防火墻考試復(fù)習(xí)題

......單選題1．以下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？DA.包過濾技術(shù);B.應(yīng)用級網(wǎng)關(guān)技術(shù);C.代理服務(wù)器技術(shù);D.NAT技術(shù)2．關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯誤的是:DA.屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的;B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān);C.部網(wǎng)對于Internet來說是不可見的;D.部用戶可以不通過DMZ直接訪問Internet3．最簡單的防火墻結(jié)構(gòu)是（A）A.路由器B、代理服務(wù)器C、日志工具D、包過濾器4．為確保企業(yè)局域網(wǎng)的信息安全，防止來自internet的黑客入侵，采用（）可以實現(xiàn)一定的防作用。A.網(wǎng)管軟件B.操作系統(tǒng)C防火墻D.防病毒軟件5．防火墻采用的最簡單的技術(shù)是（）A．安裝保護卡B.隔離C.包過濾D.設(shè)置進入密碼6.防火墻技術(shù)可分為（）等到3大類型A包過濾、入侵檢測和數(shù)據(jù)加密B.包過濾、入侵檢測和應(yīng)用代理“C包過濾、應(yīng)用代理和入侵檢測D.包過濾、狀態(tài)檢測和應(yīng)用代理7.防火墻系統(tǒng)通常由（）組成，防止不希望的、未經(jīng)授權(quán)的進出被保護的部網(wǎng)絡(luò)A．殺病毒卡和殺毒軟件代理服務(wù)器和入檢測系統(tǒng)過濾路由器和入侵檢測系統(tǒng)過濾路由器和代理服務(wù)器8.防火墻技術(shù)是一種（）網(wǎng)絡(luò)系統(tǒng)安全措施。3)A．被動的B.主動的C．能夠防止部犯罪的D.能夠解決所有問題的9．防火墻是建立在外網(wǎng)絡(luò)邊界上的一類安全保護機制，它的安全架構(gòu)基于（）。A．流量控制技術(shù)B加密技術(shù)C．信息流填充技術(shù)D．訪問控制技術(shù)10.一般為代理服務(wù)器的保壘主機上裝有（）。A．一塊網(wǎng)卡且有一個IP地址B．兩個網(wǎng)卡且有兩個不同的IP地址C．兩個網(wǎng)卡且有相同的IP地址D．多個網(wǎng)卡且動態(tài)獲得IP地址一般為代理服務(wù)器的保壘主機上運行的是（）A．代理服務(wù)器軟件B．網(wǎng)絡(luò)操作系統(tǒng)C．?dāng)?shù)據(jù)庫管理系統(tǒng)D．應(yīng)用軟件下列關(guān)于防火墻的說確的是（）防火墻的安全性能是根據(jù)系統(tǒng)安全的要求而設(shè)置的防火墻的安全性能是一致的，一般沒有級別之分C防火墻不能把部網(wǎng)絡(luò)隔離為可信任網(wǎng)絡(luò)D一個防火墻只能用來對兩個網(wǎng)絡(luò)之間的互相訪問實行強制性管理的安全系統(tǒng)13．在ISOOSI/RM中對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進行分析，要求每個協(xié)議層都能提供網(wǎng)絡(luò)安全服務(wù)。其中用戶身份認(rèn)證在（1）進行。A網(wǎng)絡(luò)層B會話層C物理層D應(yīng)用層14.在ISOOSI/RM中對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進行分析，要求每個協(xié)議層都能提供網(wǎng)絡(luò)安全服務(wù)。IP過濾型防火墻在（）通過控制網(wǎng)落邊界的信息流動，來強化部網(wǎng)絡(luò)的安全性。A網(wǎng)絡(luò)層B會話層C物理層D應(yīng)用層15.()不是防火墻的功能過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包保護存儲數(shù)據(jù)包封堵某些禁止的訪問行為記錄通過防火墻的信息容和活動16.包過濾型防火墻工作在（C）A.會話層B.應(yīng)用層C.網(wǎng)絡(luò)層D.數(shù)據(jù)鏈路層17.入侵檢測是一門新興的安全技術(shù)，是作為繼________之后的第二層安全防護措施。（B）A.路由器B.防火墻C.交換機D.服務(wù)器18.下面屬于單鑰密碼體制算法的是（C）A.RSAB.LUCC.DESD.DSA19.對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護的是（A）A.節(jié)點加密B.鏈路加密C.端到端加密D.DES加密20.一般而言，Internet防火墻建立在一個網(wǎng)絡(luò)的（A）A.部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點B.每個子網(wǎng)的部C.部分部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處D.部子網(wǎng)之間傳送信息的中樞以下不屬于代理服務(wù)技術(shù)優(yōu)點的是（D）可以實現(xiàn)身份認(rèn)證部地址的屏蔽和轉(zhuǎn)換功能可以實現(xiàn)訪問控制可以防數(shù)據(jù)驅(qū)動侵襲包過濾技術(shù)與代理服務(wù)技術(shù)相比較（B）包過濾技術(shù)安全性較弱、但會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響包過濾技術(shù)對應(yīng)用和用戶是絕對透明的代理服務(wù)技術(shù)安全性較高、但不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響代理服務(wù)技術(shù)安全性高，對應(yīng)用和用戶透明度也很高在建立堡壘主機時（A）在堡壘主機上應(yīng)設(shè)置盡可能少的網(wǎng)絡(luò)服務(wù)在堡壘主機上應(yīng)設(shè)置盡可能多的網(wǎng)絡(luò)服務(wù)對必須設(shè)置的服務(wù)給與盡可能高的權(quán)限不論發(fā)生任何入侵情況，部網(wǎng)始終信任堡壘主機當(dāng)同一網(wǎng)段中兩臺工作站配置了相同的IP地址時，會導(dǎo)致(B)先入者被后入者擠出網(wǎng)絡(luò)而不能使用雙方都會得到警告，但先入者繼續(xù)工作，而后入者不能雙方可以同時正常工作，進行數(shù)據(jù)的傳輸雙主都不能工作，都得到網(wǎng)址沖突的警告代理服務(wù)作為防火墻技術(shù)主要在OSI的哪一層實現(xiàn)（D）A．?dāng)?shù)據(jù)鏈路層B．網(wǎng)絡(luò)層C．表示層D．應(yīng)用層防火墻的安全性角度，最好的防火墻結(jié)構(gòu)類型是（D）A．路由器型B．雙宿主主機結(jié)構(gòu)C．屏蔽主機結(jié)構(gòu)D．屏蔽子網(wǎng)結(jié)構(gòu)邏輯上，防火墻是(D)。A．過濾器B．限制器C．分析器D．A、B、C以下不屬于代理服務(wù)技術(shù)優(yōu)點的是(D)可以實現(xiàn)應(yīng)用層上的文件類型過濾部地址的屏蔽和轉(zhuǎn)換功能可以實現(xiàn)訪問控制可以防病毒入侵一般而言，Internet防火墻建立在一個網(wǎng)絡(luò)的（A）A.部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點B.每個子網(wǎng)的部C.部分部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處D.部子網(wǎng)之間傳送信息的中樞下面是個人防火墻的優(yōu)點的是（D）運行時占用資源對公共網(wǎng)絡(luò)只有一個物理接口只能保護單機，不能保護網(wǎng)絡(luò)系統(tǒng)增加保護級別包過濾型防火墻工作在（C）A.會話層B.應(yīng)用層C.網(wǎng)絡(luò)層D.數(shù)據(jù)鏈路層下面關(guān)于防火墻的說法中，正確的是（B）防火墻可以解決來自部網(wǎng)絡(luò)的攻擊防火墻可以防止受病毒感染的文件的傳輸防火墻會削弱計算機網(wǎng)絡(luò)系統(tǒng)的性能防火墻可以防止錯誤配置引起的安全威脅33.Tom的公司申請到5個IP地址，要使公司的20臺主機都能聯(lián)到INTERNET上，他需要防火墻的那個功能？B假冒IP地址的偵測。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。容檢查技術(shù)基于地址的身份認(rèn)證。34.Smurf攻擊結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進行服務(wù)。管理員可以在源站點使用的解決辦法是：C通過使用防火墻阻止這些分組進入自己的網(wǎng)絡(luò)。關(guān)閉與這些分組的URL連接使用防火墻的包過濾功能，保證網(wǎng)絡(luò)中的所有傳輸信息都具有合法的源地址。安裝可清除客戶端木馬程序的防病毒軟件模塊，35.包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何處。它不能進行如下哪一種操作：C禁止外部網(wǎng)絡(luò)用戶使用FTP。允許所有用戶使用HTTP瀏覽INTERNET。除了管理員可以從外部網(wǎng)絡(luò)Telnet部網(wǎng)絡(luò)外，其他用戶都不可以(身份認(rèn)證)。只允許某臺計算機通過NNTP發(fā)布新聞。36.UDP是無連接的傳輸協(xié)議，由應(yīng)用層來提供可靠的傳輸。它用以傳輸何種服務(wù)：DTELNETSMTPFTPTFTP36.OSI模型中，LLC頭數(shù)據(jù)封裝在數(shù)據(jù)包的過程是在：CA傳輸層B網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層37.TCP協(xié)議是Internet上用得最多的協(xié)議，TCP為通信兩端提供可靠的雙向連接。以下基于TCP協(xié)議的服務(wù)是：ADNSTFTPCSNMPDRIP38.端口號用來區(qū)分不同的服務(wù)，端口號由IANA分配，下面錯誤的是：DTELNET使用23端口號。DNS使用53端口號。1024以下為保留端口號，1024以上動態(tài)分配。SNMP使用69端口號。39.包過濾是有選擇地讓數(shù)據(jù)包在部與外部主機之間進行交換，根據(jù)安全規(guī)則有選擇的路由某些數(shù)據(jù)包。下面不能進行包過濾的設(shè)備是：C路由器一臺獨立的主機二層交換機網(wǎng)橋40.TCP可為通信雙方提供可靠的雙向連接，在包過濾系統(tǒng)中，下面關(guān)于TCP連接描述錯誤的是：C要拒絕一個TCP時只要拒絕連接的第一個包即可。TCP段中首包的ACK＝0，后續(xù)包的ACK＝1。確認(rèn)號是用來保證數(shù)據(jù)可靠傳輸?shù)木幪枴?在CISCO過濾系統(tǒng)中，當(dāng)ACK＝1時，“established""關(guān)鍵字為T，當(dāng)ACK＝0時，“established""關(guān)鍵字為F。"41.下面對電路級網(wǎng)關(guān)描述正確的是：B它允許部網(wǎng)絡(luò)用戶不受任何限制地訪問外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)用戶在訪問部網(wǎng)絡(luò)時會受到嚴(yán)格的控制。它在客戶機和服務(wù)器之間不解釋應(yīng)用協(xié)議，僅依賴于TCP連接，而不進行任何附加包的過濾或處理。大多數(shù)電路級代理服務(wù)器是公共代理服務(wù)器，每個協(xié)議都能由它實現(xiàn)。對各種協(xié)議的支持不用做任何調(diào)整直接實現(xiàn)。42.在Internet服務(wù)中使用代理服務(wù)有許多需要注意的容，下述論述正確的是：CUDP是無連接的協(xié)議很容易實現(xiàn)代理。與犧牲主機的方式相比，代理方式更安全。對于某些服務(wù)，在技術(shù)上實現(xiàn)相對容易。很容易拒絕客戶機與服務(wù)器之間的返回連接。43.狀態(tài)檢查技術(shù)在OSI那層工作實現(xiàn)防火墻功能：CA鏈路層B傳輸層C網(wǎng)絡(luò)層D會話層44.對狀態(tài)檢查技術(shù)的優(yōu)缺點描述有誤的是：C采用檢測模塊監(jiān)測狀態(tài)信息。支持多種協(xié)議和應(yīng)用。不支持監(jiān)測RPC和UDP的端口信息。配置復(fù)雜會降低網(wǎng)絡(luò)的速度。45.JOE是公司的一名業(yè)務(wù)代表，經(jīng)常要在外地訪問公司的財務(wù)信息系統(tǒng)，他應(yīng)該采用的安全、廉價的通訊方式是：BPPP連接到公司的RAS服務(wù)器上。遠程訪問VPN電子與財務(wù)系統(tǒng)的服務(wù)器PPP連接。46.下面關(guān)于外部網(wǎng)VPN的描述錯誤的有：C外部網(wǎng)VPN能保證包括TCP和UDP服務(wù)的安全。其目的在于保證數(shù)據(jù)傳輸中不被修改。VPN服務(wù)器放在Internet上位于防火墻之外。VPN可以建在應(yīng)用層或網(wǎng)絡(luò)層上。47.IPSec協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是：C適應(yīng)于向IPv6遷移。提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護。支持動態(tài)的IP地址分配。不支持除TCP/IP外的其它協(xié)議。48.IPSec在哪種模式下把數(shù)據(jù)封裝在一個IP包傳輸以隱藏路由信息：AA隧道模式B管道模式C傳輸模式D安全模式49.有關(guān)PPTP（Point-to-PointTunnelProtocol)說確的是：CPPTP是Netscape提出的。微軟從NT3.5以后對PPTP開始支持。PPTP可用在微軟的路由和遠程訪問服務(wù)上。它是傳輸層上的協(xié)議。50.有關(guān)L2TP（Layer2TunnelingProtocol)協(xié)議說法有誤的是：DL2TP是由PPTP協(xié)議和Cisco公司的L2F組合而成。L2TP可用于基于Internet的遠程撥號訪問。C為PPP協(xié)議的客戶建立撥號連接的VPN連接。DL2TP只能通過TCT/IP連接。51.針對下列各種安全協(xié)議，最適合使用外部網(wǎng)VPN上，用于在客戶機到服務(wù)器的連接模式的是：CAIPsecPPTPSOCKSv5L2TP52.下列各種安全協(xié)議中使用包過濾技術(shù)，適合用于可信的LAN到LAN之間的VPN，即部網(wǎng)VPN的是：DAPPTPBL2TPSOCKSv5IPsec53.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻設(shè)定可以訪問部網(wǎng)絡(luò)資源的用戶訪問權(quán)限是：CA客戶認(rèn)證B回話認(rèn)證C用戶認(rèn)證D都不是54.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供授權(quán)用戶特定的服務(wù)權(quán)限是：AA客戶認(rèn)證B回話認(rèn)證C用戶認(rèn)證D都不是55.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供通信雙方每次通信時的會話授權(quán)機制是：BA客戶認(rèn)證B回話認(rèn)證C用戶認(rèn)證D都不是56.使用安全核的方法把可能引起安全問題的部分沖操作系統(tǒng)的核中去掉，形成安全等級更高的核，目前對安全操作系統(tǒng)的加固和改造可以從幾個方面進行。下面錯誤的是：D采用隨機連接序列號。駐留分組過濾模塊。C取消動態(tài)路由功能。D盡可能地采用獨立安全核。57.在防火墻實現(xiàn)認(rèn)證的方法中，采用通過數(shù)據(jù)包中的源地址來認(rèn)證的是：BPassword-BasedAuthenticationAddress-BasedAuthenticationCCryptographicAuthenticationDNoneofAbove.58.網(wǎng)絡(luò)入侵者使用sniffer對網(wǎng)絡(luò)進行偵聽，在防火墻實現(xiàn)認(rèn)證的方法中，下列身份認(rèn)證可能會造成不安全后果的是：APassword-BasedAuthenticationAddress-BasedAuthenticationCCryptographicAuthenticationDNoneofAbove.59.隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代：D使用IP加密技術(shù)。日志分析工具。攻擊檢測和報警。對訪問行為實施靜態(tài)、固定的控制。60.以下關(guān)于VPN說確的是（）BVPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接VPN不能做到信息驗證和身份認(rèn)證VPN只能提供身份認(rèn)證、不能提供加密數(shù)據(jù)的功能61.IPSec協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是（）D適應(yīng)于向IPv6遷移提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護可以適應(yīng)設(shè)備動態(tài)IP地址的情況支持除TCP/IP外的其它協(xié)議62.部署IPSECVPN時，配置什么樣的安全算法可以提供更可靠的數(shù)據(jù)加密（）BDES3DESSHA128位的MD563.部署IPSECVPN時，配置什么安全算法可以提供更可靠的數(shù)據(jù)驗證（）CDES3DESSHA128位的MD564.為控制企業(yè)部對外的訪問以及抵御外部對部網(wǎng)的攻擊,最好的選擇是（）。A、IDSB、殺毒軟件C、防火墻D、路由器以下關(guān)于防火墻的設(shè)計原則說確的是（）。不單單要提供防火墻的功能，還要盡量使用較大的組件保持設(shè)計的簡單性保留盡可能多的服務(wù)和守護進程，從而能提供更多的網(wǎng)絡(luò)服務(wù)一套防火墻就可以保護全部的網(wǎng)絡(luò)防火墻能夠（）。防惡意的知情者防通過它的惡意連接防備新的網(wǎng)絡(luò)安全問題完全防止傳送己被病毒感染的軟件和文件防火墻中地址翻譯的主要作用是（）。A、提供代理服務(wù)B、進行入侵檢測C、隱藏部網(wǎng)絡(luò)地址D、防止病毒入侵68、防火墻是隔離部和外部網(wǎng)的一類安全系統(tǒng)。通常防火墻中使用的技術(shù)有過濾和代理兩種。路由器可以根據(jù)（）進行過濾，以阻擋某些非法訪問。網(wǎng)卡地址B、IP地址C、用戶標(biāo)識D、加密方法69、在企業(yè)部網(wǎng)與外部網(wǎng)之間，用來檢查網(wǎng)絡(luò)請求分組是否合法，保護網(wǎng)絡(luò)資源不被非法使用的技術(shù)是（）。A、防病毒技術(shù)B、防火墻技術(shù)C、差錯控制技術(shù)D、流量控制技術(shù)防火墻是指（）。防止一切用戶進入的硬件阻止侵權(quán)進入和離開主機的通信硬件或軟件記錄所有訪問信息的服務(wù)器處理出入主機的的服務(wù)器防火墻的基本構(gòu)件包過濾路由器工作在OSI的哪一層（）A、物理層B、傳輸層C、網(wǎng)絡(luò)層D、應(yīng)用層72、包過濾防火墻對通過防火墻的數(shù)據(jù)包進行檢查，只有滿足條件的數(shù)據(jù)包才能通過，對數(shù)據(jù)包的檢查容一般不包括（）。A、源地址B、目的地址C、協(xié)議D、有效載荷73、防火墻對數(shù)據(jù)包進行狀態(tài)檢測過濾時，不可以進行檢測過濾的是（）。A、源和目的IP地址B、源和目的端口C、IP協(xié)議號D、數(shù)據(jù)包中的容74、下列屬于防火墻的功能的是（）。A、識別DNS服務(wù)器B、維護路由信息表C、提供對稱加密服務(wù)D、包過濾75、公司的WEB服務(wù)器受到來自某個IP地址的黑客反復(fù)攻擊,你的主管要求你通過防火墻來阻止來自那個地址的所有連接,以保護WEB服務(wù)器,那么你應(yīng)該選擇哪一種防火墻?()。A、包過濾型B、應(yīng)用級網(wǎng)關(guān)型D、復(fù)合型防火墻D、代理服務(wù)型76、以下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？（）。A、包過濾技術(shù)B、應(yīng)用級網(wǎng)關(guān)技術(shù)C、代理服務(wù)器技術(shù)D、NAT技術(shù)關(guān)于防火墻技術(shù)的描述中，正確的是（）。防火墻不能支持網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻可以布置在企業(yè)部網(wǎng)和Internet之間防火墻可以查、殺各種病毒防火墻可以過濾各種垃圾文件包過濾防火墻通過（）來確定數(shù)據(jù)包是否能通過。A、路由表B、ARP表C、NAT表D、過濾規(guī)則以下關(guān)于防火墻技術(shù)的描述，哪個是錯誤的？（）防火墻分為數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)兩類防火墻可以控制外部用戶對部系統(tǒng)的訪問防火墻可以阻止部人員對外部的攻擊防火墻可以分析和統(tǒng)管網(wǎng)絡(luò)使用情況某公司使用包過濾防火墻控制進出公司局域網(wǎng)的數(shù)據(jù)，在不考慮使用代理服務(wù)器的情況下，下面描述錯誤的是“該防火墻能夠（）”。使公司員工只能防問Intrenet上與其有業(yè)務(wù)聯(lián)系的公司的IP地址僅允許HTTP協(xié)議通過使員工不能直接訪問FTP服務(wù)端口號為21的FTP服務(wù)D、僅允許公司中具有某些特定IP地址的計算機可以訪問外部網(wǎng)絡(luò)以下有關(guān)防火墻的說法中，錯誤的是（）。防火墻可以提供對系統(tǒng)的訪問控制防火墻可以實現(xiàn)對企業(yè)部網(wǎng)的集中安全管理防火墻可以隱藏企業(yè)網(wǎng)的部IP地址防火墻可以防止病毒感染程序（或文件）的傳播包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何處。它不能進行如下哪一種操作（）。禁止外部網(wǎng)絡(luò)用戶使用FTP允許所有用戶使用HTTP瀏覽INTERNET除了管理員可以從外部網(wǎng)絡(luò)Telnet部網(wǎng)絡(luò)外，其他用戶都不可以只允許某臺計算機通過NNTP發(fā)布新聞隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代（）。A、使用IP加密技術(shù)B、日志分析工具C、攻擊檢測和報警D、對訪問行為實施靜態(tài)、固定的控制84、對狀態(tài)檢查技術(shù)的優(yōu)缺點描述有誤的是（）。A、采用檢測模塊監(jiān)測狀態(tài)信息B、支持多種協(xié)議和應(yīng)用不支持監(jiān)測RPC和UDP的端口信息D、配置復(fù)雜會降低網(wǎng)絡(luò)的速度包過濾技術(shù)與代理服務(wù)技術(shù)相比較（）。包過濾技術(shù)安全性較弱、但會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響包過濾技術(shù)對應(yīng)用和用戶是絕對透明的代理服務(wù)技術(shù)安全性較高、但不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響代理服務(wù)技術(shù)安全性高，對應(yīng)用和用戶透明度也很高屏蔽路由器型防火墻采用的技術(shù)是基于（）。A、數(shù)據(jù)包過濾技術(shù)B、應(yīng)用網(wǎng)關(guān)技術(shù)C、代理服務(wù)技術(shù)D、三種技術(shù)的結(jié)合關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯誤的是（）。屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)部網(wǎng)對于Internet來說是不可見的部用戶可以不通過DMZ直接訪問Internet網(wǎng)絡(luò)中一臺防火墻被配置來劃分Internet、部網(wǎng)及DMZ區(qū)域，這樣的防火墻類型為（）。A、單宿主堡壘主機B、雙宿主堡壘主機C、三宿主堡壘主機D、四宿主堡壘主機89、防火墻的設(shè)計時要遵循簡單性原則,具體措施包括（）。B在防火墻上禁止運行其它應(yīng)用程序停用不需要的組件將流量限制在盡量少的點上安裝運行WEB服務(wù)器程序90.有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用屬于(B)A破壞數(shù)據(jù)完整性B非授權(quán)訪問C信息泄露D拒絕服務(wù)攻擊91.防火墻通常被比喻為網(wǎng)絡(luò)安全的大門，但它不能（D）A.阻止基于IP的攻擊B阻止非信任地址的訪問C鑒別什么樣的數(shù)據(jù)可以進出企業(yè)部網(wǎng)D阻止病毒入侵多選題1．下列哪些是防火墻的重要行為？（AB）準(zhǔn)許B、限制C、日志記錄D、問候訪問者2.JOHN的公司選擇采用IPSec協(xié)議作為公司分支機構(gòu)連接部網(wǎng)VPN的安全協(xié)議。以下那幾條是對IPSec的正確的描述：ABD它對主機和端點進行身份鑒別。保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時的完整性。在隧道模式下，信息封裝隱藏了路由信息。加密IP地址和數(shù)據(jù)以保證私有性。3.相比較代理技術(shù)，包過濾技術(shù)的缺點包括：ABC在機器上配置和測試包過濾比較困難。"包過濾技術(shù)無法與UNIX的“r""命令和NFS、NIS/YP協(xié)議的RPC協(xié)調(diào)。"包過濾無法區(qū)分信息是哪個用戶的信息，無法過濾用戶。包過濾技術(shù)只能通過在客戶機特別的設(shè)置才能實現(xiàn)。4.微軟的ProxyServer是使一臺WINDOWS服務(wù)器成為代理服務(wù)的軟件。它的安裝要求條件是：ABDA服務(wù)器一般要使用雙網(wǎng)卡的主機。B客戶端需要安裝代理服務(wù)器客戶端程序才能使各種服務(wù)透明使用。當(dāng)客戶使用一個新的網(wǎng)絡(luò)客戶端軟件時，需要在代理服務(wù)器上為之單獨配置提供服務(wù)。代理服務(wù)器的網(wǎng)網(wǎng)卡IP和客戶端使用保留IP地址。5.在代理服務(wù)中，有許多不同類型的代理服務(wù)方式，以下描述正確的是：ABCDA應(yīng)用級網(wǎng)關(guān)B電路級網(wǎng)關(guān)C公共代理服務(wù)器D專用代理服務(wù)器6.應(yīng)用級代理網(wǎng)關(guān)相比包過濾技術(shù)具有的優(yōu)點有：ABC提供可靠的用戶認(rèn)證和詳細(xì)的注冊信息。便于審計和日志。隱藏部IP地址。應(yīng)用級網(wǎng)關(guān)安全性能較好，可防操作系統(tǒng)和應(yīng)用層的各種安全漏洞。7.代理技術(shù)的實現(xiàn)分為服務(wù)器端和客戶端實現(xiàn)兩部分，以下實現(xiàn)方確的是：ACD在服務(wù)器上使用相應(yīng)的代理服務(wù)器軟件。在服務(wù)器上定制服務(wù)過程。C在客戶端上定制客戶軟件。D在客戶端上定制客戶過程。8.Sam的公司使用的是需要定制用戶過程的代理服務(wù)器軟件，他要從匿名服務(wù)器上下載文件，正確的步驟是：BDA使用FTP客戶機與匿名服務(wù)器連接。B使用FTP客戶機與代理服務(wù)器連接。"輸入用戶名Nicky,對匿名服務(wù)器輸入anonymousproxyserver。""輸入用戶名Nicky,對代理服務(wù)器輸入。"9.NetworkAddressTranslation技術(shù)將一個IP地址用另一個IP地址代替，它在防火墻上的作用是：AB隱藏部網(wǎng)絡(luò)地址，保證部主機信息不泄露。由于IP地址匱乏而使用無效的IP地址。使外網(wǎng)攻擊者不能攻擊到網(wǎng)主機。使網(wǎng)的主機受網(wǎng)絡(luò)安全管理規(guī)則的限制。10.在地址翻譯原理中，防火墻根據(jù)什么來使要傳輸?shù)较嗤哪康腎P發(fā)送給部不同的主機上：ADA防火墻紀(jì)錄的包的目的端口。B防火墻使用廣播的方式發(fā)送。防火墻根據(jù)每個包的時間順序。防火墻根據(jù)每個包的TCP序列號。11.網(wǎng)絡(luò)防火墻能夠起到的作用有（）。ABCDA.防止部信息外泄B.防止系統(tǒng)感染病毒與非法訪問C.防止黑客訪問D.建立部信息和功能與外部信息和功能之間的屏障12.VirtualPrivateNetwork技術(shù)可以提供的功能有：ABC提供AccessControl。加密數(shù)據(jù)。信息認(rèn)證和身份認(rèn)證。劃分子網(wǎng)。13.按照不同的商業(yè)環(huán)境對VPN的要求和VPN所起的作用區(qū)分，VPN分為：ABD部網(wǎng)VPN外部網(wǎng)VPN點對點專線VPN遠程訪問VPN14.對于遠程訪問VPN須制定的安全策略有：ABCD訪問控制管理用戶身份認(rèn)證、智能監(jiān)視和審計功能數(shù)據(jù)加密密鑰和數(shù)字證書管理15.VPN中應(yīng)用的安全協(xié)議有哪些？BCDTCPIPSecPPTPDL2TP16.IPSec協(xié)議用密碼技術(shù)從三個方面來保證數(shù)據(jù)的完整性：ABDA認(rèn)證B加密C訪問控制D完整性檢查17.IPSec支持的加密算法有：ABCDES3DESCIDEADSET18.PPTP/L2TP的缺點有哪些：ACD不對兩個節(jié)點間的信息傳輸進行監(jiān)視和控制。同時只能連接256個用戶。端點用戶需在連接前手工建立加密通道。沒有強加密和認(rèn)證支持。19.未來的防火墻產(chǎn)品與技術(shù)應(yīng)用有哪些特點：BCD防火墻從遠程上網(wǎng)集中管理向?qū)Σ烤W(wǎng)或子網(wǎng)管理發(fā)展。單向防火墻作為一種產(chǎn)品門類出現(xiàn)。利用防火墻建VPN成為主流。過濾深度向URL過濾、容過濾、病毒清除的方向發(fā)展。20.使用基于路由器的防火墻使用訪問控制表實現(xiàn)過濾，它的缺點有：ABCD路由器本身具有安全漏洞。分組過濾規(guī)則的設(shè)置和配置存在安全隱患。無法防“假冒”的地址。對訪問行為實施靜態(tài)、固定的控制與路由器的動態(tài)、靈活的路由矛盾。21．如果防火墻是正常負(fù)載且沒有明顯攻擊，而CPU的的利用率一直處于80%以上，需考慮升級防火墻或減輕它的流量負(fù)載，可以考慮的措施有（BCD）A.減少NAT數(shù)量B.用更高性能型號的防火墻來替換。C.實施防火墻負(fù)載均衡。D.修改配置，減少防火墻處理負(fù)載；除去任何非必要的執(zhí)行行為。22.IPSec安全聯(lián)盟SA由哪些參數(shù)唯一標(biāo)識（）ACD安全參數(shù)索引SPIIP本端地址IP目的地址安全協(xié)議號23.IPSec的兩種工作方式（）CDNAS-initiatedClient-initiatedtunneltransport24.AH是報文驗證頭協(xié)議，主要提供以下功能（）BCD數(shù)據(jù)性數(shù)據(jù)完整性數(shù)據(jù)來源認(rèn)證反重放25.VPN組網(wǎng)中常用的站點到站點接入方式是（）BCL2TPIPSECGRE+IPSECL2TP+IPSEC26.移動用戶常用的VPN接入方式是（）ABDL2TPIPSEC+IKEGRE+IPSECL2TP+IPSEC27.IPSECVPN組網(wǎng)中網(wǎng)絡(luò)拓樸結(jié)構(gòu)可以為（）全網(wǎng)狀連接部分網(wǎng)狀連接星型連接樹型連接Answer:ABCD28.移動辦公用戶自身的性質(zhì)決定其比固定用戶更容易遭受病毒或黑客的攻擊，因此部署移動用戶IPSECVPN接入網(wǎng)絡(luò)的時候需要注意（）移動用戶個人電腦必須完善自身的防護能力，需要安裝防病毒軟件，防火墻軟件等總部的VPN節(jié)點需要部署防火墻，確保部網(wǎng)絡(luò)的安全適當(dāng)情況下可以使用集成防火墻功能的VPN網(wǎng)關(guān)設(shè)備使用數(shù)字證書Answer:ABC29.關(guān)于安全聯(lián)盟SA，說確的是（）Answer:CDIKESA是單向的IPSECSA是雙向的IKESA是雙向的IPSECSA是單向的30.下面關(guān)于GRE協(xié)議描述正確的是（）GRE協(xié)議是二層VPN協(xié)議GRE是對某些網(wǎng)絡(luò)層協(xié)議（如：IP，IPX等）的數(shù)據(jù)報文進行封裝，使這些被封裝的數(shù)據(jù)報文能夠在另一個網(wǎng)絡(luò)層協(xié)議（如：IP）中傳輸GRE協(xié)議實際上是一種承載協(xié)議GRE提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，使報文能夠在異種網(wǎng)絡(luò)中傳輸，異種報文傳輸?shù)耐ǖ婪Q為tunnelAnswer:BCD31.下面關(guān)于GRE協(xié)議和IPSec協(xié)議描述正確的是（）在GRE隧道上可以再建立IPSec隧道在GRE隧道上不可以再建立IPSec隧道在IPSec隧道上可以再建立GRE隧道在IPSec隧道上不可以再建立GRE隧道Answer:AC32.IPSec安全聯(lián)盟SA由哪些參數(shù)唯一標(biāo)識（）安全參數(shù)索引SPIIP本端地址IP目的地址安全協(xié)議號Answer:ACD33.IPSec可以提供哪些安全服務(wù)（）數(shù)據(jù)性數(shù)據(jù)完整性數(shù)據(jù)來源認(rèn)證防重放攻擊Answer:ABCDIDS處理過程分為(ABCD)等四個階段。A:數(shù)據(jù)采集階段B:數(shù)據(jù)處理及過濾階段C:入侵分析及檢測階段D:報告以及響應(yīng)階段入侵檢測系統(tǒng)的主要功能有(ABCD)：A:監(jiān)測并分析系統(tǒng)和用戶的活動B:核查系統(tǒng)配置和漏洞C:評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。D:識別已知和未知的攻擊行為IDS產(chǎn)品性能指標(biāo)有(ABCD)：A:每秒數(shù)據(jù)流量B:每秒抓包數(shù)C:每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)D:每秒能夠處理的事件數(shù)入侵檢測產(chǎn)品所面臨的挑戰(zhàn)主要有(ABCD)：A:黑客的入侵手段多樣化B:大量的誤報和漏報C:惡意信息采用加密的方法傳輸D:客觀的評估與測試信息的缺乏38.傳統(tǒng)上,公司的多個機構(gòu)之間進行數(shù)據(jù)通信有眾多不同的方式,主要有（ABCD）A．幀中繼線路B.ATM線路C.DDN線路D.PSTN39.IPSec可以使用兩種模式,分別是（AB）A．TransportmodeB.TunnelmodeC.MainmodeD.Aggressivemode24.在防火墻的“訪問控制”應(yīng)用中，網(wǎng)、外網(wǎng)、DMZ三者的訪問關(guān)系為：ABCDA.網(wǎng)可以訪問外網(wǎng)B.網(wǎng)可以訪問DMZ區(qū)C.DMZ區(qū)可以訪問網(wǎng)D.外網(wǎng)可以訪問DMZ區(qū)25.防火墻的包過濾功能會檢查如下信息：ABCDA.源IP地址B.目標(biāo)IP地址C.源端口D.目標(biāo)端口26.防火墻對于一個部網(wǎng)絡(luò)來說非常重要,它的功能包括：ABCDA.創(chuàng)建阻塞點B.記錄Internet活動C.限制網(wǎng)絡(luò)暴露D.包過濾27.以下說確的有：A.只有一塊網(wǎng)卡的防火墻設(shè)備稱之為單宿主堡壘主機B.雙宿主堡壘主機可以從物理上將網(wǎng)和外網(wǎng)進行隔離C.三宿主堡壘主機可以建立DMZ區(qū)D.單宿主堡壘主機可以配置為物理隔離網(wǎng)和外網(wǎng)35.配置訪問控制列表必須做的配置是（CD）A、設(shè)定時間段B、指定日志主機C、定義訪問控制列表D、在接口上應(yīng)用訪問控制列表36、擴展訪問列表可以使用哪些字段來定義數(shù)據(jù)包過濾規(guī)則?（ABCD）。A、源IP地址B、目的IP地址C、端口號D、協(xié)議類型37、使用訪問控制列表可帶來的好處是（ABD）。保證合法主機進行訪問，拒絕某些不希望的訪問通過配置訪問控制列表，可限制網(wǎng)絡(luò)流量，進行通信流量過濾實現(xiàn)企業(yè)私有網(wǎng)的用戶都可訪問Internet管理員可根據(jù)網(wǎng)絡(luò)時間情況實現(xiàn)有差別的服務(wù)使網(wǎng)絡(luò)服務(wù)器中充斥著大量要求回復(fù)的信息，消耗帶寬，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù)，這屬于什么攻擊？AA.拒絕服務(wù)B.文件共享C.BIND漏洞D.遠程過程調(diào)用分布式網(wǎng)絡(luò)拒絕服務(wù)攻擊公司財務(wù)人員需要定期通過Email發(fā)送文件給他的主管,他希望只有主管能查閱該,可以采取什么方法?AA.加密B.數(shù)字簽名C.消息摘要D.身份驗證哪種密鑰體制加、解密的密鑰相同?AA.對稱加密技術(shù)B.非對稱加密技術(shù)C.HASH算法D.公共密鑰加密術(shù)隨著網(wǎng)絡(luò)中用戶數(shù)量的增長,Internet連接需求也不斷增加,在考慮改善網(wǎng)絡(luò)性能時,以下哪個是應(yīng)該考慮的部分?BA．WINS服務(wù)器B.代理服務(wù)器C.DHCP服務(wù)器D.目錄服務(wù)器關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯誤的是:DA.屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)C.部網(wǎng)對于Internet來說是不可見的D.部用戶可以不通過DMZ直接訪問Internet以下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？DA.包過濾技術(shù);B.應(yīng)用級網(wǎng)關(guān)技術(shù)C.代理服務(wù)器技術(shù)D.NAT技術(shù)在以下網(wǎng)絡(luò)威脅中，哪個不屬于信息泄露？選擇c數(shù)據(jù)竊聽流量分析拒絕服務(wù)攻擊偷竊用戶21、在公鑰密碼體制中，用于加密的密鑰為：A.公鑰B.私鑰C.公鑰與私鑰D.公鑰或私鑰23、密碼技術(shù)中,識別個人、網(wǎng)絡(luò)上的機器或機構(gòu)的技術(shù)稱為：A.認(rèn)證B.數(shù)字簽名C.簽名識別D.解密27.關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯誤的是:屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)部網(wǎng)對于Internet來說是不可見的部用戶可以不通過DMZ直接訪問Internet28公司的WEB服務(wù)器受到來自某個IP地址的黑客反復(fù)攻擊,你的主管要求你通過防火墻來阻止來自那個地址的所有連接,以保護WEB服務(wù)器,那么你應(yīng)該選擇哪一種防火墻?包過濾型應(yīng)用級網(wǎng)關(guān)型復(fù)合型防火墻代理服務(wù)型29.網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址需要對源地址進行轉(zhuǎn)換，規(guī)則中的動作應(yīng)選擇：

A.AllowB.NATC.SATD.FwdFast30.防火墻的設(shè)計時要遵循簡單性原則,具體措施包括:選ABCA.在防火墻上禁止運行其它應(yīng)用程序B.停用不需要的組件C.將流量限制在盡量少的點上D.安裝運行WEB服務(wù)器程序31.標(biāo)準(zhǔn)訪問控制列表以（B）作為判別條件。A、數(shù)據(jù)包的大小B、數(shù)據(jù)包的源地址C、數(shù)據(jù)包的端口號D、數(shù)據(jù)包的目的地址32.IP擴展訪問列表的數(shù)字標(biāo)示圍是多少?（C）。A、0-99B、1-99C、100-199D、101-20033.訪問控制列表（ACL）分為標(biāo)準(zhǔn)和擴展兩種。下面關(guān)于ACL的描述中，錯誤的是(C)。標(biāo)準(zhǔn)ACL可以根據(jù)分組中的IP源地址進行過濾擴展ACL可以根據(jù)分組中的IP目標(biāo)地址進行過濾標(biāo)準(zhǔn)ACL可以根據(jù)分組中的IP目標(biāo)地址進行過濾擴展ACL可以根據(jù)不同的上層協(xié)議信息進行過濾34.通配符掩碼和子網(wǎng)掩碼之間的關(guān)系是（B）。兩者沒有什么區(qū)別通配符掩碼和子網(wǎng)掩碼恰好相反一個是十進制的，另一個是十六進制的兩者都是自動生成的防火墻要實現(xiàn)的四類控制功能是什么？方向控制、服務(wù)控制、行為控制、用戶控制防火墻的理論特性有哪些？創(chuàng)建阻塞點、強化網(wǎng)絡(luò)安全策略，提供集成功能、實現(xiàn)網(wǎng)絡(luò)隔離、記錄和審計聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的活動、自身具有非常墻的抵御攻擊的能力防火墻的實際功能有哪些？（至少五項）包過濾、代理、網(wǎng)絡(luò)地址轉(zhuǎn)換、虛擬專用網(wǎng)絡(luò)、用戶身份認(rèn)證、記錄報警分析與審計、管理功能、其他功能。簡要說明防火墻的規(guī)則特點。規(guī)則是保護部信息資源的策略的實現(xiàn)和延伸；規(guī)則必須與訪問活動緊密相關(guān)；規(guī)則必須穩(wěn)妥可靠切合實際在安全和利用資源之間取得較為平衡的政策；可以實施各種不同的服務(wù)訪問策略。簡要說明防火墻的設(shè)計原則。拒絕訪問一切未予特學(xué)的服務(wù)；允許一切未被特別拒絕的服務(wù)防火墻采用的主要技術(shù)有哪些？包過濾型防火墻；代理型防火墻簡要說明包過濾型防火墻優(yōu)缺點。優(yōu)點：工作在傳輸層下，對數(shù)據(jù)包本身字段進行過濾，性價比很高；缺點：過濾判斷條件有限，安全性不高；過濾規(guī)則數(shù)目的增加會影響防火墻的性能；很難對用戶身份進行驗證；對安全管理人員的素質(zhì)要求高。簡要說明代理型防火墻優(yōu)缺點。優(yōu)點：工作在應(yīng)用層，可以以進行深層的容進行控制；阻斷了聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的，實現(xiàn)了外網(wǎng)的相互屏蔽，避免了數(shù)據(jù)驅(qū)動類型的攻擊。缺點：代理型防火墻速度相對較慢，當(dāng)網(wǎng)關(guān)吞吐量較大時，防火墻就會成為瓶頸。簡要說明包過濾型防火墻和代理型防火墻的區(qū)別。包過濾防火墻工作在網(wǎng)絡(luò)協(xié)議IP層，它只對IP包的源地址、目標(biāo)地址及相應(yīng)端口進行處理，因此速度比較快，能夠處理的并發(fā)連接比較多，缺點是對應(yīng)用層的攻擊無能為力。代理服務(wù)器防火墻將收到的IP包還原成高層協(xié)議的通訊數(shù)據(jù)，比如http連接信息，因此能夠?qū)诟邔訁f(xié)議的攻擊進行攔截。缺點是處理速度比較慢，能夠處理的并發(fā)數(shù)比較少。簡要說明多重宿主主機。多重宿主主機實際上是安放在聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的接上的一臺堡壘主機它要提供最少兩個網(wǎng)絡(luò)接:個與聯(lián)網(wǎng)絡(luò)相連，另一個與外聯(lián)網(wǎng)絡(luò)相連。聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間的通信可通過多重宿主主機:的應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完成說明屏蔽主機和屏蔽子網(wǎng)的區(qū)別和聯(lián)系。屏蔽主機由包過濾器和堡壘主機組成。堡壘主機在網(wǎng)絡(luò)部，通過防火墻的過濾使得這個主機是唯一可從外部到達的主機。實現(xiàn)了應(yīng)用層和網(wǎng)絡(luò)層的安全，比單獨的包過濾或應(yīng)用網(wǎng)關(guān)代理更安全。過濾路由器是否配置正確是這種防火墻安全的關(guān)鍵。屏蔽子網(wǎng)模式采用了兩個包過濾路由器和一個堡壘主機，在個網(wǎng)絡(luò)之間建立了被隔離的子網(wǎng)，稱作周邊網(wǎng)。將堡壘主機、WEB服務(wù)器、E-MAIL服務(wù)器放在被屏蔽的子網(wǎng)，外部、部都可以訪問。但禁止他們通過屏蔽子網(wǎng)通信。如果堡壘主機被控制，部網(wǎng)絡(luò)仍然受部包過濾路由器保護。這種方法是在部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)構(gòu)成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機作為唯一可訪問點，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險帶僅包括堡壘主機、子網(wǎng)主機及所有連接網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。12.防火墻的好處有哪些？1.防火墻允許網(wǎng)絡(luò)管理員定義一個“檢查點”來防止非法用戶進人聯(lián)網(wǎng)絡(luò)，并抵抗·各種攻擊。網(wǎng)絡(luò)的安全性在防火墻上得到加固，而不是增加受保護網(wǎng)絡(luò)部主機的負(fù)擔(dān);2.防火墻通過過濾存在安全缺陷的網(wǎng)絡(luò)服務(wù)來降低受保護網(wǎng)絡(luò)遭受攻擊的威脅。只有經(jīng)過選擇的網(wǎng)絡(luò)服務(wù)才能通過防火墻，脆弱的服務(wù)只能在系統(tǒng)整體安全策略的控制下，在受保護網(wǎng)絡(luò)的部實現(xiàn);3.防火墻可以增強受保護節(jié)點的性，強化私有權(quán).防火墻可以阻斷某些提供主機信息的服務(wù)。如Finger和DNS等，使得外部主機無法獲取這些有利于攻擊的信息;4.防火墻有能力較梢確地控制對部子系統(tǒng)的訪問。防火墻可以設(shè)置成允許外聯(lián)網(wǎng)絡(luò)訪問聯(lián)網(wǎng)絡(luò)的某些子系統(tǒng).而不允許訪間其他的子系統(tǒng)。這有效地增加了聯(lián)網(wǎng)絡(luò)不同子系統(tǒng)的封閉性，使得系統(tǒng)核體安全策略的實施更加細(xì)致、深人;5.防火墻境系統(tǒng)具有集中安全性。若受保護網(wǎng)絡(luò)的所有或者大部分安全程序集中地放置在防火墻上，而非分散到受保護網(wǎng)絡(luò)中的各臺主機上，則安全監(jiān)控的圍會更集中，監(jiān)控行為更易于實現(xiàn)，安全成本也會更便宜;6.在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的通信流，并產(chǎn)生告警信息。正如前面所描述的.網(wǎng)絡(luò)面臨的問題不是是否會受到攻擊，而是什么時候受到攻擊，因此對通信流的監(jiān)控是一項需要持之以恒的、耐心的工作;7.安全審計和管理是網(wǎng)絡(luò)安全研究的重要課題，而防火墻恰恰是審計和記錄網(wǎng)絡(luò)行為最佳的地方。由于所有的網(wǎng)絡(luò)訪問流都要經(jīng)過防火墻，所以網(wǎng)絡(luò)管理員可以在防火墻上記錄、分析網(wǎng)絡(luò)行為，并以此檢驗安全策略的執(zhí)行情況或者改進安全策略，8.防火墻不但是網(wǎng)絡(luò)安全的檢查點，它還可以作為向用戶發(fā)布信息的地點.即防火墻系統(tǒng)可以包括www服務(wù)器和FTP服務(wù)器等設(shè)備，并且允許外部主機進行訪問。9.最根本的是，防火墻為系統(tǒng)整體安全策略的執(zhí)行提供了重要的實施平臺。如果沒有防火墻，那么系統(tǒng)整體安全策略的實施多半靠的是用戶的自覺性和聯(lián)網(wǎng)絡(luò)中各臺主機的安全性。防火墻的不足之處有哪些？限制網(wǎng)絡(luò)服務(wù)；對部用戶防不足；不能防旁路連接；不適合進行病毒檢測；無法防數(shù)據(jù)驅(qū)動型攻擊；無法防所有威脅；配置問題；無法防部人員泄密；速度問題；單失效點問題解釋說明傳統(tǒng)防火墻單失效點問題。傳統(tǒng)防火墻至于外網(wǎng)相連接的關(guān)鍵點處，會成為系統(tǒng)網(wǎng)絡(luò)訪問的瓶頸，一旦失效，外網(wǎng)的連接將斷開。包過濾技術(shù)防火墻過濾規(guī)則要檢測哪些主要字段信息？源地址；源端口號；目的地址；目的端口號；協(xié)議標(biāo)志；過濾方式等簡要說明什么是防火墻安全過濾規(guī)則？過濾路由器的核心是過濾規(guī)則，過濾路由器位于外網(wǎng)的邊界上，控制著聯(lián)網(wǎng)絡(luò)的所有數(shù)據(jù)包，網(wǎng)絡(luò)訪問策略是一個有序的規(guī)則的形式存儲在過濾路由器里，每一條規(guī)則定義了針對某個特定類型數(shù)據(jù)包的動作，針對數(shù)據(jù)包的字段，“拒絕一切未特許的，允許一切未拒絕的”典型策略。簡要說明包過濾技術(shù)的優(yōu)點。簡單快速；對用戶是透明的；檢查規(guī)則簡單效率高等；簡要說明包過濾技術(shù)的缺點。過濾技術(shù)思想簡單，對信息處理能力有限，規(guī)則增多是規(guī)則的維護困難；控制層次較低，不能實現(xiàn)用戶級的控制，不能對合法用戶身份鑒別及冒用IP地址的鑒別。請簡要說明狀態(tài)檢測技術(shù)的基本原理。狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。簡要說明什么是深度狀態(tài)檢測。深度檢測防火墻，將狀態(tài)檢測和應(yīng)用防火墻技術(shù)結(jié)合在一起，以處理應(yīng)用程序的流量，防目標(biāo)系統(tǒng)免受各種復(fù)雜的攻擊。結(jié)合了狀態(tài)檢測的所有功能，深度檢測防火墻能夠?qū)?shù)據(jù)流量迅速完成網(wǎng)絡(luò)層級別的分析，并做出訪問控制決；對于允許的數(shù)據(jù)流，根據(jù)應(yīng)用層級別的信息，對負(fù)載做出進一步的決策。深度檢測防火墻深入分析了TCP或UDP數(shù)據(jù)包的容，以便對負(fù)載有個總的認(rèn)識。狀態(tài)檢測防火墻是目前使用最廣泛的防火墻，用來防護黑客攻擊。但是，隨著專門針對應(yīng)用層的Web攻擊現(xiàn)象的增多，在攻擊防護中，狀態(tài)檢測防火墻的有效性越來越低。簡要說明狀態(tài)檢測技術(shù)的優(yōu)點。安全性比靜態(tài)包過濾高，可以阻斷更多的復(fù)雜攻擊行為可以通過分析打開相應(yīng)的端口而不是一刀切；提升了防火墻的性能，后續(xù)數(shù)據(jù)包不需要檢測，只需要快速通過。簡要說明狀態(tài)檢測技術(shù)的缺點。工作在網(wǎng)絡(luò)層和傳輸層，對報文的數(shù)據(jù)部分檢查很少，安全性還不夠高；檢測容多，對防火墻的性能提出來更高的要求。請簡要比較代理技術(shù)和包過濾技術(shù)的安全性。代理技術(shù)提供了與應(yīng)用相關(guān)的所有信息，并且能夠提供安全日志所需的最詳細(xì)的管理和控制數(shù)據(jù)，安全級別更高。代理服務(wù)器不只檢測數(shù)據(jù)部的各個字段，還能深入到包的部，理解數(shù)據(jù)包載荷部分容的含義，還可以為安全監(jiān)測和日志記錄提供最為詳細(xì)的信息。對于外網(wǎng)來說只能看到代理服務(wù)器，而不能見到部網(wǎng)絡(luò)，實現(xiàn)聯(lián)網(wǎng)網(wǎng)絡(luò)隔離，使得外網(wǎng)無法直接通信降低了受到直接攻擊的風(fēng)險，隱藏了部網(wǎng)咯的結(jié)構(gòu)和用戶，經(jīng)一部降低了用戶網(wǎng)絡(luò)遭受探測的風(fēng)險。代理服務(wù)氣損壞的話只能是外網(wǎng)的連接中斷，但是無法出現(xiàn)攻擊和信息泄露的現(xiàn)象，代理技術(shù)比包過濾技術(shù)安全。簡述代理技術(shù)的具體作用。（至少5項）隱藏部主機；過濾容；提高系統(tǒng)性能；保障安全；阻斷URL；保護電子；身份認(rèn)證；信息重定向。防火墻代理技術(shù)的優(yōu)點有哪些？提供了高速緩存，提高了網(wǎng)絡(luò)性能；屏蔽了聯(lián)網(wǎng)絡(luò)，組織了網(wǎng)探測活動；禁止了直接連接，減少了直接攻擊的風(fēng)險；應(yīng)用層上過濾，實現(xiàn)有效過濾；提供了用戶身份認(rèn)證手段，加強了安全性；連接基于服務(wù)而不是物理連接，不易受Ip地址欺騙攻擊；應(yīng)用層工作，提供了詳細(xì)的日志和分析功能；過濾規(guī)則比包過濾防火墻規(guī)則簡單。防火墻代理技術(shù)的缺點有哪些？代理程序?qū)Ｓ?，不適應(yīng)網(wǎng)絡(luò)服務(wù)和協(xié)議的不斷發(fā)展；數(shù)據(jù)量大的情況下會增加訪問延遲，影響系統(tǒng)性能；不能實現(xiàn)用戶的透明訪問；不支持所有的協(xié)議；對操作系統(tǒng)有明顯的依賴；代理技術(shù)的執(zhí)行速度慢。請說明過濾路由器的優(yōu)點?？焖伲恍阅芎馁M比高；透明；實現(xiàn)容易。請說明過濾路由器的缺點。配置復(fù)雜維護困難；數(shù)據(jù)包本身檢測，智能檢測部分攻擊行為；無法防數(shù)據(jù)驅(qū)動型攻擊；只能對數(shù)據(jù)包的各字段進行檢查，無法確定數(shù)據(jù)包的發(fā)送者的真實性。一般來說，一條過濾規(guī)則包括那些字段？源地址；源端口號；目的地址；目的端口號；協(xié)議標(biāo)志；過濾方式等說明堡壘主機的設(shè)計原則并簡要解釋。（論述題）最小服務(wù)原則；預(yù)防原則；主要類型；系統(tǒng)需求；部署位置說明雙宿主主機的優(yōu)點有哪些？作為外網(wǎng)的唯一接口，易于實現(xiàn)網(wǎng)絡(luò)安全策略；使用堡壘主機實現(xiàn)，成本較低。說明雙宿主主機的缺點有哪些？用戶賬戶的存在提供一種入侵途徑，比沒有用戶賬戶的安全性要低；存在賬戶數(shù)據(jù)庫記錄增多，管理和維護非常復(fù)雜，容易出錯；賬戶信息的頻繁存取耗費大量資源，降低堡壘主機本身的穩(wěn)定性。出現(xiàn)速度地下甚至崩潰現(xiàn)象；允許用戶登錄，對主機安全性是一個威脅，很難進行有效監(jiān)控和記錄。說明雙宿主網(wǎng)關(guān)的優(yōu)點有哪些？無需管理和維護賬戶數(shù)據(jù)庫，降低了入侵攻擊風(fēng)險；具有良好的可擴展性；屏蔽了聯(lián)網(wǎng)絡(luò)主機組織了信息泄露現(xiàn)象的發(fā)生。說明雙宿主網(wǎng)關(guān)的缺點有哪些？主機本身成為安全焦點，安全配置重要而復(fù)雜；代理服務(wù)組件增多會影響系統(tǒng)整體性能瓶頸；單臺主機會帶來單失效點的問題；靈活性差如果沒有某項代理組建，用戶無法使用該服務(wù)。簡要說明屏蔽主機的工作原理。SHF（ScreenedHostFirewall）屏蔽主機防火墻采用一個包濾路由器與外部網(wǎng)連接，用一個堡壘主機安裝在部網(wǎng)絡(luò)上，起著代理服務(wù)器的作用，是外部網(wǎng)絡(luò)所能到達的惟一節(jié)點，以此來確保部網(wǎng)絡(luò)不受外部未授權(quán)用戶的攻擊，達到部網(wǎng)絡(luò)安全的目的。在屏蔽主機防火墻的網(wǎng)絡(luò)安全方案中，一個數(shù)據(jù)包過濾路由器與因特網(wǎng)相連，同時，一個雙端主機（DualHomedHost,DHH）安裝在部網(wǎng)絡(luò)中。通常情況下，在網(wǎng)絡(luò)路由器上設(shè)立過濾原則，使這個雙端主機成為在因特網(wǎng)上所有其他節(jié)點所能到達的惟一節(jié)點。這樣就確保了部網(wǎng)絡(luò)不能受到任何未被授權(quán)的外部用戶的攻擊。請解釋屏蔽主機的優(yōu)點。①屏蔽主機是一種結(jié)合了包過濾和代理兩不同機制的防火墻，它能夠提供比單純的過濾路由器和多重宿主主機更高的安全性。任何攻擊者都需要攻破包過濾和代理兩道防線才能進入到聯(lián)網(wǎng)絡(luò)，增加了攻擊者的難度。②屏蔽主機支持多種功能的網(wǎng)絡(luò)服務(wù)的深層過濾，并具有相當(dāng)?shù)目蓴U展性。由于堡壘主機的采用代理防火墻技術(shù)，所以服務(wù)器只需要添加代理服務(wù)器組件即可。③屏蔽主機系統(tǒng)本身是可靠地、穩(wěn)固的。不同于多重宿主主機，直接面對對外網(wǎng)絡(luò)的并不是堡壘主機而是路由器。所以簡單配置的路由器要比保護一臺主機要容易得多。請解釋屏蔽主機的缺點。主要缺點是堡壘主機和聯(lián)網(wǎng)絡(luò)主機放置在一起，他們之間沒有一道安全隔離屏障。如果堡壘主機北宮皮，那么聯(lián)網(wǎng)絡(luò)將全部暴露在攻擊者面前。此外雖然過濾路由器的安全性比多重宿主主機要高，但是只進行簡單的包過濾規(guī)則，因此入侵者有多種手段對過濾路由器進行破壞。一旦路由表被修改，則堡壘主機被旁路，堡壘主機的服務(wù)器就沒有用了，所有聯(lián)網(wǎng)絡(luò)向外聯(lián)網(wǎng)絡(luò)發(fā)出的請求都會通過被破壞的過濾路由器直接發(fā)到外聯(lián)網(wǎng)絡(luò)，聯(lián)網(wǎng)絡(luò)就沒有秘密可言了，聯(lián)網(wǎng)絡(luò)的安全性都維系在一相對脆弱的路由表上，這是一個比較嚴(yán)重的問題。請畫出雙宿主主機防火墻的結(jié)構(gòu)示意圖。請畫出堡壘主機防火墻的結(jié)構(gòu)示意圖。請畫出雙宿主網(wǎng)關(guān)防火墻的結(jié)構(gòu)示意圖。請畫出屏蔽主機防火墻的結(jié)構(gòu)示意圖。請畫出屏蔽子網(wǎng)防火墻的結(jié)構(gòu)示意圖。請畫出三叉非軍事區(qū)防火墻的結(jié)構(gòu)示意圖。說明屏蔽子網(wǎng)的優(yōu)點。聯(lián)網(wǎng)絡(luò)實現(xiàn)了與外聯(lián)網(wǎng)絡(luò)的隔離，部結(jié)構(gòu)無法探測，外聯(lián)網(wǎng)絡(luò)只能知道外部路由器和費軍事區(qū)的尋在，而不知道部路由器的存在，也就無法探測部路由器后面的聯(lián)網(wǎng)絡(luò)了，只一點對于防止入侵者知道聯(lián)網(wǎng)絡(luò)的聯(lián)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和主機地址分配及活動情況尤為重要。聯(lián)網(wǎng)絡(luò)安全防護嚴(yán)密。入侵者必須攻破外部路由器、堡壘主機和部路由器之后才能進入聯(lián)網(wǎng)絡(luò)。由于使用了部路由器和外部路由器所以降低了堡壘主機處理的負(fù)載量，減輕了堡壘主機的壓力，增強了堡壘主機的可靠性和安全性。非軍事區(qū)的劃分將用戶網(wǎng)絡(luò)的信息流量明確分為不同的等級，通過部路由器的隔離作用，信息收到了嚴(yán)密的保護，減少了信息泄露現(xiàn)象的發(fā)生。45.防火墻的主要性能指標(biāo)有哪些。可靠性可用性可擴展性可審計性可管理性成本耗費46.請簡要說明選擇防火墻主要考慮哪些具體評估參數(shù)。（至少5個）吞吐量 ⑦接口數(shù)量和類型時延 ⑧日志和審計參數(shù)丟包率 ⑨可用性參數(shù)并發(fā)連接數(shù) ⑩其他參數(shù)（容過濾、入侵檢測、用戶認(rèn)工作模式 證、VPN加密等）配置與管理47.請說出防火墻的知名廠商有那幾個？（至少5個）Juniper/NetscreenCiscoFortinet安氏天融信東軟④WatchGuard48.結(jié)合現(xiàn)實談?wù)劮阑饓夹g(shù)的主要發(fā)展趨勢。分布式執(zhí)行和集中式管理深度過濾建立以防火墻為核心的綜合安全體系防火墻本身的多功能化，變被動防御為主動防御強大的審計與自動日志分析功能。硬件化專用化49.請說明深度過濾技術(shù)的基本特征。正?；?、雙向負(fù)載檢測、應(yīng)用層加密解密、協(xié)議一致性50.結(jié)合現(xiàn)實請談?wù)動嬎銠C系統(tǒng)面臨的威脅。拒絕服務(wù)（服務(wù)請求超載、SYN洪水、報文超載）欺騙（IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙）監(jiān)聽密碼破解木馬緩沖區(qū)溢出ICMP秘密通道TCP會話劫持....對攻擊者來說是透明的能夠進行較大圍的網(wǎng)絡(luò)安全保護監(jiān)測數(shù)據(jù)具有很高的真實性可檢測基于底層協(xié)議的攻擊行為59.簡要說明基于網(wǎng)絡(luò)的入侵檢測的缺點有哪些？不在通信的端點，無法像進行網(wǎng)絡(luò)通訊的主機那樣處理全部網(wǎng)絡(luò)協(xié)議層次的數(shù)據(jù)對于現(xiàn)在越來越流行的加密傳輸很難進行處理對于交換網(wǎng)絡(luò)的支持不足面臨處理能力的問題容易受到拒絕服務(wù)攻擊很難進行復(fù)雜攻擊的檢測60.簡要說明蜜罐技術(shù)原理。蜜罐實際是一種犧牲系統(tǒng)，不包含任何可以利用的有價值的資源。存在的唯一目的就是將攻擊的目標(biāo)轉(zhuǎn)移到蜜罐系統(tǒng)上，誘騙、手機、分析攻擊的信息確定攻擊行為和入侵者的動機。，設(shè)置蜜罐存在安全風(fēng)險，容易被入侵者控制作為攻擊聯(lián)網(wǎng)絡(luò)的跳板。說明什么是異常入侵檢測。異常入侵檢測是根據(jù)系統(tǒng)和用戶的非正常行為或者對于計算機資源的非正常使用檢測出入侵行為的檢測技術(shù)，異常檢測基礎(chǔ)是建立在系統(tǒng)正常活動或用戶正常行為模式的描述模型。將用戶的當(dāng)前行為模式和系統(tǒng)的當(dāng)前狀態(tài)與該正常模式進行比較，如果當(dāng)前值超出了預(yù)設(shè)的閾值，則認(rèn)為存在攻擊行為。，對未知的攻擊的檢測，精確度依賴于正常模型的精確程度。說明什么是濫用入侵檢測。濫用入侵檢測通過對現(xiàn)有的各種攻擊手段進行分析，找到能夠代表該攻擊的行為的特征集合。對當(dāng)前數(shù)據(jù)的處理就是與這些特征集合進行匹配，如果成功匹配則說明發(fā)生了依次確定的攻擊。濫用入侵檢測可以實現(xiàn)的基礎(chǔ)是現(xiàn)有已知攻擊手段，都能夠根據(jù)近攻擊條件、動作排列及相應(yīng)事件之間的關(guān)系變化進行明確描述，即攻擊行為的特征能夠被提取。每種攻擊行為都有明確的特征描述，所以濫用檢測的準(zhǔn)確度很高。但是，濫用檢測系統(tǒng)依賴性較強，平臺無關(guān)性較差，難于移植。而且對已多種已知攻擊模式特征的提取和維護工作量非常大，此外濫用檢測只能根據(jù)已有的數(shù)據(jù)進行判斷，不能檢測新的或變異的攻擊行為。最后，濫用檢測無法識別部用戶發(fā)起的攻擊行為。比較異常檢測和濫用檢測的區(qū)別。濫用入侵檢測根據(jù)已知的攻擊行為建立異常行為模型，然后將用戶行為與之進行匹配，成功意味著又一次確定的攻擊行為發(fā)生。該技術(shù)就有