《網(wǎng)絡(luò)安全與管理(第二版)》 防火墻試題new

防火墻試題單選題Tom的公司申請到5個IP地址，要使公司的20臺主機(jī)都能聯(lián)到INTERNET上，他需要防火墻的那個功能？ A 假冒IP地址的偵測。 B 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。 C 內(nèi)容檢查技術(shù) D 基于地址的身份認(rèn)證。Smurf攻擊結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。管理員可以在源站點(diǎn)使用的解決辦法是： A 通過使用防火墻阻止這些分組進(jìn)入自己的網(wǎng)絡(luò)。 B 關(guān)閉與這些分組的URL連接 C 使用防火墻的包過濾功能，保證網(wǎng)絡(luò)中的所有傳輸信息都具有合法的源地址。 D 安裝可清除客戶端木馬程序的防病毒軟件模塊，包過濾依據(jù)包的源地址、目的地址、傳輸協(xié)議作為依據(jù)來確定數(shù)據(jù)包的轉(zhuǎn)發(fā)及轉(zhuǎn)發(fā)到何處。它不能進(jìn)行如下哪一種操作： A 禁止外部網(wǎng)絡(luò)用戶使用FTP。 B 允許所有用戶使用HTTP瀏覽INTERNET。 C 除了管理員可以從外部網(wǎng)絡(luò)Telnet內(nèi)部網(wǎng)絡(luò)外，其他用戶都不可以。 D 只允許某臺計算機(jī)通過NNTP發(fā)布新聞。UDP是無連接的傳輸協(xié)議，由應(yīng)用層來提供可靠的傳輸。它用以傳輸何種服務(wù)： A TELNET B SMTP C FTP D TFTPOSI模型中，LLC頭數(shù)據(jù)封裝在數(shù)據(jù)包的過程是在： A 傳輸層 B 網(wǎng)絡(luò)層 C 數(shù)據(jù)鏈路層 D 物理層TCP協(xié)議是Internet上用得最多的協(xié)議，TCP為通信兩端提供可靠的雙向連接。以下基于TCP協(xié)議的服務(wù)是： A DNS B TFTP C SNMP D RIP端口號用來區(qū)分不同的服務(wù)，端口號由IANA分配，下面錯誤的是： A TELNET使用23端口號。 B DNS使用53端口號。 C 1024以下為保留端口號，1024以上動態(tài)分配。 D SNMP使用69端口號。包過濾是有選擇地讓數(shù)據(jù)包在內(nèi)部與外部主機(jī)之間進(jìn)行交換，根據(jù)安全規(guī)則有選擇的路由某些數(shù)據(jù)包。下面不能進(jìn)行包過濾的設(shè)備是： A 路由器 B 一臺獨(dú)立的主機(jī) C 交換機(jī) D 網(wǎng)橋TCP可為通信雙方提供可靠的雙向連接，在包過濾系統(tǒng)中，下面關(guān)于TCP連接描述錯誤的是： A 要拒絕一個TCP時只要拒絕連接的第一個包即可。 B TCP段中首包的ACK＝0，后續(xù)包的ACK＝1。 C 確認(rèn)號是用來保證數(shù)據(jù)可靠傳輸?shù)木幪枴? D "在CISCO過濾系統(tǒng)中，當(dāng)ACK＝1時，“established""關(guān)鍵字為T，當(dāng)ACK＝0時，“established""關(guān)鍵字為F。" 中 下面對電路級網(wǎng)關(guān)描述正確的是： A 它允許內(nèi)部網(wǎng)絡(luò)用戶不受任何限制地訪問外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)用戶在訪問內(nèi)部網(wǎng)絡(luò)時會受到嚴(yán)格的控制。 B 它在客戶機(jī)和服務(wù)器之間不解釋應(yīng)用協(xié)議，僅依賴于TCP連接，而不進(jìn)行任何附加包的過濾或處理。 C 大多數(shù)電路級代理服務(wù)器是公共代理服務(wù)器，每個協(xié)議都能由它實(shí)現(xiàn)。 D 對各種協(xié)議的支持不用做任何調(diào)整直接實(shí)現(xiàn)。在Internet服務(wù)中使用代理服務(wù)有許多需要注意的內(nèi)容，下述論述正確的是： A UDP是無連接的協(xié)議很容易實(shí)現(xiàn)代理。 B 與犧牲主機(jī)的方式相比，代理方式更安全。 C 對于某些服務(wù)，在技術(shù)上實(shí)現(xiàn)相對容易。 D 很容易拒絕客戶機(jī)于服務(wù)器之間的返回連接。SOCKS客戶程序替換了UNIX的一些套接字函數(shù)，來鏈入自己的庫函數(shù).描述有誤的SOCKS服務(wù)過程有： SOCKS庫程序截獲客戶程序的請求，送到SOCKS服務(wù)器上。 建立連接后的SOCKS客戶程序發(fā)送版本號、請求命令、客戶端的端口號、連接的用戶名。 C SOCKS服務(wù)檢查ACL判斷接受還是拒絕。 D SOCKS只工作在IP協(xié)議上。狀態(tài)檢查技術(shù)在OSI那層工作實(shí)現(xiàn)防火墻功能： A 鏈路層 B 傳輸層 C 網(wǎng)絡(luò)層 D 會話層對狀態(tài)檢查技術(shù)的優(yōu)缺點(diǎn)描述有誤的是： A 采用檢測模塊監(jiān)測狀態(tài)信息。 B 支持多種協(xié)議和應(yīng)用。 C 不支持監(jiān)測RPC和UDP的端口信息。 D 配置復(fù)雜會降低網(wǎng)絡(luò)的速度。JOE是公司的一名業(yè)務(wù)代表，經(jīng)常要在外地訪問公司的財務(wù)信息系統(tǒng)，他應(yīng)該采用的安全、廉價的通訊方式是： A PPP連接到公司的RAS服務(wù)器上。 B 遠(yuǎn)程訪問VPN C 電子郵件 D 與財務(wù)系統(tǒng)的服務(wù)器PPP連接。下面關(guān)于外部網(wǎng)VPN的描述錯誤的有： A 外部網(wǎng)VPN能保證包括TCP和UDP服務(wù)的安全。 B 其目的在于保證數(shù)據(jù)傳輸中不被修改。 C VPN服務(wù)器放在Internet上位于防火墻之外。 D VPN可以建在應(yīng)用層或網(wǎng)絡(luò)層上。SOCKSv5的優(yōu)點(diǎn)是定義了非常詳細(xì)的訪問控制，它在OSI的那一層控制數(shù)據(jù)流： A 應(yīng)用層 B 網(wǎng)絡(luò)層 C 傳輸層 D 會話層IPSec協(xié)議是開放的VPN協(xié)議。對它的描述有誤的是： A 適應(yīng)于向IPv6遷移。 B 提供在網(wǎng)絡(luò)層上的數(shù)據(jù)加密保護(hù)。 C 支持動態(tài)的IP地址分配。 D 不支持除TCP/IP外的其它協(xié)議。IPSec在哪種模式下把數(shù)據(jù)封裝在一個IP包傳輸以隱藏路由信息： A 隧道模式 B 管道模式 C 傳輸模式 D 安全模式有關(guān)PPTP（Point-to-PointTunnelProtocol)說法正確的是： A PPTP是Netscape提出的。 B 微軟從NT3.5以后對PPTP開始支持。 C PPTP可用在微軟的路由和遠(yuǎn)程訪問服務(wù)上。 D 它是傳輸層上的協(xié)議。有關(guān)L2TP（Layer2TunnelingProtocol)協(xié)議說法有誤的是： A L2TP是由PPTP協(xié)議和Cisco公司的L2F組合而成。 B L2TP可用于基于Internet的遠(yuǎn)程撥號訪問。 C 為PPP協(xié)議的客戶建立撥號連接的VPN連接。 D L2TP只能通過TCT/IP連接。針對下列各種安全協(xié)議，最適合使用外部網(wǎng)VPN上，用于在客戶機(jī)到服務(wù)器的連接模式的是： A IPsec B PPTP C SOCKSv5 D L2TP下列各種安全協(xié)議中使用包過濾技術(shù)，適合用于可信的LAN到LAN之間的VPN，即內(nèi)部網(wǎng)VPN的是： A PPTP B L2TP C SOCKSv5 D IPsec目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻設(shè)定可以訪問內(nèi)部網(wǎng)絡(luò)資源的用戶訪問權(quán)限是： A 客戶認(rèn)證 B 回話認(rèn)證 C 用戶認(rèn)證 D 都不是目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供授權(quán)用戶特定的服務(wù)權(quán)限是： A 客戶認(rèn)證 B 回話認(rèn)證 C 用戶認(rèn)證 D 都不是目前在防火墻上提供了幾種認(rèn)證方法，其中防火墻提供通信雙方每次通信時的會話授權(quán)機(jī)制是： A 客戶認(rèn)證 B 回話認(rèn)證 C 用戶認(rèn)證 D 都不是使用安全內(nèi)核的方法把可能引起安全問題的部分沖操作系統(tǒng)的內(nèi)核中去掉，形成安全等級更高的內(nèi)核，目前對安全操作系統(tǒng)的加固和改造可以從幾個方面進(jìn)行。下面錯誤的是： A 采用隨機(jī)連接序列號。 B 駐留分組過濾模塊。 C 取消動態(tài)路由功能。 D 盡可能地采用獨(dú)立安全內(nèi)核。在防火墻實(shí)現(xiàn)認(rèn)證的方法中，采用通過數(shù)據(jù)包中的源地址來認(rèn)證的是： A Password-BasedAuthentication B Address-BasedAuthentication C CryptographicAuthentication D NoneofAbove.網(wǎng)絡(luò)入侵者使用sniffer對網(wǎng)絡(luò)進(jìn)行偵聽，在防火墻實(shí)現(xiàn)認(rèn)證的方法中，下列身份認(rèn)證可能會造成不安全后果的是： A Password-BasedAuthentication B Address-BasedAuthentication C CryptographicAuthentication D NoneofAbove.隨著Internet發(fā)展的勢頭和防火墻的更新，防火墻的哪些功能將被取代： A 使用IP加密技術(shù)。 B 日志分析工具。 C 攻擊檢測和報警。 D 對訪問行為實(shí)施靜態(tài)、固定的控制。多選題JOHN的公司選擇采用IPSec協(xié)議作為公司分支機(jī)構(gòu)連接內(nèi)部網(wǎng)VPN的安全協(xié)議。以下那幾條是對IPSec的正確的描述： A 它對主機(jī)和端點(diǎn)進(jìn)行身份鑒別。 B 保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時的完整性。 C 在隧道模式下，信息封裝隱藏了路由信息。 D 加密IP地址和數(shù)據(jù)以保證私有性。相比較代理技術(shù)，包過濾技術(shù)的缺點(diǎn)包括： A 在機(jī)器上配置和測試包過濾比較困難。 B "包過濾技術(shù)無法與UNIX的“r""命令和NFS、NIS/YP協(xié)議的RPC協(xié)調(diào)。" C 包過濾無法區(qū)分信息是哪個用戶的信息，無法過濾用戶。 D 包過濾技術(shù)只能通過在客戶機(jī)特別的設(shè)置才能實(shí)現(xiàn)。微軟的ProxyServer是使一臺WINDOWS服務(wù)器成為代理服務(wù)的軟件。它的安裝要求條件是： A 服務(wù)器一般要使用雙網(wǎng)卡的主機(jī)。 B 客戶端需要安裝代理服務(wù)器客戶端程序才能使各種服務(wù)透明使用。 C 當(dāng)客戶使用一個新的網(wǎng)絡(luò)客戶端軟件時，需要在代理服務(wù)器上為之單獨(dú)配置提供服務(wù)。 D 代理服務(wù)器的內(nèi)網(wǎng)網(wǎng)卡IP和客戶端使用保留IP地址。 在代理服務(wù)中，有許多不同類型的代理服務(wù)方式，以下描述正確的是： A 應(yīng)用級網(wǎng)關(guān) B 電路級網(wǎng)關(guān) C 公共代理服務(wù)器 D 專用代理服務(wù)器 應(yīng)用級代理網(wǎng)關(guān)相比包過濾技術(shù)具有的優(yōu)點(diǎn)有： A 提供可靠的用戶認(rèn)證和詳細(xì)的注冊信息。 B 便于審計和日志。 C 隱藏內(nèi)部IP地址。 D 應(yīng)用級網(wǎng)關(guān)安全性能較好，可防范操作系統(tǒng)和應(yīng)用層的各種安全漏洞。代理技術(shù)的實(shí)現(xiàn)分為服務(wù)器端和客戶端實(shí)現(xiàn)兩部分，以下實(shí)現(xiàn)方法正確的是： A 在服務(wù)器上使用相應(yīng)的代理服務(wù)器軟件。 B 在服務(wù)器上定制服務(wù)過程。 C 在客戶端上定制客戶軟件。 D 在客戶端上定制客戶過程。Sam的公司使用的是需要定制用戶過程的代理服務(wù)器軟件，他要從匿名服務(wù)器上下載文件，正確的步驟是： A 使用FTP客戶機(jī)與匿名服務(wù)器連接。 B 使用FTP客戶機(jī)與代理服務(wù)器連接。 C "輸入用戶名Nicky,對匿名服務(wù)器輸入anonymous@proxyserver。" D "輸入用戶名Nicky,對代理服務(wù)器輸入anonymous@。"SOCKS技術(shù)在代理中是一種非常強(qiáng)大的網(wǎng)關(guān)防火墻，正確的描述是： A 是一個電路級網(wǎng)關(guān)標(biāo)準(zhǔn)。 B 是一個應(yīng)用級網(wǎng)關(guān)標(biāo)準(zhǔn)。 C 只中繼TCP的數(shù)據(jù)包。 D 可以中繼基于TCP和UDP的數(shù)據(jù)包。 對SOCKS服務(wù)器的工作模式描述正確的是： A 客戶程序與SOCKS服務(wù)器的連接端口號為1080. B 客戶程序把外網(wǎng)服務(wù)器的地址、端口號和認(rèn)證請求發(fā)給SOCKS服務(wù)器。 C 外網(wǎng)用戶訪問內(nèi)網(wǎng)先登錄SOCKS服務(wù)器，再登錄到內(nèi)網(wǎng)節(jié)點(diǎn)上。 D Netscape、Mosaic支持SOCKS工作方式。 下面屬于SOCKS的組成部分包括： A 運(yùn)行在防火墻系統(tǒng)上的代理服務(wù)器軟件包。 B 鏈接到各種網(wǎng)絡(luò)應(yīng)用程序的庫函數(shù)包。 C SOCKS服務(wù)程序。 D SOCKS客戶程序。 NetworkAddressTranslation技術(shù)將一個IP地址用另一個IP地址代替，它在防火墻上的作用是： A 隱藏內(nèi)部網(wǎng)絡(luò)地址，保證內(nèi)部主機(jī)信息不泄露。 B 由于IP地址匱乏而使用無效的IP地址。 C 使外網(wǎng)攻擊者不能攻擊到內(nèi)網(wǎng)主機(jī)。 D 使內(nèi)網(wǎng)的主機(jī)受網(wǎng)絡(luò)安全管理規(guī)則的限制。在地址翻譯原理中，防火墻根據(jù)什么來使要傳輸?shù)较嗤哪康腎P發(fā)送給內(nèi)部不同的主機(jī)上： A 防火墻紀(jì)錄的包的目的端口。 B 防火墻使用廣播的方式發(fā)送。 C 防火墻根據(jù)每個包的時間順序。 D 防火墻根據(jù)每個包的TCP序列號。VirtualPrivateNetwork技術(shù)可以提供的功能有： A 提供AccessControl。 B 加密數(shù)據(jù)。 C 信息認(rèn)證和身份認(rèn)證。 D 劃分子網(wǎng)。按照不同的商業(yè)環(huán)境對VPN的要求和VPN所起的作用區(qū)分，VPN分為： A 內(nèi)部網(wǎng)VPN B 外部網(wǎng)VPN C 點(diǎn)對點(diǎn)專線VPN D 遠(yuǎn)程訪問VPN對于遠(yuǎn)程訪問VPN須制定的安全策略有： A 訪問控制管理 B 用戶身份認(rèn)證、智能監(jiān)視和審計功能 C 數(shù)據(jù)加密 D 密鑰和數(shù)字證書管理VPN中應(yīng)用的安全協(xié)議有哪些？ A SOCKSv3 B IPSec C PPTP D L2TPSOCKSv5的優(yōu)缺點(diǎn)分別是： A 性能較差 B SOCKSv5通過防火墻唯一的端口1080到代理服務(wù)器，可以防止防火墻上的漏洞。 C SOCKSv5能為認(rèn)證、加密和密鑰管理提供插件模塊。 D SOCKSv5安全性高，可以過濾JavaApplet控件和敏感信息。IPSec協(xié)議用密碼技術(shù)從三個方面來保證數(shù)據(jù)的完整性： A 認(rèn)證 B 加密 C 訪問控制 D 完整性檢查IPSec支持的加密算法有： A DES B 3DES C IDEA D SETPPTP/L2TP支持眾多網(wǎng)絡(luò)協(xié)議，如： A IPX B NETBEUI C AppleTalk D SNAPPTP/L2TP的缺點(diǎn)有哪些： A 不對兩個節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視和控制。 B 同時只能連接256個用戶。 C 端點(diǎn)用戶需在連接前手工建立加密通道。 D 沒有強(qiáng)加密和認(rèn)證支持。使用MIMEsweeper對網(wǎng)絡(luò)的信息實(shí)現(xiàn)內(nèi)容檢查，使得組織和企業(yè)免收損失，它可以提供的安全控制是： A 對垃圾郵件進(jìn)行管理。 B 控制進(jìn)出系統(tǒng)的電子郵件和文件的大小和類型。 C 保護(hù)機(jī)密信息。 D 阻止Javaapplet、Javascript