防火墻考試復(fù)習題

單項選擇題1．如下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？ DA.包過濾技術(shù);B.應(yīng)用級網(wǎng)關(guān)技術(shù);C.代理服務(wù)器技術(shù);D.NAT技術(shù)2．有關(guān)屏蔽子網(wǎng)防火墻,下列說法錯誤的是: DA.屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的;B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān);C.部網(wǎng)對于Internet來說是不可見的;D.部顧客可以不通過DMZ直接訪問Internet3．最簡樸的防火墻構(gòu)造是（A）A.路由器B、代理服務(wù)器C、日志工具D、包過濾器4．為保證企業(yè)局域網(wǎng)的信息安全，防止來自internet的黑客入侵，采用（）可以實現(xiàn)一定的防作用。A.網(wǎng)管軟件B.操作系統(tǒng)C防火墻D.防病毒軟件5．防火墻采用的最簡樸的技術(shù)是（）A．安裝保護卡B.隔離C.包過濾D.設(shè)置進入密碼6.防火墻技術(shù)可分為（）等到3大類型A包過濾、入侵檢測和數(shù)據(jù)加密B.包過濾、入侵檢測和應(yīng)用代理“

C包過濾、應(yīng)用代理和入侵檢測D.包過濾、狀態(tài)檢測和應(yīng)用代理7.防火墻系統(tǒng)一般由（）構(gòu)成，防止不但愿的、未經(jīng)授權(quán)的進出被保護的部網(wǎng)絡(luò)A．殺病毒卡和殺毒軟件代理服務(wù)器和入檢測系統(tǒng)過濾路由器和入侵檢測系統(tǒng)過濾路由器和代理服務(wù)器8.防火墻技術(shù)是一種（）網(wǎng)絡(luò)系統(tǒng)安全措施。3)A．被動的B.積極的C．可以防止部犯罪的D.可以處理所有問題的9．防火墻是建立在外網(wǎng)絡(luò)邊界上的一類安全保護機制，它的安全架構(gòu)基于（）。A．流量控制技術(shù)B加密技術(shù)C．信息流填充技術(shù)D．訪問控制技術(shù)10.一般為代理服務(wù)器的保壘主機上裝有（）。A．一塊網(wǎng)卡且有一種IP地址B．兩個網(wǎng)卡且有兩個不一樣的IP地址C．兩個網(wǎng)卡且有相似的IP地址D．多種網(wǎng)卡且動態(tài)獲得IP地址11.一般為代理服務(wù)器的保壘主機上運行的是（）A．代理服務(wù)器軟件B．網(wǎng)絡(luò)操作系統(tǒng)C．數(shù)據(jù)庫管理系統(tǒng)D．應(yīng)用軟件12.下列有關(guān)防火墻的說確的是（）A防火墻的安全性能是根據(jù)系統(tǒng)安全的規(guī)定而設(shè)置的B防火墻的安全性能是一致的，一般沒有級別之分C防火墻不能把部網(wǎng)絡(luò)隔離為可信任網(wǎng)絡(luò)D一種防火墻只能用來對兩個網(wǎng)絡(luò)之間的互相訪問實行強制性管理的安全系統(tǒng)13．在ISOOSI/RM中對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進行分析，規(guī)定每個協(xié)議層都能提供網(wǎng)絡(luò)安全服務(wù)。其中顧客身份認證在（1）進行。A網(wǎng)絡(luò)層B會話層C物理層D應(yīng)用層14.在ISOOSI/RM中對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進行分析，規(guī)定每個協(xié)議層都能提供網(wǎng)絡(luò)安全服務(wù)。IP過濾型防火墻在（）通過控制網(wǎng)落邊界的信息流動，來強化部網(wǎng)絡(luò)的安全性。A網(wǎng)絡(luò)層B會話層C物理層D應(yīng)用層15.()不是防火墻的功能過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包保護存儲數(shù)據(jù)包封堵某些嚴禁的訪問行為記錄通過防火墻的信息容和活動16.包過濾型防火墻工作在（

C

）A.會話層

B.應(yīng)用層C.網(wǎng)絡(luò)層

D.數(shù)據(jù)鏈路層17.入侵檢測是一門新興的安全技術(shù)，是作為繼________之后的第二層安全防護措施。（

B

）A.路由器

B.防火墻C.互換機

D.服務(wù)器18.下面屬于單鑰密碼體制算法的是（C

）A.RSA

B.LUCC.DES

D.DSA19.對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳播的數(shù)據(jù)進行加密保護的是（

A

）A.節(jié)點加密

B.鏈路加密C.端到端加密

D.DES加密20.一般而言，Internet防火墻建立在一種網(wǎng)絡(luò)的（

A

）A.部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點

B.每個子網(wǎng)的部C.部分部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處

D.部子網(wǎng)之間傳送信息的中樞21、如下不屬于代理服務(wù)技術(shù)長處的是（D）可以實現(xiàn)身份認證部地址的屏蔽和轉(zhuǎn)換功能可以實現(xiàn)訪問控制可以防數(shù)據(jù)驅(qū)動侵襲22、包過濾技術(shù)與代理服務(wù)技術(shù)相比較（B）包過濾技術(shù)安全性較弱、但會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響包過濾技術(shù)對應(yīng)用和顧客是絕對透明的代理服務(wù)技術(shù)安全性較高、但不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響代理服務(wù)技術(shù)安全性高，對應(yīng)用和顧客透明度也很高23、在建立堡壘主機時（A）在堡壘主機上應(yīng)設(shè)置盡量少的網(wǎng)絡(luò)服務(wù)在堡壘主機上應(yīng)設(shè)置盡量多的網(wǎng)絡(luò)服務(wù)對必須設(shè)置的服務(wù)給與盡量高的權(quán)限不管發(fā)生任何入侵狀況，部網(wǎng)一直信任堡壘主機24、當同一網(wǎng)段中兩臺工作站配置了相似的IP地址時，會導致(B)先入者被后入者擠出網(wǎng)絡(luò)而不能使用雙方都會得到警告，但先入者繼續(xù)工作，而后入者不能雙方可以同步正常工作，進行數(shù)據(jù)的傳播雙主都不能工作，都得到網(wǎng)址沖突的警告25、代理服務(wù)作為防火墻技術(shù)重要在OSI的哪一層實現(xiàn)（D）A．數(shù)據(jù)鏈路層B．網(wǎng)絡(luò)層C．表達層D．應(yīng)用層26、防火墻的安全性角度，最佳的防火墻構(gòu)造類型是（D）A．路由器型B．雙宿主主機構(gòu)造C．屏蔽主機構(gòu)造D．屏蔽子網(wǎng)構(gòu)造27、邏輯上，防火墻是(D)。A．過濾器B．限制器C．分析器D．A、B、C28、如下不屬于代理服務(wù)技術(shù)長處的是(D)可以實現(xiàn)應(yīng)用層上的文獻類型過濾部地址的屏蔽和轉(zhuǎn)換功能可以實現(xiàn)訪問控制可以防病毒入侵29、一般而言，Internet防火墻建立在一種網(wǎng)絡(luò)的（

A

）A.部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點

B.每個子網(wǎng)的部C.部分部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處

D.部子網(wǎng)之間傳送信息的中樞30、下面是個人防火墻的長處的是（

D

）運行時占用資源對公共網(wǎng)絡(luò)只有一種物理接口只能保護單機，不能保護網(wǎng)絡(luò)系統(tǒng)增長保護級別31、包過濾型防火墻工作在（

C

）A.會話層

B.應(yīng)用層C.網(wǎng)絡(luò)層

D.數(shù)據(jù)鏈路層32、下面有關(guān)防火墻的說法中，對的的是（B）防火墻可以處理來自部網(wǎng)絡(luò)的襲擊防火墻可以防止受病毒感染的文獻的傳播防火墻會減弱計算機網(wǎng)絡(luò)系統(tǒng)的性能防火墻可以防止錯誤配置引起的安全威脅33.Tom的企業(yè)申請到5個IP地址，要使企業(yè)的20臺主機都能聯(lián)到INTERNET上，他需要防火墻的那個功能？ BA 假冒IP地址的偵測。B 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。C 容檢查技術(shù)D 基于地址的身份認證。34.Smurf襲擊結(jié)合使用了IP欺騙和ICMP答復(fù)措施使大量網(wǎng)絡(luò)傳播充斥目的系統(tǒng)，引起目的系統(tǒng)拒絕為正常系統(tǒng)進行服務(wù)。管理員可以在源站點使用的處理措施是： CA 通過使用防火墻制止這些分組進入自己的網(wǎng)絡(luò)。B 關(guān)閉與這些分組的URL連接C 使用防火墻的包過濾功能，保證網(wǎng)絡(luò)中的所有傳播信息都具有合法的源地址。D 安裝可清除客戶端木馬程序的防病毒軟件模塊，35.包過濾根據(jù)包的源地址、目的地址、傳播協(xié)議作為根據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何處。它不能進行如下哪一種操作： CA 嚴禁外部網(wǎng)絡(luò)顧客使用FTP。B 容許所有顧客使用HTTP瀏覽INTERNET。C 除了管理員可以從外部網(wǎng)絡(luò)Telnet部網(wǎng)絡(luò)外，其他顧客都不可以(身份認證)。D 只容許某臺計算機通過NNTP公布新聞。36.UDP是無連接的傳播協(xié)議，由應(yīng)用層來提供可靠的傳播。它用以傳播何種服務(wù)： DA TELNETB SMTPC FTPD TFTP36.OSI模型中，LLC頭數(shù)據(jù)封裝在數(shù)據(jù)包的過程是在： CA 傳播層B 網(wǎng)絡(luò)層C 數(shù)據(jù)鏈路層D 物理層37.TCP協(xié)議是Internet上用得最多的協(xié)議，TCP為通信兩端提供可靠的雙向連接。如下基于TCP協(xié)議的服務(wù)是： AA DNSB TFTPC SNMPD RIP38.端口號用來辨別不一樣的服務(wù)，端口號由IANA分派，下面錯誤的是： DA TELNET使用23端口號。B DNS使用53端口號。C 1024如下為保留端口號，1024以上動態(tài)分派。D SNMP使用69端口號。39.包過濾是有選擇地讓數(shù)據(jù)包在部與外部主機之間進行互換，根據(jù)安全規(guī)則有選擇的路由某些數(shù)據(jù)包。下面不能進行包過濾的設(shè)備是： CA 路由器B 一臺獨立的主機C 二層互換機D 網(wǎng)橋40.TCP可為通信雙方提供可靠的雙向連接，在包過濾系統(tǒng)中，下面有關(guān)TCP連接描述錯誤的是： CA 要拒絕一種TCP時只要拒絕連接的第一種包即可。B TCP段中首包的ACK＝0，后續(xù)包的ACK＝1。C 確認號是用來保證數(shù)據(jù)可靠傳播的編號。 D "在CISCO過濾系統(tǒng)中，當ACK＝1時，“established""關(guān)鍵字為T，當ACK＝0時，“established""關(guān)鍵字為F。" 41.下面對電路級網(wǎng)關(guān)描述對的的是： BA 它容許部網(wǎng)絡(luò)顧客不受任何限制地訪問外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)顧客在訪問部網(wǎng)絡(luò)時會受到嚴格的控制。B 它在客戶機和服務(wù)器之間不解釋應(yīng)用協(xié)議，僅依賴于TCP連接，而不進行任何附加包的過濾或處理。C 大多數(shù)電路級代理服務(wù)器是公共代理服務(wù)器，每個協(xié)議都能由它實現(xiàn)。D 對多種協(xié)議的支持不用做任何調(diào)整直接實現(xiàn)。42.在Internet服務(wù)中使用代理服務(wù)有許多需要注意的容，下述論述對的的是： CA UDP是無連接的協(xié)議很輕易實現(xiàn)代理。B 與犧牲主機的方式相比，代理方式更安全。C 對于某些服務(wù)，在技術(shù)上實現(xiàn)相對輕易。D 很輕易拒絕客戶機與服務(wù)器之間的返回連接。43.狀態(tài)檢查技術(shù)在OSI那層工作實現(xiàn)防火墻功能： CA 鏈路層B 傳播層C 網(wǎng)絡(luò)層D 會話層44.對狀態(tài)檢查技術(shù)的優(yōu)缺陷描述有誤的是：C A 采用檢測模塊監(jiān)測狀態(tài)信息。B 支持多種協(xié)議和應(yīng)用。C 不支持監(jiān)測RPC和UDP的端口信息。D 配置復(fù)雜會減少網(wǎng)絡(luò)的速度。45.JOE是企業(yè)的一名業(yè)務(wù)代表，常常要在外地訪問企業(yè)的財務(wù)信息系統(tǒng)，他應(yīng)當采用的安全、廉價的通訊方式是： BA PPP連接到企業(yè)的RAS服務(wù)器上。B 遠程訪問VPNC 電子D 與財務(wù)系統(tǒng)的服務(wù)器PPP連接。46.下面有關(guān)外部網(wǎng)VPN的描述錯誤的有： CA 外部網(wǎng)VPN能保證包括TCP和UDP服務(wù)的安全。B 其目的在于保證數(shù)據(jù)傳播中不被修改。C VPN服務(wù)器放在Internet上位于防火墻之外。D VPN可以建在應(yīng)用層或網(wǎng)絡(luò)層上。47.IPSec協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是： CA 適應(yīng)于向IPv6遷移。B 提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護。C 支持動態(tài)的IP地址分派。D 不支持除TCP/IP外的其他協(xié)議。48.IPSec在哪種模式下把數(shù)據(jù)封裝在一種IP包傳播以隱藏路由信息： AA 隧道模式B 管道模式C 傳播模式D 安全模式49.有關(guān)PPTP（Point-to-PointTunnelProtocol)說確的是： CA PPTP是Netscape提出的。B 微軟從NT3.5后來對PPTP開始支持。C PPTP可用在微軟的路由和遠程訪問服務(wù)上。D 它是傳播層上的協(xié)議。50.有關(guān)L2TP（Layer2TunnelingProtocol)協(xié)議說法有誤的是： DA L2TP是由PPTP協(xié)議和Cisco企業(yè)的L2F組合而成。B L2TP可用于基于Internet的遠程撥號訪問。C 為PPP協(xié)議的客戶建立撥號連接的VPN連接。D L2TP只能通過TCT/IP連接。51.針對下列多種安全協(xié)議，最適合使用外部網(wǎng)VPN上，用于在客戶機到服務(wù)器的連接模式的是： CA IPsecB PPTPC SOCKSv5D L2TP52.下列多種安全協(xié)議中使用包過濾技術(shù)，合用于可信的LAN到LAN之間的VPN，即部網(wǎng)VPN的是： DA PPTPB L2TPC SOCKSv5D IPsec53.目前在防火墻上提供了幾種認證措施，其中防火墻設(shè)定可以訪問部網(wǎng)絡(luò)資源的顧客訪問權(quán)限是： CA 客戶認證B 回話認證C 顧客認證D 都不是54.目前在防火墻上提供了幾種認證措施，其中防火墻提供授權(quán)顧客特定的服務(wù)權(quán)限是： AA 客戶認證B 回話認證C 顧客認證D 都不是55.目前在防火墻上提供了幾種認證措施，其中防火墻提供通信雙方每次通信時的會話授權(quán)機制是： BA 客戶認證B 回話認證C 顧客認證D 都不是56.使用安全核的措施把也許引起安全問題的部分沖操作系統(tǒng)的核中去掉，形成安全等級更高的核，目前對安全操作系統(tǒng)的加固和改造可以從幾種方面進行。下面錯誤的是： DA 采用隨機連接序列號。B 駐留分組過濾模塊。C 取消動態(tài)路由功能。D 盡量地采用獨立安全核。57.在防火墻實現(xiàn)認證的措施中，采用通過數(shù)據(jù)包中的源地址來認證的是： BA Password-BasedAuthenticationB Address-BasedAuthenticationC CryptographicAuthenticationD NoneofAbove.58.網(wǎng)絡(luò)入侵者使用sniffer對網(wǎng)絡(luò)進行偵聽，在防火墻實現(xiàn)認證的措施中，下列身份認證也許會導致不安全后果的是： AA Password-BasedAuthenticationB Address-BasedAuthenticationC CryptographicAuthenticationD NoneofAbove.59.伴隨Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代：DA 使用IP加密技術(shù)。B 日志分析工具。C 襲擊檢測和報警。D 對訪問行為實行靜態(tài)、固定的控制。60.如下有關(guān)VPN說確的是（）BVPN指的是顧客自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路VPN指的是顧客通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接VPN不能做到信息驗證和身份認證VPN只能提供身份認證、不能提供加密數(shù)據(jù)的功能61.IPSec協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是（）D適應(yīng)于向IPv6遷移提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護可以適應(yīng)設(shè)備動態(tài)IP地址的狀況支持除TCP/IP外的其他協(xié)議62.布署IPSECVPN時，配置什么樣的安全算法可以提供更可靠的數(shù)據(jù)加密（）BDES3DESSHA128位的MD563.布署IPSECVPN時，配置什么安全算法可以提供更可靠的數(shù)據(jù)驗證（）CDES3DESSHA128位的MD564.為控制企業(yè)部對外的訪問以及抵御外部對部網(wǎng)的襲擊,最佳的選擇是（）。

A、IDSB、殺毒軟件C、防火墻D、路由器

65、如下有關(guān)防火墻的設(shè)計原則說確的是（）。

不單單要提供防火墻的功能，還要盡量使用較大的組件

保持設(shè)計的簡樸性

保留盡量多的服務(wù)和守護進程，從而能提供更多的網(wǎng)絡(luò)服務(wù)

一套防火墻就可以保護所有的網(wǎng)絡(luò)

66、防火墻可以（）。

防惡意的知情者

防通過它的惡意連接

防備新的網(wǎng)絡(luò)安全問題

完全防止傳送己被病毒感染的軟件和文獻

67、防火墻中地址翻譯的重要作用是（）。

A、提供代理服務(wù)B、進行入侵檢測

C、隱藏部網(wǎng)絡(luò)地址D、防止病毒入侵

68、防火墻是隔離部和外部網(wǎng)的一類安全系統(tǒng)。一般防火墻中使用的技術(shù)有過

濾和代理兩種。路由器可以根據(jù)（）進行過濾，以阻擋某些非法訪問。

網(wǎng)卡地址B、IP地址C、顧客標識D、加密措施

69、在企業(yè)部網(wǎng)與外部網(wǎng)之間，用來檢查網(wǎng)絡(luò)祈求分組與否合法，保護網(wǎng)絡(luò)資

源不被非法使用的技術(shù)是（）。

A、防病毒技術(shù)B、防火墻技術(shù)C、差錯控制技術(shù)D、流量控制技術(shù)

70、防火墻是指（）。

防止一切顧客進入的硬件

制止侵權(quán)進入和離開主機的通信硬件或軟件

記錄所有訪問信息的服務(wù)器

處理出入主機的的服務(wù)器

71、防火墻的基本構(gòu)件包過濾路由器工作在OSI的哪一層（）

A、物理層B、傳播層C、網(wǎng)絡(luò)層D、應(yīng)用層

72、包過濾防火墻對通過防火墻的數(shù)據(jù)包進行檢查，只有滿足條件的數(shù)據(jù)包才能

通過，對數(shù)據(jù)包的檢查容一般不包括（）。

A、源地址B、目的地址C、協(xié)議D、有效載荷

73、防火墻對數(shù)據(jù)包進行狀態(tài)檢測過濾時，不可以進行檢測過濾的是（）。

A、源和目的IP地址B、源和目的端口

C、IP協(xié)議號D、數(shù)據(jù)包中的容

74、下列屬于防火墻的功能的是（）。

A、識別DNS服務(wù)器B、維護路由信息表

C、提供對稱加密服務(wù)D、包過濾

75、企業(yè)的WEB服務(wù)器受到來自某個IP地址的黑客反復(fù)襲擊,你的主管規(guī)定你通過

防火墻來制止來自那個地址的所有連接,以保護WEB服務(wù)器,那么你應(yīng)當選擇哪一

種防火墻?()。

A、包過濾型B、應(yīng)用級網(wǎng)關(guān)型

D、復(fù)合型防火墻D、代理服務(wù)型

76、如下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？（）。

A、包過濾技術(shù)B、應(yīng)用級網(wǎng)關(guān)技術(shù)

C、代理服務(wù)器技術(shù)D、NAT技術(shù)

77、有關(guān)防火墻技術(shù)的描述中，對的的是（）。

防火墻不能支持網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻可以布置在企業(yè)部網(wǎng)和Internet之間

防火墻可以查、殺多種病毒

防火墻可以過濾多種垃圾文獻

78、包過濾防火墻通過（）來確定數(shù)據(jù)包與否能通過。

A、路由表B、ARP表C、NAT表D、過濾規(guī)則

79、如下有關(guān)防火墻技術(shù)的描述，哪個是錯誤的？（）

防火墻分為數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)兩類

防火墻可以控制外部顧客對部系統(tǒng)的訪問

防火墻可以制止部人員對外部的襲擊

防火墻可以分析和統(tǒng)管網(wǎng)絡(luò)使用狀況

80、某企業(yè)使用包過濾防火墻控制進出企業(yè)局域網(wǎng)的數(shù)據(jù)，在不考慮使用代理服

務(wù)器的狀況下，下面描述錯誤的是“該防火墻可以（）”。

A、使企業(yè)員工只能防問Intrenet上與其有業(yè)務(wù)聯(lián)絡(luò)的企業(yè)的IP地址

B、僅容許HTTP協(xié)議通過

C、使員工不能直接訪問FTP服務(wù)端口號為21的FTP服務(wù)

D、僅容許企業(yè)中具有某些特定IP地址的計算機可以訪問外部網(wǎng)絡(luò)

81、如下有關(guān)防火墻的說法中，錯誤的是（）。

防火墻可以提供對系統(tǒng)的訪問控制

防火墻可以實現(xiàn)對企業(yè)部網(wǎng)的集中安全管理

防火墻可以隱藏企業(yè)網(wǎng)的部IP地址

防火墻可以防止病毒感染程序（或文獻）的傳播

82、包過濾根據(jù)包的源地址、目的地址、傳播協(xié)議作為根據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)

及轉(zhuǎn)發(fā)到何處。它不能進行如下哪一種操作（）。

嚴禁外部網(wǎng)絡(luò)顧客使用FTP

容許所有顧客使用HTTP瀏覽INTERNET

除了管理員可以從外部網(wǎng)絡(luò)Telnet部網(wǎng)絡(luò)外，其他顧客都不可以

只容許某臺計算機通過NNTP公布新聞

83、伴隨Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代

（）。

A、使用IP加密技術(shù)B、日志分析工具

C、襲擊檢測和報警D、對訪問行為實行靜態(tài)、固定的控制

84、對狀態(tài)檢查技術(shù)的優(yōu)缺陷描述有誤的是（）。

A、采用檢測模塊監(jiān)測狀態(tài)信息B、支持多種協(xié)議和應(yīng)用

不支持監(jiān)測RPC和UDP的端口信息D、配置復(fù)雜會減少網(wǎng)絡(luò)的速度

85、包過濾技術(shù)與代理服務(wù)技術(shù)相比較（）。

包過濾技術(shù)安全性較弱、但會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響

包過濾技術(shù)對應(yīng)用和顧客是絕對透明的

代理服務(wù)技術(shù)安全性較高、但不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響

代理服務(wù)技術(shù)安全性高，對應(yīng)用和顧客透明度也很高

86、屏蔽路由器型防火墻采用的技術(shù)是基于（）。

A、數(shù)據(jù)包過濾技術(shù)B、應(yīng)用網(wǎng)關(guān)技術(shù)

C、代理服務(wù)技術(shù)D、三種技術(shù)的結(jié)合

87、有關(guān)屏蔽子網(wǎng)防火墻,下列說法錯誤的是（）。

屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的

屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)

部網(wǎng)對于Internet來說是不可見的

部顧客可以不通過DMZ直接訪問Internet

88、網(wǎng)絡(luò)中一臺防火墻被配置來劃分Internet、部網(wǎng)及DMZ區(qū)域，這樣的防火

墻類型為（）。

A、單宿主堡壘主機B、雙宿主堡壘主機

C、三宿主堡壘主機D、四宿主堡壘主機

89、防火墻的設(shè)計時要遵照簡樸性原則,詳細措施包括（）。B

在防火墻上嚴禁運行其他應(yīng)用程序

停用不需要的組件

將流量限制在盡量少的點上

安裝運行WEB服務(wù)器程序

90.故意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用屬于(B)

A破壞數(shù)據(jù)完整性B非授權(quán)訪問C信息泄露D拒絕服務(wù)襲擊

91.防火墻一般被比方為網(wǎng)絡(luò)安全的大門，但它不能（D）

A.制止基于IP的襲擊B制止非信任地址的訪問

C鑒別什么樣的數(shù)據(jù)可以進出企業(yè)部網(wǎng)D制止病毒入侵

多選題1．下列哪些是防火墻的重要行為？（AB）準許B、限制C、日志記錄D、問候訪問者2.JOHN的企業(yè)選擇采用IPSec協(xié)議作為企業(yè)分支機構(gòu)連接部網(wǎng)VPN的安全協(xié)議。如下那幾條是對IPSec的對的的描述： ABDA 它對主機和端點進行身份鑒別。B 保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳播時的完整性。C 在隧道模式下，信息封裝隱藏了路由信息。D 加密IP地址和數(shù)據(jù)以保證私有性。3.相比較代理技術(shù)，包過濾技術(shù)的缺陷包括： ABCA 在機器上配置和測試包過濾比較困難。B "包過濾技術(shù)無法與UNIX的“r""命令和NFS、NIS/YP協(xié)議的RPC協(xié)調(diào)。"C 包過濾無法辨別信息是哪個顧客的信息，無法過濾顧客。D 包過濾技術(shù)只能通過在客戶機尤其的設(shè)置才能實現(xiàn)。4.微軟的ProxyServer是使一臺WINDOWS服務(wù)器成為代理服務(wù)的軟件。它的安裝規(guī)定條件是：ABD A 服務(wù)器一般要使用雙網(wǎng)卡的主機。 B 客戶端需要安裝代理服務(wù)器客戶端程序才能使多種服務(wù)透明使用。 C 當客戶使用一種新的網(wǎng)絡(luò)客戶端軟件時，需要在代理服務(wù)器上為之單獨配置提供服務(wù)。D 代理服務(wù)器的網(wǎng)網(wǎng)卡IP和客戶端使用保留IP地址。 5.在代理服務(wù)中，有許多不一樣類型的代理服務(wù)方式，如下描述對的的是：ABCD A 應(yīng)用級網(wǎng)關(guān) B 電路級網(wǎng)關(guān) C 公共代理服務(wù)器 D 專用代理服務(wù)器 6.應(yīng)用級代理網(wǎng)關(guān)相比包過濾技術(shù)具有的長處有：ABC A 提供可靠的顧客認證和詳細的注冊信息。B 便于審計和日志。C 隱藏部IP地址。D 應(yīng)用級網(wǎng)關(guān)安全性能很好，可防操作系統(tǒng)和應(yīng)用層的多種安全漏洞。7.代理技術(shù)的實現(xiàn)分為服務(wù)器端和客戶端實現(xiàn)兩部分，如下實現(xiàn)方確的是： ACDA 在服務(wù)器上使用對應(yīng)的代理服務(wù)器軟件。B 在服務(wù)器上定制服務(wù)過程。C 在客戶端上定制客戶軟件。D 在客戶端上定制客戶過程。8.Sam的企業(yè)使用的是需要定制顧客過程的代理服務(wù)器軟件，他要從匿名服務(wù)器上下載文獻，對的的環(huán)節(jié)是：BD A 使用FTP客戶機與匿名服務(wù)器連接。B 使用FTP客戶機與代理服務(wù)器連接。C "輸入顧客名Nicky,對匿名服務(wù)器輸入anonymousproxyserver。"D "輸入顧客名Nicky,對代理服務(wù)器輸入。" 9.NetworkAddressTranslation技術(shù)將一種IP地址用另一種IP地址替代，它在防火墻上的作用是： ABA 隱藏部網(wǎng)絡(luò)地址，保證部主機信息不泄露。B 由于IP地址匱乏而使用無效的IP地址。C 使外網(wǎng)襲擊者不能襲擊到網(wǎng)主機。D 使網(wǎng)的主機受網(wǎng)絡(luò)安全管理規(guī)則的限制。10.在地址翻譯原理中，防火墻根據(jù)什么來使要傳播到相似的目的IP發(fā)送給部不一樣的主機上： ADA 防火墻紀錄的包的目的端口。B 防火墻使用廣播的方式發(fā)送。C 防火墻根據(jù)每個包的時間次序。D 防火墻根據(jù)每個包的TCP序列號。11.網(wǎng)絡(luò)防火墻可以起到的作用有（）。ABCDA.防止部信息外泄B.防止系統(tǒng)感染病毒與非法訪問C.防止黑客訪問D.建立部信息和功能與外部信息和功能之間的屏障12.VirtualPrivateNetwork技術(shù)可以提供的功能有： ABCA 提供AccessControl。B 加密數(shù)據(jù)。C 信息認證和身份認證。D 劃分子網(wǎng)。13.按照不一樣的商業(yè)環(huán)境對VPN的規(guī)定和VPN所起的作用辨別，VPN分為：ABDA 部網(wǎng)VPNB 外部網(wǎng)VPNC 點對點專線VPND 遠程訪問VPN14.對于遠程訪問VPN須制定的安全方略有： ABCDA 訪問控制管理B 顧客身份認證、智能監(jiān)視和審計功能C 數(shù)據(jù)加密D 密鑰和數(shù)字證書管理15.VPN中應(yīng)用的安全協(xié)議有哪些？ BCDA TCPB IPSecC PPTPD L2TP16.IPSec協(xié)議用密碼技術(shù)從三個方面來保證數(shù)據(jù)的完整性：ABD A 認證B 加密C 訪問控制D 完整性檢查17.IPSec支持的加密算法有： ABCA DESB 3DESC IDEAD SET18.PPTP/L2TP的缺陷有哪些： ACDA 不對兩個節(jié)點間的信息傳播進行監(jiān)視和控制。B 同步只能連接256個顧客。C 端點顧客需在連接前手工建立加密通道。D 沒有強加密和認證支持。19.未來的防火墻產(chǎn)品與技術(shù)應(yīng)用有哪些特點： BCDA 防火墻從遠程上網(wǎng)集中管理向?qū)Σ烤W(wǎng)或子網(wǎng)管剪發(fā)展。B 單向防火墻作為一種產(chǎn)品門類出現(xiàn)。C 運用防火墻建VPN成為主流。D 過濾深度向URL過濾、容過濾、病毒清除的方向發(fā)展。20.使用基于路由器的防火墻使用訪問控制表實現(xiàn)過濾，它的缺陷有：ABCD A 路由器自身具有安全漏洞。B 分組過濾規(guī)則的設(shè)置和配置存在安全隱患。C 無法防“假冒”的地址。D 對訪問行為實行靜態(tài)、固定的控制與路由器的動態(tài)、靈活的路由矛盾。21．假如防火墻是正常負載且沒有明顯襲擊，而CPU的的運用率一直處在80%以上，需考慮升級防火墻或減輕它的流量負載，可以考慮的措施有（BCD）A.減少NAT數(shù)量B.用更高性能型號的防火墻來替代。C.實行防火墻負載均衡。D.修改配置，減少防火墻處理負載；除去任何非必要的執(zhí)行行為。22.IPSec安全聯(lián)盟SA由哪些參數(shù)唯一標識（）ACD安全參數(shù)索引SPIIP本端地址IP目的地址安全協(xié)議號23.IPSec的兩種工作方式（）CDNAS-initiatedClient-initiatedtunneltransport24.AH是報文驗證頭協(xié)議，重要提供如下功能（）BCD數(shù)據(jù)性數(shù)據(jù)完整性數(shù)據(jù)來源認證反重放25.VPN組網(wǎng)中常用的站點到站點接入方式是（）BCL2TPIPSECGRE+IPSECL2TP+IPSEC26.移動顧客常用的VPN接入方式是（）ABDL2TPIPSEC+IKEGRE+IPSECL2TP+IPSEC27.IPSECVPN組網(wǎng)中網(wǎng)絡(luò)拓樸構(gòu)造可認為（）全網(wǎng)狀連接部分網(wǎng)狀連接星型連接樹型連接Answer:ABCD28.移動辦公顧客自身的性質(zhì)決定其比固定顧客更輕易遭受病毒或黑客的襲擊，因此布署移動顧客IPSECVPN接入網(wǎng)絡(luò)的時候需要注意（）移動顧客個人電腦必須完善自身的防護能力，需要安裝防病毒軟件，防火墻軟件等總部的VPN節(jié)點需要布署防火墻，保證部網(wǎng)絡(luò)的安全合適狀況下可以使用集成防火墻功能的VPN網(wǎng)關(guān)設(shè)備使用數(shù)字證書Answer:ABC29.有關(guān)安全聯(lián)盟SA，說確的是（）Answer:CDIKESA是單向的IPSECSA是雙向的IKESA是雙向的IPSECSA是單向的30.下面有關(guān)GRE協(xié)議描述對的的是（）GRE協(xié)議是二層VPN協(xié)議GRE是對某些網(wǎng)絡(luò)層協(xié)議（如：IP，IPX等）的數(shù)據(jù)報文進行封裝，使這些被封裝的數(shù)據(jù)報文可以在另一種網(wǎng)絡(luò)層協(xié)議（如：IP）中傳播GRE協(xié)議實際上是一種承載協(xié)議GRE提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，使報文可以在異種網(wǎng)絡(luò)中傳播，異種報文傳播的通道稱為tunnelAnswer:BCD31.下面有關(guān)GRE協(xié)議和IPSec協(xié)議描述對的的是（）在GRE隧道上可以再建立IPSec隧道在GRE隧道上不可以再建立IPSec隧道在IPSec隧道上可以再建立GRE隧道在IPSec隧道上不可以再建立GRE隧道Answer:AC32.IPSec安全聯(lián)盟SA由哪些參數(shù)唯一標識（）安全參數(shù)索引SPIIP本端地址IP目的地址安全協(xié)議號Answer:ACD33.IPSec可以提供哪些安全服務(wù)（）數(shù)據(jù)性數(shù)據(jù)完整性數(shù)據(jù)來源認證防重放襲擊Answer:ABCD34.IDS處理過程分為(ABCD)等四個階段。

A:數(shù)據(jù)采集階段B:數(shù)據(jù)處理及過濾階段C:入侵分析及檢測階段D:匯報以及響應(yīng)階段

35.入侵檢測系統(tǒng)的重要功能有(ABCD)：

A:監(jiān)測并分析系統(tǒng)和顧客的活動

B:核查系統(tǒng)配置和漏洞

C:評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文獻的完整性。

D:識別已知和未知的襲擊行為

36.IDS產(chǎn)品性能指標有(ABCD)：A:每秒數(shù)據(jù)流量B:每秒抓包數(shù)C:每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)D:每秒可以處理的事件數(shù)37.入侵檢測產(chǎn)品所面臨的挑戰(zhàn)重要有(ABCD)：

A:黑客的入侵手段多樣化B:大量的誤報和漏報C:惡意信息采用加密的措施傳播D:客觀的評估與測試信息的缺乏38.老式上,企業(yè)的多種機構(gòu)之間進行數(shù)據(jù)通信有眾多不一樣的方式,重要有（ABCD）

A．幀中繼線路

B.ATM線路

C.DDN線路

D.PSTN

39.

IPSec

可以使用兩種模式,分別是（AB）

A．Transport

mode

B.

Tunnel

mode

C.

Main

mode

D.

Aggressive

mode

24.在防火墻的“訪問控制”應(yīng)用中，網(wǎng)、外網(wǎng)、DMZ三者的訪問關(guān)系為：ABCDA.網(wǎng)可以訪問外網(wǎng)B.網(wǎng)可以訪問DMZ區(qū)C.DMZ區(qū)可以訪問網(wǎng)D.外網(wǎng)可以訪問DMZ區(qū)25.防火墻的包過濾功能會檢查如下信息：ABCDA.源IP地址B.目的IP地址C.源端口D.目的端口26.防火墻對于一種部網(wǎng)絡(luò)來說非常重要,它的功能包括：ABCDA.創(chuàng)立阻塞點B.記錄Internet活動C.限制網(wǎng)絡(luò)暴露D.包過濾27.如下說確的有：A.只有一塊網(wǎng)卡的防火墻設(shè)備稱之為單宿主堡壘主機B.雙宿主堡壘主機可以從物理上將網(wǎng)和外網(wǎng)進行隔離C.三宿主堡壘主機可以建立DMZ區(qū)D.單宿主堡壘主機可以配置為物理隔離網(wǎng)和外網(wǎng)35.配置訪問控制列表必須做的配置是（CD）

A、設(shè)定期間段B、指定日志主機

C、定義訪問控制列表D、在接口上應(yīng)用訪問控制列表

36、擴展訪問列表可以使用哪些字段來定義數(shù)據(jù)包過濾規(guī)則?（ABCD）。

A、源IP地址B、目的IP地址

C、端口號D、協(xié)議類型

37、使用訪問控制列表可帶來的好處是（ABD）。

保證合法主機進行訪問，拒絕某些不但愿的訪問

通過配置訪問控制列表，可限制網(wǎng)絡(luò)流量，進行通信流量過濾

實現(xiàn)企業(yè)私有網(wǎng)的顧客都可訪問Internet

管理員可根據(jù)網(wǎng)絡(luò)時間狀況實既有差異的服務(wù)

7、使網(wǎng)絡(luò)服務(wù)器中充斥著大量規(guī)定答復(fù)的信息，消耗帶寬，導致網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù)，這屬于什么襲擊？AA.拒絕服務(wù)B.文獻共享C.BIND漏洞D.遠程過程調(diào)用分布式網(wǎng)絡(luò)拒絕服務(wù)襲擊8、企業(yè)財務(wù)人員需要定期通過Email發(fā)送文獻給他的主管,他但愿只有主管能查閱該,可以采用什么措施?AA.加密B.數(shù)字簽名C.消息摘要D.身份驗證9、哪種密鑰體制加、解密的密鑰相似?AA.對稱加密技術(shù)B.非對稱加密技術(shù)C.HASH算法D.公共密鑰加密術(shù)10、伴隨網(wǎng)絡(luò)中顧客數(shù)量的增長,Internet連接需求也不停增長,在考慮改善網(wǎng)絡(luò)性能時,如下哪個是應(yīng)當考慮的部分?BA．WINS服務(wù)器B.代理服務(wù)器C.DHCP服務(wù)器D.目錄服務(wù)器11、有關(guān)屏蔽子網(wǎng)防火墻,下列說法錯誤的是:DA.屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)C.部網(wǎng)對于Internet來說是不可見的D.部顧客可以不通過DMZ直接訪問Internet18、如下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？DA.包過濾技術(shù);B.應(yīng)用級網(wǎng)關(guān)技術(shù)C.代理服務(wù)器技術(shù)D.NAT技術(shù)19、在如下網(wǎng)絡(luò)威脅中，哪個不屬于信息泄露？選擇c數(shù)據(jù)竊聽流量分析拒絕服務(wù)襲擊盜竊顧客21、在公鑰密碼體制中，用于加密的密鑰為：A.公鑰B.私鑰C.公鑰與私鑰D.公鑰或私鑰23、密碼技術(shù)中,識別個人、網(wǎng)絡(luò)上的機器或機構(gòu)的技術(shù)稱為：A.認證B.數(shù)字簽名C.簽名識別D.解密27.有關(guān)屏蔽子網(wǎng)防火墻,下列說法錯誤的是:屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)部網(wǎng)對于Internet來說是不可見的部顧客可以不通過DMZ直接訪問Internet28企業(yè)的WEB服務(wù)器受到來自某個IP地址的黑客反復(fù)襲擊,你的主管規(guī)定你通過防火墻來制止來自那個地址的所有連接,以保護WEB服務(wù)器,那么你應(yīng)當選擇哪一種防火墻?包過濾型應(yīng)用級網(wǎng)關(guān)型復(fù)合型防火墻代理服務(wù)型29.網(wǎng)顧客通過防火墻訪問公眾網(wǎng)中的地址需要對源地址進行轉(zhuǎn)換，規(guī)則中的動作應(yīng)選擇：A.AllowB.NATC.SATD.FwdFast30.防火墻的設(shè)計時要遵照簡樸性原則,詳細措施包括:選ABCA.在防火墻上嚴禁運行其他應(yīng)用程序B.停用不需要的組件C.將流量限制在盡量少的點上D.安裝運行WEB服務(wù)器程序31.原則訪問控制列表以（B）作為鑒別條件。

A、數(shù)據(jù)包的大小B、數(shù)據(jù)包的源地址

C、數(shù)據(jù)包的端口號D、數(shù)據(jù)包的目的地址

32.IP擴展訪問列表的數(shù)字標示圍是多少?（C）。

A、0-99B、1-99C、100-199D、101-200

33.訪問控制列表（ACL）分為原則和擴展兩種。下面有關(guān)ACL的描述中，錯誤的

是(C)。

原則ACL可以根據(jù)分組中的IP源地址進行過濾

擴展ACL可以根據(jù)分組中的IP目的地址進行過濾

原則ACL可以根據(jù)分組中的IP目的地址進行過濾

擴展ACL可以根據(jù)不一樣的上層協(xié)議信息進行過濾

34.通配符掩碼和子網(wǎng)掩碼之間的關(guān)系是（B）。

兩者沒有什么區(qū)別

通配符掩碼和子網(wǎng)掩碼恰好相反

一種是十進制的，另一種是十六進制的

兩者都是自動生成的

防火墻要實現(xiàn)的四類控制功能是什么？方向控制、服務(wù)控制、行為控制、顧客控制防火墻的理論特性有哪些？創(chuàng)立阻塞點、強化網(wǎng)絡(luò)安全方略，提供集成功能、實現(xiàn)網(wǎng)絡(luò)隔離、記錄和審計聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的活動、自身具有非常墻的抵御襲擊的能力防火墻的實際功能有哪些？（至少五項）包過濾、代理、網(wǎng)絡(luò)地址轉(zhuǎn)換、虛擬專用網(wǎng)絡(luò)、顧客身份認證、記錄報警分析與審計、管理功能、其他功能。簡要闡明防火墻的規(guī)則特點。規(guī)則是保護部信息資源的方略的實現(xiàn)和延伸；規(guī)則必須與訪問活動緊密有關(guān)；規(guī)則必須穩(wěn)妥可靠切合實際在安全和運用資源之間獲得較為平衡的政策；可以實行多種不一樣的服務(wù)訪問方略。簡要闡明防火墻的設(shè)計原則。拒絕訪問一切未予特學的服務(wù)；容許一切未被尤其拒絕的服務(wù)防火墻采用的重要技術(shù)有哪些？包過濾型防火墻；代理型防火墻簡要闡明包過濾型防火墻優(yōu)缺陷。長處：工作在傳播層下，對數(shù)據(jù)包自身字段進行過濾，性價比很高；缺陷：過濾判斷條件有限，安全性不高；過濾規(guī)則數(shù)目的增長會影響防火墻的性能；很難對顧客身份進行驗證；對安全管理人員的素質(zhì)規(guī)定高。簡要闡明代理型防火墻優(yōu)缺陷。長處：工作在應(yīng)用層，可以以進行深層的容進行控制；阻斷了聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的，實現(xiàn)了外網(wǎng)的互相屏蔽，防止了數(shù)據(jù)驅(qū)動類型的襲擊。缺陷：代理型防火墻速度相對較慢，當網(wǎng)關(guān)吞吐量較大時，防火墻就會成為瓶頸。簡要闡明包過濾型防火墻和代理型防火墻的區(qū)別。包過濾防火墻工作在網(wǎng)絡(luò)協(xié)議IP層，它只對IP包的源地址、目的地址及對應(yīng)端口進行處理，因此速度比較快，可以處理的并發(fā)連接比較多，缺陷是對應(yīng)用層的襲擊無能為力。代理服務(wù)器防火墻將收到的IP包還原成高層協(xié)議的通訊數(shù)據(jù)，例如http連接信息，因此可以對基于高層協(xié)議的襲擊進行攔截。缺陷是處理速度比較慢，可以處理的并發(fā)數(shù)比較少。簡要闡明多重宿主主機。多重宿主主機實際上是安放在聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的接上的一臺堡壘主機它要提供至少兩個網(wǎng)絡(luò)接:個與聯(lián)網(wǎng)絡(luò)相連，另一種與外聯(lián)網(wǎng)絡(luò)相連。聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間的通信可通過多重宿主主機:的應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完畢闡明屏蔽主機和屏蔽子網(wǎng)的區(qū)別和聯(lián)絡(luò)。屏蔽主機由包過濾器和堡壘主機構(gòu)成。1、堡壘主機在網(wǎng)絡(luò)部，通過防火墻的過濾使得這個主機是唯一可從外部抵達的主機。2、實現(xiàn)了應(yīng)用層和網(wǎng)絡(luò)層的安全，比單獨的包過濾或應(yīng)用網(wǎng)關(guān)代理更安全。3、過濾路由器與否配置對的是這種防火墻安全的關(guān)鍵。屏蔽子網(wǎng)模式采用了兩個包過濾路由器和一種堡壘主機，在個網(wǎng)絡(luò)之間建立了被隔離的子網(wǎng)，稱作周圍網(wǎng)。將堡壘主機、WEB服務(wù)器、E-MAIL服務(wù)器放在被屏蔽的子網(wǎng)，外部、部都可以訪問。但嚴禁他們通過屏蔽子網(wǎng)通信。假如堡壘主機被控制，部網(wǎng)絡(luò)仍然受部包過濾路由器保護。這種措施是在部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一種被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在諸多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)構(gòu)成一種“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機作為唯一可訪問點，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險帶僅包括堡壘主機、子網(wǎng)主機及所有連接網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。防火墻的好處有哪些？1.防火墻容許網(wǎng)絡(luò)管理員定義一種“檢查點”來防止非法顧客進人聯(lián)網(wǎng)絡(luò)，并抵御·多種襲擊。網(wǎng)絡(luò)的安全性在防火墻上得到加固，而不是增長受保護網(wǎng)絡(luò)部主機的承擔;

2.防火墻通過過濾存在安全缺陷的網(wǎng)絡(luò)服務(wù)來減少受保護網(wǎng)絡(luò)遭受襲擊的威脅。只有通過選擇的網(wǎng)絡(luò)服務(wù)才能通過防火墻，脆弱的服務(wù)只能在系統(tǒng)整體安全方略的控制下，在受保護網(wǎng)絡(luò)的部實現(xiàn);

3.防火墻可以增強受保護節(jié)點的性，強化私有權(quán).防火墻可以阻斷某些提供主機信息的服務(wù)。如Finger和DNS等，使得外部主機無法獲取這些有助于襲擊的信息;

4.防火墻有能力較梢確地控制對部子系統(tǒng)的訪問。防火墻可以設(shè)置成容許外聯(lián)網(wǎng)絡(luò)訪問聯(lián)網(wǎng)絡(luò)的某些子系統(tǒng).而不容許訪間其他的子系統(tǒng)。這有效地增長了聯(lián)網(wǎng)絡(luò)不一樣子系統(tǒng)的封閉性，使得系統(tǒng)核體安全方略的實行愈加細致、深人;

5.防火墻境系統(tǒng)具有集中安全性。若受保護網(wǎng)絡(luò)的所有或者大部分安全程序集中地放置在防火墻上，而非分散到受保護網(wǎng)絡(luò)中的各臺主機上，則安全監(jiān)控的圍會更集中，監(jiān)控行為更易于實現(xiàn)，安全成本也會更廉價;

6.在防火墻上可以很以便地監(jiān)視網(wǎng)絡(luò)的通信流，并產(chǎn)生告警信息。正如前面所描述的.網(wǎng)絡(luò)面臨的問題不是與否會受到襲擊，而是什么時候受到襲擊，因此對通信流的監(jiān)控是一項需要持之以恒的、耐心的工作;

7.安全審計和管理是網(wǎng)絡(luò)安全研究的重要課題，而防火墻恰恰是審計和記錄網(wǎng)絡(luò)行為最佳的地方。由于所有的網(wǎng)絡(luò)訪問流都要通過防火墻，因此網(wǎng)絡(luò)管理員可以在防火墻上記錄、分析網(wǎng)絡(luò)行為，并以此檢查安全方略的執(zhí)行狀況或者改善安全方略，

8.防火墻不僅是網(wǎng)絡(luò)安全的檢查點，它還可以作為向顧客公布信息的地點.即防火墻系統(tǒng)可以包括www服務(wù)器和FTP服務(wù)器等設(shè)備，并且容許外部主機進行訪問。

9.最主線的是，防火墻為系統(tǒng)整體安全方略的執(zhí)行提供了重要的實行平臺。假如沒有防火墻，那么系統(tǒng)整體安全方略的實行多半靠的是顧客的自覺性和聯(lián)網(wǎng)絡(luò)中各臺主機的安全性。防火墻的局限性之處有哪些？限制網(wǎng)絡(luò)服務(wù)；對部顧客防局限性；不能防旁路連接；不適合進行病毒檢測；無法防數(shù)據(jù)驅(qū)動型襲擊；無法防所有威脅；配置問題；無法防部人員泄密；速度問題；單失效點問題解釋闡明老式防火墻單失效點問題。老式防火墻至于外網(wǎng)相連接的要點處，會成為系統(tǒng)網(wǎng)絡(luò)訪問的瓶頸，一旦失效，外網(wǎng)的連接將斷開。包過濾技術(shù)防火墻過濾規(guī)則要檢測哪些重要字段信息？源地址；源端口號；目的地址；目的端口號；協(xié)議標志；過濾方式等簡要闡明什么是防火墻安全過濾規(guī)則？過濾路由器的關(guān)鍵是過濾規(guī)則，過濾路由器位于外網(wǎng)的邊界上，控制著聯(lián)網(wǎng)絡(luò)的所有數(shù)據(jù)包，網(wǎng)絡(luò)訪問方略是一種有序的規(guī)則的形式存儲在過濾路由器里，每一條規(guī)則定義了針對某個特定類型數(shù)據(jù)包的動作，針對數(shù)據(jù)包的字段，“拒絕一切未特許的，容許一切未拒絕的”經(jīng)典方略。簡要闡明包過濾技術(shù)的長處。簡樸迅速；對顧客是透明的；檢查規(guī)則簡樸效率高等；簡要闡明包過濾技術(shù)的缺陷。過濾技術(shù)思想簡樸，對信息處理能力有限，規(guī)則增多是規(guī)則的維護困難；控制層次較低，不能實現(xiàn)顧客級的控制，不能對合法顧客身份鑒別及冒用IP地址的鑒別。請簡要闡明狀態(tài)檢測技術(shù)的基本原理。狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一種整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)原因加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是此前的通信信息，也可以是其他有關(guān)應(yīng)用程序的信息，因此，與老式包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。簡要闡明什么是深度狀態(tài)檢測。深度檢測防火墻，將狀態(tài)檢測和應(yīng)用防火墻技術(shù)結(jié)合在一起，以處理應(yīng)用程序的流量，防目的系統(tǒng)免受多種復(fù)雜的襲擊。結(jié)合了狀態(tài)檢測的所有功能，深度檢測防火墻可以對數(shù)據(jù)流量迅速完畢網(wǎng)絡(luò)層級別的分析，并做出訪問控制決；對于容許的數(shù)據(jù)流，根據(jù)應(yīng)用層級別的信息，對負載做出深入的決策。深度檢測防火墻深入分析了TCP或UDP數(shù)據(jù)包的容，以便對負載有個總的認識。狀態(tài)檢測防火墻是目前使用最廣泛的防火墻，用來防護黑客襲擊。不過，伴隨專門針對應(yīng)用層的Web襲擊現(xiàn)象的增多，在襲擊防護中，狀態(tài)檢測防火墻的有效性越來越低。簡要闡明狀態(tài)檢測技術(shù)的長處。安全性比靜態(tài)包過濾高，可以阻斷更多的復(fù)雜襲擊行為可以通過度析打開對應(yīng)的端口而不是一刀切；提高了防火墻的性能，后續(xù)數(shù)據(jù)包不需要檢測，只需要迅速通過。簡要闡明狀態(tài)檢測技術(shù)的缺陷。工作在網(wǎng)絡(luò)層和傳播層，對報文的數(shù)據(jù)部分檢查很少，安全性還不夠高；檢測容多，對防火墻的性能提出來更高的規(guī)定。請簡要比較代理技術(shù)和包過濾技術(shù)的安全性。代理技術(shù)提供了與應(yīng)用有關(guān)的所有信息，并且可以提供安全日志所需的最詳細的管理和控制數(shù)據(jù)，安全級別更高。代理服務(wù)器不只檢測數(shù)據(jù)部的各個字段，還能深入到包的部，理解數(shù)據(jù)包載荷部分容的含義，還可認為安全監(jiān)測和日志記錄提供最為詳細的信息。對于外網(wǎng)來說只能看到代理服務(wù)器，而不能見到部網(wǎng)絡(luò)，實現(xiàn)聯(lián)網(wǎng)網(wǎng)絡(luò)隔離，使得外網(wǎng)無法直接通信減少了受到直接襲擊的風險，隱藏了部網(wǎng)咯的構(gòu)造和顧客，經(jīng)一部減少了顧客網(wǎng)絡(luò)遭受探測的風險。代理服務(wù)氣損壞的話只能是外網(wǎng)的連接中斷，不過無法出現(xiàn)襲擊和信息泄露的現(xiàn)象，代理技術(shù)比包過濾技術(shù)安全。簡述代理技術(shù)的詳細作用。（至少5項）隱藏部主機；過濾容；提高系統(tǒng)性能；保障安全；阻斷URL；保護電子；身份認證；信息重定向。防火墻代理技術(shù)的長處有哪些？提供了高速緩存，提高了網(wǎng)絡(luò)性能；屏蔽了聯(lián)網(wǎng)絡(luò)，組織了網(wǎng)探測活動；嚴禁了直接連接，減少了直接襲擊的風險；應(yīng)用層上過濾，實既有效過濾；提供了顧客身份認證手段，加強了安全性；連接基于服務(wù)而不是物理連接，不易受Ip地址欺騙襲擊；應(yīng)用層工作，提供了詳細的日志和分析功能；過濾規(guī)則比包過濾防火墻規(guī)則簡樸。防火墻代理技術(shù)的缺陷有哪些？代理程序?qū)Ｓ?，不適應(yīng)網(wǎng)絡(luò)服務(wù)和協(xié)議的不停發(fā)展；數(shù)據(jù)量大的狀況下會增長訪問延遲，影響系統(tǒng)性能；不能實現(xiàn)顧客的透明訪問；不支持所有的協(xié)議；對操作系統(tǒng)有明顯的依賴；代理技術(shù)的執(zhí)行速度慢。請闡明過濾路由器的長處。迅速；性能花費比高；透明；實現(xiàn)輕易。請闡明過濾路由器的缺陷。配置復(fù)雜維護困難；數(shù)據(jù)包自身檢測，智能檢測部分襲擊行為；無法防數(shù)據(jù)驅(qū)動型襲擊；只能對數(shù)據(jù)包的各字段進行檢查，無法確定數(shù)據(jù)包的發(fā)送者的真實性。一般來說，一條過濾規(guī)則包括那些字段？源地址；源端口號；目的地址；目的端口號；協(xié)議標志；過濾方式等闡明堡壘主機的設(shè)計原則并簡要解釋。（論述題）最小服務(wù)原則；防止原則；重要類型；系統(tǒng)需求；布署位置闡明雙宿主主機的長處有哪些？作為外網(wǎng)的唯一接口，易于實現(xiàn)網(wǎng)絡(luò)安全方略；使用堡壘主機實現(xiàn)，成本較低。闡明雙宿主主機的缺陷有哪些？顧客賬戶的存在提供一種入侵途徑，比沒有顧客賬戶的安全性要低；存在賬戶數(shù)據(jù)庫記錄增多，管理和維護非常復(fù)雜，輕易出錯；賬戶信息的頻繁存取花費大量資源，減少堡壘主機自身的穩(wěn)定性。出現(xiàn)速度地下甚至瓦解現(xiàn)象；容許顧客登錄，對主機安全性是一種威脅，很難進行有效監(jiān)控和記錄。闡明雙宿主網(wǎng)關(guān)的長處有哪些？無需管理和維護賬戶數(shù)據(jù)庫，減少了入侵襲擊風險；具有良好的可擴展性；屏蔽了聯(lián)網(wǎng)絡(luò)主機組織了信息泄露現(xiàn)象的發(fā)生。闡明雙宿主網(wǎng)關(guān)的缺陷有哪些？主機自身成為安全焦點，安全配置重要而復(fù)雜；代理服務(wù)組件增多會影響系統(tǒng)整體性能瓶頸；單臺主機會帶來單失效點的問題；靈活性差假如沒有某項代理組建，顧客無法使用該服務(wù)。簡要闡明屏蔽主機的工作原理。SHF（ScreenedHostFirewall）屏蔽主機防火墻采用一種包濾路由器與外部網(wǎng)連接，用一種堡壘主機安裝在部網(wǎng)絡(luò)上，起著代理服務(wù)器的作用，是外部網(wǎng)絡(luò)所能抵達的惟一節(jié)點，以此來保證部網(wǎng)絡(luò)不受外部未授權(quán)顧客的襲擊，到達部網(wǎng)絡(luò)安全的目的。在屏蔽主機防火墻的網(wǎng)絡(luò)安全方案中，一種數(shù)據(jù)包過濾路由器與因特網(wǎng)相連，同步，一種雙端主機（DualHomedHost,DHH）安裝在部網(wǎng)絡(luò)中。一般狀況下，在網(wǎng)絡(luò)路由器上設(shè)置過濾原則，使這個雙端主機成為在因特網(wǎng)上所有其他節(jié)點所能抵達的惟一節(jié)點。這樣就保證了部網(wǎng)絡(luò)不能受到任何未被授權(quán)的外部顧客的襲擊。請解釋屏蔽主機的長處。①屏蔽主機是一種結(jié)合了包過濾和代理兩不一樣機制的防火墻，它可以提供比單純的過濾路由器和多重宿主主機更高的安全性。任何襲擊者都需要攻破包過濾和代理兩道防線才能進入到聯(lián)網(wǎng)絡(luò)，增長了襲擊者的難度。②屏蔽主機支持多種功能的網(wǎng)絡(luò)服務(wù)的深層過濾，并具有相稱的可擴展性。由于堡壘主機的采用代理防火墻技術(shù)，因此服務(wù)器只需要添加代理服務(wù)器組件即可。③屏蔽主機系統(tǒng)自身是可靠地、穩(wěn)固的。不一樣于多重宿主主機，直接面對對外網(wǎng)絡(luò)的并不是堡壘主機而是路由器。因此簡樸配置的路由器要比保護一臺主機要輕易得多。請解釋屏蔽主機的缺陷。重要缺陷是堡壘主機和聯(lián)網(wǎng)絡(luò)主機放置在一起，他們之間沒有一道安全隔離屏障。假如堡壘主機北宮皮，那么聯(lián)網(wǎng)絡(luò)將所有暴露在襲擊者面前。此外雖然過濾路由器的安全性比多重宿主主機要高，不過只進行簡樸的包過濾規(guī)則，因此入侵者有多種手段對過濾路由器進行破壞。一旦路由表被修改，則堡壘主機被旁路，堡壘主機的服務(wù)器就沒有用了，所有聯(lián)網(wǎng)絡(luò)向外聯(lián)網(wǎng)絡(luò)發(fā)出的祈求都會通過被破壞的過濾路由器直接發(fā)到外聯(lián)網(wǎng)絡(luò)，聯(lián)網(wǎng)絡(luò)就沒有秘密可言了，聯(lián)網(wǎng)絡(luò)的安全性都維系在一相對脆弱的路由表上，這是一種比較嚴重的問題。請畫出雙宿主主機防火墻的構(gòu)造示意圖。請畫出堡壘主機防火墻的構(gòu)造示意圖。請畫出雙宿主網(wǎng)關(guān)防火墻的構(gòu)造示意圖。請畫出屏蔽主機防火墻的構(gòu)造示意圖。請畫出屏蔽子網(wǎng)防火墻的構(gòu)造示意圖。請畫出三叉非軍事區(qū)防火墻的構(gòu)造示意圖。闡明屏蔽子網(wǎng)的長處。聯(lián)網(wǎng)絡(luò)實現(xiàn)了與外聯(lián)網(wǎng)絡(luò)的隔離，部構(gòu)造無法探測，外聯(lián)網(wǎng)絡(luò)只能懂得外部路由器和費軍事區(qū)的尋在，而不懂得部路由器的存在，也就無法探測部路由器背面的聯(lián)網(wǎng)絡(luò)了，只一點對于防止入侵者懂得聯(lián)網(wǎng)絡(luò)的聯(lián)網(wǎng)絡(luò)的拓撲構(gòu)造和主機地址分派及活動狀況尤為重要。聯(lián)網(wǎng)絡(luò)安全防護嚴密。入侵者必須攻破外部路由器、堡壘主機和部路由器之后才能進入聯(lián)網(wǎng)絡(luò)。由于使用了部路由器和外部路由器因此減少了堡壘主機處理的負載量，減輕了堡壘主機的壓力，增強了堡壘主機的可靠性和安全性。非軍事區(qū)的劃分將顧客網(wǎng)絡(luò)的信息流量明確分為不一樣的等級，通過部路由器的隔離作用，信息收到了嚴密的保護，減少了信息泄露現(xiàn)象的發(fā)生。防火墻的重要性能指標有哪些?？煽啃钥捎眯钥蓴U展性可審計性可管理性成本花費請簡要闡明選擇防火墻重要考慮哪些詳細評估參數(shù)。（至少5個）吞吐量時延丟包率并發(fā)連接數(shù)工作模式配置與管理接口數(shù)量和類型日志和審計參數(shù)可用性參數(shù)其他參數(shù)（容過濾、入侵檢測、顧客認證、VPN加密等）請說出防火墻的著名廠商有那幾種？（至少5個）Juniper/NetscreenCiscoFortinetWatchGuard安氏天融信東軟結(jié)合現(xiàn)實談?wù)劮阑饓夹g(shù)的重要發(fā)展趨勢。分布式執(zhí)行和集中式管理深度過濾建立以防火墻為關(guān)鍵的綜合安全體系防火墻自身的多功能化，變被動防御為積極防御強大的審計與自動日志分析功能。硬件化專用化請闡明深度過濾技術(shù)的基本特性。正?；㈦p向負載檢測、應(yīng)用層加密解密、協(xié)議一致性結(jié)合現(xiàn)實請談?wù)動嬎銠C系統(tǒng)面臨的威脅。拒絕服務(wù)（服務(wù)祈求超載、SYN洪水、報文超載）欺騙（IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙）監(jiān)聽密碼破解木馬緩沖區(qū)溢出ICMP秘密通道TCP會話劫持拒絕服務(wù)襲擊有哪些措施？服務(wù)祈求超載、SYN洪水、報文超載欺騙襲擊重要有哪些措施？IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙結(jié)合實際談?wù)勅肭中袨榈囊话氵^程。確定襲擊目的實行襲擊襲擊后處理請畫出入侵檢測P2DR模型，并解釋各部分的含義。入侵檢測的重要作用有哪些？（至少5個）識別并阻斷系統(tǒng)活動中存在的一直襲擊行為，放置入侵檢測行為對受保護系統(tǒng)導致?lián)p害識別并判斷系統(tǒng)顧客的非法操作行為或者越權(quán)行為，防止放置顧客對保護系統(tǒng)故意無意的破壞。檢查受保護系統(tǒng)的重要構(gòu)成部分以及多種數(shù)據(jù)文獻的完整性。審計并彌補系統(tǒng)中存在的弱點和漏洞，其中那個最重要的一點事審計并糾正錯誤的系統(tǒng)配置信息。記錄并分析顧客和系統(tǒng)的行為，描述這些行為變化的正常區(qū)域，進而識別異常的活動。通過蜜罐等技術(shù)記錄入侵者的信息，分析入侵者的目的和行為特性，優(yōu)化系統(tǒng)安全方略。加強組織和機構(gòu)對系統(tǒng)和顧客的監(jiān)督和控制能力，提高管理水平和管理質(zhì)量。簡要闡明基于主機的入侵檢測的長處有哪些？可以檢測所有的系統(tǒng)行為，可以精確監(jiān)控針對主機的襲擊過程不需要額外的硬件來支持可以適合加密的環(huán)境網(wǎng)絡(luò)無關(guān)性簡要闡明基于主機的入侵檢測的缺陷有哪些？不具有平臺無關(guān)性，可移植性差檢測手段較多時會影響安裝主機的性能維護和管理工作復(fù)雜無法判斷網(wǎng)絡(luò)的入侵行為簡要闡明基于網(wǎng)絡(luò)的入侵檢測的長處有哪些？具有系統(tǒng)平臺無關(guān)性不影響受保護主機的性能對襲擊者來說是透明的可以進行較大圍的網(wǎng)絡(luò)安全保護監(jiān)測數(shù)據(jù)具有很高的真實性可檢測基于底層協(xié)議的襲擊行為簡要闡明基于網(wǎng)絡(luò)的入侵檢測的缺陷有哪些？不在通信的端點，無法像進行網(wǎng)絡(luò)通訊的主機那樣處理所有網(wǎng)絡(luò)協(xié)議層次的數(shù)據(jù)對于目前越來越流行的加密傳播很難進行處理對于互換網(wǎng)絡(luò)的支持局限性面臨處理能力的問題輕易受到拒絕服務(wù)襲擊很難進行復(fù)雜襲擊的檢測簡要闡明蜜罐技術(shù)原理。蜜罐實際是一種犧牲系統(tǒng)，不包括任何可以運用的有價值的資源。存在的唯一目的就是將襲擊的目的轉(zhuǎn)移到蜜罐系統(tǒng)上，誘騙、手機、分析襲擊的信息確定襲擊行為和入侵者的動機。，設(shè)置蜜罐存在安全風險，輕易被入侵者控制作為襲擊聯(lián)網(wǎng)絡(luò)的跳板。闡明什么是異常入侵檢測。異常入侵檢測是根據(jù)系統(tǒng)和顧客的非正常行為或者對于計算機資源的非正常使用檢測出入侵行為的檢測技術(shù)，異常檢測基礎(chǔ)是建立在系統(tǒng)正?；顒踊蝾櫩驼Ｐ袨槟Ｊ降拿枋瞿Ｐ汀㈩櫩偷哪壳靶袨槟Ｊ胶拖到y(tǒng)的目前狀態(tài)與該正常模式進行比較，假如目前值超過了預(yù)設(shè)的閾值，則認為存在襲擊行為。，對未知的襲擊的檢測，精確度依賴于正常模型的精確程度。闡明什么是濫用入侵檢測。濫用入侵檢測通過對既有的多種襲擊手段進行分析，找到可以代表該襲擊的行為的特性集合。對目前數(shù)據(jù)的處理就是與這些特性集合進行匹配，假如成功匹配則闡明發(fā)生了依次確定的襲擊。濫用入侵檢測可以實現(xiàn)的基礎(chǔ)是既有已知襲擊手段，都可以根據(jù)近襲擊條件、動作排列及對應(yīng)事件之間的關(guān)系變化進行明確描述，即襲擊行為的特性可以被提取。每種襲擊行為均有明確的特性描述，因此濫用檢測的精確度很高。不過，濫用檢測系統(tǒng)依賴性較強，平臺無關(guān)性較差，難于移植。并且對已多種已知襲擊模式特性的提取和維護工作量非常大，此外濫用檢測只能根據(jù)已經(jīng)有的數(shù)據(jù)進行判斷，不能檢測新的或變異的襲擊行