《网络安全》期末考试复习习题

《网络安全》期末考试复习习题
1判断题
1-1 密码编码学和密码分析学是密码学的两大相互对立的组成部分。

（）
1-2 链路加密方式适用于在广域网系统中应用。

（）
1-3 “符号对符号”加密方式是对简单替换的一种改进。

（）1-4 “一次一密”属于序列密码中的一种。

（）
1-5 流密码属于对称加密方式。

（）
1-6 序列密码属于对称加密方式。

（）
1-7 Feistel是密码设计的一个结构，而非一个具体的密码产品。

（）
1-8 在实际应用中，DH算法主要用于为对称加密的密码传输提供共享信道。

（）
1-9 数字签名只能使用非对称加密方式来实现。

（）
2 填空题
2-1 根据密码算法对明文处理方式的标准不同，可以将密码系统分为和。

2-2 需要对用户数据和控制信息（路由信息、校验和等）在每一个节点进行加密处理，而仅对用户数据进行加密，路由信息和检验和等控制信息仍然以明文方式传输，以加快消息的处理速度。

2-3 利用公钥加密数据，然后用私钥解密数据的过程称为；
利用私钥加密数据，然后用公钥解密数据的过程称为。

3 选择题
3-1 非法接收者在截获密文后试图从中分析出明文的过程称为（）
A. 破译
B. 解密
C. 加密
D. 攻击
3-2 以下对于对称加密和非对称加密的比较，不正确的是（）
A. 对称加密的安全性要比非对称加密差
B. 在相同环境下，对称加密的速度要比非对称加密慢
C. 对称加密的实现算法比非对称加密简单
D. 对称加密无法解决消息的确认问题，而非对称加密可以
3-3 以下有关XOR操作的算法描述，错误的是（）
A. False XOR False=False
B. True XOR False=True
C. True XOR True=False
D. False XOR True=True
3-4 以下关于序列密码和分组密码的比较，不正确的是（）A. 序列密码中明文和密码的二进制序列长度与密码序列的长度完全相同
B. 序列密码的实现要比分组密码容易
C. 序列密码的实现需要密码同步，而分组密码不需要
D. 在相同环境下，序列密码系统的速度要比分组密码系统慢
3-5 目前计算机网络中广泛使用的加密方式为（）
A. 链路加密
B. 节点对节点加密
C. 端对端加密
D. 以上
都是
3-6 以下有关软件加密和硬件加密的比较，不正确的是（）A. 硬件加密对用户是透明的，而软件加密需要在操作系统或软件中写入加密程序
B. 硬件加密的兼容性比软件加密好
C. 硬件加密的安全性比软件加密好
D. 硬件加密的速度比软件加密快
3-7 下面有关A5/1加密算法的描述，不正确的是（）
A. 是一种流密码算法
B. 一般是用于硬件方式来实现的
C. 3个寄存器占用64位空间
D. 密钥序列的长度小于要加密的明文长度
3-8 下面有关Feistel密码结构的描述，不正确的是（）A. 分组越大，安全性越高 B. 密钥长度越长，安全性越高C. 循环次数越多，安全性越高 D. 轮函数变换越多，安全性越高
3-9 下面有关DES的描述，不正确的是（）
A. 是由IBM、Sun等公司共同提出的
B. 其结构完全遵循Feistel密码结构
C. 其算法是完全公开的
D. 是目前应用最为广泛的一种分组密码算法
3-10 3DES的密钥长度为（）
A. 168位
B. 56位
C. 112位
D. 128位
3-11 下面有关3DES的数学描述，正确的是（）
A. C=E(E(E(P, K1), K1), K1)
B. C=E(D(E(P, K1), K2), K1)
C. C=E(D(E(P, K1), K1), K1)
D. C=D(E(D(P, K1), K2), K1) 3-12 以下AES与DES的比较，不正确的是（）
A. DES使用Feistel密码结构，而AES没有
B. DES以位为操作单位，而AES则以8位的字节为操作单位
C. DES和AES都使用16轮函数操作
D. DES和AES都使用了S盒
3-13 下面有关MD5的描述，不正确的是（）
A. 是一种用于数字签名的算法
B. 得到的报文摘要长度为固定的128位
C. 输入以字节为单位
D. 用一个8字节的整数表示数据的原始长度
第3章
1判断题
1-1 PKI只涉及技术层面的问题。

（）
1-2 在桥CA信任模型中，桥CA是一个信任锚。

（）
1-3 当通过浏览器以在线方式申请数字证书时，申请证书和下载证书的计算机必须是同一台计算机。

（）
1-4 在PKI系统中，当通过CRL撤销证书时，CRL中存放着要撤销证书的全部内容（）
1-5 PKI和PMI在应用中必须进行绑定，而不能在物理上分
开。

（）
2 填空题
2-1 PKI的技术基础包括和两部分。

2-2 PKI为网络中的相关活动提供了、、和。

2-3 在PKI系统中，由用户自己保管，而存放在数字证书中。

2-4 PKI的中文含义是，PMI的中文含义是。

2-5 在PKI/PMI系统中，一个合法用户只拥有一个唯一的，但可能会同时拥有多个不同的。

3 选择题
3-1 PKI无法实现（）
A. 身份认证
B. 数据的完整性
C. 数据的机密性
D. 权限分配
3-2 PKI的核心是解决网络环境中的（）
A. 数据加密问题
B. 信任问题
C. 身份认证问题
D. 数字签名问题
3-3 PKI系统的核心是（）
A. 注册机构RA
B. 证书发布系统
C. 认证机构CA
D. 软硬件系统
3-4 CA的主要功能为（）
A. 确认用户的身份
B. 为用户提供证书的申请、下载、查询、注销和恢复等操作
C. 定义了密码系统的使用方法和原则
D. 负责发放和管理数据证书
3-5 在PKI系统中，负责签发和管理数字证书的是（）
A. CA
B. RA
C. LDAP
D. CPS
3-6 数字证书不包含（）
A. 颁发机构的名称
B. 证书持有者的私有密钥信息
C. 证书的有效期
D. CA签发证书时所使用的签名算法
3-7 下面有关CRL和OCSP的描述，错误的是（）
A. CRL和OCSP都用于数字证书的撤销操作
B. OCSP要比CRL高效、及时
C. CRL和OCSP都是由IETF颁发的用于检查数字证书当前有效性的协议
D. OCSP可以单独使用，也可以与CRL联合使用
第4章
1判断题
1-1 在网络身份认证中采用审计的目的是对所有用户的行为进行记录，以便于进行核查。

（）
1-2 计算机网络中的安全性评估其实就是网络审计。

（）
1-3 暴力破解与字典攻击属于同类网络攻击方式，其中暴力破解中所采用的字典要比字典攻击中使用的字典的范围要大。

（）
1-4 从理论上讲，通过暴力破解方式可以破解所有的密码。

（）
1-5 当通过软件方式实现时，窥探和按键记录是同一种行为的两种不同的描述。

（）
1-6 利用物理地址进行认证的安全性要比利用逻辑地址进行认证的安全性高。

（）
1-7 智能卡是一种基于What you have手段的双因素认证方式。

（）
1-8 医院可以采集刚出生的婴儿的指纹用于生物特征的认证。

（）
1-9 安全认证协议Kerberos适用于TCP/IP、IPX/SPX等网络环境。

（）
1-10 Kerberos中使用的加密方式为对象加密。

（）
1-11 基于IEEE 802.1x与Radius的认证方式属于接入认证。

（）
2 填空题
2-1 验证一个用户身份的合法性，一般采用所知道的、和。

2-2 计算机网络安全领域的3A是指、和。

2-3 零知识身份认证分为和两种类型。

2-4 SSL是一种综合利用和技术进行安全通信的工业标准。

3 选择题
3-1 “在因特网上没有人知道对方是一个还是一条狗”这个故事最能说明（）
A. 身份认证的重要性和迫切性
B. 网络上所有的活动都是不可见的
C. 网络应用中存在不严肃性
D. 计算机网络是一个虚拟的世界
3-2 以下认证方式中，最为安全的是（）
A. 用户名+密码
B. 卡+密钥
C. 用户名+密码+验证码
D. 卡+指纹
3-3 在采用以下协议的通信中，可通过搭线窃听方式获取网络中传输的信息的是（）
A. Telnet
B. FTP
C. https
D. http
3-4将通过在别人丢弃的废旧硬盘、U盘等介质中获取他人有用信息的行为称为（）
A. 社会工程学
B. 搭线窃听
C. 窥探
D. 垃圾搜索
3-5 在生物特征认证中，不适宜于作为认证特征的是（）A. 指纹 B. 虹膜 C. 脸像 D. 体重
3-6 防止重放攻击最有效的方法是（）
A. 对用户账户和密码进行加密
B. 使用“一次一密”加密方式
C. 经常修改用户账户名称和密码
D. 使用复杂的账户名称和密码
3-7 用户A给出一个随机数X，用户B用自己的私钥对X进行加密操作，然后把加密后的数据D（X）交给用户A，用户A用用户B的公钥对D（X）进行解密操作，将得到的结果与X对比。

此操作过程称为（）
A. 零知识证明
B. 数字签名
C. 报文摘要
D. 数据加密与解密
3-8 套接字层（Socket Layer）位于（）
A. 网络层与传输层之间
B. 传输层与应用层之间
C. 应用层
D. 传输层
3-9 下面有关SSL的描述，不正确的是（）
A. 目前大部分Web浏览器都内置了SSL协议
B. SSL协议分为SSL握手协议和SSL记录协议两部分
C. SSL协议中的数据压缩功能是可选的
D. TLS在功能和结构上与SSL完全相同
3-10 在基于IEEE 802.1x与Radius组成的认证系统中，Radius服务器的功能不包括（）
A. 验证用户身份的合法性
B. 授权用户访问网络资源
C. 对用户进行审计
D. 对客户端的MAC地址进行绑定
3-11在基于IEEE 802.1x与Radius组成的认证系统中，客户端是指（）
A. 运行IEEE 802.1x软件的用户计算机
B. 支持IEEE 802.1x标准的交换机或无线AP
C. 运行在用户端计算机上的应用程序
D. 运行在用户端计算机上的拨号程序
第5章
1判断题
1-1 TCP/IP是ARPAnet中最早使用的通信协议。

（）
1-2 TCP/IP最早应用在ARPAnet中。

（）
1-3 由于在TCP协议的传输过程中，传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段，然后每个字节段单独进行路由传输，所以TCP是面向字节流的可靠的传输方式。

（）
1-4 ARP缓存只能保存主动查询获得的IP和MAC的对应关系，而不会保存以广播形式接收到的IP和MAC的对应关系。

（）
1-5 ARP欺骗只会影响计算机，而不会影响交换机和路由器等设备。

（）
1-6 DHCP服务器只能给客户端提供IP地址和网关地址，而不能提供DNS的IP地址。

（）
1-7 TCP和UDP一样都是面向字节流的数据传输方式。

（）
1-8 在使用DNS的网络中，只能使用域名来访问网络，而不能使用IP地址。

（）
1-9 DNS缓存中毒是修改了用户端计算机缓存中的解析记录，将域名指向错误的IP地址。

（）
1-10 在DNSSEC系统中，只要在DNS服务器之间进行安全认证，而不需要在DNS客户端进行安全认证。

（）
2 填空题
2-1 在网络接口层，将添加了网络首部的协议数据单元称为或。

2-2 用户在通过ADSL拨号方式上网时，IP地址及相关参数是分配的。

2-3 TCP SYN泛洪攻击属于一种典型的攻击。

2-4 DNS同时调用了TCP和UDP的53端口，其中端口用于DNS客户端与DNS服务器端的通信，而端口用于DNS区域之间的数据复制。

3 选择题
3-1 下面关于IP协议的描述，不正确的是（）
A. 提供一种“尽力而为”的服务
B. 是一种面向连接的可靠的服务
C. 是TCP/IP体系网络层唯一的一个协议
D. 由于IP协议的PDU称为分组，所以IP网络也称为分组网络
3-2 下面关于ARP工作原理的描述，不正确的是（）
A. 是通过IP地址查询对应的MAC地址
B. ARP缓存中的数据是动态更新的
C. ARP请求报文可以跨网段传输
D. ARPA是通过AMC查询
对应的IP地址
3-3 ARP欺骗的实质是（）
A. 提供虚拟的MAC与IP地址的组合
B. 让其他计算机知道自己的存在
C. 窃取用户在网络中传输的数据
D. 扰乱网络的正常运行3-4 在Windows操作系统中，对网关IP和MAC地址进行绑定的操作为（）
A. ARP –a 192.168.0.1 00-0a-03-aa-5d-ff
B. ARP –d 192.168.0.1 00-0a-03-aa-5d-ff
C. ARP –s 192.168.0.1 00-0a-03-aa-5d-ff
D. ARP –g 192.168.0.1 00-0a-03-aa-5d-ff
3-5 无法提供DHCP服务的设备可能是（）
A. 无线路由器
B. 交换机
C. 集线器
D. 运行Windows 2008操作系统的计算机
3-6 DHCP Snooping的功能是（）
A. 防止ARP欺骗
B. 防止DHCP欺骗
C. 进行端口与MAC地址的绑定
D. 提供基于端口的用户认证
3-7 TCP SYN泛洪攻击的原理是利用了（）
A. TCP三次握手过程
B. TCP面向流的工作机制
C. TCP数据传输中的窗口技术
D. TCP连接终止时的FIN报文
3-8 在Windows操作系统中，如果要显示当前TCP和UDP的详细通信情况，可以运行（）
A. ARP –a
B. ipconfig/all
C. netstat –nab
D. ne -ab 3-9 DNS的功能是（）
A. 建立应用进程与端口之间的对应关系
B. 建立IP地址与域名之间的对应关系
C. 建立IP地址与MAC地址之间的对应关系
D. 建立设备端口与MAC地址之间的对应关系
3-10 当用户通过域名访问某一合法网站时，打开的却是一个不健康的网站，发生该现象的原因可能是（）
A. ARP欺骗
B. DHCP欺骗
C. TCP SYN攻击
D. DNS缓存中毒
3-11 DNSSEC中并未采用（）
A. 数字签名技术
B. 公钥加密技术
C. 对称加密技术
D. 报文摘要技术
第6章
1判断题
1-1 计算机病毒只会破坏计算机的操作系统，而对其他网络设备不起作用。

（）
1-2 木马有时称为木马病毒，但却不具有计算机病毒的主要特征。

（）
1-3 间谍软件具有计算机病毒的所有特征。

（）
1-4 间谍软件能够修改计算机上的配置文件。

（）
1-5 防病毒墙可以部署在局域网的出口处，防止病毒进入局域网。

（）
1-6 计算机病毒不影响计算机的运行速度和运算结果。

（）1-7 蠕虫既可以在互联网上传播，也可以在局域网上传播。

而且由于局域网本身的特性，蠕虫在局域网上传播速度更快，危害更大。

（）
2 填空题
2-1 与病毒相比，蠕虫的最大特点是消耗和。

3 选择题
3-1 以下描述的现象中，不属于计算机病毒的是（）
A. 破坏计算机的程序或数据
B. 使网络阻塞
C. 各种网上欺骗行为
D. Windows“控制面板”中无“本地”连接图标
3-2 当计算机上发现病毒时，最彻底的清除方法为（）
A. 格式化硬盘
B. 用防病毒软件清除病毒
C. 删除感染病毒的文件
D. 删除磁盘上所有的文件
3-3 木马与病毒的最大区别是（）
A. 木马不破坏文件，而病毒会破坏文件
B. 木马无法自我复制，而病毒能够自我复制
C. 木马无法使数据丢失，而病毒会使数据丢失
D. 木马不具有潜伏性，而病毒具有潜伏性
3-4 经常与黑客软件配合使用的是（）
A. 病毒
B. 蠕虫
C. 木马
D. 间谍软件
3-5 下面描述中，与木马相关的是（）
A. 由各户端程序和服务器端程序组成夹
B. 感染计算机中的文件
C. 破坏计算机系统
D. 进行自我复制
3-6 木马无法通过以下哪一种方式隐藏自己（）
A. 任务栏
B. 任务管理器
C. 邮件服务器
D. 修改系统配置文件
3-7 入侵系统后，搜索系统中可能包含有密码的文件内容，然后再通过邮件等方式发送给指定的邮箱。

此类木马属于（）A. 密码发送型木马 B. 键盘记录型木马 C. DoS攻击型木马 D. 远程控制型木马
3-8 计算机屏幕上不断的弹出运行窗口，可能是（）
A. 中了蠕虫
B. 中了木马
C. 中了脚本病毒
D. 中了间谍软件
3-9 某个U盘上已染有病毒，为防止该病毒传染计算机系统，正确的措施是（）
A. 删除该U盘上所有程序
B. 给该U盘加上写保护
C. 将该U盘放一段时间后再用
D. 将U盘重新格式化
3-10 计算机病毒通常是指（）
A. 一段程序
B. 一条命令
C. 一个文件
D. 一个标记
3-11 文件型病毒传染的对象主要是以下哪一种文件类型（）A. .DBF B. .WPS C. .COM和.EXE D. .EXE和.DOC
3-12 关于计算机病毒的传播途径，以下描述中不正确的是（）
A. 通过U盘等移动设备之间的复制
B. 多台计算机之间共用同一个U盘等移动设备
C. 通过在同一个地方共同存放U盘等移动设备
D. 通过借用他人的U盘等移动设备
3-13 计算机病毒是可以造成主机故障的（）
A. 一种计算机设备
B. 一块计算机芯片
C. 一种计算机部件
D. 一种计算机程序
3-14 计算机病毒的危害性表现在（）
A. 能造成计算机部分配置永久性失效
B. 影响程序的执行或破坏用户数据与程序
C. 不影响计算机的运行速度
D. 不影响计算机的运算结果
3-15 下面有关计算机病毒的说法，描述正确的是（）
A. 计算机病毒是一个MIS程序
B. 计算机病毒是对人体有害的传染性疾病
C. 计算机病毒是一个能够通过自身传染，起破坏作用的计算机程序
D. 计算机病毒是一段程序，只会影响计算机系统，但不会影响计算机网络
3-16 计算机病毒具有（）
A. 传播性、潜伏性、破坏性
B. 传播性、破坏性、易读性
C. 潜伏性、破坏性、易读性
D. 传播性、潜伏性、安全性3-17 目前使用的防杀病毒软件的作用是（）
A. 检查计算机是否感染病毒，并消除已感染的任何病毒
B. 杜绝病毒对计算机的侵害
C. 检查计算机是否感染病毒，并清除部分已感染的病毒
D. 查出已感染的任何病毒，清除部分已感染的病毒
3-18 以下哪一种方法中，无法防范蠕虫的入侵。

（）
A. 及时安装操作系统和应用软件补丁程序
B. 将可疑邮件的附件下载等文件夹中，然后再双击打开
C. 设置文件夹选项，显示文件名的扩展名
D. 不要打开扩展名为VBS、SHS、PIF等邮件附件
3-19 以下哪一种现象，一般不可能是中木马后引起的（）
A. 计算机的反应速度下降，计算机被关机或是重启
B. 计算机启动时速度变慢，硬盘不断发出“咯吱，咯吱”的声音
C. 在没有操作计算机时，而硬盘灯却闪个不停
D. 在浏览网页时网页会自动关闭，软驱或光驱会在无盘的情况下读个不停
第7章
1判断题
1-1 网络入侵即网络攻击。

（）
1-2 SMTP协议需要对邮件发送者的身份进行鉴别。

（）
1-3 脚本文件和ActiveX控件都可以嵌入在HTML文件中执行。

（）
1-4 ActiveX控件不能自己执行，只能由其他的进程加载后运行。

（）
1-5 ActiveX在运行是拥有自己的进程空间。

（）
1-6 要实现DDoS攻击，攻击者必须能够控制大量的计算机为其服务。

（）
1-7 IDS只能通过硬件方式来实现。

（）
1-8 在IDS中，模式匹配不能够检测到已经有过的攻击方式，但能够检测到从未出现过的攻击。

（）
1-9 在IDS中，统计分析的优点是可以检测到未知的更为复杂的入侵，但误报、漏报率较高。

（）
1-10 防火墙不具有入侵检测功能。

（）
1-11 与IDS相比，IPS具有深层防御的功能。

（）
1-12 IPS在将来一定会取代IDS。

（）
2 填空题
2-1 在网络入侵中，将自己伪装成合法用户来攻击系统的行为称为；复制合法用户发出的数据，然后进行重发，以欺
骗接收者的行为称为；中止或干扰服务器为合法用户提供服务的行为称为。

2-2 在LAND攻击中，LAND攻击报文的和是相同的。

2-3 扫描技术主要分为和两种类型。

2-4 在IDS的报警中，可以分为错误报警和正确的报警两种类型。

其中错误报警中，将IDS工作于正常状态下产生的报警称；而将IDS对已知的入侵活动未产生报警的现象称为。

3 选择题
3-1 死亡之ping属于（）
A. 冒充攻击
B. 拒绝服务攻击
C. 重放攻击
D. 篡改攻击3-2 泪滴使用了IP数据报中的（）
A. 段位移字段的功能
B. 协议字段的功能
C. 标识字段的功能
D. 生存期字段的功能
3-3 ICMP泛洪利用了（）
A. ARP命令的功能
B. tracert命令的功能
C. ping命令的功能
D. route命令的功能
3-4 将利用虚假IP地址进行ICMP报文传输的攻击方法称为（）
A. ICMP泛洪
B. LAND攻击
C. 死亡之ping
D. Smurf攻击3-5 以下哪一种方法无法防范口令攻击（）
A. 启用防火墙功能
B. 设置复杂的系统认证口令
C. 关闭不需要的网络服务
D. 修改系统默认的认证名称
3-6 DNS缓存中毒属于（）
A. 假消息攻击
B. 信息收集型攻击
C. 利用型攻击
D. 拒绝服务攻击
3-7 在DDoS攻击中，通过非法入侵并被控制，但并不向被攻击者直接发起攻击的计算机称为（）
A. 攻击者
B. 主控端
C. 代理服务器
D. 被攻击者
3-8 对利用软件缺陷进行的网络攻击，最有效的防范方法是（）
A. 及时更新补丁程序
B. 安装防病毒软件并及时更新病毒库
C. 安装防火墙
D. 安装漏洞扫描软件
3-9 在IDS中，将收集到的信息与数据库中已有的记录进行比较，从而发现违背安全策略的行为，这类操作方法称为（）A. 模式匹配 B. 统计分析 C. 完整性分析 D. 只确定
3-10 IPS能够实时检查和阻止入侵的原理在于IPS拥有众多的（）
A. 主机传感器
B. 网络传感器
C. 过滤器
D. 管理控制台
第8章
1判断题
1-1 目前防火墙技术仅应用在防火墙产品中。

（）
1-2 一般来说，防火墙在OSI参考模型中的位置越高，所需
（）要检查的内容就越多，同时CPU和RAM的要求也就越高。

1-3 防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个基本准则，其中前者的安全性要比后者高。

（）
1-4 采用防火墙的网络一定是安全的。

（）
1-5 包过滤防火墙一般工作在OSI参考模型的网络层与传输层，主要对IP分组和TCP/UDP端口进行检测和过滤操作。

（）
1-6 当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小。

（）
1-7 在传统的包过滤、代理和状态检测3类防火墙中，只能状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。

（）
1-8 分布式防火墙由于采用了计算机网络的分布式通信特点，所以在实施时只能采用纯软件方式。

（）
1-9 有些个人防火墙是是一款独立的软件，而有些个人防火墙则整合在防病毒软件中使用。

（）
2 填空题
2-1 防火墙将网络分割为两部分，即将网络分成两个不同的安全域。

对于接入Internet的局域网，其中属于可信赖的安全域，而属于不可信赖的非安全域。

2-2 为了使管理人员便于对防火墙的工作状态进行了解，一般防火墙都需要提供完善的
功能。

2-3 防火墙一般分为路由模式和透明模式两类。

当用防火墙连接同一网段的不同设备时，可采用防火墙；而用防火墙连接两个完全不同的网络时，则需要使用防火墙。

2-4 状态检测防火墙是在传统包过滤防火墙的基础上发展而来的，所以将传统的包过滤防火墙称为防火墙，而将状态检测防火墙称为防火墙。

3 选择题
3-1 以下设备和系统中，不可能集成防火墙功能的是（）A.集线器 B. 交换机 C. 路由器 D. Windows Server 2003操作系统
3-2 对“防火墙本身是免疫的”这句话的正确理解是（）A. 防火墙本身是不会死机的 B. 防火墙本身具有抗攻击能力
C. 防火墙本身具有对计算机病毒的免疫力
D. 防火墙本身具有清除计算机病毒的能力
3-3 在以下各项功能中，不可能集成在防火墙上的是（）A. 网络地址转换（NAT） B. 虚拟专用网（VPN）
C. 入侵检测和入侵防御
D. 过滤内部网络中设备的MAC地址
3-4 当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时，该服务器一般要置于防火墙的（）
A. 内部
B. 外部
C. DMZ区
D. 都可以
3-5 以下关于状态检测防火墙的描述，不正确的是（）A. 所检查的数据包称为状态包，多个数据包之间存在一些关联
B. 能够自动打开和关闭防火墙上的通信端口
C. 其状态检测表由规则表和连接状态表两部分组成
D. 在每一次操作中，必须首先检测规则表，然后再检测连接状态表
3-6 以下关于传统防火墙的描述，不正确的是（）
A. 即可防内，也可防外
B. 存在结构限制，无法适应当前有线和无线并存的需要
C. 工作效率较低，如果硬件配置较低或参数配置不当，防火墙将成形成网络瓶颈
D. 容易出现单点故障
3-7 在分布式防火墙系统组成中不包括（）
A. 网络防火墙
B. 主机防火墙
C. 中心管理服务器
D. 传统防火墙
3-8 下面对于个人防火墙的描述，不正确的是（）
A. 个人防火墙是为防护接入互联网的单机操作系统而出现的
B. 个人防火墙的功能与企业级防火墙类似，而配置和管理相对简单
C. 所有的单机杀病毒软件都具有个人防火墙的功能
D. 为了满足非专业用户的使用，个人防火墙的配置方法相对简单
3-9 下面对于个人防火墙未来的发展方向，描述不准确的是（）
A. 与xDSL Modem、无线AP等网络设备集成
B. 与防病毒软件集成，并实现与防病毒软件之间的安全联动
C. 将个人防火墙作为企业防火墙的有机组成部分
D. 与集线器等物理层设备集成
第9章
1判断题
1-1 VPN全部采用了“网关对网关”的结构。

（）
1-2 外联网VPN与内联网VPN在结构上都采用“网关对网关”结构，但外联网VPN使用了身份认证和访问控制功能。

（）1-3 远程接入VPN与RAS的功能相似，但VPN使用了加密方式，要比RAS安全且成本低。

（）
1-4 在利用VPN连接两个LAN是，LAN中必须使用TCP/IP协议。

（）
2 填空题
2-1 VPN是利用Internet等的基础设施，通过技术，为用户提供一条与专网相同的安全通道。

2-2 VPN的三种典型应用类型分别是、和。

2-3 VPN网关至少提供了两个接口，其中与内部网络连接的接口可以分配使用IP地址，而与外网连接的接口则要分配使用 IP地址。

2-4 VPN的主要实现技术分别为、和，其中核心是。

2-5 VPN系统中的身份认证技术包括和两种类型。

2-6 目前身份认证技术可分为PKI和非PKI两种类型，其中在VPN的用户身份认证中一般采用认证方式，而信息认证中采用认证方式。

2-7 VPN隧道可以分为主动式隧道和被动式隧道两种类型，其中远程接入VPN使用的是
，而内联网VPN和外联网VPN则使用。

3 选择题
3-1 VPN的应用特点主要表现在两个方面，分别是（）A. 应用成本低廉和使用安全 B. 便于实现和管理方便
C. 资源丰富和使用便捷
D. 高速和安全
3-2如果要实现用户在家中随时访问单位内部的数字资源，可以通过以下哪一种方式实现（）
A. 外联网VPN
B. 内联网VPN
C. 远程接入VPN
D. 专线接入
3-3 在以下隧道协议中，属于三层隧道协议的是（）
A. L2F
B. PPTP
C. L2TP
D. IPSec。