第十一章 防火墙技术基础练习题参考答案

江西工业职业技术学院电子与信息工程分院《网络互联技术》课程版权所有●江西工业职业技术学院电子与信息工程分院赵怀明教师《网络互联技术》练习题第十一章：防火墙技术基础参考答案一、填空题1、防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的，用以实施网络间访问控制的一组组件的集合。2、目前普遍应用的防火墙按组成结构可分为软件防火墙,硬件防火墙,芯片级防火墙三种。3、包过滤类型的防火墙要遵循的一条基本原则是最小特权原则。4、状态检测防火墙中有两张表用来实现对数据流的控制，它们分别是规则表和状态检测表。5、常见防火墙按采用的技术分类主要有：包过滤防火墙；代理防火墙；状态检测防火墙。6、双重宿主主机是防火墙体系的基本形态7、应用层网关防火墙也就是传统的代理型防火墙。应用层网关型防火墙工作在OSI模型的应用层，它的核心技术就是代理服务器技术。8、防火墙体系结构一般有如下三种类型：双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。9、在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。10、防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。二、单项选择题1、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是（C）。A、IDSB、杀毒软件C、防火墙D、路由器2、以下关于防火墙的设计原则说法正确的是（B）。A、不单单要提供防火墙的功能，还要尽量使用较大的组件B、保持设计的简单性C、保留尽可能多的服务和守护进程，从而能提供更多的网络服务D、一套防火墙就可以保护全部的网络3、防火墙能够（B）。A、防范恶意的知情者B、防范通过它的恶意连接C、防备新的网络安全问题D、完全防止传送己被病毒感染的软件和文件4、防火墙中地址翻译的主要作用是（C）。江西工业职业技术学院电子与信息工程分院《网络互联技术》课程版权所有●江西工业职业技术学院电子与信息工程分院赵怀明教师A、提供代理服务B、进行入侵检测C、隐藏内部网络地址D、防止病毒入侵5、防火墙是隔离内部和外部网的一类安全系统。通常防火墙中使用的技术有过滤和代理两种。路由器可以根据（B）进行过滤，以阻挡某些非法访问。A、网卡地址B、IP地址C、用户标识D、加密方法6、在企业内部网与外部网之间，用来检查网络请求分组是否合法，保护网络资源不被非法使用的技术是（B）。A、防病毒技术B、防火墙技术C、差错控制技术D、流量控制技术7、防火墙是指（B）。A、防止一切用户进入的硬件B、阻止侵权进入和离开主机的通信硬件或软件C、记录所有访问信息的服务器D、处理出入主机的邮件的服务器8、防火墙的基本构件包过滤路由器工作在OSI的哪一层（C）A、物理层B、传输层C、网络层D、应用层9、包过滤防火墙对通过防火墙的数据包进行检查，只有满足条件的数据包才能通过，对数据包的检查内容一般不包括（D）。A、源地址B、目的地址C、协议D、有效载荷10、防火墙对数据包进行状态检测过滤时，不可以进行检测过滤的是（D）。A、源和目的IP地址B、源和目的端口C、IP协议号D、数据包中的内容11、下列属于防火墙的功能的是（D）。A、识别DNS服务器B、维护路由信息表C、提供对称加密服务D、包过滤12、公司的WEB服务器受到来自某个IP地址的黑客反复攻击,你的主管要求你通过防火墙来阻止来自那个地址的所有连接,以保护WEB服务器,那么你应该选择哪一种防火墙?(A)。A、包过滤型B、应用级网关型D、复合型防火墙D、代理服务型13、以下哪种技术不是实现防火墙的主流技术？（D）。A、包过滤技术B、应用级网关技术C、代理服务器技术D、NAT技术14、关于防火墙技术的描述中，正确的是（B）。A、防火墙不能支持网络地址转换B、防火墙可以布置在企业内部网和Internet之间C、防火墙可以查、杀各种病毒D、防火墙可以过滤各种垃圾文件15、包过滤防火墙通过（D）来确定数据包是否能通过。A、路由表B、ARP表C、NAT表D、过滤规则16、以下关于防火墙技术的描述，哪个是错误的？（C）A、防火墙分为数据包过滤和应用网关两类B、防火墙可以控制外部用户对内部系统的访问C、防火墙可以阻止内部人员对外部的攻击D、防火墙可以分析和统管网络使用情况江西工业职业技术学院电子与信息工程分院《网络互联技术》课程版权所有●江西工业职业技术学院电子与信息工程分院赵怀明教师17、某公司使用包过滤防火墙控制进出公司局域网的数据，在不考虑使用代理服务器的情况下，下面描述错误的是“该防火墙能够（B）”。A、使公司员工只能防问Intrenet上与其有业务联系的公司的IP地址B、仅允许HTTP协议通过C、使员工不能直接访问FTP服务端口号为21的FTP服务D、仅允许公司中具有某些特定IP地址的计算机可以访问外部网络18、以下有关防火墙的说法中，错误的是（D）。A、防火墙可以提供对系统的访问控制B、防火墙可以实现对企业内部网的集中安全管理C、防火墙可以隐藏企业网的内部IP地址D、防火墙可以防止病毒感染程序（或文件）的传播19、包过滤依据包的源地址、目的地址、传输协议作为依据来确定数据包的转发及转发到何处。它不能进行如下哪一种操作（C）。A、禁止外部网络用户使用FTPB、允许所有用户使用HTTP浏览INTERNETC、除了管理员可以从外部网络Telnet内部网络外，其他用户都不可以D、只允许某台计算机通过NNTP发布新闻20、随着Internet发展的势头和防火墙的更新，防火墙的哪些功能将被取代（D）。A、使用IP加密技术B、日志分析工具C、攻击检测和报警D、对访问行为实施静态、固定的控制21、对状态检查技术的优缺点描述有误的是（C）。A、采用检测模块监测状态信息B、支持多种协议和应用C、不支持监测RPC和UDP的端口信息D、配置复杂会降低网络的速度22、包过滤技术与代理服务技术相比较（B）。A、包过滤技术安全性较弱、但会对网络性能产生明显影响B、包过滤技术对应用和用户是绝对透明的C、代理服务技术安全性较高、但不会对网络性能产生明显影响D、代理服务技术安全性高，对应用和用户透明度也很高23、屏蔽路由器型防火墙采用的技术是基于（B）。A、数据包过滤技术B、应用网关技术C、代理服务技术D、三种技术的结合24、关于屏蔽子网防火墙,下列说法错误的是（D）。A、屏蔽子网防火墙是几种防火墙类型中最安全的B、屏蔽子网防火墙既支持应用级网关也支持电路级网关C、内部网对于Internet来说是不可见的D、内部用户可以不通过DMZ直接访问Internet25、网络中一台防火墙被配置来划分Internet、内部网及DMZ区域，这样的防火墙类型为（C）。A、单宿主堡垒主机B、双宿主堡垒主机C、三宿主堡垒主机D、四宿主堡垒主机三、多项选择题江西工业职业技术学院电子与信息工程分院《网络互联技术》课程版权所有●江西工业职业技术学院电子与信息工程分院赵怀明教师1、防火墙的设计时要遵循简单性原则,具体措施包括（ABC）。A、在防火墙上禁止运行其它应用程序B、停用不需要的组件C、将流量限制在尽量少的点上D、安装运行WEB服务器程序2、防火墙技术根据防范的方式和侧重点的不同可分为（BCD）。A、嵌入式防火墙B、包过滤型防火墙C、应用层网关D、代理服务型防火墙3、防火墙的经典体系结构主要有（ABD）形式。A、被屏蔽子网体系结构B、被屏蔽主机体系结构C、单宿主主机体系结构D、双重宿主主机体系结构4、使用基于路由器的防火墙使用访问控制表实现过滤，它的缺点有（ABCD）。A、路由器本身具有安全漏洞B、分组过滤规则的设置和配置存在安全隐患C、无法防范“假冒”的地址D、对访问行为实施静态、固定的控制与路由器的动态、灵活的路由矛盾。5、以下能提高防火墙物理安全性的措施包括:（ABC）。A、将防火墙放置在上锁的机柜B、为放置防火墙的机房配置空调及UPS电源C、制定机房人员进出管理制度D、设置管理帐户的强密码6、在防火墙的“访问控制”应用中，内网、外网、DMZ三者的访问关系为（ABD）。A、内网可以访问外网B、内网可以访问DMZ区C、DMZ区可以访问内网D、外网可以访问DMZ区7、防火墙对于一个内部网络来说非常重要,它的功能包括（ABCD）。A、创建阻塞点B、记录Internet活动C、限制网络暴露D、包过滤8、以下说法正确的有（ABC）A、只有一块网卡的防火墙设备称之为单宿主堡垒主机B、双宿主堡垒主机可以从物理上将内网和外网进行隔离C、三宿主堡垒主机可以建立DMZ区D、单宿主堡垒主机可以配置为物理隔离内网和外网9、在代理服务中，有许多不同类型的代理服务方式，以下描述正确的是（ABCD）。A、应用级网关B、电路级网关C、公共代理服务器D、专用代理服务器10、应用级代理网关相比包过滤技术具有的优点有（ABC）。A、提供可靠的用户认证和详细的注册信息B、便于审计和日志C、隐藏内部IP地址D、应用级网关安全性能较好，可防范操作系统和应用层的各种安全漏洞。11、代理技术的实现分为服务器端和客户端实现两部分，以下实现方法正确的是（ACD）。A、在服务器上使用相应的代理服务器软件B、在服务器上定制服务过程江西工业职业技术学院电子与信息工程分院《网络互联技术》课程版权所有●江西工业职业技术学院电子与信息工程分院赵怀明教师C、在客户端上定制客户软件D、在客户端上定制客户过程12、未来的防火墙产品与技术应用有哪些特点（BCD）。A、防火墙从远程上网集中管理向对内部网或子网管理发展B、单向防火墙作为一种产品门类出现C、利用防火墙建VPN成为主流D、过滤深度向URL过滤、内容过滤、病毒清除的方向发展四、简答题1、请简述包过滤防火墙的工作原理。答案：包过滤防火墙又被称为访问控制列表,它根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数据包是否能通过.这种防火墙可以与现有的路由器集成,也可以用独立的包过滤软件实现2、请简述包过滤防火墙的优点和缺点。答案：（1）包过滤技术的优点由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快、成本低、效率高、数据包过滤对用户透明。（2）包过滤技术的缺点A、不能防范黑客攻击（IP包头内容可以伪造）B、不具备身份认证功能（只过滤IP地址，不能识别相同IP地址下的不同用户）C、安全性较差（为提高安全性，效率会下降）D、工作在网络层，不能检测对高层的攻击3、请简述应用代理网关防火墙的工作原理答案：应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求，（1）优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。（2）缺点：难于配置、处理速度非常慢4、请简述双重宿主主机防火墙的体系结构答案：双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体执行分离外部网络与内部网络的任务。双重宿主主机至少有两个网络接口，一个接口连接内部网络，一个接口连接外部网络，相当于它可以寄生于内外两个网络之中，所以叫双重宿主主机。江西工业职业技术学院电子与信息工程分院《网络互联技术》课程版权所有●江西工业职业技术学院电子与信息工程分院赵怀明教师外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信，但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。一般在双重宿主主机上安装代理服务器软件，它可以为不同的服务提供转发，并同时根据策略进行过滤和控制。5、防火墙通常具有至少3个接口，当使用具有3个接口的防火墙时，就至少产生了3个网络，请描述这三个网络的特性。答案：（1）内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。（2）外部区域（外网）：外部区域通常指Internet或者非企业内部网络。它是互连网络中不