《网络安全系统与管理系统第二版》防火墙试地的题目

防火墙试题
单选题
1、Tom的公司申请到5个IP地址，要使公司的20台主机都能联到INTERNET上，他需
要防火墙的那个功能？
A 假冒IP地址的侦测。

B 网络地址转换技术。

C 内容检查技术
D 基于地址的身份认证。

2、Smurf攻击结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起
目标系统拒绝为正常系统进行服务。

管理员可以在源站点使用的解决办法是：
A 通过使用防火墙阻止这些分组进入自己的网络。

B 关闭与这些分组的URL连接
C 使用防火墙的包过滤功能，保证网络中的所有传输信息都具有合法的源地址。

D 安装可清除客户端木马程序的防病毒软件模块，
3、包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何
处。

它不能进行如下哪一种操作：
A 禁止外部网络用户使用FTP。

B 允许所有用户使用HTTP浏览INTERNET。

C 除了管理员可以从外部网络Telnet内部网络外，其他用户都不可以。

D 只允许某台计算机通过NNTP发布新闻。

4、UDP是无连接的传输协议，由应用层来提供可靠的传输。

它用以传输何种服务：
A TELNET
B SMTP
C FTP
D TFTP
5、OSI模型中，LLC头数据封装在数据包的过程是在：
A 传输层
B 网络层
C 数据链路层
D 物理层
6、TCP协议是Internet上用得最多的协议，TCP为通信两端提供可靠的双向连接。

以下
基于TCP协议的服务是：
A DNS
B TFTP
C SNMP
D RIP
7、端口号用来区分不同的服务，端口号由IANA分配，下面错误的是：
A TELNET使用23端口号。

B DNS使用53端口号。

C 1024以下为保留端口号，1024以上动态分配。

D SNMP使用69端口号。

8、包过滤是有选择地让数据包在内部与外部主机之间进行交换，根据安全规则有选择的路
由某些数据包。

下面不能进行包过滤的设备是：
A 路由器
B 一台独立的主机
C 交换机
D 网桥
9、TCP可为通信双方提供可靠的双向连接，在包过滤系统中，下面关于TCP连接描述错
误的是：
A 要拒绝一个TCP时只要拒绝连接的第一个包即可。

B TCP段中首包的ACK＝0，后续包的ACK＝1。

C 确认号是用来保证数据可靠传输的编号。

D "在CISCO过滤系统中，当ACK＝1时，“established""关键字为T，当ACK ＝0时，“established""关键字为F。

"
10、中下面对电路级网关描述正确的是：
A 它允许内部网络用户不受任何限制地访问外部网络，但外部网络用户在访问内部网络时会受到严格的控制。

B 它在客户机和服务器之间不解释应用协议，仅依赖于TCP连接，而不进行任何附加包的过滤或处理。

C 大多数电路级代理服务器是公共代理服务器，每个协议都能由它实现。

D 对各种协议的支持不用做任何调整直接实现。

11、在Internet服务中使用代理服务有许多需要注意的内容，下述论述正确的是：
A UDP是无连接的协议很容易实现代理。

B 与牺牲主机的方式相比，代理方式更安全。

C 对于某些服务，在技术上实现相对容易。

D 很容易拒绝客户机于服务器之间的返回连接。

12、SOCKS客户程序替换了UNIX的一些套接字函数，来链入自己的库函数.描述有误
的SOCKS服务过程有：
SOCKS库程序截获客户程序的请求，送到SOCKS服务器上。

建立连接后的SOCKS客户程序发送版本号、请求命令、客户端的端口号、连接的用户名。

C SOCKS服务检查ACL判断接受还是拒绝。

D SOCKS只工作在IP协议上。

13、状态检查技术在OSI那层工作实现防火墙功能：
A 链路层
B 传输层
C 网络层
D 会话层
14、对状态检查技术的优缺点描述有误的是：
A 采用检测模块监测状态信息。

B 支持多种协议和应用。

C 不支持监测RPC和UDP的端口信息。

D 配置复杂会降低网络的速度。

15、JOE是公司的一名业务代表，经常要在外地访问公司的财务信息系统，他应该采用
的安全、廉价的通讯方式是：
A PPP连接到公司的RAS服务器上。

B 远程访问VPN
C 电子邮件
D 与财务系统的服务器PPP连接。

16、下面关于外部网VPN的描述错误的有：
A 外部网VPN能保证包括TCP和UDP服务的安全。

B 其目的在于保证数据传输中不被修改。

C VPN服务器放在Internet上位于防火墙之外。

D VPN可以建在应用层或网络层上。

17、SOCKS v5的优点是定义了非常详细的访问控制，它在OSI的那一层控制数据流：
A 应用层
B 网络层
C 传输层
D 会话层
18、IPSec协议是开放的VPN协议。

对它的描述有误的是：
A 适应于向IPv6迁移。

B 提供在网络层上的数据加密保护。

C 支持动态的IP地址分配。

D 不支持除TCP/IP外的其它协议。

19、IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由信息：
A 隧道模式
B 管道模式
C 传输模式
D 安全模式
20、有关PPTP（Point-to-Point Tunnel Protocol)说法正确的是：
A PPTP是Netscape提出的。

B 微软从NT3.5以后对PPTP开始支持。

C PPTP可用在微软的路由和远程访问服务上。

D 它是传输层上的协议。

21、有关L2TP（Layer 2 Tunneling Protocol)协议说法有误的是：
A L2TP是由PPTP协议和Cisco公司的L2F组合而成。

B L2TP可用于基于Internet的远程拨号访问。

C 为PPP协议的客户建立拨号连接的VPN连接。

D L2TP只能通过TCT/IP连接。

22、针对下列各种安全协议，最适合使用外部网VPN上，用于在客户机到服务器的连
接模式的是：
A IPsec
B PPTP
C SOCKS v5
D L2TP
23、下列各种安全协议中使用包过滤技术，适合用于可信的LAN到LAN之间的VPN，
即内部网VPN的是：
A PPTP
B L2TP
C SOCKS v5
D IPsec
24、目前在防火墙上提供了几种认证方法，其中防火墙设定可以访问内部网络资源的用
户访问权限是：
A 客户认证
B 回话认证
C 用户认证
D 都不是
25、目前在防火墙上提供了几种认证方法，其中防火墙提供授权用户特定的服务权限
是：
A 客户认证
B 回话认证
C 用户认证
D 都不是
26、目前在防火墙上提供了几种认证方法，其中防火墙提供通信双方每次通信时的会话
授权机制是：
A 客户认证
B 回话认证
C 用户认证
D 都不是
27、使用安全内核的方法把可能引起安全问题的部分冲操作系统的内核中去掉，形成安
全等级更高的内核，目前对安全操作系统的加固和改造可以从几个方面进行。

下面错误的是：
A 采用随机连接序列号。

B 驻留分组过滤模块。

C 取消动态路由功能。

D 尽可能地采用独立安全内核。

28、在防火墙实现认证的方法中，采用通过数据包中的源地址来认证的是：
A Password-Based Authentication
B Address-Based Authentication
C Cryptographic Authentication
D None of Above.
29、网络入侵者使用sniffer对网络进行侦听，在防火墙实现认证的方法中，下列身份
认证可能会造成不安全后果的是：
A Password-Based Authentication
B Address-Based Authentication
C Cryptographic Authentication
D None of Above.
30、随着Internet发展的势头和防火墙的更新，防火墙的哪些功能将被取代：
A 使用IP加密技术。

B 日志分析工具。

C 攻击检测和报警。

D 对访问行为实施静态、固定的控制。

多选题
1、JOHN的公司选择采用IPSec协议作为公司分支机构连接内部网VPN的安全协议。

以
下那几条是对IPSec的正确的描述：
A 它对主机和端点进行身份鉴别。

B 保证数据在通过网络传输时的完整性。

C 在隧道模式下，信息封装隐藏了路由信息。

D 加密IP地址和数据以保证私有性。

2、相比较代理技术，包过滤技术的缺点包括：
A 在机器上配置和测试包过滤比较困难。

B "包过滤技术无法与UNIX的“r""命令和NFS、NIS/YP协议的RPC协调。

"
C 包过滤无法区分信息是哪个用户的信息，无法过滤用户。

D 包过滤技术只能通过在客户机特别的设置才能实现。

3、微软的Proxy Server是使一台WINDOWS 服务器成为代理服务的软件。

它的安装要
求条件是：
A 服务器一般要使用双网卡的主机。

B 客户端需要安装代理服务器客户端程序才能使各种服务透明使用。

C 当客户使用一个新的网络客户端软件时，需要在代理服务器上为之单独配置提供服务。

D 代理服务器的内网网卡IP和客户端使用保留IP地址。

4、在代理服务中，有许多不同类型的代理服务方式，以下描述正确的是：
A 应用级网关
B 电路级网关
C 公共代理服务器
D 专用代理服务器
5、应用级代理网关相比包过滤技术具有的优点有：
A 提供可靠的用户认证和详细的注册信息。

B 便于审计和日志。

C 隐藏内部IP地址。

D 应用级网关安全性能较好，可防范操作系统和应用层的各种安全漏洞。

6、代理技术的实现分为服务器端和客户端实现两部分，以下实现方法正确的是：
A 在服务器上使用相应的代理服务器软件。

B 在服务器上定制服务过程。

C 在客户端上定制客户软件。

D 在客户端上定制客户过程。

7、Sam的公司使用的是需要定制用户过程的代理服务器软件，他要从匿名服务器
上下载文件，正确的步骤是：
A 使用FTP客户机与匿名服务器连接。

B 使用FTP客户机与代理服务器连接。

C "输入用户名Nicky,对匿名服务器输入anonymous@proxy server。

"
D "输入用户名Nicky,对代理服务器输入anonymous@。

"
8、SOCKS技术在代理中是一种非常强大的网关防火墙，正确的描述是：
A 是一个电路级网关标准。

B 是一个应用级网关标准。

C 只中继TCP的数据包。

D 可以中继基于TCP和UDP的数据包。

9、对SOCKS服务器的工作模式描述正确的是：
A 客户程序与SOCKS服务器的连接端口号为1080.
B 客户程序把外网服务器的地址、端口号和认证请求发给SOCKS服务器。

C 外网用户访问内网先登录SOCKS服务器，再登录到内网节点上。

D Netscape、Mosaic支持SOCKS工作方式。

10、下面属于SOCKS的组成部分包括：
A 运行在防火墙系统上的代理服务器软件包。

B 链接到各种网络应用程序的库函数包。

C SOCKS服务程序。

D SOCKS客户程序。

11、Network Address Translation技术将一个IP地址用另一个IP地址代替，它在防
火墙上的作用是：
A 隐藏内部网络地址，保证内部主机信息不泄露。

B 由于IP地址匮乏而使用无效的IP地址。

C 使外网攻击者不能攻击到内网主机。

D 使内网的主机受网络安全管理规则的限制。

12、在地址翻译原理中，防火墙根据什么来使要传输到相同的目的IP发送给内部不同
的主机上：
A 防火墙纪录的包的目的端口。

B 防火墙使用广播的方式发送。

C 防火墙根据每个包的时间顺序。

D 防火墙根据每个包的TCP序列号。

13、Virtual Private Network技术可以提供的功能有：
A 提供Access Control。

B 加密数据。

C 信息认证和身份认证。

D 划分子网。

14、按照不同的商业环境对VPN的要求和VPN所起的作用区分，VPN分为：
A 内部网VPN
B 外部网VPN
C 点对点专线VPN
D 远程访问VPN
15、对于远程访问VPN须制定的安全策略有：
A 访问控制管理
B 用户身份认证、智能监视和审计功能
C 数据加密
D 密钥和数字证书管理
16、VPN中应用的安全协议有哪些？
A SOCKS v3
B IPSec
C PPTP
D L2TP
17、SOCKS v5的优缺点分别是：
A 性能较差
B SOCKS v5通过防火墙唯一的端口1080到代理服务器，可以防止防火墙上的漏洞。

C SOCKS v5能为认证、加密和密钥管理提供插件模块。

D SOCKS v5安全性高，可以过滤Java Applet控件和敏感信息。

18、IPSec协议用密码技术从三个方面来保证数据的完整性：
A 认证
B 加密
C 访问控制
D 完整性检查
19、IPSec支持的加密算法有：
A DES
B 3DES
C IDEA
D SET
20、PPTP/L2TP支持众多网络协议，如：
A IPX
B NETBEUI
C Apple Talk
D SNA
21、PPTP/L2TP的缺点有哪些：
A 不对两个节点间的信息传输进行监视和控制。

B 同时只能连接256个用户。

C 端点用户需在连接前手工建立加密通道。

D 没有强加密和认证支持。

22、使用MIMEsweeper对网络的信息实现内容检查，使得组织和企业免收损失，它
可以提供的安全控制是：
A 对垃圾邮件进行管理。

B 控制进出系统的电子邮件和文件的大小和类型。

C 保护机密信息。

D 阻止Java applet、Java script、cookies中的恶意代码。

23、使用安全内核的方法把可能引起安全问题的部分冲操作系统的内核中去掉，形成安
全等级更高的内核，目前对安全操作系统的加固和改造可以从哪几个方面进行：
A 取消危险的系统调用。

B 取消命令的执行权限。

C 采用IP转发功能。

D 检查每个分组的端口。

24、内容检查工具MIMEsweeper提供对高层协议数据的监控能力，它对哪些应用提
供支持：：
A Microsoft Exchange
B Lotus notes
C ccMail
D sendmail
25、未来的防火墙产品与技术应用有哪些特点：
A 防火墙从远程上网集中管理向对内部网或子网管理发展。

B 单向防火墙作为一种产品门类出现。

C 利用防火墙建VPN成为主流。

D 过滤深度向URL过滤、内容过滤、病毒清除的方向发展。

26、使用基于路由器的防火墙使用访问控制表实现过滤，它的缺点有：
A 路由器本身具有安全漏洞。

B 分组过滤规则的设置和配置存在安全隐患。

C 无法防范“假冒”的地址。

D 对访问行为实施静态、固定的控制与路由器的动态、灵活的路由矛盾。

防火墙试题答案：单选题
1、B
2、C
3、C
4、D
5、C
6、A
7、D
8、C
9、C
10、 B
11、 C
12、 D
13、 C
14、 C
15、 B
16、 C
17、 D
18、 C
19、 A
20、 C
22、 C
23、 D
24、 C
25、 A
26、 B
27、 D
28、 B
29、 A
30、 D
多选题
1、ABD
2、ABC
3、ABD
4、ABCD
5、ABC
6、ACD
7、BD
8、AC
9、ABD
10、ABCD
12、AD
13、ABC
14、ABD
15、ABCD
16、BCD
17、BC
18、ABD
19、ABC
20、ABC
21、ACD
22、ABCD
23、ABD
24、ABC
25、BCD
26、ABCD。