安全网络构建

、单项选择题1、最简单的防火墙结构是？（）A路由器B.代理服务器C.日志工具D.包过滤器2、防火墙是（）。（）D审计内外网间数据的硬件设备B.审计内外网间数据的软件设备C.审计内外网间数据的策略D.以上的综合3、不属于防火墙的主要作用是（）。（）D抵抗外部攻击B.保护内部网络C.抵抗恶意访问D.限制网络服务4、以下不属于防火墙的优点的是（）。（）B防止非授权用户进入内部网络B.可以限制网络服务C.方便地监视网络的安全性并报警D.利有NAT技术缓解地址空间的短缺5、防火墙体系结构不包括以下的（）。（）B双宿/多宿主机防火墙B.保垒主机防火墙C.屏蔽主机防火墙D.屏蔽子网防火墙6、以下不属于攻击防火墙的方法的是（）？（）B探测防火墙类别B.探测防火墙拓扑结构C.地址欺骗D.寻找软件设计上的安全漏洞7、状态检查防火墙的优点不包括（）。（）D高安全性B.高效性C.可伸缩性和易扩展性D.易配置性8、关于网络地址翻译技术的说活，错误的是（）。（）A只能进行一对一的网络地址翻译B.解决IP地址空间不足问题C.向外界隐藏内部网结构D.有多种地址翻译模式9、关于代理技术的说法，错误的是（）。（）C代理技术又称为应用层网关技术代理技术针对每一个特定应用都有一个程序代理是企图在网络层实现防火墙的功能代理也能处理和管理信息10、以下哪个描述不是关于虚拟专用网络的描述。（）A虚拟专用网络的实施需要租用专线，以保证信息难以被窃听或破坏虚拟专用网络需要提供数据加密、信息认证、身份认证和访问控制

虚拟专用网络的主要协议包括IPSEC、PPTP/L2TP、SOCKETSv5等虚拟专用网络的核心思想是将数据包二次封装，在Internet上建立虚拟的专用网络11、在防火墙日志审核不包括（）。（）BA.测试一些不支持的服务B.防火墙漏洞信息C.测试电子邮件系统D.FTP和A.测试一些不支持的服务B.防火墙漏洞信息C.测试电子邮件系统D.FTP和Telnet登录测试12、以下哪个不属于扫描器应具备的基本功能（）。（）C发现目标主机和网络发现目标主机后，能够扫描正在运行的各种服务发现目标主后，能够扫描主机安装了那些软件D.能够测试服务中是否存在漏洞13、防火墙技术的主要发展趋势（）。A.模式转变B.D.能够测试服务中是否存在漏洞13、防火墙技术的主要发展趋势（）。A.模式转变B.智能化14、包过滤的优点不包括（）DA.处理包的数据比代理服务器快C.对用户是透明的15、以下不属于混合型防火墙的是（）A.多宿主机防火墙C.两个保垒主机和两个非军事区16、防火墙系统测试不包括（）。DA.端口扫描B.在线观测（）BC.功能扩展D.性能提高不需要额外费用包过滤防火墙易于维护A一个保垒主机和一个非军事区D.两个保垒主机和一个非军事区配置测试D.内部攻击测试A.应用软件入侵监测系统B.主机入侵监测系统网络入侵监测系统D.集成入侵监测系统E.以上都不正确18、关于网络入侵监测的主要优点，哪个不正确。（）EA.发现主机IDS系统看不到的攻击B.攻击者很难毁灭证据C.快速监测和响应D.独立于操作系统E.监控特定的系统活动19、（）入侵监测系统对加密通信无能为力。CA.应用软件入侵监测系统B.主机入侵监测系统C.网络入侵监测系统D.集成入侵监测系统E.以上都不正确20、信息不泄露给非授权的用户、实体或过程，或供其利用的特性是指信息的？（）AA.保密性B.完整性C.可用性D.可控性E.以上都正确21、入侵防范技术是指（）。A系统遇到进攻时设法把它化解掉，让网络和系统还能正常运转攻击展开的跟踪调查都是事后进行，经常是事后诸葛亮，适时性不好完全依赖于签名数据库D.以上都不正确22、入侵监测系统的发展方向以下描述最准确的是？（）DA.签名分析技术B.统计分析技术C.数据完整性分析技术抗入侵技术E.以上都正确23、虚拟专用网（VPN）技术是指（）。A在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播在公共网络中建立专用网络，数据通过安全的“加密管道”在私有网络中传播防止一切用户进入的硬件处理出入主机的邮件的服务器24、针对操作系统的漏洞作更深入的扫描，是（）型的漏洞评估产品。BA.数据库B.主机型C.网络型D.以上都不正确主要是监控网络和计算机系统是否出现被入侵或滥用的征兆25、关于主机入侵监测的主要缺点，哪个不正确。（）BA.看不到网络活动B.对加密通信无能为力C.主机监视感应器不通用D.管理和实施比较复杂26、关于网络入侵监测的主要优点，哪个不正确。（）DA.发现主机IDS系统看不到的攻击B.攻击者很难毁灭证据C.快速监测和响应D.监控特定的系统活动27、找出不良的密码设定同时能追踪登入期间的活动。这是（）型的漏洞评估产品的功能之一。CA.主机型B.网络型C.数据库D.以上都不正确28、下列说法不正确的是（）。D安防工作永远是风险、性能、成本之间的折衷网络安全防御系统是个动态的系统，攻防技术都在不断发展。安防系统必须同时发展与更新安防工作是循序渐进、不断完善的过程建立100%安全的网络29、漏洞评估的最主要的优点（）。CA.适时性B.后验性C.预知性D.以上都不正确30、数据加密技术可以应用在网络及系统安全的哪些方面？（）DA.数据保密B.身份验证C.确认事件的发生D.以上都正确31、拒绝服务扫描测试是指提供拒绝服务（DenialOfService）的扫描攻击测试。这是（）型的漏洞评估产品的功能之一。BA.主机型B.网络型C.数据库D.以上都不正确32、漏洞评估产品在选择时应注意（）。DA.是否具有针对网络、主机和数据库漏洞的检测功能B.产品的评估能力C.产品的漏洞修复能力D.以上都正确33、网络安全漏洞可以分为各个等级，A级漏洞表示？（）B允许本地用户提高访问权限，并可能使其获得系统控制的漏洞允许恶意入侵者访问并可能会破坏整个目标系统的漏洞允许用户中断、降低或阻碍系统操作的漏洞以上都不正确34、安全漏洞产生的原因很多，其中口令过于简单，很容易被黑客猜中属于？（）CA.系统和软件的设计存在缺陷，通信协议不完备B.技术实现不充分C.配置管理和使用不当也能产生安全漏洞D.以上都不正确35、防火墙（firewall）是指（）。B防止一切用户进入的硬件是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制进出网络的访问行为记录所有访问信息的服务器处理出入主机的邮件的服务器36、以下不属于防火墙的主要性能指标是（）。BA.吞吐量B.速率C.丢包率D.并发连接数37、以下不是内部网中数据泄漏的风险的是（）。C内部网中可能存在不信任的主机、路由器等内部员工可以监听、篡改、重定向企业内部网的数据报文^来自企业伙伴的连接、攻击等来自企业网内部员工的其他攻击方式以上选项都是38、VPN的具体应用包括（）。CA.用VPN连接分支机构B.用VPN连接业务伙伴用VPN连接互联网D.用VPN连接远程用户二、填空题1、加密技术是将信息加密，防止信息泄露的技术，它通过一种方式使信息变得混乱，使未授权的人看不懂它，数据加密技术按密钥管理的方式可分为：【对称加密技术】和【非对称加密技术】。2、入侵检测技术是通过对数据的【采集】与【分析】实现入侵行为的检测的技术。入侵检测系统（IDS）是进行入侵检测的【软件】和【硬件】的组合。3、入侵检测系统被认为是防火墙之后的第二道【安全闸门】，在不影响网络性能的情况下对网络进行监测，从而提供对【内部攻击】、【外部攻击】和误操作的实时保护。4、在数据通信中，认证技术是证实信息交换过程【有效性】和【合法性】的一种手段。常用的认证技术有【身份认证】和【报文认证】。5、身份认证是验证信息通信的双方是否是【合法用户】，证实客户的真实身份与其所声称的身份是否相符的过程，如有常见的【用户名】和【密码】认证。6、网络安全的最终目标是通过各种技术和【管理手段】实现网络信息系统的【可靠性】、【可控性】、【保密性】、【完整性】、【有效性】和【不可否认性】。7、基于OSI七层协议的安全体系结构定义了【安全服务】、【安全机制】、【安全管理】及有关安全方的其他问题。8、由公安部提出并组织制定的强制性国家标准【GB17859-1999】《计算机信息系统安全保护等级划分准则》于1999年经国家质量技术监督局发布，并于2001年1月1日起实施。它将信息系统安全保护等级划分5个级别：【自主保护级】、【系统审计保护级】、【安全标记保护级】、【结构化保护级】和【访问验证保护级】。9、VPN是利用公共网络资源来构建的【虚拟】专用网络，它是通过特殊设计的硬件或软件直接在共享网络中通过【隧道】、【加密技术】来保证用户数据的【安全性】，提供与专用网络一样的【安全】和【功能】保障。VPN技术使得整个企业网络在逻辑上成为一个单独的透明内部网络，具有【安全性】、【可靠性】和【可管理性】。10、入侵检测系统（IDS）：依据一定的【安全】策略，对网络，系统的运行状况进行【监视】尽可能发现各种攻击【企图】，攻击【行为】或者攻击【结果】。11、入侵防御系统（IPS）系统架构：【嗅探器】、【检测分析组件】、【策略执行组件】、【状态开关】、【日志系统】和【管理控制台】组成。12、网络安全防范是通过【安全技术】、【安全产品集成】及【安全管理】来实现。在进行网络安全产品选型时，应该要求网络安全产品满足安全产品必须符合【国家】有关安全管理部门的政策要求和安全产品的【功能】与【性能】要求。三、名词解释（每小题4分，共20分）1、防火墙：是一种高级访问控制设置，置于不同网络安全域之间，它通过相关的安全策略来控制（允许或拒绝）进出网络的访问行为。2、报文认证:主要是通信双方对通信的内容进行验证，以保证数据在通信过程中没有被修改。3、加密：将明文信息变换成不可读的密文形式以隐藏其中的含义。4、解密：将密文信息还原成明文的过程。用来加密和解密的函数叫做密码算法。5、入侵检测系统（IDS）：依据一定的安全策略，对网络，系统的运行状况进行监视，尽可能发现各种攻击企图，攻击行为或者攻击结果。6、入侵防御系统（IPS）：是指不但能检测入侵的发生，而且能通过一定的响应方式，实时地终止入侵行为的发生和发展，实时地保护信息系统不受实质性攻击的一种智能化的安全体系四、简答题（共25分）1、OSI安全体系结构定义的安全服务包括哪些内容？（5分）对象认证安全服务访问控制安全服务数据保密性安全服务数据完整性安全服务防抵赖性安全服务2、OSI安全体系结构定义的安全机制包括哪些内容？（8分）加密机制数字签名访问控制机制数据完整性机制认证交换机制防业务流量分析机制路由控制机制公证机制3、根据网络的应用情况和网络的结构，将安全防范体系的层次划分为哪些。（5分）物理环境的安全性（物理层安全）操作系统的安全性（系统层安全）网络的安全性（网络层安全）应用的安全性（应用层安全）管理的安全性（管理层安全）4、计算机在网络中进行端到端数据通路中存在的安全风险有哪些？（4分）拨入段数据泄漏风险因特网上数据泄漏的风险安全网关中数据泄漏的风险内部网中数据泄漏的风险5、FTP应用在全网接入ACL中能否只开放20/21两个端口？（5分）如果对于FTP应用，若要在VONE网关上只添加两条允许20、21两个TCP端口的ACL，则需要满足两个条件，一是客户端使用port（主动）模式，二是FTP客户端的前面不能有防火墙。如果需要使用FTP的话，最好在VONE网关上添加协议为IP的permitACL。6、为什么隧道协商成功不能通讯？（5分）对于NAT穿越的隧道，在配置隧道时不要选择AH认证算法，否则隧道建立成功后通信不通。对于NAT穿越的VPN隧道，如果打开了任何一个设备的包校验和，则隧道建立成功后，隧道通信不通；路由模式下的隧道通信可通。7、隧道长时间协商不成功，要做哪些方面检查？（4分）检查线路是否连通，网线是否插好；在系统路由表中检查IPSec接口路由是否存在；检查两边的隧道配置是否配置正确；检查相应的加密算法是否加载成功；8、入侵防御系统（IPS）与防火墙（FW）异同点？（6分）相同点：网关方式在线部署实时处理数据报文，要求性能和稳定性不同点：防火墙是L3-L4的安全防御设备，IPS是L7层上的防御设备FWDPI关注内容过滤，IPS关注