防火墻考試復(fù)習(xí)題

單選題1．下列哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？ DA.包過濾技術(shù);B.應(yīng)用級網(wǎng)關(guān)技術(shù);C.代理服務(wù)器技術(shù);D.NAT技術(shù)2．有關(guān)屏蔽子網(wǎng)防火墻,下列說法錯誤的是: DA.屏蔽子網(wǎng)防火墻是幾個防火墻類型中最安全的;B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān);C.部網(wǎng)對于Internet來說是不可見的;D.部顧客能夠不通過DMZ直接訪問Internet3．最簡樸的防火墻構(gòu)造是（A）A.路由器B、代理服務(wù)器C、日志工具D、包過濾器4．為確保公司局域網(wǎng)的信息安全，避免來自internet的黑客入侵，采用（）能夠?qū)崿F(xiàn)一定的防作用。A.網(wǎng)管軟件B.操作系統(tǒng)C防火墻D.防病毒軟件5．防火墻采用的最簡樸的技術(shù)是（）A．安裝保護卡B.隔離C.包過濾D.設(shè)立進入密碼6.防火墻技術(shù)可分為（）等到3大類型A包過濾、入侵檢測和數(shù)據(jù)加密B.包過濾、入侵檢測和應(yīng)用代理“

C包過濾、應(yīng)用代理和入侵檢測D.包過濾、狀態(tài)檢測和應(yīng)用代理7.防火墻系統(tǒng)普通由（）構(gòu)成，避免不但愿的、未經(jīng)授權(quán)的進出被保護的部網(wǎng)絡(luò)A．殺病毒卡和殺毒軟件代理服務(wù)器和入檢測系統(tǒng)過濾路由器和入侵檢測系統(tǒng)過濾路由器和代理服務(wù)器8.防火墻技術(shù)是一種（）網(wǎng)絡(luò)系統(tǒng)安全方法。3)A．被動的B.主動的C．能夠避免部犯罪的D.能夠解決全部問題的9．防火墻是建立在外網(wǎng)絡(luò)邊界上的一類安全保護機制，它的安全架構(gòu)基于（）。A．流量控制技術(shù)B加密技術(shù)C．信息流填充技術(shù)D．訪問控制技術(shù)10.普通為代理服務(wù)器的保壘主機上裝有（）。A．一塊網(wǎng)卡且有一種IP地址B．兩個網(wǎng)卡且有兩個不同的IP地址C．兩個網(wǎng)卡且有相似的IP地址D．多個網(wǎng)卡且動態(tài)獲得IP地址11.普通為代理服務(wù)器的保壘主機上運行的是（）A．代理服務(wù)器軟件B．網(wǎng)絡(luò)操作系統(tǒng)C．?dāng)?shù)據(jù)庫管理系統(tǒng)D．應(yīng)用軟件12.下列有關(guān)防火墻的說確的是（）A防火墻的安全性能是根據(jù)系統(tǒng)安全的規(guī)定而設(shè)立的B防火墻的安全性能是一致的，普通沒有級別之分C防火墻不能把部網(wǎng)絡(luò)隔離為可信任網(wǎng)絡(luò)D一種防火墻只能用來對兩個網(wǎng)絡(luò)之間的互相訪問實施強制性管理的安全系統(tǒng)13．在ISOOSI/RM中對網(wǎng)絡(luò)安全服務(wù)所屬的合同層次進行分析，規(guī)定每個合同層都能提供網(wǎng)絡(luò)安全服務(wù)。其中顧客身份認證在（1）進行。A網(wǎng)絡(luò)層B會話層C物理層D應(yīng)用層14.在ISOOSI/RM中對網(wǎng)絡(luò)安全服務(wù)所屬的合同層次進行分析，規(guī)定每個合同層都能提供網(wǎng)絡(luò)安全服務(wù)。IP過濾型防火墻在（）通過控制網(wǎng)落邊界的信息流動，來強化部網(wǎng)絡(luò)的安全性。A網(wǎng)絡(luò)層B會話層C物理層D應(yīng)用層15.()不是防火墻的功效過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包保護存儲數(shù)據(jù)包封堵某些嚴禁的訪問行為統(tǒng)計通過防火墻的信息容和活動16.包過濾型防火墻工作在（

C

）A.會話層

B.應(yīng)用層C.網(wǎng)絡(luò)層

D.數(shù)據(jù)鏈路層17.入侵檢測是一門新興的安全技術(shù)，是作為繼________之后的第二層安全防護方法。（

B

）A.路由器

B.防火墻C.交換機

D.服務(wù)器18.下面屬于單鑰密碼體制算法的是（C

）A.RSA

B.LUCC.DES

D.DSA19.對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護的是（

A

）A.節(jié)點加密

B.鏈路加密C.端到端加密

D.DES加密20.普通而言，Internet防火墻建立在一種網(wǎng)絡(luò)的（

A

）A.部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點

B.每個子網(wǎng)的部C.部分部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處

D.部子網(wǎng)之間傳送信息的中樞21、下列不屬于代理服務(wù)技術(shù)優(yōu)點的是（D）能夠?qū)崿F(xiàn)身份認證部地址的屏蔽和轉(zhuǎn)換功效能夠?qū)崿F(xiàn)訪問控制能夠防數(shù)據(jù)驅(qū)動侵襲22、包過濾技術(shù)與代理服務(wù)技術(shù)相比較（B）包過濾技術(shù)安全性較弱、但會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響包過濾技術(shù)對應(yīng)用和顧客是絕對透明的代理服務(wù)技術(shù)安全性較高、但不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響代理服務(wù)技術(shù)安全性高，對應(yīng)用和顧客透明度也很高23、在建立堡壘主機時（A）在堡壘主機上應(yīng)設(shè)立盡量少的網(wǎng)絡(luò)服務(wù)在堡壘主機上應(yīng)設(shè)立盡量多的網(wǎng)絡(luò)服務(wù)對必須設(shè)立的服務(wù)給與盡量高的權(quán)限不管發(fā)生任何入侵狀況，部網(wǎng)始終信任堡壘主機24、當(dāng)同一網(wǎng)段中兩臺工作站配備了相似的IP地址時，會造成(B)先入者被后入者擠出網(wǎng)絡(luò)而不能使用雙方都會得到警告，但先入者繼續(xù)工作，而后入者不能雙方能夠同時正常工作，進行數(shù)據(jù)的傳輸雙主都不能工作，都得到網(wǎng)址沖突的警告25、代理服務(wù)作為防火墻技術(shù)重要在OSI的哪一層實現(xiàn)（D）A．?dāng)?shù)據(jù)鏈路層B．網(wǎng)絡(luò)層C．表達層D．應(yīng)用層26、防火墻的安全性角度，最佳的防火墻構(gòu)造類型是（D）A．路由器型B．雙宿主主機構(gòu)造C．屏蔽主機構(gòu)造D．屏蔽子網(wǎng)構(gòu)造27、邏輯上，防火墻是(D)。A．過濾器B．限制器C．分析器D．A、B、C28、下列不屬于代理服務(wù)技術(shù)優(yōu)點的是(D)能夠?qū)崿F(xiàn)應(yīng)用層上的文獻類型過濾部地址的屏蔽和轉(zhuǎn)換功效能夠?qū)崿F(xiàn)訪問控制能夠防病毒入侵29、普通而言，Internet防火墻建立在一種網(wǎng)絡(luò)的（

A

）A.部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點

B.每個子網(wǎng)的部C.部分部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處

D.部子網(wǎng)之間傳送信息的中樞30、下面是個人防火墻的優(yōu)點的是（

D

）運行時占用資源對公共網(wǎng)絡(luò)只有一種物理接口只能保護單機，不能保護網(wǎng)絡(luò)系統(tǒng)增加保護級別31、包過濾型防火墻工作在（

C

）A.會話層

B.應(yīng)用層C.網(wǎng)絡(luò)層

D.數(shù)據(jù)鏈路層32、下面有關(guān)防火墻的說法中，對的的是（B）防火墻能夠解決來自部網(wǎng)絡(luò)的攻擊防火墻能夠避免受病毒感染的文獻的傳輸防火墻會削弱計算機網(wǎng)絡(luò)系統(tǒng)的性能防火墻能夠避免錯誤配備引發(fā)的安全威脅33.Tom的公司申請到5個IP地址，要使公司的20臺主機都能聯(lián)到INTERNET上，他需要防火墻的那個功效？ BA 假冒IP地址的偵測。B 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。C 容檢查技術(shù)D 基于地址的身份認證。34.Smurf攻擊結(jié)合使用了IP欺騙和ICMP回復(fù)辦法使大量網(wǎng)絡(luò)傳輸充滿目的系統(tǒng)，引發(fā)目的系統(tǒng)回絕為正常系統(tǒng)進行服務(wù)。管理員能夠在源站點使用的解決方法是： CA 通過使用防火墻制止這些分組進入自己的網(wǎng)絡(luò)。B 關(guān)閉與這些分組的URL連接C 使用防火墻的包過濾功效，確保網(wǎng)絡(luò)中的全部傳輸信息都含有正當(dāng)?shù)脑吹刂?。D 安裝可去除客戶端木馬程序的防病毒軟件模塊，35.包過濾根據(jù)包的源地址、目的地址、傳輸合同作為根據(jù)來擬定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何處。它不能進行以下哪一種操作： CA 嚴禁外部網(wǎng)絡(luò)顧客使用FTP。B 允許全部顧客使用HTTP瀏覽INTERNET。C 除了管理員能夠從外部網(wǎng)絡(luò)Telnet部網(wǎng)絡(luò)外，其它顧客都不能夠(身份認證)。D 只允許某臺計算機通過NNTP公布新聞。36.UDP是無連接的傳輸合同，由應(yīng)用層來提供可靠的傳輸。它用以傳輸何種服務(wù)： DA TELNETB SMTPC FTPD TFTP36.OSI模型中，LLC頭數(shù)據(jù)封裝在數(shù)據(jù)包的過程是在： CA 傳輸層B 網(wǎng)絡(luò)層C 數(shù)據(jù)鏈路層D 物理層37.TCP合同是Internet上用得最多的合同，TCP為通信兩端提供可靠的雙向連接。下列基于TCP合同的服務(wù)是： AA DNSB TFTPC SNMPD RIP38.端標(biāo)語用來辨別不同的服務(wù)，端標(biāo)語由IANA分派，下面錯誤的是： DA TELNET使用23端標(biāo)語。B DNS使用53端標(biāo)語。C 1024下列為保存端標(biāo)語，1024以上動態(tài)分派。D SNMP使用69端標(biāo)語。39.包過濾是有選擇地讓數(shù)據(jù)包在部與外部主機之間進行交換，根據(jù)安全規(guī)則有選擇的路由某些數(shù)據(jù)包。下面不能進行包過濾的設(shè)備是： CA 路由器B 一臺獨立的主機C 二層交換機D 網(wǎng)橋40.TCP可為通信雙方提供可靠的雙向連接，在包過濾系統(tǒng)中，下面有關(guān)TCP連接描述錯誤的是： CA 要回絕一種TCP時只要回絕連接的第一種包即可。B TCP段中首包的ACK＝0，后續(xù)包的ACK＝1。C 確認號是用來確保數(shù)據(jù)可靠傳輸?shù)木幪枴? D "在CISCO過濾系統(tǒng)中，當(dāng)ACK＝1時，“established""核心字為T，當(dāng)ACK＝0時，“established""核心字為F。" 41.下面對電路級網(wǎng)關(guān)描述對的的是： BA 它允許部網(wǎng)絡(luò)顧客不受任何限制地訪問外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)顧客在訪問部網(wǎng)絡(luò)時會受到嚴格的控制。B 它在客戶機和服務(wù)器之間不解釋應(yīng)用合同，僅依賴于TCP連接，而不進行任何附加包的過濾或解決。C 大多數(shù)電路級代理服務(wù)器是公共代理服務(wù)器，每個合同都能由它實現(xiàn)。D 對多個合同的支持不用做任何調(diào)節(jié)直接實現(xiàn)。42.在Internet服務(wù)中使用代理服務(wù)有許多需要注意的容，下述敘述對的的是： CA UDP是無連接的合同很容易實當(dāng)代理。B 與犧牲主機的方式相比，代理方式更安全。C 對于某些服務(wù)，在技術(shù)上實現(xiàn)相對容易。D 很容易回絕客戶機與服務(wù)器之間的返回連接。43.狀態(tài)檢查技術(shù)在OSI那層工作實現(xiàn)防火墻功效： CA 鏈路層B 傳輸層C 網(wǎng)絡(luò)層D 會話層44.對狀態(tài)檢查技術(shù)的優(yōu)缺點描述有誤的是：C A 采用檢測模塊監(jiān)測狀態(tài)信息。B 支持多個合同和應(yīng)用。C 不支持監(jiān)測RPC和UDP的端口信息。D 配備復(fù)雜會減少網(wǎng)絡(luò)的速度。45.JOE是公司的一名業(yè)務(wù)代表，經(jīng)常要在外地訪問公司的財務(wù)信息系統(tǒng)，他應(yīng)當(dāng)采用的安全、便宜的通訊方式是： BA PPP連接到公司的RAS服務(wù)器上。B 遠程訪問VPNC 電子D 與財務(wù)系統(tǒng)的服務(wù)器PPP連接。46.下面有關(guān)外部網(wǎng)VPN的描述錯誤的有： CA 外部網(wǎng)VPN能確保涉及TCP和UDP服務(wù)的安全。B 其目的在于確保數(shù)據(jù)傳輸中不被修改。C VPN服務(wù)器放在Internet上位于防火墻之外。D VPN能夠建在應(yīng)用層或網(wǎng)絡(luò)層上。47.IPSec合同是開放的VPN合同。對它的描述有誤的是： CA 適應(yīng)于向IPv6遷移。B 提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護。C 支持動態(tài)的IP地址分派。D 不支持除TCP/IP外的其它合同。48.IPSec在哪種模式下把數(shù)據(jù)封裝在一種IP包傳輸以隱藏路由信息： AA 隧道模式B 管道模式C 傳輸模式D 安全模式49.有關(guān)PPTP（Point-to-PointTunnelProtocol)說確的是： CA PPTP是Netscape提出的。B 微軟從NT3.5后來對PPTP開始支持。C PPTP可用在微軟的路由和遠程訪問服務(wù)上。D 它是傳輸層上的合同。50.有關(guān)L2TP（Layer2TunnelingProtocol)合同說法有誤的是： DA L2TP是由PPTP合同和Cisco公司的L2F組合而成。B L2TP可用于基于Internet的遠程撥號訪問。C 為PPP合同的客戶建立撥號連接的VPN連接。D L2TP只能通過TCT/IP連接。51.針對下列多個安全合同，最適合使用外部網(wǎng)VPN上，用于在客戶機到服務(wù)器的連接模式的是： CA IPsecB PPTPC SOCKSv5D L2TP52.下列多個安全合同中使用包過濾技術(shù)，合用于可信的LAN到LAN之間的VPN，即部網(wǎng)VPN的是： DA PPTPB L2TPC SOCKSv5D IPsec53.現(xiàn)在在防火墻上提供了幾個認證辦法，其中防火墻設(shè)定能夠訪問部網(wǎng)絡(luò)資源的顧客訪問權(quán)限是： CA 客戶認證B 回話認證C 顧客認證D 都不是54.現(xiàn)在在防火墻上提供了幾個認證辦法，其中防火墻提供授權(quán)顧客特定的服務(wù)權(quán)限是： AA 客戶認證B 回話認證C 顧客認證D 都不是55.現(xiàn)在在防火墻上提供了幾個認證辦法，其中防火墻提供通信雙方每次通信時的會話授權(quán)機制是： BA 客戶認證B 回話認證C 顧客認證D 都不是56.使用安全核的辦法把可能引發(fā)安全問題的部分沖操作系統(tǒng)的核中去掉，形成安全等級更高的核，現(xiàn)在對安全操作系統(tǒng)的加固和改造能夠從幾個方面進行。下面錯誤的是： DA 采用隨機連接序列號。B 駐留分組過濾模塊。C 取消動態(tài)路由功效。D 盡量地采用獨立安全核。57.在防火墻實現(xiàn)認證的辦法中，采用通過數(shù)據(jù)包中的源地址來認證的是： BA Password-BasedAuthenticationB Address-BasedAuthenticationC CryptographicAuthenticationD NoneofAbove.58.網(wǎng)絡(luò)入侵者使用sniffer對網(wǎng)絡(luò)進行偵聽，在防火墻實現(xiàn)認證的辦法中，下列身份認證可能會造成不安全后果的是： AA Password-BasedAuthenticationB Address-BasedAuthenticationC CryptographicAuthenticationD NoneofAbove.59.隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功效將被取代：DA 使用IP加密技術(shù)。B 日志分析工具。C 攻擊檢測和報警。D 對訪問行為實施靜態(tài)、固定的控制。60.下列有關(guān)VPN說確的是（）BVPN指的是顧客自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路VPN指的是顧客通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接VPN不能做到信息驗證和身份認證VPN只能提供身份認證、不能提供加密數(shù)據(jù)的功效61.IPSec合同是開放的VPN合同。對它的描述有誤的是（）D適應(yīng)于向IPv6遷移提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護能夠適應(yīng)設(shè)備動態(tài)IP地址的狀況支持除TCP/IP外的其它合同62.布署IPSECVPN時，配備什么樣的安全算法能夠提供更可靠的數(shù)據(jù)加密（）BDES3DESSHA128位的MD563.布署IPSECVPN時，配備什么安全算法能夠提供更可靠的數(shù)據(jù)驗證（）CDES3DESSHA128位的MD564.為控制公司部對外的訪問以及抵抗外部對部網(wǎng)的攻擊,最佳的選擇是（）。

A、IDSB、殺毒軟件C、防火墻D、路由器

65、下列有關(guān)防火墻的設(shè)計原則說確的是（）。

不單單要提供防火墻的功效，還要盡量使用較大的組件

保持設(shè)計的簡樸性

保存盡量多的服務(wù)和守護進程，從而能提供更多的網(wǎng)絡(luò)服務(wù)

一套防火墻就能夠保護全部的網(wǎng)絡(luò)

66、防火墻能夠（）。

防惡意的知情者

防通過它的惡意連接

防備新的網(wǎng)絡(luò)安全問題

完全避免傳送己被病毒感染的軟件和文獻

67、防火墻中地址翻譯的重要作用是（）。

A、提供代理服務(wù)B、進行入侵檢測

C、隱藏部網(wǎng)絡(luò)地址D、避免病毒入侵

68、防火墻是隔離部和外部網(wǎng)的一類安全系統(tǒng)。普通防火墻中使用的技術(shù)有過

濾和代理兩種。路由器能夠根據(jù)（）進行過濾，以阻擋某些非法訪問。

網(wǎng)卡地址B、IP地址C、顧客標(biāo)記D、加密辦法

69、在公司部網(wǎng)與外部網(wǎng)之間，用來檢查網(wǎng)絡(luò)請求分組與否正當(dāng)，保護網(wǎng)絡(luò)資

源不被非法使用的技術(shù)是（）。

A、防病毒技術(shù)B、防火墻技術(shù)C、差錯控制技術(shù)D、流量控制技術(shù)

70、防火墻是指（）。

避免一切顧客進入的硬件

制止侵權(quán)進入和離開主機的通信硬件或軟件

統(tǒng)計全部訪問信息的服務(wù)器

解決出入主機的的服務(wù)器

71、防火墻的基本構(gòu)件包過濾路由器工作在OSI的哪一層（）

A、物理層B、傳輸層C、網(wǎng)絡(luò)層D、應(yīng)用層

72、包過濾防火墻對通過防火墻的數(shù)據(jù)包進行檢查，只有滿足條件的數(shù)據(jù)包才干

通過，對數(shù)據(jù)包的檢查容普通不涉及（）。

A、源地址B、目的地址C、合同D、有效載荷

73、防火墻對數(shù)據(jù)包進行狀態(tài)檢測過濾時，不能夠進行檢測過濾的是（）。

A、源和目的IP地址B、源和目的端口

C、IP合同號D、數(shù)據(jù)包中的容

74、下列屬于防火墻的功效的是（）。

A、識別DNS服務(wù)器B、維護路由信息表

C、提供對稱加密服務(wù)D、包過濾

75、公司的WEB服務(wù)器受到來自某個IP地址的黑客重復(fù)攻擊,你的主管規(guī)定你通過

防火墻來制止來自那個地址的全部連接,以保護WEB服務(wù)器,那么你應(yīng)當(dāng)選擇哪一

種防火墻?()。

A、包過濾型B、應(yīng)用級網(wǎng)關(guān)型

D、復(fù)合型防火墻D、代理服務(wù)型

76、下列哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？（）。

A、包過濾技術(shù)B、應(yīng)用級網(wǎng)關(guān)技術(shù)

C、代理服務(wù)器技術(shù)D、NAT技術(shù)

77、有關(guān)防火墻技術(shù)的描述中，對的的是（）。

防火墻不能支持網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻能夠布置在公司部網(wǎng)和Internet之間

防火墻能夠查、殺多個病毒

防火墻能夠過濾多個垃圾文獻

78、包過濾防火墻通過（）來擬定數(shù)據(jù)包與否能通過。

A、路由表B、ARP表C、NAT表D、過濾規(guī)則

79、下列有關(guān)防火墻技術(shù)的描述，哪個是錯誤的？（）

防火墻分為數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)兩類

防火墻能夠控制外部顧客對部系統(tǒng)的訪問

防火墻能夠制止部人員對外部的攻擊

防火墻能夠分析和統(tǒng)管網(wǎng)絡(luò)使用狀況

80、某公司使用包過濾防火墻控制進出公司局域網(wǎng)的數(shù)據(jù)，在不考慮使用代理服

務(wù)器的狀況下，下面描述錯誤的是“該防火墻能夠（）”。

A、使公司員工只能防問Intrenet上與其有業(yè)務(wù)聯(lián)系的公司的IP地址

B、僅允許HTTP合同通過

C、使員工不能直接訪問FTP服務(wù)端標(biāo)語為21的FTP服務(wù)

D、僅允許公司中含有某些特定IP地址的計算機能夠訪問外部網(wǎng)絡(luò)

81、下列有關(guān)防火墻的說法中，錯誤的是（）。

防火墻能夠提供對系統(tǒng)的訪問控制

防火墻能夠?qū)崿F(xiàn)對公司部網(wǎng)的集中安全管理

防火墻能夠隱藏公司網(wǎng)的部IP地址

防火墻能夠避免病毒感染程序（或文獻）的傳輸

82、包過濾根據(jù)包的源地址、目的地址、傳輸合同作為根據(jù)來擬定數(shù)據(jù)包的轉(zhuǎn)發(fā)

及轉(zhuǎn)發(fā)到何處。它不能進行以下哪一種操作（）。

嚴禁外部網(wǎng)絡(luò)顧客使用FTP

允許全部顧客使用HTTP瀏覽INTERNET

除了管理員能夠從外部網(wǎng)絡(luò)Telnet部網(wǎng)絡(luò)外，其它顧客都不能夠

只允許某臺計算機通過NNTP公布新聞

83、隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功效將被取代

（）。

A、使用IP加密技術(shù)B、日志分析工具

C、攻擊檢測和報警D、對訪問行為實施靜態(tài)、固定的控制

84、對狀態(tài)檢查技術(shù)的優(yōu)缺點描述有誤的是（）。

A、采用檢測模塊監(jiān)測狀態(tài)信息B、支持多個合同和應(yīng)用

不支持監(jiān)測RPC和UDP的端口信息D、配備復(fù)雜會減少網(wǎng)絡(luò)的速度

85、包過濾技術(shù)與代理服務(wù)技術(shù)相比較（）。

包過濾技術(shù)安全性較弱、但會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響

包過濾技術(shù)對應(yīng)用和顧客是絕對透明的

代理服務(wù)技術(shù)安全性較高、但不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響

代理服務(wù)技術(shù)安全性高，對應(yīng)用和顧客透明度也很高

86、屏蔽路由器型防火墻采用的技術(shù)是基于（）。

A、數(shù)據(jù)包過濾技術(shù)B、應(yīng)用網(wǎng)關(guān)技術(shù)

C、代理服務(wù)技術(shù)D、三種技術(shù)的結(jié)合

87、有關(guān)屏蔽子網(wǎng)防火墻,下列說法錯誤的是（）。

屏蔽子網(wǎng)防火墻是幾個防火墻類型中最安全的

屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)

部網(wǎng)對于Internet來說是不可見的

部顧客能夠不通過DMZ直接訪問Internet

88、網(wǎng)絡(luò)中一臺防火墻被配備來劃分Internet、部網(wǎng)及DMZ區(qū)域，這樣的防火

墻類型為（）。

A、單宿主堡壘主機B、雙宿主堡壘主機

C、三宿主堡壘主機D、四宿主堡壘主機

89、防火墻的設(shè)計時要遵照簡樸性原則,具體方法涉及（）。B

在防火墻上嚴禁運行其它應(yīng)用程序

停用不需要的組件

將流量限制在盡量少的點上

安裝運行WEB服務(wù)器程序

90.故意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用屬于(B)

A破壞數(shù)據(jù)完整性B非授權(quán)訪問C信息泄露D回絕服務(wù)攻擊

91.防火墻普通被比方為網(wǎng)絡(luò)安全的大門，但它不能（D）

A.制止基于IP的攻擊B制止非信任地址的訪問

C鑒別什么樣的數(shù)據(jù)能夠進出公司部網(wǎng)D制止病毒入侵

多選題1．下列哪些是防火墻的重要行為？（AB）準(zhǔn)許B、限制C、日志統(tǒng)計D、問候訪問者2.JOHN的公司選擇采用IPSec合同作為公司分支機構(gòu)連接部網(wǎng)VPN的安全合同。下列那幾條是對IPSec的對的的描述： ABDA 它對主機和端點進行身份鑒別。B 確保數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時的完整性。C 在隧道模式下，信息封裝隱藏了路由信息。D 加密IP地址和數(shù)據(jù)以確保私有性。3.相比較代理技術(shù)，包過濾技術(shù)的缺點涉及： ABCA 在機器上配備和測試包過濾比較困難。B "包過濾技術(shù)無法與UNIX的“r""命令和NFS、NIS/YP合同的RPC協(xié)調(diào)。"C 包過濾無法辨別信息是哪個顧客的信息，無法過濾顧客。D 包過濾技術(shù)只能通過在客戶機特別的設(shè)立才干實現(xiàn)。4.微軟的ProxyServer是使一臺WINDOWS服務(wù)器成為代理服務(wù)的軟件。它的安裝規(guī)定條件是：ABD A 服務(wù)器普通要使用雙網(wǎng)卡的主機。 B 客戶端需要安裝代理服務(wù)器客戶端程序才干使多個服務(wù)透明使用。 C 當(dāng)客戶使用一種新的網(wǎng)絡(luò)客戶端軟件時，需要在代理服務(wù)器上為之單獨配備提供服務(wù)。D 代理服務(wù)器的網(wǎng)網(wǎng)卡IP和客戶端使用保存IP地址。 5.在代理服務(wù)中，有許多不同類型的代理服務(wù)方式，下列描述對的的是：ABCD A 應(yīng)用級網(wǎng)關(guān) B 電路級網(wǎng)關(guān) C 公共代理服務(wù)器 D 專用代理服務(wù)器 6.應(yīng)用級代理網(wǎng)關(guān)相比包過濾技術(shù)含有的優(yōu)點有：ABC A 提供可靠的顧客認證和具體的注冊信息。B 便于審計和日志。C 隱藏部IP地址。D 應(yīng)用級網(wǎng)關(guān)安全性能較好，可防操作系統(tǒng)和應(yīng)用層的多個安全漏洞。7.代理技術(shù)的實現(xiàn)分為服務(wù)器端和客戶端實現(xiàn)兩部分，下列實現(xiàn)方確的是： ACDA 在服務(wù)器上使用對應(yīng)的代理服務(wù)器軟件。B 在服務(wù)器上定制服務(wù)過程。C 在客戶端上定制客戶軟件。D 在客戶端上定制客戶過程。8.Sam的公司使用的是需要定制顧客過程的代理服務(wù)器軟件，他要從匿名服務(wù)器上下載文獻，對的的環(huán)節(jié)是：BD A 使用FTP客戶機與匿名服務(wù)器連接。B 使用FTP客戶機與代理服務(wù)器連接。C "輸入顧客名Nicky,對匿名服務(wù)器輸入anonymousproxyserver。"D "輸入顧客名Nicky,對代理服務(wù)器輸入。" 9.NetworkAddressTranslation技術(shù)將一種IP地址用另一種IP地址替代，它在防火墻上的作用是： ABA 隱藏部網(wǎng)絡(luò)地址，確保部主機信息不泄露。B 由于IP地址匱乏而使用無效的IP地址。C 使外網(wǎng)攻擊者不能攻擊到網(wǎng)主機。D 使網(wǎng)的主機受網(wǎng)絡(luò)安全管理規(guī)則的限制。10.在地址翻譯原理中，防火墻根據(jù)什么來使要傳輸?shù)较嗨频哪康腎P發(fā)送給部不同的主機上： ADA 防火墻紀(jì)錄的包的目的端口。B 防火墻使用廣播的方式發(fā)送。C 防火墻根據(jù)每個包的時間次序。D 防火墻根據(jù)每個包的TCP序列號。11.網(wǎng)絡(luò)防火墻能夠起到的作用有（）。ABCDA.避免部信息外泄B.避免系統(tǒng)感染病毒與非法訪問C.避免黑客訪問D.建立部信息和功效與外部信息和功效之間的屏障12.VirtualPrivateNetwork技術(shù)能夠提供的功效有： ABCA 提供AccessControl。B 加密數(shù)據(jù)。C 信息認證和身份認證。D 劃分子網(wǎng)。13.按照不同的商業(yè)環(huán)境對VPN的規(guī)定和VPN所起的作用辨別，VPN分為：ABDA 部網(wǎng)VPNB 外部網(wǎng)VPNC 點對點專線VPND 遠程訪問VPN14.對于遠程訪問VPN須制訂的安全方略有： ABCDA 訪問控制管理B 顧客身份認證、智能監(jiān)視和審計功效C 數(shù)據(jù)加密D 密鑰和數(shù)字證書管理15.VPN中應(yīng)用的安全合同有哪些？ BCDA TCPB IPSecC PPTPD L2TP16.IPSec合同用密碼技術(shù)從三個方面來確保數(shù)據(jù)的完整性：ABD A 認證B 加密C 訪問控制D 完整性檢查17.IPSec支持的加密算法有： ABCA DESB 3DESC IDEAD SET18.PPTP/L2TP的缺點有哪些： ACDA 不對兩個節(jié)點間的信息傳輸進行監(jiān)視和控制。B 同時只能連接256個顧客。C 端點顧客需在連接前手工建立加密通道。D 沒有強加密和認證支持。19.將來的防火墻產(chǎn)品與技術(shù)應(yīng)用有哪些特點： BCDA 防火墻從遠程上網(wǎng)集中管理向?qū)Σ烤W(wǎng)或子網(wǎng)管剪發(fā)展。B 單向防火墻作為一種產(chǎn)品門類出現(xiàn)。C 運用防火墻建VPN成為主流。D 過濾深度向URL過濾、容過濾、病毒去除的方向發(fā)展。20.使用基于路由器的防火墻使用訪問控制表實現(xiàn)過濾，它的缺點有：ABCD A 路由器本身含有安全漏洞。B 分組過濾規(guī)則的設(shè)立和配備存在安全隱患。C 無法防“假冒”的地址。D 對訪問行為實施靜態(tài)、固定的控制與路由器的動態(tài)、靈活的路由矛盾。21．如果防火墻是正常負載且沒有明顯攻擊，而CPU的的運用率始終處在80%以上，需考慮升級防火墻或減輕它的流量負載，能夠考慮的方法有（BCD）A.減少NAT數(shù)量B.用更高性能型號的防火墻來替代。C.實施防火墻負載均衡。D.修改配備，減少防火墻解決負載；除去任何非必要的執(zhí)行行為。22.IPSec安全聯(lián)盟SA由哪些參數(shù)唯一標(biāo)記（）ACD安全參數(shù)索引SPIIP本端地址IP目的地址安全合同號23.IPSec的兩種工作方式（）CDNAS-initiatedClient-initiatedtunneltransport24.AH是報文驗證頭合同，重要提供下列功效（）BCD數(shù)據(jù)性數(shù)據(jù)完整性數(shù)據(jù)來源認證反重放25.VPN組網(wǎng)中慣用的站點到站點接入方式是（）BCL2TPIPSECGRE+IPSECL2TP+IPSEC26.移動顧客慣用的VPN接入方式是（）ABDL2TPIPSEC+IKEGRE+IPSECL2TP+IPSEC27.IPSECVPN組網(wǎng)中網(wǎng)絡(luò)拓樸構(gòu)造可覺得（）全網(wǎng)狀連接部分網(wǎng)狀連接星型連接樹型連接Answer:ABCD28.移動辦公顧客本身的性質(zhì)決定其比固定顧客更容易遭受病毒或黑客的攻擊，因此布署移動顧客IPSECVPN接入網(wǎng)絡(luò)的時候需要注意（）移動顧客個人電腦必須完善本身的防護能力，需要安裝防病毒軟件，防火墻軟件等總部的VPN節(jié)點需要布署防火墻，確保部網(wǎng)絡(luò)的安全合適狀況下能夠使用集成防火墻功效的VPN網(wǎng)關(guān)設(shè)備使用數(shù)字證書Answer:ABC29.有關(guān)安全聯(lián)盟SA，說確的是（）Answer:CDIKESA是單向的IPSECSA是雙向的IKESA是雙向的IPSECSA是單向的30.下面有關(guān)GRE合同描述對的的是（）GRE合同是二層VPN合同GRE是對某些網(wǎng)絡(luò)層合同（如：IP，IPX等）的數(shù)據(jù)報文進行封裝，使這些被封裝的數(shù)據(jù)報文能夠在另一種網(wǎng)絡(luò)層合同（如：IP）中傳輸GRE合同事實上是一種承載合同GRE提供了將一種合同的報文封裝在另一種合同報文中的機制，使報文能夠在異種網(wǎng)絡(luò)中傳輸，異種報文傳輸?shù)耐ǖ婪Q為tunnelAnswer:BCD31.下面有關(guān)GRE合同和IPSec合同描述對的的是（）在GRE隧道上能夠再建立IPSec隧道在GRE隧道上不能夠再建立IPSec隧道在IPSec隧道上能夠再建立GRE隧道在IPSec隧道上不能夠再建立GRE隧道Answer:AC32.IPSec安全聯(lián)盟SA由哪些參數(shù)唯一標(biāo)記（）安全參數(shù)索引SPIIP本端地址IP目的地址安全合同號Answer:ACD33.IPSec能夠提供哪些安全服務(wù)（）數(shù)據(jù)性數(shù)據(jù)完整性數(shù)據(jù)來源認證防重放攻擊Answer:ABCD34.IDS解決過程分為(ABCD)等四個階段。

A:數(shù)據(jù)采集階段B:數(shù)據(jù)解決及過濾階段C:入侵分析及檢測階段D:報告以及響應(yīng)階段

35.入侵檢測系統(tǒng)的重要功效有(ABCD)：

A:監(jiān)測并分析系統(tǒng)和顧客的活動

B:核查系統(tǒng)配備和漏洞

C:評定系統(tǒng)核心資源和數(shù)據(jù)文獻的完整性。

D:識別已知和未知的攻擊行為

36.IDS產(chǎn)品性能指標(biāo)有(ABCD)：A:每秒數(shù)據(jù)流量B:每秒抓包數(shù)C:每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)D:每秒能夠解決的事件數(shù)37.入侵檢測產(chǎn)品所面臨的挑戰(zhàn)重要有(ABCD)：

A:黑客的入侵手段多樣化B:大量的誤報和漏報C:惡意信息采用加密的辦法傳輸D:客觀的評定與測試信息的缺少38.傳統(tǒng)上,公司的多個機構(gòu)之間進行數(shù)據(jù)通信有眾多不同的方式,重要有（ABCD）

A．幀中繼線路

B.ATM線路

C.DDN線路

D.PSTN

39.

IPSec

能夠使用兩種模式,分別是（AB）

A．Transport

mode

B.

Tunnel

mode

C.

Main

mode

D.

Aggressive

mode

24.在防火墻的“訪問控制”應(yīng)用中，網(wǎng)、外網(wǎng)、DMZ三者的訪問關(guān)系為：ABCDA.網(wǎng)能夠訪問外網(wǎng)B.網(wǎng)能夠訪問DMZ區(qū)C.DMZ區(qū)能夠訪問網(wǎng)D.外網(wǎng)能夠訪問DMZ區(qū)25.防火墻的包過濾功效會檢查以下信息：ABCDA.源IP地址B.目的IP地址C.源端口D.目的端口26.防火墻對于一種部網(wǎng)絡(luò)來說非常重要,它的功效涉及：ABCDA.創(chuàng)立阻塞點B.統(tǒng)計Internet活動C.限制網(wǎng)絡(luò)暴露D.包過濾27.下列說確的有：A.只有一塊網(wǎng)卡的防火墻設(shè)備稱之為單宿主堡壘主機B.雙宿主堡壘主機能夠從物理上將網(wǎng)和外網(wǎng)進行隔離C.三宿主堡壘主機能夠建立DMZ區(qū)D.單宿主堡壘主機能夠配備為物理隔離網(wǎng)和外網(wǎng)35.配備訪問控制列表必須做的配備是（CD）

A、設(shè)定時間段B、指定日志主機

C、定義訪問控制列表D、在接口上應(yīng)用訪問控制列表

36、擴展訪問列表能夠使用哪些字段來定義數(shù)據(jù)包過濾規(guī)則?（ABCD）。

A、源IP地址B、目的IP地址

C、端標(biāo)語D、合同類型

37、使用訪問控制列表可帶來的好處是（ABD）。

確保正當(dāng)主機進行訪問，回絕某些不但愿的訪問

通過配備訪問控制列表，可限制網(wǎng)絡(luò)流量，進行通信流量過濾

實現(xiàn)公司私有網(wǎng)的顧客都可訪問Internet

管理員可根據(jù)網(wǎng)絡(luò)時間狀況實現(xiàn)有差別的服務(wù)

7、使網(wǎng)絡(luò)服務(wù)器中充滿著大量規(guī)定回復(fù)的信息，消耗帶寬，造成網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù)，這屬于什么攻擊？AA.回絕服務(wù)B.文獻共享C.BIND漏洞D.遠程過程調(diào)用分布式網(wǎng)絡(luò)回絕服務(wù)攻擊8、公司財務(wù)人員需要定時通過Email發(fā)送文獻給他的主管,他但愿只有主管能查閱該,能夠采用什么辦法?AA.加密B.數(shù)字簽名C.消息摘要D.身份驗證9、哪種密鑰體制加、解密的密鑰相似?AA.對稱加密技術(shù)B.非對稱加密技術(shù)C.HASH算法D.公共密鑰加密術(shù)10、隨著網(wǎng)絡(luò)中顧客數(shù)量的增加,Internet連接需求也不停增加,在考慮改善網(wǎng)絡(luò)性能時,下列哪個是應(yīng)當(dāng)考慮的部分?BA．WINS服務(wù)器B.代理服務(wù)器C.DHCP服務(wù)器D.目錄服務(wù)器11、有關(guān)屏蔽子網(wǎng)防火墻,下列說法錯誤的是:DA.屏蔽子網(wǎng)防火墻是幾個防火墻類型中最安全的B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)C.部網(wǎng)對于Internet來說是不可見的D.部顧客能夠不通過DMZ直接訪問Internet18、下列哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？DA.包過濾技術(shù);B.應(yīng)用級網(wǎng)關(guān)技術(shù)C.代理服務(wù)器技術(shù)D.NAT技術(shù)19、在下列網(wǎng)絡(luò)威脅中，哪個不屬于信息泄露？選擇c數(shù)據(jù)竊聽流量分析回絕服務(wù)攻擊盜竊顧客21、在公鑰密碼體制中，用于加密的密鑰為：A.公鑰B.私鑰C.公鑰與私鑰D.公鑰或私鑰23、密碼技術(shù)中,識別個人、網(wǎng)絡(luò)上的機器或機構(gòu)的技術(shù)稱為：A.認證B.數(shù)字簽名C.簽名識別D.解密27.有關(guān)屏蔽子網(wǎng)防火墻,下列說法錯誤的是:屏蔽子網(wǎng)防火墻是幾個防火墻類型中最安全的屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)部網(wǎng)對于Internet來說是不可見的部顧客能夠不通過DMZ直接訪問Internet28公司的WEB服務(wù)器受到來自某個IP地址的黑客重復(fù)攻擊,你的主管規(guī)定你通過防火墻來制止來自那個地址的全部連接,以保護WEB服務(wù)器,那么你應(yīng)當(dāng)選擇哪一種防火墻?包過濾型應(yīng)用級網(wǎng)關(guān)型復(fù)合型防火墻代理服務(wù)型29.網(wǎng)顧客通過防火墻訪問公眾網(wǎng)中的地址需要對源地址進行轉(zhuǎn)換，規(guī)則中的動作應(yīng)選擇：A.AllowB.NATC.SATD.FwdFast30.防火墻的設(shè)計時要遵照簡樸性原則,具體方法涉及:選ABCA.在防火墻上嚴禁運行其它應(yīng)用程序B.停用不需要的組件C.將流量限制在盡量少的點上D.安裝運行WEB服務(wù)器程序31.原則訪問控制列表以（B）作為鑒別條件。

A、數(shù)據(jù)包的大小B、數(shù)據(jù)包的源地址

C、數(shù)據(jù)包的端標(biāo)語D、數(shù)據(jù)包的目的地址

32.IP擴展訪問列表的數(shù)字標(biāo)示圍是多少?（C）。

A、0-99B、1-99C、100-199D、101-200

33.訪問控制列表（ACL）分為原則和擴展兩種。下面有關(guān)ACL的描述中，錯誤的

是(C)。

原則ACL能夠根據(jù)分組中的IP源地址進行過濾

擴展ACL能夠根據(jù)分組中的IP目的地址進行過濾

原則ACL能夠根據(jù)分組中的IP目的地址進行過濾

擴展ACL能夠根據(jù)不同的上層合同信息進行過濾

34.通配符掩碼和子網(wǎng)掩碼之間的關(guān)系是（B）。

兩者沒有什么區(qū)別

通配符掩碼和子網(wǎng)掩碼正好相反

一種是十進制的，另一種是十六進制的

兩者都是自動生成的

防火墻要實現(xiàn)的四類控制功效是什么？方向控制、服務(wù)控制、行為控制、顧客控制防火墻的理論特性有哪些？創(chuàng)立阻塞點、強化網(wǎng)絡(luò)安全方略，提供集成功效、實現(xiàn)網(wǎng)絡(luò)隔離、統(tǒng)計和審計聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的活動、本身含有非常墻的抵抗攻擊的能力防火墻的實際功效有哪些？（最少五項）包過濾、代理、網(wǎng)絡(luò)地址轉(zhuǎn)換、虛擬專用網(wǎng)絡(luò)、顧客身份認證、統(tǒng)計報警分析與審計、管理功效、其它功效。簡要闡明防火墻的規(guī)則特點。規(guī)則是保護部信息資源的方略的實現(xiàn)和延伸；規(guī)則必須與訪問活動緊密有關(guān)；規(guī)則必須穩(wěn)妥可靠切合實際在安全和運用資源之間獲得較為平衡的政策；能夠?qū)嵤┒鄠€不同的服務(wù)訪問方略。簡要闡明防火墻的設(shè)計原則?；亟^訪問一切未予特學(xué)的服務(wù)；允許一切未被特別回絕的服務(wù)防火墻采用的重要技術(shù)有哪些？包過濾型防火墻；代理型防火墻簡要闡明包過濾型防火墻優(yōu)缺點。優(yōu)點：工作在傳輸層下，對數(shù)據(jù)包本身字段進行過濾，性價比很高；缺點：過濾判斷條件有限，安全性不高；過濾規(guī)則數(shù)目的增加會影響防火墻的性能；很難對顧客身份進行驗證；對安全管理人員的素質(zhì)規(guī)定高。簡要闡明代理型防火墻優(yōu)缺點。優(yōu)點：工作在應(yīng)用層，能夠以進行深層的容進行控制；阻斷了聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的，實現(xiàn)了外網(wǎng)的互相屏蔽，避免了數(shù)據(jù)驅(qū)動類型的攻擊。缺點：代理型防火墻速度相對較慢，當(dāng)網(wǎng)關(guān)吞吐量較大時，防火墻就會成為瓶頸。簡要闡明包過濾型防火墻和代理型防火墻的區(qū)別。包過濾防火墻工作在網(wǎng)絡(luò)合同IP層，它只對IP包的源地址、目的地址及對應(yīng)端口進行解決，因此速度比較快，能夠解決的并發(fā)連接比較多，缺點是對應(yīng)用層的攻擊無能為力。代理服務(wù)器防火墻將收到的IP包還原成高層合同的通訊數(shù)據(jù)，例如http連接信息，因此能夠?qū)诟邔雍贤墓暨M行攔截。缺點是解決速度比較慢，能夠解決的并發(fā)數(shù)比較少。簡要闡明多重宿主主機。多重宿主主機事實上是安放在聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的接上的一臺堡壘主機它要提供最少兩個網(wǎng)絡(luò)接:個與聯(lián)網(wǎng)絡(luò)相連，另一種與外聯(lián)網(wǎng)絡(luò)相連。聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間的通信可通過多重宿主主機:的應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完畢闡明屏蔽主機和屏蔽子網(wǎng)的區(qū)別和聯(lián)系。屏蔽主機由包過濾器和堡壘主機構(gòu)成。1、堡壘主機在網(wǎng)絡(luò)部，通過防火墻的過濾使得這個主機是唯一可從外部達成的主機。2、實現(xiàn)了應(yīng)用層和網(wǎng)絡(luò)層的安全，比單獨的包過濾或應(yīng)用網(wǎng)關(guān)代理更安全。3、過濾路由器與否配備對的是這種防火墻安全的核心。屏蔽子網(wǎng)模式采用了兩個包過濾路由器和一種堡壘主機，在個網(wǎng)絡(luò)之間建立了被隔離的子網(wǎng)，稱作周邊網(wǎng)。將堡壘主機、WEB服務(wù)器、E-MAIL服務(wù)器放在被屏蔽的子網(wǎng)，外部、部都能夠訪問。但嚴禁他們通過屏蔽子網(wǎng)通信。如果堡壘主機被控制，部網(wǎng)絡(luò)仍然受部包過濾路由器保護。這種辦法是在部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一種被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在諸多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)構(gòu)成一種“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機作為唯一可訪問點，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配備的危險帶僅涉及堡壘主機、子網(wǎng)主機及全部連接網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。防火墻的好處有哪些？1.防火墻允許網(wǎng)絡(luò)管理員定義一種“檢查點”來避免非法顧客進人聯(lián)網(wǎng)絡(luò)，并抵抗·多個攻擊。網(wǎng)絡(luò)的安全性在防火墻上得到加固，而不是增加受保護網(wǎng)絡(luò)部主機的負擔(dān);

2.防火墻通過過濾存在安全缺點的網(wǎng)絡(luò)服務(wù)來減少受保護網(wǎng)絡(luò)遭受攻擊的威脅。只有通過選擇的網(wǎng)絡(luò)服務(wù)才干通過防火墻，脆弱的服務(wù)只能在系統(tǒng)整體安全方略的控制下，在受保護網(wǎng)絡(luò)的部實現(xiàn);

3.防火墻能夠增強受保護節(jié)點的性，強化私有權(quán).防火墻能夠阻斷某些提供主機信息的服務(wù)。如Finger和DNS等，使得外部主機無法獲取這些有助于攻擊的信息;

4.防火墻有能力較梢確地控制對部子系統(tǒng)的訪問。防火墻能夠設(shè)立成允許外聯(lián)網(wǎng)絡(luò)訪問聯(lián)網(wǎng)絡(luò)的某些子系統(tǒng).而不允許訪間其它的子系統(tǒng)。這有效地增加了聯(lián)網(wǎng)絡(luò)不同子系統(tǒng)的封閉性，使得系統(tǒng)核體安全方略的實施更加細致、深人;

5.防火墻境系統(tǒng)含有集中安全性。若受保護網(wǎng)絡(luò)的全部或者大部分安全程序集中地放置在防火墻上，而非分散到受保護網(wǎng)絡(luò)中的各臺主機上，則安全監(jiān)控的圍會更集中，監(jiān)控行為更易于實現(xiàn)，安全成本也會更便宜;

6.在防火墻上能夠很方便地監(jiān)視網(wǎng)絡(luò)的通信流，并產(chǎn)生告警信息。正如前面所描述的.網(wǎng)絡(luò)面臨的問題不是與否會受到攻擊，而是什么時候受到攻擊，因此對通信流的監(jiān)控是一項需要持之以恒的、耐心的工作;

7.安全審計和管理是網(wǎng)絡(luò)安全研究的重要課題，而防火墻恰恰是審計和統(tǒng)計網(wǎng)絡(luò)行為最佳的地方。由于全部的網(wǎng)絡(luò)訪問流都要通過防火墻，因此網(wǎng)絡(luò)管理員能夠在防火墻上統(tǒng)計、分析網(wǎng)絡(luò)行為，并以此檢查安全方略的執(zhí)行狀況或者改善安全方略，

8.防火墻不僅是網(wǎng)絡(luò)安全的檢查點，它還能夠作為向顧客公布信息的地點.即防火墻系統(tǒng)能夠涉及www服務(wù)器和FTP服務(wù)器等設(shè)備，并且允許外部主機進行訪問。

9.最根本的是，防火墻為系統(tǒng)整體安全方略的執(zhí)行提供了重要的實施平臺。如果沒有防火墻，那么系統(tǒng)整體安全方略的實施多半靠的是顧客的自覺性和聯(lián)網(wǎng)絡(luò)中各臺主機的安全性。防火墻的局限性之處有哪些？限制網(wǎng)絡(luò)服務(wù)；對部顧客防局限性；不能防旁路連接；不適合進行病毒檢測；無法防數(shù)據(jù)驅(qū)動型攻擊；無法防全部威脅；配備問題；無法防部人員泄密；速度問題；單失效點問題解釋闡明傳統(tǒng)防火墻單失效點問題。傳統(tǒng)防火墻至于外網(wǎng)相連接的核心點處，會成為系統(tǒng)網(wǎng)絡(luò)訪問的瓶頸，一旦失效，外網(wǎng)的連接將斷開。包過濾技術(shù)防火墻過濾規(guī)則要檢測哪些重要字段信息？源地址；源端標(biāo)語；目的地址；目的端標(biāo)語；合同標(biāo)志；過濾方式等簡要闡明什么是防火墻安全過濾規(guī)則？過濾路由器的核心是過濾規(guī)則，過濾路由器位于外網(wǎng)的邊界上，控制著聯(lián)網(wǎng)絡(luò)的全部數(shù)據(jù)包，網(wǎng)絡(luò)訪問方略是一種有序的規(guī)則的形式存儲在過濾路由器里，每一條規(guī)則定義了針對某個特定類型數(shù)據(jù)包的動作，針對數(shù)據(jù)包的字段，“回絕一切未特許的，允許一切未回絕的”典型方略。簡要闡明包過濾技術(shù)的優(yōu)點。簡樸快速；對顧客是透明的；檢查規(guī)則簡樸效率高等；簡要闡明包過濾技術(shù)的缺點。過濾技術(shù)思想簡樸，對信息解決能力有限，規(guī)則增多是規(guī)則的維護困難；控制層次較低，不能實現(xiàn)顧客級的控制，不能對正當(dāng)顧客身份鑒別及冒用IP地址的鑒別。請簡要闡明狀態(tài)檢測技術(shù)的基本原理。狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的全部包作為一種整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的統(tǒng)計能夠是以前的通信信息，也能夠是其它有關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它含有更加好的靈活性和安全性。簡要闡明什么是深度狀態(tài)檢測。深度檢測防火墻，將狀態(tài)檢測和應(yīng)用防火墻技術(shù)結(jié)合在一起，以解決應(yīng)用程序的流量，防目的系統(tǒng)免受多個復(fù)雜的攻擊。結(jié)合了狀態(tài)檢測的全部功效，深度檢測防火墻能夠?qū)?shù)據(jù)流量快速完畢網(wǎng)絡(luò)層級別的分析，并做出訪問控制決；對于允許的數(shù)據(jù)流，根據(jù)應(yīng)用層級別的信息，對負載做出進一步的決策。深度檢測防火墻進一步分析了TCP或UDP數(shù)據(jù)包的容，方便對負載有個總的認識。狀態(tài)檢測防火墻是現(xiàn)在使用最廣泛的防火墻，用來防護黑客攻擊。但是，隨著專門針對應(yīng)用層的Web攻擊現(xiàn)象的增多，在攻擊防護中，狀態(tài)檢測防火墻的有效性越來越低。簡要闡明狀態(tài)檢測技術(shù)的優(yōu)點。安全性比靜態(tài)包過濾高，能夠阻斷更多的復(fù)雜攻擊行為能夠通過分析打開對應(yīng)的端口而不是一刀切；提高了防火墻的性能，后續(xù)數(shù)據(jù)包不需要檢測，只需要快速通過。簡要闡明狀態(tài)檢測技術(shù)的缺點。工作在網(wǎng)絡(luò)層和傳輸層，對報文的數(shù)據(jù)部分檢查極少，安全性還不夠高；檢測容多，對防火墻的性能提出來更高的規(guī)定。請簡要比較代理技術(shù)和包過濾技術(shù)的安全性。代理技術(shù)提供了與應(yīng)用有關(guān)的全部信息，并且能夠提供安全日志所需的最具體的管理和控制數(shù)據(jù)，安全級別更高。代理服務(wù)器不只檢測數(shù)據(jù)部的各個字段，還能進一步到包的部，理解數(shù)據(jù)包載荷部分容的含義，還可覺得安全監(jiān)測和日志統(tǒng)計提供最為具體的信息。對于外網(wǎng)來說只能看到代理服務(wù)器，而不能見到部網(wǎng)絡(luò)，實現(xiàn)聯(lián)網(wǎng)網(wǎng)絡(luò)隔離，使得外網(wǎng)無法直接通信減少了受到直接攻擊的風(fēng)險，隱藏了部網(wǎng)咯的構(gòu)造和顧客，經(jīng)一部減少了顧客網(wǎng)絡(luò)遭受探測的風(fēng)險。代理服務(wù)氣損壞的話只能是外網(wǎng)的連接中斷，但是無法出現(xiàn)攻擊和信息泄露的現(xiàn)象，代理技術(shù)比包過濾技術(shù)安全。簡述代理技術(shù)的具體作用。（最少5項）隱藏部主機；過濾容；提高系統(tǒng)性能；保障安全；阻斷URL；保護電子；身份認證；信息重定向。防火墻代理技術(shù)的優(yōu)點有哪些？提供了高速緩存，提高了網(wǎng)絡(luò)性能；屏蔽了聯(lián)網(wǎng)絡(luò)，組織了網(wǎng)探測活動；嚴禁了直接連接，減少了直接攻擊的風(fēng)險；應(yīng)用層上過濾，實現(xiàn)有效過濾；提供了顧客身份認證手段，加強了安全性；連接基于服務(wù)而不是物理連接，不易受Ip地址欺騙攻擊；應(yīng)用層工作，提供了具體的日志和分析功效；過濾規(guī)則比包過濾防火墻規(guī)則簡樸。防火墻代理技術(shù)的缺點有哪些？代理程序?qū)Ｓ?，不適應(yīng)網(wǎng)絡(luò)服務(wù)和合同的不停發(fā)展；數(shù)據(jù)量大的狀況下會增加訪問延遲，影響系統(tǒng)性能；不能實現(xiàn)顧客的透明訪問；不支持全部的合同；對操作系統(tǒng)有明顯的依賴；代理技術(shù)的執(zhí)行速度慢。請闡明過濾路由器的優(yōu)點?？焖伲恍阅芎馁M比高；透明；實現(xiàn)容易。請闡明過濾路由器的缺點。配備復(fù)雜維護困難；數(shù)據(jù)包本身檢測，智能檢測部分攻擊行為；無法防數(shù)據(jù)驅(qū)動型攻擊；只能對數(shù)據(jù)包的各字段進行檢查，無法擬定數(shù)據(jù)包的發(fā)送者的真實性。普通來說，一條過濾規(guī)則涉及那些字段？源地址；源端標(biāo)語；目的地址；目的端標(biāo)語；合同標(biāo)志；過濾方式等闡明堡壘主機的設(shè)計原則并簡要解釋。（敘述題）最小服務(wù)原則；防止原則；重要類型；系統(tǒng)需求；布署位置闡明雙宿主主機的優(yōu)點有哪些？作為外網(wǎng)的唯一接口，易于實現(xiàn)網(wǎng)絡(luò)安全方略；使用堡壘主機實現(xiàn)，成本較低。闡明雙宿主主機的缺點有哪些？顧客賬戶的存在提供一種入侵途徑，比沒有顧客賬戶的安全性要低；存在賬戶數(shù)據(jù)庫統(tǒng)計增多，管理和維護非常復(fù)雜，容易出錯；賬戶信息的頻繁存取耗費大量資源，減少堡壘主機本身的穩(wěn)定性。出現(xiàn)速度地下甚至崩潰現(xiàn)象；允許顧客登錄，對主機安全性是一種威脅，很難進行有效監(jiān)控和統(tǒng)計。闡明雙宿主網(wǎng)關(guān)的優(yōu)點有哪些？無需管理和維護賬戶數(shù)據(jù)庫，減少了入侵攻擊風(fēng)險；含有良好的可擴展性；屏蔽了聯(lián)網(wǎng)絡(luò)主機組織了信息泄露現(xiàn)象的發(fā)生。闡明雙宿主網(wǎng)關(guān)的缺點有哪些？主機本身成為安全焦點，安全配備重要而復(fù)雜；代理服務(wù)組件增多會影響系統(tǒng)整體性能瓶頸；單臺主機會帶來單失效點的問題；靈活性差如果沒有某項代理組建，顧客無法使用該服務(wù)。簡要闡明屏蔽主機的工作原理。SHF（ScreenedHostFirewall）屏蔽主機防火墻采用一種包濾路由器與外部網(wǎng)連接，用一種堡壘主機安裝在部網(wǎng)絡(luò)上，起著代理服務(wù)器的作用，是外部網(wǎng)絡(luò)所能達成的惟一節(jié)點，以此來確保部網(wǎng)絡(luò)不受外部未授權(quán)顧客的攻擊，達成部網(wǎng)絡(luò)安全的目的。在屏蔽主機防火墻的網(wǎng)絡(luò)安全方案中，一種數(shù)據(jù)包過濾路由器與因特網(wǎng)相連，同時，一種雙端主機（DualHomedHost,DHH）安裝在部網(wǎng)絡(luò)中。普通狀況下，在網(wǎng)絡(luò)路由器上設(shè)立過濾原則，使這個雙端主機成為在因特網(wǎng)上全部其它節(jié)點所能達成的惟一節(jié)點。這樣就確保了部網(wǎng)絡(luò)不能受到任何未被授權(quán)的外部顧客的攻擊。請解釋屏蔽主機的優(yōu)點。①屏蔽主機是一種結(jié)合了包過濾和代理兩不同機制的防火墻，它能夠提供比單純的過濾路由器和多重宿主主機更高的安全性。任何攻擊者都需要攻破包過濾和代理兩道防線才干進入到聯(lián)網(wǎng)絡(luò)，增加了攻擊者的難度。②屏蔽主機支持多個功效的網(wǎng)絡(luò)服務(wù)的深層過濾，并含有相稱的可擴展性。由于堡壘主機的采用代理防火墻技術(shù)，因此服務(wù)器只需要添加代理服務(wù)器組件即可。③屏蔽主機系統(tǒng)本身是可靠地、穩(wěn)固的。不同于多重宿主主機，直接面對對外網(wǎng)絡(luò)的并不是堡壘主機而是路由器。因此簡樸配備的路由器要比保護一臺主機要容易得多。請解釋屏蔽主機的缺點。重要缺點是堡壘主機和聯(lián)網(wǎng)絡(luò)主機放置在一起，他們之間沒有一道安全隔離屏障。如果堡壘主機北宮皮，那么聯(lián)網(wǎng)絡(luò)將全部暴露在攻擊者面前。另外即使過濾路由器的安全性比多重宿主主機要高，但是只進行簡樸的包過濾規(guī)則，因此入侵者有多個手段對過濾路由器進行破壞。一旦路由表被修改，則堡壘主機被旁路，堡壘主機的服務(wù)器就沒有用了，全部聯(lián)網(wǎng)絡(luò)向外聯(lián)網(wǎng)絡(luò)發(fā)出的請求都會通過被破壞的過濾路由器直接發(fā)到外聯(lián)網(wǎng)絡(luò)，聯(lián)網(wǎng)絡(luò)就沒有秘密可言了，聯(lián)網(wǎng)絡(luò)的安全性都維系在一相對脆弱的路由表上，這是一種比較嚴重的問題。請畫出雙宿主主機防火墻的構(gòu)造示意圖。請畫出堡壘主機防火墻的構(gòu)造示意圖。請畫出雙宿主網(wǎng)關(guān)防火墻的構(gòu)造示意圖。請畫出屏蔽主機防火墻的構(gòu)造示意圖。請畫出屏蔽子網(wǎng)防火墻的構(gòu)造示意圖。請畫出三叉非軍事區(qū)防火墻的構(gòu)造示意圖。闡明屏蔽子網(wǎng)的優(yōu)點。聯(lián)網(wǎng)絡(luò)實現(xiàn)了與外聯(lián)網(wǎng)絡(luò)的隔離，部構(gòu)造無法探測，外聯(lián)網(wǎng)絡(luò)只能懂得外部路由器和費軍事區(qū)的尋在，而不懂得部路由器的存在，也就無法探測部路由器背面的聯(lián)網(wǎng)絡(luò)了，只一點對于避免入侵者懂得聯(lián)網(wǎng)絡(luò)的聯(lián)網(wǎng)絡(luò)的拓撲構(gòu)造和主機地址分派及活動狀況尤為重要。聯(lián)網(wǎng)絡(luò)安全防護嚴密。入侵者必須攻破外部路由器、堡壘主機和部路由器之后才干進入聯(lián)網(wǎng)絡(luò)。由于使用了部路由器和外部路由器因此減少了堡壘主機解決的負載量，減輕了堡壘主機的壓力，增強了堡壘主機的可靠性和安全性。非軍事區(qū)的劃分將顧客網(wǎng)絡(luò)的信息流量明確分為不同的等級，通過部路由器的隔離作用，信息收到了嚴密的保護，減少了信息泄露現(xiàn)象的發(fā)生。防火墻的重要性能指標(biāo)有哪些?？煽啃钥捎眯钥蓴U展性可審計性可管理性成本耗費請簡要闡明選擇防火墻重要考慮哪些具體評定參數(shù)。（最少5個）吞吐量時延丟包率并發(fā)連接數(shù)工作模式配備與管理接口數(shù)量和類型日志和審計參數(shù)可用性參數(shù)其它參數(shù)（容過濾、入侵檢測、顧客認證、VPN加密等）請說出防火墻的出名廠商有那幾個？（最少5個）Juniper/NetscreenCiscoFortinetWatchGuard安氏天融信東軟結(jié)合現(xiàn)實談?wù)劮阑饓夹g(shù)的重要發(fā)展趨勢。分布式執(zhí)行和集中式管理深度過濾建立以防火墻為核心的綜合安全體系防火墻本身的多功效化，變被動防御為主動防御強大的審計與自動日志分析功效。硬件化專用化請闡明深度過濾技術(shù)的基本特性。正?；?、雙向負載檢測、應(yīng)用層加密解密、合同一致性結(jié)合現(xiàn)實請談?wù)動嬎銠C系統(tǒng)面臨的威脅。回絕服務(wù)（服務(wù)請求超載、SYN洪水、報文超載）欺騙（IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙）監(jiān)聽密碼破解木馬緩沖區(qū)溢出ICMP秘密通道TCP會話劫持回絕服務(wù)攻擊有哪些辦法？服務(wù)請求超載、SYN洪水、報文超載欺騙攻擊重要有哪些辦法？IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙結(jié)合實際談?wù)勅肭中袨榈钠胀ㄟ^程。擬定攻擊目的實施攻擊攻擊后解決請畫出入侵檢測P2DR模型，并解釋各部分的含義。入侵檢測的重要作用有哪些？（最少5個）識別并阻斷系統(tǒng)活動中存在的始終攻擊行為，放置入侵檢測行為對受保護系統(tǒng)造成損害識別并判斷系統(tǒng)顧客的非法操作行為或者越權(quán)行為，避免放置顧客對保護系統(tǒng)故意無意的破壞。檢查受保護系統(tǒng)的重要構(gòu)成部分以及多個數(shù)據(jù)文獻的完整性。審計并彌補系統(tǒng)中存在的弱點和漏洞，其中那個最重要的一點事審計并糾正錯誤的系統(tǒng)配備信息。統(tǒng)計并分析顧客和系統(tǒng)的行為，描述這些行為變化的正常區(qū)域，進而識別異常的活動。通過蜜罐等技術(shù)統(tǒng)計入侵者的信息，分析入侵者的目的和行為特性，優(yōu)化系統(tǒng)安全方略。加強組織和機構(gòu)對系統(tǒng)和顧客的監(jiān)督和控制能力，提高管理水平和管理質(zhì)量。簡要闡明基于主機的入侵檢測的優(yōu)點有哪些？能夠檢測全部的系統(tǒng)行為，能夠精確監(jiān)控針對主機的攻擊過程不需要額外的硬件來支持能夠適合加密的環(huán)境網(wǎng)絡(luò)無關(guān)性簡要闡明基于主機的入侵檢測的缺點有哪些？不含有平臺無關(guān)性，可移植性差檢測手段較多時會影響安裝主機的性能維護和管理工作復(fù)雜無法判斷網(wǎng)絡(luò)的入侵行為簡要闡明基于網(wǎng)絡(luò)的入侵檢測的優(yōu)點有哪些？含有系統(tǒng)平臺無關(guān)性不影響受保護主機的性能對攻擊者來說是透明的能夠進行較大圍的網(wǎng)絡(luò)安全保護監(jiān)測數(shù)據(jù)含有很高的真實性可檢測基于底層合同的攻擊行為簡要闡明基于網(wǎng)絡(luò)的入侵檢測的缺點有哪些？不在通信的端點，無法像進行網(wǎng)絡(luò)通訊的主機那樣解決全部網(wǎng)絡(luò)合同層次的數(shù)據(jù)對于現(xiàn)在越來越流行的加密傳輸很難進行解決對于交換網(wǎng)絡(luò)的支持局限性面臨解決能力的問題容易受到回絕服務(wù)攻擊很難進行復(fù)雜攻擊的檢測簡要闡明蜜罐技術(shù)原理。蜜罐實際是一種犧牲系統(tǒng)，不包含任何能夠運用的有價值的資源。存在的唯一目的就是將攻擊的目的轉(zhuǎn)移到蜜罐系統(tǒng)上，誘騙、手機、分析攻擊的信息擬定攻擊行為和入侵者的動機。，設(shè)立蜜罐存在安全風(fēng)險，容易被入侵者控制作為攻擊聯(lián)網(wǎng)絡(luò)的跳板。闡明什么是異常入侵檢測。異常入侵檢測是根據(jù)系統(tǒng)和顧客的非正常行為或者對于計算機資源的非正常使用檢測出入侵行為的檢測技術(shù)，異常檢測基礎(chǔ)是建立在系統(tǒng)正常活動或顧客正常行為模式的描述模型。將顧客的現(xiàn)在行為模式和系統(tǒng)的現(xiàn)在狀態(tài)與該正常模式進行比較，如果現(xiàn)在值超出了預(yù)設(shè)的閾值，則認為存在攻擊行為。，對未知的攻擊的檢測，精確度依賴于正常模型的精確程度。闡明什么是濫用入侵檢測。濫用入侵檢測通過對現(xiàn)有的多個攻擊手段進行分析，找到能夠代表該攻擊的行為的特性集合。對現(xiàn)在數(shù)據(jù)的解決就是與這些特性集合進行匹配，如果成功匹配則闡明發(fā)生了依次擬定的攻擊。濫用入侵檢測能夠?qū)崿F(xiàn)的基礎(chǔ)是現(xiàn)有已知攻擊手段，都能夠根據(jù)近攻擊條件、動作排列及對應(yīng)事件之間的關(guān)系變化進行明確描述，即攻擊行為的特性能夠被提取。每種攻擊行為都有明確的特性描述，因此濫用檢測的精確度很高。但是，濫用檢測系統(tǒng)依賴性較強，平臺無關(guān)性較差，難于移植。并且對已多個已知攻擊模式特性的提取和維護工作量非常大，另外濫用檢測只能根據(jù)已有的數(shù)據(jù)進行判斷，不能檢測新的或變異的攻擊行為