银符考试题库-在线练习-网络规划设计师分类模拟题防火墙与IDS、网络安全协议

银符考试题库B12

现在是：

试卷总分：100.0

您的得分：

考试时间为：

点击“开始答卷”进行答题

网络规划设计师分类模拟题防火墙与IDS、网络安全协议

单项选择题

1. 如果某台硬件防火墙有如下配置。
FW (config)#nameif ethemet0 P1 security100
FW (config)#nameif ethernet1 P2 security0
FW (config)#nameif ethemet2 P3 security50
那么该防火墙最可能的端口连接方案是______。

A.端口P1作为外网接口，P2连接DMZ，P3作为内网接口
B.端口P1作为内网接口，P2连接DMZ，P3作为外网接口
C.端口P1作为外网接口，P2作为内网接口，P3连接DMZ
D.端口P1作为内网接口，P2作为外网接口，P3连接DMZ

A B C D

[解析] 通常，防火墙基本配置命令。nameif，用于配置防火墙接口的名字，并指定安全级别。安全级别取值越大，则安全级别越高。依题意，该硬件防火墙的Ethernet0端口被命名为P1，安全级别为100；Ethernet1端口被命名为P2，安全级别为0；Ethernet2端口被命名为P3，安全级别为50。相比之下，P1端口安全级别最高，适合作为内网接口连接内部网络；P2端口安全级别最低，适合作为外网接口连接Internet；P3端口适合作为DMZ接口。

某组织机构要新建一个网络，除内部办公、文件共享等功能外，还要对外提供访问本机构网站(包括动态网页)、电子邮件服务及本机构的域名解析服务。网络规划设计师在设计相应的网络安全策略时，给出的方案是：利用DMZ保护内网不受攻击，在DMZ和Internet之间配一个外部防火墙，在DMZ和内网之间，较好的策略是______，在DMZ中最可能部署的是______。

A.配置一个内部防火墙，其规则为除非禁止，都被允许
B.配置一个内部防火墙，其规则为除非允许，都被禁止
C.不配置防火墙，自由访问，但在相关服务器上安装网络版防病毒软件
D.不配置防火墙，只在三层交换机上设置禁止Ping操作

A B C D

A.Web服务器，FTP服务器，E-mail服务器，相关数据库服务器
B.Web服务器、E-mail服务器、FTP服务器、DNS服务器
C.DNS服务器、Web服务器、E-mail服务器
D.FTP服务器、相关数据库服务器

A B C D

[解析] 由题干关键信息“对外提供访问本机构网站(包括动态网页)、电子邮件服务及本机构的域名解析服务”可知，在DMZ中至少需要部署Web服务器、E-mail服务器和DNS服务器。同时，在DMZ与内网之间应部署一台内部防火墙，实行“除非允许，都被禁止”此类严格的访问限制。请参见第23.1.1节和第23.1.2节例题1的相关介绍。

某机构要新建一个网络，除内部办公、员工邮件等功能外，还要对外提供访问本机构网站(包括动态网页)、E-mail服务和FTP服务，设计师在设计网络安全策略时，给出的方案是：利用DMZ保护内网不受攻击，在DMZ和内网之间配一个内部防火墙，在DMZ和Internet间配置一个外部防火墙。内部网络使用地址段10.x.x.x/24进行IP地址规划设计。
为了使该机构的网站、E-mail和FTP服务能被在外出差的员工正常访问，需要进行的设置是______。
若WWW服务器提供SSL验证的某项服务，以保证外部访问者的口令等敏感信息以密文方式传输，则______。

A.为这些内部服务器各配置两种IP地址：①是内部私有IP地址，②是公网IP地址
B.直接为这些内部服务器各配置一个公网的IP地址
C.在外部防火墙上设置对外合法的服务器IP地址到内部地址的对应关系，放行几条访问所需协议的安全规则
D.在内部防火墙上设置对外合法的服务器IP地址到内部地址的对应关系，在外部防火墙上仅允许HTTP、FTP、SMTP、POP3等协议的数据包通过

A B C D

A.无须任何修改，直接就可以使用
B.需要在防火墙上删除允许HTTP端口80访问WWW服务器的安全访问规则
C.需要在防火墙上增加允许端口号80和110访问WWW服务器的访问规则
D.需要在防火墙上增加允许端口号443访问WWW服务器的安全访问规则

A B C D

[解析] 由于该机构内部网络使用地址段10.x.x.x/24进行IP地址规划设计，因此有可能为处于DMZ区域的服务器各配置一个内部私有IP地址。例如，WWW服务器分配的IP地址为10.99.1.1/24，E-mail服务器分配的IP地址为10.99.1.2/24，FTP服务器分配的IP地址为10.99.1.3/24等。此类私有IP地址不能直接出现在Internet中，对此需要在外部防火墙上设置网络地址转换(NAT)，即建立起对外合法的服务器IP地址与相关内部IP地址之间的映射关系，然后配置允许HTTP、SMTP、POP3、FTP等协议的数据包通过外部防火墙。
安全套接层(SSL)可以为HTTP等协议的数据通信提供数据封装、压缩、加密、身份认证、协商加密算法、交换加密密钥等安全支持。它使用的端口号是TCP 443。因此，依题意，需要在防火墙上增加允许SSL端口号443访问WWW服务器的安全访问规则。

对某省直属单位大中型网络规划时，为了增强应用服务器的网络安全，设计师甲提出了将入侵检测系统(IDS)部署在DMZ区域中的方案，而设计师乙提出了基于网络的入侵防护系统(NIPS)部署方案。对于设计师甲方案的优点不包括______；而设计师乙所提出的NIPS通常部署在______。

A.可以检测防火墙系统的策略配置是否合理
B.可以检测DMZ被黑客攻击的重点
C.可以审计来自Internet上对受保护网络的攻击类型
D.可以查看受保护区域主机被攻击的状态

A B C D

7. A．受保护的应用服务器前端 B．受保护的应用服务器后端
C．受保护的应用服务器的操作系统中D．边界路由器与防火墙之间

A B C D

[解析] 如果将入侵检测系统(IDS)部署在防火墙的非军事区(DMZ)中，就可以查看受保护区域(DMZ)内主机被攻击的状态，从而间接了解黑客对DMZ区域攻击的重点内容是什么，以及间接检查防火墙系统的策略配置是否合理。如果将IDS系统部署在防火墙的DMZ外，那么它就不能访问DMZ区域的主机，也无法审计来自Internet上对受保护网络的攻击。
通常，NIPS部署于网络进/出口处，例如串联在边界路由器与防火墙之间，网络进出的数据流都必须通过它，从而保护整个网络的安全。而HIPS安装在受保护的主机系统中，检测并阻挡针对该主机的威胁和攻击。AIPS由HIPS发展而来，通常部署于应用服务器前端。

8. 以下关于入侵防御系统(IPS)的描述中，错误的是______。

A.IPS产品在网络中是在线旁路式工作，能保证处理方法适当而且可预知
B.IPS能对流量进行逐字节检查，且可将经过的数据包还原为完整的数据流
C.IPS提供主动、实时的防护，能检测网络层、传输层和应用层的内容
D.如果检测到攻击企图，IPS就会自动将攻击包丢去或采取措施阻断攻击源

A B C D

[解析] IPS提供主动、实时的防护，能检测网络层、传输层和应用层的内容。其设计是对网络流量中的恶意数据包进行检测，对攻击性的流量进行自动拦截。如果检测到攻击企图，IPS就会自动将攻击包丢掉或采取措施阻断攻击源，而不把攻击流量放进内部网络。通常，包过滤防火墙只能检测网络层和传输层的内容，不能对应用层的内容进行检查。
串接式部署是IPS区别于IDS的主要特征，即IDS产品在网络中是旁路式工作，而IPS产品在网络中是串接式工作。串接式工作保证所有网络数据都经过IPS设备，IPS检测数据流中的恶意代码，核对策略，在未转发到服务器之前，将信息包或数据流拦截。由于IPS是在线操作，因而能保证处理方法适当而且可预知。

9. 以下攻击手段中，基于网络的入侵防护系统(NIPS)无法阻断的是______。

A.SYN Flooding
B.SQL注入
C.Ping Of Death
D.DDoS

A B C D

[解析] 通常，NIPS能够防止拒绝服务攻击(DoS)等类型的入侵，而常见的DoS攻击有：分布式拒绝服务(DDoS)攻击、SYN Flooding攻击、Ping of Death攻击、Land攻击、Smurf攻击、Teardrop攻击等。而AIPS能够防止诸多入侵，其中包括SQL代码注入、Cookie篡改、参数篡改、缓冲器溢出、强制浏览、畸形数据包、数据类型不匹配及其他已知漏洞等。

某公司为便于员工在家里访问公司的一些数据，允许员工通过Internet访问公司的FTP服务器。为了能够方便地实现这一目标，决定在客户机与FTP服务器之间采用______协议，在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在______。

10.

A.L2TP
B.IPSec
C.PPTP
D.TLS

A B C D

11.

A.客户认证阶段
B.密码交换阶段
C.会谈密码阶段
D.接通阶段

A B C D

[解析] TLS是SSL的后继协议，由TLS记录协议和TLS握手协议构成。TLS记录协议是否使用加密技术是可选的。如果使用加密技术(如数据加密标准DES)，则可以保证连接安全。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定，并协商加密算法和密钥。
依题意，客户机与FTP服务器之间采用TLS协议，可在传输层对数据进行加密以保证数据通信的安全性。该客户机与FTP服务器在密码交换阶段协商相互认可的密码。

12. 安全Web服务器应用方案中，在使用SSL．协议对浏览器与服务器之间的信息进行加密时，会话密钥由______。

A.用户自己指定
B.网络管理员指定
C.浏览器生成
D.服务器生成

A B C D

[解析] 在使用SSL对客房客户端浏览器与服务器之间的信息进行加密时，会话密钥由浏览器产生。该密钥使用Web服务器的公钥加密之后传送给该服务器。Web服务器使用自己的私钥对其进行解密，得到相应的会话密钥。然后用该会话密钥对浏览器与服务器之间的信息进行加密和解密。

13. HTTPS为浏览器和Web服务器提供安全的信息交换。它运行在安全______之上。

A.网关
B.物理连接
C.会话密钥
D.套接口

A B C D

[解析] HTTPS工作在TCP/IP协议族的应用层，为浏览器和Web服务器提供安全的信息交换。它运行在安全套接口(SSL)之上。

14. 以下关于HTTPS的关闭连接描述中，错误的是______。

A.服务器可以在发送关闭警告后关闭连接，从而形成客户端的不完全关闭
B.客户端检测到一个未完成关闭时应予以有序恢复
C.未准备接收任何数据的客户只有等待服务器的关闭警告才能关闭连接
D.当客户遇到一个未成熟关闭时，要将所有已接收到的数据同Content-Length头指定的一样多的请求视为已完成

A B C D

[解析] 客户在关闭连接前必须发送关闭警告。未准备接收任何数据的客户可能选择不等待服务器的关闭警告而直接关闭连接，这样在服务器端将产生一个不完全的关闭。

某大型网上商城销售各类百货商品，为保证顾客能够安全方便地在网上商城购物，网站提供了基于SET协议机制保证安全交易的在线支付功能。SET协议主要是解决______的安全网络支付问题。SET支付系统的参与对象中，______是银行内部网与因特网的接口，负责将网上商城的付款信息转送到银行内部网络进行处理。网站通过SET协议机制中采用的双重数字签名技术，能够保证______。买家在网上购物时发出的支付指令，在由商家送达银行支付网关之前，是在______上传送的。

15.

A.现金
B.支票
C.银行卡
D.汇票

A B C D

16.

A.持卡客户
B.网上商家
C.认证机构
D.支付网关

A B C D

17.

A.商家能看到买家的购物信息和买家的账户信息
B.商家不能看到买家的购物信息和买家的账户信息
C.商家能看到买家的购物信息，但不能看到买家的账户信息
D.商家不能看到买家的购物信息，但能看到买家的账户信息

A B C D

18.

A.Internet
B.虚拟专用网(VPN)
C.商家内联网
D.银行后台专用网

A B C D

[解析] 在电子商务交易中，SET协议主要是解决银行卡的安全网络支付问题。SET支付系统的参与对象中，支付网关是银行内部网与因特网的接口，负责将网上商城的付款信息转送到银行内部网络进行处理。买家在网上购物时发出的支付指令，在由商家送达银行支付网关之前，是在Internet上传送的。
在支付请求阶段，利用双重数字签名技术可以保证商家能看到买家的购物信息，但不能看到买家的账户信息。买家在电子商务网站选购物品后，生成订货信息和支付信息。买家利用哈希算法生成订货信息数字摘要和支付信息数字摘要，然后将订货信息数字摘要和支付信息数字摘要连接起来，再利用哈希算法生成双重数字摘要。买家利用自身的私钥对双重数字摘要加密生成双重数字签名，然后将其和订货信息摘要、支付信息摘要一起发送给商家，商家收到信息后，将接收到的双重数字签名利用买家的公钥解密，再利用同样的哈希算法将订货信息生成新的订货信息摘要，再将新的订货信息摘要与支付信息数字摘要生成新的双重数字摘要，并与买家发送的双重数字摘要比较，以确保信息的完整性和真实性。

在SET交易模式中，数字信封使用______算法加密会话密钥(或持卡人账号)时，首先用______算法对明文编码。

19.

A.SHA
B.RSA
C.IDEA
D.AES

A B C D

20.

A.OAEP
B.RC5
C.ECC
D.MD5

A B C D

[解析] SET中公钥密码算法通常采用RSA，默认使用的哈希函数是SHA，对称密码算法一般采用DES。在用RSA加密时，如果直接对明文加密，那么对密文进行分析，从而得到明文的一些比特是可能的，而且这样的技术确实存在。因此SET在数字信封中使用RSA加密会话密钥(或持卡人账号)时，首先用OAEP(最优非对称加密填充)算法对明文编码。OAEP算法的作用是使消息的各比特之间相互联系在一起，从而使得根据密文来求解明文的任意比特的难度增大。

单项选择题

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

深色：已答题浅色：未答题