防火墙试题和答案解析

..-优选**职业技术学院总复习二班级：**：学号：一．选择题1、对于防火墙缺乏之处，描述错误的选项是D。A.无法防护基于尊重作系统漏洞的攻击B.无法防护端口反弹木马的攻击C.无法防护病毒的侵袭D.无法进展带宽管理2.防火墙对数据包进展状态检测包过滤是，不可以进展过滤的是：D。A:源和目的IP地址B:源和目的端口C:IP协议号D:数据包中的内容3.防火墙对要保护的效劳器作端口映射的好处是：D。A:便于管理B:提高防火墙的性能C:提高效劳器的利用率D:隐藏效劳器的网络构造，使效劳器更加平安4.关于防火墙开展历程下面描述正确的选项是A。第一阶段：基于路由器的防火墙B.第二阶段：用户化的防火墙工具集C.第三阶段：具有平安尊重作系统的防火墙D:第四阶段：基于通用尊重作系统防火墙5.包过滤防火墙的缺点为：A。A.容易受到IP欺骗攻击B.处理数据包的速度较慢C:开发比较困难D:代理的效劳〔协议〕必须在防火墙出厂之前进展设定6.内网用户通过防火墙公众网中的地址需要对源地址进展转换，规那么中的动作应选择：B。A:AllowB：NATC：SATD：FwdFast7.从平安属性对各种网络攻击进展分类，阻断攻击是针对B的攻击。 【B】A.**性B.可用性C.完整性D.真实性8.VPN的加密手段为C。A.具有加密功能的防火墙B.具有加密功能的路由器C.VPN内的各台主机对各自的信息进展相应的加密D.单独的加密设备9.根据ISO的信息平安定义，以下选项中___B_是信息平安三个根本属性之一。A

真实性B

可用性C

可审计性D

可靠性10.计算机病毒最本质的特性是__C__。A

寄生性B

潜伏性C

破坏性D

攻击性11.防止盗用IP行为是利用防火墙的C功能。A:防御攻击的功能B:控制功能C:IP地址和MAC地址绑定功能D:URL过滤功能12.F300-Pro是属于那个级别的产品C。A:SOHO级〔小型企业级〕B：低端产品〔中小型企业级〕C：中段产品〔大中型企业级〕D：高端产品〔电信级〕13.一般而言，Internet防火墙建立在一个网络的C。A.内部子网之间传送信息的中枢B.每个子网的内部C.内部网络与外部网络的穿插点D.局部内部网络与外部网络的结合处14.目前，VPN使用了A技术保证了通信的平安性。A.隧道协议、身份认证和数据加密B.身份认证、数据加密C.隧道协议、身份认证D.隧道协议、数据加密15.我国在1999年发布的国家标准_C___为信息平安等级保护奠定了根底A．

GB17799B

．GB15408C．

GB17859D．GB1443016.网络平安最终是一个折衷的方案，即平安强度和平安操作代价的折衷，除增加平安设施投资外，还应考虑D。 A.用户的方便性B.管理的复杂性C.对现有系统的影响及对不同平台的支持D.上面3项都是17.网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息平安的_B__属性。A

**性B

完整性C

不可否认性D

可用性18.下面所列的__A__平安机制不属于信息平安保障体系中的事先保护环节。A

杀毒软件B

数字证书认证C

防火墙D

数据库加密19.如果内部网络的地址网段为/24，需要用到防火墙的哪个功能，才能使用户上网。BA:地址映射B:地址转换C:IP地址和MAC地址绑定功能D:URL过滤功能20.防火墙的测试性能参数一般包括ABCD。(多项选择)A〕吞吐量B〕新建连接速率C〕并发连接数D〕处理时延二．判断题1.防火墙对内部网起到了很好的保护作用，并且它是坚不可摧的。〔X〕2.防火墙策略也称为防火墙的平安规那么，它是防火墙实施网络保护的重要依据。〔√〕3.双重宿主主机体系构造中，双重宿主主机至少有三个网络接口。〔×〕4.包过滤又称“报文过滤〞，它是防火墙最传统、最根本的过滤技术。〔√〕5.包过滤防火墙通常工作在OSI的三层及三层以上。〔×〕6.应用级网关的平安性高并且有较好的控制，是目前最平安的防火墙技术。〔√〕7.状态检测技术最早是CiSCo提出来的。〔×〕8.NetScreen防火墙是一种高性能的软件防火墙.(×)9.CheckPoint防火墙的特点是以状态检查体系构造为根底，能够在OSI模型的所有七层中对通信信息进展分析和筛选。〔√〕10.CiSco公司只做防火墙产品。〔×〕三．名词解释网络平安网络平安是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络效劳不中断。防火墙防火墙〔Firewall〕，也称防护墙，是由CheckPoint创立者GilShwed于1993年创造并引入国际互联网〔US5606668〔A〕1993-12-15〕。它是一种位于内部网络与外部网络之间的网络平安系统。一项信息平安的防护系统，依照特定的规那么，允许或是限制传输的数据通过。PPTPPPTP〔PointtoPointTunnelingProtocol〕，即点对点隧道协议。该协议是在PPP协议的根底上开发的一种新的增强型平安协议，支持多协议虚拟专用网〔VPN〕，可以通过密码验证协议〔PAP〕、可扩展认证协议〔EAP〕等方法增强平安性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络平安地企业网。IPSEC“Internet协议平安性(IPSec)〞是一种开放标准的框架构造，通过使用加密的平安效劳以确保在Internet协议(IP)网络上进展**而平安的通讯。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族实施IPSec是基于“Internet工程任务组(IETF)〞IPSec工作组开发的标准。IPSec〔InternetProtocolSecurity〕是平安联网的长期方向。它通过端对端的平安性来提供主动的保护以防止专用网络与Internet的攻击。在通信中，只有发送方和接收方才是唯一必须了解IPSec保护的计算机。在Windows2000、WindowsXP和WindowsServer2003家族中，IPSec提供了一种能力，以保护工作组、局域网计算机、域客户端和效劳器、分支机构〔物理上为远程机构〕、Extranet以及漫游客户端之间的通信。IPSec是IETF〔InternetEngineeringTaskForce，Internet工程任务组〕的IPSec小组建立的一组IP平安协议集。IPSec定义了在网际层使用的平安效劳，其功能包括数据加密、对网络单元的控制、数据源地址验证、数据完整性检查和防止重放攻击。QOSQoS〔QualityofService，效劳质量〕指一个网络能够利用各种根底技术，为指定的网络通信提供更好的效劳能力,是网络的一种平安机制，是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比方Web应用，或设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。在RFC3644上有对QoS的说明。DMZ两个防火墙之间的空间被称为DMZ。与Internet相比，DMZ可以提供更高的平安性，但是其平安性比内部网络低。[1]DMZ是英文“demilitarizedzone〞的缩写，中文名称为“隔离区〞，也称“非军事化区〞。它是为了解决安装防火墙后外部网络的用户不能内部网络效劳器的问题，而设立的一个非平安系统与平安系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的效劳器设施，如企业Web效劳器、FTP效劳器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。NATNAT〔NetworkAddressTranslation，网络地址转换〕是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址〔即仅在本专用网内使用的专用地址〕，但现在又想和因特网上的主机通信〔并不需要加密〕时，可使用NAT方法。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。另外，这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用的IP地址空间的枯竭。在RFC1632中有对NAT的说明。DOSdos，是HYPERLINK"s://baike.baidu./item/%E7%A3%81%E7%9B%98%E6%93%8D%