火墻

.

.

單選題

1．以下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？D

A.包過濾技術(shù);B.應(yīng)用級網(wǎng)關(guān)技術(shù);C.代理服務(wù)器技術(shù);技術(shù)

2．關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯誤的是:D

A.屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的;

B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān);

C.內(nèi)部網(wǎng)對于Internet來說是不可見的;

D.內(nèi)部用戶可以不通過DMZ直接訪問Internet

3．最簡單的防火墻結(jié)構(gòu)是（A）

A.路由器B、代理服務(wù)器C、日志工具D、包過濾器

4．為確保企業(yè)局域網(wǎng)的信息安全，防止來自internet的黑客入侵，采用（）可以實現(xiàn)一

定的防范作用。

A.網(wǎng)管軟件B.操作系統(tǒng)C防火墻D.防病毒軟件

5．防火墻采用的最簡單的技術(shù)是（）

A．安裝保護卡B.隔離C.包過濾D.設(shè)置進入密碼

6.防火墻技術(shù)可分為（）等到3大類型

A包過濾、入侵檢測和數(shù)據(jù)加密

B.包過濾、入侵檢測和應(yīng)用代理“

C包過濾、應(yīng)用代理和入侵檢測

D.包過濾、狀態(tài)檢測和應(yīng)用代理

7.防火墻系統(tǒng)通常由（）組成，防止不希望的、未經(jīng)授權(quán)的進出被保護的內(nèi)部網(wǎng)絡(luò)

A．殺病毒卡和殺毒軟件

代理服務(wù)器和入檢測系統(tǒng)

過濾路由器和入侵檢測系統(tǒng)

過濾路由器和代理服務(wù)器

8.防火墻技術(shù)是一種（）網(wǎng)絡(luò)系統(tǒng)安全措施。

3)A．被動的B.主動的C．能夠防止內(nèi)部犯罪的D.能夠解決所有問題的

9．防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的一類安全保護機制，它的安全架構(gòu)基于（）。

A．流量控制技術(shù)

B加密技術(shù)

C．信息流填充技術(shù)

D．訪問控制技術(shù)

10.一般為代理服務(wù)器的保壘主機上裝有（）。

A．一塊網(wǎng)卡且有一個IP地址

B．兩個網(wǎng)卡且有兩個不同的IP地址

C．兩個網(wǎng)卡且有相同的IP地址

D．多個網(wǎng)卡且動態(tài)獲得IP地址

.

.

11.一般為代理服務(wù)器的保壘主機上運行的是（）

A．代理服務(wù)器軟件

B．網(wǎng)絡(luò)操作系統(tǒng)

C．?dāng)?shù)據(jù)庫管理系統(tǒng)

D．應(yīng)用軟件

12.下列關(guān)于防火墻的說法正確的是（）

A防火墻的安全性能是根據(jù)系統(tǒng)安全的要求而設(shè)置的

B防火墻的安全性能是一致的，一般沒有級別之分

C防火墻不能把內(nèi)部網(wǎng)絡(luò)隔離為可信任網(wǎng)絡(luò)

D一個防火墻只能用來對兩個網(wǎng)絡(luò)之間的互相訪問實行強制性管理的安全系統(tǒng)

13．在ISOOSI/RM中對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進行分析，要求每個協(xié)議層都能提供

網(wǎng)絡(luò)安全服務(wù)。其中用戶身份認(rèn)證在（1）進行。

A網(wǎng)絡(luò)層B會話層C物理層D應(yīng)用層

14.在ISOOSI/RM中對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進行分析，要求每個協(xié)議層都能提供

網(wǎng)絡(luò)安全服務(wù)。IP過濾型防火墻在（）通過控制網(wǎng)落邊界的信息流動，來強化內(nèi)部網(wǎng)絡(luò)的

安全性。

A網(wǎng)絡(luò)層B會話層C物理層D應(yīng)用層

15.()不是防火墻的功能

過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包

保護存儲數(shù)據(jù)包

封堵某些禁止的訪問行為

記錄通過防火墻的信息內(nèi)容和活動

16.包過濾型防火墻工作在（C）

A.會話層B.應(yīng)用層

C.網(wǎng)絡(luò)層D.數(shù)據(jù)鏈路層

17.入侵檢測是一門新興的安全技術(shù)，是作為繼________之后的第二層安全防護措施。

（B）

A.路由器B.防火墻

C.交換機D.服務(wù)器

18.下面屬于單鑰密碼體制算法的是（C）

19.對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護的是（A）

A.節(jié)點加密B.鏈路加密

C.端到端加密加密

20.一般而言，Internet防火墻建立在一個網(wǎng)絡(luò)的（A）

A.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點B.每個子網(wǎng)的內(nèi)部

C.部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處D.內(nèi)部子網(wǎng)之間傳送信息的中樞

21、以下不屬于代理服務(wù)技術(shù)優(yōu)點的是（D）

.

.

可以實現(xiàn)身份認(rèn)證

內(nèi)部地址的屏蔽和轉(zhuǎn)換功能

可以實現(xiàn)訪問控制

可以防范數(shù)據(jù)驅(qū)動侵襲

22、包過濾技術(shù)與代理服務(wù)技術(shù)相比較（B）

包過濾技術(shù)安全性較弱、但會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響

包過濾技術(shù)對應(yīng)用和用戶是絕對透明的

代理服務(wù)技術(shù)安全性較高、但不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響

代理服務(wù)技術(shù)安全性高，對應(yīng)用和用戶透明度也很高

23、在建立堡壘主機時（A）

在堡壘主機上應(yīng)設(shè)置盡可能少的網(wǎng)絡(luò)服務(wù)

在堡壘主機上應(yīng)設(shè)置盡可能多的網(wǎng)絡(luò)服務(wù)

對必須設(shè)置的服務(wù)給與盡可能高的權(quán)限

不論發(fā)生任何入侵情況，內(nèi)部網(wǎng)始終信任堡壘主機

24、當(dāng)同一網(wǎng)段中兩臺工作站配置了相同的IP地址時，會導(dǎo)致(B)

先入者被后入者擠出網(wǎng)絡(luò)而不能使用

雙方都會得到警告，但先入者繼續(xù)工作，而后入者不能

雙方可以同時正常工作，進行數(shù)據(jù)的傳輸

雙主都不能工作，都得到網(wǎng)址沖突的警告

25、代理服務(wù)作為防火墻技術(shù)主要在OSI的哪一層實現(xiàn)（D）

A．?dāng)?shù)據(jù)鏈路層B．網(wǎng)絡(luò)層C．表示層D．應(yīng)用層

26、防火墻的安全性角度，最好的防火墻結(jié)構(gòu)類型是（D）

A．路由器型B．雙宿主主機結(jié)構(gòu)

C．屏蔽主機結(jié)構(gòu)D．屏蔽子網(wǎng)結(jié)構(gòu)

27、邏輯上，防火墻是(D)。

A．過濾器B．限制器

C．分析器D．A、B、C

28、以下不屬于代理服務(wù)技術(shù)優(yōu)點的是(D)

可以實現(xiàn)應(yīng)用層上的文件類型過濾

內(nèi)部地址的屏蔽和轉(zhuǎn)換功能

可以實現(xiàn)訪問控制

可以防范病毒入侵

29、一般而言，Internet防火墻建立在一個網(wǎng)絡(luò)的（A）

A.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點B.每個子網(wǎng)的內(nèi)部

C.部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處D.內(nèi)部子網(wǎng)之間傳送信息的中樞

30、下面是個人防火墻的優(yōu)點的是（D）

運行時占用資源

對公共網(wǎng)絡(luò)只有一個物理接口

只能保護單機，不能保護網(wǎng)絡(luò)系統(tǒng)

增加保護級別

31、包過濾型防火墻工作在（C）

A.會話層B.應(yīng)用層C.網(wǎng)絡(luò)層D.數(shù)據(jù)鏈路層

32、下面關(guān)于防火墻的說法中，正確的是（B）

防火墻可以解決來自內(nèi)部網(wǎng)絡(luò)的攻擊

.

.

防火墻可以防止受病毒感染的文件的傳輸

防火墻會削弱計算機網(wǎng)絡(luò)系統(tǒng)的性能

防火墻可以防止錯誤配置引起的安全威脅

的公司申請到5個IP地址，要使公司的20臺主機都能聯(lián)到INTERNET上，他需要防

火墻的那個功能？B

A假冒IP地址的偵測。

B網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

C內(nèi)容檢查技術(shù)

D基于地址的身份認(rèn)證。

攻擊結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目

標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進行服務(wù)。管理員可以在源站點使用的解決辦法是：C

A通過使用防火墻阻止這些分組進入自己的網(wǎng)絡(luò)。

B關(guān)閉與這些分組的URL連接

C使用防火墻的包過濾功能，保證網(wǎng)絡(luò)中的所有傳輸信息都具有合法的源地址。

D安裝可清除客戶端木馬程序的防病毒軟件模塊，

35.包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何

處。它不能進行如下哪一種操作：C

A禁止外部網(wǎng)絡(luò)用戶使用FTP。

B允許所有用戶使用HTTP瀏覽INTERNET。

C除了管理員可以從外部網(wǎng)絡(luò)Telnet內(nèi)部網(wǎng)絡(luò)外，其他用戶都不可以(身份認(rèn)證)。

D只允許某臺計算機通過NNTP發(fā)布新聞。

是無連接的傳輸協(xié)議，由應(yīng)用層來提供可靠的傳輸。它用以傳輸何種服務(wù)：D

ATELNET

BSMTP

CFTP

DTFTP

模型中，LLC頭數(shù)據(jù)封裝在數(shù)據(jù)包的過程是在：C

A傳輸層

B網(wǎng)絡(luò)層

C數(shù)據(jù)鏈路層

D物理層

協(xié)議是Internet上用得最多的協(xié)議，TCP為通信兩端提供可靠的雙向連接。以下基

于TCP協(xié)議的服務(wù)是：A

ADNS

BTFTP

CSNMP

DRIP

38.端口號用來區(qū)分不同的服務(wù)，端口號由IANA分配，下面錯誤的是：D

ATELNET使用23端口號。

BDNS使用53端口號。

C1024以下為保留端口號，1024以上動態(tài)分配。

DSNMP使用69端口號。

39.包過濾是有選擇地讓數(shù)據(jù)包在內(nèi)部與外部主機之間進行交換，根據(jù)安全規(guī)則有選擇的路

.

.

由某些數(shù)據(jù)包。下面不能進行包過濾的設(shè)備是：C

A路由器

B一臺獨立的主機

C二層交換機

D網(wǎng)橋

可為通信雙方提供可靠的雙向連接，在包過濾系統(tǒng)中，下面關(guān)于TCP連接描述錯誤

的是：C

A要拒絕一個TCP時只要拒絕連接的第一個包即可。

BTCP段中首包的ACK＝0，后續(xù)包的ACK＝1。

C確認(rèn)號是用來保證數(shù)據(jù)可靠傳輸?shù)木幪枴?/p>

D"在CISCO過濾系統(tǒng)中，當(dāng)ACK＝1時，“established""關(guān)鍵字為T，當(dāng)ACK＝0時，

“established""關(guān)鍵字為F。"

41.下面對電路級網(wǎng)關(guān)描述正確的是：B

A它允許內(nèi)部網(wǎng)絡(luò)用戶不受任何限制地訪問外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)用戶在訪問內(nèi)部網(wǎng)絡(luò)時

會受到嚴(yán)格的控制。

B它在客戶機和服務(wù)器之間不解釋應(yīng)用協(xié)議，僅依賴于TCP連接，而不進行任何附加包的

過濾或處理。

C大多數(shù)電路級代理服務(wù)器是公共代理服務(wù)器，每個協(xié)議都能由它實現(xiàn)。

D對各種協(xié)議的支持不用做任何調(diào)整直接實現(xiàn)。

42.在Internet服務(wù)中使用代理服務(wù)有許多需要注意的內(nèi)容，下述論述正確的是：C

AUDP是無連接的協(xié)議很容易實現(xiàn)代理。

B與犧牲主機的方式相比，代理方式更安全。

C對于某些服務(wù)，在技術(shù)上實現(xiàn)相對容易。

D很容易拒絕客戶機與服務(wù)器之間的返回連接。

43.狀態(tài)檢查技術(shù)在OSI那層工作實現(xiàn)防火墻功能：C

A鏈路層

B傳輸層

C網(wǎng)絡(luò)層

D會話層

44.對狀態(tài)檢查技術(shù)的優(yōu)缺點描述有誤的是：C

A采用檢測模塊監(jiān)測狀態(tài)信息。

B支持多種協(xié)議和應(yīng)用。

C不支持監(jiān)測RPC和UDP的端口信息。

D配置復(fù)雜會降低網(wǎng)絡(luò)的速度。

是公司的一名業(yè)務(wù)代表，經(jīng)常要在外地訪問公司的財務(wù)信息系統(tǒng)，他應(yīng)該采用的安

全、廉價的通訊方式是：B

APPP連接到公司的RAS服務(wù)器上。

B遠(yuǎn)程訪問VPN

C電子郵件

D與財務(wù)系統(tǒng)的服務(wù)器PPP連接。

46.下面關(guān)于外部網(wǎng)VPN的描述錯誤的有：C

A外部網(wǎng)VPN能保證包括TCP和UDP服務(wù)的安全。

B其目的在于保證數(shù)據(jù)傳輸中不被修改。

CVPN服務(wù)器放在Internet上位于防火墻之外。

.

.

DVPN可以建在應(yīng)用層或網(wǎng)絡(luò)層上。

協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是：C

A適應(yīng)于向IPv6遷移。

B提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護。

C支持動態(tài)的IP地址分配。

D不支持除TCP/IP外的其它協(xié)議。

在哪種模式下把數(shù)據(jù)封裝在一個IP包傳輸以隱藏路由信息：A

A隧道模式

B管道模式

C傳輸模式

D安全模式

49.有關(guān)PPTP（Point-to-PointTunnelProtocol)說法正確的是：C

APPTP是Netscape提出的。

B微軟從NT3.5以后對PPTP開始支持。

CPPTP可用在微軟的路由和遠(yuǎn)程訪問服務(wù)上。

D它是傳輸層上的協(xié)議。

50.有關(guān)L2TP（Layer2TunnelingProtocol)協(xié)議說法有誤的是：D

AL2TP是由PPTP協(xié)議和Cisco公司的L2F組合而成。

BL2TP可用于基于Internet的遠(yuǎn)程撥號訪問。

C為PPP協(xié)議的客戶建立撥號連接的VPN連接。

DL2TP只能通過TCT/IP連接。

51.針對下列各種安全協(xié)議，最適合使用外部網(wǎng)VPN上，用于在客戶機到服務(wù)器的連接模式

的是：C

AIPc

BPPTP

CSOCKSv5

DL2TP

52.下列各種安全協(xié)議中使用包過濾技術(shù)，適合用于可信的LAN到LAN之間的VPN，即內(nèi)部

網(wǎng)VPN的是：D

APPTP

BL2TP

CSOCKSv5

DIPc

53.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻設(shè)定可以訪問內(nèi)部網(wǎng)絡(luò)資源的用戶訪

問權(quán)限是：C

A客戶認(rèn)證

B回話認(rèn)證

C用戶認(rèn)證

D都不是

54.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供授權(quán)用戶特定的服務(wù)權(quán)限是：

A

A客戶認(rèn)證

B回話認(rèn)證

C用戶認(rèn)證

.

.

D都不是

55.目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供通信雙方每次通信時的會話授權(quán)

機制是：B

A客戶認(rèn)證

B回話認(rèn)證

C用戶認(rèn)證

D都不是

56.使用安全內(nèi)核的方法把可能引起安全問題的部分沖操作系統(tǒng)的內(nèi)核中去掉，形成安全等

級更高的內(nèi)核，目前對安全操作系統(tǒng)的加固和改造可以從幾個方面進行。下面錯誤的是：

D

A采用隨機連接序列號。

B駐留分組過濾模塊。

C取消動態(tài)路由功能。

D盡可能地采用獨立安全內(nèi)核。

57.在防火墻實現(xiàn)認(rèn)證的方法中，采用通過數(shù)據(jù)包中的源地址來認(rèn)證的是：B

APassword-BadAuthentication

BAddress-BadAuthentication

CCryptographicAuthentication

DNoneofAbove.

58.網(wǎng)絡(luò)入侵者使用sniffer對網(wǎng)絡(luò)進行偵聽，在防火墻實現(xiàn)認(rèn)證的方法中，下列身份認(rèn)證

可能會造成不安全后果的是：A

APassword-BadAuthentication

BAddress-BadAuthentication

CCryptographicAuthentication

DNoneofAbove.

59.隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代：D

A使用IP加密技術(shù)。

B日志分析工具。

C攻擊檢測和報警。

D對訪問行為實施靜態(tài)、固定的控制。

60.以下關(guān)于VPN說法正確的是（）B

VPN指的是用戶自己租用線路，和公共網(wǎng)絡(luò)物理上完全隔離的、安全的線路

VPN指的是用戶通過公用網(wǎng)絡(luò)建立的臨時的、安全的連接

VPN不能做到信息驗證和身份認(rèn)證

VPN只能提供身份認(rèn)證、不能提供加密數(shù)據(jù)的功能

協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是（）D

適應(yīng)于向IPv6遷移

提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護

可以適應(yīng)設(shè)備動態(tài)IP地址的情況

支持除TCP/IP外的其它協(xié)議

62.部署IPSECVPN時，配置什么樣的安全算法可以提供更可靠的數(shù)據(jù)加密（）B

.

.

DES

3DES

SHA

128位的MD5

63.部署IPSECVPN時，配置什么安全算法可以提供更可靠的數(shù)據(jù)驗證（）C

DES

3DES

SHA

128位的MD5

64.為控制企業(yè)內(nèi)部對外的訪問以及抵御外部對內(nèi)部網(wǎng)的攻擊,最好的選擇是（）。

A、IDSB、殺毒軟件C、防火墻D、路由器

65、以下關(guān)于防火墻的設(shè)計原則說法正確的是（）。

不單單要提供防火墻的功能，還要盡量使用較大的組件

保持設(shè)計的簡單性

保留盡可能多的服務(wù)和守護進程，從而能提供更多的網(wǎng)絡(luò)服務(wù)

一套防火墻就可以保護全部的網(wǎng)絡(luò)

66、防火墻能夠（）。

防范惡意的知情者

防范通過它的惡意連接

防備新的網(wǎng)絡(luò)安全問題

完全防止傳送己被病毒感染的軟件和文件

67、防火墻中地址翻譯的主要作用是（）。

A、提供代理服務(wù)B、進行入侵檢測

C、隱藏內(nèi)部網(wǎng)絡(luò)地址D、防止病毒入侵

68、防火墻是隔離內(nèi)部和外部網(wǎng)的一類安全系統(tǒng)。通常防火墻中使用的技術(shù)有過

濾和代理兩種。路由器可以根據(jù)（）進行過濾，以阻擋某些非法訪問。

.

.

網(wǎng)卡地址B、IP地址C、用戶標(biāo)識D、加密方法

69、在企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)之間，用來檢查網(wǎng)絡(luò)請求分組是否合法，保護網(wǎng)絡(luò)資

源不被非法使用的技術(shù)是（）。

A、防病毒技術(shù)B、防火墻技術(shù)C、差錯控制技術(shù)D、流量控制技術(shù)

70、防火墻是指（）。

防止一切用戶進入的硬件

阻止侵權(quán)進入和離開主機的通信硬件或軟件

記錄所有訪問信息的服務(wù)器

處理出入主機的郵件的服務(wù)器

71、防火墻的基本構(gòu)件包過濾路由器工作在OSI的哪一層（）

A、物理層B、傳輸層C、網(wǎng)絡(luò)層D、應(yīng)用層

72、包過濾防火墻對通過防火墻的數(shù)據(jù)包進行檢查，只有滿足條件的數(shù)據(jù)包才能

通過，對數(shù)據(jù)包的檢查內(nèi)容一般不包括（）。

A、源地址B、目的地址C、協(xié)議D、有效載荷

73、防火墻對數(shù)據(jù)包進行狀態(tài)檢測過濾時，不可以進行檢測過濾的是（）。

A、源和目的IP地址B、源和目的端口

C、IP協(xié)議號D、數(shù)據(jù)包中的內(nèi)容

74、下列屬于防火墻的功能的是（）。

A、識別DNS服務(wù)器B、維護路由信息表

C、提供對稱加密服務(wù)D、包過濾

75、公司的WEB服務(wù)器受到來自某個IP地址的黑客反復(fù)攻擊,你的主管要求你通過

防火墻來阻止來自那個地址的所有連接,以保護WEB服務(wù)器,那么你應(yīng)該選擇哪一

.

.

種防火墻?()。

A、包過濾型B、應(yīng)用級網(wǎng)關(guān)型

D、復(fù)合型防火墻D、代理服務(wù)型

76、以下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？（）。

A、包過濾技術(shù)B、應(yīng)用級網(wǎng)關(guān)技術(shù)

C、代理服務(wù)器技術(shù)D、NAT技術(shù)

77、關(guān)于防火墻技術(shù)的描述中，正確的是（）。

防火墻不能支持網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻可以布置在企業(yè)內(nèi)部網(wǎng)和Internet之間

防火墻可以查、殺各種病毒

防火墻可以過濾各種垃圾文件

78、包過濾防火墻通過（）來確定數(shù)據(jù)包是否能通過。

A、路由表B、ARP表C、NAT表D、過濾規(guī)則

79、以下關(guān)于防火墻技術(shù)的描述，哪個是錯誤的？（）

防火墻分為數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)兩類

防火墻可以控制外部用戶對內(nèi)部系統(tǒng)的訪問

防火墻可以阻止內(nèi)部人員對外部的攻擊

防火墻可以分析和統(tǒng)管網(wǎng)絡(luò)使用情況

80、某公司使用包過濾防火墻控制進出公司局域網(wǎng)的數(shù)據(jù)，在不考慮使用代理服

務(wù)器的情況下，下面描述錯誤的是“該防火墻能夠（）”。

A、使公司員工只能防問Intrenet上與其有業(yè)務(wù)聯(lián)系的公司的IP地址

B、僅允許HTTP協(xié)議通過

.

.

C、使員工不能直接訪問FTP服務(wù)端口號為21的FTP服務(wù)

D、僅允許公司中具有某些特定IP地址的計算機可以訪問外部網(wǎng)絡(luò)

81、以下有關(guān)防火墻的說法中，錯誤的是（）。

防火墻可以提供對系統(tǒng)的訪問控制

防火墻可以實現(xiàn)對企業(yè)內(nèi)部網(wǎng)的集中安全管理

防火墻可以隱藏企業(yè)網(wǎng)的內(nèi)部IP地址

防火墻可以防止病毒感染程序（或文件）的傳播

82、包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)

及轉(zhuǎn)發(fā)到何處。它不能進行如下哪一種操作（）。

禁止外部網(wǎng)絡(luò)用戶使用FTP

允許所有用戶使用HTTP瀏覽INTERNET

除了管理員可以從外部網(wǎng)絡(luò)Telnet內(nèi)部網(wǎng)絡(luò)外，其他用戶都不可以

只允許某臺計算機通過NNTP發(fā)布新聞

83、隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代

（）。

A、使用IP加密技術(shù)B、日志分析工具

C、攻擊檢測和報警D、對訪問行為實施靜態(tài)、固定的控制

84、對狀態(tài)檢查技術(shù)的優(yōu)缺點描述有誤的是（）。

A、采用檢測模塊監(jiān)測狀態(tài)信息B、支持多種協(xié)議和應(yīng)用

不支持監(jiān)測RPC和UDP的端口信息D、配置復(fù)雜會降低網(wǎng)絡(luò)的速度

85、包過濾技術(shù)與代理服務(wù)技術(shù)相比較（）。

包過濾技術(shù)安全性較弱、但會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響

.

.

包過濾技術(shù)對應(yīng)用和用戶是絕對透明的

代理服務(wù)技術(shù)安全性較高、但不會對網(wǎng)絡(luò)性能產(chǎn)生明顯影響

代理服務(wù)技術(shù)安全性高，對應(yīng)用和用戶透明度也很高

86、屏蔽路由器型防火墻采用的技術(shù)是基于（）。

A、數(shù)據(jù)包過濾技術(shù)B、應(yīng)用網(wǎng)關(guān)技術(shù)

C、代理服務(wù)技術(shù)D、三種技術(shù)的結(jié)合

87、關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯誤的是（）。

屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的

屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)

內(nèi)部網(wǎng)對于Internet來說是不可見的

內(nèi)部用戶可以不通過DMZ直接訪問Internet

88、網(wǎng)絡(luò)中一臺防火墻被配置來劃分Internet、內(nèi)部網(wǎng)及DMZ區(qū)域，這樣的防火

墻類型為（）。

A、單宿主堡壘主機B、雙宿主堡壘主機

C、三宿主堡壘主機D、四宿主堡壘主機

89、防火墻的設(shè)計時要遵循簡單性原則,具體措施包括（）。B

在防火墻上禁止運行其它應(yīng)用程序

停用不需要的組件

將流量限制在盡量少的點上

安裝運行WEB服務(wù)器程序

90.有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用屬于(B)

A破壞數(shù)據(jù)完整性B非授權(quán)訪問C信息泄露D拒絕服務(wù)攻擊

91.防火墻通常被比喻為網(wǎng)絡(luò)安全的大門，但它不能（D）

.

.

A.阻止基于IP包頭的攻擊B阻止非信任地址的訪問

C鑒別什么樣的數(shù)據(jù)可以進出企業(yè)內(nèi)部網(wǎng)D阻止病毒入侵

多選題

1．下列哪些是防火墻的重要行為？（AB）

準(zhǔn)許B、限制C、日志記錄D、問候訪問者

的公司選擇采用IPSec協(xié)議作為公司分支機構(gòu)連接內(nèi)部網(wǎng)VPN的安全協(xié)議。以下那

幾條是對IPSec的正確的描述：ABD

A它對主機和端點進行身份鑒別。

B保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時的完整性。

C在隧道模式下，信息封裝隱藏了路由信息。

D加密IP地址和數(shù)據(jù)以保證私有性。

3.相比較代理技術(shù)，包過濾技術(shù)的缺點包括：ABC

A在機器上配置和測試包過濾比較困難。

B"包過濾技術(shù)無法與UNIX的“r""命令和NFS、NIS/YP協(xié)議的RPC協(xié)調(diào)。"

C包過濾無法區(qū)分信息是哪個用戶的信息，無法過濾用戶。

D包過濾技術(shù)只能通過在客戶機特別的設(shè)置才能實現(xiàn)。

4.微軟的ProxyServer是使一臺WINDOWS服務(wù)器成為代理服務(wù)的軟件。它的安裝要求條件

是：ABD

A服務(wù)器一般要使用雙網(wǎng)卡的主機。

B客戶端需要安裝代理服務(wù)器客戶端程序才能使各種服務(wù)透明使用。

C當(dāng)客戶使用一個新的網(wǎng)絡(luò)客戶端軟件時，需要在代理服務(wù)器上為之單獨配置提供服務(wù)。

D代理服務(wù)器的內(nèi)網(wǎng)網(wǎng)卡IP和客戶端使用保留IP地址。

5.在代理服務(wù)中，有許多不同類型的代理服務(wù)方式，以下描述正確的是：ABCD

A應(yīng)用級網(wǎng)關(guān)

B電路級網(wǎng)關(guān)

C公共代理服務(wù)器

D專用代理服務(wù)器

6.應(yīng)用級代理網(wǎng)關(guān)相比包過濾技術(shù)具有的優(yōu)點有：ABC

A提供可靠的用戶認(rèn)證和詳細(xì)的注冊信息。

B便于審計和日志。

C隱藏內(nèi)部IP地址。

D應(yīng)用級網(wǎng)關(guān)安全性能較好，可防范操作系統(tǒng)和應(yīng)用層的各種安全漏洞。

7.代理技術(shù)的實現(xiàn)分為服務(wù)器端和客戶端實現(xiàn)兩部分，以下實現(xiàn)方法正確的是：ACD

A在服務(wù)器上使用相應(yīng)的代理服務(wù)器軟件。

B在服務(wù)器上定制服務(wù)過程。

C在客戶端上定制客戶軟件。

D在客戶端上定制客戶過程。

的公司使用的是需要定制用戶過程的代理服務(wù)器軟件，他要從匿名服務(wù)器

上下載文件，正確的步驟是：BD

A使用FTP客戶機與匿名服務(wù)器連接。

.

.

B使用FTP客戶機與代理服務(wù)器連接。

C"輸入用戶名Nicky,對匿名服務(wù)器輸入anonymous@proxyrver。"

D"輸入用戶名Nicky,對代理服務(wù)器輸入anonymous@。"

kAddressTranslation技術(shù)將一個IP地址用另一個IP地址代替，它在防火墻上

的作用是：AB

A隱藏內(nèi)部網(wǎng)絡(luò)地址，保證內(nèi)部主機信息不泄露。

B由于IP地址匱乏而使用無效的IP地址。

C使外網(wǎng)攻擊者不能攻擊到內(nèi)網(wǎng)主機。

D使內(nèi)網(wǎng)的主機受網(wǎng)絡(luò)安全管理規(guī)則的限制。

10.在地址翻譯原理中，防火墻根據(jù)什么來使要傳輸?shù)较嗤哪康腎P發(fā)送給內(nèi)部不同的主機

上：AD

A防火墻紀(jì)錄的包的目的端口。

B防火墻使用廣播的方式發(fā)送。

C防火墻根據(jù)每個包的時間順序。

D防火墻根據(jù)每個包的TCP序列號。

11.網(wǎng)絡(luò)防火墻能夠起到的作用有（）。ABCD

A.防止內(nèi)部信息外泄

B.防止系統(tǒng)感染病毒與非法訪問

C.防止黑客訪問

D.建立內(nèi)部信息和功能與外部信息和功能之間的屏障

lPrivateNetwork技術(shù)可以提供的功能有：ABC

A提供AccessControl。

B加密數(shù)據(jù)。

C信息認(rèn)證和身份認(rèn)證。

D劃分子網(wǎng)。

13.按照不同的商業(yè)環(huán)境對VPN的要求和VPN所起的作用區(qū)分，VPN分為：ABD

A內(nèi)部網(wǎng)VPN

B外部網(wǎng)VPN

C點對點專線VPN

D遠(yuǎn)程訪問VPN

14.對于遠(yuǎn)程訪問VPN須制定的安全策略有：ABCD

A訪問控制管理

B用戶身份認(rèn)證、智能監(jiān)視和審計功能

C數(shù)據(jù)加密

D密鑰和數(shù)字證書管理

中應(yīng)用的安全協(xié)議有哪些？BCD

ATCP

BIPSec

CPPTP

DL2TP

協(xié)議用密碼技術(shù)從三個方面來保證數(shù)據(jù)的完整性：ABD

.

.

A認(rèn)證

B加密

C訪問控制

D完整性檢查

支持的加密算法有：ABC

ADES

B3DES

CIDEA

DSET

/L2TP的缺點有哪些：ACD

A不對兩個節(jié)點間的信息傳輸進行監(jiān)視和控制。

B同時只能連接256個用戶。

C端點用戶需在連接前手工建立加密通道。

D沒有強加密和認(rèn)證支持。

19.未來的防火墻產(chǎn)品與技術(shù)應(yīng)用有哪些特點：BCD

A防火墻從遠(yuǎn)程上網(wǎng)集中管理向?qū)?nèi)部網(wǎng)或子網(wǎng)管理發(fā)展。

B單向防火墻作為一種產(chǎn)品門類出現(xiàn)。

C利用防火墻建VPN成為主流。

D過濾深度向URL過濾、內(nèi)容過濾、病毒清除的方向發(fā)展。

20.使用基于路由器的防火墻使用訪問控制表實現(xiàn)過濾，它的缺點有：ABCD

A路由器本身具有安全漏洞。

B分組過濾規(guī)則的設(shè)置和配置存在安全隱患。

C無法防范“假冒”的地址。

D對訪問行為實施靜態(tài)、固定的控制與路由器的動態(tài)、靈活的路由矛盾。

21．如果防火墻是正常負(fù)載且沒有明顯攻擊，而CPU的的利用率一直處于80%以上，需考慮

升級防火墻或減輕它的流量負(fù)載，可以考慮的措施有（BCD）

A.減少NAT數(shù)量

B.用更高性能型號的防火墻來替換。

C.實施防火墻負(fù)載均衡。

D.修改配置，減少防火墻處理負(fù)載；除去任何非必要的執(zhí)行行為。

安全聯(lián)盟SA由哪些參數(shù)唯一標(biāo)識（）ACD

安全參數(shù)索引SPI

IP本端地址

IP目的地址

安全協(xié)議號

的兩種工作方式（）CD

NAS-initiated

Client-initiated

tunnel

transport

是報文驗證頭協(xié)議，主要提供以下功能（）BCD

數(shù)據(jù)機密性

數(shù)據(jù)完整性

數(shù)據(jù)來源認(rèn)證

.

.

反重放

組網(wǎng)中常用的站點到站點接入方式是（）BC

L2TP

IPSEC

GRE+IPSEC

L2TP+IPSEC

26.移動用戶常用的VPN接入方式是（）ABD

L2TP

IPSEC+IKE

GRE+IPSEC

L2TP+IPSEC

PN組網(wǎng)中網(wǎng)絡(luò)拓樸結(jié)構(gòu)可以為（）

全網(wǎng)狀連接

部分網(wǎng)狀連接

星型連接

樹型連接

Answer:ABCD

28.移動辦公用戶自身的性質(zhì)決定其比固定用戶更容易遭受病毒或黑客的攻擊，因此部署移

動用戶IPSECVPN接入網(wǎng)絡(luò)的時候需要注意（）

移動用戶個人電腦必須完善自身的防護能力，需要安裝防病毒軟件，防火墻軟件等

總部的VPN節(jié)點需要部署防火墻，確保內(nèi)部網(wǎng)絡(luò)的安全

適當(dāng)情況下可以使用集成防火墻功能的VPN網(wǎng)關(guān)設(shè)備

使用數(shù)字證書

Answer:ABC

29.關(guān)于安全聯(lián)盟SA，說法正確的是（）Answer:CD

IKESA是單向的

IPSECSA是雙向的

IKESA是雙向的

IPSECSA是單向的

30.下面關(guān)于GRE協(xié)議描述正確的是（）

GRE協(xié)議是二層VPN協(xié)議

GRE是對某些網(wǎng)絡(luò)層協(xié)議（如：IP，IPX等）的數(shù)據(jù)報文進行封裝，使這些被封裝的數(shù)據(jù)報

文能夠在另一個網(wǎng)絡(luò)層協(xié)議（如：IP）中傳輸

GRE協(xié)議實際上是一種承載協(xié)議

GRE提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，使報文能夠在異種網(wǎng)絡(luò)中傳

輸，異種報文傳輸?shù)耐ǖ婪Q為tunnel

Answer:BCD

.

.

31.下面關(guān)于GRE協(xié)議和IPSec協(xié)議描述正確的是（）

在GRE隧道上可以再建立IPSec隧道

在GRE隧道上不可以再建立IPSec隧道

在IPSec隧道上可以再建立GRE隧道

在IPSec隧道上不可以再建立GRE隧道

Answer:AC

安全聯(lián)盟SA由哪些參數(shù)唯一標(biāo)識（）

安全參數(shù)索引SPI

IP本端地址

IP目的地址

安全協(xié)議號

Answer:ACD

可以提供哪些安全服務(wù)（）

數(shù)據(jù)機密性

數(shù)據(jù)完整性

數(shù)據(jù)來源認(rèn)證

防重放攻擊

Answer:ABCD

處理過程分為(ABCD)等四個階段。

A:數(shù)據(jù)采集階段B:數(shù)據(jù)處理及過濾階段C:入侵分析及檢測階段D:報告以及

響應(yīng)階段

35.入侵檢測系統(tǒng)的主要功能有(ABCD)：

A:監(jiān)測并分析系統(tǒng)和用戶的活動

B:核查系統(tǒng)配置和漏洞

C:評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。

D:識別已知和未知的攻擊行為

產(chǎn)品性能指標(biāo)有(ABCD)：

A:每秒數(shù)據(jù)流量B:每秒抓包數(shù)C:每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)D:每秒能夠處理的事

件數(shù)

37.入侵檢測產(chǎn)品所面臨的挑戰(zhàn)主要有(ABCD)：

A:黑客的入侵手段多樣化B:大量的誤報和漏報C:惡意信息采用加密的方法傳輸D:

客觀的評估與測試信息的缺乏

38.傳統(tǒng)上,公司的多個機構(gòu)之間進行數(shù)據(jù)通信有眾多不同的方式,主要有（ABCD）

A．幀中繼線路線路線路

可以使用兩種模式,分別是（AB）

A．sivemode

24.在防火墻的“訪問控制”應(yīng)用中，內(nèi)網(wǎng)、外網(wǎng)、DMZ三者的訪問關(guān)系為：ABCD

A.內(nèi)網(wǎng)可以訪問外網(wǎng)

B.內(nèi)網(wǎng)可以訪問DMZ區(qū)

區(qū)可以訪問內(nèi)網(wǎng)

D.外網(wǎng)可以訪問DMZ區(qū)

25.防火墻的包過濾功能會檢查如下信息：ABCD

A.源IP地址

.

.

B.目標(biāo)IP地址

C.源端口

D.目標(biāo)端口

26.防火墻對于一個內(nèi)部網(wǎng)絡(luò)來說非常重要,它的功能包括：ABCD

A.創(chuàng)建阻塞點

B.記錄Internet活動

C.限制網(wǎng)絡(luò)暴露

D.包過濾

27.以下說法正確的有：

A.只有一塊網(wǎng)卡的防火墻設(shè)備稱之為單宿主堡壘主機

B.雙宿主堡壘主機可以從物理上將內(nèi)網(wǎng)和外網(wǎng)進行隔離

C.三宿主堡壘主機可以建立DMZ區(qū)

D.單宿主堡壘主機可以配置為物理隔離內(nèi)網(wǎng)和外網(wǎng)

35.配置訪問控制列表必須做的配置是（CD）

A、設(shè)定時間段B、指定日志主機

C、定義訪問控制列表D、在接口上應(yīng)用訪問控制列表

36、擴展訪問列表可以使用哪些字段來定義數(shù)據(jù)包過濾規(guī)則?（ABCD）。

A、源IP地址B、目的IP地址

C、端口號D、協(xié)議類型

37、使用訪問控制列表可帶來的好處是（ABD）。

保證合法主機進行訪問，拒絕某些不希望的訪問

通過配置訪問控制列表，可限制網(wǎng)絡(luò)流量，進行通信流量過濾

實現(xiàn)企業(yè)私有網(wǎng)的用戶都可訪問Internet

管理員可根據(jù)網(wǎng)絡(luò)時間情況實現(xiàn)有差別的服務(wù)

7、使網(wǎng)絡(luò)服務(wù)器中充斥著大量要求回復(fù)的信息，消耗帶寬，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù)，

這屬于什么攻擊？A

A.拒絕服務(wù)

B.文件共享

漏洞

D.遠(yuǎn)程過程調(diào)用

分布式網(wǎng)絡(luò)拒絕服務(wù)攻擊

8、公司財務(wù)人員需要定期通過Email發(fā)送文件給他的主管,他希望只有主管能查閱該郵件,

可以采取什么方法?A

.

.

A.加密

B.數(shù)字簽名

C.消息摘要

D.身份驗證

9、哪種密鑰體制加、解密的密鑰相同?A

A.對稱加密技術(shù)

B.非對稱加密技術(shù)

算法

D.公共密鑰加密術(shù)

10、隨著網(wǎng)絡(luò)中用戶數(shù)量的增長,Internet連接需求也不斷增加,在考慮改善網(wǎng)絡(luò)性能時,以

下哪個是應(yīng)該考慮的部分?B

A．WINS服務(wù)器

B.代理服務(wù)器

服務(wù)器

D.目錄服務(wù)器

11、關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯誤的是:D

A.屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的

B.屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)

C.內(nèi)部網(wǎng)對于Internet來說是不可見的

D.內(nèi)部用戶可以不通過DMZ直接訪問Internet

18、以下哪種技術(shù)不是實現(xiàn)防火墻的主流技術(shù)？D

A.包過濾技術(shù);

B.應(yīng)用級網(wǎng)關(guān)技術(shù)

C.代理服務(wù)器技術(shù)

技術(shù)

19、在以下網(wǎng)絡(luò)威脅中，哪個不屬于信息泄露？選擇c

數(shù)據(jù)竊聽

流量分析

拒絕服務(wù)攻擊

偷竊用戶帳號

21、在公鑰密碼體制中，用于加密的密鑰為：

A.公鑰

B.私鑰

C.公鑰與私鑰

D.公鑰或私鑰

23、密碼技術(shù)中,識別個人、網(wǎng)絡(luò)上的機器或機構(gòu)的技術(shù)稱為：

A.認(rèn)證

B.數(shù)字簽名

C.簽名識別

D.解密

27.關(guān)于屏蔽子網(wǎng)防火墻,下列說法錯誤的是:

.

.

屏蔽子網(wǎng)防火墻是幾種防火墻類型中最安全的

屏蔽子網(wǎng)防火墻既支持應(yīng)用級網(wǎng)關(guān)也支持電路級網(wǎng)關(guān)

內(nèi)部網(wǎng)對于Internet來說是不可見的

內(nèi)部用戶可以不通過DMZ直接訪問Internet

28公司的WEB服務(wù)器受到來自某個IP地址的黑客反復(fù)攻擊,你的主管要求你通過防火墻來

阻止來自那個地址的所有連接,以保護WEB服務(wù)器,那么你應(yīng)該選擇哪一種防火墻?

包過濾型

應(yīng)用級網(wǎng)關(guān)型

復(fù)合型防火墻

代理服務(wù)型

29.內(nèi)網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址需要對源地址進行轉(zhuǎn)換，規(guī)則中的動作應(yīng)選擇：

.

.

t

30.防火墻的設(shè)計時要遵循簡單性原則,具體措施包括:選ABC

A.在防火墻上禁止運行其它應(yīng)用程序

B.停用不需要的組件

C.將流量限制在盡量少的點上

D.安裝運行WEB服務(wù)器程序

31.標(biāo)準(zhǔn)訪問控制列表以（B）作為判別條件。

A、數(shù)據(jù)包的大小B、數(shù)據(jù)包的源地址

C、數(shù)據(jù)包的端口號D、數(shù)據(jù)包的目的地址

擴展訪問列表的數(shù)字標(biāo)示范圍是多少?（C）。

A、0-99B、1-99C、100-199D、101-200

33.訪問控制列表（ACL）分為標(biāo)準(zhǔn)和擴展兩種。下面關(guān)于ACL的描述中，錯誤的

是(C)。

標(biāo)準(zhǔn)ACL可以根據(jù)分組中的IP源地址進行過濾

擴展ACL可以根據(jù)分組中的IP目標(biāo)地址進行過濾

標(biāo)準(zhǔn)ACL可以根據(jù)分組中的IP目標(biāo)地址進行過濾

擴展ACL可以根據(jù)不同的上層協(xié)議信息進行過濾

34.通配符掩碼和子網(wǎng)掩碼之間的關(guān)系是（B）。

兩者沒有什么區(qū)別

通配符掩碼和子網(wǎng)掩碼恰好相反

一個是十進制的，另一個是十六進制的

兩者都是自動生成的

1.防火墻要實現(xiàn)的四類控制功能是什么？

方向控制、服務(wù)控制、行為控制、用戶控制

.

.

2.防火墻的理論特性有哪些？

創(chuàng)建阻塞點、強化網(wǎng)絡(luò)安全策略，提供集成功能、實現(xiàn)網(wǎng)絡(luò)隔離、記錄和審計內(nèi)聯(lián)網(wǎng)絡(luò)和外

聯(lián)網(wǎng)絡(luò)之間的活動、自身具有非常墻的抵御攻擊的能力

3.防火墻的實際功能有哪些？（至少五項）

包過濾、代理、網(wǎng)絡(luò)地址轉(zhuǎn)換、虛擬專用網(wǎng)絡(luò)、用戶身份認(rèn)證、記錄報警分析與審計、管理

功能、其他功能。

4.簡要說明防火墻的規(guī)則特點。

規(guī)則是保護內(nèi)部信息資源的策略的實現(xiàn)和延伸；規(guī)則必須與訪問活動緊密相關(guān)；規(guī)則必須穩(wěn)

妥可靠切合實際在安全和利用資源之間取得較為平衡的政策；可以實施各種不同的服務(wù)訪問

策略。

5.簡要說明防火墻的設(shè)計原則。

拒絕訪問一切未予特學(xué)的服務(wù)；允許一切未被特別拒絕的服務(wù)

6.防火墻采用的主要技術(shù)有哪些？

包過濾型防火墻；代理型防火墻

7.簡要說明包過濾型防火墻優(yōu)缺點。

優(yōu)點：工作在傳輸層下，對數(shù)據(jù)包本身包頭字段進行過濾，性價比很高；缺點：過濾判斷條

件有限，安全性不高；過濾規(guī)則數(shù)目的增加會影響防火墻的性能；很難對用戶身份進行驗證；

對安全管理人員的素質(zhì)要求高。

8.簡要說明代理型防火墻優(yōu)缺點。

優(yōu)點：工作在應(yīng)用層，可以以進行深層的內(nèi)容進行控制；阻斷了內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的鏈接，

實現(xiàn)了內(nèi)外網(wǎng)的相互屏蔽，避免了數(shù)據(jù)驅(qū)動類型的攻擊。

缺點：代理型防火墻速度相對較慢，當(dāng)網(wǎng)關(guān)吞吐量較大時，防火墻就會成為瓶頸。

9.簡要說明包過濾型防火墻和代理型防火墻的區(qū)別。

包過濾防火墻工作在網(wǎng)絡(luò)協(xié)議IP層，它只對IP包的源地址、目標(biāo)地址及相應(yīng)端口進行處理，

因此速度比較快，能夠處理的并發(fā)連接比較多，缺點是對應(yīng)用層的攻擊無能為力。

代理服務(wù)器防火墻將收到的IP包還原成高層協(xié)議的通訊數(shù)據(jù)，比如http連接信息，因此能

夠?qū)诟邔訁f(xié)議的攻擊進行攔截。缺點是處理速度比較慢，能夠處理的并發(fā)數(shù)比較少。

10.簡要說明多重宿主主機。

多重宿主主機實際上是安放在內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的接上的一臺堡壘主機它要提供最少兩

個網(wǎng)絡(luò)接:個與內(nèi)聯(lián)網(wǎng)絡(luò)相連，另一個與外聯(lián)網(wǎng)絡(luò)相連。內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間的通信

可通過多重宿主主機:的應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)來完成

11.說明屏蔽主機和屏蔽子網(wǎng)的區(qū)別和聯(lián)系。

屏蔽主機由包過濾器和堡壘主機組成。

1、堡壘主機在網(wǎng)絡(luò)內(nèi)部，通過防火墻的過濾使得這個主機是唯一可從外部到達(dá)的主機。

2、實現(xiàn)了應(yīng)用層和網(wǎng)絡(luò)層的安全，比單獨的包過濾或應(yīng)用網(wǎng)關(guān)代理更安全。

3、過濾路由器是否配置正確是這種防火墻安全的關(guān)鍵。

屏蔽子網(wǎng)模式采用了兩個包過濾路由器和一個堡壘主機，在內(nèi)個網(wǎng)絡(luò)之間建立了被隔離的子

網(wǎng)，稱作周邊網(wǎng)。

將堡壘主機、WEB服務(wù)器、E-MAIL服務(wù)器放在被屏蔽的子網(wǎng)內(nèi)，外部、內(nèi)部都可以訪問。但

禁止他們通過屏蔽子網(wǎng)通信。

如果堡壘主機被控制，內(nèi)部網(wǎng)絡(luò)仍然受內(nèi)部包過濾路由器保護。

這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由

器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實現(xiàn)中，兩個分組過濾路由器

放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡

.

.

壘主機作為唯一可訪問點，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險帶僅

包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。

12.防火墻的好處有哪些？

1.防火墻允許網(wǎng)絡(luò)管理員定義一個“檢查點”來防止非法用戶進人內(nèi)聯(lián)網(wǎng)絡(luò)，并抵抗·各種

攻擊。網(wǎng)絡(luò)的安全性在防火墻上得到加固，而不是增加受保護網(wǎng)絡(luò)內(nèi)部主機的負(fù)擔(dān);

2.防火墻通過過濾存在安全缺陷的網(wǎng)絡(luò)服務(wù)來降低受保護網(wǎng)絡(luò)遭受攻擊的威脅。只有經(jīng)

過選擇的網(wǎng)絡(luò)服務(wù)才能通過防火墻，脆弱的服務(wù)只能在系統(tǒng)整體安全策略的控制下，在受保

護網(wǎng)絡(luò)的內(nèi)部實現(xiàn);

3.防火墻可以增強受保護節(jié)點的保密性，強化私有權(quán).防火墻可以阻斷某些提供主機信息

的服務(wù)。如Finger和DNS等，使得外部主機無法獲取這些有利于攻擊的信息;

4.防火墻有能力較梢確地控制對內(nèi)部子系統(tǒng)的訪問。防火墻可以設(shè)置成允許外聯(lián)網(wǎng)絡(luò)訪

問內(nèi)聯(lián)網(wǎng)絡(luò)的某些子系統(tǒng).而不允許訪間其他的子系統(tǒng)。這有效地增加了內(nèi)聯(lián)網(wǎng)絡(luò)不同子系

統(tǒng)的封閉性，使得系統(tǒng)核體安全策略的實施更加細(xì)致、深人;

5.防火墻境系統(tǒng)具有集中安全性。若受保護網(wǎng)絡(luò)的所有或者大部分安全程序集中地放置

在防火墻上，而非分散到受保護網(wǎng)絡(luò)中的各臺主機上，則安全監(jiān)控的范圍會更集中，監(jiān)控行

為更易于實現(xiàn)，安全成本也會更便宜;

6.在防火墻上可以很方便地監(jiān)視網(wǎng)絡(luò)的通信流，并產(chǎn)生告警信息。正如前面所描述的.

網(wǎng)絡(luò)面臨的問題不是是否會受到攻擊，而是什么時候受到攻擊，因此對通信流的監(jiān)控是一項

需要持之以恒的、耐心的工作;

7.安全審計和管理是網(wǎng)絡(luò)安全研究的重要課題，而防火墻恰恰是審計和記錄網(wǎng)絡(luò)行為最

佳的地方。由于所有的網(wǎng)絡(luò)訪問流都要經(jīng)過防火墻，所以網(wǎng)絡(luò)管理員可以在防火墻上記錄、

分析網(wǎng)絡(luò)行為，并以此檢驗安全策略的執(zhí)行情況或者改進安全策略，

8.防火墻不但是網(wǎng)絡(luò)安全的檢查點，它還可以作為向用戶發(fā)布信息的地點.即防火墻系統(tǒng)

可以包括www服務(wù)器和FTP服務(wù)器等設(shè)備，并且允許外部主機進行訪問。

9.最根本的是，防火墻為系統(tǒng)整體安全策略的執(zhí)行提供了重要的實施平臺。如果沒有防

火墻，那么系統(tǒng)整體安全策略的實施多半靠的是用戶的自覺性和內(nèi)聯(lián)網(wǎng)絡(luò)中各臺主機的安全

性。

13.防火墻的不足之處有哪些？

限制網(wǎng)絡(luò)服務(wù)；對內(nèi)部用戶防范不足；不能防范旁路連接；不適合進行病毒檢測；無法防范

數(shù)據(jù)驅(qū)動型攻擊；無法防范所有威脅；配置問題；無法防范內(nèi)部人員泄密；速度問題；單失

效點問題

14.解釋說明傳統(tǒng)防火墻單失效點問題。

傳統(tǒng)防火墻至于內(nèi)外網(wǎng)相連接的關(guān)鍵點處，會成為系統(tǒng)網(wǎng)絡(luò)訪問的瓶頸，一旦失效，內(nèi)外網(wǎng)

的連接將斷開。

15.包過濾技術(shù)防火墻過濾規(guī)則要檢測哪些主要字段信息？

源地址；源端口號；目的地址；目的端口號；協(xié)議標(biāo)志；過濾方式等

16.簡要說明什么是防火墻安全過濾規(guī)則？

過濾路由器的核心是過濾規(guī)則，過濾路由器位于內(nèi)外網(wǎng)的邊界上，控制著內(nèi)聯(lián)網(wǎng)絡(luò)的所有數(shù)

據(jù)包，網(wǎng)絡(luò)訪問策略是一個有序的規(guī)則的形式存儲在過濾路由器里，每一條規(guī)則定義了針對

某個特定類型數(shù)據(jù)包的動作，針對數(shù)據(jù)包的包頭字段，“拒絕一切未特許的，允許一切未拒

絕的”典型策略。

17.簡要說明包過濾技術(shù)的優(yōu)點。

簡單快速；對用戶是透明的；檢查規(guī)則簡單效率高等；

18.簡要說明包過濾技術(shù)的缺點。

.

.

過濾技術(shù)思想簡單，對信息處理能力有限，規(guī)則增多是規(guī)則的維護困難；控制層次較低，不

能實現(xiàn)用戶級的控制，不能對合法用戶身份鑒別及冒用IP地址的鑒別。

19.請簡要說明狀態(tài)檢測技術(shù)的基本原理。

狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為

一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中

的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信

息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則

表相比，它具有更好的靈活性和安全性。

20.簡要說明什么是深度狀態(tài)檢測。

深度檢測防火墻，將狀態(tài)檢測和應(yīng)用防火墻技術(shù)結(jié)合在一起，以處理應(yīng)用程序的流量，防范

目標(biāo)系統(tǒng)免受各種復(fù)雜的攻擊。結(jié)合了狀態(tài)檢測的所有功能，深度檢測防火墻能夠?qū)?shù)據(jù)流

量迅速完成網(wǎng)絡(luò)層級別的分析，并做出訪問控制決；對于允許的數(shù)據(jù)流，根據(jù)應(yīng)用層級別的

信息，對負(fù)載做出進一步的決策。

深度檢測防火墻深入分析了TCP或UDP數(shù)據(jù)包的內(nèi)容，以便對負(fù)載有個總的認(rèn)識。

狀態(tài)檢測防火墻是目前使用最廣泛的防火墻，用來防護黑客攻擊。但是，隨著專門針對應(yīng)用

層的Web攻擊現(xiàn)象的增多，在攻擊防護中，狀態(tài)檢測防火墻的有效性越來越低。

21.簡要說明狀態(tài)檢測技術(shù)的優(yōu)點。

安全性比靜態(tài)包過濾高，可以阻斷更多的復(fù)雜攻擊行為可以通過分析打開相應(yīng)的端口而不是

一刀切；提升了防火墻的性能，后續(xù)數(shù)據(jù)包不需要檢測，只需要快速通過。

22.簡要說明狀態(tài)檢測技術(shù)的缺點。

工作在網(wǎng)絡(luò)層和傳輸層，對報文的數(shù)據(jù)部分檢查很少，安全性還不夠高；

檢測內(nèi)容多，對防火墻的性能提出來更高的要求。

23.請簡要比較代理技術(shù)和包過濾技術(shù)的安全性。

代理技術(shù)提供了與應(yīng)用相關(guān)的所有信息，并且能夠提供安全日志所需的最詳細(xì)的管理和控制

數(shù)據(jù)，安全級別更高。代理服務(wù)器不只檢測數(shù)據(jù)包頭部的各個字段，還能深入到包的內(nèi)部，

理解數(shù)據(jù)包載荷部分內(nèi)容的含義，還可以為安全監(jiān)測和日志記錄提供最為詳細(xì)的信息。對于

外網(wǎng)來說只能看到代理服務(wù)器，而不能見到內(nèi)部網(wǎng)絡(luò)，實現(xiàn)聯(lián)網(wǎng)網(wǎng)絡(luò)隔離，使得內(nèi)外網(wǎng)無法

直接通信降低了受到直接攻擊的風(fēng)險，隱藏了內(nèi)部網(wǎng)咯的結(jié)構(gòu)和用戶，經(jīng)一部降低了用戶網(wǎng)

絡(luò)遭受探測的風(fēng)險。代理服務(wù)氣損壞的話只能是內(nèi)外網(wǎng)的連接中斷，但是無法出現(xiàn)攻擊和信

息泄露的現(xiàn)象，代理技術(shù)比包過濾技術(shù)安全。

24.簡述代理技術(shù)的具體作用。（至少5項）

隱藏內(nèi)部主機；過濾內(nèi)容；提高系統(tǒng)性能；保障安全；阻斷URL；保護電子郵件；身份認(rèn)證；

信息重定向。

25.防火墻代理技術(shù)的優(yōu)點有哪些？

提供了高速緩存，提高了網(wǎng)絡(luò)性能；屏蔽了內(nèi)聯(lián)網(wǎng)絡(luò)，組織了內(nèi)網(wǎng)探測活動；禁止了直接連

接，減少了直接攻擊的風(fēng)險；應(yīng)用層上過濾，實現(xiàn)有效過濾；提供了用戶身份認(rèn)證手段，加

強了安全性；連接基于服務(wù)而不是物理連接，不易受Ip地址欺騙攻擊；應(yīng)用層工作，提供

了詳細(xì)的日志和分析功能；過濾規(guī)則比包過濾防火墻規(guī)則簡單。

26.防火墻代理技術(shù)的缺點有哪些？

代理程序?qū)Ｓ茫贿m應(yīng)網(wǎng)絡(luò)服務(wù)和協(xié)議的不斷發(fā)展；

數(shù)據(jù)量大的情況下會增加訪問延遲，影響系統(tǒng)性能；不能實現(xiàn)用戶的透明訪問；不支持所有

的協(xié)議；

對操作系統(tǒng)有明顯的依賴；代理技術(shù)的執(zhí)行速度慢。

27.請說明過濾路由器的優(yōu)點。

.

.

快速；性能耗費比高；透明；實現(xiàn)容易。

28.請說明過濾路由器的缺點。

配置復(fù)雜維護困難；數(shù)據(jù)包本身檢測，智能檢測部分攻擊行為；無法防范數(shù)據(jù)驅(qū)動型攻擊；

只能對數(shù)據(jù)包的各字段進行檢查，無法確定數(shù)據(jù)包的發(fā)送者的真實性。

29.一般來說，一條過濾規(guī)則包括那些字段？

源地址；源端口號；目的地址；目的端口號；協(xié)議標(biāo)志；過濾方式等

30.說明堡壘主機的設(shè)計原則并簡要解釋。（論述題）

最小服務(wù)原則；預(yù)防原則；主要類型；系統(tǒng)需求；部署位置

31.說明雙宿主主機的優(yōu)點有哪些？

作為內(nèi)外網(wǎng)的唯一接口，易于實現(xiàn)網(wǎng)絡(luò)安全策略；使用堡壘主機實現(xiàn)，成本較低。

32.說明雙宿主主機的缺點有哪些？

用戶賬戶的存在提供一種入侵途徑，比沒有用戶賬戶的安全性要低；存在賬戶數(shù)據(jù)庫記錄增

多，管理和維護非常復(fù)雜，容易出錯；賬戶信息的頻繁存取耗費大量資源，降低堡壘主機本

身的穩(wěn)定性。出現(xiàn)速度地下甚至崩潰現(xiàn)象；允許用戶登錄，對主機安全性是一個威脅，很難

進行有效監(jiān)控和記錄。

33.說明雙宿主網(wǎng)關(guān)的優(yōu)點有哪些？

無需管理和維護賬戶數(shù)據(jù)庫，降低了入侵攻擊風(fēng)險；具有良好的可擴展性；屏蔽了內(nèi)聯(lián)網(wǎng)絡(luò)

主機組織了信息泄露現(xiàn)象的發(fā)生。

34.說明雙宿主網(wǎng)關(guān)的缺點有哪些？

主機本身成為安全焦點，安全配置重要而復(fù)雜；代理服務(wù)組件增多會影響系統(tǒng)整體性能瓶頸；

單臺主機會帶來單失效點的問題；靈活性差如果沒有某項代理組建，用戶無法使用該服務(wù)。

35.簡要說明屏蔽主機的工作原理。

SHF（ScreenedHostFirewall）屏蔽主機防火墻采用一個包濾路由器與外部網(wǎng)連接，用

一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，起著代理服務(wù)器的作用，是外部網(wǎng)絡(luò)所能到達(dá)的惟一節(jié)點，

以此來確保內(nèi)部網(wǎng)絡(luò)不受外部未授權(quán)用戶的攻擊，達(dá)到內(nèi)部網(wǎng)絡(luò)安全保密的目的。在屏蔽主

機防火墻的網(wǎng)絡(luò)安全方案中，一個數(shù)據(jù)包過濾路由器與因特網(wǎng)相連，同時，一個雙端主機

（DualHomedHost,DHH）安裝在內(nèi)部網(wǎng)絡(luò)中。通常情況下，在網(wǎng)絡(luò)路由器上設(shè)立過濾原則，

使這個雙端主機成為在因特網(wǎng)上所有其他節(jié)點所能到達(dá)的惟一節(jié)點。這樣就確保了內(nèi)部網(wǎng)絡(luò)

不能受到任何未被授權(quán)的外部用戶的攻擊。

36.請解釋屏蔽主機的優(yōu)點。

①屏蔽主機是一種結(jié)合了包過濾和代理兩張不同機制的防火墻，它能夠提供比單純的過濾路

由器和多重宿主主機更高的安全性。任何攻擊者都需要攻破包過濾和代理兩道防線才能進入

到內(nèi)聯(lián)網(wǎng)絡(luò)，增加了攻擊者的難度。

②屏蔽主機支持多種功能的網(wǎng)絡(luò)服務(wù)的深層過濾，并具有相當(dāng)?shù)目蓴U展性。由于堡壘主機的

采用代理防火墻技術(shù)，所以服務(wù)器只需要添加代理服務(wù)器組件即可。

③屏蔽主機系統(tǒng)本身是可靠地、穩(wěn)固的。不同于多重宿主主機，直接面對對外網(wǎng)絡(luò)的并不是

堡壘主機而是路由器。所以簡單配置的路由器要比保護一臺主機要容易得多。

37.請解釋屏蔽主機的缺點。

主要缺點是堡壘主機和內(nèi)聯(lián)網(wǎng)絡(luò)主機放置在一起，他們之間沒有一道安全隔離屏障。如果堡

壘主機北宮皮，那么內(nèi)聯(lián)網(wǎng)絡(luò)將全部暴露在攻擊者面前。此外雖然過濾路由器的安全性比多

重宿主主機要高，但是只進行簡單的包過濾規(guī)則，因此入侵者有多種手段對過濾路由器進行

破壞。一旦路由表被修改，則堡壘主機被旁路，堡壘主機的大理服務(wù)器就沒有用了，所有內(nèi)

聯(lián)網(wǎng)絡(luò)向外聯(lián)網(wǎng)絡(luò)發(fā)出的請求都會通過被破壞的過濾路由器直接發(fā)到外聯(lián)網(wǎng)絡(luò)，內(nèi)聯(lián)網(wǎng)絡(luò)就

沒有秘密可言了，內(nèi)聯(lián)網(wǎng)絡(luò)的安全性都維系在一張相對脆弱的路由表上，這是一個比較嚴(yán)重

.

.

的問題。

38.請畫出雙宿主主機防火墻的結(jié)構(gòu)示意圖。

39.請畫出堡壘主機防火墻的結(jié)構(gòu)示意圖。

40.請畫出雙宿主網(wǎng)關(guān)防火墻的結(jié)構(gòu)示意圖。

41.請畫出屏蔽主機防火墻的結(jié)構(gòu)示意圖。

42.請畫出屏蔽子網(wǎng)防火墻的結(jié)構(gòu)示意圖。

43.請畫出三叉非軍事區(qū)防火墻的結(jié)構(gòu)示意圖。

44.說明屏蔽子網(wǎng)的優(yōu)點。

①內(nèi)聯(lián)網(wǎng)絡(luò)實現(xiàn)了與外聯(lián)網(wǎng)絡(luò)的隔離，內(nèi)部結(jié)構(gòu)無法探測，外聯(lián)網(wǎng)絡(luò)只能知道外部路由器

和費軍事區(qū)的尋在，而不知道內(nèi)部路由器的存在，也就無法探測內(nèi)部路由器后面的內(nèi)聯(lián)

網(wǎng)絡(luò)了，只一點對于防止入侵者知道內(nèi)聯(lián)網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和主機地址分配及

活動情況尤為重要。

②內(nèi)聯(lián)網(wǎng)絡(luò)安全防護嚴(yán)密。入侵者必須攻破外部路由器、堡壘主機和內(nèi)部路由器之后才能

進入內(nèi)聯(lián)網(wǎng)絡(luò)。

③由于使用了內(nèi)部路由器和外部路由器所以降低了堡壘主機處理的負(fù)載量，減輕了堡壘主

機的壓力，增強了堡壘主機的可靠性和安全性。

④非軍事區(qū)的劃分將姜用戶網(wǎng)絡(luò)的信息流量明確分為不同的等級，通過內(nèi)部路由器的隔離

作用，機密信息收到了嚴(yán)密的保護，減少了信息泄露現(xiàn)象的發(fā)生。

45.防火墻的主要性能指標(biāo)有哪些。

①可靠性

②可用性

③可擴展性

④可審計性

⑤可管理性

⑥成本耗費

46.請簡要說明選擇防火墻主要考慮哪些具體評估參數(shù)。（至少5個）

①吞吐量

②時延

③丟包率

④并發(fā)連接數(shù)

⑤工作模式

⑥配置與管理

⑦接口數(shù)量和類型

⑧日志和審計參數(shù)

⑨可用性參數(shù)

⑩其他參數(shù)（內(nèi)容過濾、入侵檢測、用戶

認(rèn)證、VPN加密等）

47.請說出防火墻的知名廠商有那幾個？（至少5個）

①Juniper/Netscreen

②Cisco

③Fortinet

④WatchGuard

⑤安氏

⑥天融信

⑦東軟

48.結(jié)合現(xiàn)實談?wù)劮阑饓夹g(shù)的主要發(fā)展趨勢。

.

.

①分布式執(zhí)行和集中式管理

②深度過濾

③建立以防火墻為核心的綜合安全體系

④防火墻本身的多功能化，變被動防御為主動防御

⑤強大的審計與自動日志分析功能。

⑥硬件化

⑦專用化

49.請說明深度過濾技術(shù)的基本特征。

①正常化、

②雙向負(fù)載檢測、

③應(yīng)用層加密解密、

④協(xié)議一致性

50.結(jié)合現(xiàn)實請談?wù)動嬎銠C系統(tǒng)面臨的威脅。

①拒絕服務(wù)（服務(wù)請求超載、SYN洪水、報文超載）

②欺騙（IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙）

③監(jiān)聽

④密碼破解

⑤木馬

⑥緩沖區(qū)溢出

⑦ICMP秘密通道

⑧TCP會話劫持

.

.

51.拒絕服務(wù)攻擊有哪些方法？

服務(wù)請求超載、SYN洪水、報文超載

52.欺騙攻擊主要有哪些方法？

IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙

53.結(jié)合實際談?wù)勅肭中袨榈囊话氵^程。

①確定攻擊目標(biāo)

②實施攻擊

③攻擊后處理

54.請畫出入侵檢測P2DR模型，并解釋各部分的含義。

55.入侵檢測的主要作用有哪些？（至少5個）

①識別并阻斷系統(tǒng)活動中存在的一直攻擊行為，放置入侵檢測行為對受保護系統(tǒng)造成損害

②識別并判斷系統(tǒng)用戶的非法操作行為或者越權(quán)行為，防止放置用戶對保護系統(tǒng)有意無意

的破壞。

③檢查受保護系統(tǒng)的重要組成部分以及各種數(shù)據(jù)文件的完整性。

④審計并彌補系統(tǒng)中存在的弱點和漏洞，其中那個最重要的一點事審計并糾正錯誤的系統(tǒng)

配置信息。

⑤記錄并分析用戶和系統(tǒng)的行為，描述這些行為變化的正常區(qū)域，進而識別異常的活動。

⑥通過蜜罐等技術(shù)記錄入侵者的信息，分析入侵者的目的和行為特征，優(yōu)化系統(tǒng)安全策略。

⑦加強組織和機構(gòu)對系統(tǒng)和用戶的監(jiān)督和控制能力，提高管理水平和管理質(zhì)量。

56.簡要說明基于主機的入侵檢測的優(yōu)點有哪些？

①能夠檢測所有的系統(tǒng)行為，可以精確監(jiān)控針對主機的攻擊過程

②不需要額外的硬件來支持

③能夠適合加密的環(huán)境

④網(wǎng)絡(luò)無關(guān)性

57.簡要說明基于主機的入侵檢測的缺點有哪些？

①不具有平臺無關(guān)性，可移植性差

②檢測手段較多時會影響安裝主機的性能

③維護和管理工作復(fù)雜

④無法判斷網(wǎng)絡(luò)的入侵行為

58.簡要說明基于網(wǎng)絡(luò)的入侵檢測的優(yōu)點有哪些？

①具有系統(tǒng)平臺無關(guān)性

②不影響受保護主機的性能

.

.

③對攻擊者來說是透明的

④能夠進行較大范圍內(nèi)的網(wǎng)絡(luò)安全保護

⑤監(jiān)測數(shù)據(jù)具有很高的真實性

⑥可檢測基于底層協(xié)議的攻擊行為

59.簡要說明基于網(wǎng)絡(luò)的入侵檢測的缺點有哪些？

①不在通信的端點，無法像進行網(wǎng)絡(luò)通訊的主機那樣處理全部網(wǎng)絡(luò)協(xié)議層次的數(shù)據(jù)

②對于現(xiàn)在越來越流行的加密傳輸很難進行處理

③對于交換網(wǎng)絡(luò)的支持不足

④面臨處理能力的問題

⑤容易受到拒絕服務(wù)攻擊

⑥很難進行復(fù)雜攻擊的檢測

60.簡要說明蜜罐技術(shù)原理。

蜜罐實際是一種犧牲系統(tǒng)，不包含任何可以利用的有價值的資源。存在的唯一目的就是將攻

擊的目標(biāo)轉(zhuǎn)移到蜜罐系統(tǒng)上，誘騙、手機、分析攻擊的信息確定攻擊行為和入侵者的動機。，

設(shè)置蜜罐存在安全風(fēng)險，容易被入侵者控制作為攻擊內(nèi)聯(lián)網(wǎng)絡(luò)的跳板。

61.說明什么是異常入侵檢測。

異常入侵檢測是根據(jù)系統(tǒng)和用戶的非正常行為或者對于計算機資源的非正常使用檢測出入

侵行為的檢測技術(shù)，異常檢測基礎(chǔ)是建立在系統(tǒng)正常活動或用戶正常行為模式的描述模型。

將用戶的當(dāng)前行為模式和系統(tǒng)的當(dāng)前狀態(tài)與該正常模式進行比較，如果當(dāng)前值超出了預(yù)設(shè)的

閾值，則認(rèn)為存在攻擊行為。，對未知的攻擊的檢測，精確度依賴于正常模型的精確程度。

62.說明什么是濫用入侵檢測。

濫用入侵檢測通過對現(xiàn)有的各種攻擊手段進行分析，找到能夠代表該攻擊的行為的特征集

合。對當(dāng)前數(shù)據(jù)的處理就是與這些特征集合進行匹配，如果成功匹配則說明發(fā)生了依次確定

的攻擊。濫用入侵檢測可以實現(xiàn)的基礎(chǔ)是現(xiàn)有已知攻擊手段，都能夠根據(jù)近攻擊條件、動作

排列及相應(yīng)事件之間的關(guān)系變化進行明確描述，即攻擊行為的特征能夠被提取。每種攻擊行

為都有明確的特征描述，所以濫用檢測的準(zhǔn)確度很高。但是，濫用檢測系統(tǒng)依賴性較強，平

臺無關(guān)性較差，難于移植。而且對已多種已知攻擊模式特征的提取和維護工作量非常大，此

外濫用檢測只能根據(jù)已有的數(shù)據(jù)進行判斷，不能檢測新的或變異的攻擊行為。最后，濫用檢

測無法識別內(nèi)部用戶發(fā)起的攻擊行為。

63.比較異常檢測和濫用檢測的區(qū)別。

濫用入侵檢測根據(jù)已知的攻擊行為建立異常行為模型，然后將用戶行為與之進行匹配，成功

意味著又一次確定的攻擊行為發(fā)生。該技術(shù)就有較好的確定解釋能力，可以得到較高的檢測

準(zhǔn)確度和較低的誤警率。但是，只能檢測已知的攻擊行為，對已已知攻擊的變形或者新型的

攻擊行為將無法進行檢測。

異常入侵檢測則是試圖建立用戶后者系統(tǒng)的正常行為模型，任何超過該模型允許閾值的事件

都被認(rèn)為是可以的。這種技術(shù)的好處是能夠檢測到位置的攻擊，攻擊可能無法明確指出是何

種類型的攻擊。但是這種方法往往不能反映計算機系統(tǒng)的復(fù)雜的動態(tài)本質(zhì)，很難進行建模操

作。

兩種方法各自特點決定了他們具有相當(dāng)?shù)幕パa性，可以將兩種方法結(jié)合起來，提高安全性。

64.說明入侵檢測技術(shù)的不足之處有哪些？

①無法完全自動完成對所有攻擊的行為的檢測，必須與管理人員的交互來實現(xiàn)；

②不恩給你很好的適應(yīng)攻擊技術(shù)的發(fā)展，只能在數(shù)值攻擊行為的特征后才能識別檢

測。雖然存在智能化自學(xué)習(xí)的入侵檢測但是跟不上變形攻擊技術(shù)和子發(fā)展攻擊技術(shù)

的步伐。

.

.

③入侵檢測很難實現(xiàn)對攻擊的實施響應(yīng)。對于一次性的攻擊行為（瞬發(fā)攻擊）時毫無

作用的。

④入侵檢測技術(shù)本質(zhì)上是一種被動的系統(tǒng)，無法彌補各種協(xié)議的缺陷，只能盡量低去

適應(yīng)協(xié)議的規(guī)范。

⑤系統(tǒng)檢測的精度依賴于提供信息的質(zhì)量和完整性，無法達(dá)到入侵檢測技術(shù)的理論水

平。

⑥處理能力有限，當(dāng)負(fù)載滿負(fù)荷運轉(zhuǎn)時，不能及時有效地分析處理全部的數(shù)據(jù)。

⑦無法完全適應(yīng)現(xiàn)代系統(tǒng)軟件和硬件技術(shù)的發(fā)展速度。不能很好地如何進多樣化的現(xiàn)

代網(wǎng)絡(luò)。

⑧無法快速適應(yīng)組織和機構(gòu)的系統(tǒng)安全策略的變化，調(diào)整過程較為復(fù)雜。

65.結(jié)合實際談?wù)勅肭謾z測系統(tǒng)的性能指標(biāo)有哪些？

有效性指標(biāo)（攻擊檢測率、攻擊誤警率、可信度）

可用性指標(biāo)（檢測延遲、系統(tǒng)開銷、吞吐量、每秒抓包數(shù)、每秒網(wǎng)絡(luò)連接監(jiān)控數(shù)、每秒事件

處理數(shù)）

安全性指標(biāo)（對于攻擊的抵抗能力、數(shù)據(jù)通信機制的可靠性）

66.說明入侵攻擊技術(shù)的發(fā)展趨勢。

①攻擊技術(shù)的復(fù)雜性和綜合性

②攻擊行為的擴大性

③攻擊行為的隱秘性

④對于防護系統(tǒng)的攻擊

⑤攻擊行為的網(wǎng)絡(luò)化

67.說明入侵檢測技術(shù)的發(fā)展趨勢。

①標(biāo)準(zhǔn)化的入侵檢測

②高速入侵檢測

③大規(guī)模、分布式入侵檢測

④多種技術(shù)的融合

⑤實時入侵響應(yīng)

⑥入侵檢測的評測

⑦與其他安全技術(shù)的聯(lián)動

68.簡要說明VPN技術(shù)的工作原理。

VPN的原理是在兩臺直接與不安全的公網(wǎng)相連的計算機之間建立一條穿過公網(wǎng)的虛擬的安

全的專用通道。經(jīng)過打包、公網(wǎng)傳輸和解包的過程。一般通信內(nèi)容需要加密和解密。

69.說明高效、成功的VPN的有哪些特點。

①具備完善的安全保障機制

②具備用戶可接受的服務(wù)質(zhì)量保證

③總成本低

④可擴充性、安全性和靈活性

⑤管理便捷

70.說明VPN的安全機制通過哪些技術(shù)來實現(xiàn)并詳細(xì)解釋？

VPN的安全機制通過加密、認(rèn)證和密鑰交換與管理組成。

驗證數(shù)據(jù)的完整性、用戶認(rèn)證、密鑰的交換與管理。

71.請對VPN二層隧道和三層隧道的性能進行比較。

第三層隧道與第二層隧道相比，優(yōu)點在于他的安全性、可擴展性和可靠性。

從安全性角度來講，第二層隧道一般終止在用戶網(wǎng)設(shè)備上，或?qū)τ脩舭【W(wǎng)絡(luò)的安全和防火墻

.

.

提出比較嚴(yán)峻的挑戰(zhàn)，而第三層一般終止在ISP網(wǎng)關(guān)上，不會對用戶網(wǎng)絡(luò)的安全構(gòu)成威脅。

從可擴展性角度來講，二層隧道可能會產(chǎn)生傳輸效率的問題，會對網(wǎng)絡(luò)的復(fù)合產(chǎn)生較大的影

響。影響了系統(tǒng)性能的擴展性。三層隧道終止在RAS，無需管理和維護PPP會話狀態(tài)，減輕

系統(tǒng)負(fù)載。

三層隧道不必為用戶原有設(shè)備安裝特殊軟件。可采用任意長假的設(shè)備予以實現(xiàn)。三層隧道技

術(shù)的公司不需要IP地址，也具有安全性。

72.請簡單比較并解釋PAP口令驗證協(xié)議和CHAP驗證協(xié)議的安全性。

PAP是簡單的明文驗證方式，安全性較差第三方可以很容易地奪得被傳送的用戶名和口令，

并利用這些信息，密碼一旦被第三方竊取，PAP無法提供免費收到第三方攻擊的保障措施；

CHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。，不直接曹永明文

發(fā)送口令，而是使用加密口令，Hash算法對口令進行加密。能夠有效避免第三方用戶冒充

遠(yuǎn)程用戶進行攻擊。

73.請詳細(xì)比較說明IPSECVPN和MPLSVPN。

.

.

74.請詳細(xì)比較對稱加密技術(shù)和非對稱加密技術(shù)的優(yōu)缺點。

對稱加密算法是應(yīng)用較早的加密算法，技術(shù)成熟。在對稱加密算法中，數(shù)據(jù)發(fā)信方將明文（原

始數(shù)據(jù)）和加密密鑰一起經(jīng)過特殊加密算法處理后，使其變成復(fù)雜的加密密文發(fā)送出去。收

信方收到密文后，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對密文進

行解密，才能使其恢復(fù)成可讀明文。在對稱加密算法中，使用的密鑰只有一個，發(fā)收信雙方

都使用這個密鑰對數(shù)據(jù)進行加密和解密，這就要求解密方事先必須知道加密密鑰。對稱加密

算法的特點是算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使

用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密算法時，都需要使用其

他人不知道的惟一鑰匙，這會使得發(fā)收信雙方所擁有的鑰匙數(shù)量成幾何級數(shù)增長，密鑰管理

成為用戶的負(fù)擔(dān)。對稱加密算法在分布式網(wǎng)絡(luò)系統(tǒng)上使用較為困難，主要是因為密鑰管理困

難，使用成本較高。

不對稱加密算法使用兩把完全不同但又是完全匹配的一對鑰匙—公鑰和私鑰。在使用不對

稱加密算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過

程。加密明文時采用公鑰加密，解密密文時使用私鑰才能完成，而且發(fā)信方（加密者）知道

收信方的公鑰，只有收信方（解密者）才是唯一知道自己私鑰的人。不對稱加密算法的基本

原理是，如果發(fā)信方想發(fā)送只有收信方才能解讀的加密信息，發(fā)信方必須首先知道收信方的

公鑰，然后利用收信方的公鑰來加密原文；收信方收到加密密文后，使用自己的私鑰才能解

密密文。顯然，采用不對稱加密算法，收發(fā)信雙方在通信之前，收信方必須將自己早已隨機

生成的公鑰送給發(fā)信方，而自己保留私鑰。由于不對稱算法擁有兩個密鑰，因而特別適用于

分布式系統(tǒng)中的數(shù)據(jù)加密。廣泛應(yīng)用的不對稱加密算法有RSA算法和美國國家標(biāo)準(zhǔn)局提出的

DSA。以不對稱加密算法為基礎(chǔ)的加密技術(shù)應(yīng)用非常廣泛。