防火墻試題及答案(同名903)

武漢職業(yè)技術(shù)學(xué)院總復(fù)習(xí)二班級(jí)：姓名：學(xué)號(hào)：一．選擇題1、對(duì)于防火墻不足之處，描述錯(cuò)誤的是D。A.無法防護(hù)基于尊重作系統(tǒng)漏洞的攻擊B.無法防護(hù)端口反彈木馬的攻擊C.無法防護(hù)病毒的侵襲D.無法進(jìn)行帶寬管理2.防火墻對(duì)數(shù)據(jù)包進(jìn)行狀態(tài)檢測(cè)包過濾是，不可以進(jìn)行過濾的是：D。A:源和目的IP地址B:源和目的端口C:IP協(xié)議號(hào)D:數(shù)據(jù)包中的內(nèi)容3.防火墻對(duì)要保護(hù)的服務(wù)器作端口映射的好處是：D。A:便于管理B:提高防火墻的性能C:提高服務(wù)器的利用率D:隱藏服務(wù)器的網(wǎng)絡(luò)結(jié)構(gòu)，使服務(wù)器更加安全4.關(guān)于防火墻發(fā)展歷程下面描述正確的是A。第一階段：基于路由器的防火墻B.第二階段：用戶化的防火墻工具集C.第三階段：具有安全尊重作系統(tǒng)的防火墻D:第四階段：基于通用尊重作系統(tǒng)防火墻5.包過濾防火墻的缺點(diǎn)為：A。A.容易受到IP欺騙攻擊B.處理數(shù)據(jù)包的速度較慢C:開發(fā)比較困難D:代理的服務(wù)（協(xié)議）必須在防火墻出廠之前進(jìn)行設(shè)定6.內(nèi)網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址需要對(duì)源地址進(jìn)行轉(zhuǎn)換，規(guī)則中的動(dòng)作應(yīng)選擇：B。A:AllowB：NATC：SATD：FwdFast7.從安全屬性對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類，阻斷攻擊是針對(duì)B的攻擊。 【B】A.機(jī)密性B.可用性C.完整性D.真實(shí)性8.VPN的加密手段為C。A.具有加密功能的防火墻B.具有加密功能的路由器C.VPN內(nèi)的各臺(tái)主機(jī)對(duì)各自的信息進(jìn)行相應(yīng)的加密D.單獨(dú)的加密設(shè)備9.根據(jù)ISO的信息安全定義，下列選項(xiàng)中___B_是信息安全三個(gè)基本屬性之一。A

真實(shí)性B

可用性C

可審計(jì)性D

可靠性10.計(jì)算機(jī)病毒最本質(zhì)的特性是__C__。A

寄生性B

潛伏性C

破壞性D

攻擊性11.防止盜用IP行為是利用防火墻的C功能。A:防御攻擊的功能B:訪問控制功能C:IP地址和MAC地址綁定功能D:URL過濾功能12.F300-Pro是屬于那個(gè)級(jí)別的產(chǎn)品C。A:SOHO級(jí)（小型企業(yè)級(jí)）B：低端產(chǎn)品（中小型企業(yè)級(jí)）C：中段產(chǎn)品（大中型企業(yè)級(jí)）D：高端產(chǎn)品（電信級(jí)）13.一般而言，Internet防火墻建立在一個(gè)網(wǎng)絡(luò)的C。A.內(nèi)部子網(wǎng)之間傳送信息的中樞B.每個(gè)子網(wǎng)的內(nèi)部C.內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點(diǎn)D.部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處14.目前，VPN使用了A技術(shù)保證了通信的安全性。A.隧道協(xié)議、身份認(rèn)證和數(shù)據(jù)加密B.身份認(rèn)證、數(shù)據(jù)加密C.隧道協(xié)議、身份認(rèn)證D.隧道協(xié)議、數(shù)據(jù)加密15.我國(guó)在1999年發(fā)布的國(guó)家標(biāo)準(zhǔn)_C___為信息安全等級(jí)保護(hù)奠定了基礎(chǔ)A．

GB17799 B

．GB15408C．

GB17859 D．GB1443016.網(wǎng)絡(luò)安全最終是一個(gè)折衷的方案，即安全強(qiáng)度和安全操作代價(jià)的折衷，除增加安全機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)（物理上為遠(yuǎn)程機(jī)構(gòu)）、Extranet以及漫游客戶端之間的通信。IPSec是IETF（InternetEngineeringTaskForce，Internet工程任務(wù)組）的IPSec小組建立的一組IP安全協(xié)議集。IPSec定義了在網(wǎng)際層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對(duì)網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重放攻擊。QOSQoS（QualityofService，服務(wù)質(zhì)量）指一個(gè)網(wǎng)絡(luò)能夠利用各種基礎(chǔ)技術(shù)，為指定的網(wǎng)絡(luò)通信提供更好的服務(wù)能力,是網(wǎng)絡(luò)的一種安全機(jī)制，是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時(shí)間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時(shí)，QoS能確保重要業(yè)務(wù)量不受延遲或丟棄，同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。在RFC3644上有對(duì)QoS的說明。DMZ兩個(gè)防火墻之間的空間被稱為DMZ。與Internet相比，DMZ可以提供更高的安全性，但是其安全性比內(nèi)部網(wǎng)絡(luò)低。[1]

DMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)來自外網(wǎng)的攻擊者來說又多了一道關(guān)卡。NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是1994年提出的。當(dāng)在專用網(wǎng)內(nèi)部的一些主機(jī)本來已經(jīng)分配到了本地IP地址（即僅在本專用網(wǎng)內(nèi)使用的專用地址），但現(xiàn)在又想和因特網(wǎng)上的主機(jī)通信（并不需要加密）時(shí)，可使用NAT方法。這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個(gè)有效的外部全球IP地址。這樣，所有使用本地地址的主機(jī)在和外界通信時(shí)，都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址，才能和因特網(wǎng)連接。另外，這種通過使用少量的公有IP地址代表較多的私有IP地址的方式，將有助于減緩可用的IP地址空間的枯竭。在RFC1632中有對(duì)NAT的說明。DOSdos，是磁盤操作系統(tǒng)的縮寫，是個(gè)人計(jì)算機(jī)上的一類操作系統(tǒng)。從1981年直到1995年的15年間，磁盤操作系統(tǒng)在IBMPC兼容機(jī)市場(chǎng)中占有舉足輕重的地位。而且，若是把部分以DOS為基礎(chǔ)的MicrosoftWindows版本，如\t"_bl