Linux防火墙练习题一

linux 操作系统安全试卷Linux 操作系统安全试卷一、选择题（每题 2 分，共 30 分）1、在 Linux 中，以下哪个命令用于更改文件或目录的权限？（）A chmodB chownC umaskD mkdir2、下列关于 Linux 密码策略的描述，错误的是（）A 可以设置密码的最小长度B 可以设置密码的过期时间C 密码复杂度要求是强制的，无法修改D 可以限制密码重复使用的次数3、为了增强 Linux 系统的安全性，应该定期对系统进行更新，以下哪个命令用于更新系统软件包？（）A aptget updateB yum updateC pacman SyuD 以上都是4、在 Linux 中，SELinux 是一种强制访问控制机制，以下关于SELinux 的说法，正确的是（）A SELinux 总是能提高系统的安全性B SELinux 可能会导致某些应用程序无法正常运行C 关闭 SELinux 不会对系统安全造成影响D SELinux 的配置非常简单，不需要专业知识5、以下哪种方式不是 Linux 系统中常见的用户认证方式？（）A 本地用户认证B LDAP 认证C 指纹认证D Kerberos 认证6、要限制某个用户只能在特定的时间段登录 Linux 系统，可以通过修改以下哪个配置文件实现？（）A ／etc/passwdB ／etc/shadowC ／etc/logindefsD ／etc/security/timeconf7、在 Linux 中，以下哪个命令可以查看系统中正在运行的进程？（）A psB topC killD jobs8、为了防止恶意用户通过暴力破解密码登录系统，可以采取以下哪种措施？（）A 启用防火墙B 安装杀毒软件C 配置账户锁定策略D 以上都是9、以下哪个文件用于存储 Linux 系统的日志信息？（）A ／var/log/messagesB ／etc/logrotateconfC ／var/log/secureD 以上都是10、当发现 Linux 系统存在安全漏洞时，应该首先（）A 安装补丁B 评估漏洞的影响C 通知所有用户D 关闭相关服务11、在 Linux 中，以下哪个命令用于查看文件的内容？（）A catB moreC lessD 以上都是12、为了保护 Linux 系统中的敏感文件，应该（）A 设置合适的权限B 定期备份C 加密文件D 以上都是13、以下哪种工具可以用于检测 Linux 系统中的恶意软件？（）A ClamAVB NortonC McAfeeD 360 安全卫士14、在Linux 中，以下哪个目录通常用于存储系统配置文件？（）A ／etcB ／varC ／usrD ／home15、为了防止网络攻击，Linux 系统中的防火墙应该默认（）A 开放所有端口B 关闭所有端口C 只开放必要的端口D 随机开放端口二、填空题（每题 2 分，共 20 分）1、 Linux 系统中的超级用户是________。

防火墙试题1.“NDR”的中文释义是什么（）A.基于网络的检测与响应(正确答案)B.基于主机的杀毒C.基于网络的漏洞防护D.基于网络的反病毒2.智慧墙支持哪种封装模式（）A.IP模式B.隧道模式(正确答案)C.TCP模式D.传输模式3.不能与智慧墙实现智能化的协同联动的是（）A、沙箱B.云端威胁情报中心C.终端安全管理系统D.上网行为管理(正确答案)4、下面那个选项可以查看智慧墙的设备信息？A.show systemB.show system info(正确答案)C.show system lsD.show capacity5、以下那些属于7层隧道技术？A.L2TPB.PPTPC.GRED.SSL(正确答案)6、MD5值的长度是？A.128bit(正确答案)B.64bitC.32bitD.16bit7、智慧墙不支持那些过滤？A.URL过滤B.文件过滤C.内容过滤D.行为过滤(正确答案)8、虚拟系统数量由License控制, NSG9000设备建议的虚拟系统最大个数为？A、6B、8C.10(正确答案)D、129、智慧墙如何开启debug？A.debug dp onB.debug dp upC.debug dp flow(正确答案)D.debug dp start10、HA主备模式下链路探测到某地址探测失败的原因？A.接口FLOAT地址未正常同步B.接口未UPC.安全策略未正常同步D.接口未配置STATIC地址(正确答案)11、在没有NAT环境下, IKE 协商的端口是A.500(正确答案)B.4500C、50D、5112.IKE协商由几个阶段组成（）A、1B.2(正确答案)C、3D、413.ipsec vpn支持以下哪种引流方式（）A.策略引流B.路由引流C.策略和路由引流(正确答案)D.安全引流14、IPSEC SA是基于以下哪种方式协商的？A.利用SSL VPN自协商方式B.利用PPTP协商方式C.利用GRE自协商方式D.利用IKE自协商方式(正确答案)15、Blacklist在智慧墙的Flow流程中属于第几个处理单元？A.1(正确答案)B、2C、3D、416.以下关于Flow流程中的慢转发说法正确的是（）A.慢转发流程中SNAT,路由,DNAT的匹配顺序为:SNAT-DNAT-路由B.慢转发流程中SNAT,路由,DNAT的匹配顺序为:路由-SNAT-DNATC.慢转发流程中SNAT,路由,DNAT的匹配顺序为:DNAT-路由-SNAT(正确答案)D.无顺序17、通常是需要放行（）流量的时候使用SNAT功能中动态地址NAT为不转换类型？A.用户认证B.ADSL拨号C.IPSEC(正确答案)D.策略路由18、以下关于SSL代理功能的主要作用描述正确的是（）A.SSL代理功能包含SSL VPN模块B.SSL代理功能包含IPSECVPN模块C.SSL代理功能是对SSL加密的数据进行代理解密,解析用户的行为以及数据,进而对用户的行为进行控制,主要应用于对高级功能IPS,AV,内容检测,文件检测,上网行为管理,URL过滤(正确答案)D.SSL代理功能是为了创建SESSION19、TCP/Ip体系结构中的TCP协议所提供的服务是（）A.链路层服务B.网络层服务C.传输层服务(正确答案)D.应用层服务20、在TCP三次握手中, 第一次握手时客户端向服务端发送一个（）来请求建立连接A.SYN包(正确答案)B.SCK包C.UDP包D.NULL包21.以下哪种原因会引起的穿透防火墙的内网PC无法访问外网A.LICENSE过期,已重启B.未设置安全策略C.未设置源NATD.以上都是(正确答案)22、当发现防火墙日志中有大量的某ip对防火墙进行暴力破解时防火墙应开启哪个功能进行防护？A.安全策略B.地址黑名单和登陆安全策略(正确答案)C.IPSD、AV23.以下哪个选项是防火墙产品的核心功能A.路由转发B.抗攻击C.用户认证D.访问控制(正确答案)24.以下哪个选项是防火墙产品的主要性能指标A.防火墙重量B.防火墙高度C.网络接口数D.并发连接数(正确答案)25、攻击防护策略是基于以下哪个模块的？A.安全域B.物理接口(正确答案)C、IPD.VLAN接口26、以下防火墙恢复出厂配置的方法错误的是？A.页面点击恢复出厂设置按钮B.在CLI下执行reset命令并重启C.掉电重启(正确答案)D、27、防火墙接口不支持以下哪种工作模式A.路由模式B.交换模式C.旁路模式D.透明模式(正确答案)28、防火墙的Channel模式不包括以下哪一项（）A.FloatB、热备C.802.3ad(正确答案)D、轮询29、以下关于智慧墙中路由的优先处理顺序错误的是（）A.策略路由--ISP路由--缺省路由B.直连路由 -- 静态路由 --策略路由C.静态路由-- 策略路由 -- ISP路由D.ISP路由--策略路由---缺省路由(正确答案)30、防火墙无法与时间服务器进行同步, 在防火墙与NTP服务器路由可达的情况下, 以下最有可能产生此问题的是？A.防火墙HOSTNAME配置错误B.未将NTP服务器设置为主用服务器C.NTP最大调整时间超过误差时间(正确答案)D.防火墙未配置安全策略31、智慧墙中针对虚拟系统接口的作用说法正确的是？A.用于虚拟系统间通信(正确答案)B.用于LOOPBACKC.用于动态路由ROUTER-IDD.无意义32.拒绝某些非法的IP地址或MAC地址流量的有效手段是哪个A.安全策略B.黑白名单(正确答案)C.服务器负载均衡D.IP-MAC绑定33、根据对报文的封装形式, IPsec工作模式分为A.隧道模式(正确答案)B.主模式C.野蛮模式D.B和C34、新配置的关键字或对关键字修改后必须单击哪个功能按钮, 配置或修改才生效A、查看B、增加C、编辑D.提交(正确答案)35、关于安全域, 下列说法错误的是（）A.一个物理口不可同时属于二层安全域和三层安全域B.一个安全域必须包含任何物理接口(正确答案)C.物理接口配置为路由模式,则该接口需手动加入三层安全域D.物理接口配置为交换模式,则该接口手动加入二层安全域36、关于本地地址类型, 下列说法正确的是（）A.在开启HA功能时,STATIC类型的IP地址仅用于管理防火墙(正确答案)B.STATIC类型地址可以用于NAT、VPN等功能使用C.FLOAT类型的地址和Static类型的地址无差别D.在HA环境中,STATIC类型的IP地址会同步给对端防火墙37、关于防火墙HA功能说法错误的是？A.HA组优先级数字越小,优先等级越高(正确答案)B.HA支持配置和动态信息同步C.HA心跳接口支持channel口D.HA只支持配置0和1两个HA组38、关于非对称加密, 下列说法错误的是（）A.相比对称加密,非对称加密效率高(正确答案)B.公钥密钥和私钥密钥总是成对出现,公钥用来加密,私钥用来解密C.公钥和私钥不能互相导推D.安全性高39、关于桥功能说法错误的是？A.只能将两个物理接口加入桥(正确答案)B.桥模式可以传输带VLAN TAG的报文C.桥配置可以通过HA做主备同步D.桥可以配置为桥接口并添加IP地址40、关于日志查询, 以下说法哪个是正确的（）A.不勾选记录日志也可产生模糊日志B.不勾选记录日志也可产生流量日志C.勾选记录日志不可产生模糊日志,但可以产生流量日志D.勾选记录日志才可以产生流量日志(正确答案)41、黑客利用IP地址进行攻击的方法有？A.IP欺骗(正确答案)B、解密C.窃取口令D.发送病毒42.以下哪个选项可以帮助用户在安全策略列表中寻找是否存在冗余或无法生效的规则A.应急响应消息B.策略命中优化C.冗余策略检查(正确答案)D.协同联动43、建立IPSEC vpn隧道建立时, IKE协商支持的模式不包括（）A.主模式B.野蛮模式C、国密D.ESP(正确答案)44、将一个局域网连入Internet, 首选的设备是（）A.中继器B.交换机C、网桥D.防火墙(正确答案)45.接口下的对称路由模块一般应用在以下哪种场景下（）A.多出口场景(正确答案)B.HA主备场景C.路由条目较多的场景D.HA负载均衡场景46、在多台设备双机串行环境下, 当设备上行/下行的链路出现故障时, 为了让下行/上行的链路也能够快速感知故障并进行切换, 此时需要什么功能（）A.安全策略B.IPSECC.接口联动(正确答案)D、HA47、高可用性环境下如果HA心跳口不通会出现以下哪种情况？A.主备墙的配置无法同步(正确答案)B.流经防火墙的业务断掉C.接口上的动态地址无法生效D.路由无法生效48、某用户内网有web服务器对外提供服务, 某天发现web站点访问异常缓慢, 甚至无法访问, 同时服务器cpu利用率高, 请问最有可能受到了什么攻击？A.UDP FLOODB.TCPFLOOD(正确答案)C.IP欺骗D.圣诞树攻击49、文件过滤支持的应用协议有____A.邮件协议(POP3.IMAP、SMTP)B.FTPC.HTTPD.以上所有选项(正确答案)50、如果某一数据包不能命中安全策略列表中的任何一条安全策略时, 执行的动作为？A、放行B.禁止(正确答案)C、转发D.以上都不对。

linux复习题答案（1）⼀、选择题1.系统当前已经加载的所有⽂件系统在（D）⽂件中得到反映。

A. /usr/sbin/cfdiskB. /sbin/fdiskC. /etc/mtabD. /etc/fstab2.为匹配以001结尾的⾏，我们可以使⽤如下的正则表达式：（C ）A. ^001B. $001C. 001$D. \0013.假设⽤户guest拥有⽂件test的所有权，现在他希望设置该⽂件的权限使得该⽂件仅他本⼈能读、写和执⾏该⽂件，如果他⽤ls -al查看设置好后的⽂件权限位，并将显⽰结果换算成形如XXX的数字表达，结果是：（C）A. 566B. 666C. 700D. 7774.我们可以修改默认的启动级别为（B ），使得系统重启后⾃动采⽤XWindow⽅式登录。

A. 3B. 5C. 2D. 15.我们登录后希望重新加载fstab⽂件中的所有条⽬，我们可以以root⾝份执⾏（C）命令。

A. mount -dB. mount -cC. mount -aD. mount –b6.kill向指定的进程发出特定的信号，信号（A）强制杀死进程。

A. 9B. TERMC. 6D. 147.为了查找出当前⽤户运⾏的所有进程的信息，可以使⽤（B ）命令：A. ps -aB. ps -uC. ls -aD. ls –l8.为防⽌误删除，最好设置rm(删除指令)确认删除选项，即（D）开关。

A. -fB. -RC. -rD. –i9.以下的命令将在（A）⾃动执⾏：06 23 * * 03 lp /usr/local/message | mail -s "today's message" rootA. 每周三23：06分B. 每周三06：23分C. 每周六23：03分D. 每周六03：23分10.为了统计⽂件系统中未⽤的磁盘空间，我们可以使⽤（B ）命令。

A. duB. dfC. mountD. ln11.使⽤nfs服务时，我们需要在（B）⽂件中指定服务内容：A. /etc/fstabB. /etc/exportsC. /etc/mountdD. /etc/crontab12.我们可以使⽤tar命令的（D ）选项来还原⼀个.tar归档⽂件：A. aB. cC. dD. x13.假设你是超级⽤户，需要给普通⽤户发布通知，需要修改⽂件（C ）A. /etc/issueB. /etc/inittabC. /etc/motdD. /etc/organization14.为使来访者具有⼀定的权限同时保证系统的安全，我们⼀般将guest acount 来宾帐户设置为（B ）A. guestB. nobodyC. otherD. common15.第⼆个IDE接⼝主硬盘的第⼀个分区的标识为（C）A. /dev/hda5B. /dev/hdb1C. /dev/sdb1D. /dev/sda516.当字符串⽤单引号（’’）括起来时，SHELL将（C ）。

1 .防火墙能够()。

A.防范恶意的知情者B.防范通过防火墙的恶意连接C.防备新的网络安全问题D.完全防止传送已被病毒感染的软件和文件答案：B2 .防火墙是指()。

A.防止一切用户进入的硬件B,阻止侵权进入和离开主机的通信硬件或软件C.记录所有访问信息的服务器D.处理出入主机的邮件的服务器答案：B3 .下面不是计算机网络面临的主要威胁的是()A.恶意程序威胁B.计算机软件面临威胁C,计算机网络实体面临威胁D.计算机网络系统面临威胁答案：B4.一般而言，Internet防火墙建立在一y↑k网络的()A.内部网络与外部网络的交叉点B.每个子网的内部C.部分内部网络与外部网络的结合处D.内部子网之间传送信息的中枢答案：A5.在企业内部网与外部网之间。

用来检查网络请求分组是否合法。

保护网络资源不被非法使用的技术是OA.防病毒技术B.防火墙技术C.差错控制技术D.流量控制技术答案：B6,下列属于防火墙功能的是()A.识别DNS服务器B.维护路由信息表C.提供对称加密服务D.包过滤答案：D7 .以下有关防火墙的说法中，错误的是()A.防火墙可以提供对系统的访问控制8 .防火墙可以实现对企业内部网的集中安全管理C.防火墙可以隐藏企业网的内部IP地址D.防火墙可以防止病毒感染程序或文件的传播答案：D9 .以下()不是实现防火墙的主流技术A.包过滤技术B.应用级网关技术C.代理服务器技术D.NAT技术答案：D9 .关于防火墙技术的描述中，正确的是()A.防火墙不能支持网络地址转换B.防火墙可以布置在企业内部网和Internet之间C.防火墙可以查，杀各种病毒D.防火墙可以过滤各种垃圾文件答案：B10 .包过滤防火墙通过()来确定数据包是否能通过。

A.路由表B. ARP表C. NAT表D.过滤规则答案：D11 .以下关于防火墙技术的描述，0是错误的。

A.防火墙分为数据包过滤和应用网关两类B.防火墙可以控制外部用户对内部系统的访问C.防火墙可以阻止内部人员对外部的攻击D.防火墙可以分析和统管网络使用情况答案：C12 .包过滤型防火墙工作在()。

linux 试题及答案第一部分：选择题1. Linux 是一种（）操作系统。

a) 开源b) 闭源c) 商业d) 私有答案：a) 开源2. 在 Linux 中，用于显示当前所在路径的命令是（）。

a) pwdb) lsc) cdd) cp答案：a) pwd3. 在 Linux 中，用于创建目录的命令是（）。

a) mkdirb) touchc) rmd) mv答案：a) mkdir4. Linux 中，用于列出当前目录下的文件和文件夹的命令是（）。

a) lsb) cdc) pwdd) rm答案：a) ls5. 在 Linux 中，用于复制文件的命令是（）。

a) cpb) mvc) touchd) mkdir答案：a) cp第二部分：填空题1. Linux 操作系统的核心部分被称为（）。

答案：内核2. Linux 中，用于修改文件或目录的权限的命令是（）。

答案：chmod3. 在 Linux 中，用于压缩文件的命令是（）。

答案：tar4. Linux 是基于（）开发的操作系统。

答案：UNIX5. Linux 中，默认的超级用户账户是（）。

答案：root第三部分：简答题1. 什么是 Linux 操作系统？答：Linux 是一种开源操作系统，它基于 UNIX 操作系统开发而成。

Linux 以其稳定性、可定制性和安全性而闻名，并广泛运用于服务器和嵌入式设备等领域。

2. 如何在 Linux 中创建一个新用户？答：可以使用 `useradd` 命令来创建一个新用户，例如 `useradd -m newuser`。

其中，`-m` 参数表示同时创建用户的主目录。

3. 如何修改文件的访问权限？答：可以使用 `chmod` 命令来修改文件的访问权限。

例如，要将文件的所有者权限设置为可读可写可执行，可以使用 `chmod u+rwx filename` 命令。

4. 如何在 Linux 中安装软件包？答：可以使用包管理器，如 `apt` （用于 Debian 系统）或 `yum` （用于 Red Hat 系统），来安装软件包。

Linux操作系统试题及答案一. 单选。

( 10 小题共 20 分,) 页首1 . 存放用户帐号的文件是（）。

(2 分)A. shadowB. groupC. passwdD. gshadow2 . 下面哪个系统目录中包含Linux使用的外部设备（）。

A. /binB. /devC. /bootD. /home3 . Linux系统的联机帮助命令是（）。

A. tarB. cdC. mkdirD. man4 . 文件传输协议的英文缩写为（）。

A. FTPB. DNSC. SQLD. WWW5 . 如何删除一个非空子目录 /tmp ( )。

A. del /tmp/*B. rm -rf /tmpC. rm -Ra /tmp/*D. rm –rf /tmp/*6 . 更改一个文件权限的命令是（）。

A. changeB. attribC. chmodD. at7 . 如果执行命令 #chmod 746 file.txt，那么该文件的权限是（）。

A. rwxr--rw-B. rw-r--r--C. --xr--rwxD. rwxr--r—8 . 如果您想列出当前目录以及子目录下所有扩展名为“.txt”的文件，那么您可以使用的命令是（）。

A. ls *.txtB. find . –name “.txt”C. ls –d .txtD. find . “.txt”9 . 怎样显示当前目录（）。

A. pwdB. cdC. whoD. ls10 . 欲把当前目录下的 file1.txt 复制为 file2.txt，正确的命令是（）。

A. copy file1.txt file2.txtB. cp file1.txt | file2.txtC. cat file2.txt file1.txtD. cat file1.txt > file2.txt二. 多选11 . VIM的操作方式有（）。

A 命令方式B 插入方式C 命令行方式D 窗口方式12 . 下列正确的HTML语言是（）。

防火墙培训试题1. 关于防火墙的描述不正确的是： ( )A、防火墙不能防止内部攻击。

B、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。

C、防火墙可以防止伪装成外部信任主机的 IP 地址欺骗。

D、防火墙可以防止伪装成内部信任主机的 IP 地址欺骗。

2. 防火墙的主要技术有哪些？( )A.简单包过滤技术B.状态检测包过滤技术C.应用代理技术D.复合技术E.地址翻译技术3. 防火墙有哪些部属方式？( )A.透明模式B.路由模式C.混合模式D.交换模式4. 判断题：并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。

( V )5. 判断题：对于防火墙而言，除非特殊定义，否则全部 ICMP 消息包将被禁止通过防火墙 ( 即不能使用 ping 命令来检验网络连接是否建立 ) 。

( V )6. 下列有关防火墙局限性描述哪些是正确的。

( )A、防火墙不能防范不经过防火墙的攻击B、防火墙不能解决来自内部网络的攻击和安全问题C、防火墙不能对非法的外部访问进行过滤D、防火墙不能防止策略配置不当或错误配置引起的安全威胁7. 防火墙的作用( )A、过滤进出网络的数据B、管理进出网络的访问行为C、封堵某些禁止的行为D、记录通过防火墙的信息内容和活动8. 防火墙能够完全防止传送己被病毒感染的软件和文件( X )9. 防火墙的测试性能参数一般包括( )A) 吞吐量B) 新建连接速率C) 并发连接数D) 处理时延10. 防火墙能够作到些什么？( )A、包过滤B、包的透明转发C、阻挡外部攻击D、记录攻击11. 防火墙有哪些缺点和不足？( )A 、防火墙不能抵抗最新的未设置策略的攻击漏洞B、防火墙的并发连接数限制容易导致拥塞或者溢出C、防火墙对服务器合法开放的端口的攻击大多无法阻止D、防火墙可以阻止内部主动发起连接的攻击12. 防火墙中地址翻译的主要作用是： ( )A. 提供应用代理服务B. 隐藏内部网络地址C. 进行入侵检测D. 防止病毒入侵13. 判断题：防火墙必须记录通过的流量日志，但是对于被拒绝的流量可以没有记录。

防火墙练习题1. 防火墙处置中心的任务目标是什么？A、处置失陷和风险主机(正确答案)B、处置防火墙重启C、处置防火墙病毒升级D、处置配置备份2. 防火墙用户认证支持哪些认证方式（）A、ADB、RadiusC、LDAPD、全都支持(正确答案)3. 防火墙支持哪几种动态路由协议？A、RIP、OSPF、BGP(正确答案)B、EIGRP、OSPF、BGPC、RIP、OSPF、ISISD、RIP、OSPF4. 非对称密钥算法有几个密钥？A、1B、2(正确答案)C、3D、45. 关于防火墙报表功能的描述正确的是？A、所有型号都提供报表功能B、具有硬盘的型号支持报表功能(正确答案)C、无硬盘型号报表保存在内存中D、所有型号均不支持报表功能6. 关于防火墙动态策略功能说法错误的是？A、可以通过与入侵防护策略、防弱口令扫描、360天眼系统、天擎系统的联动,生成动态策略信息B、在用户面临大量异常流量和攻击时,可以有效节省防火墙的资源C、动态策略一旦生成在防火墙不重启的情况下不会老化(正确答案)D、动态策略被命中后,生效时间会被刷新为此处指定的动态策略生效时间7. 关于客户端到网关的IPSEC VPN，下列说法错误的是（）A、野蛮模式下ID类型必须为FQDNB、客户端野蛮模式支持扩展认证(正确答案)C、主模式下ID类型必须为addressD、客户端主模式支持扩展认证8. 关于新一代智慧防火墙的产品优势以下说法错误的是（）A、新一代智慧防火墙对高级威胁的检测是由安全策略驱动的(正确答案)B、使用了第四代SecOS操作系统,性能强,稳定性高,可提供全景式的智能集中管理,实现智能化运维C、新一代智慧防火墙对高级威胁的检测是由安全大数据驱动的D、新一代智慧防火墙能够与云端、终端上的安全设施实现联动,构建动态,积极的防御体系9. 关于智慧防火墙的转发流程，下列说法正确的是（）A、SNAT--Route--Policy--DNATB、DNAT--Route--Policy--SnatC、DNAT--Route--SNAT--Policy(正确答案)D、DNAT--SNAT-Policy--Route10. 关于状态检测的五元组的内容，下列描述哪个是正确的A、源地址、目的地址、源端口、目的端口、协议(正确答案)B、源地址、目的地址、源端口、目的端口、时间C、源地址、目的地址、源端口、目的端口、规则编号D、11. 内网用户需要访问互联网，需要下列哪个策略实现此目的？A、SNAT(正确答案)B、DNATC、SDATD、12. 配置一条数据流穿墙时既做DNAT又做SNAT，关于此时SNAT配置说法正确的是（）A、配置SNAT的转换前匹配的目的地址应该为DNAT转换前的目的地址B、配置SNAT的转换前匹配的目的地址应该为DNAT转换后的目的地址(正确答案)C、不需要配置SNATD、说法全部正确13. 日志导入功能支持导入____格式文件A、txt(正确答案)B、htmlC、csvD、以上所有选项14. 如果VPN 网络需要运行动态路由协议并提供私网数据加密，<br>通常采用什么技术手段实现A、GREB、GRE+IPSEC(正确答案)C、L2TPD、L2TP+IPSEC15. 如果想将多个IP进行统一策略管理，加到防火墙的哪个选项中最合适？A、地址B、地址组(正确答案)C、服务器地址D、服务器地址组16. 实时流量日志在智慧墙的什么模块中查询？A、处置中心B、数据中心(正确答案)C、分析中心D、防火墙策略17. 实现新一代智慧防火墙最优的安全防护能力，需要购买的许可包括以下哪些选项（）A、入侵防御许可和反病毒许可B、威胁情报许可C、应用识别和URL过滤D、全部正确(正确答案)18. 数据完整性检查的相关算法是？A、DES算法B、3DES算法C、HASH算法(正确答案)D、RSA算法19. 为什么说防火墙在用户的安全防护体系中处于非常重要的地位（）A、防火墙功能丰富B、防火墙发展历史悠久C、防火墙部署在网络边界的重要关口,是信息安全体系的第一道也是最后一道防线(正确答案)D、部署防火墙是强制要求20. 为什么说新一代智慧墙防火墙可以弥补传统防护的不足（）A、传统防护手段不具备病毒、木马的防护能力B、传统防护手段性能低C、传统防护仅能基于静态特征识别已知威胁无法应对高级、高隐蔽性威胁(正确答案)D、传统防护无法与其他设备协同联动21. 下列不属于防火墙功能的是？A、虚拟专用网(VPN)B、地址转换(NAT)C、访问控制D、终端准入(正确答案)22. 下列新一代智慧墙防火墙性能排序正确的是（）A、TZ>TX>TE>TGB、TZ>TX>TG>TE(正确答案)C、TZ>TG>TX>TED、TX>TZ>TG>TE23. 相对于DPI来说，下列哪项不是DPI的优点？A、包处理速度快B、维护成本低C、精确识别应用类型和协议(正确答案)D、识别加密传输的数据所属的应用24. 新一代智慧防火墙产品形态有（）A、私有云虚拟新一代智慧墙B、公有云虚拟化新一代智慧防火墙C、专用硬件型新一代智慧防火墙D、全部正确(正确答案)25. 以下对新一代智慧防火墙的介绍，哪项是正确的（）A、增强的智慧墙特性+基于NDR的智慧特性B、增强的智慧墙特性+病毒云查杀、URL云识别C、智慧防御+智慧感知+智慧管理D、全部正确(正确答案)26. 以下对新一代智慧防火墙的型号系列描述，正确的是（）A、下一代极速防火墙:NSG3000/5000/7000/9000B、新一代智慧防火墙:NSG3000/5000/7000/9000C、下一代极速防火墙:NSG3500/5500/7500/9500D、新一代智慧防火墙:NSG3500/5500/7500/9500(正确答案)27. 以下关于HA环境下Static类型的ip地址说法错误的是（）A、Static类型的ip地址仅用于在开启HA功能时,管理防火墙使用B、Static类型的ip地址在开启HA功能,同步配置时,不会给对端防火墙C、Static类型地址可以用于HA状态同步(正确答案)D、HA环境下Static类型的地址不起作用28. 以下哪个不是智慧墙设备三大中心系统？A、分析中心B、数据中心C、处置中心D、情报中心(正确答案)29. 以下哪个智慧防火墙系列不支持内置硬盘（）A、高端NSG9000系列(正确答案)B、中高端NSG7000系列C、中低端NSG5000系列D、低端NSG3000系列30. 以下哪些型号支持硬件bypass功能？A、NSG3500B、NSG7500C、NSG9500D、B和C(正确答案)31. 在SNMP术语中通常被称为管理信息库是？A、sql serverB、MIB(正确答案)C、ORACLED、Information?Base32. 智慧墙的可信主机功能未开启时（）A、任何PC可以管理设备(正确答案)B、任何PC不可管理设备C、只有直连PC可以管理设备D、只有IP为10.0.0.44的PC可以管理设备33. 状态检测技术的优点不包括下列哪一个？A、执行效率高B、良好的伸缩性和扩展性C、安全性高D、不容易受到欺骗(正确答案)34. 下列哪些场景适合智慧防火墙部署？<br>①互联网出口<br>②数据中心核心业务区边界<br>③内网失陷主机检测<br>④政务内网和外网边界A、①②④B、①②C、①②③④(正确答案)D、①②③35. 虚拟系统拥有智慧防火墙的大部分功能，以下那些功能是虚拟子系统具备的？A、VPNB、特征库升级C、用户认证D、文件过滤(正确答案)36. 以下不属于智慧防火墙HA配置要点的是？A、优先级B、HA组C、心跳接口D、模板(正确答案)37. 下面关于服务器的负载均衡算法智慧防火墙不支持的是？A、HASHB、连接数(正确答案)C、链路带宽D、流量E、轮询38. 不是智慧防火墙主要的威胁情报来源的是？A、沙箱(正确答案)B、天擎系统C、安全云系统D、SMAC系统E、360天眼39. 智慧防火墙云防功能不包括下面那些选项？A、病毒云查杀B、URL云识别C、云沙箱D、云主机(正确答案)40. 智慧防火墙不可以添加以下哪些接口？A、聚合接口B、虚拟线接口(正确答案)C、ADSL接口D、添加4G接口E、回环接口41. 用户使用SMAC对防火墙进行集中管理时，防火墙上需要指定SMAC的IP 地址及端口号，这个默认端口是（）A、3389B、3062C、3061(正确答案)D、960042. SMAC可以集中对智慧防火墙进行统一管理，以下哪些功能是SMAC不能实现的?（）A、下发对象B、下发安全策略C、下发VPN策略(正确答案)D、下发系统升级包E、下发特征库升级包43. 在智慧防火墙Web配置界面，选择“系统配置 > 设备管理 > 管理主机”，选择“管理端口”页签，涉及到的服务和默认端口是（）A、telnet 22、 ssh23、http80B、telnet 22、 ssh23、http80、https443C、ssh22、http80、https443D、telnet 23、 ssh22、http80、https443(正确答案)44. 在“设备管理 > 登录设置”中不属于密码复杂度要求的是（）A、包含字母、数字、特殊字符(如问号、引号等)B、包含字母、数字、不包含特殊字符(如问号、引号等)C、包含字母、数字D、包含字母、数字、特殊字符(除问号、引号等)(正确答案)45. 有关Access端口的报文收发规则理解有误的是？（）A、Access端口通常是从终端PC中接收报文B、Access端口在收到一个报文后,如果报文中没有VLAN标记则打上该Access 端口的PVID后继续转发C、Access端口在收到一个报文后,如果报文中有VLAN标记则去掉tag标签再进行转发(正确答案)D、Access端口在收到一个报文后,如果报文中有VLAN标记则默认直接丢弃46. 有关Trunk端口的报文收发规则理解正确的是？（）A、在Trunk端口上接收报文时,先会将接收到的报文的VLAN标记与Trunk端口的PVID进行比较,如果与PVID相等,则从报文中去掉VLAN标记再发送;如果与PVID不相等,则直接发送B、如果将交换机级连端口都设置为Trunk,并允许所有VLAN通过后,默认情况下所有VLAN中的报文将直接发送C、在Trunk端口收到一个报文时,会首先判断是否有VLAN信息:如果有VLAN 标记,则打上该Trunk端口的PVIDD、在Trunk端口收到一个报文时,会首先判断是否有VLAN信息:如果有VLAN 标记,判断该Trunk端口是否允许该VLAN的报文进入,如果允许则直接转发,否则丢弃(正确答案)47. 对于智慧防火墙L2模式（Trunk）的配置思路正确的是（）<br>①配置安全策略<br>②配置接口所属安全域<br>③设置接口的Trunk属性<br>④创建地址/服务对象（可选）A、①②③④B、③②④①(正确答案)C、①③④②D、③④②①48. 智慧防火墙中有关物理子接口的格式正确的是（）A、ge1-1(正确答案)B、ge0-0-1C、ge0-0.1D、ge0/0.149. 关于智慧防火墙聚合接口的说法正确的是（）A、聚合接口只支持二层汇聚、不支持三层汇聚B、最多可支持8个物理接口的聚合(正确答案)C、聚合接口将多个物理接口聚合为一个逻辑接口,可以实现接口备份,但无法增加带宽D、最多可支持10个物理接口的聚合50. 在智慧防火墙添加聚合接口时可以设置LACPDU包传输速率的快慢，对于此处的快和慢理解最恰当的是（）A、"慢",则故障收敛快,占用资源少,因此此时的效果为高性能、低可靠B、"慢",则故障收敛慢,占用资源少,因此此时的效果为低性能、低可靠C、"快",则故障收敛快,占用资源少,效果相对来说就为高可靠、低性能D、"快",则故障收敛快,占用资源多,效果相对来说就为高可靠、低性能(正确答案)。

12级防火墙期中（类似题）作者：学良1.请问以下访问控制列表是否正确，列表中是否存在有规则冲突，如有，请说明。

知识点：①：列表1.②：列表2规则冲突类型：无用冲突---列表不会经过该路由器，所以列表无效，只会浪费系统资源。

屏蔽冲突：列表2包含于列表1.泛化冲突：列表1包含于列表2.关联冲突：列表1于列表2的动作只是相反（permit/deny）。

冗余冲突：列表1于列表2的动作是相同，且都能匹配相同的数据包。

解决办法：列表有子集时候，把子集放前；列表相等时候，去掉其中一条。

本题中：4和5----------屏蔽冲突1和6；7和8----------泛化冲突1和3---------关联冲突2.（1）请根据以下描述，给出一个防火墙的部署结构，并画出大致的示意图表示。

某公司一共有十台主机，IP地址从192.168.0.1-192.168.0.10，网关地址192.168.0.0，DNS地址：192.168.0.10。

其中192.198.0.10主机被作为企业WWW服务器，其余主机被分配给员工使用。

要求：①使企业内部主机可以上网，并且确保安全；②外网主机只可以访问企业的www服务器，而不可以访问到员工主机。

（2）上述的防火墙结构是否存在有安全隐患，如果有？请举例说明。

（3）如果上述防火墙存在有安全隐患，能否解决这个安全隐患，请给出解决方案。

说明原因，并给出大致的示意图。

解：（1）（2）有。

如果路由表项被修改，则代理失效。

（3）可以，建立屏蔽子网防火墙。

3.下图为屏蔽主机防火墙示意图，外网IP ：10.0.0.1，请给出它的路由表项，访问控制列表和路由应当如何重定向。

Internet堡垒主机202.112.108.8过滤路由器主机202.112.108.7内部网络202.112.108.0目的 转发至202.112.108.0 202.112.108.8解：序号 源地址 源端口 目的地址目的端口 协议 动作 方向1 10.0.0.1 * 202.112.108.8 * * permit in2 10.0.0.1 * 202.112.108.0-7 * * Deny （重定向） in3 202.112.108.8 * 10.0.0.1 * * permit out4 202.112.108.0-7 * 10.0.0.1 * * Deny （重定向） out 5*****deny*4、某公司通过PIX 防火墙接入Internet ，网络拓扑如下图所示。