《防火墙技术》课程期末考试复习题-理论部分

1、防火墙技术课程期末考试复习题-理论部分1、 防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通 知信息源该信息被禁止的处理方式是（）。 A RefuseB Reject(正确答案)C AcceptD Drop2、下列关于防火墙功能的说法最准确的是:（） A、内容控制B、访问控制(正确答案)C、查杀病毒D、数据加密3、在IPSec中，使用IKE建立通道时，使用的端口号是（） A、TCP 50B、UDP 50C、TCP 500D、UDP 500(正确答案)4、对于防火墙域间安全策略，下面描述正确的是（

2、） A、域间outbound方向安全策略可以全部放开B、防火墙域间可以配置缺省包过滤，即允许所有的流量通过C、域间inbound方向安全策略可以全部放开D、禁止使用缺省包过滤，域间要配置严格的包过滤策略;若要使用缺省包过滤，需得到客户书面授权。(正确答案)5、最简单的防火墙结构是（） A、包过滤器B、路由器(正确答案)C、日志工具D、代理服务器6、网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的（）属性 A、不可否认性B、可用性C、保密性D、完整性(正确答案)7、IPSec 协议中涉及到密钥管理的重要协议是（） A、ESPB、IKE(正确答案)C、AHD、SS

3、L8、以下关于VPN 说法正确的是（） A、指的是用户通过公用网络建立的临时的、安全的连接(正确答案)B、指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路C、不能做到信息验证和身份认证D、只能提供身份认证、不能提供加密数据的功能9、PKI 所管理的基本元素是 （） A、密钥B、数字签名C、用户身份D、数字证书(正确答案)10、在企业内部网与外部网之间，用来检查网络请求分组是否合法，保护网络资源不被非法使用的技术是（）。 A、差错控制技术B、防病毒技术C、流量控制技术D、防火墙技术(正确答案)11、包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。它不

4、能进行如下哪一种操作（） A、允许所有用户使用HTTP浏览INTERNET。B、除了管理员可以从外部网络Telnet内部网络外，其他用户都不可以。(正确答案)C、禁止外部网络用户使用FTP。D、只允许某台计算机通过NNTP发布新闻。12、防火墙提供的接入模式不包括（） A、网关模式B、旁路接入模式(正确答案)C、混合模式D、透明模式13、防火墙对要保护的服务器作端口映射的好处是:（） A、隐藏服务器的网络结构，使服务器更加安全(正确答案)B、提高服务器的利用率C、提高防火墙的性能D、便于管理14、对状态检查技术的优缺点描述有误的是:（） A、配置复杂会降低网络的速度。B、支持多种协议和应用。C

5、、采用检测模块监测状态信息。D、不支持监测RPC和UDP的端口信息。(正确答案)15、VPN技术无法实现以下哪个服务?（） A、身份验证B、完整性校验C、可用性校验(正确答案)D、传输加密16、IPSec 协议中的AH 协议不能提供下列哪一项服务? （） A、机密性(正确答案)B、数据源认证C、数据包重放D、访问控制17、目前在防火墙上提供了几种认证方法，其中防火墙设定可以访问内部网络资源的用户访问权限是:（） A、会话认证B、其余都不是C、用户认证(正确答案)D、客户认证18、IPSec属于（）的安全解决方案。 A、应用层B、网络层(正确答案)C、物理层D、传输层19、某局点部署了两台防火墙

6、A/B，但是由于工程师的疏忽没有部署双机热备。但现网中存在流量来回路径不一致情况（即从A墙出去的流量会从B墙回来），在这种场景下TCP业务就会中断。请问此时为了紧急恢复业务，需要怎么做?假设域间包过滤配置没有问题（） A、两台防火墙上行接口配置hrp trackB、没有办法解决，只能部署双机热备C、两台防火墙配置undo firewall session link-state check(正确答案)D、两台防火墙配置hrp enable20、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是（）。 A、杀毒软件B、IDSC、防火墙(正确答案)D、路由器21、OSI模型中，LLC头

7、数据封装在数据包的过程是在（） A、传输层B、网络层C、数据链路层(正确答案)D、物理层22、VPN 它有两层含义:首先是“虚拟的”， 即用户实际上并不存在一个独立专用的网络， 既不需要建设或租用专线， 也不需要装备专用的设备， 而是将其建立在分布广泛的公共网络上， 就能组成一个属于自己专用的网络。 其次是“专用的”， 相对于“公用的”来说， 它强调私有性和安全可靠性。 不属于 VPN 的核心技术是（） A、日志记录(正确答案)B、访问控制C、身份认证D、隧道技术23、关于屏蔽子网防火墙,下列说法错误的是: （） A、内部用户可以不通过DMZ直接访问Internet(正确答案)B、内部网对于I

8、nternet来说是不可见的;C、屏蔽子网防火墙既支持应用级网关也支持电路级网关;D、屏蔽子网防火墙是几种防火墙类型中最安全的;24、下面关于外部网VPN的描述错误的有: （） A、外部网VPN能保证包括TCP和UDP服务的安全。B、VPN服务器放在Internet上位于防火墙之外。(正确答案)C、其目的在于保证数据传输中不被修改。D、VPN可以建在应用层或网络层上。25、一般的防火墙不能实现以下哪些功能?（） A、隔离公司网络和不可信网络B、隔离内网C、提供对单点的监控D、防止病毒和特络依木马程序(正确答案)26、关于防火墙和VPN的使用，下面说法不正确的是（）。 A、配置VPN网关防火墙的

9、一种方法是把它们并行放置，两者要互相依赖B、配置VPN网关防火墙的一种方法是把它们并行放置，两者独立C、配置VPN网关防火墙一种方法是把它们串行放置，防火墙广域网一侧，VPN在局域网一侧(正确答案)D、配置VPN网关防火墙的一种方法是把它们串行放置，防火墙局域网一侧，VPN在广域网一侧27、目前在防火墙上提供了几种认证方法，其中防火墙提供授权用户特定的服务权限是:（） A、其余都不是B、会话认证C、用户认证D、客户认证(正确答案)28、包过滤防火墙的缺点为:（） A、开发比较困难B、处理数据包的速度较慢C、代理的服务（协议）必须在防火墙出厂之前进行设定D、容易受到IP欺骗攻击(正确答案)29、

10、某工程师现网进行IPSEC测试时，为了调测方便在连接internet接口的untrust域和local域inbound方向包过滤acl中配置了rule permit ip。测试完成后该工程师没有删除该配置，请问这样做是否有风险，风险是什么?（） A、没有风险，但是按照配置规范还是要把acl中permit ip去掉B、有风险，ipsec隧道会一直建立C、没有风险D、有风险，防火墙可能会遭受到来自internet的攻击(正确答案)30、某单位通过防火墙进行互联网接入，外网口地址为，内网口地址为，这种情况下防火墙工作模式为（） A、其余都不对B、路由模式(正确答案)C、代理模式D、透明模式31、防火

11、墙最主要被部署在（）位置 A、骨干线路B、重要服务器C、桌面终端D、网络边界(正确答案)32、IPSec协议是开放的VPN协议。对它的描述有误的是:（） A、不支持除TCP/IP外的其它协议。B、支持动态的IP地址分配。(正确答案)C、适应于向IPv6迁移。D、提供在网络层上的数据加密保护。33、防火墙的安全性角度，最好的防火墙结构类型是（） A、双宿主主机结构B、屏蔽子网结构(正确答案)C、屏蔽主机结构D、路由器型34目前，VPN使用了（）技术保证了通信的安全性。 A、隧道协议、身份认证和数据加密(正确答案)B、隧道协议、数据加密C、身份认证、数据加密D、隧道协议、身份认证35 防火墙作为一

12、种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止（） B、外部攻击C、外部攻击和外部威胁D、内部威胁和病毒威胁(正确答案)A、外部攻击、外部威胁和病毒威胁36组成IPSEC的主要安全协议不包括以下哪一项:（） A、ESPB、IKEC、AHD、DSS(正确答案)37下列关于防火墙的说法正确的是（） A、默认情况下防火墙允许所有传入连接B、默认情况下防火墙允许所有传出连接(正确答案)C、出站规则即其他主机连入你的电脑的规则D、入栈规则即你的电脑连接其他主机的规则38某单位想用防火墙对telnet协议的命令进行限制，应选在什么类型的防火墙（） A、应用代理技术B、NAT技术C、包过滤技术

13、(正确答案)D、状态检测技术39防火墙双机热备组网下流量转发的描述正确的是 （） A、防火墙负载分担组网（双主组网），两台防火墙上都可以配置ACLB、防火墙主备组网（上下行业务口是二层口），送到备防火墙的流量仍然会被转发C、防火墙主备组网（上下行业务口是三层口），送到备防火墙的流量无法转发，会被备防火墙丢弃D、防火墙负载分担组网（双主组网），两台防火墙上的会话会相互向对端备份(正确答案)40关于防火墙的描述不正确的是:（） A、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。B、防火墙不能防止内部攻击。C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。(正确答案)D、防火墙可以防止

14、伪装成内部信任主机的IP地址欺骗。二、多选题 （题数:15，共 30.0 分）1防火墙一般需要检测哪些扫描行为?（） A、icmp-scan(正确答案)B、tcp-synfloodC、Port-scan(正确答案)D、udp-scan(正确答案)2在地址翻译原理中，防火墙根据什么来使要传输到相同的目的IP发送给内部不同的主机上:（） A、防火墙使用广播的方式发送。B、防火墙根据每个包的TCP序列号。(正确答案)C、防火墙根据每个包的时间顺序。D、防火墙纪录的包的目的端口。(正确答案)3防火墙能够作到些什么?（）（2. A、包的透明转发(正确答案)B、记录攻击(正确答案)C、包过滤(正确答案)D

15、、阻挡外部攻击(正确答案)4按照不同的商业环境对VPN的要求和VPN所起的作用区分，VPN分为:（） A、内部网VPN(正确答案)B、外部网VPN(正确答案)C、点对点专线VPND、远程访问VPN(正确答案)5防火墙有哪些缺点和不足?（） A、防火墙的并发连接数限制容易导致拥塞或者溢出(正确答案)B、防火墙不能抵抗最新的未设置策略的攻击漏洞(正确答案)C、防火墙可以阻止内部主动发起连接的攻击D、防火墙对服务器合法开放的端口的攻击大多无法阻止(正确答案)6JOHN的公司选择采用IPSec协议作为公司分支机构连接内部网VPN的安全协议。以下那几条是对IPSec的正确的描述:（）（2. A、在隧道模

16、式下，信息封装隐藏了路由信息。B、加密IP地址和数据以保证私有性。(正确答案)C、保证数据在通过网络传输时的完整性。(正确答案)D、它对主机和端点进行身份鉴别。(正确答案)7使用基于路由器的防火墙使用访问控制表实现过滤，它的缺点有:（） A、路由器本身具有安全漏洞。(正确答案)B、分组过滤规则的设置和配置存在安全隐患。(正确答案)C、无法防范“假冒”的地址。(正确答案)D、对访问行为实施静态、固定的控制与路由器的动态、灵活的路由矛盾。(正确答案)8、IPSec 的两种工作方式（） A、tunnel(正确答案)B、NAS-initiatedC、Client-initiatedD、transpor

17、t(正确答案)9防火墙的主要技术有哪些?（）（2. A、简单包过滤技术(正确答案)B、地址翻译技术(正确答案)C、状态检测包过滤技术(正确答案)D、复合技术(正确答案)E、应用代理技术(正确答案)10、Network Address Translation技术将一个IP地址用另一个IP地址代替，它在防火墙上的作用是: （） A、由于IP地址匮乏而使用无效的IP地址。(正确答案)B、外网攻击者不能攻击到内网主机。C、隐藏内部网络地址，保证内部主机信息不泄露。(正确答案)D、使内网的主机受网络安全管理规则的限制。11、VPN中应用的安全协议有哪些?（）（2. A、PPTP(正确答案)B、IPSec

18、(正确答案)C、TCPD、L2TP(正确答案)12下面关于GRE 协议描述正确的是（） A、GRE 提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel(正确答案)B、GRE 协议是二层VPN 协议C、GRE 协议实际上是一种承载协议(正确答案)D、GRE 是对某些网络层协议（如:IP，IPX 等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如:IP）中传输(正确答案)13使用基于路由器的防火墙使用访问控制表实现过滤，它的缺点有:（） A、对访问行为实施静态、固定的控制与路由器的动态、灵活的路由矛盾。(正确答案)B、分组过滤规则的设置和配置存在安全隐患。(正确答案)C、无法防范“假冒”的地址。(正确答案)D、路由器本身具有安全漏洞。(正确答案)14、