《防火墙技术》课程期末考试复习题-理论部分.docx

1、《防火墙技术》课程期末考试复习题-理论部分 1、防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通知信息源该信息被禁止的处理方式是（）。 A Refuse B Reject（正确答案） C Accept D Drop 2、下列关于防火墙功能的说法最准确的是：（） A、内容控制 B、访问控制（正确答案） C、查杀病毒 D、数据加密 3、在IPSec中，使用IKE建立通道时，使用的端号是（） A、TCP 50 B、UDP 50 C、TCP 5 D、UDP 5 （正确答案）

2、 4、对于防火墙域间安全策略，下面描述正确的是（） A、域间outbound方向安全策略可以全部放开 B、防火墙域间可以配置缺省包过滤，即允许所有的流量通过 C、域间inbound方向安全策略可以全部放开 D、禁止使用缺省包过滤，域间要配置严格的包过滤策略;若要使用缺省包过滤，需得到客户书面授权。（正确答案） 5、最简单的防火墙结构是（） A、包过滤器 B、路由器（正确答案） C、日志工具 D、代理服务器 6、网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的（）属性 A、不可否认性 B、可用性 C、保密性 D、完整性（正确答案）

3、 7、IPSec协议中涉及到密钥管理的重要协议是（） A、ESP B、IKE（正确答案） C、AH D、SSL 8、以下关于VPN说法正确的是（） A、指的是用户通过公用网络建立的临时的、安全的连接（正确答案） B、指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路 C、不能做到信息验证和身份认证 D、只能提供身份认证、不能提供加密数据的功能 9、PKI所管理的基本元素是（） A、密钥 B、数字签名 C、用户身份 D、数字证书（正确答案） 10、在企业内部网与外部网之间，用来检查网络请求分组是否合法，保护网络资源不被非法使用的技术是（）。 A、差错控

4、制技术 B、防病毒技术 C、流量控制技术 D、防火墙技术（正确答案） 11、包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。它不能进行如下哪一种操作（） A、允许所有用户使用HTTP浏览INTERNET。 B、除了管理员可以从外部网络Telnet内部网络外，其他用户都不可以。（正确答案） C、禁止外部网络用户使用FTP。 D、只允许某台计算机通过NNTP发布新闻。 12、防火墙提供的接入模式不包括（） A、网关模式 B、旁路接入模式（正确答案） C、混合模式 D、透明模式 13、防火墙对要保护的服务器作端映射的好处是：（） A、隐藏

5、服务器的网络结构，使服务器更加安全（正确答案） B、提高服务器的利用率 C、提高防火墙的性能 D、便于管理 14、对状态检查技术的优缺点描述有误的是：（） A、配置复杂会降低网络的速度。 B、支持多种协议和应用。 C、采用检测模块监测状态信息。 D、不支持监测RPC和UDP的端信息。（正确答案） 15、VPN技术无法实现以下哪个服务？（） A、身份验证 B、完整性校验 C、可用性校验（正确答案） D、传输加密 16、IPSec协议中的AH协议不能提供下列哪一项服务？（） A、机密性（正确答案） B、数据源认证 C、数据包重放 D、访问控制 17、目前在防火

6、墙上提供了几种认证方法，其中防火墙设定可以访问内部网络资源的用户访问权限是：（） 入、会话认证 B、其余都不是 C、用户认证（正确答案） D、客户认证 18、IPSec属于（）的安全解决方案。 A、应用层 B、网络层（正确答案） C、物理层 D、传输层 19、某局点部署了两台防火墙A/B，但是由于工程师的疏忽没有部署双机热备。但现网中存在流量来回路径不一致情况（即从A墙出去的流量会从8墙回 来），在这种场景下TCP业务就会中断。请问此时为了紧急恢复业务，需要怎么做?假设域间包过滤配置没有问题（） 入、两台防火墙上行接配置hrp track B、没有办法解决，只能部署双

7、机热备 。、两台防火墙配置 undo firewall session link-state check（正确答案） 。、两台防火墙配置hrp enable 20、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是（）。 A、杀毒软件 B、IDS C、防火墙（正确答案） D、路由器 21、OSI模型中，LLC头数据封装在数据包的过程是在（） A、传输层 B、网络层 C、数据链路层（正确答案） D、物理层 22、VPN它有两层含义:首先是“虚拟的”，即用户实际上并不存在一个独立专用的网络，既不需要建设或租用专线，也不需要装备专用的设备，而是将其建立在分布广

8、泛的公共网络上，就能组成一个属于自己专用的网络。其次是“专用的”，相对于“公用的”来说，它强调私有性和安全可靠性。不属于VPN的核心技术是（） A、日志记录（正确答案） B、访问控制 C、身份认证 D、隧道技术 23、关于屏蔽子网防火墙，下列说法错误的是：（） A、内部用户可以不通过DMZ直接访问Internet（正确答案） B、内部网对于Internet来说是不可见的； C、屏蔽子网防火墙既支持应用级网关也支持电路级网关； D、屏蔽子网防火墙是几种防火墙类型中最安全的； 24、下面关于外部网VPN的描述错误的有：（） A、外部网VPN能保证包括TCP和UDP服务的安全。

9、 B、VPN服务器放在Internet上位于防火墙之外。（正确答案） C、其目的在于保证数据传输中不被修改。 D、VPN可以建在应用层或网络层上。 25、一般的防火墙不能实现以下哪些功能？（） A、隔离公司网络和不可信网络 B、隔离内网 C、提供对单点的监控 D、防止病毒和特络依木马程序（正确答案） 26、关于防火墙和VPN的使用，下面说法不正确的是（）。 A、配置VPN网关防火墙的一种方法是把它们并行放置，两者要互相依赖 B、配置VPN网关防火墙的一种方法是把它们并行放置，两者独立 C、配置VPN网关防火墙一种方法是把它们串行放置，防火墙广域网一侧，VPN在局域网一侧

10、正确答案） D、配置VPN网关防火墙的一种方法是把它们串行放置，防火墙局域网一侧，VPN在广域网一侧 27、目前在防火墙上提供了几种认证方法，其中防火墙提供授权用户特定的服务权限是：（） A、其余都不是 8、会话认证 C、用户认证 D、客户认证（正确答案） 28、包过滤防火墙的缺点为：（） A、开发比较困难 B、处理数据包的速度较慢 C、代理的服务（协议）必须在防火墙出厂之前进行设定 D、容易受到IP欺骗攻击（正确答案） 29、某工程师现网进行IPSEC测试时，为了调测方便在连接internet接的untrust域和local域inbound方向包过滤acl中配置了

11、rule permit ip。测试完成后该工程师没有删除该配置，请问这样做是否有风险，风险是什么？（） A、没有风险，但是按照配置规范还是要把acl中permit ip去掉 B、有风险，ipsec隧道会一直建立 C、没有风险 D、有风险，防火墙可能会遭受到来自internet的攻击（正确答案） 30、某单位通过防火墙进行互联网接入，外网地址为202.101.1.1，内网地址为192.168.1.1,这种情况下防火墙工作模式为（） A、其余都不对 B、路由模式（正确答案） C、代理模式 D、透明模式 31、防火墙最主要被部署在（）位置 A、骨干线路 B、重要服务器 C、

12、桌面终端 D、网络边界（正确答案） 32、IPSec协议是开放的VPN协议。对它的描述有误的是：（） A、不支持除TCP/IP外的其它协议。 B、支持动态的IP地址分配。（正确答案） C、适应于向IPv6迁移。 D、提供在网络层上的数据加密保护。 33、防火墙的安全性角度，最好的防火墙结构类型是（） A、双宿主主机结构 B、屏蔽子网结构（正确答案） C、屏蔽主机结构 D、路由器型 34目前，VPN使用了（）技术保证了通信的安全性。 A、隧道协议、身份认证和数据加密（正确答案） B、隧道协议、数据加密 C、身份认证、数据加密 D、隧道协议、身份认证 35防火墙作

13、为一种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止（） B、外部攻击 C、外部攻击和外部威胁 D、内部威胁和病毒威胁（正确答案） A、外部攻击、外部威胁和病毒威胁 36组成IPSEC的主要安全协议不包括以下哪一项：（） A、ESP B、IKE C、AH D、DSS（正确答案） 37下列关于防火墙的说法正确的是（） A、默认情况下防火墙允许所有传入连接 B、默认情况下防火墙允许所有传出连接（正确答案） C、出站规则即其他主机连入你的电脑的规则 。、入栈规则即你的电脑连接其他主机的规则 38某单位想用防火墙对telnet协议的命令进行限制，应选在什么类型

14、的防火墙（） A、应用代理技术 B、NAT技术 C、包过滤技术（正确答案） D、状态检测技术 39 防火墙双机热备组网下流量转发的描述正确的是（） A、防火墙负载分担组网（双主组网），两台防火墙上都可以配置ACL B、防火墙主备组网（上下行业务是二层），送到备防火墙的流量仍然会被转发 C、防火墙主备组网（上下行业务是三层），送到备防火墙的流量无法转发，会被备防火墙丢弃 D、防火墙负载分担组网（双主组网），两台防火墙上的会话会相互向对端备份（正确答案） 40关于防火墙的描述不正确的是：（） A、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。 B、防火墙不能防

15、止内部攻击。 C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。（正确答案） D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。 二、多选题（题数：15，共30.0分） 1防火墙一般需要检测哪些扫描行为？（） A、icmp-scan（正确答案） B、tcp-synflood C、Port-scan（正确答案） D、udp-scan（正确答案） 2在地址翻译原理中，防火墙根据什么来使要传输到相同的目的IP发送给内部不同的主机上：（） A、防火墙使用广播的方式发送。 B、防火墙根据每个包的TCP序列号。（正确答案） C、防火墙根据每个包的时间顺序。 D、防火墙纪录的包

16、的目的端。（正确答案） 3防火墙能够作到些什么？（）（2. A、包的透明转发（正确答案） B、记录攻击（正确答案） C、包过滤（正确答案） D、阻挡外部攻击（正确答案） 4按照不同的商业环境对VPN的要求和VPN所起的作用区分，VPN分为：（） A、内部网VPN（正确答案） B、外部网VPN（正确答案） C、点对点专线VPN D、远程访问VPN（正确答案） 5防火墙有哪些缺点和不足？（） A、防火墙的并发连接数限制容易导致拥塞或者溢出（正确答案） B、防火墙不能抵抗最新的未设置策略的攻击漏洞（正确答案） C、防火墙可以阻止内部主动发起连接的攻击 D、防火墙对服务器

17、合法开放的端的攻击大多无法阻止（正确答案） 6JOHN的公司选择采用IPSec协议作为公司分支机构连接内部网VPN的安全协议。以下那几条是对IPSec的正确的描述：（）（2. A、在隧道模式下，信息封装隐藏了路由信息。 B、加密IP地址和数据以保证私有性。（正确答案） C、保证数据在通过网络传输时的完整性。（正确答案） D、它对主机和端点进行身份鉴别。（正确答案） 7使用基于路由器的防火墙使用访问控制表实现过滤，它的缺点有：（） A、路由器本身具有安全漏洞。（正确答案） B、分组过滤规则的设置和配置存在安全隐患。（正确答案） "无法防范“假冒”的地址。（正确答案） D、对访

18、问行为实施静态、固定的控制与路由器的动态、灵活的路由矛盾。 （正确答案） 8、IPSec的两种工作方式（） A、tunnel （正确答案） B、NAS-initiated C、Client-initiated D、transport （正确答案） 9防火墙的主要技术有哪些？（）（2. A、简单包过滤技术（正确答案） B、地址翻译技术（正确答案） C、状态检测包过滤技术（正确答案） D、复合技术（正确答案） E、应用代理技术（正确答案） 10、Network Address Translation技术将一个IP地址用另一个IP地址代替，它在防火墙上的作用是：（） A、

19、由于IP地址匮乏而使用无效的IP地址。（正确答案） B、外网攻击者不能攻击到内网主机。 C、隐藏内部网络地址，保证内部主机信息不泄露。（正确答案） D、使内网的主机受网络安全管理规则的限制。 11、VPN中应用的安全协议有哪些？（）（2. A、PPTP（正确答案） B、IPSec（正确答案） C、TCP D、L2TP（正确答案） 12下面关于GRE协议描述正确的是（） A、GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel（正确答案） B、GRE协议是二层VPN协议 C、GRE协议实际上是一种承载协议

20、正确答案） D、GRE是对某些网络层协议（如：IP，IPX等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如:IP）中传输（正确答案） 13使用基于路由器的防火墙使用访问控制表实现过滤，它的缺点有：（） A、对访问行为实施静态、固定的控制与路由器的动态、灵活的路由矛盾。 （正确答案） B、分组过滤规则的设置和配置存在安全隐患。（正确答案） "无法防范“假冒”的地址。（正确答案） D、路由器本身具有安全漏洞。（正确答案） 14、IPSec协议用密码技术从三个方面来保证数据的完整性：（） A、访问控制 B、加密（正确答案） C、完整性检查（正确答案）

21、 D、认证（正确答案） 15防火墙要实现的控制功能有哪些？（） A、用户控制（正确答案） B、服务控制（正确答案） C、方向控制（正确答案） D、行为控制（正确答案） 三、判断题（题数：10，共10.0分） 1在配置访问规则时，源地址，目的地址，服务或端的范围必须以实际访问需求为前提，尽可能的缩小范围。 对（正确答案） 错 2包过滤又称“报文过滤”，它是防火墙最传统、最基本的过滤技术。 对（正确答案） 错 3VPN用户登录到防火墙，通过防火墙访问内部网络时，不受访问控制策略的约束。 对 错（正确答案） 4防火墙必须记录通过的流量日志，但是对于被拒绝的流量可以没有

22、记录。 对 错（正确答案） 5应用级网关的安全性高并且有较好的访问控制，是目前最安全的防火墙技术。 对（正确答案） 错 6防火墙local域和其它域inbound方向可以不做安全策略控制。 对 错（正确答案） 7防火墙策略也称为防火墙的安全规则，它是防火墙实施网络保护的重要依据。 对（正确答案） 错 8防火墙能够完全防止传送己被病毒感染的软件和文件 对 错（正确答案） 9防火墙是设置在内部网络与外部网络（如互联网）之间，实施访问控制策略的一个或一组系统。 对（正确答案） 错 10包过滤又称“报文过滤”，它是防火墙最传统、最基本的过滤技术。 对（正确答案） 错