VPN练习题

防火墙技术练习题姓名：学号：选择题：1、下面哪些方式是属于三层VPN的C.A、L2TPB、MPLSC、IPSecD、PP2P2、在加密和解密的过程中，下面哪种算法是采用不对称方式的CA、DESB、3DESC、RSAD、AES3、在公网上使用IPSec加密数据具有哪些优点ABCDA、防重放B、数据私密性C、数据完整性D、数据来源认证4、在IPSecVPN中，使用的MD5加密算法生成的指纹有B位长度A、56B、128C、192D、2565、下面哪种功能是ESP具有的，而AH不具有的BA、认证B、加密C、隧道模式D、MD5哈希6、在传输模式下，下面哪种协议会导致AH封装的数据包失败BA、VRRPB、NATC、NDPD、NTP7、下列协议中，A协议的数据可以受到IPSec的保护。A.TCP、UDP、IPB.ARPC.RARPD.以上皆可以8、AH使用下面哪个协议号：BA、50B、51C、52D、539、ESP使用下面哪个协议号：AA、50B、51C、52D、5310、ESP协议中不是必须实现的验证算法的是D。A.HMAC-MD5B.HMAC-SHA1C.NULLD.HMAC-RIPEMD-16011、下面哪个说法是正确的AA、AH在传输模式中验证整个IP数据包，在隧道模式中验证整个IP数据包；B、AH在传输模式中验证整个IP数据包，在隧道模式中验证新IP头外数据包；C、AH在传输模式中验证IP头后的数据包，在隧道模式中验证整个IP数据包；D、AH在传输模式中验证IP头后的数据包，在隧道模式中验证新IP头外数据包12、在公钥密码体制中，用于加密的密钥为：DA、公钥B、私钥C、公钥与私钥D、公钥或私钥13、加密技术的强度可通过以下哪几方面来衡量：ABCA、算法的强度B、密钥的保密性C、密钥的长度D、计算机的性能14、在防火墙的“访问控制”应用中，内网、外网、DMZ三者的访问关系为ABDA、内网可以访问外网B、内网可以访问DMZ区C、DMZ区可以访问内网D、外网可以访问DMZ区15、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择BA、IDSB、防火墙C、杀毒软件D、路由器16、AH协议中必须实现的验证算法是A。A.HMAC-MD5和HMAC-SHA1B.NULLC.HMAC-RIPEMD-160D.以上皆是17、IPSEC是一套协议集，它不包括下列哪个协议B。A．AHB．SSLC．IKED．ESP18、下列防火墙产品中，属于天融信产品的是D。A．黑客愁B．网眼C．熊猫D．网络卫士19.以下哪一项不是防火墙测试包含的内容A。A．购买测试设备B．建立测试准则C．搭建测试环境D．确定测试项目20.B是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人(如计算机黑客或破解高手等)而设计的。A．网络管理计算机B．蜜罐(Honeypot)C．傀儡计算机D．入侵检测系统简答题：1．网络安全属性包括哪几方面？答：1、可用性，指得到授权的实体在需要时可以使用所需要的网络资源和服务。2、机密性，指网络中信息不被非授权实体(包括用户和进程等)获取与使用。3、完整性，指网络信息的真实可信性，即网络少的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，保证授权用户得到的信息是真实的。4、可靠性，是指系统在规定的条件下和规定的时间内，完成规定功能的概率。5、不可抵赖性，也称为不可否认性；是指通信的双方在通信过程中，对于自己所发送或接收的消息不可抵赖2．阐述数据包过滤防火墙的工作原理。答：包过滤（PacketFilter）是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息（如协议、服务类型等），确定是否允许该数据包通过防火墙。3．从工作原理来看，防火墙可以分为哪些种类？答：特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。4．AH协议和ESP协议的主要区别是什么？答：1、AH没有ESP的加密特性2、AH的认证是对整个数据包做出的，包括IP头部分，因为IP头部分包含很多变量，比如typeofservice（TOS），flags，fragmentoffset，TTL以及headerchecksum.所以这些值在进行认证前要全部清零。所以与NAT模式冲突。而ESP的验证不会对整个IP包进行验证，IP头部不会被验证，因此ESP和NAT模式不冲突。5．能否用ESP协议替代AH协议？答：AH协议：可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网重播。ESP协议：具有所有的AH功能，还可以利用加密技术保障数据机密性。虽然AH和ESP都可以提供身份认证，但他们有2点区别：ESP要求使用高强度的加密算法，会受到许多限制。多数情况下，使用AH的认证服务已经能够满足要求，相对来说，ESP开销较大。有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制，选择安全方案可以有更大的灵活度。所以不能用ESP协议替代AH协议。6．为什么AH协议和NAT冲突？ESP是否和NAT也冲突？答：被AH验证的区域是整个IP包，包括IP包头部的源、目IP地址，由于经过NAT会改变源、目的地址，因此AH与NAT是冲突的，不能同时使用。ESP与NAT不冲突。7．HMAC算法与HASH算法有什么区别？答：HMAC算法需要一个密钥，而HASH算法不需要。8．IPSEC算法的工作模式有哪两种，有什么区别，分别应用在什么环境？答：IPSEC算法的两种模式是：传输模式和隧道模式。区别：传输模式要保护的内容是IP包的载荷，可能是TCP/UDP等传输层协议，也可能是ICMP协议，还可能是AH协议或者ESP协议。隧道模式保护的内容是整个原始的IP包。9．在IPSECVPN中，完整性验证是如何实现的？答：在发送方，整个IP包和验证密钥被作为输入，经过HMAC算法计算后得到的结果被填充到AH头部的“验证数据”字段中；�在接收方，整个IP包和验证算法所用的密钥也被作为输入，经过HMAC算法计算的结果和AH头部的“验证数据”字段进行比较，如果一致，说明该IP包数据没有被篡改，内容是真实可信的。10．简述防火墙测试的主要内容包括哪些？答：操作系统的配置，防火墙配置，相冲突的规则，系统管理，测试防火墙规则库，确认错误配置，识别漏洞，扫描网络，使用nmap，修改控制，验证防火墙，对防火墙策略的更改，规则库的自动验证，创建自己的检查列表。11．防火墙的不能防范的攻击有哪些？答：防火墙不是万能的，只是系统整体安全策略中的一部分1)限制网络服务2)对内部用户防范不足3)不能防范旁路连接4)不能防止受病毒感染的文件的传输5)无法防范数据驱动型攻击6)其他不足：不能防止策略配置不当或错误配置引起的安全威胁；不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁；存在单点失效问题12．物理隔离网闸与防火墙在设计理念方面的主要区别是什么?物理隔离网闸的设计是以安全为首要目的，在安全的基础上实现通信，而防火墙的设计是在保证通信的前提下保证安全13．常见的身份认证方式有哪几种？答：单向认证，双向认证，信任的第三方认证。14.简述虚拟专用网络的基本功能。答：VPN的功能：1、数据机密性保护2、数据完整性保护3、数据源发性认证4、抗重放攻击15.为什么说Ipv4是不安全的，举例说明。答：IPV4地址空间匮乏，路由表过于庞大，不能很好的支持实时业务，使它不能适应Internet的发展，表达的复杂成都不如IPV6