防火墙试题和答案解析
防火墙试题
防火墙试题1.“NDR”的中文释义是什么()A.基于网络的检测与响应(正确答案)B.基于主机的杀毒C.基于网络的漏洞防护D.基于网络的反病毒2.智慧墙支持哪种封装模式()A.IP模式B.隧道模式(正确答案)C.TCP模式D.传输模式3.不能与智慧墙实现智能化的协同联动的是()A、沙箱B.云端威胁情报中心C.终端安全管理系统D.上网行为管理(正确答案)4、下面那个选项可以查看智慧墙的设备信息?A.show systemB.show system info(正确答案)C.show system lsD.show capacity5、以下那些属于7层隧道技术?A.L2TPB.PPTPC.GRED.SSL(正确答案)6、MD5值的长度是?A.128bit(正确答案)B.64bitC.32bitD.16bit7、智慧墙不支持那些过滤?A.URL过滤B.文件过滤C.内容过滤D.行为过滤(正确答案)8、虚拟系统数量由License控制, NSG9000设备建议的虚拟系统最大个数为?A、6B、8C.10(正确答案)D、129、智慧墙如何开启debug?A.debug dp onB.debug dp upC.debug dp flow(正确答案)D.debug dp start10、HA主备模式下链路探测到某地址探测失败的原因?A.接口FLOAT地址未正常同步B.接口未UPC.安全策略未正常同步D.接口未配置STATIC地址(正确答案)11、在没有NAT环境下, IKE 协商的端口是A.500(正确答案)B.4500C、50D、5112.IKE协商由几个阶段组成()A、1B.2(正确答案)C、3D、413.ipsec vpn支持以下哪种引流方式()A.策略引流B.路由引流C.策略和路由引流(正确答案)D.安全引流14、IPSEC SA是基于以下哪种方式协商的?A.利用SSL VPN自协商方式B.利用PPTP协商方式C.利用GRE自协商方式D.利用IKE自协商方式(正确答案)15、Blacklist在智慧墙的Flow流程中属于第几个处理单元?A.1(正确答案)B、2C、3D、416.以下关于Flow流程中的慢转发说法正确的是()A.慢转发流程中SNAT,路由,DNAT的匹配顺序为:SNAT-DNAT-路由B.慢转发流程中SNAT,路由,DNAT的匹配顺序为:路由-SNAT-DNATC.慢转发流程中SNAT,路由,DNAT的匹配顺序为:DNAT-路由-SNAT(正确答案)D.无顺序17、通常是需要放行()流量的时候使用SNAT功能中动态地址NAT为不转换类型?A.用户认证B.ADSL拨号C.IPSEC(正确答案)D.策略路由18、以下关于SSL代理功能的主要作用描述正确的是()A.SSL代理功能包含SSL VPN模块B.SSL代理功能包含IPSECVPN模块C.SSL代理功能是对SSL加密的数据进行代理解密,解析用户的行为以及数据,进而对用户的行为进行控制,主要应用于对高级功能IPS,AV,内容检测,文件检测,上网行为管理,URL过滤(正确答案)D.SSL代理功能是为了创建SESSION19、TCP/Ip体系结构中的TCP协议所提供的服务是()A.链路层服务B.网络层服务C.传输层服务(正确答案)D.应用层服务20、在TCP三次握手中, 第一次握手时客户端向服务端发送一个()来请求建立连接A.SYN包(正确答案)B.SCK包C.UDP包D.NULL包21.以下哪种原因会引起的穿透防火墙的内网PC无法访问外网A.LICENSE过期,已重启B.未设置安全策略C.未设置源NATD.以上都是(正确答案)22、当发现防火墙日志中有大量的某ip对防火墙进行暴力破解时防火墙应开启哪个功能进行防护?A.安全策略B.地址黑名单和登陆安全策略(正确答案)C.IPSD、AV23.以下哪个选项是防火墙产品的核心功能A.路由转发B.抗攻击C.用户认证D.访问控制(正确答案)24.以下哪个选项是防火墙产品的主要性能指标A.防火墙重量B.防火墙高度C.网络接口数D.并发连接数(正确答案)25、攻击防护策略是基于以下哪个模块的?A.安全域B.物理接口(正确答案)C、IPD.VLAN接口26、以下防火墙恢复出厂配置的方法错误的是?A.页面点击恢复出厂设置按钮B.在CLI下执行reset命令并重启C.掉电重启(正确答案)D、27、防火墙接口不支持以下哪种工作模式A.路由模式B.交换模式C.旁路模式D.透明模式(正确答案)28、防火墙的Channel模式不包括以下哪一项()A.FloatB、热备C.802.3ad(正确答案)D、轮询29、以下关于智慧墙中路由的优先处理顺序错误的是()A.策略路由--ISP路由--缺省路由B.直连路由 -- 静态路由 --策略路由C.静态路由-- 策略路由 -- ISP路由D.ISP路由--策略路由---缺省路由(正确答案)30、防火墙无法与时间服务器进行同步, 在防火墙与NTP服务器路由可达的情况下, 以下最有可能产生此问题的是?A.防火墙HOSTNAME配置错误B.未将NTP服务器设置为主用服务器C.NTP最大调整时间超过误差时间(正确答案)D.防火墙未配置安全策略31、智慧墙中针对虚拟系统接口的作用说法正确的是?A.用于虚拟系统间通信(正确答案)B.用于LOOPBACKC.用于动态路由ROUTER-IDD.无意义32.拒绝某些非法的IP地址或MAC地址流量的有效手段是哪个A.安全策略B.黑白名单(正确答案)C.服务器负载均衡D.IP-MAC绑定33、根据对报文的封装形式, IPsec工作模式分为A.隧道模式(正确答案)B.主模式C.野蛮模式D.B和C34、新配置的关键字或对关键字修改后必须单击哪个功能按钮, 配置或修改才生效A、查看B、增加C、编辑D.提交(正确答案)35、关于安全域, 下列说法错误的是()A.一个物理口不可同时属于二层安全域和三层安全域B.一个安全域必须包含任何物理接口(正确答案)C.物理接口配置为路由模式,则该接口需手动加入三层安全域D.物理接口配置为交换模式,则该接口手动加入二层安全域36、关于本地地址类型, 下列说法正确的是()A.在开启HA功能时,STATIC类型的IP地址仅用于管理防火墙(正确答案)B.STATIC类型地址可以用于NAT、VPN等功能使用C.FLOAT类型的地址和Static类型的地址无差别D.在HA环境中,STATIC类型的IP地址会同步给对端防火墙37、关于防火墙HA功能说法错误的是?A.HA组优先级数字越小,优先等级越高(正确答案)B.HA支持配置和动态信息同步C.HA心跳接口支持channel口D.HA只支持配置0和1两个HA组38、关于非对称加密, 下列说法错误的是()A.相比对称加密,非对称加密效率高(正确答案)B.公钥密钥和私钥密钥总是成对出现,公钥用来加密,私钥用来解密C.公钥和私钥不能互相导推D.安全性高39、关于桥功能说法错误的是?A.只能将两个物理接口加入桥(正确答案)B.桥模式可以传输带VLAN TAG的报文C.桥配置可以通过HA做主备同步D.桥可以配置为桥接口并添加IP地址40、关于日志查询, 以下说法哪个是正确的()A.不勾选记录日志也可产生模糊日志B.不勾选记录日志也可产生流量日志C.勾选记录日志不可产生模糊日志,但可以产生流量日志D.勾选记录日志才可以产生流量日志(正确答案)41、黑客利用IP地址进行攻击的方法有?A.IP欺骗(正确答案)B、解密C.窃取口令D.发送病毒42.以下哪个选项可以帮助用户在安全策略列表中寻找是否存在冗余或无法生效的规则A.应急响应消息B.策略命中优化C.冗余策略检查(正确答案)D.协同联动43、建立IPSEC vpn隧道建立时, IKE协商支持的模式不包括()A.主模式B.野蛮模式C、国密D.ESP(正确答案)44、将一个局域网连入Internet, 首选的设备是()A.中继器B.交换机C、网桥D.防火墙(正确答案)45.接口下的对称路由模块一般应用在以下哪种场景下()A.多出口场景(正确答案)B.HA主备场景C.路由条目较多的场景D.HA负载均衡场景46、在多台设备双机串行环境下, 当设备上行/下行的链路出现故障时, 为了让下行/上行的链路也能够快速感知故障并进行切换, 此时需要什么功能()A.安全策略B.IPSECC.接口联动(正确答案)D、HA47、高可用性环境下如果HA心跳口不通会出现以下哪种情况?A.主备墙的配置无法同步(正确答案)B.流经防火墙的业务断掉C.接口上的动态地址无法生效D.路由无法生效48、某用户内网有web服务器对外提供服务, 某天发现web站点访问异常缓慢, 甚至无法访问, 同时服务器cpu利用率高, 请问最有可能受到了什么攻击?A.UDP FLOODB.TCPFLOOD(正确答案)C.IP欺骗D.圣诞树攻击49、文件过滤支持的应用协议有____A.邮件协议(POP3.IMAP、SMTP)B.FTPC.HTTPD.以上所有选项(正确答案)50、如果某一数据包不能命中安全策略列表中的任何一条安全策略时, 执行的动作为?A、放行B.禁止(正确答案)C、转发D.以上都不对。
防火墙试题与答案.docx
.....防火墙培训试题1.关于防火墙的描述不正确的是:()A、防火墙不能防止内部攻击。
B、如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。
C、防火墙可以防止伪装成外部信任主机的IP 地址欺骗。
D、防火墙可以防止伪装成内部信任主机的IP 地址欺骗。
2.防火墙的主要技术有哪些?()A.简单包过滤技术B.状态检测包过滤技术C.应用代理技术D.复合技术E.地址翻译技术3.防火墙有哪些部属方式?()A.透明模式B.路由模式C.混合模式D.交换模式4.判断题:并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。
(V).....5.判断题:对于防火墙而言,除非特殊定义,否则全部 ICMP 消息包将被禁止通过防火墙(即不能使用 ping命令来检验网络连接是否建立)。
(V)6.下列有关防火墙局限性描述哪些是正确的。
()A、防火墙不能防范不经过防火墙的攻击B、防火墙不能解决来自内部网络的攻击和安全问题C、防火墙不能对非法的外部访问进行过滤D、防火墙不能防止策略配置不当或错误配置引起的安全威胁7.防火墙的作用()A、过滤进出网络的数据B、管理进出网络的访问行为C、封堵某些禁止的行为D、记录通过防火墙的信息内容和活动8. 防火墙能够完全防止传送己被病毒感染的软件和文件(X)9.防火墙的测试性能参数一般包括()A)吞吐量B)新建连接速率C)并发连接数D)处理时延10. 防火墙能够作到些什么?()A、包过滤B、包的透明转发C、阻挡外部攻击D、记录攻击11. 防火墙有哪些缺点和不足?()A、防火墙不能抵抗最新的未设置策略的攻击漏洞B、防火墙的并发连接数限制容易导致拥塞或者溢出C、防火墙对服务器合法开放的端口的攻击大多无法阻止D、防火墙可以阻止内部主动发起连接的攻击12. 防火墙中地址翻译的主要作用是:()A.提供应用代理服务B.隐藏内部网络地址C.进行入侵检测D.防止病毒入侵13. 判断题:防火墙必须记录通过的流量日志,但是对于被拒绝的流量可以没有记录。
网络信息安全知识大赛预诊试题
网络信息安全知识大赛预诊试题1. 包过滤防火墙要遵循的基本原则是()。
A、 HYPERLINK "javascript:void(0)" 最小特权(正确答案)B、 HYPERLINK "javascript:void(0)" 阻塞点C、 HYPERLINK "javascript:void(0)" 失效保护状态D、 HYPERLINK "javascript:void(0)" 防御多样化2. 以下()不是包过滤防火墙进行过滤时的依据()A、源IP地址B、目的IP地址C、 TCP源端口和目的端口D、时间(正确答案)3. 防火墙是指()A、一种特定软件B、一种特定硬件C、执行访问控制策略的一组系统(正确答案)D、一批硬件的总称4. 对非军事DMZ而言,正确的解释是()。
A、 DMZ是一个真正可信的网络部分B、 DMZ网络访问控制策略决定允许或禁止进入DMZ通信C、允许外部用户访问DMZ系统上合适的服务D、以上3项都是(正确答案)5. 包过滤技术与代理服务技术相比较()A、包过滤技术安全性较弱、但会对网络性能产生明显影响B、包过滤技术对应用和用户是透明的(正确答案)C、代理服务技术安全性较高、但不会对网络性能产生明显影响D、代理服务技术安全性高,对应用和用户透明度也很高6. 以下关于状态检测防火墙的描述,不正确的是()A、所检查的数据包称为状态包,多个数据包之间存在一些关联B、能够自动打开和关闭防火墙上的通信端口C、其状态检测表由规则表和连接状态表两部分组成D、在每一次操作中,必须首先检测规则表,然后再检测连接状态表(正确答案)7. 包过滤防火墙一般不需要检查的部分是()A、源IP地址和目的IP地址B、源端口和目的端口C、协议类型D、 TCP序列号(正确答案)8. 以下不属于代理服务技术优点的是()A、可以实现身份认证B、内部地址的屏蔽和转换功能C、可以实现访问控制D、可以防范数据驱动侵袭(正确答案)9. 防火墙用于将Internet和内部网络隔离,()。
计算机网络安全试题及答案解析
计算机网络安全试题及答案解析1. 选择题:1.1 常见的计算机网络攻击方式是哪些?A. 电子邮件垃圾邮件攻击B. 电子欺诈C. 网络钓鱼攻击D. 拒绝服务攻击答案:A、B、C、D1.2 下列哪种情况可能会导致计算机网络不安全?A. 使用弱密码B. 未及时更新操作系统和应用程序C. 盗用他人的账号和密码D. 共享敏感信息答案:A、B、C、D1.3 以下哪项属于计算机网络安全的防护措施?A. 防火墙设置B. 定期备份重要数据C. 安装杀毒软件D. 使用加密通信协议答案:A、B、C、D2. 填空题:2.1 定义计算机网络安全。
计算机网络安全是指在计算机网络的设计、建设、运营和维护过程中,采取各种技术手段和管理措施,保护计算机网络的资源和数据不受非法侵入、恶意篡改、泄露和破坏的威胁。
2.2 列举三种常见的网络攻击类型。
答:网络钓鱼攻击、拒绝服务攻击、中间人攻击。
3. 判断题:3.1 计算机网络安全只需要依靠技术手段保护,无需管理措施的支持。
答案:错误3.2 使用防火墙可以有效防止网络攻击。
答案:正确4. 解答题:4.1 简述DDoS攻击原理及防范措施。
DDoS(分布式拒绝服务)攻击是指通过大量的计算机或服务器同时向目标系统发起请求,使目标系统资源耗尽,无法为合法用户提供服务的攻击方式。
其原理是利用大量的僵尸主机或僵尸网络发起攻击,使得目标系统的带宽、CPU、内存等资源全部用尽,导致服务不可用。
防范措施包括:- 部署防火墙和入侵检测系统,对流量进行过滤和监控,及时发现异常流量。
- 增加带宽和资源,提高系统的抗压能力。
- 配置反向代理服务器或CDN(内容分发网络),分散流量,减少单一服务器负载。
- 实施流量清洗,对特定IP或特定协议的请求进行过滤和拦截。
- 加强日志管理和分析,及时发现攻击行为,并采取相应的防护措施。
4.2 说明网络钓鱼攻击的利用方式以及防范措施。
网络钓鱼攻击是指攻击者冒充合法的组织或个人,通过电子邮件、短信或社交媒体等方式,向受害者发送虚假信息,以骗取受害者的个人信息、账号和密码等敏感信息的攻击方式。
防火墙试题及答案
防火墙培训试题1. 关于防火墙的描述不正确的是: ( )A、防火墙不能防止内部攻击。
B、如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。
C、防火墙可以防止伪装成外部信任主机的 IP 地址欺骗。
D、防火墙可以防止伪装成内部信任主机的 IP 地址欺骗。
2. 防火墙的主要技术有哪些?( )A.简单包过滤技术B.状态检测包过滤技术C.应用代理技术D.复合技术E.地址翻译技术3. 防火墙有哪些部属方式?( )A.透明模式B.路由模式C.混合模式D.交换模式4. 判断题:并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。
( V )5. 判断题:对于防火墙而言,除非特殊定义,否则全部 ICMP 消息包将被禁止通过防火墙 ( 即不能使用 ping 命令来检验网络连接是否建立 ) 。
( V )6. 下列有关防火墙局限性描述哪些是正确的。
( )A、防火墙不能防范不经过防火墙的攻击B、防火墙不能解决来自内部网络的攻击和安全问题C、防火墙不能对非法的外部访问进行过滤D、防火墙不能防止策略配置不当或错误配置引起的安全威胁7. 防火墙的作用( )A、过滤进出网络的数据B、管理进出网络的访问行为C、封堵某些禁止的行为D、记录通过防火墙的信息内容和活动8. 防火墙能够完全防止传送己被病毒感染的软件和文件( X )9. 防火墙的测试性能参数一般包括( )A) 吞吐量B) 新建连接速率C) 并发连接数D) 处理时延10. 防火墙能够作到些什么?( )A、包过滤B、包的透明转发C、阻挡外部攻击D、记录攻击11. 防火墙有哪些缺点和不足?( )A 、防火墙不能抵抗最新的未设置策略的攻击漏洞B、防火墙的并发连接数限制容易导致拥塞或者溢出C、防火墙对服务器合法开放的端口的攻击大多无法阻止D、防火墙可以阻止内部主动发起连接的攻击12. 防火墙中地址翻译的主要作用是: ( )A. 提供应用代理服务B. 隐藏内部网络地址C. 进行入侵检测D. 防止病毒入侵13. 判断题:防火墙必须记录通过的流量日志,但是对于被拒绝的流量可以没有记录。
CIW-网络安全基础与防火墙题库(第四套)
做任何事情;审核日志并不能
确保系统安全,但可以帮助
发现问题;过多的主动审核会
以下关于审核的叙述,正确 影响系统性能;主动审核可以
3 的是:
在发现异常后拒绝一些主机
网络安全所面临的主要潜在 信息泄密;信息被篡改;非法
3 威胁有:
使用网络资源;计算机病毒
用户操作失误;用户无意间下
网络经常会面对来自内部用 载了木马软件;恶意的攻击;
SFF难 单选题 SFF难 单选题 SFF难 单选题
SFF难 SFF易
单选题 多选题
SFF易 多选题
SFF易 SFF易
多选题 多选题
SFF易 多选题
SFF易 多选题
SFF易 多选题
数字签名技术能够保证信息
传输过程中的安全性
;数字签名技术能够保证信息
传输过程中的完整性
;数字签名技术能够对发送者
的身份进行认证;数字签名技
6、所有的题目和答案加起来不能超过6000个英文字符或者1000个汉字
7、K值说明:当题型为情景测试与基本素养(为优选题)时,填入每一题得分比率,并且以";"(分号)隔开。当为案
在K值内填入每一小题最多答案备选数。
8、案例分析,在"可选项"中,不填写内容,在"答案"中,填写正确答案序号,并且以":"(冒号)隔开,每一小题, 隔开。
关于数字签名,下面哪种说 术能够防止交易中抵赖的发
2 法是错误的?
生
主动攻击与被动攻击;服务攻
击与非服务攻击;病毒攻击与
从网络高层协议角度,网络 主机攻击;浸入攻击与植入攻
2 攻击可以分为:
击
服务控制、方向控制、目录
信息安全试题(卷)与答案解析
信息安全试题(1/共3)一、单项选择题(每小题2分,共20分)1.信息安全的基本属性是___。
A. 保密性B.完整性C. 可用性、可控性、可靠性D. A,B,C都是2.假设使用一种加密算法,它的加密方法很简单:将每一个字母加5,即a加密成f。
这种算法的密钥就是5,那么它属于___。
A. 对称加密技术B. 分组密码技术C. 公钥加密技术D. 单向函数密码技术3.密码学的目的是___。
A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究信息安全4.A方有一对密钥(K A公开,K A秘密),B方有一对密钥(K B公开,K B秘密),A方向B方发送数字签名M,对信息M加密为:M’= K B公开(K A秘密(M))。
B方收到密文的解密方案是___。
A. K B公开(K A秘密(M’))B. K A公开(K A公开(M’))C. K A公开(K B秘密(M’))D. K B秘密(K A秘密(M’))5.数字签名要预先使用单向Hash函数进行处理的原因是___。
A. 多一道加密工序使密文更难破译B. 提高密文的计算速度C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度D. 保证密文能正确还原成明文6.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是__。
A. 身份鉴别是授权控制的基础B. 身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D. 数字签名机制是实现身份鉴别的重要机制7.防火墙用于将Internet和内部网络隔离___。
A. 是防止Internet火灾的硬件设施B. 是网络安全和信息安全的软件和硬件设施C. 是保护线路不受破坏的软件和硬件设施D. 是起抗电磁干扰作用的硬件设施8.PKI支持的服务不包括___。
A. 非对称密钥技术及证书管理B. 目录服务C. 对称密钥的产生和分发D. 访问控制服务9.设哈希函数H有128个可能的输出(即输出长度为128位),如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5,则k约等于__。
网络安全管理员考试题与答案
网络安全管理员考试题与答案一、单选题(共70题,每题1分,共70分)1、以下方法中,不适用于检测计算机病毒的是(____)。
A、校验和法B、特征代码法C、加密D、软件模拟法正确答案:C2、防火墙默认有4个安全区域,安全域优先级从高到低的排序是(____)。
A、Trust、Untrust、DMZ、LocalB、Local、DMZ、Trust、UntrustC、Local、Trust、DMZ、UntrustD、Trust、Local、DMZ、Untrust正确答案:C3、一名攻击者试图通过暴力攻击来获取下列(____)信息。
A、加密算法B、密文C、公钥D、加密密钥正确答案:D4、LOG文件在注册表的位置是(____)。
A、HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\EventlogB、HKEY_LOCAL_USER\System\CurrentControlSet\ServiCes\EventlogC、HKEY_LOCAL_MACHINE\System32\CurrentControlSet\ServiCes\EventlogD、HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\run正确答案:A5、关于黑客注入攻击说法错误的是(____)。
A、注入成功后可以获取部分权限B、对它进行防范时要关注操作系统的版本和安全补丁C、它的主要原因是程序对用户的输入缺乏过滤D、一般情况下防火墙对它无法防范正确答案:B6、包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。
它不能进行如下(____)操作。
A、禁止外部网络用户使用FTPB、允许所有用户使用HTTP浏览INTERNETC、除了管理员可以从外部网络Telnet内部网络外,其他用户都不可以D、只允许某台计算机通过NNTP发布新闻正确答案:C7、用来追踪DDoS流量的命令是(____)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
武汉职业技术学院总复习二班级:姓名:学号:一.选择题1、对于防火墙不足之处,描述错误的是 D 。
A.无法防护基于尊重作系统漏洞的攻击B.无法防护端口反弹木马的攻击C.无法防护病毒的侵袭D.无法进行带宽管理2. 防火墙对数据包进行状态检测包过滤是,不可以进行过滤的是:D。
A: 源和目的IP地址 B: 源和目的端口C: IP协议号 D: 数据包中的内容3. 防火墙对要保护的服务器作端口映射的好处是: D 。
A: 便于管理 B: 提高防火墙的性能C: 提高服务器的利用率 D: 隐藏服务器的网络结构,使服务器更加安全4. 关于防火墙发展历程下面描述正确的是 A 。
A.第一阶段:基于路由器的防火墙B. 第二阶段:用户化的防火墙工具集C. 第三阶段:具有安全尊重作系统的防火墙 D: 第四阶段:基于通用尊重作系统防火墙5. 包过滤防火墙的缺点为: A 。
A. 容易受到IP欺骗攻击B. 处理数据包的速度较慢C: 开发比较困难D: 代理的服务(协议)必须在防火墙出厂之前进行设定6. 内网用户通过防火墙访问公众网中的地址需要对源地址进行转换,规则中的动作应选择: B 。
A:Allow B:NAT C:SAT D:FwdFast7. 从安全属性对各种网络攻击进行分类,阻断攻击是针对 B 的攻击。
A. 机密性B. 可用性C. 完整性D. 真实性8. VPN的加密手段为 C 。
A. 具有加密功能的防火墙B. 具有加密功能的路由器C. VPN内的各台主机对各自的信息进行相应的加密D. 单独的加密设备9. 根据ISO的信息安全定义,下列选项中___ B _是信息安全三个基本属性之一。
A 真实性B 可用性C 可审计性D 可靠性10. 计算机病毒最本质的特性是__ C__。
A 寄生性B 潜伏性C 破坏性D 攻击性11. 防止盗用IP行为是利用防火墙的 C 功能。
A: 防御攻击的功能 B: 访问控制功能C: IP地址和MAC地址绑定功能 D: URL过滤功能12. F300-Pro是属于那个级别的产品 C 。
A:SOHO级(小型企业级) B:低端产品(中小型企业级)C:中段产品(大中型企业级) D:高端产品(电信级)13. 一般而言,Internet防火墙建立在一个网络的 C 。
A. 内部子网之间传送信息的中枢B. 每个子网的内部C. 内部网络与外部网络的交叉点D. 部分内部网络与外部网络的结合处14. 目前,VPN使用了 A 技术保证了通信的安全性。
A. 隧道协议、身份认证和数据加密B. 身份认证、数据加密C. 隧道协议、身份认证D. 隧道协议、数据加密15. 我国在1999年发布的国家标准_ C ___为信息安全等级保护奠定了基础A.GB 17799 B .GB 15408C.GB 17859 D.GB 1443016. 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑 D 。
A. 用户的方便性B. 管理的复杂性C. 对现有系统的影响及对不同平台的支持D. 上面3项都是17. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的_ B __属性。
A 保密性B 完整性C 不可否认性D 可用性18. 下面所列的__ A __安全机制不属于信息安全保障体系中的事先保护环节。
A 杀毒软件B 数字证书认证C 防火墙D 数据库加密19. 如果内部网络的地址网段为192.168.1.0/24 ,需要用到防火墙的哪个功能,才能使用户上网。
BA: 地址映射B: 地址转换C: IP地址和MAC地址绑定功能D: URL过滤功能20. 防火墙的测试性能参数一般包括 ABCD 。
(多选)A)吞吐量B)新建连接速率C)并发连接数D)处理时延二.判断题1.防火墙对内部网起到了很好的保护作用,并且它是坚不可摧的。
( X )2.防火墙策略也称为防火墙的安全规则,它是防火墙实施网络保护的重要依据。
(√)3.双重宿主主机体系结构中,双重宿主主机至少有三个网络接口。
(×)4.包过滤又称“报文过滤”,它是防火墙最传统、最基本的过滤技术。
(√)5.包过滤防火墙通常工作在OSI的三层及三层以上。
(×)6.应用级网关的安全性高并且有较好的访问控制,是目前最安全的防火墙技术。
(√)7.状态检测技术最早是CiSCo提出来的。
(×)Screen防火墙是一种高性能的软件防火墙.( × )9.Check Point防火墙的特点是以状态检查体系结构为基础,能够在OSI模型的所有七层中对通信信息进行分析和筛选。
(√)10.CiSco公司只做防火墙产品。
(×)三.名词解释1.网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2.防火墙防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。
它是一种位于内部网络与外部网络之间的网络安全系统。
一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
3.PPTP4.PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。
该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。
可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。
5.IPSEC6.“Internet 协议安全性(IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。
Microsoft®Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组(IETF)”IPSec 工作组开发的标准。
7.IPSec(I nternet P rotocol Sec urity)是安全联网的长期方向。
它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。
在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。
在 Windows 2000、Windows XP 和Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。
IPSec是IETF(Internet Engineering Task Force,Internet工程任务组)的IPSec 小组建立的一组IP安全协议集。
IPSec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
8.QOSQoS(Quality of Service,服务质量)指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力, 是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。
但是对关键应用和多媒体应用就十分必要。
当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
在RFC 3644上有对QoS的说明。
9.DMZ两个防火墙之间的空间被称为DMZ。
与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。
[1]DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
该缓冲区位于企业内部网络和外部网络之间的小网络区域内。
在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ 区域,更加有效地保护了内部网络。
因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
10.NATNAT(Network Address Translation,网络地址转换)是1994年提出的。
当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
这种方法需要在专用网连接到因特网的路由器上安装NAT软件。
装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。
这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
另外,这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用的IP地址空间的枯竭。
在RFC 1632中有对NAT的说明。
11.DOSdos,是磁盘操作系统的缩写,是个人计算机上的一类操作系统。
从1981年直到1995年的15年间,磁盘操作系统在IBM PC兼容机市场中占有举足轻重的地位。
而且,若是把部分以DOS为基础的Microsoft Windows版本,如Windows 95、Windows 98和Windows Me 等都算进去的话,那么其商业寿命至少可以算到2000年。
微软的所有后续版本中,磁盘操作系统仍然被保留着。