-
防火墙试题
单选题
1
、
Tom
的公司申请到
5
个
IP
地址,要使公司的
20
台主机都能联到
INTERNET
上,
他需要防火墙的那个功能?
A
假冒
IP
地址的侦测。
B
网络地址转换技术。
C
内容检查技术
D
基于地址的身份认证。
2
、
Smurf
攻击结
合使用了
IP
欺骗和
ICMP
回复方法使大量网络传输充斥目
标系统,引起目标系统拒绝为正常系统进
行服务。管理员可以在源站点使用的
解决办法是:
A
通过使用防火墙阻止这些分组进入自己的网络。
B
关闭与这些分组的
URL
连接
C
使用防火墙
的包过滤功能,保证网络中的所有传输信息都具有合法的源
地址。
D
安装可清除客户端木马程序的防病毒软件模块,
3
、包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的<
/p>
转发及转发到何处。它不能进行如下哪一种操作:
A
禁止外部网络用户使用
FTP
。
B
允许所有
用户使用
HTTP
浏览
INTERNE
T
。
D
只允许某台计算机通过
NNTP
发布新
闻。
4
、
U
DP
是无连接的传输协议,由应用层来提供可靠的传输。它用以传输何
< br>种服务:
1
/
19
A TELNET
B SMTP
C FTP
D TFTP
5
< br>、
OSI
模型中,
LLC
头数据封装在数据包的过程是在:
A
传输层
B
网络层
C
数据链路层
D
物理层
A DNS
B TFTP
C SNMP
D RIP
7
、端口号用来区分不同的服务,端口号由
IANA
分配,下
面错误的是:
A TELNET
使用
23
端口号。
B DNS
使用
53
< br>端口号。
C 1024
以下为
保留端口号,
1024
以上动态分配。
D SNMP
使用
69
端口号。
8
、包过滤是有选
择地让数据包在内部与外部主机之间进行交换,根据安全
规则有选择的路由某些数据包。
下面不能进行包过滤的设备是:
2
/
19
A
路由器
B
一台独立的主机
C
交换机
D
网桥
9
、
TCP
可为通信双方提供可靠的双向
连接,在包过滤系统中,下面关于
TCP
连接描述错误的是:<
/p>
A
要拒绝一个
TCP
时只要拒绝连接的第一个包即可。
B TCP
段中首包的
ACK
=
0
,后续包的
ACK
=
1
。
C
确认号是用来保证数据可靠传输的编号。
D
在
CISCO
过滤系统中,当
ACK
=
1
时,
“established
关键字为
T
,当
ACK
=<
/p>
0
时,
“established
关键字为
F
。
10
、中下面对电路级网关描述正确的是:
A
它允许内部网络用户不受任何限制地访问外部网络,但外部
网络用户在
访问内部网络时会受到严格的控制。
B
它在客户机和服务器之间不解释应用协议,仅依赖于
TCP
连接,而不进
行任何附加包的过滤或处
理。
C
大多数电路级代理服务器是
公共代理服务器,每个协议都能由它实现。
D
对各种协议的支持不用做任何调整直接实现。
A
UDP
是无连接的协议很容易实现代理。
B
与牺牲主机的方式相比,代理方式更安全。
C
对于某些服务,在技术上实现相对容易。
D
很容易拒绝客户机于服务器之间的返回连接。
3
/
19
<
/p>
12
、
SOCKS
客户程序替换了
UNIX
的一些套接字函数,来链入自己的库
函数
.
描述有误的
SOCKS
服务过程有:
SOCKS
库程序截获客户程序的请求,送到
SOCKS
服务器上。<
/p>
建立连接后的
SOCKS
客户程序发送版本号、请求命令、客户端的端口号、
连接的用户名。
C SOCKS
服务检查
ACL
判断接受还是拒绝。
D
SOCKS
只工作在
IP
协议上。
13
、状态检查技术在
< br>OSI
那层工作实现防火墙功能:
A
链路层
B
传输层
C
网络层
D
会话层
14
、对状态检查技术的优缺点描述有误的是:
A
采用检测模块监测状态信息。
B
支持多种协议和应用。
C
不支持监测
RPC
和
UDP
的端口信息。
D
配置复杂会降低网络的速度。
<
/p>
15
、
JOE
是
公司的一名业务代表,经常要在外地访问公司的财务信息系统,
他应该采用的安全、廉价
的通讯方式是:
A PPP
连接到公
司的
RAS
服务器上。
B
远程访问
VPN
C
电子邮件
4
/
19
D
与财务系统的服务器
PPP
连接。
16
、下面
关于外部网
VPN
的描述错误的有:
A
外部网
VPN
能保证包括
TCP
和
UDP
服务的安全。
B
其目的在于保证数据传输中不被修改。
D
VPN
可以建在应用层或网络层上。
17
、
SOCKS v5
的优点是定义了非常详细的访问控制,它在
OSI
的
那一层控
制数据流:
A
应用层
B
网络层
C
传输层
D
会话层
18
、
IPSec
协议是开放的
VPN
协议。对它的描述有误的是:
A
适应于向
IPv6
迁移。
B
提供在网络层上的数据
xx
保护。
C
支持动态的
IP
地址分配。
D
不支持除
TCP/IP
外的其它协议。
19
、
IPSec
在哪种模式下把数据封装在一个
IP
包传输以隐藏路由信息:
A
隧道模式
B
管道模式
C
传输模式
5
/
19
D
安全模式
20
、有关
PPTP
(
Point-to-Point Tunnel
Protocol)
说法正确的是:
A PPTP
是
Netscape
提出的。
B
微
软从
NT3.5
以后对
PPTP
开始支持。
C
PPTP
可用在微软的路由和远程访问服务上。
D
它是传输层上的协议。
21
、有关
L2TP
(
Layer 2 Tunneling
Protocol)
协议说法有误的是:
A L2TP
是由
PPTP
协议和
Cisco
公司的
L2F
组合而成。
C
为
PP
P
协议的客户建立拨号连接的
VPN
连
接。
D L2TP
只能通过
TCT/IP
连接。
22
、针对下列各种安全协议,最适合使用外部网
VPN
上,用于在客户机到
服务器的连接模式的是:
A IPsec
B PPTP
C SOCKS v5
D
L2TP
23
、下列各种安全协议
中使用包过滤技术,适合用于可信的
LAN
到
< br>LAN
之
间的
VPN
,即内部网
VPN
的是:
A PPTP
B L2TP
C SOCKS v5
6
/
19
D IPsec
24
、目前在防火墙上提供了几种认证方法,其中防火墙设定可以访问内部
网络资
源的用户访问权限是:
A
客户认证
B
回话认证
C
用户认证
D
都不是
25
、目前在防火墙上提供了几种认证方法,其中防火墙提供授权用户特定
的服务权限是:<
/p>
A
客户认证
B
回话认证
C
用户认证
D
都不是
26
、目前在防火墙上提供了几种认证方法,其中防火墙提供通信双方每次
通信时的会话授权机制是:
A
客户认证
B
回话认证
C
用户认证
D
都不是
27
、使用安全内核的方法把可能引起安全问题的部分冲操作系统的内核中
去掉,形成安全等
级更高的内核,目前对安全操作系统的加固和改造可以从几
个方面进行。下面错误的是:
7
/
19
A
采用随机连接序列号。
B
驻留分组过滤模块。
C
取消动态路由功能。
D
尽可能地采用独立安全内核。
28<
/p>
、在防火墙实现认证的方法中,采用通过数据包中的源地址来认证的
是:
A Password-Based
Authentication
B Address-
Based Authentication
C
Cryptographic Authentication
D None of Above.
29
、网络入侵者使用
sniffer
对网络进行侦听,在防火
墙实现认证的方法
中,下列身份认证可能会造成不安全后果的是:
A Password-Based Authentication
B Address-Based
Authentication
C
Cryptographic Authentication
D None of Above.
A
使用
IP
加密技术。
B
xx
分析工具。
C
攻击检测和报警。
D
对访问行为实施静态、固定的控制。
多选题
8
/
19
<
/p>
1
、
JOHN
的
公司选择采用
IPSec
协议作为公司分支机构连接内部网
VPN
的
安全协议。以下那几条是对
IPSec
的正确的描述:
A
它对主机和端点进行身份鉴别。
B
保证数据在通过网络传输时的完整性。
C
在隧道模式下,信息封装隐藏了路由信息。
D
xxIP
地址和数据以保证私有性。
2
、相比较代理技术,包过滤技术的缺点包括:
A
在机器上配置和测试包过滤比较困难。
B
包过滤技术无法与
UNIX
的
“r
命令和
NFS
、
NIS/YP
协议的
RPC
协调。
包过滤无法区分
信息是哪个用户的信息,无法过滤用户。
D
包过滤技术只能通过在客户机特别的设置才能实现。
3
、微软的
Proxy
Server
是使一台
WINDOWS
服务器成为代理服务的软件。
它的安装要求条件是:
A
服务器一般要使用双网卡的主机。
B
客户端需要安装代理服务器客户端程序才能使各种服务透明
使用。
C
当客户使用一个新的网络
客户端软件时,需要在代理服务器上为之单独
配置提供服务。
D
代理服务器的内网网卡
IP
和客户端使用保留
IP
地址。
4
、在代理服务中,有许多不同类型的代理服务方式
,以下描述正确的是:
A
应用级网关
B
电路级网关
C
公共代理服务器
9
/
19