2026年防火墙基础操作试题及答案

2026年防火墙基础操作试题及答案1.管理员需要在下一代防火墙中配置允许公司内网访问公网Web服务的规则，默认需要放开的目的端口是哪一个？A.8080B.80C.443D.22参考答案：B。解析：HTTP协议默认端口为80，是Web服务最基础的访问端口，HTTPS默认端口为443，本题明确基础Web服务访问，因此选B。2.防火墙中，实现从低安全级别区域到高安全级别区域默认访问策略是以下哪一项？A.全部允许B.全部拒绝C.部分允许D.按需放行无默认参考答案：B。解析：防火墙默认的安全策略遵循“最小权限”原则，低安全区（如公网互联网）到高安全区（如公司内网核心区）默认全部拒绝，仅允许规则明确放行的流量通过，因此选B。3.管理员想要查看防火墙当前所有已建立的TCP连接信息，以下哪一条命令是华为USG6000系列防火墙CLI下的正确操作？A.displayipinterfacebriefB.displayfirewallsessiontableC.displaycurrent-configurationD.displayversion参考答案：B。解析：displayipinterfacebrief是查看接口IP和状态信息，displaycurrent-configuration查看设备当前生效配置，displayversion查看设备硬件版本和系统版本信息，displayfirewallsessiontable用于查看当前防火墙的会话表，包含所有已建立连接的源目地址、端口、转换信息等内容，因此选B。4.以下哪种防火墙技术是通过对数据包的源IP、目的IP、端口、协议类型进行过滤的基础技术？A.状态检测过滤B.包过滤C.应用层网关过滤D.入侵防御过滤参考答案：B。解析：包过滤是防火墙最基础的过滤技术，工作在网络层，仅基于三四层信息（源目IP、端口、协议类型）进行过滤，状态检测会维护会话状态信息，应用层网关工作在应用层，因此选B。5.管理员配置完防火墙访问规则后，发现规则不生效，以下哪一项是最优先需要排查的内容？A.设备硬件故障B.规则的匹配顺序C.公网线路故障D.终端网卡故障参考答案：B。解析：防火墙安全规则遵循从上到下的匹配顺序，流量匹配到第一条符合条件的规则后就会执行对应动作，不再向下匹配，若需要放行的规则被放置在拒绝规则之后，流量会先匹配到拒绝规则，直接导致放行规则不生效，因此规则匹配顺序是配置后不生效最优先排查的内容，硬件故障、线路故障、终端故障概率远低于配置顺序错误，因此选B。1.防火墙基础配置中，需要对接口划分安全域，以下属于主流防火墙标准安全域分类的有哪些？A.TrustB.UntrustC.DMZD.Local参考答案：ABCD。解析：Trust是信任域，对应企业内部可信终端网络；Untrust是不信任域，对应公共互联网等不可信网络；DMZ是非军事区，对应放置对外提供服务的服务器区域；Local是防火墙本地域，对应防火墙本身产生或接收的管理流量，四个都是主流防火墙默认的标准安全域分类。2.以下属于防火墙基础常用管理方式的有哪些？A.Web图形界面管理B.CLI命令行管理C.串口本地管理D.SSH远程管理参考答案：ABCD。解析：当前主流下一代防火墙都支持Web图形化管理，适合新手管理员可视化配置；支持CLI命令行管理，适合批量配置和排障；首次开箱配置没有IP地址时，一般通过串口连接控制台进行本地配置；远程命令行管理可以通过SSH协议实现加密远程访问，四种都是防火墙基础常用的管理方式。3.管理员需要配置防火墙允许内网终端通过NAT转换访问公网，以下属于常见NAT类型的有哪些？A.源NATB.目的NATC.双向NATD.静态NAT参考答案：ABCD。解析：NAT按转换对象方向可以分为源NAT、目的NAT、双向NAT，源NAT用于转换IP报文的源地址，是内网访问公网最常用的转换方式；按地址分配方式可以分为静态NAT、动态NAT、端口地址转换PAT，因此四个选项都属于常见的NAT类型。4.防火墙安全规则配置中，属于基础匹配条件的有哪些？A.源安全域B.目的安全域C.源IP地址段D.目的服务端口参考答案：ABCD。解析：所有防火墙的安全规则都需要基于基础信息匹配流量，区域划分是防火墙策略的基础，源和目的安全域是最核心的匹配条件，源IP地址标识流量来源，目的服务端口标识流量要访问的业务，四个都是最基础的规则匹配条件。5.当防火墙出现CPU占用率异常过高的情况，以下属于基础排查操作的有哪些？A.查看会话表是否存在大量半开异常连接B.查看攻击防护日志是否有大量流量攻击触发处理C.查看是否存在大量冗余无用的规则导致匹配效率下降D.直接重启设备恢复业务参考答案：ABC。解析：CPU异常占用需要先定位问题原因再处理，大量异常半开连接、DDoS攻击触发防护处理、过多冗余规则都会导致CPU占用升高，属于基础排查项；直接重启设备会清空问题现场，不利于后续定位根因，也不属于排查操作，因此不选D。某企业新采购一台下一代防火墙，需要完成基础上网配置，需求为：内网PC网段/24属于信任区域，通过GE1/0/1接口连接防火墙，运营商公网线路通过GE1/0/0接口接入，防火墙公网接口地址为/24，运营商网关为，要求内网所有PC可以通过PAT端口地址转换访问公网，配置允许ICMP、HTTP、HTTPS流量出站，请以华为USG6000系列防火墙为例，写出完整的基础配置步骤及验证方法。参考答案：配置步骤如下：（1）公网接口配置：进入防火墙CLI系统视图后，输入interfaceGigabitEthernet1/0/0进入公网接口配置模式，输入ipaddress配置接口IP，输入undoshutdown开启接口；随后进入防火墙安全域配置，输入firewallzoneuntrust，输入addinterfaceGigabitEthernet1/0/0，将公网接口加入非信任安全域，完成公网接口配置。（2）内网接口配置：输入interfaceGigabitEthernet1/0/1进入内网接口配置模式，输入ipaddress配置网关IP，输入undoshutdown开启接口；随后输入firewallzonetrust，输入addinterfaceGigabitEthernet1/0/1，将内网接口加入信任安全域，完成内网接口配置。（3）配置默认路由：在系统视图下输入iproute-static，配置指向运营商网关的默认路由，确保所有访问公网的流量可以正确转发。（4）配置源NAT（PAT）：输入nataddress-groupgroup1modepat，配置端口地址转换的地址组，使用公网接口地址做转换；随后进入NAT策略视图，输入rulenamenat_outbound，输入source-address55，输入actionsource-nataddress-groupgroup1，完成PAT规则配置。（5）配置安全访问策略：输入security-policy进入安全策略视图，输入rulenameallow_outbound，配置源安全域为trust，目的安全域为untrust，添加服务ICMP、HTTP、HTTPS，配置动作为permit，完成后将该规则移动到所有拒绝规则的上方，确保优先匹配。（6）验证方法：将内网PC的IP地址设置为/24网段，默认网关设置为，DNS配置为公共DNS服务器地址；首先在PC命令行执行ping，确认可以通网，随后打开浏览器访问公共Web站点，确认可以正常加载页面；最后登录防火墙执行displayfirewallsessiontableverbose命令，查看是否存在内网PC访问公网的转换会话，确认源地址转换正确，业务正常，配置完成。管理员需要配置防火墙允许公网访问DMZ区域中IP为0的Web服务器，Web服务器开放HTTP服务，公网访问入口为防火墙公网IP的80端口，请写出完整配置步骤。参考答案：配置步骤如下：（1）基础网络准备：确认连接DMZ区域的防火墙接口已经划分到DMZ安全域，防火墙已经配置好了到0网段的路由，若服务器直连防火墙则自动生成直连路由，若服务器通过三层交换机接入则需要配置静态路由指向交换机，确保防火墙可以正常ping通服务器内网地址。（2）配置目的NAT（端口映射）：进入防火墙NAT配置视图，创建静态端口映射规则，配置公网侧信息：协议为TCP，公网IP为，公网端口为80；配置内网侧信息：转换后的目的IP为0，内网端口为80，保存端口映射配置。（3）配置安全访问策略：创建新的安全规则，设置源安全域为Untrust，目的安全域为DMZ，目的IP地址为0，服务选择HTTP（TCP80端口），设置规则动作为允许，将该规则放置到所有拒绝同类型流量的规则之前，确保匹配优先。（4）回程路由确认：确认运营商侧已经配置好了到的回程路由，确保公网访问的流量可以正常到达防火墙。（5）验证操作：使用公网环境下的终端访问，确认可以正常打开Web服务器的页面，登录防火墙查看会话表，确认公网访问的会话已经正常建立，地址转换信息正确，配置完成。管理员需要备份防火墙的当前配置文件，同时升级防火墙的系统版本，请写出完整基础操作步骤。参考答案：操作步骤如下：（1）备份当前配置：如果通过Web管理，登录防火墙管理地址后，进入系统维护-配置管理菜单，点击导出当前配置，将配置文件保存到本地管理PC，导出后核对文件大小确认导出完整；如果通过CLI管理，可以通过tftp或者sftp协议，将防火墙闪存中存储的当前配置文件导出到本地服务器，完成备份。（2）升级前准备：登录防火墙当前系统查看设备型号和当前版本，到厂商官方网站下载对应型号的正式发布版本系统文件，下载完成后核对版本文件的MD5校验值，确认文件完整没有损坏或被篡改；再次确认配置备份已经完成保存，准备好稳定的电源，避免升级过程中断电导致设备无法启动。（3）执行版本升级：Web管理界面下，进入系统维护-版本升级菜单，选择已经下载好的版本文件上传，上传完成后点击开始