CIW网络安全基础与防火墙试题(卷)(第三套)

防火墙试题1.“NDR”的中文释义是什么（）A.基于网络的检测与响应(正确答案)B.基于主机的杀毒C.基于网络的漏洞防护D.基于网络的反病毒2.智慧墙支持哪种封装模式（）A.IP模式B.隧道模式(正确答案)C.TCP模式D.传输模式3.不能与智慧墙实现智能化的协同联动的是（）A、沙箱B.云端威胁情报中心C.终端安全管理系统D.上网行为管理(正确答案)4、下面那个选项可以查看智慧墙的设备信息？A.show systemB.show system info(正确答案)C.show system lsD.show capacity5、以下那些属于7层隧道技术？A.L2TPB.PPTPC.GRED.SSL(正确答案)6、MD5值的长度是？A.128bit(正确答案)B.64bitC.32bitD.16bit7、智慧墙不支持那些过滤？A.URL过滤B.文件过滤C.内容过滤D.行为过滤(正确答案)8、虚拟系统数量由License控制, NSG9000设备建议的虚拟系统最大个数为？A、6B、8C.10(正确答案)D、129、智慧墙如何开启debug？A.debug dp onB.debug dp upC.debug dp flow(正确答案)D.debug dp start10、HA主备模式下链路探测到某地址探测失败的原因？A.接口FLOAT地址未正常同步B.接口未UPC.安全策略未正常同步D.接口未配置STATIC地址(正确答案)11、在没有NAT环境下, IKE 协商的端口是A.500(正确答案)B.4500C、50D、5112.IKE协商由几个阶段组成（）A、1B.2(正确答案)C、3D、413.ipsec vpn支持以下哪种引流方式（）A.策略引流B.路由引流C.策略和路由引流(正确答案)D.安全引流14、IPSEC SA是基于以下哪种方式协商的？A.利用SSL VPN自协商方式B.利用PPTP协商方式C.利用GRE自协商方式D.利用IKE自协商方式(正确答案)15、Blacklist在智慧墙的Flow流程中属于第几个处理单元？A.1(正确答案)B、2C、3D、416.以下关于Flow流程中的慢转发说法正确的是（）A.慢转发流程中SNAT,路由,DNAT的匹配顺序为:SNAT-DNAT-路由B.慢转发流程中SNAT,路由,DNAT的匹配顺序为:路由-SNAT-DNATC.慢转发流程中SNAT,路由,DNAT的匹配顺序为:DNAT-路由-SNAT(正确答案)D.无顺序17、通常是需要放行（）流量的时候使用SNAT功能中动态地址NAT为不转换类型？A.用户认证B.ADSL拨号C.IPSEC(正确答案)D.策略路由18、以下关于SSL代理功能的主要作用描述正确的是（）A.SSL代理功能包含SSL VPN模块B.SSL代理功能包含IPSECVPN模块C.SSL代理功能是对SSL加密的数据进行代理解密,解析用户的行为以及数据,进而对用户的行为进行控制,主要应用于对高级功能IPS,AV,内容检测,文件检测,上网行为管理,URL过滤(正确答案)D.SSL代理功能是为了创建SESSION19、TCP/Ip体系结构中的TCP协议所提供的服务是（）A.链路层服务B.网络层服务C.传输层服务(正确答案)D.应用层服务20、在TCP三次握手中, 第一次握手时客户端向服务端发送一个（）来请求建立连接A.SYN包(正确答案)B.SCK包C.UDP包D.NULL包21.以下哪种原因会引起的穿透防火墙的内网PC无法访问外网A.LICENSE过期,已重启B.未设置安全策略C.未设置源NATD.以上都是(正确答案)22、当发现防火墙日志中有大量的某ip对防火墙进行暴力破解时防火墙应开启哪个功能进行防护？A.安全策略B.地址黑名单和登陆安全策略(正确答案)C.IPSD、AV23.以下哪个选项是防火墙产品的核心功能A.路由转发B.抗攻击C.用户认证D.访问控制(正确答案)24.以下哪个选项是防火墙产品的主要性能指标A.防火墙重量B.防火墙高度C.网络接口数D.并发连接数(正确答案)25、攻击防护策略是基于以下哪个模块的？A.安全域B.物理接口(正确答案)C、IPD.VLAN接口26、以下防火墙恢复出厂配置的方法错误的是？A.页面点击恢复出厂设置按钮B.在CLI下执行reset命令并重启C.掉电重启(正确答案)D、27、防火墙接口不支持以下哪种工作模式A.路由模式B.交换模式C.旁路模式D.透明模式(正确答案)28、防火墙的Channel模式不包括以下哪一项（）A.FloatB、热备C.802.3ad(正确答案)D、轮询29、以下关于智慧墙中路由的优先处理顺序错误的是（）A.策略路由--ISP路由--缺省路由B.直连路由 -- 静态路由 --策略路由C.静态路由-- 策略路由 -- ISP路由D.ISP路由--策略路由---缺省路由(正确答案)30、防火墙无法与时间服务器进行同步, 在防火墙与NTP服务器路由可达的情况下, 以下最有可能产生此问题的是？A.防火墙HOSTNAME配置错误B.未将NTP服务器设置为主用服务器C.NTP最大调整时间超过误差时间(正确答案)D.防火墙未配置安全策略31、智慧墙中针对虚拟系统接口的作用说法正确的是？A.用于虚拟系统间通信(正确答案)B.用于LOOPBACKC.用于动态路由ROUTER-IDD.无意义32.拒绝某些非法的IP地址或MAC地址流量的有效手段是哪个A.安全策略B.黑白名单(正确答案)C.服务器负载均衡D.IP-MAC绑定33、根据对报文的封装形式, IPsec工作模式分为A.隧道模式(正确答案)B.主模式C.野蛮模式D.B和C34、新配置的关键字或对关键字修改后必须单击哪个功能按钮, 配置或修改才生效A、查看B、增加C、编辑D.提交(正确答案)35、关于安全域, 下列说法错误的是（）A.一个物理口不可同时属于二层安全域和三层安全域B.一个安全域必须包含任何物理接口(正确答案)C.物理接口配置为路由模式,则该接口需手动加入三层安全域D.物理接口配置为交换模式,则该接口手动加入二层安全域36、关于本地地址类型, 下列说法正确的是（）A.在开启HA功能时,STATIC类型的IP地址仅用于管理防火墙(正确答案)B.STATIC类型地址可以用于NAT、VPN等功能使用C.FLOAT类型的地址和Static类型的地址无差别D.在HA环境中,STATIC类型的IP地址会同步给对端防火墙37、关于防火墙HA功能说法错误的是？A.HA组优先级数字越小,优先等级越高(正确答案)B.HA支持配置和动态信息同步C.HA心跳接口支持channel口D.HA只支持配置0和1两个HA组38、关于非对称加密, 下列说法错误的是（）A.相比对称加密,非对称加密效率高(正确答案)B.公钥密钥和私钥密钥总是成对出现,公钥用来加密,私钥用来解密C.公钥和私钥不能互相导推D.安全性高39、关于桥功能说法错误的是？A.只能将两个物理接口加入桥(正确答案)B.桥模式可以传输带VLAN TAG的报文C.桥配置可以通过HA做主备同步D.桥可以配置为桥接口并添加IP地址40、关于日志查询, 以下说法哪个是正确的（）A.不勾选记录日志也可产生模糊日志B.不勾选记录日志也可产生流量日志C.勾选记录日志不可产生模糊日志,但可以产生流量日志D.勾选记录日志才可以产生流量日志(正确答案)41、黑客利用IP地址进行攻击的方法有？A.IP欺骗(正确答案)B、解密C.窃取口令D.发送病毒42.以下哪个选项可以帮助用户在安全策略列表中寻找是否存在冗余或无法生效的规则A.应急响应消息B.策略命中优化C.冗余策略检查(正确答案)D.协同联动43、建立IPSEC vpn隧道建立时, IKE协商支持的模式不包括（）A.主模式B.野蛮模式C、国密D.ESP(正确答案)44、将一个局域网连入Internet, 首选的设备是（）A.中继器B.交换机C、网桥D.防火墙(正确答案)45.接口下的对称路由模块一般应用在以下哪种场景下（）A.多出口场景(正确答案)B.HA主备场景C.路由条目较多的场景D.HA负载均衡场景46、在多台设备双机串行环境下, 当设备上行/下行的链路出现故障时, 为了让下行/上行的链路也能够快速感知故障并进行切换, 此时需要什么功能（）A.安全策略B.IPSECC.接口联动(正确答案)D、HA47、高可用性环境下如果HA心跳口不通会出现以下哪种情况？A.主备墙的配置无法同步(正确答案)B.流经防火墙的业务断掉C.接口上的动态地址无法生效D.路由无法生效48、某用户内网有web服务器对外提供服务, 某天发现web站点访问异常缓慢, 甚至无法访问, 同时服务器cpu利用率高, 请问最有可能受到了什么攻击？A.UDP FLOODB.TCPFLOOD(正确答案)C.IP欺骗D.圣诞树攻击49、文件过滤支持的应用协议有____A.邮件协议(POP3.IMAP、SMTP)B.FTPC.HTTPD.以上所有选项(正确答案)50、如果某一数据包不能命中安全策略列表中的任何一条安全策略时, 执行的动作为？A、放行B.禁止(正确答案)C、转发D.以上都不对。

答案1、（单选题）根据《网络安全法》的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在（）。

因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的，依照其规定。

A.境外存储B.外部存储器储存C.第三方存储D.境内存储正确答案：D2、（单选题）国家鼓励开发网络数据安全保护和利用技术，促进（）开放，推动技术创新和经济社会发展。

A.公共图书馆资源B.国家数据资源C.公共学校资源D.公共数据资源正确答案：D3、（单选题）国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的（）和水平，形成全社会共同参与促进网络安全的良好环境。

A.网络安全意识B.网络诚信意识C.网络社会道德意识D.网络健康意识正确答案：A4、（单选题）根据《网络安全法》的规定，国家实行网络安全（）保护制度。

A.等级B.分层C.结构D.行政级别正确答案：A5、（单选题）《网络安全法》规定，各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并（）有关单位做好网络安全宣传教育工作。

A.指导、督促B.支持、指导C.鼓励、引导D.支持、引导正确答案：A6、（单选题）国家建立和完善网络安全标准体系。

（）和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

A.电信研究机构B.国务院标准化行政主管部门C.网信部门D.电信企业正确答案：B7、（单选题）网络产品、服务的提供者不得设置（），发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

A.恶意程序B.风险程序C.病毒程序D.攻击程序正确答案：A8、（单选题）国家推进网络安全（）建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

《CIW网络安全基础与防火墙》模拟试卷一、单项选择题(本大题共15小题，每小题2分，共30分)一．单选题 a b d c a a b a a d b a c d c 二．多选题abcd P1-15 abc P3-10 abc P4-12 abcd P4-28 abcd P6-15 abcd P6-16 abcd P7-3 abcd P7-4 abc P7-18 abcd P9-3 abcd P9-6 abc P3-10 abd P cd abcd P8-4 三．判断题 1 0 1 1 1 0 0 1 1 0 1 1 1 1 01.（ A ）使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么漏洞？。

A拒绝服务 B. 文件共享 C. BIND漏洞 D.远程过程调用2.（ B ）使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用？A访问控制列表 B.执行控制列表 C.身份验证D:数据加密3.（D ）针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是哪种防火墙的特点？A. 包过滤型;B. 应用级网关型;C. 复合型防火墙;D. 代理服务型4.（ C ）计算机犯罪的统计数字都表明计算机安全问题主要来源于A.黑客攻击;B. 计算机病毒侵袭;C. 系统内部;D. 信息辐射5.（ A ）下列协议中哪个是VPN常用的安全协议?A. PPTPB. SSLC.帧中继D.TLS6.（ A ）电路级网关是以下哪一种软/硬件的类型?A.防火墙;B.入侵检测软件;C.端口;D.商业支付程序7.（ B ）随着网络中用户数量的增长,Internet连接需求也不断增加,在考虑改善网络性能时,以下哪个是应该考虑的部分?A WINS服务器; B. 代理服务器; C. DHCP服务器; D.目录服务器8.（ A ）哪种加密方式是使用一个共享的密钥?A.对称加密技术B.非对称加密技术;C. HASH算法;D.公共密钥加密术;9.（A ）公司财务人员需要定期通过Email发送文件给他的主管,他希望只有主管能查阅该邮件,可以采取什么方法?A.加密;B.数字签名;C.消息摘要;D.身份验证10.（D ）下列不属于WEB管理员的管理工作的是:A.监视WEB服务器性能;B.确保站点安全;C.维护站点更新链接等;D.根据站点的发展升级软件11.（ B ）下列证书不使用X.509v3标准的是:A.服务器证书;B.数字证书;C.个人证书;D.发行者证书12.（ A ）以下代理服务器哪个可被Linux客户端使用?A. Microsoft proxy;B. FTP proxy;C. Winsock proxy;D. SOCKS proxy.13.（ C ）用户希望在Windows 2000上配置文件的审核功能,首先应该做什么?A.扩大磁盘容量B.使用FAT32格式化磁盘C.使用NTFS格式化磁盘D.使用RAID514.（ D ）以下哪个命令或工具可以使用户从远程终端登录系统?A. HOST;B. Finger;C. SetRequest;D.Telnet15.（ C ）防止盗用IP行为是利用防火墙的什么功能？A.防御攻击的功能;B.访问控制功能;C. IP地址和MAC地址绑定功能;D. URL过滤功能二、多选题(本大题共15小题，每空3分，共45分)16.（ABCD ）网络安全工作的目标包括：第1页，共8页A.信息机密性;B.信息完整性;C.服务可用性;D.可审查性17.（ABC ）加密技术的强度可通过以下哪几方面来衡量：A.算法的强度;B.密钥的保密性;C.密钥的长度;D.计算机的性能18.（ABC ）HASH加密使用复杂的数字算法来实现有效的加密,其算法包括：A. MD2B. MD4C. MD5D.MD819.（ABCD ）在PKI体系建立与发展的过程中，与PKI相关的标准主要包括：A. X.209（1988）ASN.1基本编码规则的规范;B. PKCS系列标准;C. OCSP在线证书状态协议;D.轻量级目录访问协议20.（ABCD ）以下属于木马的特点包括：A.自动运行性;B.隐蔽性;C.能自动打开特定端口;D. 具备自动恢复能力21. （ABCD ）木马也被称为黑客病毒,其攻击行为包括:A.搜索cache中的口令;B.扫描目标机器的IP地址;C.进行键盘记录;D.远程注册表的操作22. （ABCD ）防火墙对于一个内部网络来说非常重要,它的功能包括：A.创建阻塞点;B.记录Internet活动;C.限制网络暴露;D.包过滤23. （ABC D ）防火墙的包过滤功能会检查如下信息：A.源IP地址;B.目标IP地址;C.源端口;D. 目标端口24. （ABC ）Ipchains默认有以下哪些链表：A. IP input链;B. IP output链;C. IP forward链;D. IP Delete链25. （ABC D ）实施网络安全方案时,虽然网络各不相同,但有一些原则是通用的,包括：A.必须要有一个安全策略;B.不要采用独立使用的系统或技术;C.尽可能使损坏最小化;D.提供培训26. （ABC D ）数据备份是一种保护数据的好方法,可以通过以下措施来保证安全数据备份和存储：A.数据校验;B.介质校验;C.存储地点校验;D.过程校验27.（ABC ）加密技术的强度可通过以下哪几方面来衡量？A.算法的强度;B.密钥的保密性;C.密钥的长度;D.计算机的性能28.（ABD ）入侵检测的内容主要包括：A.独占资源、恶意使用;B.试图闯入或成功闯入、冒充其他用户;C.安全审计;D.违反安全策略、合法用户的泄漏29. （CD ）搜索引擎可用于索引和搜录以下哪些内容:A邮件; B. VPN服务器;C WWW文档; D.新闻组消息30. （ABCD ）在防火墙的“访问控制”应用中，内网、外网、DMZ三者的访问关系为：A.内网可以访问外网;B.内网可以访问DMZ区;C. DMZ区可以访问内网;D.外网可以访问DMZ区三、判断题(本大题共15小题，每小题2分，共30分)31.（1 ）Kerberos加密通过网络传输信息包，使信息更安全。

网络安全基础知识试题及答案网络安全基础知识试题及答案1.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型、拒绝服务、文件共享、BIND漏洞、远程过程调用2. 为了防御网络监听，最常用的方法是（B）、采用物理传输（非网络）、信息加密、无线网、使用专线传输3. 向有限的空间输入超长的字符串是哪一种攻击手段？(A)、缓冲区溢出；、网络监听、拒绝服务、IP欺骗4. 主要用于加密机制的协议是（D）、HTTP、FTP、TELNET、SSL账户及密码，这是属于何种攻击手段？（B）、缓存溢出攻击；、钓鱼攻击、暗门攻击；、DDOS攻击6.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号，这可以防止（B）、木马；、暴力攻击；、IP欺骗;、缓存溢出攻击基于账户名/口令认证基于摘要算法认证；基于PKI认证；基于数据库认证8 . 以下哪项不属于防止口令猜测的措施？（B ）5. 用户收到了一封可疑的电子邮件,要求用户提供银行7. 在以下认证方式中，最常用的认证方式是: (A)A 、严格限定从一个给定的终端进行非法认证的次数精品文档、确保口令不在终端上再现 、防止用户使用太短的口令 、使用机器产生的口令、防火墙 、加密狗 、认证 、防病毒、不用生日做密码 、不要使用少于5位的密码 、不要使用纯数字 、自己做服务器、跟用户名相同的密码 、使用生日作为密码 、只有4位数的密码 、10位的综合型密码12. 不属于计算机病毒防治的策略的是（ D ）A. 确认您手头常备一张真正“干净”的引导盘B.及时、可靠升级反病毒产品C.新购置的计算机软件也要进行病毒检测9.F 列不属于系统安全的技术是（B ）10. 抵御电子邮箱入侵措施中，不正确的是（D ）11. 不属于常见的危险密码是（D ）D. 整理磁盘13.针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是()防火墙的特点。

知识点题型分数题目内容可选项SFF难单选题2使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么漏洞？拒绝服务;文件共享;BIND漏洞;远程过程调用SFF难单选题2使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用？访问控制列表;执行控制列表;身份验证;数据加密SFF难单选题2针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是哪种防火墙的特点？包过滤型;应用级网关型;复合型防火墙;代理服务型SFF难单选题2计算机犯罪的统计数字都表明计算机安全问题主要来源于：黑客攻击;计算机病毒侵袭;系统内部;信息辐射SFF难单选题2下列协议中哪个是VPN常用的安全协议?PPTP;SSL;帧中继;TLSSFF难单选题2电路级网关是以下哪一种软/硬件的类型?防火墙;入侵检测软件;端口;商业支付程序SFF难单选题2随着网络中用户数量的增长,Internet连接需求也不断增加,在考虑改善网络性能时,以下哪个是应该考虑的部WINS服务器;代理服务器;DHCP服务器;目录服务器SFF难单选题2哪种加密方式是使用一个共享的密钥?对称加密技术;非对称加密技术;HASH算法;公共密钥加密术SFF难单选题2公司财务人员需要定期通过Email发送文件给他的主管,他希望只有主管能查阅该邮件,可以采取什么方法?加密;数字签名;消息摘要;身份验证SFF难单选题2下列不属于WEB管理员的管理工作的是:监视WEB服务器性能;确保站点安全;维护站点更新链接等;根据站点的发展升级软件SFF难单选题2下列证书不使用X.509v3标准的是:服务器证书;数字证书;个人证书;发行者证书SFF难单选题2以下代理服务器哪个可被Linux客户端使用?Microsoft proxy;FTPproxy;Winsock proxy;SOCKS proxy.SFF难单选题2用户希望在Windows 2000上配置文件的审核功能,首先应该做什么?扩大磁盘容量;使用FAT32格式化磁盘;使用NTFS格式化磁盘;使用RAID5SFF难单选题2以下哪个命令或工具可以使用户从远程终端登录系统?HOST;Finger;SetRequest;Telnet考试系统试题样题说明：1、题型只有单选题、多选题、判断题、技术技能、情景测试、案例分析、基本素养、论文八种题型2、建议同一知识点、同一题型的题目的分数应该相同3、可选项只对选择题有效，其他题型可选项为空。

防火墙试题（卷）和答案武汉职业技术学院总复习二班级：：学号：一．选择题1、对于防火墙不足之处，描述错误的是 D 。

A.无法防护基于尊重作系统漏洞的攻击B.无法防护端口反弹木马的攻击C.无法防护病毒的侵袭D.无法进行带宽管理2. 防火墙对数据包进行状态检测包过滤是，不可以进行过滤的是：D。

A: 源和目的IP地址B: 源和目的端口C: IP协议号D: 数据包中的容3. 防火墙对要保护的服务器作端口映射的好处是： D 。

A: 便于管理B: 提高防火墙的性能C: 提高服务器的利用率D: 隐藏服务器的网络结构，使服务器更加安全4. 关于防火墙发展历程下面描述正确的是 A 。

A.第一阶段：基于路由器的防火墙B. 第二阶段：用户化的防火墙工具集C. 第三阶段：具有安全尊重作系统的防火墙D: 第四阶段：基于通用尊重作系统防火墙5. 包过滤防火墙的缺点为： A 。

A. 容易受到IP欺骗攻击B. 处理数据包的速度较慢C: 开发比较困难D: 代理的服务（协议）必须在防火墙出厂之前进行设定6. 网用户通过防火墙访问公众网中的地址需要对源地址进行转换，规则中的动作应选择：B 。

A:Allow B：NAT C：SAT D：FwdFast7. 从安全属性对各种网络攻击进行分类，阻断攻击是针对B 的攻击。

A. 性B. 可用性C. 完整性D. 真实性8. VPN的加密手段为 C 。

A. 具有加密功能的防火墙B. 具有加密功能的路由器C. VPN的各台主机对各自的信息进行相应的加密D. 单独的加密设备9. 根据ISO的信息安全定义，下列选项中___ B _是信息安全三个基本属性之一。

A真实性B可用性C可审计性D可靠性10. 计算机病毒最本质的特性是__ C__。

A寄生性B潜伏性C破坏性D攻击性11. 防止盗用IP行为是利用防火墙的 C 功能。

A: 防御攻击的功能B: 访问控制功能C: IP地址和MAC地址绑定功能D: URL过滤功能12. F300-Pro是属于那个级别的产品 C 。

网络防火墙知识考试练习题目下载网络防火墙知识练习题1.防火墙处置中心的任务目标是什么？A、处置失陷和风险主机B、处置防火墙重启C、处置防火墙病毒升级D、处置配置备份2.防火墙用户认证支持哪些认证方式（）A、ADB、RadiusC、LDAPD、全都支持3.防火墙支持哪几种动态路由协议？A、RIP、OSPF、BGPB、EIGRP、OSPF、BGPC、RIP、OSPF、ISISD、RIP、OSPF4.非对称密钥算法有几个密钥？A、1B、2C、3D、45.关于防火墙报表功能的描述正确的是？A、所有型号都提供报表功能B、具有硬盘的型号支持报表功能C、无硬盘型号报表保存在内存中D、所有型号均不支持报表功能6.关于防火墙动态策略功能说法错误的是？A、可以通过与入侵防护策略、防弱口令扫描、360天眼系统、天擎系统的联动,生成动态策略信息B、在用户面临大量异常流量和攻击时,可以有效节省防火墙的资源C、动态策略一旦生成在防火墙不重启的情况下不会老化D、动态策略被命中后,生效时间会被刷新为此处指定的动态策略生效时间7.关于客户端到网关的IPSEC VPN，下列说法错误的是（）A、野蛮模式下ID类型必须为FQDNB、客户端野蛮模式支持扩展认证C、主模式下ID类型必须为addressD、客户端主模式支持扩展认证8.关于新一代智慧防火墙的产品优势以下说法错误的是（）A、新一代智慧防火墙对高级威胁的检测是由安全策略驱动的B、使用了第四代SecOS操作系统,性能强,稳定性高,可提供全景式的智能集中管理,实现智能化运维C、新一代智慧防火墙对高级威胁的检测是由安全大数据驱动的D、新一代智慧防火墙能够与云端、终端上的安全设施实现联动,构建动态,积极的防御体系9.关于智慧防火墙的转发流程，下列说法正确的是（）A、SNAT--Route--Policy--DNATB、DNAT--Route--Policy--SnatC、DNAT--Route--SNAT--PolicyD、DNAT--SNAT-Policy--Route10.关于状态检测的五元组的内容，下列描述哪个是正确的A、源地址、目的地址、源端口、目的端口、协议B、源地址、目的地址、源端口、目的端口、时间C、源地址、目的地址、源端口、目的端口、规则编号D、11.内网用户需要访问互联网，需要下列哪个策略实现此目的？A、SNATB、DNATC、SDATD、12.配置一条数据流穿墙时既做DNAT又做SNAT，关于此时SNAT配置说法正确的是（）A、配置SNAT的转换前匹配的目的地址应该为DNAT转换前的目的地址B、配置SNAT的转换前匹配的目的地址应该为DNAT转换后的目的地址C、不需要配置SNATD、说法全部正确13.日志导入功能支持导入____格式文件A、txtB、htmlC、csvD、以上所有选项14.如果VPN 网络需要运行动态路由协议并提供私网数据加密，通常采用什么技术手段实现A、GREB、GRE+IPSECC、L2TPD、L2TP+IPSEC15.如果想将多个IP进行统一策略管理，加到防火墙的哪个选项中最合适？A、地址B、地址组C、服务器地址D、服务器地址组16.实时流量日志在智慧墙的什么模块中查询？A、处置中心B、数据中心C、分析中心D、防火墙策略17.实现新一代智慧防火墙最优的安全防护能力，需要购买的许可包括以下哪些选项（）A、入侵防御许可和反病毒许可B、威胁情报许可C、应用识别和URL过滤D、全部正确18.数据完整性检查的相关算法是？A、DES算法B、3DES算法C、HASH算法D、RSA算法19.为什么说防火墙在用户的安全防护体系中处于非常重要的地位（）A、防火墙功能丰富B、防火墙发展历史悠久C、防火墙部署在网络边界的重要关口,是信息安全体系的第一道也是最后一道防线D、部署防火墙是强制要求20.为什么说新一代智慧墙防火墙可以弥补传统防护的不足（）A、传统防护手段不具备病毒、木马的防护能力B、传统防护手段性能低C、传统防护仅能基于静态特征识别已知威胁无法应对高级、高隐蔽性威胁D、传统防护无法与其他设备协同联动21.下列不属于防火墙功能的是？A、虚拟专用网(VPN)B、地址转换(NAT)C、访问控制D、终端准入22.下列新一代智慧墙防火墙性能排序正确的是（）A、TZ>TX>TE>TGB、TZ>TX>TG>TEC、TZ>TG>TX>TED、TX>TZ>TG>TE23.相对于DPI来说，下列哪项不是DPI的优点？A、包处理速度快B、维护成本低C、精确识别应用类型和协议D、识别加密传输的数据所属的应用24.新一代智慧防火墙产品形态有（）A、私有云虚拟新一代智慧墙B、公有云虚拟化新一代智慧防火墙C、专用硬件型新一代智慧防火墙D、全部正确25.以下对新一代智慧防火墙的介绍，哪项是正确的（）A、增强的智慧墙特性+基于NDR的智慧特性B、增强的智慧墙特性+病毒云查杀、URL云识别C、智慧防御+智慧感知+智慧管理D、全部正确26.以下对新一代智慧防火墙的型号系列描述，正确的是（）A、下一代极速防火墙:NSG3000/5000/7000/9000B、新一代智慧防火墙:NSG3000/5000/7000/9000C、下一代极速防火墙:NSG3500/5500/7500/9500D、新一代智慧防火墙:NSG3500/5500/7500/950027.以下关于HA环境下Static类型的ip地址说法错误的是（）A、Static类型的ip地址仅用于在开启HA功能时,管理防火墙使用B、Static类型的ip地址在开启HA功能,同步配置时,不会给对端防火墙C、Static类型地址可以用于HA状态同步D、HA环境下Static类型的地址不起作用28.以下哪个不是智慧墙设备三大中心系统？A、分析中心B、数据中心C、处置中心D、情报中心29.以下哪个智慧防火墙系列不支持内置硬盘（）A、高端NSG9000系列B、中高端NSG7000系列C、中低端NSG5000系列D、低端NSG3000系列30.以下哪些型号支持硬件bypass功能？A、NSG3500B、NSG7500C、NSG9500D、B和C31.在SNMP术语中通常被称为管理信息库是？A、sql serverB、MIBC、ORACLED、Information?Base32.智慧墙的可信主机功能未开启时（）A、任何PC可以管理设备B、任何PC不可管理设备C、只有直连PC可以管理设备D、只有IP为10.0.0.44的PC可以管理设备33.状态检测技术的优点不包括下列哪一个？A、执行效率高B、良好的伸缩性和扩展性C、安全性高D、不容易受到欺骗34.下列哪些场景适合智慧防火墙部署？①互联网出口②数据中心核心业务区边界③内网失陷主机检测④政务内网和外网边界A、①②④B、①②C、①②③④D、①②③35.虚拟系统拥有智慧防火墙的大部分功能，以下那些功能是虚拟子系统具备的？A、VPNB、特征库升级C、用户认证D、文件过滤36.以下不属于智慧防火墙HA配置要点的是？A、优先级B、HA组C、心跳接口D、模板37.下面关于服务器的负载均衡算法智慧防火墙不支持的是？A、HASHB、连接数C、链路带宽D、流量E、轮询38.不是智慧防火墙主要的威胁情报来源的是？A、沙箱B、天擎系统C、安全云系统D、SMAC系统E、360天眼39.智慧防火墙云防功能不包括下面那些选项？A、病毒云查杀B、URL云识别C、云沙箱D、云主机40.智慧防火墙不可以添加以下哪些接口？A、聚合接口B、虚拟线接口C、ADSL接口D、添加4G接口E、回环接口41.用户使用SMAC对防火墙进行集中管理时，防火墙上需要指定SMAC的IP地址及端口号，这个默认端口是（）A、3389B、3062C、3061D、960042.SMAC可以集中对智慧防火墙进行统一管理，以下哪些功能是SMAC不能实现A、下发对象B、下发安全策略C、下发VPN策略D、下发系统升级包E、下发特征库升级包43.在智慧防火墙Web配置界面，选择“系统配置> 设备管理> 管理主机”，选择“管理端口”页签，涉及到的服务和默认端口是（）A、telnet 22、ssh23、http80B、telnet 22、ssh23、http80、https443C、ssh22、http80、https443D、telnet 23、ssh22、http80、https44344.在“设备管理> 登录设置”中不属于密码复杂度要求的是（）A、包含字母、数字、特殊字符(如问号、引号等)B、包含字母、数字、不包含特殊字符(如问号、引号等)C、包含字母、数字D、包含字母、数字、特殊字符(除问号、引号等)45.有关Access端口的报文收发规则理解有误的是？（）A、Access端口通常是从终端PC中接收报文B、Access端口在收到一个报文后,如果报文中没有VLAN标记则打上该Access端口的PVID后继续转发C、Access端口在收到一个报文后,如果报文中有VLAN标记则去掉tag标签再进D、Access端口在收到一个报文后,如果报文中有VLAN标记则默认直接丢弃46.有关Trunk端口的报文收发规则理解正确的是？（）A、在Trunk端口上接收报文时,先会将接收到的报文的VLAN标记与Trunk端口的PVID进行比较,如果与PVID相等,则从报文中去掉VLAN标记再发送;如果与PVID 不相等,则直接发送B、如果将交换机级连端口都设置为Trunk,并允许所有VLAN通过后,默认情况下所有VLAN中的报文将直接发送C、在Trunk端口收到一个报文时,会首先判断是否有VLAN信息:如果有VLAN标记,则打上该Trunk端口的PVIDD、在Trunk端口收到一个报文时,会首先判断是否有VLAN信息:如果有VLAN标记,判断该Trunk端口是否允许该VLAN的报文进入,如果允许则直接转发,否则丢弃47.对于智慧防火墙L2模式（Trunk）的配置思路正确的是（）①配置安全策略②配置接口所属安全域③设置接口的Trunk属性④创建地址/服务对象（可选）A、①②③④B、③②④①C、①③④②D、③④②①48.智慧防火墙中有关物理子接口的格式正确的是（）A、ge1-1B、ge0-0-1C、ge0-0.1D、ge0/0.149.关于智慧防火墙聚合接口的说法正确的是（）A、聚合接口只支持二层汇聚、不支持三层汇聚B、最多可支持8个物理接口的聚合C、聚合接口将多个物理接口聚合为一个逻辑接口,可以实现接口备份,但无法增加带宽D、最多可支持10个物理接口的聚合50.在智慧防火墙添加聚合接口时可以设置LACPDU包传输速率的快慢，对于此处的快和慢理解最恰当的是（）A、"慢",则故障收敛快,占用资源少,因此此时的效果为高性能、低可靠B、"慢",则故障收敛慢,占用资源少,因此此时的效果为低性能、低可靠C、"快",则故障收敛快,占用资源少,效果相对来说就为高可靠、低性能D、"快",则故障收敛快,占用资源多,效果相对来说就为高可靠、低性能。

CIW模拟试题----网络安全基础与防火墙（第一套）2010-11）CIW模拟试题----网络安全基础与防火墙（第一套）说明：1、题型只有单选题、多选题、判断题、技术技能、情景测试、案例分析、基本素养、论文八种题型2、建议同一知识点、同一题型的题目的分数应该相同3、可选项只对选择题有效，其他题型可选项为空。

多个选项之间用“;”(分号)隔开5、答案DW中单选题只能是A-Z的一个字母;多选题可以是多个字母，DW中间没有分隔符;判断题只能是1或0，1表示对，0表示错误6、所有的题目和答案加起来不能超过6000个英文字符或者1000个汉字7、K值说明：当题型为情景测试与基本素养（为优选题）时，填入每一题得分比率，并且以";"(分号)隔开。

当为案例分析题时，在K值内填入每一小题最多答案备选数。

8、案例分析，在"可选项"DW中，不填写内容，在"答案"DW中，填写正确答案序号，并且以":"(冒号）隔开，每一小题，以";"（分号）隔开。

9、论文题，可选项、K值、答案均为空值。

一、单选题（每题2分，共22 题）题号: 1)防火墙对数据包进行状态检测过滤时，不可以进行检测过滤的是:源和目的IP地址;源和目的端口;IP协议号;数据包中的内容D题号: 2)防火墙对要保护的服务器作端口映射的好处是便于管理;提高防火墙的性能;提高服务器的利用率;隐藏服务器的网络结构，使服务器更加安全D题号: 3)内网用户通过防火墙访问公众网中的地址需要对源地址进行转换，规则中的动作应选择：Allow;NAT;SAT;FwdFast B 题号: 4)输入法漏洞通过什么端口实现的？21;23;445;3389 D题号: 5)不属于常见把被入侵主机的信息发送给攻击者的方法是：E-MAIL;UDP;ICMP;连接入侵主机D题号: 6)公司的WEB服务器受到来自某个IP地址的黑客反复攻击,你的主管要求你通过防火墙来阻止来自那个地址的所有连接,以保护WEB服务器,那么你应该选择哪一种防火墙?包过滤型;应用级网关型;复合型防火墙;代理服务型A题号: 7)关于防火墙发展历程下面描述正确的是: 第一阶段：基于路由器的防火墙; 第二阶段：用户化的防火墙工具集;第三阶段：具有安全操作系统的防火墙;第四阶段：基于通用操作系统防火墙A 题号: 8)防火墙能够: 防范恶意的知情者;防范通过它的恶意连接;防备新的网络安全问题;完全防止传送己被病毒感染的软件和文件B 题号: 9)关于入侵检测技术，下列哪一项描述是错误的？入侵检测系统不对系统或网络造成任何影响;审计数据或系统日志信息是入侵检测系统的一项主要信息来源;入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵;基于网络的入侵检测系统无法检查加密的数据流A题号: 10)安全扫描可以实现: 弥补由于认证机制薄弱带来的问题;弥补由于协议本身而产生的问题;弥补防火墙对内网安全威胁检测不足的问题;扫描检测所有的数据包攻击，分析所有的数据流C题号: 11)关于安全审计目的描述错误的是: 识别和分析未经授权的动作或攻击;记录用户活动和系统管理;将动作归结到为其负责的实体;实现对安全事件的应急响应D题号: 12)安全审计跟踪是: 安全审计系统检测并追踪安全事件的过程;安全审计系统收集并易于安全审计的数据;人利用日志信息进行安全事件分析和追溯的过程;对计算机系统中的某种行为的详尽跟踪和观察A题号: 13)以下哪一个最好的描述了数字证书？等同于在网络上证明个人和公司身份的身份证;浏览器的一标准特性，它使得黑客不能得知用户的身份;网站要求用户使用用户名和密码登陆的安全机制;伴随在线交易证明购买的收据A题号: 14)保证信息不能被未经授权者阅读,这需要用到: 加密;数字签名;消息摘要;身份验证A题号: 15) DNS服务使用的端口是: 21;80;53;20 C题号: 16)以下关于Cookies的说话正确的是：Cookies是一个图形文件;Cookies会包含可被用户激活的病毒;Cookies会在用户计算机上占用大量空间;Cookies被放在HTTP请求头部发送D题号: 17)下列不属于安全策略所涉及的方面是：物理安全策略;访问控制策略;信息加密策略;防火墙策略D题号: 18) 为避免攻击者监视数据包的发送,并分析数据包的大小以试图获取访问权,可以采用什么安全机制？身份验证;访问控制;流量填充;加密 C题号: 19) 用于在各种安全级别进行监控,便于察觉入侵和安全破坏活动的安全措施是：数字签名;审核跟踪;数据加密;安全标签 B题号: 20)从事计算机系统及网络安全技术研究并接收、检查、处理相关安全事件的服务性组织称为：CERT;SANS;ISSA;OSCE A 题号: 21) IPSEC能提供对数据包的加密,与它联合运用的技术是: SSL;PPTP;L2TP;VPN D题号: 22)在每天下午5点使用计算机结束时断开终端的连接属于：外部终端的物理安全;通信线的物理安全;窃听数据;网络地址欺骗 A二、多选题（每题3分，共10题）题号: 1) 计算机安全事件包括以下几个方面: 重要安全技术的采用;安全标准的贯彻;安全制度措施的建设与实施;重大安全隐患、违法违规的发现，事故的发生ABCD题号: 2)计算机安全事故包括以下几个方面: 因自然因素，导致发生危害计算机信息系统安全的事件;因自然因素，进入可能导致危害计算机信息系统安全的非正常运行状态的事件;因人为原因，导致发生危害计算机信息系统安全的事件;因人为原因，进入可能导致危害计算机信息系统安全的非正常运行状态的事件ABCD题号: 3)防火墙的设计时要遵循简单性原则,具体措施包括: 在防火墙上禁止运行其它应用程序;停用不需要的组件;将流量限制在尽量少的点上;安装运行WEB服务器程序ABC题号: 4)木马入侵的途径包括: 邮件附件;下载软件;网页脚本;文件传递ABCD题号: 5)非对称密钥加密的技术有: RSA;DSA;Diffie-Hellman;AES ABC题号: 6)网络安全工作的目标包括：信息机密性;信息完整性;服务可用性;可审查性ABCD题号:7)加密技术的强度可通过以下哪几方面来衡量：算法的强度;密钥的保密性;密钥的长度;计算机的性能ABC题号: 8)代理服务器在网络中应用非常广泛的,它除了实现代理上网外,还可以实现以下功能：缓存;日志和警报;验证;病毒防范ABC 题号: 9)以下能提高防火墙物理安全性的措施包括: 将防火墙放置在上锁的机柜;为放置防火墙的机房配置空调及UPS电源;制定机房人员进出管理制度;设置管理帐户的强密码ABC题号: 10)以下说法正确的有：只有一块网卡的防火墙设备称之为单宿主堡垒主机;双宿主堡垒主机可以从物理上将内网和外网进行隔离;三宿主堡垒主机可以建立DMZ 区;单宿主堡垒主机可以配置为物理隔离内网和外网ABC三、判断题（每题2分，共13题）题号: 1) 在考虑公司网络安全时,经过筛选出一种最好的安全技术加以应用,即能保障网络安全。

防火墙考试题库及答案一、单选题1. 防火墙的主要功能是什么？A. 网络加速B. 网络监控C. 数据加密D. 访问控制答案：D2. 以下哪项不是防火墙的类型？A. 包过滤型B. 状态检测型C. 应用层网关型D. 病毒防护型答案：D3. 防火墙通常部署在网络的哪个位置？A. 内部网络与外部网络之间B. 内部网络的不同子网之间C. 单个主机上D. 外部网络的不同子网之间答案：A二、多选题1. 防火墙可以提供哪些安全功能？A. 访问控制B. 入侵检测C. VPN支持D. 内容过滤答案：ABCD2. 以下哪些是防火墙的配置原则？A. 最小权限原则B. 多级防护原则C. 定期更新原则D. 单一职责原则答案：ABC三、判断题1. 防火墙可以完全防止所有网络攻击。

（错误）2. 防火墙配置时，应允许所有未被明确禁止的流量通过。

（错误）3. 防火墙的规则应定期进行审查和更新，以适应网络环境的变化。

（正确）四、简答题1. 简述防火墙的工作原理。

防火墙通过定义一系列的规则来控制网络流量的进出。

这些规则基于数据包的源地址、目的地址、端口号以及协议类型等信息。

防火墙检查每个通过的数据包，根据规则决定是允许还是拒绝该数据包的传输。

2. 描述状态检测型防火墙与包过滤型防火墙的主要区别。

状态检测型防火墙除了检查数据包的头部信息外，还会跟踪会话的状态，如建立、维持和终止。

它能够更准确地控制网络流量，提供更高级的安全保护。

而包过滤型防火墙仅基于数据包头部的信息进行过滤，不具备状态跟踪能力，因此安全性相对较低。

五、案例分析题某企业网络部署了防火墙，但最近频繁遭受外部攻击。

请分析可能的原因，并提出改进建议。

可能原因包括：防火墙规则配置不当，未能有效阻止恶意流量；防火墙软件版本过时，存在已知的安全漏洞；内部网络存在安全漏洞，被攻击者利用。

改进建议：重新审查并优化防火墙规则，确保只有合法流量被允许；及时更新防火墙软件，修补已知漏洞；加强内部网络安全管理，定期进行安全审计和漏洞扫描。