-.z.單項選擇題1．以下哪種技術不是實現防火墻的主流技術？DA.包過濾技術;B.應用級網關技術;C.代理效勞器技術;D.NAT技術2．關于屏蔽子網防火墻,以下說法錯誤的選項是:DA.屏蔽子網防火墻是幾種防火墻類型中最平安的;B.屏蔽子網防火墻既支持應用級網關也支持電路級網關;C.部網對于Internet來說是不可見的;D.部用戶可以不通過DMZ直接訪問Internet3．最簡單的防火墻構造是〔A〕A.路由器B、代理效勞器C、日志工具D、包過濾器4．為確保企業局域網的信息平安，防止來自internet的黑客入侵，采用〔〕可以實現一定的防作用。A.網管軟件B.操作系統C防火墻D.防病毒軟件5．防火墻采用的最簡單的技術是〔〕A．安裝保護卡B.隔離C.包過濾D.設置進入密碼6.防火墻技術可分為〔〕等到3大類型A包過濾、入侵檢測和數據加密B.包過濾、入侵檢測和應用代理“

C包過濾、應用代理和入侵檢測D.包過濾、狀態檢測和應用代理7.防火墻系統通常由〔〕組成，防止不希望的、未經授權的進出被保護的部網絡A．殺病毒卡和殺毒軟件代理效勞器和入檢測系統過濾路由器和入侵檢測系統過濾路由器和代理效勞器8.防火墻技術是一種〔〕網絡系統平安措施。3)A．被動的B.主動的C．能夠防止部犯罪的D.能夠解決所有問題的9．防火墻是建立在外網絡邊界上的一類平安保護機制，它的平安架構基于〔〕。A．流量控制技術B加密技術C．信息流填充技術D．訪問控制技術10.一般為代理效勞器的保壘主機上裝有〔〕。A．一塊網卡且有一個IP地址B．兩個網卡且有兩個不同的IP地址C．兩個網卡且有一樣的IP地址D．多個網卡且動態獲得IP地址11.一般為代理效勞器的保壘主機上運行的是〔〕A．代理效勞器軟件B．網絡操作系統C．數據庫管理系統D．應用軟件12.以下關于防火墻的說確的是〔〕A防火墻的平安性能是根據系統平安的要求而設置的B防火墻的平安性能是一致的，一般沒有級別之分C防火墻不能把部網絡隔離為可信任網絡D一個防火墻只能用來對兩個網絡之間的互相訪問實行強制性管理的平安系統13．在ISOOSI/RM中對網絡平安效勞所屬的協議層次進展分析，要求每個協議層都能提供網絡平安效勞。其中用戶身份認證在〔1〕進展。A網絡層B會話層C物理層D應用層14.在ISOOSI/RM中對網絡平安效勞所屬的協議層次進展分析，要求每個協議層都能提供網絡平安效勞。IP過濾型防火墻在〔〕通過控制網落邊界的信息流動，來強化部網絡的平安性。A網絡層B會話層C物理層D應用層15.()不是防火墻的功能過濾進出網絡的數據包保護存儲數據包封堵*些制止的訪問行為記錄通過防火墻的信息容和活動16.包過濾型防火墻工作在〔

C

〕A.會話層

B.應用層C.網絡層

D.數據鏈路層17.入侵檢測是一門新興的平安技術，是作為繼________之后的第二層平安防護措施。〔

B

〕A.路由器

B.防火墻C.交換機

D.效勞器18.下面屬于單鑰密碼體制算法的是〔C

〕A.RSA

B.LUCC.DES

D.DSA19.對網絡中兩個相鄰節點之間傳輸的數據進展加密保護的是〔

A

〕A.節點加密

B.鏈路加密C.端到端加密

D.DES加密20.一般而言，Internet防火墻建立在一個網絡的〔

A

〕A.部網絡與外部網絡的穿插點

B.每個子網的部C.局部部網絡與外部網絡的結合處

D.部子網之間傳送信息的中樞21、以下不屬于代理效勞技術優點的是〔D〕可以實現身份認證部地址的屏蔽和轉換功能可以實現訪問控制可以防數據驅動侵襲22、包過濾技術與代理效勞技術相比擬〔B〕包過濾技術平安性較弱、但會對網絡性能產生明顯影響包過濾技術對應用和用戶是絕對透明的代理效勞技術平安性較高、但不會對網絡性能產生明顯影響代理效勞技術平安性高，對應用和用戶透明度也很高23、在建立堡壘主機時〔A〕在堡壘主機上應設置盡可能少的網絡效勞在堡壘主機上應設置盡可能多的網絡效勞對必須設置的效勞給與盡可能高的權限不管發生任何入侵情況，部網始終信任堡壘主機24、當同一網段中兩臺工作站配置了一樣的IP地址時，會導致(B)先入者被后入者擠出網絡而不能使用雙方都會得到警告，但先入者繼續工作，而后入者不能雙方可以同時正常工作，進展數據的傳輸雙主都不能工作，都得到網址沖突的警告25、代理效勞作為防火墻技術主要在OSI的哪一層實現〔D〕A．數據鏈路層B．網絡層C．表示層D．應用層26、防火墻的平安性角度，最好的防火墻構造類型是〔D〕A．路由器型B．雙宿主主機構造C．屏蔽主機構造D．屏蔽子網構造27、邏輯上，防火墻是(D)。A．過濾器B．限制器C．分析器D．A、B、C28、以下不屬于代理效勞技術優點的是(D)可以實現應用層上的文件類型過濾部地址的屏蔽和轉換功能可以實現訪問控制可以防病毒入侵29、一般而言，Internet防火墻建立在一個網絡的〔A〕A.部網絡與外部網絡的穿插點

B.每個子網的部C.局部部網絡與外部網絡的結合處

D.部子網之間傳送信息的中樞30、下面是個人防火墻的優點的是〔D〕運行時占用資源對公共網絡只有一個物理接口只能保護單機，不能保護網絡系統增加保護級別31、包過濾型防火墻工作在〔C〕A.會話層

B.應用層C.網絡層

D.數據鏈路層32、下面關于防火墻的說法中，正確的選項是〔B〕防火墻可以解決來自部網絡的攻擊防火墻可以防止受病毒感染的文件的傳輸防火墻會削弱計算機網絡系統的性能防火墻可以防止錯誤配置引起的平安威脅33.Tom的公司申請到5個IP地址，要使公司的20臺主機都能聯到INTERNET上，他需要防火墻的那個功能？ BA 假冒IP地址的偵測。B 網絡地址轉換技術。C 容檢查技術D 基于地址的身份認證。34.Smurf攻擊結合使用了IP欺騙和ICMP回復方法使大量網絡傳輸充滿目標系統，引起目標系統拒絕為正常系統進展效勞。管理員可以在源站點使用的解決方法是： CA 通過使用防火墻阻止這些分組進入自己的網絡。B 關閉與這些分組的URL連接C 使用防火墻的包過濾功能，保證網絡中的所有傳輸信息都具有合法的源地址。D 安裝可去除客戶端木馬程序的防病毒軟件模塊，35.包過濾依據包的源地址、目的地址、傳輸協議作為依據來確定數據包的轉發及轉發到何處。它不能進展如下哪一種操作： CA 制止外部網絡用戶使用FTP。B 允許所有用戶使用瀏覽INTERNET。C 除了管理員可以從外部網絡Telnet部網絡外，其他用戶都不可以(身份認證)。D 只允許*臺計算機通過NNTP發布新聞。36.UDP是無連接的傳輸協議，由應用層來提供可靠的傳輸。它用以傳輸何種效勞： DA TELNETB SMTPC FTPD TFTP36.OSI模型中，LLC頭數據封裝在數據包的過程是在： CA 傳輸層B 網絡層C 數據鏈路層D 物理層37.TCP協議是Internet上用得最多的協議，TCP為通信兩端提供可靠的雙向連接。以下基于TCP協議的效勞是： AA DNSB TFTPC SNMPD RIP38.端口號用來區分不同的效勞，端口號由IANA分配，下面錯誤的選項是： DA TELNET使用23端口號。B DNS使用53端口號。C 1024以下為保存端口號，1024以上動態分配。D SNMP使用69端口號。39.包過濾是有選擇地讓數據包在部與外部主機之間進展交換，根據平安規則有選擇的路由*些數據包。下面不能進展包過濾的設備是： CA 路由器B 一臺獨立的主機C 二層交換機D 網橋40.TCP可為通信雙方提供可靠的雙向連接，在包過濾系統中，下面關于TCP連接描述錯誤的選項是： CA 要拒絕一個TCP時只要拒絕連接的第一個包即可。B TCP段中首包的ACK＝0，后續包的ACK＝1。C 確認號是用來保證數據可靠傳輸的編號。 D "在CISCO過濾系統中，當ACK＝1時，“established""關鍵字為T，當ACK＝0時，“established""關鍵字為F。" 41.下面對電路級網關描述正確的選項是： BA 它允許部網絡用戶不受任何限制地訪問外部網絡，但外部網絡用戶在訪問部網絡時會受到嚴格的控制。B 它在客戶機和效勞器之間不解釋應用協議，僅依賴于TCP連接，而不進展任何附加包的過濾或處理。C 大多數電路級代理效勞器是公共代理效勞器，每個協議都能由它實現。D 對各種協議的支持不用做任何調整直接實現。42.在Internet效勞中使用代理效勞有許多需要注意的容，下述論述正確的選項是： CA UDP是無連接的協議很容易實現代理。B 與犧牲主機的方式相比，代理方式更平安。C 對于*些效勞，在技術上實現相對容易。D 很容易拒絕客戶機與效勞器之間的返回連接。43.狀態檢查技術在OSI那層工作實現防火墻功能： CA 鏈路層B 傳輸層C 網絡層D 會話層44.對狀態檢查技術的優缺點描述有誤的是：CA 采用檢測模塊監測狀態信息。B 支持多種協議和應用。C 不支持監測RPC和UDP的端口信息。D 配置復雜會降低網絡的速度。45.JOE是公司的一名業務代表，經常要在外地訪問公司的財務信息系統，他應該采用的平安、廉價的通訊方式是： BA PPP連接到公司的RAS效勞器上。B 遠程訪問VPNC 電子D 與財務系統的效勞器PPP連接。46.下面關于外部網VPN的描述錯誤的有： CA 外部網VPN能保證包括TCP和UDP效勞的平安。B 其目的在于保證數據傳輸中不被修改。C VPN效勞器放在Internet上位于防火墻之外。D VPN可以建在應用層或網絡層上。47.IPSec協議是開放的VPN協議。對它的描述有誤的是：CA 適應于向IPv6遷移。B 提供在網絡層上的數據加密保護。C 支持動態的IP地址分配。D 不支持除TCP/IP外的其它協議。48.IPSec在哪種模式下把數據封裝在一個IP包傳輸以隱藏路由信息： AA 隧道模式B 管道模式C 傳輸模式D 平安模式49.有關PPTP〔Point-to-PointTunnelProtocol)說確的是： CA PPTP是Netscape提出的。B 微軟從NT3.5以后對PPTP開場支持。C PPTP可用在微軟的路由和遠程訪問效勞上。D 它是傳輸層上的協議。50.有關L2TP〔Layer2TunnelingProtocol)協議說法有誤的是： DA L2TP是由PPTP協議和Cisco公司的L2F組合而成。B L2TP可用于基于Internet的遠程撥號訪問。C 為PPP協議的客戶建立撥號連接的VPN連接。D L2TP只能通過TCT/IP連接。51.針對以下各種平安協議，最適合使用外部網VPN上，用于在客戶機到效勞器的連接模式的是： CA IPsecB PPTPC SOCKSv5D L2TP52.以下各種平安協議中使用包過濾技術，適合用于可信的LAN到LAN之間的VPN，即部網VPN的是： DA PPTPB L2TPC SOCKSv5D IPsec53.目前在防火墻上提供了幾種認證方法，其中防火墻設定可以訪問部網絡資源的用戶訪問權限是： CA 客戶認證B 回話認證C 用戶認證D 都不是54.目前在防火墻上提供了幾種認證方法，其中防火墻提供授權用戶特定的效勞權限是： AA 客戶認證B 回話認證C 用戶認證D 都不是55.目前在防火墻上提供了幾種認證方法，其中防火墻提供通信雙方每次通信時的會話授權機制是： BA 客戶認證B 回話認證C 用戶認證D 都不是56.使用平安核的方法把可能引起平安問題的局部沖操作系統的核中去掉，形成平安等級更高的核，目前對平安操作系統的加固和改造可以從幾個方面進展。下面錯誤的選項是： DA 采用隨機連接序列號。B 駐留分組過濾模塊。C 取消動態路由功能。D 盡可能地采用獨立平安核。57.在防火墻實現認證的方法中，采用通過數據包中的源地址來認證的是： BA Password-BasedAuthenticationB Address-BasedAuthenticationC CryptographicAuthenticationD NoneofAbove.58.網絡入侵者使用sniffer對網絡進展偵聽，在防火墻實現認證的方法中，以下身份認證可能會造成不平安后果的是： AA Password-BasedAuthenticationB Address-BasedAuthenticationC CryptographicAuthenticationD NoneofAbove.59.隨著Internet開展的勢頭和防火墻的更新，防火墻的哪些功能將被取代：DA 使用IP加密技術。B 日志分析工具。C 攻擊檢測和報警。D 對訪問行為實施靜態、固定的控制。60.以下關于VPN說確的是〔〕BVPN指的是用戶自己租用線路，和公共網絡物理上完全隔離的、平安的線路VPN指的是用戶通過公用網絡建立的臨時的、平安的連接VPN不能做到信息驗證和身份認證VPN只能提供身份認證、不能提供加密數據的功能61.IPSec協議是開放的VPN協議。對它的描述有誤的是〔〕D適應于向IPv6遷移提供在網絡層上的數據加密保護可以適應設備動態IP地址的情況支持除TCP/IP外的其它協議62.部署IPSECVPN時，配置什么樣的平安算法可以提供更可靠的數據加密〔〕BDES3DESSHA128位的MD563.部署IPSECVPN時，配置什么平安算法可以提供更可靠的數據驗證〔〕CDES3DESSHA128位的MD564.為控制企業部對外的訪問以及抵御外部對部網的攻擊,最好的選擇是〔〕。

A、IDSB、殺毒軟件C、防火墻D、路由器

65、以下關于防火墻的設計原則說確的是〔〕。

不單單要提供防火墻的功能，還要盡量使用較大的組件

保持設計的簡單性

保存盡可能多的效勞和守護進程，從而能提供更多的網絡效勞

一套防火墻就可以保護全部的網絡

66、防火墻能夠〔〕。

防惡意的知情者

防通過它的惡意連接

防范新的網絡平安問題

完全防止傳送己被病毒感染的軟件和文件

67、防火墻中地址翻譯的主要作用是〔〕。

A、提供代理效勞B、進展入侵檢測

C、隱藏部網絡地址D、防止病毒入侵

68、防火墻是隔離部和外部網的一類平安系統。通常防火墻中使用的技術有過

濾和代理兩種。路由器可以根據〔〕進展過濾，以阻擋*些非法訪問。

網卡地址B、IP地址C、用戶標識D、加密方法

69、在企業部網與外部網之間，用來檢查網絡請求分組是否合法，保護網絡資

源不被非法使用的技術是〔〕。

A、防病毒技術B、防火墻技術C、過失控制技術D、流量控制技術

70、防火墻是指〔〕。

防止一切用戶進入的硬件

阻止侵權進入和離開主機的通信硬件或軟件

記錄所有訪問信息的效勞器

處理出入主機的的效勞器

71、防火墻的根本構件包過濾路由器工作在OSI的哪一層〔〕

A、物理層B、傳輸層C、網絡層D、應用層

72、包過濾防火墻對通過防火墻的數據包進展檢查，只有滿足條件的數據包才能

通過，對數據包的檢查容一般不包括〔〕。

A、源地址B、目的地址C、協議D、有效載荷

73、防火墻對數據包進展狀態檢測過濾時，不可以進展檢測過濾的是〔〕。

A、源和目的IP地址B、源和目的端口

C、IP協議號D、數據包中的容

74、以下屬于防火墻的功能的是〔〕。

A、識別DNS效勞器B、維護路由信息表

C、提供對稱加密效勞D、包過濾

75、公司的WEB效勞器受到來自*個IP地址的黑客反復攻擊,你的主管要求你通過

防火墻來阻止來自那個地址的所有連接,以保護WEB效勞器,則你應該選擇哪一

種防火墻"()。

A、包過濾型B、應用級網關型

D、復合型防火墻D、代理效勞型

76、以下哪種技術不是實現防火墻的主流技術？〔〕。

A、包過濾技術B、應用級網關技術

C、代理效勞器技術D、NAT技術

77、關于防火墻技術的描述中，正確的選項是〔〕。

防火墻不能支持網絡地址轉換

防火墻可以布置在企業部網和Internet之間

防火墻可以查、殺各種病毒

防火墻可以過濾各種垃圾文件

78、包過濾防火墻通過〔〕來確定數據包是否能通過。

A、路由表B、ARP表C、NAT表D、過濾規則

79、以下關于防火墻技術的描述，哪個是錯誤的？〔〕

防火墻分為數據包過濾和應用網關兩類

防火墻可以控制外部用戶對部系統的訪問

防火墻可以阻止部人員對外部的攻擊

防火墻可以分析和統管網絡使用情況

80、*公司使用包過濾防火墻控制進出公司局域網的數據，在不考慮使用代理服

務器的情況下，下面描述錯誤的選項是“該防火墻能夠〔〕〞。

A、使公司員工只能防問Intrenet上與其有業務聯系的公司的IP地址

B、僅允許協議通過

C、使員工不能直接訪問FTP效勞端口號為21的FTP效勞

D、僅允許公司中具有*些特定IP地址的計算機可以訪問外部網絡

81、以下有關防火墻的說法中，錯誤的選項是〔〕。

防火墻可以提供對系統的訪問控制

防火墻可以實現對企業部網的集中平安管理

防火墻可以隱藏企業網的部IP地址

防火墻可以防止病毒感染程序〔或文件〕的傳播

82、包過濾依據包的源地址、目的地址、傳輸協議作為依據來確定數據包的轉發

及轉發到何處。它不能進展如下哪一種操作〔〕。

制止外部網絡用戶使用FTP

允許所有用戶使用瀏覽INTERNET

除了管理員可以從外部網絡Telnet部網絡外，其他用戶都不可以

只允許*臺計算機通過NNTP發布新聞

83、隨著Internet開展的勢頭和防火墻的更新，防火墻的哪些功能將被取代

〔〕。

A、使用IP加密技術B、日志分析工具

C、攻擊檢測和報警D、對訪問行為實施靜態、固定的控制

84、對狀態檢查技術的優缺點描述有誤的是〔〕。

A、采用檢測模塊監測狀態信息B、支持多種協議和應用

不支持監測RPC和UDP的端口信息D、配置復雜會降低網絡的速度

85、包過濾技術與代理效勞技術相比擬〔〕。

包過濾技術平安性較弱、但會對網絡性能產生明顯影響

包過濾技術對應用和用戶是絕對透明的

代理效勞技術平安性較高、但不會對網絡性能產生明顯影響

代理效勞技術平安性高，對應用和用戶透明度也很高

86、屏蔽路由器型防火墻采用的技術是基于〔〕。

A、數據包過濾技術B、應用網關技術

C、代理效勞技術D、三種技術的結合

87、關于屏蔽子網防火墻,以下說法錯誤的選項是〔〕。

屏蔽子網防火墻是幾種防火墻類型中最平安的

屏蔽子網防火墻既支持應用級網關也支持電路級網關

部網對于Internet來說是不可見的

部用戶可以不通過DMZ直接訪問Internet

88、網絡中一臺防火墻被配置來劃分Internet、部網及DMZ區域，這樣的防火

墻類型為〔〕。

A、單宿主堡壘主機B、雙宿主堡壘主機

C、三宿主堡壘主機D、四宿主堡壘主機

89、防火墻的設計時要遵循簡單性原則,具體措施包括〔〕。B在防火墻上制止運行其它應用程序

停用不需要的組件

將流量限制在盡量少的點上

安裝運行WEB效勞器程序

90.有意避開系統訪問控制機制，對網絡設備及資源進展非正常使用屬于(B)

A破壞數據完整性B非授權訪問C信息泄露D拒絕效勞攻擊

91.防火墻通常被比喻為網絡平安的大門，但它不能〔D〕

A.阻止基于IP的攻擊B阻止非信任地址的訪問

C鑒別什么樣的數據可以進出企業部網D阻止病毒入侵多項選擇題1．以下哪些是防火墻的重要行為？〔AB〕準許B、限制C、日志記錄D、問候訪問者2.JOHN的公司選擇采用IPSec協議作為公司分支機構連接部網VPN的平安協議。以下那幾條是對IPSec的正確的描述： ABDA 它對主機和端點進展身份鑒別。B 保證數據在通過網絡傳輸時的完整性。C 在隧道模式下，信息封裝隱藏了路由信息。D 加密IP地址和數據以保證私有性。3.相比擬代理技術，包過濾技術的缺點包括： ABCA 在機器上配置和測試包過濾比擬困難。B "包過濾技術無法與UNI*的“r""命令和NFS、NIS/YP協議的RPC協調。"C 包過濾無法區分信息是哪個用戶的信息，無法過濾用戶。D 包過濾技術只能通過在客戶機特別的設置才能實現。4.微軟的Pro*yServer是使一臺WINDOWS效勞器成為代理效勞的軟件。它的安裝要求條件是：ABDA 效勞器一般要使用雙網卡的主機。 B 客戶端需要安裝代理效勞器客戶端程序才能使各種效勞透明使用。 C 當客戶使用一個新的網絡客戶端軟件時，需要在代理效勞器上為之單獨配置提供效勞。D 代理效勞器的網網卡IP和客戶端使用保存IP地址。5.在代理效勞中，有許多不同類型的代理效勞方式，以下描述正確的選項是：ABCDA 應用級網關 B 電路級網關 C 公共代理效勞器 D 專用代理效勞器 6.應用級代理網關相比包過濾技術具有的優點有：ABCA 提供可靠的用戶認證和詳細的注冊信息。B 便于審計和日志。C 隱藏部IP地址。D 應用級網關平安性能較好，可防操作系統和應用層的各種平安漏洞。7.代理技術的實現分為效勞器端和客戶端實現兩局部，以下實現方確的是： ACDA 在效勞器上使用相應的代理效勞器軟件。B 在效勞器上定制效勞過程。C 在客戶端上定制客戶軟件。D 在客戶端上定制客戶過程。8.Sam的公司使用的是需要定制用戶過程的代理效勞器軟件，他要從匿名效勞器.上下載文件，正確的步驟是：BDA 使用FTP客戶機與匿名效勞器連接。B 使用FTP客戶機與代理效勞器連接。C "輸入用戶名Nicky,對匿名效勞器輸入anonymouspro*yserver。"D "輸入用戶名Nicky,對代理效勞器輸入.。"9.NetworkAddressTranslation技術將一個IP地址用另一個IP地址代替，它在防火墻上的作用是： ABA 隱藏部網絡地址，保證部主機信息不泄露。B 由于IP地址匱乏而使用無效的IP地址。C 使外網攻擊者不能攻擊到網主機。D 使網的主機受網絡平安管理規則的限制。10.在地址翻譯原理中，防火墻根據什么來使要傳輸到一樣的目的IP發送給部不同的主機上： ADA 防火墻紀錄的包的目的端口。B 防火墻使用播送的方式發送。C 防火墻根據每個包的時間順序。D 防火墻根據每個包的TCP序列號。11.網絡防火墻能夠起到的作用有〔〕。ABCDA.防止部信息外泄B.防止系統感染病毒與非法訪問C.防止黑客訪問D.建立部信息和功能與外部信息和功能之間的屏障12.VirtualPrivateNetwork技術可以提供的功能有： ABCA 提供AccessControl。B 加密數據。C 信息認證和身份認證。D 劃分子網。13.按照不同的商業環境對VPN的要求和VPN所起的作用區分，VPN分為：ABDA 部網VPNB 外部網VPNC 點對點專線VPND 遠程訪問VPN14.對于遠程訪問VPN須制定的平安策略有： ABCDA 訪問控制管理B 用戶身份認證、智能監視和審計功能C 數據加密D 密鑰和數字證書管理15.VPN中應用的平安協議有哪些？ BCDA TCPB IPSecC PPTPD L2TP16.IPSec協議用密碼技術從三個方面來保證數據的完整性：ABDA 認證B 加密C 訪問控制D 完整性檢查17.IPSec支持的加密算法有： ABCA DESB 3DESC IDEAD SET18.PPTP/L2TP的缺點有哪些： ACDA 不對兩個節點間的信息傳輸進展監視和控制。B 同時只能連接256個用戶。C 端點用戶需在連接前手工建立加密通道。D 沒有強加密和認證支持。19.未來的防火墻產品與技術應用有哪些特點： BCDA 防火墻從遠程上網集中管理向對部網或子網管理開展。B 單向防火墻作為一種產品門類出現。C 利用防火墻建VPN成為主流。D 過濾深度向URL過濾、容過濾、病毒去除的方向開展。20.使用基于路由器的防火墻使用訪問控制表實現過濾，它的缺點有：ABCDA 路由器本身具有平安漏洞。B 分組過濾規則的設置和配置存在平安隱患。C 無法防“假冒〞的地址。D 對訪問行為實施靜態、固定的控制與路由器的動態、靈活的路由矛盾。21．如果防火墻是正常負載且沒有明顯攻擊，而CPU的的利用率一直處于80%以上，需考慮升級防火墻或減輕它的流量負載，可以考慮的措施有〔BCD〕A.減少NAT數量B.用更高性能型號的防火墻來替換。C.實施防火墻負載均衡。D.修改配置，減少防火墻處理負載；除去任何非必要的執行行為。22.IPSec平安聯盟SA由哪些參數唯一標識〔〕ACD平安參數索引SPIIP本端地址IP目的地址平安協議號23.IPSec的兩種工作方式〔〕CDNAS-initiatedClient-initiatedtunneltransport24.AH是報文驗證頭協議，主要提供以下功能〔〕BCD數據性數據完整性數據來源認證反重放25.VPN組網中常用的站點到站點接入方式是〔〕BCL2TPIPSECGRE+IPSECL2TP+IPSEC26.移動用戶常用的VPN接入方式是〔〕ABDL2TPIPSEC+IKEGRE+IPSECL2TP+IPSEC27.IPSECVPN組網中網絡拓樸構造可以為〔〕全網狀連接局部網狀連接星型連接樹型連接Answer:ABCD28.移動辦公用戶自身的性質決定其比固定用戶更容易遭受病毒或黑客的攻擊，因此部署移動用戶IPSECVPN接入網絡的時候需要注意〔〕移動用戶個人電腦必須完善自身的防護能力，需要安裝防病毒軟件，防火墻軟件等總部的VPN節點需要部署防火墻，確保部網絡的平安適當情況下可以使用集成防火墻功能的VPN網關設備使用數字證書Answer:ABC29.關于平安聯盟SA，說確的是〔〕Answer:CDIKESA是單向的IPSECSA是雙向的IKESA是雙向的IPSECSA是單向的30.下面關于GRE協議描述正確的選項是〔〕GRE協議是二層VPN協議GRE是對*些網絡層協議〔如：IP，IP*等〕的數據報文進展封裝，使這些被封裝的數據報文能夠在另一個網絡層協議〔如：IP〕中傳輸GRE協議實際上是一種承載協議GRE提供了將一種協議的報文封裝在另一種協議報文中的機制，使報文能夠在異種網絡中傳輸，異種報文傳輸的通道稱為tunnelAnswer:BCD31.下面關于GRE協議和IPSec協議描述正確的選項是〔〕在GRE隧道上可以再建立IPSec隧道在GRE隧道上不可以再建立IPSec隧道在IPSec隧道上可以再建立GRE隧道在IPSec隧道上不可以再建立GRE隧道Answer:AC32.IPSec平安聯盟SA由哪些參數唯一標識〔〕平安參數索引SPIIP本端地址IP目的地址平安協議號Answer:ACD33.IPSec可以提供哪些平安效勞〔〕數據性數據完整性數據來源認證防重放攻擊Answer:ABCD34.IDS處理過程分為(ABCD)等四個階段。

A:數據采集階段B:數據處理及過濾階段C:入侵分析及檢測階段D:報告以及響應階段

35.入侵檢測系統的主要功能有(ABCD)：

A:監測并分析系統和用戶的活動

B:核查系統配置和漏洞

C:評估系統關鍵資源和數據文件的完整性。

D:識別和未知的攻擊行為

36.IDS產品性能指標有(ABCD)：A:每秒數據流量B:每秒抓包數C:每秒能監控的網絡連接數D:每秒能夠處理的事件數37.入侵檢測產品所面臨的挑戰主要有(ABCD)：

A:黑客的入侵手段多樣化B:大量的誤報和漏報C:惡意信息采用加密的方法傳輸D:客觀的評估與測試信息的缺乏38.傳統上,公司的多個機構之間進展數據通信有眾多不同的方式,主要有〔ABCD〕

A．幀中繼線路

B.ATM線路

C.DDN線路

D.PSTN

39.

IPSec

可以使用兩種模式,分別是〔AB〕

A．Transport

mode

B.

Tunnel

mode

C.

Main

mode

D.

Aggressive

mode

24.在防火墻的“訪問控制〞應用中，網、外網、DMZ三者的訪問關系為：ABCD-.z.A.網可以訪問外網B.網可以訪問DMZ區C.DMZ區可以訪問網D.外網可以訪問DMZ區-.z.-.z.25.防火墻的包過濾功能會檢查如下信息：ABCD-.z.A.源IP地址B.目標IP地址C.源端口D.目標端口-.z.26.防火墻對于一個部網絡來說非常重要,它的功能包括：ABCD-.z.A.創立阻塞點B.記錄Internet活動C.限制網絡暴露D.包過濾27.以下說確的有：.z.A.只有一塊網卡的防火墻設備稱之為單宿主堡壘主機B.雙宿主堡壘主機可以從物理上將網和外網進展隔離C.三宿主堡壘主機可以建立DMZ區D.單宿主堡壘主機可以配置為物理隔離網和外網35.配置訪問控制列表必須做的配置是〔CD〕

A、設定時間段B、指定日志主機

C、定義訪問控制列表D、在接口上應用訪問控制列表

36、擴展訪問列表可以使用哪些字段來定義數據包過濾規則"〔ABCD〕。

A、源IP地址B、目的IP地址

C、端口號D、協議類型

37、使用訪問控制列表可帶來的好處是〔ABD〕。

保證合法主機進展訪問，拒絕*些不希望的訪問

通過配置訪問控制列表，可限制網絡流量，進展通信流量過濾

實現企業私有網的用戶都可訪問Internet

管理員可根據網絡時間情況實現有差異的效勞

-.z.7、使網絡效勞器中充滿著大量要求回復的信息，消耗帶寬，導致網絡或系統停頓正常效勞，這屬于什么攻擊？A-.z.A.拒絕效勞B.文件共享C.BIND漏洞D.遠程過程調用-.z.分布式網絡拒絕效勞攻擊8、公司財務人員需要定期通過Email發送文件給他的主管,他希望只有主管能查閱該,可以采取什么方法"A-.z.A.加密B.數字簽名C.消息摘要D.身份驗證-.z.9、哪種密鑰體制加、解密的密鑰一樣"A-.z.A.對稱加密技術B.非對稱加密技術C.HASH算法D.公共密鑰加密術-.z.10、隨著網絡中用戶數量的增長,Internet連接需求也不斷增加,在考慮改善網絡性能時,以下哪個是應該考慮的局部"B-.z.A．WINS效勞器B.代理效勞器C.DHCP效勞器D.目錄效勞器-.z.11、關于屏蔽子網防火墻,以下說法錯誤的選項是:DA.屏蔽子網防火墻是幾種防火墻類型中最平安的B.屏蔽子網防火墻既支持應用級網關也支持電路級網關C.部網對于Internet來說是不可見的D.部用戶可以不通過DMZ直接訪問Internet-.z.18、以下哪種技術不是實現防火墻的主流技術？D-.z.A.包過濾技術;B.應用級網關技術C.代理效勞器技術D.NAT技術-.z.19、在以下網絡威脅中，哪個不屬于信息泄露？選擇c-.z.數據竊聽流量分析拒絕效勞攻擊偷竊用戶-.z.-.z.21、在公鑰密碼體制中，用于加密的密鑰為：-.z.A.公鑰B.私鑰C.公鑰與私鑰D.公鑰或私鑰-.z.-.z.23、密碼技術中,識別個人、網絡上的機器或機構的技術稱為：-.z.A.認證B.數字簽名C.簽名識別D.解密-.z.-.z.27.關于屏蔽子網防火墻,以下說法錯誤的選項是:-.z.屏蔽子網防火墻是幾種防火墻類型中最平安的屏蔽子網防火墻既支持應用級網關也支持電路級網關部網對于Internet來說是不可見的部用戶可以不通過DMZ直接訪問Internet-.z.-.z.-.z.28公司的WEB效勞器受到來自*個IP地址的黑客反復攻擊,你的主管要求你通過防火墻來阻止來自那個地址的所有連接,以保護WEB效勞器,則你應該選擇哪一種防火墻"-.z.包過濾型應用級網關型復合型防火墻代理效勞型-.z.-.z.29.網用戶通過防火墻訪問公眾網中的地址需要對源地址進展轉換，規則中的動作應選擇：-.z.A.AllowB.NATC.SATD.FwdFast30.防火墻的設計時要遵循簡單性原則,具體措施包括:選ABCA.在防火墻上制止運行其它應用程序B.停用不需要的組件C.將流量限制在盡量少的點上D.安裝運行WEB效勞器程序31.標準訪問控制列表以〔B〕作為判別條件。

A、數據包的大小B、數據包的源地址

C、數據包的端口號D、數據包的目的地址

32.IP擴展訪問列表的數字標示圍是多少"〔C〕。

A、0-99B、1-99C、100-199D、101-200

33.訪問控制列表〔ACL〕分為標準和擴展兩種。下面關于ACL的描述中，錯誤的

是(C)。

標準ACL可以根據分組中的IP源地址進展過濾

擴展ACL可以根據分組中的IP目標地址進展過濾

標準ACL可以根據分組中的IP目標地址進展過濾

擴展ACL可以根據不同的上層協議信息進展過濾

34.通配符掩碼和子網掩碼之間的關系是〔B〕。

兩者沒有什么區別

通配符掩碼和子網掩碼恰好相反

一個是十進制的，另一個是十六進制的

兩者都是自動生成的

防火墻要實現的四類控制功能是什么？方向控制、效勞控制、行為控制、用戶控制防火墻的理論特性有哪些？創立阻塞點、強化網絡平安策略，提供集成功能、實現網絡隔離、記錄和審計聯網絡和外聯網絡之間的活動、自身具有非常墻的抵御攻擊的能力防火墻的實際功能有哪些？〔至少五項〕包過濾、代理、網絡地址轉換、虛擬專用網絡、用戶身份認證、記錄報警分析與審計、管理功能、其他功能。簡要說明防火墻的規則特點。規則是保護部信息資源的策略的實現和延伸；規則必須與訪問活動嚴密相關；規則必須穩妥可靠切合實際在平安和利用資源之間取得較為平衡的政策；可以實施各種不同的效勞訪問策略。簡要說明防火墻的設計原則。拒絕訪問一切未予特學的效勞；允許一切未被特別拒絕的效勞防火墻采用的主要技術有哪些？包過濾型防火墻；代理型防火墻簡要說明包過濾型防火墻優缺點。優點：工作在傳輸層下，對數據包本身字段進展過濾，性價比很高；缺點：過濾判斷條件有限，平安性不高；過濾規則數目的增加會影響防火墻的性能；很難對用戶身份進展驗證；對平安管理人員的素質要求高。簡要說明代理型防火墻優缺點。優點：工作在應用層，可以以進展深層的容進展控制；阻斷了聯網絡和外聯網絡的，實現了外網的相互屏蔽，防止了數據驅動類型的攻擊。缺點：代理型防火墻速度相對較慢，當網關吞吐量較大時，防火墻就會成為瓶頸。簡要說明包過濾型防火墻和代理型防火墻的區別。包過濾防火墻工作在網絡協議IP層，它只對IP包的源地址、目標地址及相應端口進展處理，因此速度比擬快，能夠處理的并發連接比擬多，缺點是對應用層的攻擊無能為力。代理效勞器防火墻將收到的IP包復原成高層協議的通訊數據，比方連接信息，因此能夠對基于高層協議的攻擊進展攔截。缺點是處理速度比擬慢，能夠處理的并發數比擬少。簡要說明多重宿主主機。多重宿主主機實際上是安放在聯網絡和外聯網絡的接上的一臺堡壘主機它要提供最少兩個網絡接:個與聯網絡相連，另一個與外聯網絡相連。聯網絡與外聯網絡之間的通信可通過多重宿主主機:的應用層數據共享或者應用層代理效勞來完成說明屏蔽主機和屏蔽子網的區別和聯系。屏蔽主機由包過濾器和堡壘主機組成。1、堡壘主機在網絡部，通過防火墻的過濾使得這個主機是唯一可從外部到達的主機。2、實現了應用層和網絡層的平安，比單獨的包過濾或應用網關代理更平安。3、過濾路由器是否配置正確是這種防火墻平安的關鍵。屏蔽子網模式采用了兩個包過濾路由器和一個堡壘主機，在個網絡之間建立了被隔離的子網，稱作周邊網。將堡壘主機、WEB效勞器、效勞器放在被屏蔽的子網，外部、部都可以訪問。但制止他們通過屏蔽子網通信。如果堡壘主機被控制，部網絡仍然受部包過濾路由器保護。這種方法是在部網絡和外部網絡之間建立一個被隔離的子網，用兩臺分組過濾路由器將這一子網分別與部網絡和外部網絡分開。在很多實現中，兩個分組過濾路由器放在子網的兩端，在子網構成一個“非軍事區〞DMZ。有的屏蔽子網中還設有一堡壘主機作為唯一可訪問點，支持終端交互或作為應用網關代理。這種配置的危險帶僅包括堡壘主機、子網主機及所有連接網、外網和屏蔽子網的路由器。防火墻的好處有哪些？1.防火墻允許網絡管理員定義一個“檢查點〞來防止非法用戶進人聯網絡，并抵抗·各種攻擊。網絡的平安性在防火墻上得到加固，而不是增加受保護網絡部主機的負擔;

2.防火墻通過過濾存在平安缺陷的網絡效勞來降低受保護網絡遭受攻擊的威脅。只有經過選擇的網絡效勞才能通過防火墻，脆弱的效勞只能在系統整體平安策略的控制下，在受保護網絡的部實現;

3.防火墻可以增強受保護節點的性，強化私有權.防火墻可以阻斷*些提供主機信息的效勞。如Finger和DNS等，使得外部主機無法獲取這些有利于攻擊的信息;

4.防火墻有能力較梢確地控制對部子系統的訪問。防火墻可以設置成允許外聯網絡訪問聯網絡的*些子系統.而不允許訪間其他的子系統。這有效地增加了聯網絡不同子系統的封閉性，使得系統核體平安策略的實施更加細致、深人;

5.防火墻境系統具有集中平安性。假設受保護網絡的所有或者大局部平安程序集中地放置在防火墻上，而非分散到受保護網絡中的各臺主機上，則平安監控的圍會更集中，監控行為更易于實現，平安本錢也會更廉價;

6.在防火墻上可以很方便地監視網絡的通信流，并產生告警信息。正如前面所描述的.網絡面臨的問題不是是否會受到攻擊，而是什么時候受到攻擊，因此對通信流的監控是一項需要持之以恒的、耐心的工作;

7.平安審計和管理是網絡平安研究的重要課題，而防火墻恰恰是審計和記錄網絡行為最正確的地方。由于所有的網絡訪問流都要經過防火墻，所以網絡管理員可以在防火墻上記錄、分析網絡行為，并以此檢驗平安策略的執行情況或者改良平安策略，

8.防火墻不但是網絡平安的檢查點，它還可以作為向用戶發布信息的地點.即防火墻系統可以包括效勞器和FTP效勞器等設備，并且允許外部主機進展訪問。

9.最根本的是，防火墻為系統整體平安策略的執行提供了重要的實施平臺。如果沒有防火墻，則系統整體平安策略的實施多半靠的是用戶的自覺性和聯網絡中各臺主機的平安性。防火墻的缺乏之處有哪些？限制網絡效勞；對部用戶防缺乏；不能防旁路連接；不適合進展病毒檢測；無法防數據驅動型攻擊；無法防所有威脅；配置問題；無法防部人員泄密；速度問題；單失效點問題解釋說明傳統防火墻單失效點問題。傳統防火墻至于外網相連接的關鍵點處，會成為系統網絡訪問的瓶頸，一旦失效，外網的連接將斷開。包過濾技術防火墻過濾規則要檢測哪些主要字段信息？源地址；源端口號；目的地址；目的端口號；協議標志；過濾方式等簡要說明什么是防火墻平安過濾規則？過濾路由器的核心是過濾規則，過濾路由器位于外網的邊界上，控制著聯網絡的所有數據包，網絡訪問策略是一個有序的規則的形式存儲在過濾路由器里，每一條規則定義了針對*個特定類型數據包的動作，針對數據包的字段，“拒絕一切未特許的，允許一切未拒絕的〞典型策略。簡要說明包過濾技術的優點。簡單快速；對用戶是透明的；檢查規則簡單效率高等；簡要說明包過濾技術的缺點。過濾技術思想簡單，對信息處理能力有限，規則增多是規則的維護困難；控制層次較低，不能實現用戶級的控制，不能對合法用戶身份鑒別及冒用IP地址的鑒別。請簡要說明狀態檢測技術的根本原理。狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流對待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。這里動態連接狀態表中的記錄可以是以前的通信信息，也可以是其他相關應用程序的信息，因此，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和平安性。簡要說明什么是深度狀態檢測。深度檢測防火墻，將狀態檢測和應用防火墻技術結合在一起，以處理應用程序的流量，防目標系統免受各種復雜的攻擊。結合了狀態檢測的所有功能，深度檢測防火墻能夠對數據流量迅速完成網絡層級別的分析，并做出訪問控制決；對于允許的數據流，根據應用層級別的信息，對負載做出進一步的決策。深度檢測防火墻深入分析了TCP或UDP數據包的容，以便對負載有個總的認識。狀態檢測防火墻是目前使用最廣泛的防火墻，用來防護黑客攻擊。但是，隨著專門針對應用層的Web攻擊現象的增多，在攻擊防護中，狀態檢測防火墻的有效性越來越低。簡要說明狀態檢測技術的優點。平安性比靜態包過濾高，可以阻斷更多的復雜攻擊行為可以通過分析翻開相應的端口而不是一刀切；提升了防火墻的性能，后續數據包不需要檢測，只需要快速通過。簡要說明狀態檢測技術的缺點。工作在網絡層和傳輸層，對報文的數據局部檢查很少，平安性還不夠高；檢測容多，對防火墻的性能提出來更高的要求。請簡要比擬代理技術和包過濾技術的平安性。代理技術提供了與應用相關的所有信息，并且能夠提供平安日志所需的最詳細的管理和控制數據，平安級別更高。代理效勞器不只檢測數據部的各個字段，還能深入到包的部，理解數據包載荷局部容的含義，還可以為平安監測和日志記錄提供最為詳細的信息。對于外網來說只能看到代理效勞器，而不能見到部網絡，實現聯網網絡隔離，使得外網無法直接通信降低了受到直接攻擊的風險，隱藏了部網咯的構造和用戶，經一部降低了用戶網絡遭受探測的風險。代理效勞氣損壞的話只能是外網的連接中斷，但是無法出現攻擊和信息泄露的現象，代理技術比包過濾技術平安。簡述代理技術的具體作用。〔至少5項〕隱藏部主機；過濾容；提高系統性能；保障平安；阻斷URL；保護電子；身份認證；信息重定向。防火墻代理技術的優點有哪些？提供了高速緩存，提高了網絡性能；屏蔽了聯網絡，組織了網探測活動；制止了直接連接，減少了直接攻擊的風險；應用層上過濾，實現有效過濾；提供了用戶身份認證手段，加強了平安性；連接基于效勞而不是物理連接，不易受Ip地址欺騙攻擊；應用層工作，提供了詳細的日志和分析功能；過濾規則比包過濾防火墻規則簡單。防火墻代理技術的缺點有哪些？代理程序專用，不適應網絡效勞和協議的不斷開展；數據量大的情況下會增加訪問延遲，影響系統性能；不能實現用戶的透明訪問；不支持所有的協議；對操作系統有明顯的依賴；代理技術的執行速度慢。請說明過濾路由器的優點。快速；性能消耗比高；透明；實現容易。請說明過濾路由器的缺點。配置復雜維護困難；數據包本身檢測，智能檢測局部攻擊行為；無法防數據驅動型攻擊；只能對數據包的各字段進展檢查，無法確定數據包的發送者的真實性。一般來說，一條過濾規則包括那些字段？源地址；源端口號；目的地址；目的端口號；協議標志；過濾方式等說明堡壘主機的設計原則并簡要解釋。〔論述題〕最小效勞原則；預防原則；主要類型；系統需求；部署位置說明雙宿主主機的優點有哪些？作為外網的唯一接口，易于實現網絡平安策略；使用堡壘主機實現，本錢較低。說明雙宿主主機的缺點有哪些？用戶賬戶的存在提供一種入侵途徑，比沒有用戶賬戶的平安性要低；存在賬戶數據庫記錄增多，管理和維護非常復雜，容易出錯；賬戶信息的頻繁存取消耗大量資源，降低堡壘主機本身的穩定性。出現速度地下甚至崩潰現象；允許用戶登錄，對主機平安性是一個威脅，很難進展有效監控和記錄。說明雙宿主網關的優點有哪些？無需管理和維護賬戶數據庫，降低了入侵攻擊風險；具有良好的可擴展性；屏蔽了聯網絡主機組織了信息泄露現象的發生。說明雙宿主網關的缺點有哪些？主機本身成為平安焦點，平安配置重要而復雜；代理效勞組件增多會影響系統整體性能瓶頸；單臺主時機帶來單失效點的問題；靈活性差如果沒有*項代理組建，用戶無法使用該效勞。簡要說明屏蔽主機的工作原理。SHF〔ScreenedHostFirewall〕屏蔽主機防火墻采用一個包濾路由器與外部網連接，用一個堡壘主機安裝在部網絡上，起著代理效勞器的作用，是外部網絡所能到達的惟一節點，以此來確保部網絡不受外部未授權用戶的攻擊，到達部網絡平安的目的。在屏蔽主機防火墻的網絡平安方案中，一個數據包過濾路由器與因特網相連，同時，一個雙端主機〔DualHomedHost,DHH〕安裝在部網絡中。通常情況下，在網絡路由器上設立過濾原則，使這個雙端主機成為在因特網上所有其他節點所能到達的惟一節點。這樣就確保了部網絡不能受到任何未被授權的外部用戶的攻擊。請解釋屏蔽主機的優點。①屏蔽主機是一種結合了包過濾和代理兩不同機制的防火墻，它能夠提供比單純的過濾路由器和多重宿主主機更高的平安性。任何攻擊者都需要攻破包過濾和代理兩道防線才能進入到聯網絡，增加了攻擊者的難度。②屏蔽主機支持多種功能的網絡效勞的深層過濾，并具有相當的可擴展性。由于堡壘主機的采用代理防火墻技術，所以效勞器只需要添加代理效勞器組件即可。③屏蔽主機系統本身是可靠地、穩固的。不同于多重宿主主機，直接面對對外網絡的并不是堡壘主機而是路由器。所以簡單配置的路由器要比保護一臺主機要容易得多。請解釋屏蔽主機的缺點。主要缺點是堡壘主機和聯網絡主機放置在一起，他們之間沒有一道平安隔離屏障。如果堡壘主機北宮皮，則聯網絡將全部暴露在攻擊者面前。此外雖然過濾路由器的平安性比多重宿主主機要高，但是只進展簡單的包過濾規則，因此入侵者有多種手段對過濾路由器進展破壞。一旦路由表被修改，則堡壘主機被旁路，堡壘主機的效勞器就沒有用了，所有聯網絡向外聯網絡發出的請求都會通過被破壞的過濾路由器直接發到外聯網絡，聯網絡就沒有秘密可言了，聯網絡的平安性都維系在一相對脆弱的路由表上，這是一個比擬嚴重的問題。請畫出雙宿主主機防火墻的構造示意圖。請畫出堡壘主機防火墻的構造示意圖。請畫出雙宿主網關防火墻的構造示意圖。請畫出屏蔽主機防火墻的構造示意圖。請畫出屏蔽子網防火墻的構造示意圖。請畫出三叉非軍事區防火墻的構造示意圖。說明屏蔽子網的優點。聯網絡實現了與外聯網絡的隔離，部構造無法探測，外聯網絡只能知道外部路由器和費軍事區的尋在，而不知道部路由器的存在，也就無法探測部路由器后面的聯網絡了，只一點對于防止入侵者知道聯網絡的聯網絡的拓撲構造和主機地址分配及活動情況尤為重要。聯網絡平安防護嚴密。入侵者必須攻破外部路由器、堡壘主機和部路由器之后才能進入聯網絡。由于使用了部路由器和外部路由器所以降低了堡壘主機處理的負載量，減輕了堡壘主機的壓力，增強了堡壘主機的可靠性和平安性。非軍事區的劃分將用戶網絡的信息流量明確分為不同的等級，通過部路由器的隔離作用，信息收到了嚴密的保護，減少了信息泄露現象的發生。防火墻的主要性能指標有哪些。可靠性可用性可擴展性可審計性可管理性本錢消耗請簡要說明選擇防火墻主要考慮哪些具體評估參數。〔至少5個〕-.z.吞吐量時延丟包率并發連接數工作模式配置與管理接口數量和類型日志和審計參數可用性參數其他參數〔容過濾、入侵檢測、用戶認證、VPN加密等〕-.z.請說出防火墻的知名廠商有那幾個？〔至少5個〕-.z.Juniper/NetscreenCiscoFortinetWatchGuard安氏天融信東軟-.z.結合現實談談防火墻技術的主要開展趨勢。分布式執行和集中式管理深度過濾建立以防火墻為核心的綜合平安體系防火墻本身的多功能化，變被動防御為主動防御強大的審計與自動日志分析功能。硬件化專用化請說明深度過濾技術的根本特征。正常化、雙向負載檢測、應用層加密解密、協議一致性結合現實請談談計算機系統面臨的威脅。-.z.拒絕效勞〔效勞請求超載、SYN洪水、報文超載〕欺騙〔IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙〕監聽密碼破解木馬緩沖區溢出ICMP秘密通道TCP會話劫持-.z.拒絕效勞攻擊有哪些方法？效勞請求超載、SYN洪水、報文超載欺騙攻擊主要有哪些方法？IP地址欺騙、路由欺騙、DNS欺騙、Web欺騙結合實際談談入侵行為的一般過程。確定攻擊目標實施攻擊攻擊后處理請畫出入侵檢測P2DR模型，并解釋各局部的含義。入侵檢測的主要作用有哪些？〔至少5個〕識別并阻斷系統活動中存在的一直攻擊行為，放置入侵檢測行為對受保護系統造成損害識別并判斷系統用戶的非法操作行為或者越權行為，防止放置用戶對保護系統有意無意的破壞。檢查受保護系統的重要組成局部以及各種數據文件的完整性。審計并彌補系統中存在的弱點和漏洞，其中那個最重要的一點事審計并糾正錯誤的系統配置信息。記錄并分析用戶和系統的行為，描述這些行為變化的正常區域，進而識別異常的活動。通過蜜罐等技術記錄入侵者的信息，分析入侵者的目的和行為特征，優化系統平安策略。加強組織和機構對系統和用戶的監視和控制能力，提高管理水平和管理質量。簡要說明基于主機的入侵檢測的優點有哪些？能夠檢測所有的系統行為，可以準確監控針對主機的攻擊過程不需要額外的硬件來支持能夠適合加密的環境網絡無關性簡要說明基于主機的入侵檢測的缺點有哪些？不具有平臺無關性，可移植性差檢測手段較多時會影響安裝主機的性能維護和管理工作復雜無法判斷網絡的入侵行為簡要說明基于網絡的入侵檢測的優點有哪些？具有系統平臺無關性不影響受保護主機的性能對攻擊者來說是透明的能夠進展較大圍的網絡平安保護監測數據具有很高的真實性可檢測基于底層協議的攻擊行為簡要說明基于網絡的入侵檢測的缺點有哪些？不在通信的端點，無法像進展網絡通訊的主機那樣處理全部網絡協議層次的數據對于現在越來越流行的加密傳輸很難進展處理對于交換網絡的支持缺乏面臨處理能力的問題容易受到拒絕效勞攻擊很難進展復雜攻擊的檢測簡要說明蜜罐技術原理。蜜罐實際是一種犧牲系統，不包含任何可以利用的有價值的資源。存在的唯一目的就是將攻擊的目標轉移到蜜罐系統上，誘騙、手機、分析攻擊的信息確定攻擊行為和入侵者的動機。，設置蜜罐存在平安風險，容易被入侵者控制作為攻擊聯網絡的跳板。說明什么是異常入侵檢測。異常入侵檢測是根據系統和用戶的非正常行為或者對于計算機資源的非正常使用檢測出入侵行為的檢測技術，異常檢測根底是建立在系統正常活動或用戶正常行為模式的描述模型。將用戶的當前行為模式和系統的當前狀態與該正常模式進展比擬，如果當前值超出了預設的閾值，則認為存在攻擊行為。，對未知的攻擊的檢測，準確度依賴于正常模型的準確程度。說明什么是濫用入侵檢測。濫用入侵檢測通過對現有的各種攻擊手段進展分析，找到能夠代表該攻擊的行為的特征集合。對當前數據的處理就是與這些特征集合進展匹配，如果成功匹配則說明發生了依次確定的攻擊。濫用入侵檢測可以實現的根底是現有攻擊手段，都能夠根據近攻擊條件、動作排列及相應事件之間的關系變化進展明確描述，即攻擊