防火墙试题及答案

防火墙试题1.“NDR”的中文释义是什么（）A.基于网络的检测与响应(正确答案)B.基于主机的杀毒C.基于网络的漏洞防护D.基于网络的反病毒2.智慧墙支持哪种封装模式（）A.IP模式B.隧道模式(正确答案)C.TCP模式D.传输模式3.不能与智慧墙实现智能化的协同联动的是（）A、沙箱B.云端威胁情报中心C.终端安全管理系统D.上网行为管理(正确答案)4、下面那个选项可以查看智慧墙的设备信息？A.show systemB.show system info(正确答案)C.show system lsD.show capacity5、以下那些属于7层隧道技术？A.L2TPB.PPTPC.GRED.SSL(正确答案)6、MD5值的长度是？A.128bit(正确答案)B.64bitC.32bitD.16bit7、智慧墙不支持那些过滤？A.URL过滤B.文件过滤C.内容过滤D.行为过滤(正确答案)8、虚拟系统数量由License控制, NSG9000设备建议的虚拟系统最大个数为？A、6B、8C.10(正确答案)D、129、智慧墙如何开启debug？A.debug dp onB.debug dp upC.debug dp flow(正确答案)D.debug dp start10、HA主备模式下链路探测到某地址探测失败的原因？A.接口FLOAT地址未正常同步B.接口未UPC.安全策略未正常同步D.接口未配置STATIC地址(正确答案)11、在没有NAT环境下, IKE 协商的端口是A.500(正确答案)B.4500C、50D、5112.IKE协商由几个阶段组成（）A、1B.2(正确答案)C、3D、413.ipsec vpn支持以下哪种引流方式（）A.策略引流B.路由引流C.策略和路由引流(正确答案)D.安全引流14、IPSEC SA是基于以下哪种方式协商的？A.利用SSL VPN自协商方式B.利用PPTP协商方式C.利用GRE自协商方式D.利用IKE自协商方式(正确答案)15、Blacklist在智慧墙的Flow流程中属于第几个处理单元？A.1(正确答案)B、2C、3D、416.以下关于Flow流程中的慢转发说法正确的是（）A.慢转发流程中SNAT,路由,DNAT的匹配顺序为:SNAT-DNAT-路由B.慢转发流程中SNAT,路由,DNAT的匹配顺序为:路由-SNAT-DNATC.慢转发流程中SNAT,路由,DNAT的匹配顺序为:DNAT-路由-SNAT(正确答案)D.无顺序17、通常是需要放行（）流量的时候使用SNAT功能中动态地址NAT为不转换类型？A.用户认证B.ADSL拨号C.IPSEC(正确答案)D.策略路由18、以下关于SSL代理功能的主要作用描述正确的是（）A.SSL代理功能包含SSL VPN模块B.SSL代理功能包含IPSECVPN模块C.SSL代理功能是对SSL加密的数据进行代理解密,解析用户的行为以及数据,进而对用户的行为进行控制,主要应用于对高级功能IPS,AV,内容检测,文件检测,上网行为管理,URL过滤(正确答案)D.SSL代理功能是为了创建SESSION19、TCP/Ip体系结构中的TCP协议所提供的服务是（）A.链路层服务B.网络层服务C.传输层服务(正确答案)D.应用层服务20、在TCP三次握手中, 第一次握手时客户端向服务端发送一个（）来请求建立连接A.SYN包(正确答案)B.SCK包C.UDP包D.NULL包21.以下哪种原因会引起的穿透防火墙的内网PC无法访问外网A.LICENSE过期,已重启B.未设置安全策略C.未设置源NATD.以上都是(正确答案)22、当发现防火墙日志中有大量的某ip对防火墙进行暴力破解时防火墙应开启哪个功能进行防护？A.安全策略B.地址黑名单和登陆安全策略(正确答案)C.IPSD、AV23.以下哪个选项是防火墙产品的核心功能A.路由转发B.抗攻击C.用户认证D.访问控制(正确答案)24.以下哪个选项是防火墙产品的主要性能指标A.防火墙重量B.防火墙高度C.网络接口数D.并发连接数(正确答案)25、攻击防护策略是基于以下哪个模块的？A.安全域B.物理接口(正确答案)C、IPD.VLAN接口26、以下防火墙恢复出厂配置的方法错误的是？A.页面点击恢复出厂设置按钮B.在CLI下执行reset命令并重启C.掉电重启(正确答案)D、27、防火墙接口不支持以下哪种工作模式A.路由模式B.交换模式C.旁路模式D.透明模式(正确答案)28、防火墙的Channel模式不包括以下哪一项（）A.FloatB、热备C.802.3ad(正确答案)D、轮询29、以下关于智慧墙中路由的优先处理顺序错误的是（）A.策略路由--ISP路由--缺省路由B.直连路由 -- 静态路由 --策略路由C.静态路由-- 策略路由 -- ISP路由D.ISP路由--策略路由---缺省路由(正确答案)30、防火墙无法与时间服务器进行同步, 在防火墙与NTP服务器路由可达的情况下, 以下最有可能产生此问题的是？A.防火墙HOSTNAME配置错误B.未将NTP服务器设置为主用服务器C.NTP最大调整时间超过误差时间(正确答案)D.防火墙未配置安全策略31、智慧墙中针对虚拟系统接口的作用说法正确的是？A.用于虚拟系统间通信(正确答案)B.用于LOOPBACKC.用于动态路由ROUTER-IDD.无意义32.拒绝某些非法的IP地址或MAC地址流量的有效手段是哪个A.安全策略B.黑白名单(正确答案)C.服务器负载均衡D.IP-MAC绑定33、根据对报文的封装形式, IPsec工作模式分为A.隧道模式(正确答案)B.主模式C.野蛮模式D.B和C34、新配置的关键字或对关键字修改后必须单击哪个功能按钮, 配置或修改才生效A、查看B、增加C、编辑D.提交(正确答案)35、关于安全域, 下列说法错误的是（）A.一个物理口不可同时属于二层安全域和三层安全域B.一个安全域必须包含任何物理接口(正确答案)C.物理接口配置为路由模式,则该接口需手动加入三层安全域D.物理接口配置为交换模式,则该接口手动加入二层安全域36、关于本地地址类型, 下列说法正确的是（）A.在开启HA功能时,STATIC类型的IP地址仅用于管理防火墙(正确答案)B.STATIC类型地址可以用于NAT、VPN等功能使用C.FLOAT类型的地址和Static类型的地址无差别D.在HA环境中,STATIC类型的IP地址会同步给对端防火墙37、关于防火墙HA功能说法错误的是？A.HA组优先级数字越小,优先等级越高(正确答案)B.HA支持配置和动态信息同步C.HA心跳接口支持channel口D.HA只支持配置0和1两个HA组38、关于非对称加密, 下列说法错误的是（）A.相比对称加密,非对称加密效率高(正确答案)B.公钥密钥和私钥密钥总是成对出现,公钥用来加密,私钥用来解密C.公钥和私钥不能互相导推D.安全性高39、关于桥功能说法错误的是？A.只能将两个物理接口加入桥(正确答案)B.桥模式可以传输带VLAN TAG的报文C.桥配置可以通过HA做主备同步D.桥可以配置为桥接口并添加IP地址40、关于日志查询, 以下说法哪个是正确的（）A.不勾选记录日志也可产生模糊日志B.不勾选记录日志也可产生流量日志C.勾选记录日志不可产生模糊日志,但可以产生流量日志D.勾选记录日志才可以产生流量日志(正确答案)41、黑客利用IP地址进行攻击的方法有？A.IP欺骗(正确答案)B、解密C.窃取口令D.发送病毒42.以下哪个选项可以帮助用户在安全策略列表中寻找是否存在冗余或无法生效的规则A.应急响应消息B.策略命中优化C.冗余策略检查(正确答案)D.协同联动43、建立IPSEC vpn隧道建立时, IKE协商支持的模式不包括（）A.主模式B.野蛮模式C、国密D.ESP(正确答案)44、将一个局域网连入Internet, 首选的设备是（）A.中继器B.交换机C、网桥D.防火墙(正确答案)45.接口下的对称路由模块一般应用在以下哪种场景下（）A.多出口场景(正确答案)B.HA主备场景C.路由条目较多的场景D.HA负载均衡场景46、在多台设备双机串行环境下, 当设备上行/下行的链路出现故障时, 为了让下行/上行的链路也能够快速感知故障并进行切换, 此时需要什么功能（）A.安全策略B.IPSECC.接口联动(正确答案)D、HA47、高可用性环境下如果HA心跳口不通会出现以下哪种情况？A.主备墙的配置无法同步(正确答案)B.流经防火墙的业务断掉C.接口上的动态地址无法生效D.路由无法生效48、某用户内网有web服务器对外提供服务, 某天发现web站点访问异常缓慢, 甚至无法访问, 同时服务器cpu利用率高, 请问最有可能受到了什么攻击？A.UDP FLOODB.TCPFLOOD(正确答案)C.IP欺骗D.圣诞树攻击49、文件过滤支持的应用协议有____A.邮件协议(POP3.IMAP、SMTP)B.FTPC.HTTPD.以上所有选项(正确答案)50、如果某一数据包不能命中安全策略列表中的任何一条安全策略时, 执行的动作为？A、放行B.禁止(正确答案)C、转发D.以上都不对。

1、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是（C）。

A、IDSB、杀毒软件C、防火墙D、路由器2、以下关于防火墙的设计原则说法正确的是（B）。

A、不单单要提供防火墙的功能，还要尽量使用较大的组件B、保持设计的简单性C、保留尽可能多的服务和守护进程，从而能提供更多的网络服务D、一套防火墙就可以保护全部的网络3、防火墙能够（B）。

A、防范恶意的知情者B、防范通过它的恶意连接C、防备新的网络安全问题D、完全防止传送己被病毒感染的软件和文件4、防火墙中地址翻译的主要作用是（C）。

A、提供代理服务B、进行入侵检测C、隐藏内部网络地址D、防止病毒入侵5、防火墙是隔离内部和外部网的一类安全系统。

通常防火墙中使用的技术有过滤和代理两种。

路由器可以根据（B）进行过滤，以阻挡某些非法访问。

A、网卡地址B、IP地址C、用户标识D、加密方法6、在企业内部网与外部网之间，用来检查网络请求分组是否合法，保护网络资源不被非法使用的技术是（B）。

A、防病毒技术B、防火墙技术C、差错控制技术D、流量控制技术7、防火墙是指（B）。

A、防止一切用户进入的硬件B、阻止侵权进入和离开主机的通信硬件或软件C、记录所有访问信息的服务器D、处理出入主机的邮件的服务器8、防火墙的基本构件包过滤路由器工作在OSI的哪一层（C）A、物理层B、传输层C、网络层D、应用层9、包过滤防火墙对通过防火墙的数据包进行检查，只有满足条件的数据包才能通过，对数据包的检查内容一般不包括（D）。

A、源地址B、目的地址C、协议D、有效载荷10、防火墙对数据包进行状态检测过滤时，不可以进行检测过滤的是（D）。

A、源和目的IP地址B、源和目的端口C、IP协议号D、数据包中的内容11、下列属于防火墙的功能的是（D）。

A、识别DNS服务器B、维护路由信息表C、提供对称加密服务D、包过滤12、公司的WEB服务器受到来自某个IP地址的黑客反复攻击,你的主管要求你通过防火墙来阻止来自那个地址的所有连接,以保护WEB服务器,那么你应该选择哪一种防火墙?(A)。

防火墙技术复习题（1）单选题1．以下哪种技术不是实现防火墙的主流技术？ DA.包过滤技术;B.应用级网关技术;C.代理服务器技术;D.NAT技术2．关于屏蔽子网防火墙,下列说法错误的是: DA.屏蔽子网防火墙是几种防火墙类型中最安全的;B.屏蔽子网防火墙既支持应用级网关也支持电路级网关;C.内部网对于Internet来说是不可见的;D.内部用户可以不通过DMZ直接访问Internet3．最简单的防火墙结构是（ A ）A.路由器 B、代理服务器 C、日志工具 D、包过滤器4 ．为确保企业局域网的信息安全，防止来自internet的黑客入侵，采用（）可以实现一定的防范作用。

A.网管软件B.操作系统 C防火墙 D.防病毒软件5．防火墙采用的最简单的技术是（）A．安装保护卡 B.隔离 C.包过滤 D.设置进入密码6.防火墙技术可分为（）等到3大类型A包过滤、入侵检测和数据加密B.包过滤、入侵检测和应用代理C包过滤、应用代理和入侵检测D.包过滤、状态检测和应用代理7. 防火墙系统通常由（）组成，防止不希望的、未经授权的进出被保护的内部网络A．杀病毒卡和杀毒软件B.代理服务器和入检测系统C过滤路由器和入侵检测系统D过滤路由器和代理服务器8.防火墙技术是一种（）网络系统安全措施。

3)A．被动的 B.主动的C．能够防止内部犯罪的 D.能够解决所有问题的9．防火墙是建立在内外网络边界上的一类安全保护机制，它的安全架构基于（）。

A．流量控制技术B 加密技术C．信息流填充技术D．访问控制技术10.一般为代理服务器的保垒主机上装有（）。

A．一块网卡且有一个IP地址B．两个网卡且有两个不同的IP地址C．两个网卡且有相同的IP地址D．多个网卡且动态获得IP地址11. 一般为代理服务器的保垒主机上运行的是（）A．代理服务器软件B．网络操作系统C．数据库管理系统D．应用软件12. 下列关于防火墙的说法正确的是（）A 防火墙的安全性能是根据系统安全的要求而设置的B 防火墙的安全性能是一致的，一般没有级别之分C防火墙不能把内部网络隔离为可信任网络D 一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的安全系统13．在ISO OSI/RM 中对网络安全服务所属的协议层次进行分析，要求每个协议层都能提供网络安全服务。

.....防火墙培训试题1.关于防火墙的描述不正确的是：（）A、防火墙不能防止内部攻击。

B、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。

C、防火墙可以防止伪装成外部信任主机的IP 地址欺骗。

D、防火墙可以防止伪装成内部信任主机的IP 地址欺骗。

2.防火墙的主要技术有哪些？（）A.简单包过滤技术B.状态检测包过滤技术C.应用代理技术D.复合技术E.地址翻译技术3.防火墙有哪些部属方式？（）A.透明模式B.路由模式C.混合模式D.交换模式4.判断题：并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。

（V）.....5.判断题：对于防火墙而言，除非特殊定义，否则全部 ICMP 消息包将被禁止通过防火墙（即不能使用 ping命令来检验网络连接是否建立）。

（V）6.下列有关防火墙局限性描述哪些是正确的。

（）A、防火墙不能防范不经过防火墙的攻击B、防火墙不能解决来自内部网络的攻击和安全问题C、防火墙不能对非法的外部访问进行过滤D、防火墙不能防止策略配置不当或错误配置引起的安全威胁7.防火墙的作用（）A、过滤进出网络的数据B、管理进出网络的访问行为C、封堵某些禁止的行为D、记录通过防火墙的信息内容和活动8. 防火墙能够完全防止传送己被病毒感染的软件和文件（X）9.防火墙的测试性能参数一般包括（）A）吞吐量B）新建连接速率C）并发连接数D）处理时延10. 防火墙能够作到些什么？（）A、包过滤B、包的透明转发C、阻挡外部攻击D、记录攻击11. 防火墙有哪些缺点和不足？（）A、防火墙不能抵抗最新的未设置策略的攻击漏洞B、防火墙的并发连接数限制容易导致拥塞或者溢出C、防火墙对服务器合法开放的端口的攻击大多无法阻止D、防火墙可以阻止内部主动发起连接的攻击12. 防火墙中地址翻译的主要作用是：（）A.提供应用代理服务B.隐藏内部网络地址C.进行入侵检测D.防止病毒入侵13. 判断题：防火墙必须记录通过的流量日志，但是对于被拒绝的流量可以没有记录。

1、为控制企业内部对外的访问以及抵御外部对内部网的攻击、为控制企业内部对外的访问以及抵御外部对内部网的攻击,,最好的选择是（ C ）。

、杀毒软件 C、防火墙D、路由器、路由器A、IDSB、杀毒软件2、以下关于防火墙的设计原则说法正确的是（ B ）。

A、不单单要提供防火墙的功能，还要尽量使用较大的组件B、保持设计的简单性C、保留尽可能多的服务和守护进程，从而能提供更多的网络服务、一套防火墙就可以保护全部的网络D、一套防火墙就可以保护全部的网络、防火墙能够（ B ）。

3、防火墙能够（、防范恶意的知情者A、防范恶意的知情者B、防范通过它的恶意连接、防备新的网络安全问题C、防备新的网络安全问题D、完全防止传送己被病毒感染的软件和文件4、防火墙中地址翻译的主要作用是（、防火墙中地址翻译的主要作用是（ C ）。

、进行入侵检测、提供代理服务 B、进行入侵检测A、提供代理服务、防止病毒入侵C、隐藏内部网络地址D、防止病毒入侵5、防火墙是隔离内部和外部网的一类安全系统。

通常防火墙中使用的技术有过滤和代理两种。

路由器可以根据（ B ）进行过滤，以阻挡某些非法访问。

、加密方法、用户标识 D、加密方法、网卡地址 B、IP地址C、用户标识A、网卡地址6、在企业内部网与外部网之间，用来检查网络请求分组是否合法，保护网络资源不被非法使用的技术是（ B ）。

源不被非法使用的技术是（、流量控制技术、差错控制技术 D、流量控制技术A、防病毒技术、防病毒技术 B、防火墙技术C、差错控制技术、防火墙是指（ B ）。

7、防火墙是指（、防止一切用户进入的硬件A、防止一切用户进入的硬件B、阻止侵权进入和离开主机的通信硬件或软件C、记录所有访问信息的服务器、记录所有访问信息的服务器、处理出入主机的邮件的服务器D、处理出入主机的邮件的服务器8、防火墙的基本构件包过滤路由器工作在OSI的哪一层（的哪一层（ C ）、应用层、传输层 C、网络层D、应用层A、物理层、物理层 B、传输层9、包过滤防火墙对通过防火墙的数据包进行检查，只有满足条件的数据包才能通过，对数据包的检查内容一般不包括（ D ） 。

计算机安全单招试题及答案试题一：问题：什么是计算机病毒？：什么是计算机病毒？试题二：问题：什么是防火墙？：什么是防火墙？答案：防火墙是一种网络安全设备，用于监控和控制网络流量。

它可以根据预设的规则，过滤和阻止不安全或未经授权的网络连接请求，从而保护计算机和网络免受恶意攻击。

：防火墙是一种网络安全设备，用于监控和控制网络流量。

它可以根据预设的规则，过滤和阻止不安全或未经授权的网络连接请求，从而保护计算机和网络免受恶意攻击。

试题三：问题：什么是密码破解？：什么是密码破解？答案：密码破解是指通过尝试不同的密码组合，以获取未经授权的访问或解密受保护的信息。

密码破解可以使用暴力穷举攻击、字典攻击或使用专门的软件工具进行。

：密码破解是指通过尝试不同的密码组合，以获取未经授权的访问或解密受保护的信息。

密码破解可以使用暴力穷举攻击、字典攻击或使用专门的软件工具进行。

试题四：问题：什么是网络钓鱼？：什么是网络钓鱼？答案：网络钓鱼是一种欺骗手段，攻击者通过伪装成可信任的实体，如银行、电子邮件提供商或社交媒体平台，诱使用户提供敏感信息，如密码、银行账户信息等。

这种攻击通常通过电子邮件、短信或社交媒体消息发送。

：网络钓鱼是一种欺骗手段，攻击者通过伪装成可信任的实体，如银行、电子邮件提供商或社交媒体平台，诱使用户提供敏感信息，如密码、银行账户信息等。

这种攻击通常通过电子邮件、短信或社交媒体消息发送。

试题五：问题：什么是DDoS攻击？：什么是DDoS攻击？答案：DDoS（分布式拒绝服务）攻击是一种网络攻击，攻击者通过控制多个计算机或设备，同时向目标服务器发送大量请求，以超过目标服务器的处理能力，从而导致目标服务器无法正常提供服务。

：DDoS（分布式拒绝服务）攻击是一种网络攻击，攻击者通过控制多个计算机或设备，同时向目标服务器发送大量请求，以超过目标服务器的处理能力，从而导致目标服务器无法正常提供服务。

试题六：问题：如何保护个人计算机的安全？：如何保护个人计算机的安全？答案：以下是保护个人计算机安全的几个重要措施：：以下是保护个人计算机安全的几个重要措施：1. 安装可靠的防病毒软件和防火墙，定期更新并扫描计算机。

测验一、选择题1.防火墙是一种高级访问控制设备，它是置于( A )的组合，是不同网络安全域间通信流的 ( A )通道，能根据企业有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。

A: 不同网络安全域之间的一系列部件 ; 唯一B: 相同网络安全域之间的一系列部件 ; 唯一C: 不同网络安全域之间的一系列部件 ; 多条D: 相同网络安全域之间的一系列部件 ; 多条2．包过滤防火墙的缺点为： ( A )A. 容易受到 IP 欺骗攻击B. 处理数据包的速度较慢C: 开发比较困难D:代理的服务(协议)必须在防火墙出厂之前进行设定3．防止盗用 IP 行为是利用防火墙的( C )功能A: 防御攻击的功能B: 访问控制功能C: IP 地址和 MAC 地址绑定功能D: URL 过滤功能4．如果内部网络的地址网段为 192.168.1.0/24 ，需要用到防火墙的哪个功能，才能使用户上网。

( B )A: 地址映射B:地址转换C: IP 地址和 MAC 地址绑定功能D: URL 过滤功能5．防火墙的性能指标参数中，那一项指标会直接影响到防火墙所能支持的最大信息点数( B )A: 吞吐量 B: 并发连接数C: 延时 D: 平均无故障时间6.对于防火墙不足之处，描述错误的是( D )A: 无法防护基于尊重作系统漏洞的攻击B: 无法防护端口反弹木马的攻击C: 无法防护病毒的侵袭D: 无法进行带宽管理7． F300-Pro 是属于那个级别的产品( C )A:SOHO 级(小型企业级) B：低端产品(中小型企业级)C：中段产品(大中型企业级) D：高端产品(电信级)8 ．防火墙对数据包进行状态检测包过滤是，不可以进行过滤的是： ( D )A: 源和目的 IP 地址 B: 源和目的端口C: IP 协议号 D: 数据包中的内容9．当用户网络有多个公网出口时，需要用到 XXXXXX 防火墙的什么功能： (C )A:OSPF B： H.323 C： DHCP D： PBR10 ．防火墙对要保护的服务器作端口映射的好处是： ( D )A: 便于管理 B: 提高防火墙的性能C: 提高服务器的利用率 D: 隐藏服务器的网络结构，使服务器更加安全11． XXXXXX1 防火墙内核启动速度非常快，接上电源后多长时间就进入数据包转发： ( A ) A:20 秒 B： 30 秒 C： 1 分钟 D：超过 5 分钟12. 内网用户通过防火墙访问公众网中的地址需要对源地址进行转换，规则中的动作应选择： ( B )A:Allow B： NAT C： SAT D： FwdFast13. 为了方便管理， XXXXXX 防火墙预定义多少个常用服务( B )A:200 多个 B： 100 多个 C： 50 多个 D： 30 多个不定项选择：14．关于防火墙发展历程下面描述正确的是( A ) A. 第一阶段：基于路由器的防火墙 B. 第二阶段：用户化的防火墙工具集C. 第三阶段：具有安全尊重作系统的防火墙 D: 第四阶段：基于通用尊重作系统防火墙15. 电子政务的逻辑结构自下而上分为 3 个层次，它们是( A )A)基础设施层、统一的安全电子政务平台和电子政务应用层B)基础设施层、一站式电子政务服务层和电子政务应用层C)一站式电子政务服务层、统一的安全电子政力平台层和电子政务应用层D)基础设施层、统一的安全电子政务平台层和一站式电子政务服务层二、判断题1.防火墙对内部网起到了很好的保护作用，并且它是坚不可摧的。

《防火墙配置与应用》试题1. 以下哪种技术不是实现防火墙的主流技术？包过滤技术应用级网关技术NAT技术(正确答案)代理服务器技术2. 关于屏蔽子网防火墙,下列说法错误的是：屏蔽子网防火墙是几种防火墙类型中最安全的屏蔽子网防火墙既支持应用级网关也支持电路级网关内部网对于Internet来说是不可见的内部用户可以不通过DMZ直接访问Internet(正确答案)3. 最简单的防火墙结构是：路由器(正确答案)代理服务器日志工具包过滤器4. 为确保企业局域网的信息安全，防止来自internet的黑客入侵，采用( )可以实现一定的防范作用。

网管软件操作系统防火墙(正确答案)防病毒软件5. 包过滤型防火墙工作在：会话层应用层网络层(正确答案)数据链路层6. 入侵检测是一门新兴的安全技术，是作为继（）之后的第二层安全防护措施。

路由器防火墙(正确答案)交换机服务器7. 下面属于单钥密码体制算法的是：RSALUCDES(正确答案)DSA8. 对网络中两个相邻节点之间传输的数据进行加密保护的是：节点加密(正确答案)链路加密端到端加密DES加密9. 随着Internet发展的势头和防火墙的更新，防火墙的哪些功能将被取代：使用IP加密技术日志分析工具攻击检测和报警对访问行为实施静态、固定的控制(正确答案)10. 以下不属于代理服务技术优点的是：可以实现身份认证内部地址的屏蔽和转换功能可以实现访问控制可以防范数据驱动侵袭(正确答案)11. 包过滤技术与代理服务技术相比较：包过滤技术安全性较弱、但会对网络性能产生明显影响包过滤技术对应用和用户是绝对透明的(正确答案)代理服务技术安全性较高、但不会对网络性能产生明显影响代理服务技术安全性高，对应用和用户透明度也很高12. 在建立堡垒主机时：在堡垒主机上应设置尽可能少的网络服务(正确答案)在堡垒主机上应设置尽可能多的网络服务对必须设置的服务给与尽可能高的权限不论发生任何入侵情况，内部网始终信任堡垒主机13. 当同一网段中两台工作站配置了相同的IP 地址时，会导致：先入者被后入者挤出网络而不能使用双方都会得到警告，但先入者继续工作，而后入者不能(正确答案)双方可以同时正常工作，进行数据的传输双主都不能工作，都得到网址冲突的警告14. 代理服务作为防火墙技术主要在OSI的哪一层实现：数据链路层网络层表示层应用层(正确答案)15. 防火墙的安全性角度，最好的防火墙结构类型是：路由器型双宿主主机结构屏蔽主机结构屏蔽子网结构(正确答案)16. 逻辑上，防火墙是：过滤器限制器分析器以上都是(正确答案)17. 以下不属于代理服务技术优点的是：可以实现应用层上的文件类型过滤内部地址的屏蔽和转换功能可以实现访问控制可以防范病毒入侵(正确答案)18. 一般而言，Internet防火墙建立在一个网络的：内部网络与外部网络的交叉点(正确答案)每个子网的内部部分内部网络与外部网络的结合处内部子网之间传送信息的中枢19. 包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。

防火墙理论试题姓名：问答题1. 防火墙的基本体系结构是什么？答：1 双重宿主主机体系结构2 屏蔽主机体系结构3屏蔽子网体系结构2. 防火墙的基本接口配置命令哪些？作用是什么？答：nameif：为接口命令并指定其安全级别。

Ip address:为内外网接口配置IP地址。

Nat：指定被转换的网段或地址。

Interface：确定硬件类型、速度并启用接口。

Route：配置静态路由。

Global:转换完成后使用的全局地址。

3 简述防火墙的基本含义、功能以及分类。

答：防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人入侵。

功能：1，限定内部用户访问特殊站点。

2，防止未授权用户访问内部网络。

3，允许内部网络中的用户访问外部网络的服务和资源不泄露网络的数据和资源。

4，记录通过防火墙的信息内容和活动。

5，对网络攻击进行监测和报警。

4.分类：按物理实体分类：软件防火墙和硬件防火墙以及芯片级防火墙。

按工作方式分类：主要分为包括过滤性和应用代理性。

按部署结构分类：单一主机防火墙：路由器集成防火墙：分布式防火墙。

按部署位置分类：按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合型防火墙。

防火墙按性能分类：百兆级防火墙和千兆级防火墙。

填空题1.芯片级防火墙的核心部分是 ASIC 芯片。

2. 目前市场上常见的防火墙架构有X86 、ASIC、 NP3.包过滤类型的防火墙要遵循的一条基本原则是最小特权原则。

4. .状态检测防火墙中有两张表用来实现对数据流的控制，它们分别是规则表和状态检测表。

5.常见防火墙按采用的技术分类主要有包过滤防火墙、代理防火墙、状态检测防火墙。

6.代理防火墙是一种较新型的防火墙技术，它分为应用层网关和电路层网关。

7.应用层网关防火墙也就是传统的代理型防火墙。

应用层网关型防火墙工作在OSI模型的应用层，它的核心技术就是代理服务器技术。

电路层网关工作在OSI模型的会话层。

防火墙试题及答案文件编码（008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256）武汉职业技术学院总复习二班级：姓名：学号：一．选择题1、对于防火墙不足之处，描述错误的是 D 。

A.无法防护基于尊重作系统漏洞的攻击B.无法防护端口反弹木马的攻击C.无法防护病毒的侵袭D.无法进行带宽管理2. 防火墙对数据包进行状态检测包过滤是，不可以进行过滤的是：D。

A: 源和目的IP地址 B: 源和目的端口C: IP协议号 D: 数据包中的内容3. 防火墙对要保护的服务器作端口映射的好处是： D 。

A: 便于管理 B: 提高防火墙的性能C: 提高服务器的利用率 D: 隐藏服务器的网络结构，使服务器更加安全4. 关于防火墙发展历程下面描述正确的是 A 。

A.第一阶段：基于路由器的防火墙B. 第二阶段：用户化的防火墙工具集C. 第三阶段：具有安全尊重作系统的防火墙 D: 第四阶段：基于通用尊重作系统防火墙5. 包过滤防火墙的缺点为： A 。

A. 容易受到IP欺骗攻击B. 处理数据包的速度较慢C: 开发比较困难D: 代理的服务（协议）必须在防火墙出厂之前进行设定6. 内网用户通过防火墙访问公众网中的地址需要对源地址进行转换，规则中的动作应选择： B 。

A:Allow B：NAT C：SAT D：FwdFast7. 从安全属性对各种网络攻击进行分类，阻断攻击是针对 B 的攻击。

【 B 】A. 机密性B. 可用性C. 完整性D. 真实性8. VPN的加密手段为 C 。

A. 具有加密功能的防火墙B. 具有加密功能的路由器C. VPN内的各台主机对各自的信息进行相应的加密D. 单独的加密设备9. 根据ISO的信息安全定义，下列选项中___ B _是信息安全三个基本属性之一。

A真实性 B可用性C可审计性 D可靠性10. 计算机病毒最本质的特性是__ C__。

A寄生性 B潜伏性C破坏性 D攻击性11. 防止盗用IP行为是利用防火墙的 C 功能。

难度题型分数题目内容SFF中单选题2防火墙对数据包进行状态检测过滤时，不可以进行检测过滤的是:SFF中单选题2防火墙对要保护的服务器作端口映射的好处是:SFF中单选题2内网用户通过防火墙访问公众网中的地址需要对源地址进行转换，规则中的动作应选择：SFF易单选题2输入法漏洞通过什么端口实现的？SFF易单选题2不属于常见把被入侵主机的信息发送给攻击者的方法是：SFF易单选题2公司的WEB服务器受到来自某个IP地址的黑客反复攻击,你的主管要求你通过防火墙来阻止来自那个地址的所有连接,以保护WEB服务器,那么你应该选择哪一种防火墙?SFF中单选题2关于防火墙发展历程下面描述正确的是:SFF中单选题2防火墙能够:SFF中单选题2关于入侵检测技术，下列哪一项描述是错误的？SFF中单选题2安全扫描可以实现:考试系统试题导入说明：1、题型只有单选题、多选题、判断题、技术技能、情景测试、案例分析、基本素养、论文八种题型2、建议同一知识点、同一题型的题目的分数应该相同3、可选项只对选择题有效，其他题型可选项为空。

多个选项之间用“;”(分号)隔开5、答案DW中单选题只能是A-Z的一个字母;多选题可以是多个字母，DW中间没有分隔符;判断题只能是1或0，1表示对，0表示6、所有的题目和答案加起来不能超过6000个英文字符或者1000个汉字7、K值说明：当题型为情景测试与基本素养（为优选题）时，填入每一题得分比率，并且以";"(分号)隔开。

当为案例分析8、案例分析，在"可选项"DW中，不填写内容，在"答案"DW中，填写正确答案序号，并且以":"(冒号）隔开，每一小题，以9、论文题，可选项、K值、答案均为空值。

SFF中单选题2关于安全审计目的描述错误的是:SFF中单选题2安全审计跟踪是:SFF中单选题2以下哪一个最好的描述了数字证书？SFF中单选题2保证信息不能被未经授权者阅读,这需要用到: SFF易单选题2DNS服务使用的端口是:SFF易单选题2以下关于Cookies的说话正确的是：SFF中单选题2下列不属于安全策略所涉及的方面是：SFF中单选题2为避免攻击者监视数据包的发送,并分析数据包的大小以试图获取访问权,可以采用什么安全机制？SFF中单选题2用于在各种安全级别进行监控,便于察觉入侵和安全破坏活动的安全措施是：SFF中单选题2从事计算机系统及网络安全技术研究并接收、检查、处理相关安全事件的服务性组织称为：SFF易单选题2IPSEC能提供对数据包的加密,与它联合运用的技术是: SFF中单选题2在每天下午5点使用计算机结束时断开终端的连接属于：SFF中多选题3计算机安全事件包括以下几个方面:SFF中多选题3计算机安全事故包括以下几个方面:SFF中多选题3防火墙的设计时要遵循简单性原则,具体措施包括:SFF中多选题3木马入侵的途径包括:SFF中多选题3非对称密钥加密的技术有:SFF难多选题3网络安全工作的目标包括：SFF难多选题3加密技术的强度可通过以下哪几方面来衡量：SFF中多选题3代理服务器在网络中应用非常广泛的,它除了实现代理上网外,还可以实现以下功能：SFF难多选题3以下能提高防火墙物理安全性的措施包括: SFF中多选题3以下说法正确的有：SFF难判断题2在考虑公司网络安全时,经过筛选出一种最好的安全技术加以应用,即能保障网络安全。

防火墙培训试题1.关于防火墙的描述不正确的是：A、防火墙不能防止内部攻击..B、如果一个公司信息安全制度不明确;拥有再好的防火墙也没有用..C、防火墙可以防止伪装成外部信任主机的IP地址欺骗..D、防火墙可以防止伪装成内部信任主机的IP地址欺骗..2.防火墙的主要技术有哪些A.简单包过滤技术B.状态检测包过滤技术C.应用代理技术D.复合技术E.地址翻译技术3.防火墙有哪些部属方式A.透明模式B.路由模式C.混合模式D.交换模式4.判断题：并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数..5.判断题：对于防火墙而言;除非特殊定义;否则全部ICMP消息包将被禁止通过防火墙即不能使用ping命令来检验网络连接是否建立..6.下列有关防火墙局限性描述哪些是正确的..A、防火墙不能防范不经过防火墙的攻击B、防火墙不能解决来自内部网络的攻击和安全问题C、防火墙不能对非法的外部访问进行过滤D、防火墙不能防止策略配置不当或错误配置引起的安全威胁7.防火墙的作用A、过滤进出网络的数据B、管理进出网络的访问行为C、封堵某些禁止的行为D、记录通过防火墙的信息内容和活动8.防火墙能够完全防止传送己被病毒感染的软件和文件9.一般情况下;防火墙是关闭远程管理功能的;但如果必须进行远程管理;则应该采用或者的登录方式..10.防火墙的测试性能参数一般包括A 吞吐量B 新建连接速率C 并发连接数D 处理时延11.防火墙能够作到些什么A、包过滤B、包的透明转发C、阻挡外部攻击D、记录攻击12.防火墙有哪些缺点和不足A、防火墙不能抵抗最新的未设置策略的攻击漏洞B、防火墙的并发连接数限制容易导致拥塞或者溢出C、防火墙对服务器合法开放的端口的攻击大多无法阻止D、防火墙可以阻止内部主动发起连接的攻击13.防火墙中地址翻译的主要作用是：A. 提供应用代理服务B. 隐藏内部网络地址C. 进行入侵检测D. 防止病毒入侵14.判断题：防火墙必须记录通过的流量日志;但是对于被拒绝的流量可以没有记录..15.防火墙一般需要检测哪些扫描行为A、Port-scanB、icmp-scanC、udp-scanD、tcp-synflood16.判断题：VPN用户登录到防火墙;通过防火墙访问内部网络时;不受访问控制策略的约束..17.判断题：在配置访问规则时;源地址;目的地址;服务或端口的范围必须以实际访问需求为前提;尽可能的缩小范围..18.简答题：状态检测防火墙的优点有哪些19.简答题：防火墙部署的原则有哪些20.简答题：防火墙策略设置的原则有哪些防火墙培训试题答案1、C2、ABCDE3、ABC4、正确5、正确6、ABD7、ABCD8、错误9、SSHHTTPS10、ABCD11、 A B C D12、 A B C13、B14、错误15、ABC16、错误17、正确具有检查IP包的每个字段的能力;并遵从基于包中信息的过滤规则；识别带有欺骗性源IP地址包的能力；具有基于应用程序信息验证一个包的状态的能力; 例如基于一个已经建立的FTP连接;允许返回的FTP包通过；允许一个先前认证过的连接继续与被授予的服务通信；具有记录有关通过的每个包的详细信息的能力..基本上;防火墙用来确定包状态的所有信息都可以被记录;包括应用程序对包的请求;连接的持续时间;内部和外部系统所做的连接请求等..集中防护原则等级保护原则与业务特殊需求一致原则与边界威胁一致原则异构原则防火墙种类最小化原则保持设计的简单性防火墙规则的最小允许原则计划好防火墙被攻破时的应急响应考虑以下问题：认证管理、授权管理、远程维护端口管理、日志管理、配置备份管理、软件版本管理。

防火墙小测试题1、HA主备模式下链路探测到某地址探测失败的原因？接口FLoAT地址未正常同步接口未UP安全策略未正常同步接口未配置STATle地址2、在没有NAT环境下，IKE协商的端口是500450050513、在TCP三次握手中，第一次握手时客户端向服务端发送一个4、O来请求建立连接SYN包(J∙⅞r,r1⅛)SCK包UDP包NULL包4、以下哪种原因会引起的穿透防火墙的内网PC无法访问外网1.lCENSE过期,已重启未设置安全策略未设置源NAT以上都是(正确答案)5、以下哪个选项是防火墙产品的核心功能路由转发抗攻击用户认证访问控制（il6、防火墙接口不支持以下哪种工作模式路由模式交换模式旁路模式透明模式（il7、接口下的对称路由模块一般应用在以下哪种场景下O多出口场景HA主备场景路由条目较多的场景HA负载均衡场景8、在TCPZlP环境下，网络层有一组协议将IP地址转换为相应9、物理网络地址，这组协议即是OICMPARPFTPRARP9、智慧墙默认安全域不包含1.OCALaTRUSTUNTRUSTDMZ10、智慧墙默认管理ip与默认可信管理主机是—10.0.0.1/10.0.0.44「打192.168.1.1/192.168.1.210.1.1.1/10.1.1.4411.1.1.1/11.1.1.44Ik智慧墙最多可以保存几个系统？123412、防火墙的路由功能主要包含O静态路由动态路由策略路由以上都是川13、智慧墙支持的SNMP版本为？SNMPVlSNMPV2SNMPV3全都支持（K晌；：J14、下列不属于防火墙功能的是？虚拟专用网（VPN）地址转换（NAT）访问控制终端准入川15、以下关于HA环境下StatiC类型的ip地址说法错误的是（）StaliC类型的ip地址仅用于在开启HA功能时,管理防火墙使用StatiC类型的ip地址在开启HA功能,同步配置时,不会给对端防火墙SIatiC类型地址可以用于HA状态同步HK恪案）HA环境下StatiC类型的地址不起作用16、以下哪个不是智慧墙设备三大中心系统？分析中心数据中心处置中心情报中心@£确答案）17、智慧墙的可信主机功能未开启时（）任何PC可以管理设备任何PC不可管理设备只有直连PC可以管理设备只有IP为10.0.0.44的PC可以管理设备18、以下不属于智慧防火墙HA配置要点的是？优先级HA组心跳接口模板（正确答窠）19、关于智慧防火墙聚合接口的说法正确的是O聚合接口只支持二层汇聚、不支持三层汇聚最多可支持8个物理接口的聚合I l聚合接口将多个物理接口聚合为一个逻辑接口,可以实现接口备份,但无法增加带宽最多可支持10个物理接口的聚合20、智慧防火墙最多可以创建（）个ADSL接口812162421、请简述三层主备场景下防火墙的工作特点。

一、选择题1、下列哪些是防火墙的重要行为？（AB ）A、准许B、限制C、日志记录D、问候访问者2、最简单的防火墙结构是（ A ）A、路由器B、代理服务器C、日志工具D、包过滤器3、绝大多数WEB站点的请求使用哪个TCP端口？（C ）A、21B、25C、80D、1028三、选择题1.常用的加密算法包括（ABCD ）A．DES B.3DES C.RSA D.AES E.MD5 F.MAC2.常用的散列算法有（EF ）A．DES B.3DES C.RSA D.AES E.MD5 F.MAC一、选择题1.传统上,公司的多个机构之间进行数据通信有众多不同的方式,主要有（ABCD）A．帧中继线路 B.ATM线路 C.DDN线路 D.PSTN2.IPSec的应用方式有（ABCD）A．端对端安全 B.远程访问 C.VPNs D.多提供商VPNs3. IPSec 可以使用两种模式,分别是（AB）A．Transport mode B. Tunnel mode C. Main mode D. Aggressive mode4.在IPSec中，使用IKE建立通道时，使用的端口号是（B）A．TCP 500 B.UDP 500 C.TCP 50 D. UDP 505.在IKE阶段1的协商中，可以有两种模式。

当两个对端都有静态的IP地址时，采用（C）协商；当一端实动态分配的IP地址时候，采用（D）协商.A．Transport mode B. Tunnel mode C. Main mode D. Aggressive mode一、填空题1.密码学从其发展来看，分为传统密码学和计算机密码学两大阶段。

2.密码学做为数学的一个分支，包括密码编码学和密码分析学。

3.计算机密码学包括对称密钥密码体制和公开密钥密码体制。

4.常用的加密算法包括：DES，3DES，AES；常用的散列算法有MD5，MA C一、填空题1.目前普遍应用的防火墙按组成结构可分为软件防火墙,硬件防火墙,芯片级防火墙三种。

防火墙配置路由模式（15分）要求实现：安装配置好防火墙，配置成路由模式。

拓扑如下：Eth2接口与桌面网线口（如A1-1）相连,IP:210.156.169.10/25内网主机IP:192.168.0.12/24网关：210.156.169.1Eth1接口直接与内网主机相连，IP:192.168.0.1/24DMZ 区WEB 服务器：172.31.0.12/16Eth3接口与DMZ区服务器相连，IP:172.31.0.10/16具体要求如下：1、防火墙工作在路由模式。

2、内部主机，内部服务器系统，外部网络形成严格的3个区域（内网，外网，DMZ 区域）；3、内网口对应防火墙eth1，外网口对应防火墙eth2，DMZ 区域对应防火墙eth3；4、在各个区域之间实施严格的访问控制，保障系统安全；5、防火墙内网口IP 地址为192.168.0.1/24，eth1接口直接与内网主机相连；DMZ 区IP 地址为172.31.0.10/16，eth3接口直接与WEB 服务器相连；外网口IP 地址为210.156.169.10/25，eth2接口与桌面网口（如A1-1）连接，通过交换机与外网相连；缺省网关IP 地址为210.156.169.1/25。

6、WEB 服务器地址172.31.0.12/16，默认网关指向172.31.0.10。

7、内网主机地址192.168.0.12/24，默认网关指向192.168.0.1。

8、对外服务器系统通过DNA T 对外提供服务，内网访问外部网络通过SNAT 实现。

答案及评分标准参考答案如下：1、配置本机IP地址为192.168.1.2/24，通过网线将本机和设备接口0连接，打开浏览器连接设备。

2、以admin帐号登录防火墙。

3．进入设备配置页面。

(1分)4．进入“网络设置》接口”分别编辑接口eth1、eth2、eth3，为其配置IP。

eth1设为内网口，IP地址为192.168.0.1/24；eth2设为外网口，IP地址为210.156.169.10/25；eth3设为DMZ区，IP地址为172.31.0.10/16。