防火墙技术理论知识考核试题及答案

防火墙技术理论知识考核一、选择题1、防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通知信息源该信息被禁止的处理方式是（）。[单选题]*ARefuseBReject√CAcceptDDrop2、下列关于防火墙功能的说法最准确的是:（）[单选题]*A、内容控制B、访问控制√C、查杀病毒D、数据加密3、在IPSec中，使用IKE建立通道时，使用的端口号是（）[单选题]*A、TCP50B、UDP50C、TCP500D、UDP500√4、对于防火墙域间安全策略，下面描述正确的是（）[单选题]*A、域间outbound方向安全策略可以全部放开B、防火墙域间可以配置缺省包过滤，即允许所有的流量通过C、域间inbound方向安全策略可以全部放开D、禁止使用缺省包过滤，域间要配置严格的包过滤策略;若要使用缺省包过滤，需得到客户书面授权。√5、最简单的防火墙结构是（）[单选题]*A、包过滤器B、路由器√C、日志工具D、代理服务器6、网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的（）属性[单选题]*A、不可否认性B、可用性C、保密性D、完整性√7、IPSec协议中涉及到密钥管理的重要协议是（）[单选题]*A、ESPB、IKE√C、AHD、SSL8、以下关于VPN说法正确的是（）[单选题]*A、指的是用户通过公用网络建立的临时的、安全的连接√B、指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路C、不能做到信息验证和身份认证D、只能提供身份认证、不能提供加密数据的功能9、PKI所管理的基本元素是（）[单选题]*A、密钥B、数字签名C、用户身份D、数字证书√10、在企业内部网与外部网之间，用来检查网络请求分组是否合法，保护网络资源不被非法使用的技术是（）。[单选题]*A、差错控制技术B、防病毒技术C、流量控制技术D、防火墙技术√11、包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。它不能进行如下哪一种操作（）[单选题]*A、允许所有用户使用HTTP浏览INTERNET。B、除了管理员可以从外部网络Telnet内部网络外，其他用户都不可以。√C、禁止外部网络用户使用FTP。D、只允许某台计算机通过NNTP发布新闻。12、防火墙提供的接入模式不包括（）[单选题]*A、网关模式B、旁路接入模式√C、混合模式D、透明模式13、防火墙对要保护的服务器作端口映射的好处是:（）[单选题]*A、隐藏服务器的网络结构，使服务器更加安全√B、提高服务器的利用率C、提高防火墙的性能D、便于管理14、对状态检查技术的优缺点描述有误的是:（）[单选题]*A、配置复杂会降低网络的速度。B、支持多种协议和应用。C、采用检测模块监测状态信息。D、不支持监测RPC和UDP的端口信息。√15、VPN技术无法实现以下哪个服务?（）[单选题]*A、身份验证B、完整性校验C、可用性校验√D、传输加密16、IPSec协议中的AH协议不能提供下列哪一项服务?（）[单选题]*A、机密性√B、数据源认证C、数据包重放D、访问控制17、目前在防火墙上提供了几种认证方法，其中防火墙设定可以访问内部网络资源的用户访问权限是:（）[单选题]*A、会话认证B、其余都不是C、用户认证√D、客户认证18、IPSec属于（）的安全解决方案。[单选题]*A、应用层B、网络层√C、物理层D、传输层19、某局点部署了两台防火墙A/B，但是由于工程师的疏忽没有部署双机热备。但现网中存在流量来回路径不一致情况（即从A墙出去的流量会从B墙回来），在这种场景下TCP业务就会中断。请问此时为了紧急恢复业务，需要怎么做?假设域间包过滤配置没有问题（）[单选题]*A、两台防火墙上行接口配置hrptrackB、没有办法解决，只能部署双机热备C、两台防火墙配置undofirewallsessionlink-statecheck√D、两台防火墙配置hrpenable20、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是（）。[单选题]*A、杀毒软件B、IDSC、防火墙√D、路由器21、OSI模型中，LLC头数据封装在数据包的过程是在（）[单选题]*A、传输层B、网络层C、数据链路层√D、物理层22、VPN它有两层含义:首先是“虚拟的”，即用户实际上并不存在一个独立专用的网络，既不需要建设或租用专线，也不需要装备专用的设备，而是将其建立在分布广泛的公共网络上，就能组成一个属于自己专用的网络。其次是“专用的”，相对于“公用的”来说，它强调私有性和安全可靠性。不属于VPN的核心技术是（）[单选题]*A、日志记录√B、访问控制C、身份认证D、隧道技术23、关于屏蔽子网防火墙,下列说法错误的是:（）[单选题]*A、内部用户可以不通过DMZ直接访问Internet√B、内部网对于Internet来说是不可见的;C、屏蔽子网防火墙既支持应用级网关也支持电路级网关;D、屏蔽子网防火墙是几种防火墙类型中最安全的;24、下面关于外部网VPN的描述错误的有:（）[单选题]*A、外部网VPN能保证包括TCP和UDP服务的安全。B、VPN服务器放在Internet上位于防火墙之外。√C、其目的在于保证数据传输中不被修改。D、VPN可以建在应用层或网络层上。25、一般的防火墙不能实现以下哪些功能?（）[单选题]*A、隔离公司网络和不可信网络B、隔离内网C、提供对单点的监控D、防止病毒和特络依木马程序√26、关于防火墙和VPN的使用，下面说法不正确的是（）。[单选题]*A、配置VPN网关防火墙的一种方法是把它们并行放置，两者要互相依赖B、配置VPN网关防火墙的一种方法是把它们并行放置，两者独立C、配置VPN网关防火墙一种方法是把它们串行放置，防火墙广域网一侧，VPN在局域网一侧√D、配置VPN网关防火墙的一种方法是把它们串行放置，防火墙局域网一侧，VPN在广域网一侧27、目前在防火墙上提供了几种认证方法，其中防火墙提供授权用户特定的服务权限是:（）[单选题]*A、其余都不是B、会话认证C、用户认证D、客户认证√28、包过滤防火墙的缺点为:（）[单选题]*A、开发比较困难B、处理数据包的速度较慢C、代理的服务（协议）必须在防火墙出厂之前进行设定D、容易受到IP欺骗攻击√29、某工程师现网进行IPSEC测试时，为了调测方便在连接internet接口的untrust域和local域inbound方向包过滤acl中配置了rulepermitip。测试完成后该工程师没有删除该配置，请问这样做是否有风险，风险是什么?（）[单选题]*A、没有风险，但是按照配置规范还是要把acl中permitip去掉B、有风险，ipsec隧道会一直建立C、没有风险D、有风险，防火墙可能会遭受到来自internet的攻击√30、某单位通过防火墙进行互联网接入，外网口地址为，内网口地址为，这种情况下防火墙工作模式为（）[单选题]*A、其余都不对B、路由模式√C、代理模式D、透明模式31、防火墙最主要被部署在（）位置[单选题]*A、骨干线路B、重要服务器C、桌面终端D、网络边界√32、IPSec协议是开放的VPN协议。对它的描述有误的是:（）[单选题]*A、不支持除TCP/IP外的其它协议。B、支持动态的IP地址分配。√C、适应于向IPv6迁移。D、提供在网络层上的数据加密保护。33、防火墙的安全性角度，最好的防火墙结构类型是（）[单选题]*A、双宿主主机结构B、屏蔽子网结构√C、屏蔽主机结构D、路由器型34目前，VPN使用了（）技术保证了通信的安全性。[单选题]*A、隧道协议、身份认证和数据加密√B、隧道协议、数据加密C、身份认证、数据加密D、隧道协议、身份认证35防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止（）[单选题]*B、外部攻击C、外部攻击和外部威胁D、内部威胁和病毒威胁√A、外部攻击、外部威胁和病毒威胁36组成IPSEC的主要安全协议不包括以下哪一项:（）[单选题]*A、ESPB、IKEC、AHD、DSS√37下列关于防火墙的说法正确的是（）[单选题]*A、默认情况下防火墙允许所有传入连接B、默认情况下防火墙允许所有传出连接√C、出站规则即其他主机连入你的电脑的规则D、入栈规则即你的电脑连接其他主机的规则38某单位想用防火墙对telnet协议的命令进行限制，应选在什么类型的防火墙（）[单选题]*A、应用代理技术B、NAT技术C、包过滤技术√D、状态检测技术39防火墙双机热备组网下流量转发的描述正确的是（）[单选题]*A、防火墙负载分担组网（双主组网），两台防火墙上都可以配置ACLB、防火墙主备组网（上下行业务口是二层口），送到备防火墙的流量仍然会被转发C、防火墙主备组网（上下行业务口是三层口），送到备防火墙的流量无法转发，会被备防火墙丢弃D、防火墙负载分担组网（双主组网），两台防火墙上的会话会相互向对端备份√40关于防火墙的描述不正确的是:（）[单选题]*A、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。B、防火墙不能防止内部攻击。C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。√D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。二、多选题1防火墙一般需要检测哪些扫描行为?（）[多选题]*A、icmp-scan√B、tcp-synfloodC、Port-scan√D、udp-scan√2在地址翻译原理中，防火墙根据什么来使要传输到相同的目的IP发送给内部不同的主机上:（）[多选题]*A、防火墙使用广播的方式发送。B、防火墙根据每个包的TCP序列号。√C、防火墙根据每个包的时间顺序。D、防火墙纪录的包的目的端口。√3防火墙能够作到些什么?（）（2.[多选题]*A、包的透明转发√B、记录攻击√C、包过滤√D、阻挡外部攻击√4按照不同的商业环境对VPN的要求和VPN所起的作用区分，VPN分为:（）[多选题]*A、内部网VPN√B、外部网VPN√C、点对点专线VPND、远程访问VPN√5防火墙有哪些缺点和不足?（）[多选题]*A、防火墙的并发连接数限制容易导致拥塞或者溢出√B、防火墙不能抵抗最新的未设置策略的攻击漏洞√C、防火墙可以阻止内部主动发起连接的攻击D、防火墙对服务器合法开放的端口的攻击大多无法阻止√6JOHN的公司选择采用IPSec协议作为公司分支机构连接内部网VPN的安全协议。以下那几条是对IPSec的正确的描述:（）（2.[多选题]*A、在隧道模式下，信息封装隐藏了路由信息。B、加密IP地址和数据以保证私有性。√C、保证数据在通过网络传输时的完整性。√D、它对主机和端点进行身份鉴别。√7使用基于路由器的防火墙使用访问控制表实现过滤，它的缺点有:（）[多选题]*A、路由器本身具有安全漏洞。√B、分组过滤规则的设置和配置存在安全隐患。√C、无法防范“假冒”的地址。√D、对访问行为实施静态、固定的控制与路由器的动态、灵活的路由矛盾。√8、IPSec的两种工作方式（）[多选题]*A、tunnel√B、NAS-initiatedC、Client-initiatedD、transport√9防火墙的主要技术有哪些?（）（2.[多选题]*A、简单包过滤技术√B、地址翻译技术√C、状态检测包过滤技术√D、复合技术√E、应用代理技术√10、NetworkAddressTranslation技术将一个IP地址用另一个IP地址代替，它在防火墙上的作用是:（）[多选题]*A、由于IP地址匮乏而使用无效的IP地址。√B、外网攻击者不能攻击到内网主机。C、隐藏内部网络地址，保证内部主机信息不泄露。√D、使内网的主机受网络安全管理规则的限制。11、VPN中应用的安全协议有哪些?（）（2.[多选题]*A、PPTP√B、IPSec√C、TCPD、L2TP√12下面关于GRE协议描述正确的是（）[多选题]*A、GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel√B、GRE协议是二层VPN协议C、GRE协议实际上是一种承载协议√D、GRE是对某些网络层协议（如:IP，IPX等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如:IP）中传输√13使用基于路由器的防火墙使用访问控制表实现过滤，它的缺点有:（）[多选题]*A、对访问行为实施静态、固定的控制与路由器的动态、灵活的路由矛盾。√B、分组过滤规则的设置和配置存在安全隐患。√C、无法防范“假冒”的地址。√D、路由器本身具有安全漏洞。√14、IPSec协议用密码技术从三个方面来保证数据的完整性:（）[多选题]*A、访问控制B、加密√C、完整性检查√D、认证√15防火墙要实现的控制功能有哪些?（）[多选题]*A、用户控制√B、服务控制√C、方向控制√D、行为控制√三、判断题1在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。[判断题]*对√错2包过滤又称“报文过滤”，它是防火墙最传统、最基本的过滤技术。[判断题]*对√错3VPN用户登录到防火墙，通过防火墙访问内部网络时，不受访问控制策略的约束。[判断题]*对错√4防火墙必须记录通过的流量日志，但是对于