网络安全试题
一、选择题(单项选择每小题3分,不定项选择每小题6分,共计72分)
1、(不定项选择)防火墙的IP报文分片重组需要对报文中哪几个字段进行分析?[6’]
A.Identifier
B.Flags
C.Fragment Offset
D.Total Length
E.TTL
答案:__________
2、(不定项选择)为了保证设备正常运行、不受安全威胁,需要对设备进行安全加固,考虑正确的是?[6’]
A.从untrust、trust、dmz区域到local区域的安全策略只打开icmp、ssh登陆、
snmp等端口。
B.snmpv2版本和网管通信。
C.设置console密码、并且设置管理员界面的登陆超时时间和认证次数限制。
D.使用telnet协议进行设备管理。
答案:__________
3、(单选)关于防火墙NAPT技术,以下描述错误的是?[3’]
A.NAPT是一种利用第四层信息来扩展第三层地址的技术。
B.NAPT理论上可以实现65535个私有地址共享一个公网地址访问公网。
telnet ip 端口号C.NAPT将源IP地址和源端口号都进行了转换。
D.防火墙配置NAPT时,安全策略应该匹配地址转换后的IP地址。
答案:__________
4、(不定项选择)在防火墙做了如下配置:
请选择以下正确的描述是:[6’]
A.允许防火墙通过Telnet方式登录192.168.5.1的设备。
B.允许192.168.5.2/24这个IP地址通过Telnet方式登录防火墙。
C.允许防火墙通过Web方式登录192.168.5.1 的设备。
D.允许192.168.5.2/24地址段通过Web方式登录防火墙。
答案:__________
5、(单选)在网络出口防火墙上查看会话表信息如下:
以下描述错误的是:[6’]
A.防火墙接口GigabitEthernet0/0/1属于untrust区域。
B.防火墙出接口(下一跳的MAC地址)MAC地址为00-0f-e2-a2-a2-61 。
C.内网192.168.100.28主机与外网111.206.79.100建立http连接。
D.NAT转换后的地址为58.251.159.112 。
答案:__________
(单选)采用如下哪种ipsec模式和封装方式可以引用于IPSEC NAT 穿越的应用场景?6、
[3’]
A.IPSEC隧道模式+ESP封装
B.IPSEC隧道模式+AH封装
C.IPSEC传输模式+ESP封装
D.IPSEC传输模式+AH封装
答案:__________
7、(单选)在配置防火墙安全策略时,以下哪一条配置命令正确的表示匹配192.168.10.0网段发出的数据包?[3’]
A.source-address 192.168.10.0 0.0.0.255
B.source-address 192.168.10.0 255.255.255.0
C.destination-address 192.168.10.0 0.0.0.255
D.destination-addres 192.168.10.0 255.255.255.0
答案:__________
8、(不定项选择)防火墙上查看会话表信息如下:
以下描述正确的是:[6’]
A.地址为192.168.1.2的设备正在对公网地址2.2.2.2进行ping测试。
B.地址为1.1.1.3的设备正在对公网地址2.2.2.2进行ping测试。
C.防火墙配置的nat目的的地址一对一地址映射。
D.防火墙配置了NAPT源地址多对一地址映射。
答案:__________
9、(单选)USG作为总部网关,出差用户需要使用Internet建立VPN隧道,访问总部资源,且出差用户不需要安装任何拨号软件,以下哪种VPN技术最合适:[3’]
A.SSL VPN
B.IPsec VPN
C.L2TP
D.GRE
答案:__________
10、(不定项选择)防火墙在运行GRE时,tunnel接口必须配置下面哪三个参数?[6’]
A.tunnel的协议号为GRE
B.GRE的校验和使能
C.tunnel的源ip地址
D.tunnel的目的ip地址
E.key
答案:__________
11、(不定项选择)以下哪几项是关于状态检测防火墙转发原理的正确描述:[6’]
A.非首包转发基于会话表,匹配会话表才能转发。
B.ICMP报文不会进行状态检测。
C.处理UDP协议包时为该UDP数据流建立连接。
D.防火墙作为二层设备部署时不支持状态检测机制。
E.基于TCP连接三次握手进行会话状态检测。
答案:__________
12、(不定项选择)下面哪些三元组可以唯一标示一个IPSec SA?[6’]
A.协议号(AH/ESP)
B.序列号
C.SPI
D.目的IP地址
E.端口号
答案:__________
13、(不定项选择)关于udp flood 和 tcp flood攻击防范说法正确的是:[6’]
A.udp协议是无连接的,因此无法通过探测实现。
B.防范udp flood,通过分析某个主机发送udp报文的规律和特征,这个规律和特
征被称为指纹学习。
C.udp报文的指纹学习功能通过学习报文数据端全部字段。
D.udp和tcp协议可以通过代理技术实现。
答案:__________
14、(不定项选择)IPSec VPN隧道建立成功,但是访问对端私网Web页面的速度慢或访问时断时续,已经排除internet网络质量影响,以下可能故障有:[6’]
A.报文分片的问题
B.出口网关的CPU占用率过高
C.网络中间有NAT设备
D.包过滤策略没有开启
答案:__________
15、(单选)防火墙关闭状态检测功能后,对于收到的SYN+ACK类型的TCP报文,如果防火墙上配置的规则允许报文通过,那么防火墙接下来如何处理该报文?[3’]
A.创建会话并转发报文
B.创建会话但不转发报文
C.不创建会话转发报文
D.不创建会话丢弃报文
答案:__________
二、简述题(共计28分)
1、请分别说出防火墙上默认的Local、Trust、DMZ和Untrust安全区域的安全级别。[8’]
答案:
___________________________________________________________________________ ___________________________________________________________________________ 2、请根据如下的会话信息写出相应的五元组?[10’]
telnet VPN:public -> public 192.168.0.2:51870-->172.16.0.2:23
答案:
___________________________________________________________________________ ___________________________________________________________________________ 3、管理员在Trust安全区域和Untrust安全区域之间依次配置了如下两条安全策略,请分析这样配置有什么问题?[10’]
♦安全策略1:拒绝目的地址是172.16.0.0/24网段的报文通过。
♦安全策略2:允许目的地址是172.16.0.100的报文通过。
答案:
___________________________________________________________________________ ___________________________________________________________________________
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论