防火墙及入侵检测复习题132.docx
《防火墙及入侵检测复习题132.docx》由会员分享,可在线阅读,更多相关《防火墙及入侵检测复习题132.docx(17页珍藏版)》请在冰点文库上搜索。
防火墙及入侵检测复习题132
复习题
一、填空
1.启明星辰安全网关可以在三种模式下工作:
路由模式、透明模式以及混杂模式以适应不同的应用场景。
2.防火墙是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。
3.IPsec使用传输模式和隧道模式保护通信数据。
4.屏蔽子网是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内网和外网分开。
5.POP3协议在TCP的110端口上等待客户连接请求。
6.访问控制列表的配置有两种方式:
一种为允许所有流量包,接受受信任的IP包,拒绝其他所有的IP包;另一种为拒绝所有流量包,拒绝不受信任的IP包,接受其他所有的IP包。
7.IPSec包含两个主要协议:
封装安全负载协议esp和身份认证头协议AH。
8.L2TP是L2F和PPTP的结合,支持单用户多隧道同时传输。
9.在CiscoIOS中,网络地址的辨别和匹配并不是通过子网掩码,而是通过翻转验码。
10.SSL协议是在传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
11.所谓入侵,是指任何试图危及计算机资源的完整性、机密性或可用性的行为。
12.通用入侵检测框架把一个入侵检测系统划分成4个相对独立的功能模块:
事件产生器、事件分析器、相应单元和事件数据库。
13.DNS欺骗是通过破坏被攻击主机上的映射表,或破坏一个域名服务器来伪造IP地址和域名的映射,从而冒充其他主机。
14.传输模式IPSEC虚拟专用网,发送者将数据加密,数据的接收方实现信息的解密,在整个传输过程中都能保证信息的安全性。
15.地址翻译技术主要有静态翻译、动态翻译和端口翻译三种工作方式。
16.按数据检测方法分类,入侵检测技术可分为基于误用检测的IDS和基于异常检测的IDS两类,模型匹配检测属于误用检测的IDS。
17.检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报;检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。
18.拒绝服务攻击企图通过使你的服务计算机崩溃或者把它压垮来阻止为你提供服务,是一种较常见的攻击行为。
二、名词解释
1.NP:
网络处理器
2.位转发率:
每秒中转发的位数
3.吞吐量:
是指在没有帧丢失的情况下,设备能够接受的最大速率。
4.延时:
指测试数据帧最后一个比特到达后第一个比特从另一端离开的间隔
5.丢包率:
指测试中所丢失数据包数量占所发送数据组的比率。
6.误用检测:
收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
7.虚警检测系统在检测时把系统的正常行为判定为入侵行为的错误
8.VPN:
虚拟专用网络
9.PKI:
公钥基础设施。
PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
10.IPSEC:
网络协议安全
11.NAT:
网络地址转换
12.IDS:
入侵检测系统
13.异常检测:
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵
14.误报率:
把系统正常行为判定为错误的概率。
15.漏报率:
把某些入侵行为判定为正常行为的概率
三、简答
1.地址转换的优点?
解决地址紧张,保护内网
2.简述包过滤、应用代理、状态检测防火墙的区别?
包过滤和状态检测防火墙安全性弱,而应用代理防火墙安全性强。
3.简述P2DR安全模型思想?
是在整体的安全策略的控制和指导下在综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的反应将系统调整到相对安全和风险最低的状态。
4.简述防火墙的优缺点。
优点:
1)允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络;2)保护网络中脆弱的服务;3)可以监视网络的安全性,并产生报警;4)集中安全性5)可以作为部署NAT的逻辑地址;6)增强保密性、强化私有权7)可以审计和记录Internet使用量;8)可以向客户发布信息。
缺点:
限制有用的网络服务;无法防护内网用户的攻击;不能防范不通过它的连接;不能完全防范病毒传播;不能防备数据驱动型的攻击;不能防备新的网络安全问题
5.IPSEC用密码技术从哪些方面保证数据的安全?
数据源身份验证,数据加密
6.什么是私有地址,共有多少个私有地址空间,请列举出来。
10.0.0.0-10.255.255.255
172.16.0.0-172.16.31.255.255
192.168.0.0-192.168.255.255
7.为什么需要入侵检测系统?
入侵行为日益严重:
攻击工具唾手可得;入侵教程随处可见
内部的非法访问:
内部网的攻击占总的攻击事件的70%以上;
没有监测的内部网是内部人员的“自由王国”;
边界防御的局限:
防火墙不能防止通向站点的后门。
防火墙一般不提供对内部的保护。
防火墙无法防范数据驱动型的攻击。
防火墙不能防止Internet上下载被病毒感染的程序
8.简述入侵检测的任务。
入侵检测的作用:
监控网络和系统;发现入侵企图或异常现象;实时报警;主动响应;审计跟踪
9.分别叙述误用检测与异常检测原理?
误用检测把非正常数据建立特征库进行匹配
异常检测把正常的数据建立模型,不同的都是入侵
10.简述AH和ESP的区别.
1.AH没有ESP的加密特性
2.AH的身份验证是对整个数据包做出的,包括IP头部,ESP是对部分数据包做身份验证,不包括IP头部分。
11.入侵检测系统的常见部署方式。
共享模式、交换模式、隐蔽模式、Tap模式和In-line模式。
12.简述防火墙常见的系统结构及其特点。
1.双宿主网关(堡垒主机)可以转发应用程序,提供服务
2.屏蔽主机网关,易于实现,安全性好,应用广泛
3.屏蔽子网,在因特网之间建立一个被隔绝的子网,用两个数据包过滤路由器将一个子网分别与因特网与因特网隔开
四、配置
1.将内网用户通过地址转换,使得他们能够访问外网。
2.通过网址过滤,禁止内网用户上游戏网站,如,能正常访问其它合法网站。
1.进入系统管理》网络,配置接IP地址
2.进入WEB过滤器》网络过滤》新建,打开定义被过滤网址对象名称
3.单击新建按钮,定义要过滤的网址
4.回到添加网址条目界面,单击OK按钮,WEB过滤器定义完毕
5.进入防火墙》保护内容表》新建,定义保护内容对象
6.进入防火墙》策略,新建访问控制策略
7.配置防火墙》路由,建立路由映射
3.简要写出入侵检测系统的部署和配置。
五.选择题
1.关于“攻击工具日益先进,攻击者需要的技能日趋下降”,不正确的观点是_____。
A.网络受到攻击的可能性将越来越大
B.网络受到攻击的可能性将越来越小
C.网络攻击无处不在
D.网络风险日益严重
2.保证网络安全的最主要因素是______。
A.拥有最新的防毒防黑软件
B.使用高档机器
C.使用者的计算机安全素养
D.安装多层防火墙
3.安全漏洞产生的原因很多,其中口令过于简单,很容易被黑客猜中属于?
A.系统和软件的设计存在缺陷,通信协议不完备
B.技术实现不充分
C.配置管理和使用不当也能产生安全漏洞
D.以上都不正确
4.有关对称密钥加密技术的说法,哪个是确切的?
A.又称秘密密钥加密技术,收信方和发信方使用相同的密钥
B.又称公开密钥加密,收信方和发信方使用的密钥互不相同
C.又称秘密密钥加密技术,收信方和发信方使用不同的密钥
D.又称公开密钥加密,收信方和发信方使用的密钥互不相同
5.在使用者和各类系统资源间建立详细的授权映射,确保用户只能使用其授权范围内的资源,并且通过访问控制列表(ACL:
AccessControlList)来实现,这种技术叫做____。
A.资源使用授权B.身份认证C.数字签名D.包过滤E.以上都不正确
6.为防止企业内部人员对网络进行攻击的最有效的手段是________。
A.防火墙B.VPN(虚拟私用网)C.网络入侵监测D.加密E.漏洞评估
7.首先根据被监测系统的正常行为定义出一个规律性的东西,称为“写照”,然后监测有没有明显偏离“写照”的行为。
这指的是入侵分析技术的_____。
A.签名分析法B.统计分析法C.数据完整性分析法D.以上都正确
8.以下哪种方法主要通过查证文件或者对象是否被修改过,从而判断是否遭到入侵?
A.签名分析法B.统计分析法C.数据完整性分析法D.以上都正确
9.某入侵监测系统收集关于某个特定系统活动情况信息,该入侵监测系统属于哪种类型。
A.应用软件入侵监测系统B.主机入侵监测系统C.网络入侵监测系统
D.集成入侵监测系统E.以上都不正确
10.关于网络入侵监测的主要优点,哪个不正确。
A.发现主机IDS系统看不到的攻击B.攻击者很难毁灭证据
C.快速监测和响应D.独立于操作系统
E.监控特定的系统活动
11._____入侵监测系统对加密通信无能为力。
A.应用软件入侵监测系统B.主机入侵监测系统
C.网络入侵监测系统D.集成入侵监测系统E.以上都不正确
12.入侵防范技术是指_____。
A.系统遇到进攻时设法把它化解掉,让网络和系统还能正常运转
B.攻击展开的跟踪调查都是事后进行,经常是事后诸葛亮,适时性不好
C.完全依赖于签名数据库D.以上都不正确
13.虚拟专用网(VPN)技术是指_____。
A.在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播
B.在公共网络中建立专用网络,数据通过安全的“加密管道”在私有网络中传播
C.防止一切用户进入的硬件
D.处理出入主机的邮件的服务器
14.可被授权实体访问并按需求使用的特性,即当需要时能否存取和访问所需的信息的特性是指信息的?
A.保密性B.完整性C.可用性D.可控性E.以上都正确
15.在网络攻击的多种类型中,以遭受的资源目标不能继续正常提供服务的攻击形式属于哪一种?
A.拒绝服务B.侵入攻击C.信息盗窃D.信息篡改E.以上都正确
16.一般的数据加密可以在通信的三个层次来实现:
链路加密、节点加密、端到端加密。
其中在节点处信息以明文出现的是____。
A.链路加密方式B.端对端加密方式
C.节点加密D.都以明文出现E.都不以明文出现
17.防火墙(firewall)是指_______。
A.防止一切用户进入的硬件
B.是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制进出网络的访问行为
C.记录所有访问信息的服务器
D.处理出入主机的邮件的服务器
18.以下哪种方法主要通过查证文件或者对象是否被修改过,从而判断是否遭到入侵?
A.签名分析法B.统计分析法C.数据完整性分析法D.以上都正确
19.关于主机入侵监测的主要缺点,哪个不正确。
A.看不到网络活动
B.运行审计功能要占用额外资源
C.主机监视感应器不通用
D.管理和实施比较复杂
E.对加密通信无能为力
20.关于网络入侵监测的主要优点,哪个不正确。
A.发现主机IDS系统看不到的攻击
B.攻击者很难毁灭证据
C.快速监测和响应
D.独立于操作系统
E.监控特定的系统活动
21.在一条地址消息的尾部添加一个字符串,而收信人可以根据这个字符串验明发信人的身份,并可进行数据完整性检查,称为____。
A.身份验证B.数据保密C.数字签名D.哈希(Hash)算法E.数字证书
22.IP-Sec协议有两种模式,其中透明模式是指____。
A.把IP-Sec协议施加到IP数据包上,但不改变数据包原来的数据头
B.把数据包的一切内容都加密(包括数据头),然后再加上一个新的数据头
C.把数据包的一切内容都加密(包括数据头),数据头不变
D.把IP-Sec协议施加到IP数据包上,然后再加一个新的数据头
23.高安全性的防火墙技术是_____。
A.包过滤技术B.状态检测技术C.代理服务技术D.以上都不正确
24.入侵监测系统的优点,正确的是_____。
A.能够使现有的安防体系更完善
B.能够更好地掌握系统的情况
C.能够追踪攻击者的攻击线路,能够抓住肇事者
D.便于建立安防体系
E.以上都正确
25.Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动,这种攻击方式是______?
A.特洛伊木马B.DDos攻击C.邮件炸弹D.逻辑炸弹
26.对包过滤技术的不足,不正确的说法是____。
A.包过滤技术是安防强度最弱的防火墙技术
B.维护起来十分困难
C.Ip包的源地址、目的地址、TCP端口号是唯一可以用于判断是否包允许通过的信息
D.不能阻止IP地址欺骗,不能防止DNS欺骗
E.以上都不正确
27.当一个数据传输通道的两个端点被认为是可信的时候,可以选择_____解决方案。
安全性主要在于加强两个VPN服务器之间加密和认证的手段。
A.远程访问VPNB.内部网VPNC.外联网VPND.以上都不正确
28.信息在存储或传输过程中保持不被修改、不被破坏和不被丢失的特性是指信息的?
A.保密性B.完整性C.可用性D.可控性E.以上都正确
29.在网络攻击的多种类型中,攻击者窃取到系统的访问权并盗用资源的攻击形式属于哪一种?
A.拒绝服务B.侵入攻击C.信息盗窃D.信息篡改E.以上都正确
30.通常认为安防体系的最薄弱的环节是_____。
A.人B.技术C.制度D.产品
31、按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDS
B.基于主机的IDS和基于域控制器的IDS
C.基于服务器的IDS和基于域控制器的IDS
D.基于浏览器的IDS和基于网络的IDS
32、一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
A.控制单元B.检测单元C.解释单元D.响应单元
33、按照技术分类可将入侵检测分为__________。
A.基于误用和基于异常情况B.基于主机和基于域控制器
C.服务器和基于域控制器D.基于浏览器和基于网络
34、在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对________。
A.可用性的攻击B.完整性的攻击
C.保密性的攻击D.真实性的攻击
35、入侵检测的基础是
(1)A,入侵检测的核心是
(2)B。
(1)
(2)
A.信息收集B.信号分析C.入侵防护D.检测方法
36、信号分析有模式匹配、统计分析和完整性分析等3种技术手段,其中_______用于事后分析。
A.信息收集B.统计分析C.模式匹配D.完整性分析
37、网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务,记录目标给予的回答。
A.源主机B.服务器C.目标主机D.以上都不对
38、下列选项中_________不属于CGI漏洞的危害。
A.缓冲区溢出攻击B.数据验证型溢出攻击
C.脚本语言错误D.信息泄漏
39.以下那个描述不是关于虚拟专用网络的描述()。
A.虚拟专用网络的实施需要租用专线,以保证信息难以被窃听或破坏
B.虚拟专用网络需要提供数据加密,信息认证,身份认证和访问控制
C.虚拟专用网络的主要协议包括IPSEC,PPTP/L2TP,SOCKETSv5等
D.虚拟专用网络的核心思想是将数据包二次封装,在Internet上建立虚拟的网络
40.Tom的公司申请到5个ip地址,要使公司的20台主机都能联到internet上,他需要防火墙的那个功能?
A假冒ip地址的侦测。
B网络地址转换技术。
C内容检查技术。
D基于地址的身份认证。
41.Smurf攻击结合使用了ip欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。
管理员可以再源站点使用的解决办法是:
A通过使用防火墙阻止这些分组进入自己的网络。
B关闭与这些分组的URL连接
C使用防火墙的包过滤功能,保证网络中的所有传输信息都具有合法的源地址。
D安装可清楚客户端木马程序的防病毒软件模块。
42.包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。
它不能进行如下哪一种操作:
A禁止外部网络用户使用FTP。
B允许所有用户使用HTTP浏览INTERNET。
C除了管理员可以从外部网络Telnet内部网络外,其他用户都不可以。
D只允许某台计算机通过NNTP发布新闻。
43.UDP是无连接的传输协议,由应用层来提供可靠地传输。
它用以传输何种服务:
A TELNETB SMTPC FTPD TFTP
44.OSI模型中,LLC头数据封装在数据包的过程是在:
A 传输层B 网络层C 数据链路层D 物理层
45.TCP协议时Internet上用得最多的协议,TCP为通信两端提供可靠地双向连接。
以下基于TCP协议的服务是:
A DNSB TFTPC SNMPD RIP
46.端口号用来区分不同的服务,端口号由IANA分配,下面错误的是:
A TELNET使用23端口。
B DNS使用53端口号。
C 1024以下为保留端口号,1024以上动态分配。
D SNMP使用69端口号。
47.防火墙性能不包括()。
A.防火墙的并发连接数B.防火墙的包速率
C.防火墙的转发速率D.防火墙的启动时间
48.对于防火墙不足之处,描述错误的是:
()。
A.无法防护基于操作系统漏洞的攻击B.无法防护端口反弹木马的攻击C.无法防护病毒的侵袭D.无法进行带宽管理
49.防火墙对要保护的服务器作端口映射的好处是()。
A.便于管理
B.提高防火墙的性能
C.提高服务器的利用率
D.隐藏服务器的网络结构,使服务器更加安全
50.状态检查技术在OSI那层工作实现防火墙功能:
A链路层B传输层C网络层D会话层
51.对状态检查技术的优缺点描述有误的是:
A采用检测模块检测状态信息。
B支持多种协议和应用。
C不支持检测RPC和UDP的端口信息。
D配置复杂会降低网络的速度。
52.JOE是公司的一名业务代表,经常要在外地访问公司的财务信息系统,他应该采用的安全、廉价的通讯方式是:
APPP连接到公司的RAS服务器上。
B远程访问VPN
C电子邮件D与财务系统的服务器PPP连接
53.下面关于外部网VPN的描述错误的有:
A外网VPN能保证包括TCP和UDP服务的安全。
B其目的在于保证数据传输中不被修改。
CVPN服务器放在Internet上位于防火墙之外。
DVPN可以建在应用层或网络层上。
54.Socks5的优点是定义了非常详细的访问控制,它在OSI的那一层控制数据流:
A应用层B网络层C传输层D会话层
55.IPSEC协议是开放的VPN协议。
对它的描述有误的是:
A适应于向IPv6迁移。
B提供在网络层上的数据加密保护。
C支持动态的IP地址分配。
D不支持除TCP/IP外的其它协议。
56.IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由信息:
A隧道模式B管道模式C传输模式D安全模式
57.有关PPTP(Point-to-PointTunnelProtocol)说法正确的是:
APPTP是Netscape提出的。
B微软从NT3.5以后对PPTP开始支持。
CPPTP可用在微软的路由和远程访问服务上。
D它是传输层上的协议。
58.有关L2TP(Layer2TunnelingProtocol)协议说法有误的是:
AL2TP是由PPTP协议和Cisco公司的L2F组合而成。
BL2TP可用于基于Internet的远程拨号访问。
C为PPP协议的客户建立拨号连接的VPN连接。
DL2TP只能通过TCP/IP连接。
59.网络地址翻译的模式不包括()。
A.静态翻译B.动态翻译
C.负载平衡翻译D.随机地址翻译
60.下列各种安全协议中使用包过滤技术,适合用于可信的LAN到LAN之间的VPN。
即内部网VPN的是:
APPTPBL2TPCSOCKSv5DIPsec
61目前在防火墙上提供了几种认证方法,其中防火墙设定可以访问内部网络资源的用户访问权限是:
A客户认证B会话认证C用户认证D都不是
62.前在防火墙上提供了几种认证方法,其中防火墙提供授权用户特定的服务权限是:
A客户认证B会话认证C用户认证D都不是
63.目前在防火墙上提供了几种认证方法,其中防火墙提供通信双方每次通信时的会话授权机制是:
A客户认证B会话认证C用户认证D都不是
64.防火墙实现认证的方法中,采用通过数据包中的源地址来认证的是:
APassword-BasedAuthentication
BAddress-BasedAuthentication
CCryptographicAuthentication
DNoneofAbove
65.络入侵者使用sniffer对网络进行侦听,在防火墙实现认证的方法中,下列身份认证可能会造成不安全后果的是:
APassword-BasedAuthentication
BAddress-BasedAuthentication
CCryptographicAuthentication
DNoneofAbove
66.internet发展的势头和防火墙的更新,防火墙的哪些功能将被取代:
A使用IP加密技术。
B日志分析工具。
C攻击检测和报警。
D对访问行为实施静态、固定的控制。
67.驻留在多个网络设备上的程序在短时间内同时产生大量的请求信息冲击某个Web服务器,导致该服务器不堪重负,无法正常响应其它合法用户的请求,这属于()。
A.网上冲浪B.中间人攻击C.DDoS攻击D.MAC攻击
68.防火墙对数据包进行状态检测过滤时,不可以进行检测过滤的是:
()A.源和目的IP地址B.源和目的端口C.IP协议号D.数据包中的内容
69.是()。
A.审计内外网间数据的硬件设备B.审计内外网间数据的软件设备
C.审计内外网间数据的策略D.以上的综合
70.火墙能够()。
A.防范恶意的内部知情者;
升级会员 