网络规划设计师防火墙与IDS、网络安全协议

1、 模拟 网络规划设计师防火墙与 IDS 、网络安全协议单项选择题第 1 题：如果某台硬件防火墙有如下配置FW (config)#nameif ethemet0P1 security100FW (config)#nameif ethernet1 P2 security0FW (config)#nameif ethemet2 P3 security50 那么该防火墙最可能的端口连接方案是 。A. 端口 P1作为外网接口，B. 端口 P1作为内网接口，C.端口 P1作为外网接口，D.端口 P1作为内网接口，P2 连接 DMZ，P3作为内网接口P2 连接 DMZ，P3作为外网接口P2 作为内网接口，

2、P3连接 DMZP2 作为外网接口， P3连接 DMZ参考答案： D通常，防火墙基本配置命令。 nameif ，用于配置防火墙接口的名字，并指定安全 级别。安全级别取值越大， 则安全级别越高。 依题意，该硬件防火墙的 Ethernet0 端口被命名为 P1，安全级别为 100；Ethernet1 端口被命名为 P2，安全级别为 0； Ethernet2 端口被命名为 P3，安全级别为 50。相比之下，P1 端口安全级别最高， 适合作为内网接口连接内部网络； P2 端口安全级别最低，适合作为外网接口连 接 Internet ；P3 端口适合作为 DMZ接口。某组织机构要新建一个网络，除内部办公、

3、文件共享等功能外，还要对外提 供访问本机构网站 (包括动态网页 ) 、电子邮件服务及本机构的域名解析服务。 网 络规划设计师在设计相应的网络安全策略时， 给出的方案是：利用 DMZ保护内网 不受攻击，在 DMZ和 Internet 之间配一个外部防火墙，在 DMZ和内网之间，较 好的策略是 ，在 DMZ中最可能部署的是 。第 2 题：A. 配置一个内部防火墙，其规则为除非禁止，都被允许B. 配置一个内部防火墙，其规则为除非允许，都被禁止C. 不配置防火墙，自由访问，但在相关服务器上安装网络版防病毒软件D. 不配置防火墙，只在三层交换机上设置禁止 Ping 操作参考答案： B第 3 题：A. W

4、eb服务器， FTP服务器， E-mail 服务器，相关数据库服务器B. Web服务器、 E-mail 服务器、 FTP服务器、 DNS服务器C. DNS服务器、 Web服务器、 E-mail 服务器D. FTP服务器、相关数据库服务器参考答案： C由题干关键信息“对外提供访问本机构网站 （包括动态网页 ） 、电子邮件服务及本 机构的域名解析服务”可知，在 DMZ中至少需要部署 Web服务器、 E-mail 服务 器和 DNS服务器。同时，在 DMZ与内网之间应部署一台内部防火墙，实行“除非 允许，都被禁止” 此类严格的访问限制。 请参见第 节和第 节例题 1的相关介绍。某机构要新建一个网络，

5、除内部办公、员工邮件等功能外，还要对外提供访 问本机构网站 （ 包括动态网页 ） 、 E-mail 服务和 FTP服务，设计师在设计网络安 全策略时，给出的方案是：利用DMZ保护内网不受攻击， 在DMZ和内网之间配一 个内部防火墙，在 DMZ和 Internet 间配置一个外部防火墙。内部网络使用地址 段 进行 IP 地址规划设计。为了使该机构的网站、 E-mail 和 FTP 服务能被在外出差的员工正常访 问，需要进行的设置是 。若 WW服W 务器提供 SSL验证的某项服务， 以保证外部访问者的口令等敏 感信息以密文方式传输，则 。第 4 题：A. 为这些内部服务器各配置两种 IP 地址：是

6、内部私有 IP 地址，是公网IP 地址B. 直接为这些内部服务器各配置一个公网的 IP 地址C. 在外部防火墙上设置对外合法的服务器 IP 地址到内部地址的对应关系， 放行几条访问所需协议的安全规则D. 在内部防火墙上设置对外合法的服务器 IP 地址到内部地址的对应关系， 在外部防火墙上仅允许 HTTP、 FTP、SMTP、POP3等协议的数据包通过参考答案： C第 5 题：A. 无须任何修改，直接就可以使用B. 需要在防火墙上删除允许 HTTP端口 80 访问 WW服W务器的安全访问规则C. 需要在防火墙上增加允许端口号 80 和 110访问 WW服W务器的访问规则D. 需要在防火墙上增加允

7、许端口号 443 访问 WW服W务器的安全访问规则 参考答案： B 由于该机构内部网络使用地址段 进行 IP 地址规划设计，因此有可 能为处于 DMZ区域的服务器各配置一个内部私有 IP 地址。例如， WWW服务器分 配的 IP 地址为 ， E-mail 服务器分配的 IP 地址为 服务器分配的 IP 地址为 等。此类私有 IP 地址不能直接出现在 Internet 中，对此需要在外部防火墙上设置网络地址转换 (NAT) ，即建立起对 外合法的服务器 IP 地址与相关内部 IP 地址之间的映射关系， 然后配置允许 HTTP、 SMTP、POP3、FTP等协议的数据包通过外部防火墙。安全套接层

8、(SSL) 可以为 HTTP等协议的数据通信提供数据封装、压缩、加密、身份认证、协商加密算 法、交换加密密钥等安全支持。它使用的端口号是 TCP 443。因此，依题意，需 要在防火墙上增加允许 SSL端口号 443访问 WWW服务器的安全访问规则。对某省直属单位大中型网络规划时，为了增强应用服务器的网络安全，设计 师甲提出了将入侵检测系统 (IDS) 部署在 DMZ区域中的方案，而设计师乙提出了 基于网络的入侵防护系统 (NIPS) 部署方案。对于设计师甲方案的优点不包括 ；而设计师乙所提出的 NIPS 通常部署在 。第 6 题：A. 可以检测防火墙系统的策略配置是否合理B. 可以检测 DMZ

9、被黑客攻击的重点C. 可以审计来自 Internet 上对受保护网络的攻击类型D. 可以查看受保护区域主机被攻击的状态参考答案： C第 7 题：A. 受保护的应用服务器前端B. 受保护的应用服务器后端C. 受保护的应用服务器的操作系统中D. 边界路由器与防火墙之间参考答案： D如果将入侵检测系统 (IDS) 部署在防火墙的非军事区 (DMZ)中，就可以查看受保护 区域 (DMZ)内主机被攻击的状态，从而间接了解黑客对 DMZ区域攻击的重点内容 是什么，以及间接检查防火墙系统的策略配置是否合理。 如果将 IDS 系统部署在 防火墙的 DMZ外，那么它就不能访问 DMZ区域的主机， 也无法审计来自

10、 Internet 上对受保护网络的攻击。通常， NIPS部署于网络进 / 出口处，例如串联在边界路由器与防火墙之间， 网络进出的数据流都必须通过它， 从而保护整个网络 的安全。而 HIPS 安装在受保护的主机系统中，检测并阻挡针对该主机的威胁和 攻击。 AIPS由 HIPS发展而来，通常部署于应用服务器前端。第 8 题： 以下关于入侵防御系统 (IPS) 的描述中，错误的是 。A. IPS 产品在网络中是在线旁路式工作，能保证处理方法适当而且可预知B. IPS 能对流量进行逐字节检查，且可将经过的数据包还原为完整的数据流C. IPS 提供主动、实时的防护，能检测网络层、传输层和应用层的内容D

11、. 如果检测到攻击企图， IPS 就会自动将攻击包丢去或采取措施阻断攻击源参考答案： AIPS 提供主动、实时的防护，能检测网络层、传输层和应用层的内容。其设计是 对网络流量中的恶意数据包进行检测， 对攻击性的流量进行自动拦截。 如果检测 到攻击企图， IPS 就会自动将攻击包丢掉或采取措施阻断攻击源，而不把攻击流 量放进内部网络。 通常，包过滤防火墙只能检测网络层和传输层的内容， 不能对 应用层的内容进行检查。 串接式部署是 IPS区别于 IDS的主要特征，即IDS 产品在网络中是旁路式工作， 而 IPS 产品在网络中是串接式工作。 串接式工作保 证所有网络数据都经过 IPS 设备， IPS

12、检测数据流中的恶意代码，核对策略，在 未转发到服务器之前， 将信息包或数据流拦截。 由于 IPS 是在线操作， 因而能保 证处理方法适当而且可预知。第 9 题： 以下攻击手段中，基于网络的入侵防护系统 (NIPS) 无法阻断的是 。A. SYN FloodingB. SQL注入C. Ping Of DeathD. DDoS参考答案： B通常， NIPS能够防止拒绝服务攻击 (DoS)等类型的入侵，而常见的 DoS攻击有： 分布式拒绝服务 (DDoS)攻击、 SYN Flooding 攻击、 Ping of Death 攻击、Land 攻 击、 Smurf 攻击、 Teardrop 攻击等。而

13、AIPS 能够防止诸多入侵，其中包括 SQL 代码注入、 Cookie 篡改、参数篡改、缓冲器溢出、强制浏览、畸形数据包、数据 类型不匹配及其他已知漏洞等。某公司为便于员工在家里访问公司的一些数据，允许员工通过 Internet 访 问公司的 FTP服务器。为了能够方便地实现这一目标， 决定在客户机与 FTP服务 器之间采用 协议，在传输层对数据进行加密。 该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在 。第 10 题：A. L2TPB. IPSecC. PPTPD. TLS参考答案： D第 11 题：A. 客户认证阶段B. 密码交换阶段C. 会谈密码阶段D.

14、 接通阶段参考答案： BTLS是 SSL的后继协议，由 TLS记录协议和 TLS 握手协议构成。 TLS记录协议是 否使用加密技术是可选的。如果使用加密技术 ( 如数据加密标准 DES)，则可以保 证连接安全。 TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定，并 协商加密算法和密钥。 依题意，客户机与 FTP服务器之间采用 TLS 协议， 可在传输层对数据进行加密以保证数据通信的安全性。 该客户机与 FTP服务器在 密码交换阶段协商相互认可的密码。第 12 题：安全 Web服务器应用方案中，在使用 SSL协议对浏览器与服务器之间的信息 进行加密时，会话密钥由 。A. 用户自己指定B.

15、 网络管理员指定C. 浏览器生成D. 服务器生成参考答案： A在使用 SSL对客房客户端浏览器与服务器之间的信息进行加密时， 会话密钥由浏 览器产生。该密钥使用 Web服务器的公钥加密之后传送给该服务器。 Web服务器 使用自己的私钥对其进行解密， 得到相应的会话密钥。 然后用该会话密钥对浏览 器与服务器之间的信息进行加密和解密。第 13 题：HTTPS为浏览器和 Web服务器提供安全的信息交换。它运行在安全 之上。A. 网关B. 物理连接C. 会话密钥D. 套接口参考答案： DHTTPS工作在 TCP/IP 协议族的应用层，为浏览器和 Web服务器提供安全的信息 交换。它运行在安全套接口 (

16、SSL) 之上。第 14 题：以下关于 HTTPS的关闭连接描述中，错误的是 。A. 服务器可以在发送关闭警告后关闭连接，从而形成客户端的不完全关闭B. 客户端检测到一个未完成关闭时应予以有序恢复C. 未准备接收任何数据的客户只有等待服务器的关闭警告才能关闭连接D. 当客户遇到一个未成熟关闭时，要将所有已接收到的数据同ContentLength 头指定的一样多的请求视为已完成参考答案： C客户在关闭连接前必须发送关闭警告。 未准备接收任何数据的客户可能选择不等 待服务器的关闭警告而直接关闭连接， 这样在服务器端将产生一个不完全的关闭。某大型网上商城销售各类百货商品， 为保证顾客能够安全方便地在

17、网上商城 购物，网站提供了基于 SET协议机制保证安全交易的在线支付功能。 SET协议主 要是解决 的安全网络支付问题。 SET支付系统的参与对象中， 是银行内部网与因特网的接口， 负责将网上商城的付款信息转送到银行内部网络进行 处理。网站通过 SET协议机制中采用的双重数字签名技术， 能够保证 。买家在网上购物时发出的支付指令， 在由商家送达银行支付网关之前， 是在 上传送的。 第 15 题：A. 现金B. 支票C. 银行卡D. 汇票参考答案： C第 16 题：A. 持卡客户B. 网上商家C. 认证机构D. 支付网关参考答案： D第 17 题：A. 商家能看到买家的购物信息和买家的账户信息B

18、. 商家不能看到买家的购物信息和买家的账户信息C. 商家能看到买家的购物信息，但不能看到买家的账户信息D. 商家不能看到买家的购物信息，但能看到买家的账户信息参考答案： C第 18 题：A. InternetB. 虚拟专用网 (VPN)C. 商家内联网D. 银行后台专用网参考答案： A在电子商务交易中， SET协议主要是解决银行卡的安全网络支付问题。 SET支付 系统的参与对象中， 支付网关是银行内部网与因特网的接口， 负责将网上商城的 付款信息转送到银行内部网络进行处理。 买家在网上购物时发出的支付指令， 在 由商家送达银行支付网关之前，是在 Internet 上传送的。 在支付请求阶 段，利用双重数字签名技术可以保证商家能看到买家的购物信息， 但不能看到买 家的账户信息。 买家在电子商务网站选购物品后， 生成订货信息和支付信息。 买 家利用哈希算