防火牆的發展背景及技術演進
主要考察包括什麼是防火牆、防火牆的分類、防火牆技術演進等。
問題1根據防火牆的技術演進特徵,可以分為(ABC)
A. 包過濾防火牆
B. 狀態防火牆
C. 應用代理防火牆
D. 電信級防火牆
說明/參考:
問題2隨著網路技術的不斷髮展,防火牆也在完成自己的更新換代,防火牆所經歷的技術演進包括有:(ABD)
A. 包過濾防火牆
B. 應用代理防火牆
C. Dos防火牆
D. 狀態檢測防火牆
說明/參考:
問題3根據防火牆的技術的演進特性,可以分為(BCD)
A. 電信級防火牆
B. SMB應用代理防火牆
C. 狀態防火牆;
D. 包過濾防火牆
說明/參考:
防火牆應具備的基本功能主要考察防火牆的路由交換功能、NAT,為什麼需要攻擊防範,各種攻擊的原理和表現方式、在裝置上如何配置防攻擊、雙機熱備的原理和工作方式、日誌審計等。
問題1一般來說,以下哪些功能是由NGFW防火牆來實現的(ABD)
A. 監控網路中回話狀態
B. 隔離內網與外網
C. 防止內網被篡改
D. 隔離可信任網路和不可信網路
說明/參考:
防篡改屬於應用層,如網頁防篡改可以使用WAF裝置。
問題2關於H3C防火牆,下列說法正確的是(BCD)
A. 防火牆的安全策略只能在Web頁面下配置
B. 防火牆只能透過命令列方式升級版本
C. 防火牆的預設登入IP地址是192.168.0.1
D. 防火牆透過WEB登入的預設使用者名稱/密碼是:admin/admin
問題3下列關於對於NGFW防火牆的功能描述,不正確的是(A)
A. 防火牆能夠防網頁被篡改
B. 防火牆能夠限制網路訪問
C. 防火牆能夠產生審計日誌
D. 防火牆能夠執行安全策略
說明/參考:
防篡改屬於應用層,如網頁防篡改可以使用WAF裝置。
問題4SecPath SSLVPN系列閘道器是H3C公司開發的新一代專業安全產品,具有豐富的功能,如:(ACD)
A. 完善的防火牆功能,支援外部攻擊防範、內網安全、流量監控、郵件過濾、網頁過濾、應用層過濾等功能
B. 強大的路由能力
C. 提供多種智慧分析和管理手段
D. 支援豐富的QoS特性
說明/參考:
安全裝置不具備強大的路由功能,B是路由器的功能。
問題5SecPath IPS裝置的管理口僅支援同網段管理端PC訪問,當管理端PC的地址與裝置管理地址不在同一網段時,無法對裝置進行Web管理,以上說法是:(B)
A.正確
B.錯誤
說明/參考:
支援增加路由配置來實現跨網段網管。
問題6黑名單表項可以手工新增,也可以有防火牆動態生成,上述說法是:(A)
A.正確
B.錯誤
說明/參考:
A.正確
B.錯誤
說明/參考:
問題8當防火牆接收到包含URL引數的HTTP請求報文時,根據Web傳輸引數方式,從報文中獲取URL引數,目前防火牆支援的Web傳輸引數有:(BD)
A. PUT
B. GET
C. PUSH
D. POST
說明/參考:
包括兩種請求方法:GET和POST。
問題9使用防火牆Web過濾功能,可以組織或者允許內部使用者訪問某些特定網頁(A)
A.正確
B.錯誤
說明/參考:
問題10H3C SecPath防火牆中,配置IP地址資源的方式有哪些?(ABCD)
A. 主機地址
B. 範圍地址
C. 子網地址
D. 網站域名
說明/參考:
問題11H3C SecPath防火牆中,下面哪些攻擊必須和動態黑名單組合使用?(CE)
A. 攻擊
B. Land掃描攻擊
C. 地址掃描攻擊
D. Smurf攻擊
E. 埠掃描攻擊
說明/參考:
動態黑名單是和IP地址關聯的。
問題12關於SecPath防火牆,下列說法正確的是(C)
A. 防火牆只能透過命令列方式升級版本
B. 防火牆透過WEB登入的預設使用者名稱/密碼是H3C/H3C
C. 防水牆的預設登入IP地址是192.168.0.1
D. 防火牆的域間策略只能在Web頁面下配
說明/參考:
使用者首次登入裝置時,可以透過Console口/Web登入,裝置管理介面的IP地址為192.168.0.1/24,使用者名稱和密碼均為admin,且登入的是預設Context。
問題13H3C SecPath防火牆Web網站過濾具有哪些功能?(ABCD)
A. 網站地址過濾
B. URL引數
C. JAVA阻斷
D. ActiveX阻斷
問題14下列關於對防火牆的功能描述,不正確的是(C)
A. 防火牆能夠執行安全策略
B. 防火牆能夠產生審計日誌
C. 防火牆能夠限制組織安全狀況的暴露
D. 防火牆能夠防病毒
問題15SecPath防火牆預設開啟黑名單功能。(B)
A.正確
B.錯誤
說明/參考:
安全域上的黑名單過濾功能處於關閉狀態,blacklist enable命令用來開啟安全域上的黑名單過濾功能。
問題16一般來說,以下哪些功能不是由防火牆來實現的(B)
A. 隔離可信任網路和不可信網路
B. 防止病毒和木馬程式入侵
C. 隔離內網和外網
D. 監控網路中會話狀態
說明/參考:
問題17防火牆不能實現哪些功能? (A)
A.不能實現web防篡改
說明/參考:
WEB防篡改是WAF的功能。
問題18防火牆雙機熱備工作模式包括主備模式和負載分擔模式(A)
A.正確
B.錯誤
問題19H3C Secpath防火牆具有哪些功能,可以保證網路的安全性(ABCD)
A. 訪問控制
B. NAT轉換
C. 攻擊防範
D. 黑名單
E. 入侵防禦
說明/參考:
問題20關於H3C防火牆URL過濾功能,下列說法正確的有(ACD)
A. URL是網際網路上標準資源的地址
B. URL格式為:protocol://host[:port/path/[;parametersJ[?guery],其中[:parameters][?query]#fragment稱為URL
C. URL過濾功能是指對使用者訪問的URL進行控制,即允許或禁止使用者訪問Web資源,達到規範使用者上網行為的目的
D. URL過濾規則支援文字匹配和正則表示式匹配兩種方式,文字匹配僅能使用指定的字串對主機進行精確匹配。正則表示式匹配可以使用正則表示式對主機名和URL欄位進行模糊匹配
說明/參考:
URL(Uniform Resource Locator,統一資源定位符)是網際網路上標準資源的地址。URL用來完整、精確的描述網際網路上的網頁或者其他共享資源的地址,URL格式為:"protocol://host[:port]/path/[;parameters][?query]#fragment"。
URL過濾規則支援兩種匹配方式:
1、文字匹配:使用指定的字串對主機名和URI欄位進行精確匹配。
① 匹配主機名欄位時,URL中的主機名欄位與規則中指定的主機名字串必須完全一致,才能匹配成功。例如,規則中配置主機名字串為abc.com.cn,則主機名為abc.com.cn的URL會匹配成功,而主機名為dfabc.com.cn的URL將與該規則匹配失敗。
②匹配URI欄位時,從URL中URI欄位的首字元開始,只要URI欄位中連續若干個字元與規則中指定的URI字串完全一致,就算匹配成功。例如,規則中配置URI字串為/sina/news,則URI為/sina/news、/sina/news/sports或/sina/news_sports的URL會匹配成功,而URI為/sina的URL將與該規則匹配失敗。
2、正則表示式匹配:使用正則表示式對主機名和URI欄位進行模糊匹配。例如,規則中配置主機名的正則表示式為sina.*cn,則主機名為news.sina.com.cn的URL會匹配成功。
防火牆效能衡量指標主要考察吞吐量、時延、新建連線數、併發連線數等。
問題1下列關於衡量防火牆的效能指標說法正確的有(BD)
A. 併發連線數是指每秒鐘防火牆能夠處理的新建連線的數量
B. 時延是資料包進入防火牆到從防火牆輸出的時間間隔
C. 新建連線數是指每秒鐘防火牆能夠同時處理的連線總數
D. 吞吐量需要對不同大小的資料包,不同方向的流量等進行測試
說明/參考:
AC選項反了。
防火牆的組網方式主要考察二層模式的原理、三層模式的原理、防火牆的管理、配置防火牆的管理、檔案管理、升級、License 管理、防火牆基本配置流程等。
問題1防火牆的工作模式包括(BCD)
A. 交叉模式
B. 混合模式
C. 路由模式
D. 透明模式
問題2下列哪一種防火牆執行時速度最慢,並且執行在OSI模型中的最高層(C)
A. 包過濾防火牆
B. 狀態防火牆
C. 應用代理防火牆
D. SMB防火牆
問題3下面哪個說法是錯誤的?(A)
A. VPN可以作為專線線路的備份,但是缺點在於組網複雜,而且價格昂貴
B. 相對於PSTN撥號接入,VPN接入方式可以提供更高的效能,而且安全性高
C. 防火牆的一個功能特性是防止某些基於2層/3層網路協議的網路層攻擊
D. 防火牆可以提供路由交換、地址轉換(NAT)、身份認證等多種功能
說明/參考:
專線網路的部署費用昂貴、部署週期長,不夠靈活。
問題4關於H3C防火牆的命令檢視,以下說法正確的是(ABCD)
A. 在介面檢視下可以透過port link-mode命令切換二三層模式
B. 配置路由應在系統檢視下
C. 使用者登入裝置後,直接進入使用者檢視
D. 在使用者檢視下輸入system view命令進入系統檢視
問題5H3C防火牆版本升級過程中說法正確的有(BCD)
A. boot-loader file命令裡必須帶system引數,表示指定該軟體包為系統軟體包
B. 可以透過FTP/TFTP將軟體版本檔案上傳到本地
C. 執行boot-loader命令來指定裝置下次啟動時使用的版本檔案
D. 從H3C官網http://www.H3C.com/cn/獲取軟體版本
說明/參考:
boot-loader為所有成員裝置指定啟動軟體包。
問題6H3C防火牆特徵庫升級,支援以下幾種方式(ACD)
A. 手動離線升級
B. 特徵庫回滾
C. 定期自動線上升級
D. 立即自動線上升級
說明/參考:
特徵庫升級包括如下幾種方式:
定期自動線上升級:裝置根據管理員設定的時間定期自動更新本地的特徵庫。
立即自動線上升級:管理員手工觸發裝置立即更新本地的特徵庫。
手動離線升級:當裝置無法自動獲取特徵庫服務時,需要管理員先手動獲取最新的特徵庫,再更新裝置本地的特徵庫。
問題7關於H3C防火牆的特徵庫功能說法正確的有(BC)
A. 不支援特徵庫回滾
B. 升級特徵庫需要license授權
C. 支援自定義特徵
D. 不支援自動更新特徵庫
說明/參考:
特徵庫的升級需要安裝License。License過期後,特性功能可以採用裝置中已有的特徵庫正常工作,但無法升級特徵庫。
隨著網際網路業務的不斷變化和發展,網路上的應用也在迅速的增加和變化,需要及時升級裝置中的特徵庫,同時裝置也支援特徵庫回滾功能。
支援兩種型別的特徵:
預定義特徵:由裝置上的APR特徵庫自動生成。
自定義特徵:由管理員手工配置。
問題8關於H3C防火牆License,以下說法正確的是(ACD)
B.裝置出現硬體故障後,可以將臨時License遷移至其他裝置繼續使用。
C.啟用License時,必須提供裝置的DID檔案
D.License的有效期分為永久(Permanent)和絕對時間(Date restricted)兩種,根據釋出渠道不同分為臨時的(Trial)和正式的(Formal)
說明/參考:
壓縮License儲存區用於清除已經過期的或者解除安裝的License資訊,保證License儲存區有足夠的空間用於新License的安裝,壓縮操作會導致DID變更。
臨時License不能遷移。解除安裝臨時License,不會產生解除安裝資訊;License到期後,不能解除安裝;裝置上解除安裝的License不能再次在該裝置上安裝,只能遷移到其他裝置上使用。