防火墙安全配置规范试题

防火墙安全配置规范试题总分：100分时间：70分钟姓名：_____________工号：__________判断题（每题2分，共20分）工程师开局需要使用推荐版本和补丁。（对）防火墙Console口缺省没有密码，任何人都可以使用Console口登录设备。（错）一般情况下把防火墙连接的不安全网络加入低优先级域，安全网络加入高优先级域（对）防火墙缺省包过滤默认是打开的。（错）防火墙local域和其它域inbound方向可以不做安全策略控制。（错）防火墙双机热备场景下，HRP心跳线可以只用一条物理链路。（错）原则上SNMP需要采用安全的版本，不得采用默认的community，禁用SNMP写功能，配置SNMP访问列表限制访问。（对）防火墙可以一直开启ftpserver功能。（错）远程登录防火墙建议使用SSH方式。（对）正确设置设备的系统时间，确保时间的正确性。（对）单选题（每题3分，共36分）防火墙一般部署在内网和外网之间，为了保护内网的安全，防火墙提出了一种区别路由器的新概念（A），用来保障网络安全。安全区域接口检测虚拟通道认证与授权防火墙默认有4个安全区域，安全域优先级从高到低的排序是（C）Trust、Untrust、DMZ、LocalLocal、DMZ、Trust、UntrustLocal、Trust、DMZ、UntrustTrust、Local、DMZ、Untrust针对防火墙安全功能描述错误的是（D）防火墙可以划分为不同级别的安全区域，优先级从1-100一般将内网放入Trust域，服务器放入DMZ域，外网属于Untrust域要求在域间配置严格的包过滤策略防火墙默认域间缺省包过滤是permit的防火墙Console口缺省用户名和密码是（D）huawei；huaweihuawei；huawei@123root；huaweiadmin；Admin@123防火墙登录密码必须使用强密码，什么是强密码？（D）长度大于8，同时包含数字、字母包含数字，字母、特殊字符包含数字，字母 长度大于8，同时包含数字、字母、特殊字符对于防火墙域间安全策略，下面描述正确的是（）防火墙域间可以配置缺省包过滤，即允许所有的流量通过域间inbound方向安全策略可以全部放开域间outbound方向安全策略可以全部放开禁止使用缺省包过滤，域间要配置严格的包过滤策略；若要使用缺省包过滤，需得到客户书面授权。若防火墙连接internet的接口在untrust区域，内网服务器在DMZ区域，防火墙做了服务器公网地址到私网地址的映射（natserver）。请问untrust和DMZ域间安全策略如何做？（）使用域间缺省包过滤在inbound方向配置源地址为any，目的地址为私网地址的acl在inbound方向配置源地址为any，目的为服务器私网地址+目的端口的acl在inbound方向配置源地址为any，目的为服务器公网地址+目的端口的acl某工程师现网进行IPSEC测试时，为了调测方便在连接internet接口的untrust域和local域inbound方向包过滤acl中配置了rulepermitip。测试完成后该工程师没有删除该配置，请问这样做是否有风险，风险是什么？（）没有风险有风险，防火墙可能会遭受到来自internet的攻击没有风险，但是按照配置规范还是要把acl中permitip去掉有风险，ipsec隧道会一直建立某局点untrust和trust域间inbound配置了严格包过滤，但acl的最后一个rule没有配置denyip，同时域间缺省包过滤配置为permit。请问此时从untrust域访问trust域的报文如何处理（）由于先匹配域间acl，若没有命中rule报文直接被丢弃先匹配域间acl，如果没有匹配到相应的rule，但是由于域间缺省包过滤是permit，所以报文仍然转发由于先匹配了域间缺省包过滤，所以报文仍然可以转发以上都不对某局点部署了两台防火墙A/B，但是由于工程师的疏忽没有部署双机热备。但现网中存在流量来回路径不一致情况（即从A墙出去的流量会从B墙回来），在这种场景下TCP业务就会中断。请问此时为了紧急恢复业务，需要怎么做？假设域间包过滤配置没有问题（）两台防火墙配置hrpenable两台防火墙上行接口配置hrptrack没有办法解决，只能部署双机热备两台防火墙配置undofirewallsessionlink-statecheck关于双机热备配置，以下说明不正确的是（）配置VRRP的接口的类型、编号要一致对应插槽上的接口/子接口配置的VRRP要一致对应插槽上的接口/子接口必须加入到相同的安全区域主备防火墙的HRP备份通道配置必须一致HRP默认可以自动调整备防火墙通过ospf发布路由的cost值12.防火墙双机热备组网下流量转发的描述正确的是()防火墙主备组网（上下行业务口是三层口），送到备防火墙的流量无法转发，会被备防火墙丢弃防火墙主备组网（上下行业务口是二层口），送到备防火墙的流量仍然会被转发防火墙负载分担组网（双主组网），两台防火墙上的会话会相互向对端备份防火墙负载分担组网（双主组网），两台防火墙上都可以配置ACL多选题（每题4分，共44分）在域间配置严格包过滤时，下列说法正确的是（）域间包过滤acl最后一个rule需要配置denyip域间包过滤acl内不允许配置rulepermitip必要时域间包过滤acl内rule配置需要精确到端口域间包过滤acl可以随意配置rule的策略在PS网络中，防火墙承担了NAT设备和内部网络的安全防护作用。假如防火墙所连接的内网中存在DNS服务器，对GPRS/3G用户提供DNS服务，GPRS/3G用户的IP地址是由GGSN来分配，并在防火墙上转换成公网地址访问internet。防火墙连接GGSN接口位于gi_trust域，DNS位于DMZ区域（DMZ域优先级高于gi_trust），请问DMZ和gi_trust域间安全策略如何配置（）因为两个域都处于内网中，所以inbound和outbound方向安全策略可以完全放开inbound方向配置源为GGSN地址池，目的为DNS地址的aclinbound方向配置源为GGSN地址池，目的为DNS地址+目的端口的acloutbound方向虽然存在安全风险可能性很小，但是根据规范要求也不能使用缺省包过滤。客户需要对从untrust域远程通过SSH登录防火墙的IP地址进行限制，假设防火墙上只有四个域：local、untrust、trust、dmz下列哪些配置是正确的（）在user-interfacevty04下配置acl在untrust和trust之间配置严格包过滤，域间只允许特定地址互访在untrust和dmz之间配置严格包过滤，域间只允许特定地址互访在untrust和local之间配置严格包过滤，域间只允许特定地址互访防火墙部署双机热备的主要目的是什么？（）提供设备冗余备份提供防火墙session备份提供备防火墙可以备份主防火墙所有配置功能当网络中存在流量来回路径不一致时，可以使业务不中断对于防火墙inbound和outbound描述正确的是（）Inbound是指数据流从高优先级域到低优先级域outbound是指数据流从高优先级域到低优先级域inbound是指数据流从低优先级域到高优先级域outbound是指数据流从低优先级域到高优先级域ACL是实现数据流控制的手段之一，在防火墙中，ACL一般用到的有哪些特性（）源地址和通配符掩码基于时间段的ACL控制使用地址组和端口组进行流控基本ACL和高级ACL都是通过五元组来实现流量控制设备割接入网前，双机热备要做哪些验证（）模拟设备业务接口DOWN验证模拟接口板故障验证有多块业务板时，要模拟业务板故障验证模拟主用防火墙整机重启验证关于防火墙的包过滤以下说法中正确的是（）包过滤一般应用于域间安全策略中包过滤通过ACL定义过滤规则防火墙通过检查包头，并与ACL进行匹配，决定数据的丢弃与否包过滤ACL最后一个rule必须配置denyip域间安全策略先通过策略条件的匹配，然后再执行permitordeny，域间策略匹配条件包括以下哪几项（）IP报文的标准五元组时间段IP报文中的优先级字段和服务类型字段地址集、端口集在有内网服务器资源时，以下哪几项可以避免服务器被攻击（）将服务器放入安全区域内，配置域间策略，通过严格的ACL进行数据流的控制在作NATserver时只把业务端口映射到内网服务器，禁止公网到私网一对一IP地址映射服务器要使用强密码，并进行安全加固开启部分攻击防范检测功能某运营商购买我司两台E8000E-X8高端