供對(duì)稱加密服務(wù)D、包過濾

75、公司的WEB服務(wù)器受到來自某個(gè)IP地址的黑客反復(fù)攻擊,你的主管要求你通過

防火墻來阻止來自那個(gè)地址的所有連接,以保護(hù)WEB服務(wù)器,那么你應(yīng)該選擇哪一

種防火墻?()。

A、包過濾型B、應(yīng)用級(jí)網(wǎng)關(guān)型

D、復(fù)合型防火墻D、代理服務(wù)型

76、以下哪種技術(shù)不是實(shí)現(xiàn)防火墻的主流技術(shù)？（）。

A、包過濾技術(shù)B、應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)

C、代理服務(wù)器技術(shù)D、NAT技術(shù)

77、關(guān)于防火墻技術(shù)的描述中，正確的是（）。

防火墻不能支持網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻可以布置在企業(yè)內(nèi)部網(wǎng)和Internet之間

防火墻可以查、殺各種病毒

防火墻可以過濾各種垃圾文件

78、包過濾防火墻通過（）來確定數(shù)據(jù)包是否能通過。

A、路由表B、ARP表C、NAT表D、過濾規(guī)則

79、以下關(guān)于防火墻技術(shù)的描述，哪個(gè)是錯(cuò)誤的？（）

防火墻分為數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)兩類

防火墻可以控制外部用戶對(duì)內(nèi)部系統(tǒng)的訪問

防火墻可以阻止內(nèi)部人員對(duì)外部的攻擊

防火墻可以分析和統(tǒng)管網(wǎng)絡(luò)使用情況

80、某公司使用包過濾防火墻控制進(jìn)出公司局域網(wǎng)的數(shù)據(jù)，在不考慮使用代理服

務(wù)器的情況下，下面描述錯(cuò)誤的是“該防火墻能夠（）”。

A、使公司員工只能防問Intrenet上與其有業(yè)務(wù)聯(lián)系的公司的IP地址

B、僅允許HTTP協(xié)議通過

C、使員工不能直接訪問FTP服務(wù)端口號(hào)為21的FTP服務(wù)

D、僅允許公司中具有某些特定IP地址的計(jì)算機(jī)可以訪問外部網(wǎng)絡(luò)

81、以下有關(guān)防火墻的說法中，錯(cuò)誤的是（）。

防火墻可以提供對(duì)系統(tǒng)的訪問控制

防火墻可以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部網(wǎng)的集中安全管理

防火墻可以隱藏企業(yè)網(wǎng)的內(nèi)部IP地址

防火墻可以防止病毒感染程序（或文件）的傳播

82、包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)

及轉(zhuǎn)發(fā)到何處。它不能進(jìn)行如下哪一種操作（）。

禁止外部網(wǎng)絡(luò)用戶使用FTP

允許所有用戶使用HTTP瀏覽INTERNET

除了管理員可以從外部網(wǎng)絡(luò)Telnet內(nèi)部網(wǎng)絡(luò)外，其他用戶都不可以

只允許某臺(tái)計(jì)算機(jī)通過NNTP發(fā)布新聞

83、隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代

（）。

A、使用IP加密技術(shù)B、日志分析工具

C、攻擊檢測和報(bào)警D、對(duì)訪問行為實(shí)施靜態(tài)、固定的控制

84、對(duì)狀態(tài)檢查技術(shù)的優(yōu)缺點(diǎn)描述有誤的是（）。

A、采用檢測模塊監(jiān)測狀態(tài)信息B、支持多種協(xié)議和應(yīng)用

不支持監(jiān)測RPC和UDP的端口信息D、配置復(fù)雜會(huì)降低網(wǎng)絡(luò)的速度

85、包過濾技術(shù)與代理服務(wù)技術(shù)相比較（）。

包過濾技術(shù)安全性較弱、但會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生明顯影響

包過濾技術(shù)對(duì)應(yīng)用和用戶是絕對(duì)透明的

代理服務(wù)技術(shù)安全性較高、但不會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生明顯影響

代理服務(wù)技術(shù)安全性高，對(duì)應(yīng)用和用戶透明度也很高

86、屏蔽路由器型防火墻采用的技術(shù)是基于（）。

A、數(shù)據(jù)包過濾技術(shù)B、應(yīng)用網(wǎng)關(guān)技術(shù)

C、代理服務(wù)技術(shù)D、三種技術(shù)的結(jié)合

87、關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯(cuò)誤的是（）。

屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的

屏蔽子網(wǎng)防火墻既支持應(yīng)用級(jí)網(wǎng)關(guān)也支持電路級(jí)網(wǎng)關(guān)

內(nèi)部網(wǎng)對(duì)于Internet來說是不可見的

內(nèi)部用戶可以不通過DMZ直接訪問Internet

88、網(wǎng)絡(luò)中一臺(tái)防火墻被配置來劃分Internet、內(nèi)部網(wǎng)及DMZ區(qū)域，這樣的防火

墻類型為（）。

A、單宿主堡壘主機(jī)B、雙宿主堡壘主機(jī)

C、三宿主堡壘主機(jī)D、四宿主堡壘主機(jī)

89、防火墻的設(shè)計(jì)時(shí)要遵循簡單性原則,具體措施包括（）。B

在防火墻上禁止運(yùn)行其它應(yīng)用程序

停用不需要的組件

將流量限制在盡量少的點(diǎn)上

安裝運(yùn)行WEB服務(wù)器程序

90.有意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用屬于(B)

A破壞數(shù)據(jù)完整性B非授權(quán)訪問C信息泄露D拒絕服務(wù)攻擊

91.防火墻通常被比喻為網(wǎng)絡(luò)安全的大門，但它不能（D）

A.阻止基于IP包頭的攻擊B阻止非信任地址的訪問

C鑒別什么樣的數(shù)據(jù)可以進(jìn)出企業(yè)內(nèi)部網(wǎng)D阻止病毒入侵

多選題1．下列哪些是防火墻的重要行為？（AB）準(zhǔn)許B、限制C、日志記錄D、問候訪問者2.JOHN的公司選擇采用IPSec協(xié)議作為公司分支機(jī)構(gòu)連接內(nèi)部網(wǎng)VPN的安全協(xié)議。以下那幾條是對(duì)IPSec的正確的描述： ABDA 它對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別。B 保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時(shí)的完整性。C 在隧道模式下，信息封裝隱藏了路由信息。D 加密IP地址和數(shù)據(jù)以保證私有性。3.相比較代理技術(shù)，包過濾技術(shù)的缺點(diǎn)包括： ABCA 在機(jī)器上配置和測試包過濾比較困難。B "包過濾技術(shù)無法與UNIX的“r""命令和NFS、NIS/YP協(xié)議的RPC協(xié)調(diào)。"C 包過濾無法區(qū)分信息是哪個(gè)用戶的信息，無法過濾用戶。D 包過濾技術(shù)只能通過在客戶機(jī)特別的設(shè)置才能實(shí)現(xiàn)。4.微軟的ProxyServer是使一臺(tái)WINDOWS服務(wù)器成為代理服務(wù)的軟件。它的安裝要求條件是：ABD A 服務(wù)器一般要使用雙網(wǎng)卡的主機(jī)。 B 客戶端需要安裝代理服務(wù)器客戶端程序才能使各種服務(wù)透明使用。 C 當(dāng)客戶使用一個(gè)新的網(wǎng)絡(luò)客戶端軟件時(shí)，需要在代理服務(wù)器上為之單獨(dú)配置提供服務(wù)。D 代理服務(wù)器的內(nèi)網(wǎng)網(wǎng)卡IP和客戶端使用保留IP地址。 5.在代理服務(wù)中，有許多不同類型的代理服務(wù)方式，以下描述正確的是：ABCD A 應(yīng)用級(jí)網(wǎng)關(guān) B 電路級(jí)網(wǎng)關(guān) C 公共代理服務(wù)器 D 專用代理服務(wù)器 6.應(yīng)用級(jí)代理網(wǎng)關(guān)相比包過濾技術(shù)具有的優(yōu)點(diǎn)有：ABC A 提供可靠的用戶認(rèn)證和詳細(xì)的注冊(cè)信息。B 便于審計(jì)和日志。C 隱藏內(nèi)部IP地址。D 應(yīng)用級(jí)網(wǎng)關(guān)安全性能較好，可防范操作系統(tǒng)和應(yīng)用層的各種安全漏洞。7.代理技術(shù)的實(shí)現(xiàn)分為服務(wù)器端和客戶端實(shí)現(xiàn)兩部分，以下實(shí)現(xiàn)方法正確的是： ACDA 在服務(wù)器上使用相應(yīng)的代理服務(wù)器軟件。B 在服務(wù)器上定制服務(wù)過程。C 在客戶端上定制客戶軟件。D 在客戶端上定制客戶過程。8.Sam的公司使用的是需要定制用戶過程的代理服務(wù)器軟件，他要從匿名服務(wù)器上下載文件，正確的步驟是：BD A 使用FTP客戶機(jī)與匿名服務(wù)器連接。B 使用FTP客戶機(jī)與代理服務(wù)器連接。C "輸入用戶名Nicky,對(duì)匿名服務(wù)器輸入anonymous@proxyserver。"D "輸入用戶名Nicky,對(duì)代理服務(wù)器輸入anonymous@。" 9.NetworkAddressTranslation技術(shù)將一個(gè)IP地址用另一個(gè)IP地址代替，它在防火墻上的作用是： ABA 隱藏內(nèi)部網(wǎng)絡(luò)地址，保證內(nèi)部主機(jī)信息不泄露。B 由于IP地址匱乏而使用無效的IP地址。C 使外網(wǎng)攻擊者不能攻擊到內(nèi)網(wǎng)主機(jī)。D 使內(nèi)網(wǎng)的主機(jī)受網(wǎng)絡(luò)安全管理規(guī)則的限制。10.在地址翻譯原理中，防火墻根據(jù)什么來使要傳輸?shù)较嗤哪康腎P發(fā)送給內(nèi)部不同的主機(jī)上： ADA 防火墻紀(jì)錄的包的目的端口。B 防火墻使用廣播的方式發(fā)送。C 防火墻根據(jù)每個(gè)包的時(shí)間順序。D 防火墻根據(jù)每個(gè)包的TCP序列號(hào)。11.網(wǎng)絡(luò)防火墻能夠起到的作用有（）。ABCDA.防止內(nèi)部信息外泄B.防止系統(tǒng)感染病毒與非法訪問C.防止黑客訪問D.建立內(nèi)部信息和功能與外部信息和功能之間的屏障12.VirtualPrivateNetwork技術(shù)可以提供的功能有： ABCA 提供AccessControl。B 加密數(shù)據(jù)。C 信息認(rèn)證和身份認(rèn)證。D 劃分子網(wǎng)。13.按照不同的商業(yè)環(huán)境對(duì)VPN的要求和VPN所起的作用區(qū)分，VPN分為：ABDA 內(nèi)部網(wǎng)VPNB 外部網(wǎng)VPNC 點(diǎn)對(duì)點(diǎn)專線VPND 遠(yuǎn)程訪問VPN14.對(duì)于遠(yuǎn)程訪問VPN須制定的安全策略有： ABCDA 訪問控制管理B 用戶身份認(rèn)證、智能監(jiān)視和審計(jì)功能C 數(shù)據(jù)加密D 密鑰和數(shù)字證書管理15.VPN中應(yīng)用的安全協(xié)議有哪些？ BCDA TCPB IPSecC PPTPD L2TP16.IPSec協(xié)議用密碼技術(shù)從三個(gè)方面來保證數(shù)據(jù)的完整性：ABD A 認(rèn)證B 加密C 訪問控制D 完整性檢查17.IPSec支持的加密算法有： ABCA DESB 3DESC IDEAD SET18.PPTP/L2TP的缺點(diǎn)有哪些： ACDA 不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視和控制。B 同時(shí)只能連接256個(gè)用戶。C 端點(diǎn)用戶需在連接前手工建立加密通道。D 沒有強(qiáng)加密和認(rèn)證支持。19.未來的防火墻產(chǎn)品與技術(shù)應(yīng)用有哪些特點(diǎn)： BCDA 防火墻從遠(yuǎn)程上網(wǎng)集中管理向?qū)?nèi)部網(wǎng)或子網(wǎng)管理發(fā)展。B 單向防火墻作為一種產(chǎn)品門類出現(xiàn)。C 利用防火墻建VPN成為主流。D 過濾深度向URL過濾、內(nèi)容過濾、病毒清除的方向發(fā)展。20.使用基于路由器的防火墻使用訪問控制表實(shí)現(xiàn)過濾，它的缺點(diǎn)有：ABCD A 路由器本身具有安全漏洞。B 分組過濾規(guī)則的設(shè)置和配置存在安全隱患。C 無法防范“假冒”的地址。D 對(duì)訪問行為實(shí)施靜態(tài)、固定的控制與路由器的動(dòng)態(tài)、靈活的路由矛盾。21．如果防火墻是正常負(fù)載且沒有明顯攻擊，而CPU的的利用率一直處于80%以上，需考慮升級(jí)防火墻或減輕它的流量負(fù)載，可以考慮的措施有（BCD）A.減少NAT數(shù)量B.用更高性能型號(hào)的防火墻來替換。C.實(shí)施防火墻負(fù)載均衡。D.修改配置，減少防火墻處理負(fù)載；除去任何非必要的執(zhí)行行為。22.IPSec安全聯(lián)盟SA由哪些參數(shù)唯一標(biāo)識(shí)（）ACD安全參數(shù)索引SPIIP本端地址IP目的地址安全協(xié)議號(hào)23.IPSec的兩種工作方式（）CDNAS-initiatedClient-initiatedtunneltransport24.AH是報(bào)文驗(yàn)證頭協(xié)議，主要提供以下功能（）BCD數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性數(shù)據(jù)來源認(rèn)證反重放25.VPN組網(wǎng)中常用的站點(diǎn)到站點(diǎn)接入方式是（）BCL2TPIPSECGRE+IPSECL2TP+IPSEC26.移動(dòng)用戶常用的VPN接入方式是（）ABDL2TPIPSEC+IKEGRE+IPSECL2TP+IPSEC27.IPSECVPN組網(wǎng)中網(wǎng)絡(luò)拓樸結(jié)構(gòu)可以為（）全網(wǎng)狀連接部分網(wǎng)狀連接星型連接樹型連接Answer:ABCD28.移動(dòng)辦公用戶自身的性質(zhì)決定其比固定用戶更容易遭受病毒或黑客的攻擊，因此部署移動(dòng)用戶IPSECVPN接入網(wǎng)絡(luò)的時(shí)候需要注意（）移動(dòng)用戶個(gè)人電腦必須完善自身的防護(hù)能力，需要安裝防病毒軟件，防火墻軟件等總部的VPN節(jié)點(diǎn)需要部署防火墻，確保內(nèi)部網(wǎng)絡(luò)的安全適當(dāng)情況下可以使用集成防火墻功能的VPN網(wǎng)關(guān)設(shè)備使用數(shù)字證書Answer:ABC29.關(guān)于安全聯(lián)盟SA，說法正確的是（）Answer:CDIKESA是單向的IPSECSA是雙向的IKESA是雙向的IPSECSA是單向的30.下面關(guān)于GRE協(xié)議描述正確的是（）GRE協(xié)議是二層VPN協(xié)議GRE是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP，IPX等）的數(shù)據(jù)報(bào)文進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)文能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如：IP）中傳輸GRE協(xié)議實(shí)際上是一種承載協(xié)議GRE提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制，使報(bào)文能夠在異種網(wǎng)絡(luò)中傳輸，異種報(bào)文傳輸?shù)耐ǖ婪Q為tunnelAnswer:BCD31.下面關(guān)于GRE協(xié)議和IPSec協(xié)議描述正確的是（）在GRE隧道上可以再建立IPSec隧道在GRE隧道上不可以再建立IPSec隧道在IPSec隧道上可以再建立GRE隧道在IPSec隧道上不可以再建立GRE隧道Answer:AC32.IPSec安全聯(lián)盟SA由哪些參數(shù)唯一標(biāo)識(shí)（）安全參數(shù)索引SPIIP本端地址IP目的地址安全協(xié)議號(hào)Answer:ACD33.IPSec可以提供哪些安全服務(wù)（）數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性數(shù)據(jù)來源認(rèn)證防重放攻擊Answer:ABCD34.IDS處理過程分為(ABCD)等四個(gè)階段。

A:數(shù)據(jù)采集階段B:數(shù)據(jù)處理及過濾階段C:入侵分析及檢測階段D:報(bào)告以及響應(yīng)階段

35.入侵檢測系統(tǒng)的主要功能有(ABCD)：

A:監(jiān)測并分析系統(tǒng)和用戶的活動(dòng)

B:核查系統(tǒng)配置和漏洞

C:評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。

D:識(shí)別已知和未知的攻擊行為

36.IDS產(chǎn)品性能指標(biāo)有(ABCD)：A:每秒數(shù)據(jù)流量B:每秒抓包數(shù)C:每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)D:每秒能夠處理的事件數(shù)37.入侵檢測產(chǎn)品所面臨的挑戰(zhàn)主要有(ABCD)：

A:黑客的入侵手段多樣化B:大量的誤報(bào)和漏報(bào)C:惡意信息采用加密的方法傳輸D:客觀的評(píng)估與測試信息的缺乏38.傳統(tǒng)上,公司的多個(gè)機(jī)構(gòu)之間進(jìn)行數(shù)據(jù)通信有眾多不同的方式,主要有（ABCD）

A．幀中繼線路

B.ATM線路

C.DDN線路

D.PSTN

39.

IPSec

可以使用兩種模式,分別是（AB）

A．Transport

mode

B.

Tunnel

mode

C.

Main

mode

D.

Aggressive

mode

24.在防火墻的“訪問控制”應(yīng)用中，內(nèi)網(wǎng)、外網(wǎng)、DMZ三者的訪問關(guān)系為：ABCDA.內(nèi)網(wǎng)可以訪問外網(wǎng)B.內(nèi)網(wǎng)可以訪問DMZ區(qū)C.DMZ區(qū)可以訪問內(nèi)網(wǎng)D.外網(wǎng)可以訪問DMZ區(qū)25.防火墻的包過濾功能會(huì)檢查如下信息：ABCDA.源IP地址B.目標(biāo)IP地址C.源端口D.目標(biāo)端口26.防火墻對(duì)于一個(gè)內(nèi)部網(wǎng)絡(luò)來說非常重要,它的功能包括：ABCDA.創(chuàng)建阻塞點(diǎn)B.記錄Internet活動(dòng)C.限制網(wǎng)絡(luò)暴露D.包過濾27.以下說法正確的有：PAGEPAGE19A.只有一塊網(wǎng)卡的防火墻設(shè)備稱之為單宿主堡壘主機(jī)B.雙宿主堡壘主機(jī)可以從物理上將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行隔離C.三宿主堡壘主機(jī)可以建立DMZ區(qū)D.單宿主堡壘主機(jī)可以配置為物理隔離內(nèi)網(wǎng)和外網(wǎng)35.配置訪問控制列表必須做的配置是（CD）

A、設(shè)定時(shí)間段B、指定日志主機(jī)

C、定義訪問控制列表D、在接口上應(yīng)用訪問控制列表

36、擴(kuò)展訪問列表可以使用哪些字段來定義數(shù)據(jù)包過濾規(guī)則?（ABCD）。

A、源IP地址B、目的IP地址

C、端口號(hào)D、協(xié)議類型

37、使用訪問控制列表可帶來的好處是（ABD）。

保證合法主機(jī)進(jìn)行訪問，拒絕某些不希望的訪問

通過配置訪問控制列表，可限制網(wǎng)絡(luò)流量，進(jìn)行通信流量過濾

實(shí)現(xiàn)企業(yè)私有網(wǎng)的用戶都可訪問Internet

管理員可根據(jù)網(wǎng)絡(luò)時(shí)間情況實(shí)現(xiàn)有差別的服務(wù)

7、使網(wǎng)絡(luò)服務(wù)器中充斥著大量要求回復(fù)的信息，消耗帶寬，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù)，這屬于什么攻擊？AA.拒絕服務(wù)B.文件共享C.BIND漏洞D.遠(yuǎn)程過程調(diào)用分布式網(wǎng)絡(luò)拒絕服務(wù)攻擊8、公司財(cái)務(wù)人員需要定期通過Email發(fā)送文件給他的主管,他希望只有主管能查閱該郵件,可以采取什么方法?AA.加密B.數(shù)字簽名C.消息摘要D.身份驗(yàn)證9、哪種密鑰體制加、解密的密鑰相同?AA.對(duì)稱加密技術(shù)B.非對(duì)稱加密技術(shù)C.HASH算法D.公共密鑰加密術(shù)10、隨著網(wǎng)絡(luò)中用戶數(shù)量的增長,Internet連接需求也不斷增加,在考慮改善網(wǎng)絡(luò)性能時(shí),以下哪個(gè)是應(yīng)該考慮的部分?BA．WINS服務(wù)器B.代理服務(wù)器C.DHCP服務(wù)器D.目錄服務(wù)器11、關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯(cuò)誤的是:DA.屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級(jí)網(wǎng)關(guān)也支持電路級(jí)網(wǎng)關(guān)C.內(nèi)部網(wǎng)對(duì)于Internet來說是不可見的D.內(nèi)部用戶可以不通過DMZ直接訪問Internet18、以下哪種技術(shù)不是實(shí)現(xiàn)防火墻的主流技術(shù)？DA.包過濾技術(shù);B.應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)C.代理服務(wù)器技術(shù)D.NAT技術(shù)19、在以下網(wǎng)絡(luò)威脅中，哪個(gè)不屬于信息泄露？選擇c數(shù)據(jù)竊聽流量分析拒絕服務(wù)攻擊偷竊用戶帳號(hào)21、在公鑰密碼體制中，用于加密的密鑰為：A.公鑰B.私鑰C.公鑰與私鑰D.公鑰或私鑰23、密碼技術(shù)中,識(shí)別個(gè)人、網(wǎng)絡(luò)上的機(jī)器或機(jī)構(gòu)的技術(shù)稱為：A.認(rèn)證B.數(shù)字簽名C.簽名識(shí)別D.解密27.關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯(cuò)誤的是:屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的屏蔽子網(wǎng)防火墻既支持應(yīng)用級(jí)網(wǎng)關(guān)也支持電路級(jí)網(wǎng)關(guān)內(nèi)部網(wǎng)對(duì)于Internet來說是不可見的內(nèi)部用戶可以不通過DMZ直接訪問Internet28公司的WEB服務(wù)器受到來自某個(gè)IP地址的黑客反復(fù)攻擊,你的主管要求你通過防火墻來阻止來自那個(gè)地址的所有連接,以保護(hù)WEB服務(wù)器,那么你應(yīng)該選擇哪一種防火墻?包過濾型應(yīng)用級(jí)網(wǎng)關(guān)型復(fù)合型防火墻代理服務(wù)型29.內(nèi)網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址需要對(duì)源地址進(jìn)行轉(zhuǎn)換，規(guī)則中的動(dòng)作應(yīng)選擇：A.AllowB.NATC.SATD.FwdFast30.防火墻的設(shè)計(jì)時(shí)要遵循簡單性原則,具體措施包括:選ABCA.在防火墻上禁止運(yùn)行其它應(yīng)用程序B.停用不需要的組件C.將流量限制在盡量少的點(diǎn)上D.安裝運(yùn)行WEB服務(wù)器程序31.標(biāo)準(zhǔn)訪問控制列表以（B）作為判別條件。

A、數(shù)據(jù)包的大小B、數(shù)據(jù)包的源地址

C、數(shù)據(jù)包的端口號(hào)D、數(shù)據(jù)包的目的地址

32.IP擴(kuò)展訪問列表的數(shù)字標(biāo)示范圍是多少?（C）。

A、0-99B、1-99C、100-199D、101-200

33.訪問控制列表（ACL）分為標(biāo)準(zhǔn)和擴(kuò)展兩種。下面關(guān)于ACL的描述中，錯(cuò)誤的

是(C)。

標(biāo)準(zhǔn)ACL可以根據(jù)分組中的IP源地址進(jìn)行過濾

擴(kuò)展ACL可以根據(jù)分組中的IP目標(biāo)地址進(jìn)行過濾

標(biāo)準(zhǔn)ACL可以根據(jù)分組中的IP目標(biāo)地址進(jìn)行過濾

擴(kuò)展ACL可以根據(jù)不同的上層協(xié)議信息進(jìn)行過濾

34.通配符掩碼和子網(wǎng)掩碼之間的關(guān)系是（B）。

兩者沒有什么區(qū)別

通配符掩碼和子網(wǎng)掩碼恰好相反

一個(gè)是十進(jìn)制的，另一個(gè)是十六進(jìn)制的

兩者都是自動(dòng)生成的

防火墻要實(shí)現(xiàn)的四類控制功能是什么？方向控制、服務(wù)控制、行為控制、用戶控制防火墻的理論特性有哪些？創(chuàng)建阻塞點(diǎn)、強(qiáng)化網(wǎng)絡(luò)安全策略，提供集成功能、實(shí)現(xiàn)網(wǎng)絡(luò)隔離、記錄和審計(jì)內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的活動(dòng)、自身具有非常墻的抵御攻擊的能力防火墻的實(shí)際功能有哪些？（至少五項(xiàng)）包過濾、代理、網(wǎng)絡(luò)地址轉(zhuǎn)換、虛擬專用網(wǎng)絡(luò)、用戶身份認(rèn)證、記錄報(bào)警分析與審計(jì)、管理功能、其他功能。簡要說明防火墻的規(guī)則特點(diǎn)。規(guī)則是保護(hù)內(nèi)部信息資源的策略的實(shí)現(xiàn)和延伸；規(guī)則必須與訪問活動(dòng)緊密相關(guān)；規(guī)則必須穩(wěn)妥可靠切合實(shí)際在安全和利用資源之間取得較為平衡的政策；可以實(shí)施各種不同的服務(wù)訪問策略。簡要說明防火墻的設(shè)計(jì)原則。拒絕訪問一切未予特學(xué)的服務(wù)；允許一切未被特別拒絕的服務(wù)防火墻采用的主要技術(shù)有哪些？包過濾型防火墻；代理型防火墻簡要說明包過濾型防火墻優(yōu)缺點(diǎn)。優(yōu)點(diǎn)：工作在傳輸層下，對(duì)數(shù)據(jù)包本身包頭字段進(jìn)行過濾，性價(jià)比很高；缺點(diǎn)：過濾判斷條件有限，安全性不高；過濾規(guī)則數(shù)目的增加會(huì)影響防火墻的性能；很難對(duì)用戶身份進(jìn)行驗(yàn)證；對(duì)安全管理人員的素質(zhì)要求高。簡要說明代理型防火墻優(yōu)缺點(diǎn)。優(yōu)點(diǎn)：工作在應(yīng)用層，可以以進(jìn)行深層的內(nèi)容進(jìn)行控制；阻斷了內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的鏈接，實(shí)現(xiàn)了內(nèi)外網(wǎng)的相互屏蔽，避免了數(shù)據(jù)驅(qū)動(dòng)類型的攻擊。缺點(diǎn)：代理型防火墻速度相對(duì)較慢，當(dāng)網(wǎng)關(guān)吞吐量較大時(shí)，防火墻就會(huì)成為瓶頸。簡要說明包過濾型防火墻和代理型防火墻的區(qū)別。包過濾防火墻工作在網(wǎng)絡(luò)協(xié)議IP層，它只對(duì)IP包的源地址、目標(biāo)地址及相應(yīng)端口進(jìn)行處理，因此速度比較快，能夠處理的并發(fā)連接比較多，缺點(diǎn)是對(duì)應(yīng)用層的攻擊無能為力。代理服務(wù)器防火墻將收到的IP包還原成高層協(xié)議的通訊數(shù)據(jù)，比如http連接信息，因此能夠?qū)诟邔訁f(xié)議的攻擊進(jìn)行攔截。缺點(diǎn)是處理速度比較慢，能夠處理的并發(fā)數(shù)比較少。簡要說明多重宿主主機(jī)。多重宿主主機(jī)實(shí)際上是安放在內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的接上的一臺(tái)堡壘主機(jī)它要提供最少兩個(gè)網(wǎng)絡(luò)接:個(gè)與內(nèi)聯(lián)網(wǎng)絡(luò)相連，另一個(gè)與外聯(lián)網(wǎng)絡(luò)相連。內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間的通信可通過多重宿主主機(jī):的應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完成說明屏蔽主機(jī)和屏蔽子網(wǎng)的區(qū)別和聯(lián)系。屏蔽主機(jī)由包過濾器和堡壘主機(jī)組成。1、堡壘主機(jī)在網(wǎng)絡(luò)內(nèi)部，通過防火墻的過濾使得這個(gè)主機(jī)是唯一可從外部到達(dá)的主機(jī)。2、實(shí)現(xiàn)了應(yīng)用層和網(wǎng)絡(luò)層的安全，比單獨(dú)的包過濾或應(yīng)用網(wǎng)關(guān)代理更安全。3、過濾路由器是否配置正確是這種防火墻安全的關(guān)鍵。屏蔽子網(wǎng)模式采用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)個(gè)網(wǎng)絡(luò)之間建立了被隔離的子網(wǎng)，稱作周邊網(wǎng)。將堡壘主機(jī)、WEB服務(wù)器、E-MAIL服務(wù)器放在被屏蔽的子網(wǎng)內(nèi)，外部、內(nèi)部都可以訪問。但禁止他們通過屏蔽子網(wǎng)通信。如果堡壘主機(jī)被控制，內(nèi)部網(wǎng)絡(luò)仍然受內(nèi)部包過濾路由器保護(hù)。這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。防火墻的好處有哪些？1.防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)“檢查點(diǎn)”來防止非法用戶進(jìn)人內(nèi)聯(lián)網(wǎng)絡(luò)，并抵抗·各種攻擊。網(wǎng)絡(luò)的安全性在防火墻上得到加固，而不是增加受保護(hù)網(wǎng)絡(luò)內(nèi)部主機(jī)的負(fù)擔(dān);

2.防火墻通過過濾存在安全缺陷的網(wǎng)絡(luò)服務(wù)來降低受保護(hù)網(wǎng)絡(luò)遭受攻擊的威脅。只有經(jīng)過選擇的網(wǎng)絡(luò)服務(wù)才能通過防火墻，脆弱的服務(wù)只能在系統(tǒng)整體安全策略的控制下，在受保護(hù)網(wǎng)絡(luò)的內(nèi)部實(shí)現(xiàn);

3.防火墻可以增強(qiáng)受保護(hù)節(jié)點(diǎn)的保密性，強(qiáng)化私有權(quán).防火墻可以阻斷某些提供主機(jī)信息的服務(wù)。如Finger和DNS等，使得外部主機(jī)無法獲取這些有利于攻擊的信息;

4.防火墻有能力較梢確地控制對(duì)內(nèi)部子系統(tǒng)的訪問。防火墻可以設(shè)置成允許外聯(lián)網(wǎng)絡(luò)訪問內(nèi)聯(lián)網(wǎng)絡(luò)的某些子系統(tǒng).而不允許訪間其他的子系統(tǒng)。這有效地增加了內(nèi)聯(lián)網(wǎng)絡(luò)不同子系統(tǒng)的封閉性，使得系統(tǒng)核體安全策略的實(shí)施更加細(xì)致、深人;

5.防火墻境系統(tǒng)具有集中安全性。若受保護(hù)網(wǎng)絡(luò)的所有或者大部分安全程序集中地放置在防火墻上，而非分散到受保護(hù)網(wǎng)絡(luò)中的各臺(tái)主機(jī)上，則安全監(jiān)控的范圍會(huì)更集中，監(jiān)控行為更易于實(shí)現(xiàn)，安全成本也會(huì)更便宜;

6.在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的通信流，并產(chǎn)生告警信息。正如前面所描述的.網(wǎng)絡(luò)面臨的問題不是是否會(huì)受到攻擊，而是什么時(shí)候受到攻擊，因此對(duì)通信流的監(jiān)控是一項(xiàng)需要持之以恒的、耐心的工作;

7.安全審計(jì)和管理是網(wǎng)絡(luò)安全研究的重要課題，而防火墻恰恰是審計(jì)和記錄網(wǎng)絡(luò)行為最佳的地方。由于所有的網(wǎng)絡(luò)訪問流都要經(jīng)過防火墻，所以網(wǎng)絡(luò)管理員可以在防火墻上記錄、分析網(wǎng)絡(luò)行為，并以此檢驗(yàn)安全策略的執(zhí)行情況或者改進(jìn)安全策略，

8.防火墻不但是網(wǎng)絡(luò)安全的檢查點(diǎn)，它還可以作為向用戶發(fā)布信息的地點(diǎn).即防火墻系統(tǒng)可以包括www服務(wù)器和FTP服務(wù)器等設(shè)備，并且允許外部主機(jī)進(jìn)行訪問。

9.最根本的是，防火墻為系統(tǒng)整體安全策略的執(zhí)行提供了重要的實(shí)施平臺(tái)。如果沒有防火墻，那么系統(tǒng)整體安全策略的實(shí)施多半靠的是用戶的自覺性和內(nèi)聯(lián)網(wǎng)絡(luò)中各臺(tái)主機(jī)的安全性。防火墻的不足之處有哪些？限制網(wǎng)絡(luò)服務(wù)；對(duì)內(nèi)部用戶防范不足；不能防范旁路連接；不適合進(jìn)行病毒檢測；無法防范數(shù)據(jù)驅(qū)動(dòng)型攻擊；無法防范所有威脅；配置問題；無法防范內(nèi)部人員泄密；速度問題；單失效點(diǎn)問題解釋說明傳統(tǒng)防火墻單失效點(diǎn)問題。傳統(tǒng)防火墻至于內(nèi)外網(wǎng)相連接的關(guān)鍵點(diǎn)處，會(huì)成為系統(tǒng)網(wǎng)絡(luò)訪問的瓶頸，一旦失效，內(nèi)外網(wǎng)的連接將斷開。包過濾技術(shù)防火墻過濾規(guī)則要檢測哪些主要字段信息？源地址；源端口號(hào)；目的地址；目的端口號(hào)；協(xié)議標(biāo)志；過濾方式等簡要說明什么是防火墻安全過濾規(guī)則？過濾路由器的核心是過濾規(guī)則，過濾路由器位于內(nèi)外網(wǎng)的邊界上，控制著內(nèi)聯(lián)網(wǎng)絡(luò)的所有數(shù)據(jù)包，網(wǎng)絡(luò)訪問策略是一個(gè)有序的規(guī)則的形式存儲(chǔ)在過濾路由器里，每一條規(guī)則定義了針對(duì)某個(gè)特定類型數(shù)據(jù)包的動(dòng)作，針對(duì)數(shù)據(jù)包的包頭字段，“拒絕一切未特許的，允許一切未拒絕的”典型策略。簡要說明包過濾技術(shù)的優(yōu)點(diǎn)。簡單快速；對(duì)用戶是透明的；檢查規(guī)則簡單效率高等；簡要說明包過濾技術(shù)的缺點(diǎn)。過濾技術(shù)思想簡單，對(duì)信息處理能力有限，規(guī)則增多是規(guī)則的維護(hù)困難；控制層次較低，不能實(shí)現(xiàn)用戶級(jí)的控制，不能對(duì)合法用戶身份鑒別及冒用IP地址的鑒別。請(qǐng)簡要說明狀態(tài)檢測技術(shù)的基本原理。狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。這里動(dòng)態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。簡要說明什么是深度狀態(tài)檢測。深度檢測防火墻，將狀態(tài)檢測和應(yīng)用防火墻技術(shù)結(jié)合在一起，以處理應(yīng)用程序的流量，防范目標(biāo)系統(tǒng)免受各種復(fù)雜的攻擊。結(jié)合了狀態(tài)檢測的所有功能，深度檢測防火墻能夠?qū)?shù)據(jù)流量迅速完成網(wǎng)絡(luò)層級(jí)別的分析，并做出訪問控制決；對(duì)于允許的數(shù)據(jù)流，根據(jù)應(yīng)用層級(jí)別的信息，對(duì)負(fù)載做出進(jìn)一步的決策。深度檢測防火墻深入分析了TCP或UDP數(shù)據(jù)包的內(nèi)容，以便對(duì)負(fù)載有個(gè)總的認(rèn)識(shí)。狀態(tài)檢測防火墻是目前使用最廣泛的防火墻，用來防護(hù)黑客攻擊。但是，隨著專門針對(duì)應(yīng)用層的Web攻擊現(xiàn)象的增多，在攻擊防護(hù)中，狀態(tài)檢測防火墻的有效性越來越低。簡要說明狀態(tài)檢測技術(shù)的優(yōu)點(diǎn)。安全性比靜態(tài)包過濾高，可以阻斷更多的復(fù)雜攻擊行為可以通過分析打開相應(yīng)的端口而不是一刀切；提升了防火墻的性能，后續(xù)數(shù)據(jù)包不需要檢測，只需要快速通過。簡要說明狀態(tài)檢測技術(shù)的缺點(diǎn)。工作在網(wǎng)絡(luò)層和傳輸層，對(duì)報(bào)文的數(shù)據(jù)部分檢查很少，安全性還不夠高；檢測內(nèi)容多，對(duì)防火墻的性能提出來更高的要求。請(qǐng)簡要比較代理技術(shù)和包過濾技術(shù)的安全性。代理技術(shù)提供了與應(yīng)用相關(guān)的所有信息，并且能夠提供安全日志所需的最詳細(xì)的管理和控制數(shù)據(jù)，安全級(jí)別更高。代理服務(wù)器不只檢測數(shù)據(jù)包頭部的各個(gè)字段，還能深入到包的內(nèi)部，理解數(shù)據(jù)包載荷部分內(nèi)容的含義，還可以為安全監(jiān)測和日志記錄提供最為詳細(xì)的信息。對(duì)于外網(wǎng)來說只能看到代理服務(wù)器，而不能見到內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)聯(lián)網(wǎng)網(wǎng)絡(luò)隔離，使得內(nèi)外網(wǎng)無法直接通信降低了受到直接攻擊的風(fēng)險(xiǎn)，隱藏了內(nèi)部網(wǎng)咯的結(jié)構(gòu)和用戶，經(jīng)一部降低了用戶網(wǎng)絡(luò)遭受探測的風(fēng)險(xiǎn)。代理服務(wù)氣損壞的話只能是內(nèi)外網(wǎng)的連接中斷，但是無法出現(xiàn)攻擊和信息泄露的現(xiàn)象，代理技術(shù)比包過濾技術(shù)安全。簡述代理技術(shù)的具體作用。（至少5項(xiàng)）隱藏內(nèi)部主機(jī)；過濾內(nèi)容；提高系統(tǒng)性能；保障安全；阻斷URL；保護(hù)電子郵件；身份認(rèn)證；信息重定向。防火墻代理技術(shù)的優(yōu)點(diǎn)有哪些？提供了高速緩存，提高了網(wǎng)絡(luò)性能；屏蔽了內(nèi)聯(lián)網(wǎng)絡(luò)，組織了內(nèi)網(wǎng)探測活動(dòng)；禁止了直接連接，減少了直接攻擊的風(fēng)險(xiǎn)；應(yīng)用層上過濾，實(shí)現(xiàn)有效過濾；提供了用戶身份認(rèn)證手段，加強(qiáng)了安全性；連接基于服務(wù)而不是物理連接，不易受Ip地址欺騙攻擊；應(yīng)用層工作，提供了詳細(xì)的日志和分析功能；過濾規(guī)則比包過濾防火墻規(guī)則簡單。防火墻代理技術(shù)的缺點(diǎn)有哪些？代理程序?qū)Ｓ?，不適應(yīng)網(wǎng)絡(luò)服務(wù)和協(xié)議的不斷發(fā)展；數(shù)據(jù)量大的情況下會(huì)增加訪問延遲，影響系統(tǒng)性能；不能實(shí)現(xiàn)用戶的透明訪問；不支持所有的協(xié)議；對(duì)操作系統(tǒng)有明顯的依賴；代理技術(shù)的執(zhí)行速度慢。請(qǐng)說明過濾路由器的優(yōu)點(diǎn)。快速；性能耗費(fèi)比高；透明；實(shí)現(xiàn)容易。請(qǐng)說明過濾路由器的缺點(diǎn)。配置復(fù)雜維護(hù)困難；數(shù)據(jù)包本身檢測，智能檢測部分攻擊行為；無法防范數(shù)據(jù)驅(qū)動(dòng)型攻擊；只能對(duì)數(shù)據(jù)包的各字段進(jìn)行檢查，無法確定數(shù)據(jù)包的發(fā)送者的真實(shí)性。一般來說，一條過濾規(guī)則包括那些字段？源地址；源端口號(hào)；目的地址；目的端口號(hào)；協(xié)議標(biāo)志；過濾方式等說明堡壘主機(jī)的設(shè)計(jì)原則并簡要解釋。（論述題）最小服務(wù)原則；預(yù)防原則；主要類型；系統(tǒng)需求；部署位置說明雙宿主主機(jī)的優(yōu)點(diǎn)有哪些？作為內(nèi)外網(wǎng)的唯一接口，易于實(shí)現(xiàn)網(wǎng)絡(luò)安全策略；使用堡壘主機(jī)實(shí)現(xiàn)，成本較低。說明雙宿主主機(jī)的缺點(diǎn)有哪些？用戶賬戶的存在提供一種入侵途徑，比沒有用戶賬戶的安全性要低；存在賬戶數(shù)據(jù)庫記錄增多，管理和維護(hù)非常復(fù)雜，容易出錯(cuò)；賬戶信息的頻繁存取耗費(fèi)大量資源，降低堡壘主機(jī)本身的穩(wěn)定性。出現(xiàn)速度地下甚至崩潰現(xiàn)象；允許用戶登錄，對(duì)主機(jī)安全性是一個(gè)威脅，很難進(jìn)行有效監(jiān)控和記錄。說明雙宿主網(wǎng)關(guān)的優(yōu)點(diǎn)有哪些？無需管理和維護(hù)賬戶數(shù)據(jù)庫，降低了入侵攻擊風(fēng)險(xiǎn)；具有良好的可擴(kuò)展性；屏蔽了內(nèi)聯(lián)網(wǎng)絡(luò)主機(jī)組織了信息泄露現(xiàn)象的發(fā)生。說明雙宿主網(wǎng)關(guān)的缺點(diǎn)有哪些？主機(jī)本身成為安全焦點(diǎn)，安全配置重要而復(fù)雜；代理服務(wù)組件增多會(huì)影響系統(tǒng)整體性能瓶頸；單臺(tái)主機(jī)會(huì)帶來單失效點(diǎn)的問題；靈活性差如果沒有某項(xiàng)代理組建，用戶無法使用該服務(wù)。簡要說明屏蔽主機(jī)的工作原理。SHF（ScreenedHostFirewall）屏蔽主機(jī)防火墻采用一個(gè)包濾路由器與外部網(wǎng)連接，用一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，起著代理服務(wù)器的作用，是外部網(wǎng)絡(luò)所能到達(dá)的惟一節(jié)點(diǎn)，以此來確保內(nèi)部網(wǎng)絡(luò)不受外部未授權(quán)用戶的攻擊，達(dá)到內(nèi)部網(wǎng)絡(luò)安全保密的目的。在屏蔽主機(jī)防火墻的網(wǎng)絡(luò)安全方案中，一個(gè)數(shù)據(jù)包過濾路由器與因特網(wǎng)相連，同時(shí)，一個(gè)雙端主機(jī)（DualHomedHost,DHH）安裝在內(nèi)部網(wǎng)絡(luò)中。通常情況下，在網(wǎng)絡(luò)路由器上設(shè)立過濾原則，使這個(gè)雙端主機(jī)成為在因特網(wǎng)上所有其他節(jié)點(diǎn)所能到達(dá)的惟一節(jié)點(diǎn)。這樣就確保了內(nèi)部網(wǎng)絡(luò)不能受到任何未被授權(quán)的外部用戶的攻擊。請(qǐng)解釋屏蔽主機(jī)的優(yōu)點(diǎn)。①屏蔽主機(jī)是一種結(jié)合了包過濾和代理兩張不同機(jī)制的防火墻，它能夠提供比單純的過濾路由器和多重宿主主機(jī)更高的安全性。任何攻擊者都需要攻破包過濾和代理兩道防線才能進(jìn)入到內(nèi)聯(lián)網(wǎng)絡(luò)，增加了攻擊者的難度。②屏蔽主機(jī)支持多種功能的網(wǎng)絡(luò)服務(wù)的深層過濾，并具有相當(dāng)?shù)目蓴U(kuò)展性。由于堡壘主機(jī)的采用代理防火墻技術(shù)，所以服務(wù)器只需要添加代理服務(wù)器組件即可。③屏蔽主機(jī)系統(tǒng)本身是可靠地、穩(wěn)固的。不同于多重宿主主機(jī)，直接面對(duì)對(duì)外網(wǎng)絡(luò)的并不是堡壘主機(jī)而是路由器。所以簡單配置的路由器要比保護(hù)一臺(tái)主機(jī)要容易得多。請(qǐng)解釋屏蔽主機(jī)的缺點(diǎn)。主要缺點(diǎn)是堡壘主機(jī)和內(nèi)聯(lián)網(wǎng)絡(luò)主機(jī)放置在一起，他們之間沒有一道安全隔離屏障。如果堡壘主機(jī)北宮皮，那么內(nèi)聯(lián)網(wǎng)絡(luò)將全部暴露在攻擊者面前。此外雖然過濾路由器的安全性比多重宿主主機(jī)要高，但是只進(jìn)行簡單的包過濾規(guī)則，因此入侵者有多種手段對(duì)過濾路由器進(jìn)行破壞。一旦路由表被修改，則堡壘主機(jī)被旁路，堡壘主機(jī)的大理服務(wù)器就沒有用了，所有內(nèi)聯(lián)網(wǎng)絡(luò)向外聯(lián)網(wǎng)絡(luò)發(fā)出的請(qǐng)求都會(huì)通過被破壞的過濾路由器直接發(fā)到外聯(lián)網(wǎng)絡(luò)，內(nèi)聯(lián)網(wǎng)絡(luò)就沒有秘密可言了，內(nèi)聯(lián)網(wǎng)絡(luò)的安全性都維系在一張相對(duì)脆弱的路由表上，這是一個(gè)比較嚴(yán)重的問題。請(qǐng)畫出雙宿主主機(jī)防火墻的結(jié)構(gòu)示意圖。請(qǐng)畫出堡壘主機(jī)防火墻的結(jié)構(gòu)示意圖。請(qǐng)畫出雙宿主網(wǎng)關(guān)防火墻的結(jié)構(gòu)示意圖。請(qǐng)畫出屏蔽主機(jī)防火墻的結(jié)構(gòu)示意圖。請(qǐng)畫出屏蔽子網(wǎng)防火墻的結(jié)構(gòu)示意圖。請(qǐng)畫出三叉非軍事區(qū)防火墻的結(jié)構(gòu)示意圖。說明屏蔽子網(wǎng)的優(yōu)點(diǎn)。內(nèi)聯(lián)網(wǎng)絡(luò)實(shí)現(xiàn)了與外聯(lián)網(wǎng)絡(luò)的隔離，內(nèi)部結(jié)構(gòu)無法探測，外聯(lián)網(wǎng)絡(luò)只能知道外部路由器和費(fèi)軍事區(qū)的尋在，而不知道內(nèi)部路由器的存在，也就無法探測內(nèi)部路由器后面的內(nèi)聯(lián)網(wǎng)絡(luò)了，只一點(diǎn)對(duì)于防止入侵者知道內(nèi)聯(lián)網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和主機(jī)地址分配及活動(dòng)情況尤為重要。內(nèi)聯(lián)網(wǎng)絡(luò)安全防護(hù)嚴(yán)密。入侵者必須攻破外部路由器、堡壘主機(jī)和內(nèi)部路由器之后才能進(jìn)入內(nèi)聯(lián)網(wǎng)絡(luò)。由于使用了內(nèi)部路由器和外部路由器所以降低了堡壘主機(jī)處理的負(fù)載量，減輕了堡壘主機(jī)的壓力，增強(qiáng)了堡壘主機(jī)的可靠性和安全性。非軍事區(qū)的劃分將姜用戶網(wǎng)絡(luò)的信息流量明確分為不同的等級(jí)，通過內(nèi)部路由器的隔離作用，機(jī)密信息收到了嚴(yán)密的保護(hù)，減少了信息泄露現(xiàn)象的發(fā)生。防火墻的主要性能指標(biāo)有哪些。可靠性可用性可擴(kuò)展性可審計(jì)性可管理性成本耗費(fèi)請(qǐng)簡要說明選擇防火墻主要考慮哪些具體評(píng)估參數(shù)。（至少5個(gè)）吞吐量時(shí)延丟包率并發(fā)連接數(shù)工作模式配置與管理接口數(shù)量和類型日志和審計(jì)參數(shù)可用性參數(shù)其他參數(shù)（內(nèi)容過濾、入侵檢測、用戶認(rèn)證、VPN加密等）請(qǐng)說出防火墻的知名廠商有那幾個(gè)？（至少5個(gè)）Juniper/NetscreenCiscoFortinetWatchGuard安氏天融信東軟結(jié)合現(xiàn)實(shí)談?wù)劮阑饓夹g(shù)的主要發(fā)展趨勢。分布式執(zhí)行和集中式管理深度過濾建立以防火墻為核心的綜合安全體系防火墻本身的多功能化，變被動(dòng)防御為主動(dòng)防御強(qiáng)大的審計(jì)與自動(dòng)日志分析功能。硬件化專用化請(qǐng)說明深度過濾技術(shù)的基本特征。正?；㈦p向負(fù)載檢測、應(yīng)用層加密解密、協(xié)議一致性結(jié)合現(xiàn)實(shí)請(qǐng)談?wù)動(dòng)?jì)算機(jī)系統(tǒng)面臨的威脅。拒絕服務(wù)（服務(wù)請(qǐng)求超載、SYN洪水、報(bào)文超載）欺騙（IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙）監(jiān)聽密碼破解木馬緩沖區(qū)溢出ICMP秘密通道TCP會(huì)話劫持拒絕服務(wù)攻擊有哪些方法？服務(wù)請(qǐng)求超載、SYN洪水、報(bào)文超載欺騙攻擊主要有哪些方法？IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙結(jié)合實(shí)際談?wù)勅肭中袨榈囊话氵^程。確定攻擊目標(biāo)實(shí)施攻擊攻擊后處理請(qǐng)畫出入侵檢測P2DR模型，并解釋各部分的含義。入侵檢測的主要作用有哪些？（至少5個(gè)）識(shí)別并阻斷系統(tǒng)活動(dòng)中存在的一直攻擊行為，放置入侵檢測行為對(duì)受保護(hù)系統(tǒng)造成損害識(shí)別并判斷系統(tǒng)用戶的非法操作行為或者越權(quán)行為，防止放置用戶對(duì)保護(hù)系統(tǒng)有意無意的破壞。檢查受保護(hù)系統(tǒng)的重要組成部分以及各種數(shù)據(jù)文件的完整性。審計(jì)并彌補(bǔ)系統(tǒng)中存在的弱點(diǎn)和漏洞，其中那個(gè)最重要的一點(diǎn)事審計(jì)并糾正錯(cuò)誤的系統(tǒng)配置信息。記錄并分析用戶和系統(tǒng)的行為，描述這些行為變化的正常區(qū)域，進(jìn)而識(shí)別異常的活動(dòng)。通過蜜罐等技術(shù)記錄入侵者的信息，分析入侵者的目的和行為特征，優(yōu)化系統(tǒng)安全策略。加強(qiáng)組織和機(jī)構(gòu)對(duì)系統(tǒng)和用戶的監(jiān)督和控制能力，提高管理水平和管理質(zhì)量。簡要說明基于主機(jī)的入侵檢測的優(yōu)點(diǎn)有哪些？能夠檢測所有的系統(tǒng)行為，可以精確監(jiān)控針對(duì)主機(jī)的攻擊過程不需要額外的硬件來支持能夠適合加密的環(huán)境網(wǎng)絡(luò)無關(guān)性簡要說明基于主機(jī)的入侵檢測的缺點(diǎn)有哪些？不具有平臺(tái)無關(guān)性，可移植性差檢測手段較多時(shí)會(huì)影響安裝主機(jī)的性能維護(hù)和管理工作復(fù)雜無法判斷網(wǎng)絡(luò)的入侵行為簡要說明基于網(wǎng)絡(luò)的入侵檢測的優(yōu)點(diǎn)有哪些？具有系統(tǒng)平臺(tái)無關(guān)性不影響受保護(hù)主機(jī)的性能對(duì)攻擊者來說是透明的能夠進(jìn)行較大范圍內(nèi)的網(wǎng)絡(luò)安全保護(hù)監(jiān)測數(shù)據(jù)具有很高的真實(shí)性可檢測基于底層協(xié)議的攻擊行為簡要說明基于網(wǎng)絡(luò)的入侵檢測的缺點(diǎn)有哪些？不在通信的端點(diǎn)，無法像進(jìn)行網(wǎng)絡(luò)通訊的主機(jī)那樣處理全部網(wǎng)絡(luò)協(xié)議層次的數(shù)據(jù)對(duì)于現(xiàn)在越來越流行的加密傳輸很難進(jìn)行處理對(duì)于交換網(wǎng)絡(luò)的支持不足面臨處理能力的問題容易受到拒絕服務(wù)攻擊很難進(jìn)行復(fù)雜攻擊的檢測簡要說明蜜罐技術(shù)原理。蜜罐實(shí)際是一種犧牲系統(tǒng)，不包含任何可以利用的有價(jià)值的資源。存在的唯一目的就是將攻擊的目標(biāo)轉(zhuǎn)移到蜜罐系統(tǒng)上，誘騙、手機(jī)、分析攻擊的信息確定攻擊行為和入侵者的動(dòng)機(jī)。，設(shè)置蜜罐存在安全風(fēng)險(xiǎn)，容易被入侵者控制作為攻擊內(nèi)聯(lián)網(wǎng)絡(luò)的跳板。說明什么是異常入侵檢測。異常入侵檢測是根據(jù)系統(tǒng)和用戶的非正常行為或者對(duì)于計(jì)算機(jī)資源的非正常使用檢測出入侵行為的檢測技術(shù)，異常檢測基礎(chǔ)是建立在系統(tǒng)正?；顒?dòng)或用戶正常行為模式的描述模型。將用戶的當(dāng)前行為模式和系統(tǒng)的當(dāng)前狀態(tài)與該正常模式進(jìn)行比較，如果當(dāng)前值超出了預(yù)設(shè)的閾值，則認(rèn)為存在攻擊行為。，對(duì)未知的攻擊的檢測，精確度依賴于正常模型的精確程度。說明什么是濫用入侵檢測。濫用入侵檢測通過對(duì)現(xiàn)有的各種攻擊手段進(jìn)行分析，找到能夠代表該攻擊的行為的特征集合。對(duì)當(dāng)前數(shù)據(jù)的處理就是與這些特征集合進(jìn)行匹配，如果成功匹配則說明發(fā)生了依次確定的攻擊。濫用入侵檢測可以實(shí)現(xiàn)的基礎(chǔ)是現(xiàn)有已知攻擊手段，都能夠根據(jù)近攻擊條件、動(dòng)作排列及相應(yīng)事件之間的關(guān)系變化進(jìn)行明確描述，即攻擊行為的特征能夠被提取。每種攻擊行為都有明確的特征描述，所以濫用檢測的準(zhǔn)確度很高。但是，濫用檢測系統(tǒng)依賴性較強(qiáng)，平臺(tái)無關(guān)性較差，難于移植。而且對(duì)已多種已知攻擊模式特征的提取和維護(hù)工作量非常大，此外濫用檢測只能根據(jù)已有的數(shù)據(jù)