《计算机水平考试网络规划设计师分类模拟题防火墙与ids、网络安全协议》由会员分享,可在线阅读,更多相关《计算机水平考试网络规划设计师分类模拟题防火墙与ids、网络安全协议(11页珍藏版)》请在装配图网上搜索。
1、计算机水平考试网络规划设计师分类模拟题防火墙与 ids 、 网络安全协议网络规划设计师分类模拟题防火墙与IDS、网络安全协议单项选 择题1 、如果某台硬件防火墙有如下配置。FW(config)#nameif ethemet0P1security100FW(config)#nameif ether1P2security0FW(config)#nameif ethemet2P3security50 那么 该防火墙最可能的端口连接方案是。A .端口 P1作为外网接口,P2连接DMZ P3作为内网接口 B.端 口 P1作为内网接口,P2连接DMZ P3作为外网接口 C.端口 P1作为 外网接口,P2作
2、为内网接口,P3连接DMZD端口 P1作为内网接口, P2作为外网接口,P3连接DM厚组织机构要新建一个网络,除内部 办公、文件共享等功能外,还要对外提供访问本机构网站( 包括动态网页 ) 、电子邮件服务及本机构的域名解析服务。网络规划设计师在设计相应的网络安全策略时,给出的方案是利用DMZ护内网不受攻击,在 DMZF口 Inter之间配一个外部防火墙, 在DMZF口内网之间,较好的策略是,在DM曲最可能部署的是2 、 A 配置一个内部防火墙,其规则为除非禁止,都被允许B 配置一个内部防火墙, 其规则为除非允许, 都被禁止C 不配置防火墙,自由访问,但在相关服务器上安装网络版防病毒软件D.不配
3、置防火墙,只在三层交换机上设置禁止Ping 操作3、A. Web务器,FTP服务器,E-mail服务器,相关数据库服 务器B. Wet务器、E-mail服务器、FTP服务器、DNS艮务器C. DNS 服务器、Wet务器、E-mail服务器D. FTP服务器、相关数据库服 务器某机构要新建一个网络,除内部办公、员工邮件等功能外,还要对外提供访问本机构网站(包括动态网页)、E-mail服务和FTP服务, 设计师在设计网络安全策略时,给出的方案是利用DMZ呆护内网不受 攻击,在DM才口内网之间配一个内部防火墙, 在DMZ口 Inter间配置 一个外部防火墙。内部网络使用地址段10.x.x.x/24
4、进行 IP 地址规划设计。为了使该机构的网站、E-mail和FTP服务能被在外出差的员工正 常访问,需要进行的设置是 。若服务器提供SSL验证的某项服务,以保证外部访问者的口令等 敏感信息以密文方式传输,则 。4、A.为这些内部服务器各配置两种IP地址是内部私有IP地 址,是公网IP地址B.直接为这些内部服务器各配置一个公网的 IP地址C.在外部防火墙上设置对外合法的服务器IP地址到内部地址的对应关系,放行几条访问所需协议的安全规则D.在内部防火墙上设置对外合法的服务器IP 地址到内部地址的对应关系,在外部防火墙上仅允许、FTR SMTP POP辖协议的数据包通过5、A.无须任何修改,直接就可
5、以使用 B.需要在防火墙上删除 允许端口 80访问服务器的安全访问规则 C.需要在防火墙上增加允许端口号80和110访问服务器的访问规则D.需要在防火墙上增加允许端口号443 访问服务器的安全访问规则对某省直属单位大中型网络规划时, 为了增强应用服务器的网络安全, 设计师甲提出了将入侵检测系统(IDS)部署在DM本域中的方案,而设计师乙提出了基于网络的入侵防护系统 (NIPS) 部署方案。对于设计师甲方案的优点不包括;而设计师乙所提出的NIPS通常部署在。6、A.可以检测防火墙系统白策略配置是否合理B.可以检测DMZ被黑客攻击的重点C.可以审计Inter上对受保护网络的攻击类型D.可以查看受保
6、护区域主机被攻击的状态7 、 A 受保护的应用服务器前端B 受保护的应用服务器后端C 受保护的应用服务器的操作系统中 D.边界路由器与防火墙之间8 、以下关于入侵防御系统(IPS) 的描述中,错误的是。A . IPS产品在网络中是在线旁路式工作,能保证处理方法适当而且可预知 B IPS 能对流量进行逐字节检查,且可将经过的数据包还原为完整的数据流C IPS 提供主动、实时的防护,能检测网络层、传输层和应用层的内容D.如果检测到攻击企图,IPS就会自动将攻击包丢去或采取措施阻断攻击源9 、 以下攻击手段中, 基于网络的入侵防护系统 (NIPS) 无法阻断的A . SYN FloodingB .
7、SQL注入 C. Ping OfDeath D . DDo需公司为便于员工在家里访问公司的一些数据, 允许员工通过Inter 访问公司的FTP服务器。为了能够方便地实现这一目标,决定在客户机与FTP服务器之间采用 协议,在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议,客户机与服务器之间协商相互认可的密码发生在。10 、 A L2TP B IPSec C PPTP D TLS11、A.客户认证阶段B.密码交换阶段C.会谈密码阶段D.接通阶段12、安全WebI艮务器应用方案中,在使用 SSL协议对浏览器与服务器之间的信息进行加密时,会话密钥由 。A .用户自己指定B.网络管理员指定C
8、.浏览器生成D.服务器生成13、S为浏览器和Wet务器提供安全的信息交换。它运行在安全之上。A .网关B.物理连接C.会话密钥D.套接口14 、以下关于S 的关闭连接描述中,错误的是。A 服务器可以在发送关闭警告后关闭连接, 从而形成客户端的不完全关闭B.客户端检测到一个未完成关闭时应予以有序恢复C.未准备接收任何数据的客户只有等待服务器的关闭警告才能关闭连接D.当客户遇到一个未成熟关闭时,要将所有已接收到的数据同Content-Length 头指定的一样多的请求视为已完成某大型网上商城销售各类百货商品, 为保证顾客能够安全方便地在网上商城购物, 网站提供了基于SET协议机制保证安全交易的在线
9、支付功能。SET 协议主要是解决的安全网络支付问题。SET 支付系统的参与对象中, 是银行内部网与因特网的接口,负责将网上商城的付款信息转送到银行内部网络进行处理。网站通过SET协议机制中采用的双重数字签名技术,能够保证买家在网上购物时发出的支付指令,在由商家送达银行支付网关之前,是在上传送的。15、A.现金B.支票C.银彳f卡D.汇票16、A.持卡客户B.网上商家C.认证机构D.支付网关17、A.商家能看到买家的购物信息和买家的账户信息B.商家不能看到买家的购物信息和买家的账户信息C.商家能看到买家的购物信息, 但不能看到买家的账户信息D 商家不能看到买家的购物信息,但能看到买家的账户信息1
10、8、A. Inter B .虚拟专用网(VPN)C.商家内联网D.银行后台专用网在SET交易模式中,数字信封使用 算法加密会话密钥( 或持卡人账号) 时,首先用 算法对明文编码。19 、 A SHA B RSA C IDEA D AES20、A. OAEP B RC5C ECC D MD5案:单项选择题1、D解析通常,防火墙基本配置命令。nameif ,用于配置防火墙接口的名字,并指定安全级别。安全级别取值越大,则安全级别越高。依题意,该硬件防火墙的EtherO端口被命名为P1,安全级别为100; Etherl端口被命名为P2,安全级别为0; Ether2端口被命名为P3,安全级别为50。相比
11、之下, P1 端口安全级别最高,适合作为内网接口连接内部网络;P2端口安全级别最低,适合作为外网接口连接Inter ; P3端口适合作为DM举口。2、B3、C解析由题干关键信息“对外提供访问本机构网站(包括动态 网页)、电子邮件服务及本机构的域名解析服务”可知,在 DM曲至 少需要部署 Web务器、E-mail服务器和DNSi艮务器。同时,在DMZW内网之间应部署一台内部防火墙,实行“除非允许,都被禁止”此类严格的访问限制。请参见第 23.1.1 节和第 23.1.2 节例题 1 的相关介绍。4、C5、B解析由于该机构内部网络使用地址段 10.x.x.x/24 进行IP 地址规划设计,因此有可
12、能为处于DM2E域的服务器各配置一个内部 私有 IP 地址。例如,服务器分配的 IP 地址为 10.99.1.1/24 , E-mail 服务器分配的IP地址为10.99.1.2/24 , FTP服务器分配的IP地址为10.99.1.3/24 等。此类私有 IP 地址不能直接出现在Inter 中, 对此需要在外部防火墙上设置网络地址转换(NAT), 即建立起对外合法的服务器IP 地址与相关内部 IP 地址之间的映射关系,然后配置允许、SMTP、 POP3、FTP等协议的数据包通过外部防火墙。安全套接层(SSL)可以为等协议的数据通信提供数据封装、压缩、加密、身份认证、协商加密算法、交换加密密钥
13、等安全支持。它使用的端口号是TCP443。因此,依题意,需要在防火墙上增加允许SSL端口号443访问服务器的安全访问规则。6、C7、D解析如果将入侵检测系统(IDS)部署在防火墙的非军事区 (DMZ)中,就可以查看受保护区域(DMZ)内主机被攻击的状态,从而间 接了解黑客对DM灰域攻击的重点内容是什么,以及间接检查防火墙 系统的策略配置是否合理。如果将IDS系统部署在防火墙的DM矽卜,那么它就不能访问DMZ 区域的主机,也无法审计 Inter 上对受保护网络的攻击。通常,NIPS部署于网络进/出口处,例如串联在边界路由器与防火墙之间, 网络进出的数据流都必须通过它, 从而保护整个网络的安全。而
14、HIPS安装在受保护的主机系统中,检测并阻挡针对该主机的威胁和攻击。AIPS由HIPS发展而来,通常部署于应用服务器前端8、A解析IPS提供主动、实时的防护,能检测网络层、传输层和应用层的内容。其设计是对网络流量中的恶意数据包进行检测,对攻击性的流量进行自动拦截。如果检测到攻击企图, IPS 就会自动将攻击包丢掉或采取措施阻断攻击源,而不把攻击流量放进内部网络。通常,包过滤防火墙只能检测网络层和传输层的内容,不能对应用层的内容进行检查。串接式部署是IPS区别于IDS的主要特征,即IDS产品在网络中是旁路式工作,而IPS 产品在网络中是串接式工作。串接式工作保证所有网络数据都经过IPS设备,IP
15、S检测数据流中的恶意代码,核对策略, 在未转发到服务器之前,将信息包或数据流拦截。由于 IPS 是在线操作,因而能保证处理方法适当而且可预知。9、B解析通常,NIPS能够防止拒绝服务攻击(DoS)等类型的入 侵,而常见的DoS击有分布式拒绝服务(DDoS敷击、SYNFlooding 攻击、 Ping ofDeath 攻击、 Land 攻击、 Smurf 攻击、 Teardrop 攻击 等。而AIPS能够防止诸多入侵,其中包括 SQL代码注入、Cookie篡 改、参数篡改、缓冲器溢出、强制浏览、畸形数据包、数据类型不匹配及其他已知漏洞等。10 、 D11、B解析TLS是SSL的后继协议,由TLS
16、记录协议和TLS握手 协议构成。TLS 记录协议是否使用加密技术是可选的。如果使用加密技术( 如数据加密标准DES), 则可以保证连接安全。TLS 握手协议使服务器和客户机在数据交换之前进行相互鉴定,并协商加密算法和密钥。依题意,客户机与FTP服务器之间采用TLS协议,可在传输层对 数据进行加密以保证数据通信的安全性。该客户机与FTP服务器在密码交换阶段协商相互认可的密码。12、A解析在使用SSL对客房客户端浏览器与服务器之间的信息 进行加密时,会话密钥由浏览器产生。该密钥使用Wet务器的公钥加密之后传送给该服务器。Web 服务器使用自己的私钥对其进行解密, 得到相应的会话密钥。然后用该会话密
17、钥对浏览器与服务器之间的信息进行加密和解密。13、D解析S工作在TCP/IP协议族的应用层,为浏览器和 Web 服务器提供安全的信息交换。它运行在安全套接口(SSL)之上。14、C解析客户在关闭连接前必须发送关闭警告。未准备接收任何数据的客户可能选择不等待服务器的关闭警告而直接关闭连接,这样在服务器端将产生一个不完全的关闭。15 、 C16 、 D17 、 C18、A解析在电子商务交易中,SET协议主要是解决银行卡的安 全网络支付问题。SET 支付系统的参与对象中,支付网关是银行内部网与因特网的接口,负责将网上商城的付款信息转送到银行内部网络进行处理。买家在网上购物时发出的支付指令,在由商家送
18、达银行支付网关之前,是在Inter 上传送的。在支付请求阶段,利用双重数字签名技术可以保证商家能看到买家的购物信息,但不能看到买家的账户信息。买家在电子商务网站选购物品后,生成订货信息和支付信息。买家利用哈希算法生成订货信息数字摘要和支付信息数字摘要,然后将订货信息数字摘要和支付信息数字摘要连接起来, 再利用哈希算法生成双重数字摘要。买家利用自身的私钥对双重数字摘要加密生成双重数字签名,然后将其和订货信息摘要、 支付信息摘要一起发送给商家, 商家收到信息后, 将接收到的双重数字签名利用买家的公钥解密, 再利用同样的哈希算法将订货信息生成新的订货信息摘要,再将新的订货信息摘要与支付信息数字摘要生成新的双重数字摘要,并与买家发送的双重数字摘要比较,以确保信息的完整性和真实性。19 、 B20、A解析SET中公钥密码算法通常采用RSA默认使用的哈希函数是SHA对称密码算法一般采用DES在用RSAffl密时,如果直接对明文加密,那么对密文进行分析,从而得到明文的一些比特是可能的,而且这样的技术确实存在。因此SE俗数字信圭t中使用RSAra密会tS密钥(或持卡人账号)时, 首先用OAEPI!优非对称加密填充)算法对明文编码。OAEP 算法的作用是使消息的各比特之间相互联系在一起,从而使得根据密文来求解明文的任意比特的难度增大。内容仅供参考
计算机水平考试网络规划设计师分类模拟题防火墙与ids、网络安全协议
