防火墙及入侵检测复习题132.docx

1、防火墙及入侵检测复习题132 复习题一、 填空1. 启明星辰安全网关可以在三种模式下工作：路由模式 、透明模式以及 混杂模式以适应不同的应用场景。 2. 防火墙 是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 3. IPsec使用传输模式和隧道模式保护通信数据。 4.屏蔽子网是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内网和外网分开。5. POP3协议在TCP的110端口上等待客户连接请求。6. 访问控制列表的配置有两种方式

2、：一种为允许所有流量包，接受受信任的IP包，拒绝其他所有的IP包；另一种为拒绝所有流量包，拒绝不受信任的IP包，接受其他所有的IP包。7. IPSec 包含两个主要协议：封装安全负载协议esp和 身份认证头协议AH。8. L2TP 是L2F和PPTP的结合，支持单用户多隧道同时传输。9在Cisco IOS中，网络地址的辨别和匹配并不是通过子网掩码，而是通过翻转验码。10. SSL协议是在传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术。 11. 所谓入侵，是指任何试图危及计算机资源的完整性、机密性或可用性的行为。12通用入侵检测框架把一个入侵检测系统划分成

3、4个相对独立的功能模块：事件产生器、事件分析器、相应单元 和事件数据库。13.DNS欺骗是通过破坏被攻击主机上的映射表，或破坏一个域名服务器来伪造IP地址和 域名的映射，从而冒充其他主机。 14. 传输模式IPSEC虚拟专用网，发送者将数据加密，数据的接收方实现信息的解密，在整个传输过程中都能保证信息的安全性。15.地址翻译技术主要有静态翻译、动态翻译和端口翻译三种工作方式。16. 按数据检测方法分类，入侵检测技术可分为基于误用检测的IDS 和基于异常检测的IDS两类，模型匹配检测属于误用检测的IDS 。17. 检测系统在检测时把系统的正常行为判为入侵行为的错误被称为 误报 ；检测系统在检测时

4、把某些入侵行为判为正常行为的错误现象称为漏报。18.拒绝服务攻击企图通过使你的服务计算机崩溃或者把它压垮来阻止为你提供服务，是一种较常见的攻击行为。二、名词解释1. NP：网络处理器 2 . 位转发率： 每秒中转发的位数3. 吞吐量：是指在没有帧丢失的情况下，设备能够接受的最大速率。4. 延时 ： 指测试数据帧最后一个比特到达后第一个比特从另一端离开的间隔5. 丢包率 ：指测试中所丢失数据包数量占所发送数据组的比率。6. 误用检测：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 7.虚警 检测系统在检测时把系统的正常行为判定为入

5、侵行为的错误8. VPN：虚拟专用网络 9. PKI：公钥基础设施。PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。10. IPSEC : 网络协议安全11.NAT：网络地址转换12IDS：入侵检测系统13.异常检测：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 14误报率：把系统正常行为判定为错误的概率。15.漏报率：把某些入侵行为判定为正常行为的概率三、简答1.地址转换的优点？解决地址紧张，保护内网2.简述包过滤、应用代理、状态检测防火墙的区别？包过滤和状态检测防火墙安全性弱，而应用代理防火墙安全性强。3

6、.简述P2DR安全模型思想？是在整体的安全策略的控制和指导下在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反应将系统调整到相对安全和风险最低的状态。4. 简述防火墙的优缺点。优点：1）允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络；2）保护网络中脆弱的服务；3）可以监视网络的安全性，并产生报警；4）集中安全性5）可以作为部署NAT的逻辑地址；6）增强保密性、强化私有权7）可以审计和记录Internet使用量；8）可以向客户发布信息。缺点：限制有用的网络服务；无法防护内网用户的攻击；不能防范不通过它的连接；不能完全防范病毒传播；不能防备数据驱动型的攻击

7、；不能防备新的网络安全问题5.IPSEC用密码技术从哪些方面保证数据的安全？数据源身份验证，数据加密6.什么是私有地址，共有多少个私有地址空间，请列举出来。10.0.0.0-10.255.255.255172.16.0.0-172.16.31.255.255192.168.0.0-192.168.255.2557. 为什么需要入侵检测系统？入侵行为日益严重：攻击工具唾手可得 ；入侵教程随处可见内部的非法访问：内部网的攻击占总的攻击事件的70%以上；没有监测的内部网是内部人员的“自由王国”；边界防御的局限：防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击

8、。防火墙不能防止Internet上下载被病毒感染的程序8简述入侵检测的任务。入侵检测的作用：监控网络和系统;发现入侵企图或异常现象;实时报警;主动响应;审计跟踪9分别叙述误用检测与异常检测原理？误用检测把非正常数据建立特征库进行匹配异常检测把正常的数据建立模型，不同的都是入侵10简述AH和ESP的区别.1.AH没有ESP的加密特性2.AH的身份验证是对整个数据包做出的，包括IP头部，ESP是对部分数据包做身份验证，不包括IP头部分。11.入侵检测系统的常见部署方式。共享模式、交换模式、隐蔽模式、Tap模式和In-line模式。12.简述防火墙常见的系统结构及其特点。1.双宿主网关（堡垒主机）可

9、以 转发应用程序，提供服务2.屏蔽主机网关，易于实现，安全性好，应用广泛3.屏蔽子网，在因特网之间建立一个被隔绝的子网，用两个数据包过滤路由器将一个子网分别与因特网与因特网隔开四、配置1.将内网用户通过地址转换，使得他们能够访问外网。2.通过网址过滤，禁止内网用户上游戏网站，如，能正常访问其它合法网站。1.进入系统管理网络，配置接IP地址2.进入WEB过滤器网络过滤新建，打开定义被过滤网址对象名称3.单击新建按钮，定义要过滤的网址4.回到添加网址条目界面，单击OK按钮，WEB过滤器定义完毕5.进入防火墙保护内容表新建，定义保护内容对象6.进入防火墙策略，新建访问控制策略7.配置防火墙路由，建立

10、路由映射3简要写出入侵检测系统的部署和配置。五选择题1. 关于“攻击工具日益先进，攻击者需要的技能日趋下降”，不正确的观点是_。 A.网络受到攻击的可能性将越来越大 B.网络受到攻击的可能性将越来越小 C.网络攻击无处不在 D.网络风险日益严重 2. 保证网络安全的最主要因素是_。 A.拥有最新的防毒防黑软件 B.使用高档机器 C.使用者的计算机安全素养 D.安装多层防火墙 3. 安全漏洞产生的原因很多，其中口令过于简单，很容易被黑客猜中属于？ A.系统和软件的设计存在缺陷，通信协议不完备 B.技术实现不充分 C.配置管理和使用不当也能产生安全漏洞 D.以上都不正确 4. 有关对称密钥加密技术

11、的说法，哪个是确切的？ A.又称秘密密钥加密技术，收信方和发信方使用相同的密钥 B.又称公开密钥加密，收信方和发信方使用的密钥互不相同 C.又称秘密密钥加密技术，收信方和发信方使用不同的密钥 D.又称公开密钥加密，收信方和发信方使用的密钥互不相同 5. 在使用者和各类系统资源间建立详细的授权映射，确保用户只能使用其授权范围内的资源，并且通过访问控制列表(ACL: Access Control List)来实现，这种技术叫做_。 A.资源使用授权 B.身份认证 C.数字签名 D.包过滤 E.以上都不正确 6. 为防止企业内部人员对网络进行攻击的最有效的手段是_。 A.防火墙 B.VPN（虚拟私用

12、网） C.网络入侵监测 D.加密 E.漏洞评估 7. 首先根据被监测系统的正常行为定义出一个规律性的东西，称为“写照”，然后监测有没有明显偏离“写照”的行为。这指的是入侵分析技术的_。 A.签名分析法 B.统计分析法 C.数据完整性分析法 D.以上都正确 8. 以下哪种方法主要通过查证文件或者对象是否被修改过，从而判断是否遭到入侵？ A.签名分析法 B.统计分析法 C.数据完整性分析法 D.以上都正确 9. 某入侵监测系统收集关于某个特定系统活动情况信息，该入侵监测系统属于哪种类型。 A.应用软件入侵监测系统 B.主机入侵监测系统 C.网络入侵监测系统 D.集成入侵监测系统 E.以上都不正确

13、10. 关于网络入侵监测的主要优点，哪个不正确。 A.发现主机IDS系统看不到的攻击 B.攻击者很难毁灭证据 C.快速监测和响应 D.独立于操作系统 E.监控特定的系统活动 11. _入侵监测系统对加密通信无能为力。 A.应用软件入侵监测系统 B.主机入侵监测系统 C.网络入侵监测系统 D.集成入侵监测系统 E.以上都不正确 12. 入侵防范技术是指_。 A.系统遇到进攻时设法把它化解掉，让网络和系统还能正常运转 B.攻击展开的跟踪调查都是事后进行，经常是事后诸葛亮，适时性不好 C.完全依赖于签名数据库 D.以上都不正确 13. 虚拟专用网(VPN)技术是指_。 A.在公共网络中建立专用网络，

14、数据通过安全的“加密管道”在公共网络中传播 B.在公共网络中建立专用网络，数据通过安全的“加密管道”在私有网络中传播 C.防止一切用户进入的硬件 D.处理出入主机的邮件的服务器 14. 可被授权实体访问并按需求使用的特性，即当需要时能否存取和访问所需的信息的特性是指信息的？ A.保密性 B.完整性 C.可用性 D.可控性 E.以上都正确15. 在网络攻击的多种类型中，以遭受的资源目标不能继续正常提供服务的攻击形式属于哪一种？ A.拒绝服务 B.侵入攻击 C.信息盗窃 D.信息篡改 E.以上都正确16.一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密、端到端加密。其中在节点处信息以明

15、文出现的是_。 A.链路加密方式 B.端对端加密方式 C.节点加密 D.都以明文出现 E.都不以明文出现17.防火墙（firewall）是指_。 A.防止一切用户进入的硬件 B.是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制进出网络的访问行为 C.记录所有访问信息的服务器 D.处理出入主机的邮件的服务器18.以下哪种方法主要通过查证文件或者对象是否被修改过，从而判断是否遭到入侵？ A.签名分析法 B.统计分析法 C.数据完整性分析法 D.以上都正确 19. 关于主机入侵监测的主要缺点，哪个不正确。 A.看不到网络活动 B.运行审计功能

16、要占用额外资源 C.主机监视感应器不通用 D.管理和实施比较复杂 E.对加密通信无能为力 20. 关于网络入侵监测的主要优点，哪个不正确。 A.发现主机IDS系统看不到的攻击 B.攻击者很难毁灭证据 C.快速监测和响应 D.独立于操作系统 E.监控特定的系统活动 21. 在一条地址消息的尾部添加一个字符串，而收信人可以根据这个字符串验明发信人的身份，并可进行数据完整性检查，称为_。 A.身份验证 B. 数据保密 C.数字签名 D.哈希（Hash）算法 E.数字证书 22. IP-Sec协议有两种模式,其中透明模式是指_。 A.把IP-Sec协议施加到IP数据包上，但不改变数据包原来的数据头 B

17、.把数据包的一切内容都加密（包括数据头），然后再加上一个新的数据头 C.把数据包的一切内容都加密（包括数据头），数据头不变 D.把IP-Sec协议施加到IP数据包上，然后再加一个新的数据头 23. 高安全性的防火墙技术是_。 A.包过滤技术 B.状态检测技术 C.代理服务技术 D.以上都不正确 24.入侵监测系统的优点,正确的是_。 A.能够使现有的安防体系更完善 B.能够更好地掌握系统的情况 C.能够追踪攻击者的攻击线路，能够抓住肇事者 D.便于建立安防体系 E.以上都正确 25. Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动，这种攻击方式是_？ A.特洛伊木马 B.

18、DDos攻击 C.邮件炸弹 D.逻辑炸弹26.对包过滤技术的不足，不正确的说法是_。 A.包过滤技术是安防强度最弱的防火墙技术 B.维护起来十分困难 C.Ip包的源地址、目的地址、TCP端口号是唯一可以用于判断是否包允许通过的信息 D.不能阻止IP地址欺骗，不能防止DNS欺骗 E.以上都不正确27.当一个数据传输通道的两个端点被认为是可信的时候，可以选择_解决方案。安全性主要在于加强两个VPN服务器之间加密和认证的手段。 A.远程访问VPN B.内部网VPN C.外联网VPN D.以上都不正确28.信息在存储或传输过程中保持不被修改、不被破坏和不被丢失的特性是指信息的？ A.保密性 B.完整性

19、 C.可用性 D.可控性 E.以上都正确29.在网络攻击的多种类型中，攻击者窃取到系统的访问权并盗用资源的攻击形式属于哪一种？ A.拒绝服务 B.侵入攻击 C.信息盗窃 D.信息篡改 E.以上都正确30.通常认为安防体系的最薄弱的环节是_。 A.人 B.技术 C.制度 D.产品31、按照检测数据的来源可将入侵检测系统（IDS）分为_。A基于主机的IDS和基于网络的IDSB基于主机的IDS和基于域控制器的IDSC基于服务器的IDS和基于域控制器的IDSD基于浏览器的IDS和基于网络的IDS32、一般来说入侵检测系统由3部分组成，分别是事件产生器、事件分析器和_。A控制单元 B检测单元 C解释单元

20、 D响应单元33、按照技术分类可将入侵检测分为_。A基于误用和基于异常情况B基于主机和基于域控制器C服务器和基于域控制器D基于浏览器和基于网络34、在网络安全中，截取是指未授权的实体得到了资源的访问权。这是对_。A可用性的攻击 B完整性的攻击C保密性的攻击 D真实性的攻击35、入侵检测的基础是 （1）A，入侵检测的核心是 （2）B。（1）（2） A. 信息收集 B. 信号分析 C. 入侵防护 D. 检测方法36、信号分析有模式匹配、统计分析和完整性分析等3种技术手段，其中_用于事后分析。A信息收集 B统计分析 C模式匹配 D完整性分析37、网络漏洞扫描系统通过远程检测_TCP/IP不同端口的服

21、务，记录目标给予的回答。A源主机 B服务器 C目标主机 D以上都不对38、下列选项中_不属于CGI漏洞的危害。A缓冲区溢出攻击 B数据验证型溢出攻击C脚本语言错误 D信息泄漏39.以下那个描述不是关于虚拟专用网络的描述（ ）。A. 虚拟专用网络的实施需要租用专线，以保证信息难以被窃听或破坏B. 虚拟专用网络需要提供数据加密，信息认证，身份认证和访问控制C. 虚拟专用网络的主要协议包括IPSEC,PPTP/L2TP,SOCKETS v5等D. 虚拟专用网络的核心思想是将数据包二次封装，在Internet上建立虚拟的网络40.Tom的公司申请到5个ip地址，要使公司的20台主机都能联到intern

22、et上，他需要防火墙的那个功能？A 假冒ip地址的侦测。B 网络地址转换技术。C 内容检查技术。D 基于地址的身份认证。41.Smurf攻击结合使用了ip欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。管理员可以再源站点使用的解决办法是：A 通过使用防火墙阻止这些分组进入自己的网络。B 关闭与这些分组的URL连接C 使用防火墙的包过滤功能，保证网络中的所有传输信息都具有合法的源地址。D 安装可清楚客户端木马程序的防病毒软件模块。42.包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。它不能进行如下哪一种操作：A 禁止外部网络用

23、户使用FTP。B 允许所有用户使用HTTP浏览INTERNET。C 除了管理员可以从外部网络Telnet内部网络外，其他用户都不可以。D 只允许某台计算机通过NNTP发布新闻。43.UDP是无连接的传输协议，由应用层来提供可靠地传输。它用以传输何种服务：A 44模型中，头数据封装在数据包的过程是在：传输层 网络层 数据链路层 物理层45协议时上用得最多的协议，为通信两端提供可靠地双向连接。以下基于协议的服务是： 46端口号用来区分不同的服务，端口号由分配，下面错误的是：使用端口。使用端口号。以下为保留端口号，以上动态分配。使用端口号。47.防火墙性能不包括( )。A. 防火墙的并发连接数 B.

24、 防火墙的包速率C. 防火墙的转发速率 D. 防火墙的启动时间48.对于防火墙不足之处，描述错误的是: （ ）。A.无法防护基于操作系统漏洞的攻击 B.无法防护端口反弹木马的攻击 C.无法防护病毒的侵袭 D.无法进行带宽管理49. 防火墙对要保护的服务器作端口映射的好处是 （ ）。A.便于管理B.提高防火墙的性能C.提高服务器的利用率D.隐藏服务器的网络结构，使服务器更加安全50.状态检查技术在OSI那层工作实现防火墙功能：A 链路层 B 传输层 C 网络层 D 会话层51.对状态检查技术的优缺点描述有误的是：A 采用检测模块检测状态信息。B 支持多种协议和应用。C 不支持检测RPC和UDP的

25、端口信息。D 配置复杂会降低网络的速度。52.JOE是公司的一名业务代表，经常要在外地访问公司的财务信息系统，他应该采用的安全、廉价的通讯方式是：A PPP连接到公司的RAS服务器上。 B 远程访问VPN C 电子邮件 D 与财务系统的服务器PPP连接53.下面关于外部网VPN的描述错误的有：A 外网VPN能保证包括TCP和UDP服务的安全。B 其目的在于保证数据传输中不被修改。C VPN服务器放在Internet上位于防火墙之外。D VPN可以建在应用层或网络层上。54.Socks5的优点是定义了非常详细的访问控制，它在OSI的那一层控制数据流：A 应用层 B 网络层 C 传输层 D 会话层

26、55.IPSEC协议是开放的VPN协议。对它的描述有误的是：A 适应于向IPv6迁移。 B 提供在网络层上的数据加密保护。C 支持动态的IP地址分配。 D 不支持除TCP/IP外的其它协议。56.IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由信息：A 隧道模式 B 管道模式 C 传输模式 D 安全模式57.有关PPTP（Point-to-Point Tunnel Protocol）说法正确的是：A PPTP是Netscape提出的。 B 微软从NT3.5以后对PPTP开始支持。C PPTP可用在微软的路由和远程访问服务上。D 它是传输层上的协议。58.有关L2TP（Layer 2

27、Tunneling Protocol）协议说法有误的是：A L2TP是由PPTP协议和Cisco公司的L2F组合而成。B L2TP可用于基于Internet的远程拨号访问。C 为PPP协议的客户建立拨号连接的VPN连接。D L2TP只能通过TCP/IP连接。59. 网络地址翻译的模式不包括（ ）。 A. 静态翻译 B. 动态翻译C. 负载平衡翻译 D. 随机地址翻译60.下列各种安全协议中使用包过滤技术，适合用于可信的LAN到LAN之间的VPN。即内部网VPN的是：A PPTP B L2TP C SOCKS v5 D IPsec 61目前在防火墙上提供了几种认证方法，其中防火墙设定可以访问内部

28、网络资源的用户访问权限是：A 客户认证 B会话认证 C 用户认证 D 都不是62.前在防火墙上提供了几种认证方法，其中防火墙提供授权用户特定的服务权限是：A 客户认证 B 会话认证 C 用户认证 D 都不是63.目前在防火墙上提供了几种认证方法，其中防火墙提供通信双方每次通信时的会话授权机制是：A 客户认证 B 会话认证 C 用户认证 D 都不是64.防火墙实现认证的方法中，采用通过数据包中的源地址来认证的是：A Password-Based AuthenticationB Address-Based AuthenticationC Cryptographic AuthenticationD

29、None of Above65.络入侵者使用sniffer对网络进行侦听，在防火墙实现认证的方法中，下列身份认证可能会造成不安全后果的是：A Password-Based AuthenticationB Address-Based AuthenticationC Cryptographic AuthenticationD None of Above66.internet发展的势头和防火墙的更新，防火墙的哪些功能将被取代：A 使用IP加密技术。B 日志分析工具。C 攻击检测和报警。D 对访问行为实施静态、固定的控制。67.驻留在多个网络设备上的程序在短时间内同时产生大量的请求信息冲击某个Web服务器，导致该服务器不堪重负，无法正常响应其它合法用户的请求，这属于 （ ） 。A.网上冲浪 B.中间人攻击 C.DDoS 攻击 D.MAC 攻击68.防火墙对数据包进行状态检测过滤时，不可以进行检测过滤的是:（ ） A.源和目的IP地址 B.源和目的端口 C.IP协议号 D.数据包中的内容69.是（ ）。A. 审计内外网间数据的硬件设备 B.审计内外网间数据的软件设备C. 审计内外网间数据的策略 D.以上的综合70.火墙能够 （ ）。A.防范恶意的内部知情者;