入侵防御系统运维工程师考试试卷及答案

入侵防御系统运维工程师考试试卷及答案一、填空题（10题，每题1分）1.入侵防御系统（IPS）的核心功能是______攻击。2.IPS常见部署模式包括透明模式、路由模式和______模式。3.IPS检测攻击的两种技术是签名检测和______检测。4.IPS日志默认存储位置通常在______或外接存储。5.IPS能识别的应用层协议包括HTTP、FTP和______等。6.HA模式下，主IPS故障会自动切换到______设备。7.IPS签名库更新方式有手动和______更新。8.SQL注入、XSS属于______层攻击防护。9.IPS默认安全策略通常______（允许/阻断）正常流量。10.IPS带宽管理可对特定应用/IP进行______限制。二、单项选择题（10题，每题2分）1.IPS典型部署位置是？A.内网终端B.网络边界（防火墙后）C.无线AP旁D.打印机旁2.IPS能实时阻断的攻击是？A.已知签名的SQL注入B.所有零日攻击C.仅DDoSD.仅网络扫描3.IPS签名更新的目的是？A.提升性能B.修复系统漏洞C.增强检测能力D.降低功耗4.HA心跳线的作用是？A.同步流量B.检测设备状态C.备份配置D.传输日志5.IPS日志导出不常用的格式是？A.CSVB.SyslogC.JSOND.DOCX6.无需修改现有IP的部署模式是？A.透明模式B.路由模式C.NAT模式D.混合模式7.IPS与防火墙的正确描述是？A.IPS仅阻断已知攻击B.防火墙仅工作在2-3层C.IPS侧重应用层深度检测D.防火墙能替代IPS8.异常检测技术用于检测？A.已知签名攻击B.零日攻击C.仅网络层攻击D.已记录异常9.不属于IPS响应动作的是？A.阻断B.告警C.允许D.格式化硬盘10.IPS核心性能指标是？A.硬盘容量B.吞吐量C.日志时长D.设备重量三、多项选择题（10题，每题2分，多选/少选不得分）1.IPS核心功能包括？A.实时阻断攻击B.日志审计C.应用识别D.带宽管理E.内容过滤2.IPS部署模式有？A.透明B.路由C.桥接D.NATE.混合3.IPS防护的攻击类型？A.网络层（SYNFlood）B.应用层（SQL注入）C.主机层（溢出）D.数据链路层（ARP欺骗）E.物理层4.IPS日志管理功能？A.查询B.导出C.备份D.分析E.删除5.IPS响应动作包括？A.阻断连接B.告警C.允许D.限速E.重置TCP6.HA配置必要条件？A.设备型号一致B.固件版本一致C.心跳线正常D.配置同步E.IP相同7.IPS签名分类？A.预定义B.自定义C.第三方D.实时E.历史8.IPS优势包括？A.实时阻断B.应用层深度检测C.集中管理D.低延迟E.替代防火墙9.需监控的IPS指标？A.吞吐量B.CPU利用率C.内存使用率D.攻击数E.硬盘剩余空间10.IPS更新内容？A.攻击签名库B.检测引擎C.系统补丁D.配置模板E.日志格式四、判断题（10题，每题2分，√/×）1.IPS只能部署在边界，不能在内网核心。（）2.IPS能完全替代防火墙所有功能。（）3.IPS签名更新必须手动操作。（）4.HA模式切换会导致流量短暂中断。（）5.异常检测可识别零日攻击。（）6.IPS日志需定期备份。（）7.透明模式无需修改现有IP。（）8.响应动作越多，防护效果越好。（）9.协议识别是应用层检测基础。（）10.透明模式IPS故障会导致流量中断。（）五、简答题（4题，每题5分）1.简述IPS透明部署模式及优势。2.IPS与防火墙的主要区别是什么？3.简述IPS签名更新的注意事项。4.IPS运维常见故障排查步骤有哪些？六、讨论题（2题，每题5分）1.如何优化IPS在高流量环境下的检测性能？2.当IPS误阻断正常业务流量时，应如何处理？---答案部分一、填空题答案1.阻断2.NAT（混合）3.异常4.本地硬盘5.SMTP（SSH等）6.备7.自动8.应用9.允许10.带宽二、单项选择题答案1.B2.A3.C4.B5.D6.A7.C8.B9.D10.B三、多项选择题答案1.ABCDE2.ABCDE3.ABCD4.ABCDE5.ABCDE6.ABCD7.AB8.ABCD9.ABCDE10.ABC四、判断题答案1.×2.×3.×4.√5.√6.√7.√8.×9.√10.×五、简答题答案1.透明部署模式：以网桥形式接入网络，不改变现有IP结构，流量双向经过IPS。优势：无需修改网络配置；对终端透明，不影响业务；支持双向检测；适合已有拓扑无需调整的场景。2.区别：①功能侧重：防火墙侧重ACL，IPS侧重深度攻击阻断；②检测层次：防火墙2-3层，IPS到7层；③响应方式：防火墙允许/拒绝，IPS可阻断、告警；④防护范围：防火墙防已知端口攻击，IPS防应用层漏洞；⑤联动能力：IPS可与SIEM联动，防火墙联动弱。3.注意事项：①更新前备份配置/签名；②选业务低峰期；③确认更新包来源可靠；④更新后验证签名与功能；⑤HA模式先更新备设备；⑥记录更新日志。4.排查步骤：①确认故障现象（流量中断/漏报/误报）；②检查硬件（电源/接口）；③查看系统/攻击日志；④验证近期配置修改；⑤测试流量（ping/模拟攻击）；⑥排查联动设备；⑦配置问题则回退验证。六、讨论题答案1.优化方法：①硬件升级：提升吞吐量与接口带宽；②策略调优：关闭非业务签名，启用白名单；③部署结合：透明模式+旁路，关键流量inline；④签名调参：降低低优先级签名精度；⑤资源分配：优先保障检测引擎；⑥定期维护：清理日志、更新引擎。