防火墙技术课后题

防火墙技术复习题（1）单选题1．以下哪种技术不是实现防火墙的主流技术？ DA.包过滤技术;B.应用级网关技术;C.代理服务器技术;D.NAT技术2．关于屏蔽子网防火墙,下列说法错误的是: DA.屏蔽子网防火墙是几种防火墙类型中最安全的;B.屏蔽子网防火墙既支持应用级网关也支持电路级网关;C.内部网对于Internet来说是不可见的;D.内部用户可以不通过DMZ直接访问Internet3．最简单的防火墙结构是（ A ）A.路由器 B、代理服务器 C、日志工具 D、包过滤器4 ．为确保企业局域网的信息安全，防止来自internet的黑客入侵，采用（）可以实现一定的防范作用。

A.网管软件B.操作系统 C防火墙 D.防病毒软件5．防火墙采用的最简单的技术是（）A．安装保护卡 B.隔离 C.包过滤 D.设置进入密码6.防火墙技术可分为（）等到3大类型A包过滤、入侵检测和数据加密B.包过滤、入侵检测和应用代理C包过滤、应用代理和入侵检测D.包过滤、状态检测和应用代理7. 防火墙系统通常由（）组成，防止不希望的、未经授权的进出被保护的内部网络A．杀病毒卡和杀毒软件B.代理服务器和入检测系统C过滤路由器和入侵检测系统D过滤路由器和代理服务器8.防火墙技术是一种（）网络系统安全措施。

3)A．被动的 B.主动的C．能够防止内部犯罪的 D.能够解决所有问题的9．防火墙是建立在内外网络边界上的一类安全保护机制，它的安全架构基于（）。

A．流量控制技术B 加密技术C．信息流填充技术D．访问控制技术10.一般为代理服务器的保垒主机上装有（）。

A．一块网卡且有一个IP地址B．两个网卡且有两个不同的IP地址C．两个网卡且有相同的IP地址D．多个网卡且动态获得IP地址11. 一般为代理服务器的保垒主机上运行的是（）A．代理服务器软件B．网络操作系统C．数据库管理系统D．应用软件12. 下列关于防火墙的说法正确的是（）A 防火墙的安全性能是根据系统安全的要求而设置的B 防火墙的安全性能是一致的，一般没有级别之分C防火墙不能把内部网络隔离为可信任网络D 一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的安全系统13．在ISO OSI/RM 中对网络安全服务所属的协议层次进行分析，要求每个协议层都能提供网络安全服务。

.....防火墙培训试题1.关于防火墙的描述不正确的是：（）A、防火墙不能防止内部攻击。

B、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。

C、防火墙可以防止伪装成外部信任主机的IP 地址欺骗。

D、防火墙可以防止伪装成内部信任主机的IP 地址欺骗。

2.防火墙的主要技术有哪些？（）A.简单包过滤技术B.状态检测包过滤技术C.应用代理技术D.复合技术E.地址翻译技术3.防火墙有哪些部属方式？（）A.透明模式B.路由模式C.混合模式D.交换模式4.判断题：并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。

（V）.....5.判断题：对于防火墙而言，除非特殊定义，否则全部 ICMP 消息包将被禁止通过防火墙（即不能使用 ping命令来检验网络连接是否建立）。

（V）6.下列有关防火墙局限性描述哪些是正确的。

（）A、防火墙不能防范不经过防火墙的攻击B、防火墙不能解决来自内部网络的攻击和安全问题C、防火墙不能对非法的外部访问进行过滤D、防火墙不能防止策略配置不当或错误配置引起的安全威胁7.防火墙的作用（）A、过滤进出网络的数据B、管理进出网络的访问行为C、封堵某些禁止的行为D、记录通过防火墙的信息内容和活动8. 防火墙能够完全防止传送己被病毒感染的软件和文件（X）9.防火墙的测试性能参数一般包括（）A）吞吐量B）新建连接速率C）并发连接数D）处理时延10. 防火墙能够作到些什么？（）A、包过滤B、包的透明转发C、阻挡外部攻击D、记录攻击11. 防火墙有哪些缺点和不足？（）A、防火墙不能抵抗最新的未设置策略的攻击漏洞B、防火墙的并发连接数限制容易导致拥塞或者溢出C、防火墙对服务器合法开放的端口的攻击大多无法阻止D、防火墙可以阻止内部主动发起连接的攻击12. 防火墙中地址翻译的主要作用是：（）A.提供应用代理服务B.隐藏内部网络地址C.进行入侵检测D.防止病毒入侵13. 判断题：防火墙必须记录通过的流量日志，但是对于被拒绝的流量可以没有记录。

网络安全期末复习题型：1、选择、判断、简答（45%）2、分析题（55%）注：如有发现错误，希望能够提出来。

第一章引言一、填空题1、信息安全的3个基本目标是：保密性、完整性和可用性。

此外，还有一个不可忽视的目标是：合法使用。

2、网络中存在的4种基本安全威胁有：信息泄漏、完整性破坏、拒绝服务和非法使用。

3、访问控制策略可以划分为：强制性访问控制策略和自主性访问控制策略。

4、安全性攻击可以划分为：被动攻击和主动攻击。

5、X.800定义的5类安全服务是：认证、访问控制、数据保密性、数据完整性、不可否认性。

6、X.800定义的8种特定的安全机制是：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。

7、X.800定义的5种普遍的安全机制是：可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。

二、思考题2、基本的安全威胁有哪些？主要的渗入类型威胁是什么？主要的植入类型威胁时什么？请列出几种最主要的威胁。

答：基本的安全威胁有：信息泄露、完整性破坏、拒绝服务、非法使用。

主要的渗入类型威胁有：假冒、旁路、授权侵犯。

主要的植入威胁有：特洛伊木马、陷门最主要安全威胁：（1）授权侵犯（2）假冒攻击（3）旁路控制（4）特洛伊木马或陷阱（5）媒体废弃物（出现的频率有高到低）4.什么是安全策略？安全策略有几个不同的等级？答：安全策略：是指在某个安全区域内，施加给所有与安全相关活动的一套规则。

安全策略的等级：1安全策略目标；2机构安全策略；3系统安全策略。

6.主动攻击和被动攻击的区别是什么？请举例说明。

答：区别：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信息的保密性。

主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作，因此主动攻击主要威胁信息的完整性、可用性和真实性。

主动攻击的例子：伪装攻击、重放攻击、消息篡改、拒绝服务。

被动攻击的例子：消息泄漏、流量分析。

9、请画出一个通用的网络安全模式，并说明每个功能实体的作用。

计算机信息安全技术课后习题答案计算机信息安全技术课后习题答案一、密码学基础1.1 对称加密和非对称加密的区别：对称加密使用同一个密钥进行加密和解密，加密速度快但密钥传输不安全；非对称加密使用公钥和私钥进行加密和解密，安全性高但速度较慢。

1.2 DES加密算法：DES（Data Encryption Standard）是一种对称加密算法，使用56位的密钥对64位的明文进行加密，分为初始置换、16轮迭代和最终置换三个步骤。

1.3 RSA非对称加密算法：RSA是一种非对称加密算法，使用公钥和私钥进行加密和解密，基于大数分解的复杂性原理，安全性较高。

二、网络安全2.1 网络安全基础概念：网络安全是指保护计算机网络系统的完整性、可用性和保密性的技术和管理措施。

2.2 防火墙技术：防火墙是一种网络安全设备，用于监控和控制网络流量，保护内部网络免受未经授权的访问和攻击。

2.3 VPN虚拟专用网络：VPN是一种通过公共网络建立安全的私密连接的技术，可用于远程访问、跨地域网连接等。

三、入侵检测与防护3.1 入侵检测系统（IDS）：IDS是一种用于检测和响应网络中的恶意活动和攻击的系统，可分为主机IDS和网络IDS两种类型。

3.2 入侵防御系统（IPS）：IPS是一种主动防御系统，用于检测和阻断攻击行为，具有自动响应和阻断功能。

四、网络安全管理4.1 安全策略与规划：网络安全策略和规划是指制定和实施保护网络安全的规则和标准，包括访问控制、身份验证、数据备份等。

4.2 安全管理体系：安全管理体系是指建立一套管理框架和流程，用于规范和监控网络安全管理工作，包括风险评估、漏洞管理、事件响应等。

4.3 安全意识教育与培训：安全意识教育和培训是指向员工传授网络安全知识和技能，提高其对网络安全的认知和防范能力。

附件：无法律名词及注释：1：《网络安全法》：中华人民共和国网络安全的基本法律法规，旨在保护国家网络安全和公民合法权益。

第8章1判断题1-1 目前防火墙技术仅应用在防火墙产品中。

（×）1-2 一般来说，防火墙在OSI参考模型中的位置越高，所需要检查的内容就越多，同时CPU 和RAM的要求也就越高。

（√）1-3 防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个基本准则，其中前者的安全性要比后者高。

（√）1-4 采用防火墙的网络一定是安全的。

（×）1-5 包过滤防火墙一般工作在OSI参考模型的网络层与传输层，主要对IP分组和TCP/UDP 端口进行检测和过滤操作。

（√）1-6 当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小。

（×）1-7 在传统的包过滤、代理和状态检测3类防火墙中，只能状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。

（√）1-8 分布式防火墙由于采用了计算机网络的分布式通信特点，所以在实施时只能采用纯软件方式。

（×）1-9 有些个人防火墙是是一款独立的软件，而有些个人防火墙则整合在防病毒软件中使用。

（√）2 填空题2-1 防火墙将网络分割为两部分，即将网络分成两个不同的安全域。

对于接入Internet的局域网，其中局域网属于可信赖的安全域，而Internet属于不可信赖的非安全域。

2-2 为了使管理人员便于对防火墙的工作状态进行了解，一般防火墙都需要提供完善的日志功能。

2-3 防火墙一般分为路由模式和透明模式两类。

当用防火墙连接同一网段的不同设备时，可采用透明模式防火墙；而用防火墙连接两个完全不同的网络时，则需要使用路由模式防火墙。

2-4 状态检测防火墙是在传统包过滤防火墙的基础上发展而来的，所以将传统的包过滤防火墙称为静态包过滤防火墙，而将状态检测防火墙称为动态包过滤防火墙。

3 选择题3-1 以下设备和系统中，不可能集成防火墙功能的是（ A ）A.集线器B. 交换机C. 路由器D. Windows Server 2003操作系统3-2 对“防火墙本身是免疫的”这句话的正确理解是（B ）A. 防火墙本身是不会死机的B. 防火墙本身具有抗攻击能力C. 防火墙本身具有对计算机病毒的免疫力D. 防火墙本身具有清除计算机病毒的能力3-3 在以下各项功能中，不可能集成在防火墙上的是（D ）A. 网络地址转换（NAT）B. 虚拟专用网（VPN）C. 入侵检测和入侵防御D. 过滤内部网络中设备的MAC地址3-4 当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时，该服务器一般要置于防火墙的（C ）A. 内部B. 外部C. DMZ区D. 都可以3-5 以下关于状态检测防火墙的描述，不正确的是（D ）A. 所检查的数据包称为状态包，多个数据包之间存在一些关联B. 能够自动打开和关闭防火墙上的通信端口C. 其状态检测表由规则表和连接状态表两部分组成D. 在每一次操作中，必须首先检测规则表，然后再检测连接状态表3-6 以下关于传统防火墙的描述，不正确的是（ A ）A. 即可防内，也可防外B. 存在结构限制，无法适应当前有线和无线并存的需要C. 工作效率较低，如果硬件配置较低或参数配置不当，防火墙将成形成网络瓶颈D. 容易出现单点故障3-7 在分布式防火墙系统组成中不包括（ D ）A. 网络防火墙B. 主机防火墙C. 中心管理服务器D. 传统防火墙3-8 下面对于个人防火墙的描述，不正确的是（ C ）A. 个人防火墙是为防护接入互联网的单机操作系统而出现的B. 个人防火墙的功能与企业级防火墙类似，而配置和管理相对简单C. 所有的单机杀病毒软件都具有个人防火墙的功能D. 为了满足非专业用户的使用，个人防火墙的配置方法相对简单3-9 下面对于个人防火墙未来的发展方向，描述不准确的是（ D ）A. 与xDSL Modem、无线AP等网络设备集成B. 与防病毒软件集成，并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成。

防⽕墙试题及答案防⽕墙培训试题1.关于防⽕墙的描述不正确的是：（）A、防⽕墙不能防⽌内部攻击。

B、如果⼀个公司信息安全制度不明确，拥有再好的防⽕墙也没有⽤。

C、防⽕墙可以防⽌伪装成外部信任主机的IP地址欺骗。

D、防⽕墙可以防⽌伪装成内部信任主机的IP地址欺骗。

2.防⽕墙的主要技术有哪些？（）A.简单包过滤技术B.状态检测包过滤技术C.应⽤代理技术D.复合技术E.地址翻译技术3.防⽕墙有哪些部属⽅式？（）A.透明模式B.路由模式C.混合模式D.交换模式4.判断题：并发连接数——指穿越防⽕墙的主机之间或主机与防⽕墙之间能同时建⽴的最⼤连接数。

（ V ）5.判断题：对于防⽕墙⽽⾔，除⾮特殊定义，否则全部ICMP消息包将被禁⽌通过防⽕墙（即不能使⽤ping命令来检验⽹络连接是否建⽴）。

（ V ）6.下列有关防⽕墙局限性描述哪些是正确的。

（）、防⽕墙不能防范不经过防⽕墙的攻击A．B、防⽕墙不能解决来⾃内部⽹络的攻击和安全问题C、防⽕墙不能对⾮法的外部访问进⾏过滤D、防⽕墙不能防⽌策略配置不当或错误配置引起的安全威胁7.防⽕墙的作⽤（）A、过滤进出⽹络的数据B、管理进出⽹络的访问⾏为C、封堵某些禁⽌的⾏为D、记录通过防⽕墙的信息内容和活动8.防⽕墙能够完全防⽌传送⼰被病毒感染的软件和⽂件（ X ））9.防⽕墙的测试性能参数⼀般包括（吞吐量 A）新建连接速率B）C）并发连接数处理时延D）防⽕墙能够作到些什么？（）10.A、包过滤、包的透明转发 B 、阻挡外部攻击C D、记录攻击防⽕墙有哪些缺点和不⾜？（）11.A、防⽕墙不能抵抗最新的未设置策略的攻击漏洞B、防⽕墙的并发连接数限制容易导致拥塞或者溢出C、防⽕墙对服务器合法开放的端⼝的攻击⼤多⽆法阻⽌、防⽕墙可以阻⽌内部主动发起连接的攻击D．）12.防⽕墙中地址翻译的主要作⽤是：（ A. 提供应⽤代理服务隐藏内部⽹络地址B.进⾏⼊侵检测C.防⽌病毒⼊侵D.判断题：防⽕墙必须记录通过的流量⽇志，但是对于被拒绝的流量可以没有13. X 记录。

防火墙试题1、“NDR”的中文释义是什么（）A、基于网络的检测与响应（正确答案）B、基于主机的杀毒C、基于网络的漏洞防护D、基于网络的反病毒2、智慧墙支持哪种封装模式（）A、IP模式B、隧道模式（正确答案）C、TCP模式D、传输模式3、不能与智慧墙实现智能化的协同联动的是（A、沙箱B、云端威胁情报中心C、终端安全管理系统D、上网行为管理（正确答案）4、下面那个选项可以查看智慧墙的设备信息？A、showsystemB、showsysteminfo（正确答案）C、showsystemlsD、showcapacity5、以下那些属于7层隧道技术？A、L2TPB、PPTPC、GRED、SSL（正确答案）6、MD5值的长度是？A、128bit（正确答案）B、64bitC、32bitD、16bit7、智慧墙不支持那些过滤？A、URL过滤B、文件过滤C、内容过滤D、行为过滤（正确答案）8、虚拟系统数量由License控制，NSG9000设备建议的虚拟系统最大个数为？A、6B、8C、10（正确答案）D、129、智慧墙如何开启debug？A、debugdponB、debugdpupC、debugdpflow（正确答案）D、debugdpstart10、HA主备模式下链路探测到某地址探测失败的原因？A、接口FLOAT地址未正常同步B、接口未UPC、安全策略未正常同步D、接口未配置STATIC地址（正确答案）11、在没有NAT环境下，IKE协商的端口是A、500（正确答案）B、4500C、50D、5112、IKE协商由几个阶段组成（）A、1B、2（正确答案）C、3D、413、ipsecvpn支持以下哪种引流方式（）A、策略引流B、路由引流C、策略和路由引流（正确答案）D、安全引流14、IPSECSA是基于以下哪种方式协商的？A、利用SSLVPN自协商方式B、利用PPTP协商方式C、利用GRE自协商方式D、利用IKE自协商方式（正确答案）15、Blacklist在智慧墙的Flow流程中属于第几个处理单元？A、1（正确答案）B、2C、3D、416、以下关于Flow流程中的慢转发说法正确的是（）A、慢转发流程中SNAT,路由，DNAT的匹配顺序为：SNAT-DNAT-路由B、慢转发流程中SNAT,路由，DNAT的匹配顺序为：路由-SNAT-DNATC、慢转发流程中SNAT,路由，DNAT的匹配顺序为：DNAT-路由-SNAT（正确答案）D、无顺序17、通常是需要放行（）流量的时候使用SNAT功能中动态地址NAT为不转换类型？A、用户认证B、ADSL拨号C、IPSEC（正确答案）D、策略路由18、以下关于SSL代理功能的主要作用描述正确的是（）A、SSL代理功能包含SSLVPN模块B、SSL代理功能包含IPSECVPN模块C、SSL代理功能是对SSL加密的数据进行代理解密，解析用户的行为以及数据,进而对用户的行为进行控制，主要应用于对高级功能IPS,AV,内容检测，文件检测，上网行为管理,URL 过滤（正确答案）D、SSL代理功能是为了创建SESSION19、TCP/Ip体系结构中的TCP协议所提供的服务是（）A、链路层服务B、网络层服务C、传输层服务（正确答案）D、应用层服务20、在TCP三次握手中，第一次握手时客户端向服务端发送一个（）来请求建立连接A、SYN包（正确答案）B、SCK包C、UDP包D、NULL包21、以下哪种原因会引起的穿透防火墙的内网PC无法访问外网A、LICENSE过期，已重启B、未设置安全策略C、未设置源NATD、以上都是（正确答案）22、当发现防火墙日志中有大量的某ip对防火墙进行暴力破解时防火墙应开启哪个功能进行防护？A、安全策略B、地址黑名单和登陆安全策略（正确答案）C、IPSD、AV23、以下哪个选项是防火墙产品的核心功能A、路由转发B、抗攻击C、用户认证D、访问控制（正确答案）24、以下哪个选项是防火墙产品的主要性能指标A、防火墙重量B、防火墙高度C、网络接口数D、并发连接数（正确答案）25、攻击防护策略是基于以下哪个模块的？A、安全域B、物理接口（正确答案）C、IPD、VLAN接口26、以下防火墙恢复出厂配置的方法错误的是？A、页面点击恢复出厂设置按钮B、在CLI下执行reset命令并重启C、掉电重启（正确答案）D、27、防火墙接口不支持以下哪种工作模式A、路由模式B、交换模式C、旁路模式D、透明模式（正确答案）28、防火墙的Channel模式不包括以下哪一项（）A、FloatB、热备C、802.3ad（正确答案）D、轮询29、以下关于智慧墙中路由的优先处理顺序错误的是（）A、策略路由--ISP路由--缺省路由B、直连路由--静态路由--策略路由C、静态路由--策略路由--ISP路由D、ISP路由--策略路由缺省路由（正确答案）30、防火墙无法与时间服务器进行同步，在防火墙与NTP服务器路由可达的情况下，以下最有可能产生此问题的是？A、防火墙HOSTNAME配置错误B、未将NTP服务器设置为主用服务器C、NTP最大调整时间超过误差时间（正确答案）D、防火墙未配置安全策略31、智慧墙中针对虚拟系统接口的作用说法正确的是？A、用于虚拟系统间通信（正确答案）B、用于LOOPBACKC、用于动态路由ROUTER-IDD、无意义32、拒绝某些非法的IP地址或MAC地址流量的有效手段是哪个A、安全策略B、黑白名单（正确答案）C、服务器负载均衡D、IP-MAC绑定33、根据对报文的封装形式，IPsec工作模式分为A、隧道模式（正确答案）B、主模式C、野蛮模式D、B和C34、新配置的关键字或对关键字修改后必须单击哪个功能按钮，配置或修改才生效A、查看B、增加C、编辑D、提交（正确答案）35、关于安全域，下列说法错误的是（）A、一个物理口不可同时属于二层安全域和三层安全域B、一个安全域必须包含任何物理接口（正确答案）C、物理接口配置为路由模式，则该接口需手动加入三层安全域D、物理接口配置为交换模式，则该接口手动加入二层安全域36、关于本地地址类型，下列说法正确的是（）A、在开启HA功能时‘STATIC类型的IP地址仅用于管理防火墙（正确答案）B、STATIC类型地址可以用于NAT、VPN等功能使用C、FLOAT类型的地址和Static类型的地址无差别D、在HA环境中‘STATIC类型的IP地址会同步给对端防火墙37、关于防火墙HA功能说法错误的是？A、HA组优先级数字越小，优先等级越高（正确答案）B、HA支持配置和动态信息同步C、HA心跳接口支持channel口D、HA只支持配置0和1两个HA组38、关于非对称加密，下列说法错误的是（）A、相比对称加密，非对称加密效率高（正确答案）B、公钥密钥和私钥密钥总是成对出现，公钥用来加密，私钥用来解密C、公钥和私钥不能互相导推D、安全性高39、关于桥功能说法错误的是？A、只能将两个物理接口加入桥（正确答案）B、桥模式可以传输带VLANTAG的报文C、桥配置可以通过HA做主备同步D、桥可以配置为桥接口并添加IP地址40、关于日志查询，以下说法哪个是正确的（）A、不勾选记录日志也可产生模糊日志B、不勾选记录日志也可产生流量日志C、勾选记录日志不可产生模糊日志，但可以产生流量日志D、勾选记录日志才可以产生流量日志（正确答案）41、黑客利用IP地址进行攻击的方法有？A、IP欺骗（正确答案）B、解密C、窃取口令D、发送病毒42、以下哪个选项可以帮助用户在安全策略列表中寻找是否存在冗余或无法生效的规则A、应急响应消息B、策略命中优化C、冗余策略检查（正确答案）D、协同联动43、建立IPSECvpn隧道建立时，IKE协商支持的模式不包括（）A、主模式B、野蛮模式C、国密D、ESP（正确答案）44、将一个局域网连入Internet,首选的设备是（）A、中继器B、交换机C、网桥D、防火墙（正确答案）45、接口下的对称路由模块一般应用在以下哪种场景下（）A、多出口场景（正确答案）B、HA主备场景C、路由条目较多的场景D、HA负载均衡场景46、在多台设备双机串行环境下,当设备上行/下行的链路出现故障时,为了让下行/上行的链路也能够快速感知故障并进行切换,此时需要什么功能（）A、安全策略B、IPSECC、接口联动（正确答案）D、HA47、高可用性环境下如果HA心跳口不通会出现以下哪种情况？A、主备墙的配置无法同步（正确答案）B、流经防火墙的业务断掉C、接口上的动态地址无法生效D、路由无法生效48、某用户内网有web服务器对外提供服务，某天发现web站点访问异常缓慢，甚至无法访问，同时服务器cpu利用率高，请问最有可能受到了什么攻击？A、UDPFLOODB、TCPFLOOD（正确答案）C、IP欺骗D、圣诞树攻击49、文件过滤支持的应用协议有A、邮件协议（POP3、IMAP、SMTP）B、FTPC、HTTPD、以上所有选项（正确答案）50、如果某一数据包不能命中安全策略列表中的任何一条安全策略时，执行的动作为？A、放行B、禁止（正确答案）C、转发D、以上都不对。