防火墙课堂习题(含答案)

12级防火墙期中（类似题）

作者：学良

1.请问以下访问控制列表是否正确，列表中是否存在有规则冲突，如有，请说明。

知识点：

①：列表1.

②：列表2

规则冲突类型：

无用冲突---列表不会经过该路由器，所以列表无效，只会浪费系统资源。

屏蔽冲突：列表2包含于列表1.

泛化冲突：列表1包含于列表2.

关联冲突：列表1于列表2的动作只是相反（permit/deny）。

冗余冲突：列表1于列表2的动作是相同，且都能匹配相同的数据包。解决办法：列表有子集时候，把子集放前；列表相等时候，去掉其中一条。

本题中：4和5----------屏蔽冲突

1和6；7和8----------泛化冲突

1和3---------关联冲突

2.（1）请根据以下描述，给出一个防火墙的部署结构，并画出大致的示意图

表示。

某公司一共有十台主机，IP地址从192.168.0.1-192.168.0.10，网关地址192.168.0.0

，DNS地址：192.168.0.10。其中192.198.0.10主机被作为企业WWW服务器，其余主机被分配给员工使用。

要求：①使企业内部主机可以上网，并且确保安全；

②外网主机只可以访问企业的www服务器，而不可以访问到员工主机。

（2）上述的防火墙结构是否存在有安全隐患，如果有？请举例说明。

（3）如果上述防火墙存在有安全隐患，能否解决这个安全隐患，请给出解决方案。说明原因，并给出大致的示意图。

解：（1）

（2）有。如果路由表项被修改，则代理失效。

（3）可以，建立屏蔽子网防火墙。

3.下图为屏蔽主机防火墙示意图，外网IP ：10.0.0.1，请给出它的路由表项，访问控制列表和路由应当如何重定向。

Internet

堡垒主机202.112.108.8

过滤路由器

主机

202.112.108.7内部网络202.112.108.0

目的 转发至

202.112.108.0 202.112.108.8

解：

序号 源地址 源端口 目的地址

目的

端口 协议 动作 方向

1 10.0.0.1 * 202.112.108.8 * * permit in

2 10.0.0.1 * 202.112.108.0-7 * * Deny （重定向） in

3 202.112.108.8 * 10.0.0.1 * * permit out

4 202.112.108.0-7 * 10.0.0.1 * * Deny （重定向） out 5

*

*

*

*

*

deny

*

4、某公司通过PIX 防火墙接入Internet ，网络拓扑如下图所示。

在防火墙上利用show 命令查询当前配置信息如下： PIX# show config …

nameif eth0 outside security 0 nameif eth1 inside security 100 nameif eth2 dmz security 40 …

fixup protocol ftp 21 （1）启用ftp 协议，并指定ftp 的端口号为21 fixup protocol http 80 …

ip address outside 61.144.51.42 255.255.255.248 ip address inside 192.168.0.1 255.255.255.0 ip address dmz 10.10.0.1 255.255.255.0 …

global(outside) 1 61.144.51.46 nat(inside) 1 0.0.0.0 0.0.0.0 …

route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 （2）设置eth0口的默认路由，指向61.144.51.45 ，且跳步数为1

【问题1】解析（1）、（2）处画线语句的含义。

【问题2】根据配置信息填充下表。

域名称接口名称IP地址IP地址掩码

inside eth1 192.168.0.1（3）255.255.255.0

outside eth0 61.144.51.42 255.255.255.2

48（4）

dmz （5）eth2（6）10.10.0.1255.255.255.0

5、某公司采用100M宽带接入Internet，公司内部有15 台PC 机，要求都能够上网。另外

有2 台服务器对外分别提供Web 和E-mail服务，采用防火墙接入公网，拓扑结构如下图所

示。

【问题1】如果防火墙采用NAPT 技术，则该单位至少需要申请（1）1 个可用的公网地址。【问题2】

下面是防火墙接口的配置命令：

fire(config)# ip address outside 202.134.135.98 255.255.255.252

fire(config)# ip address inside 192.168.46.1 255.255.255.0

fire(config)# ip address dmz 10.0.0.1 255.255.255.0

根据以上配置，写出图4-1 中防火墙各个端口的IP地址：

e0：（2）192.168.46.1 255.255.255.0

e1：（3）202.134.135.98 255.255.255.252

e2：（4）10.0.0.1 255.255.255.0

【问题3】下面是在防火墙中的部分配置命令，请解释其含义：

global (outside) 1 202.134.135.98-202.134.135.100 （5）

外网使用地址池1：202.134.135.98----202.134.135.100 当内网的主机访问外网时，将地址统一映射为地址池1

6、为了保障内部网络的安全，某公司在Internet 的连接处安装了PIX 防火墙，其网络结构

如图4-1 所示。

【问题1】完成下列命令行，对网络接口进行地址初始化配置：

firewall(config)# ip address inside（1）192.168.0.1（2） 255.255.255.0 firewall(config)# ip address outside （3）61.144.51.42

（4）255.255.255.248

【问题2】阅读以下防火墙配置命令，为每条命令选择正确的解释。

firewall(config)# global(outside) 1 61.144.51.46 （5）A

firewall(config)# nat(inside) 1 0.0.0.0 0.0.0.0 （6）B

firewall(config)# static(inside, outside) 192.168.0.8 61.144.51.43 （7）D （5）

A．当内网的主机访问外网时，将地址统一映射为61.144.51.46

B．当外网的主机访问内网时，将地址统一映射为61.144.51.46

C．设定防火墙的全局地址为61.144.51.46

D．设定交换机的全局地址为61.144.51.46

（6）

A．启用NAT，设定内网的0.0.0.0主机可访问外网0.0.0.0主机

B．启用NAT，设定内网的所有主机均可访问外网

C．对访问外网的内网主机不作地址转换

D．对访问外网的内网主机进行任意的地址转换

（7）

A．地址为61.144.51.43的外网主机访问内网时，地址静态转换为192.168.0.8 B．地址为61.144.51.43的内网主机访问外网时，地址静态转换为192.168.0.8 C．地址为192.168.0.8 的外网主机访问外网时，地址静态转换为61.144.51.43 D．地址为192.168.0.8 的内网主机访问外网时，地址静态转换为61.144.51.43 【问题3】以下命令针对网络服务的端口配置，解释以下配置命令：

firewall(config)# fixup protocol http 8080 （8）启用http，并打开端口80 firewall(config)# no fixup protocol ftp 21 （9）关闭FTP，并关闭端口21

7.根据题意构建过滤规则集。

①安全策略：禁止网络1中终端用TELNET访问网络2中IP地址为193.1.2.5的服务器

②安全策略：允许网络2中终端发起访问网络1内网络资源

如何鉴别硬件防火墙的好坏

如何鉴别防火墙的实际功能差异 有一些问题常令用户困惑： 在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别？ 描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异地十分明显。 一、网络层的访问控制 所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。 1、规则编辑 对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察： 对网络层的访问控制是否可以通过规则表现出来？访问控制的粒度是否足够细？同样一条规则，是否提供了不同时间段的控制手段？规则配置是否提供了友善的界面？是否可以很容易地体现网管的安全意志？ 2、IP/MAC地址绑定 同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP 地址和MAC地址的自动搜集？对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制？因为这些功能非常实用，如果防火墙不能提供IP地址和MAC 地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。 3、NAT（网络地址转换） 这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题：

难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。 二、应用层的访问控制 这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块（因为Linux、FreeBSD等的内核模块已经支持状态监测），但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。 对应用层的控制上，在选择防火墙时可以考察以下几点。 1、是否提供HTTP协议的内容过滤？ 目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。 2、是否提供SMTP协议的内容过滤？ 对电子邮件的攻击越来越多： 邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。 3、是否提供FTP协议的内容过滤？ 在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP 的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制： PUT和GET。 好的防火墙应该可以对FTP其他所有的命令进行控制，包括 CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。

防火墙试题-(2)

一、选择题 1、下列哪些是防火墙的重要行为？（AB ） A、准许 B、限制 C、日志记录 D、问候访问者 2、最简单的防火墙结构是（ A ） A、路由器 B、代理服务器 C、日志工具 D、包过滤器 3、绝大多数WEB站点的请求使用哪个TCP端口？（C ） A、21 B、25 C、80 D、1028 三、选择题 1.常用的加密算法包括（ABCD ） A．DES B.3DES C.RSA D.AES E.MD5 F.MAC 2.常用的散列算法有（EF ） A．DES B.3DES C.RSA D.AES E.MD5 F.MAC 一、选择题 1.传统上,公司的多个机构之间进行数据通信有众多不同的方式,主要有（ABCD） A．帧中继线路 B.ATM线路 C.DDN线路 D.PSTN 2.IPSec的应用方式有（ABCD） A．端对端安全 B.远程访问 C.VPNs D.多提供商VPNs 3. IPSec 可以使用两种模式,分别是（AB） A．Transport mode B. Tunnel mode C. Main mode D. Aggressive mode

4.在IPSec中，使用IKE建立通道时，使用的端口号是（B）A．TCP 500 B.UDP 500 C.TCP 50 D. UDP 50 5.在IKE阶段1的协商中，可以有两种模式。当两个对端都有静态的IP地址时，采用（C）协商；当一端实动态分配的IP地址时候，采用（D）协商. A．Transport mode B. Tunnel mode C. Main mode D. Aggressive mode 一、填空题 1.密码学从其发展来看，分为传统密码学和计算机密码学两大阶段。 2.密码学做为数学的一个分支，包括密码编码学和密码分析学。 3.计算机密码学包括对称密钥密码体制和公开密钥密码体制。 4.常用的加密算法包括：DES，3DES，AES；常用的散列算法有MD5，MA C 一、填空题 1.目前普遍应用的防火墙按组成结构可分为软件防火墙,硬件防火墙,芯片级防火墙三种。 2.基于PC架构的防火墙上运行一些经过裁剪和简化的操作系统，最常用的有UNIX、Linux和FreeBSD系统。 3.芯片级防火墙的核心部分是ASIC芯片。 4.目前市场上常见的防火墙架构有X86,ASIC，NP。

全球最好的20款防火墙

1.ZoneAlarm（ZA）——强烈推荐◆◆◆◆◆ 这是Zone Labs公司推出的一款防火墙和安全防护软件套装，除了防火墙外，它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。与以前的版本相比，新产品现在能够支持专家级的规则制定，它能够让高级用户全面控制网络访问权限，同时还具有一个发送邮件监视器，它将会监视每一个有可能是由于病毒导致的可疑行为，另外，它还将会对网络入侵者的行动进行汇报。除此之外，ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点，即使是刚刚出道的新手也能够很容易得就掌握它的使用。 说明： 1、安装程序会自动查找已安装的 ZoneAlarm Pro 路径。 2、如果已经安装过该语言包，再次安装前请先退出 ZA。否则安装后需要重新启动。 3、若尚未安装 ZA，在安装完 ZA 后进行设置前安装该语言包即可，这样以后的设置将为中文界面。 4、ZA 是根据当前系统的语言设置来选择相应语言包的，如果系统语言设置为英文，则不会调用中文语言包。 5、语言包不改动原版任何文件，也适用于和 4.5.594.000 相近的版本。如果需要，在卸载后可还原到英文版。 6、有极少量英文资源在语言包里没有，故无法汉化。如检查升级时的提示窗口、警报信息中的“Port”。 下载地址： ZoneAlarm Security Suite 2.傲盾（KFW）——强烈推荐◆◆◆◆◆ 本软件是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术，与企业级防火墙Check Point和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护您的服务器免受来自I nternet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大、齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。 下载地址： KFW傲盾防火墙 3.Kaspersky Anti-Hacker（KAH）——一般推荐◆◆◆◆ Kaspersky Anti-Hacker 是Kaspersky 公司出品的一款非常优秀的网络安全防火墙！和著名的杀毒软件 AVP是同一个公司的作品！保护你的电脑不被黑客攻击和入侵，全方位保护你的数据安全！所有网络资料存取的动作都会经由它对您产生提示，存取动作是否放行，都由您来决定，能够抵挡来自于内部网络或网际网络的黑客攻击！ 下载地址： https://www.wendangku.net/doc/7f4741079.html,/?Go=Show::List&ID=5641 https://www.wendangku.net/doc/7f4741079.html,/showdown.asp?soft_id=7 腹有诗书气自华

防火墙试题及答案

防火墙培训试题 1.关于防火墙的描述不正确的是：（） A、防火墙不能防止内部攻击。 B、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。 2.防火墙的主要技术有哪些？（） A.简单包过滤技术 B.状态检测包过滤技术 C.应用代理技术 D.复合技术 E.地址翻译技术 3.防火墙有哪些部属方式？（） A.透明模式 B.路由模式 C.混合模式 D.交换模式 4.判断题：并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同 时建立的最大连接数。（ V ） 5.判断题：对于防火墙而言，除非特殊定义，否则全部ICMP消息包将被禁止 通过防火墙（即不能使用ping命令来检验网络连接是否建立）。 （ V ） 6.下列有关防火墙局限性描述哪些是正确的。（） A、防火墙不能防范不经过防火墙的攻击

B、防火墙不能解决来自内部网络的攻击和安全问题 C、防火墙不能对非法的外部访问进行过滤 D、防火墙不能防止策略配置不当或错误配置引起的安全威胁 7.防火墙的作用（） A、过滤进出网络的数据 B、管理进出网络的访问行为 C、封堵某些禁止的行为 D、记录通过防火墙的信息内容和活动 8.防火墙能够完全防止传送己被病毒感染的软件和文件（ X ） 9.防火墙的测试性能参数一般包括（） A）吞吐量 B）新建连接速率 C）并发连接数 D）处理时延 10.防火墙能够作到些什么？（） A、包过滤 B、包的透明转发 C、阻挡外部攻击 D、记录攻击 11.防火墙有哪些缺点和不足？（） A、防火墙不能抵抗最新的未设置策略的攻击漏洞 B、防火墙的并发连接数限制容易导致拥塞或者溢出 C、防火墙对服务器合法开放的端口的攻击大多无法阻止 D、防火墙可以阻止内部主动发起连接的攻击

博弈论第三章习题

问题1：如果开金矿博弈中第三阶段乙选择打官司后的结果尚不能肯定，即下图中a 、b 数值不确定。试讨论本博弈有哪几种可能的结果。如果本博弈中的“威胁”和“承诺”是可信的，a 或b 应满足什么条件？ ①0a <，不借—不分—不打； ②01a <<，且2b >，借—不分—打； ③1a >，且2b >，借—不分—打(,)a b ； ④0a >，且2b <，借—分—（2，2） 问题2：三寡头市场需求函数Q P -=100，其中Q 是三个厂商的产量之和，并且已知三个厂商都有常数边际成本2而无固定成本。如果厂商1和厂商2同时决定产量，厂商3根据厂商1和厂商2的产量决策，问它们各自的产量和利润是多少？ 1123111231(100)2(98)q q q q q q q q q π=----=--- 2123221232(100)2(98)q q q q q q q q q π=----=--- 3123331233(100)2(98)q q q q q q q q q π=----=--- 33123 0,(98)/2q q q q π?=?=--? （a ，b ） （0，4）

代入，11212122(98)/2,(98)/2q q q q q q ππ=--=-- 1212 0,0q q ππ??==??，得***12398/3,49/3q q q === ***1234802/9,2401/9πππ===。 问题3：设两个博弈方之间的三阶段动态博弈如下图所示。 （1）若a 和b 分别等于100和150，该博弈的子博弈完美纳什均衡是什么？ （2）T N L --是否可能成为该博弈的子博弈完美纳什均衡路径，为什么？ （3）在什么情况下博弈方2会获得300单位或更高的得益？ （1）博弈方1在第一阶段选择R ，在第三阶段选择S ，博弈方2在第二阶段选择M 。 （2）不可能。T N L --带来的利益50明显小于博弈方1在第一阶段R 的得益300；无论a 和b 是什么数值，该路径都不能构成Nash 均衡，不能成为子博弈完美Nash 均衡。 （a ，b ） 50，300

网络安全试题答案

网络安全试题 一、填空题 1、网络安全的特征有：保密性、完整性、可用性、可控性。 2、网络安全的结构层次包括：物理安全、安全控制、安全服务。 3、网络安全面临的主要威胁：黑客攻击、计算机病毒、拒绝服务 4、计算机安全的主要目标是保护计算机资源免遭：毁坏、替换、盗窃、丢失。 5、就计算机安全级别而言，能够达到C2级的常见操作系统有：UNIX 、 Xenix 、Novell 、Windows NT 。 6、一个用户的帐号文件主要包括：登录名称、口令、用户标识号、 组标识号、用户起始目标。 7、数据库系统安全特性包括：数据独立性、数据安全性、数据完整 性、并发控制、故障恢复。 8、数据库安全的威胁主要有：篡改、损坏、窃取。 9、数据库中采用的安全技术有：用户标识和鉴定、存取控制、数据分 级、数据加密。 10、计算机病毒可分为：文件病毒、引导扇区病毒、多裂变病毒、秘 密病毒、异性病毒、宏病毒等几类。 11、文件型病毒有三种主要类型：覆盖型、前后依附型、伴随型。 12、密码学包括：密码编码学、密码分析学 13、网络安全涉及的内容既有技术方面的问题，也有管理方面的问题。 14、网络安全的技术方面主要侧重于防范外部非法用户的攻击。

15、网络安全的管理方面主要侧重于防止内部人为因素的破坏。 16、保证计算机网络的安全，就是要保护网络信息在存储和传输过程中的保密性、完整性、可用性、可控性和真实性。 17、传统密码学一般使用置换和替换两种手段来处理消息。 18、数字签名能够实现对原始报文的鉴别和防抵赖.。 19、数字签名可分为两类：直接签名和仲裁签名。 20、为了网络资源及落实安全政策，需要提供可追究责任的机制，包括：认证、授权和审计。 21、网络安全的目标有：保密性、完整性、可用性、可控性和真实性。 22、对网络系统的攻击可分为：主动攻击和被动攻击两类。 23、防火墙应该安装在内部网和外部网之间。 24、网络安全涉及的内容既有技术方面的问题，也有管理方面的问题。 25、网络通信加密方式有链路、节点加密和端到端加密三种方式。 26、密码学包括：密码编码学、密码分析学 二、选择题 1、对网络系统中的信息进行更改、插入、删除属于 A.系统缺陷 B.主动攻击 C.漏洞威胁 D.被动攻击 2、是指在保证数据完整性的同时，还要使其能被正常利用和操作。 A. 可靠性 B. 可用性 C. 完整性 D. 保密性 3、是指保证系统中的数据不被无关人员识别。 A. 可靠性 B. 可用性 C. 完整性 D. 保密性 4、在关闭数据库的状态下进行数据库完全备份叫。

硬件防火墙

硬件防火墙(Hardware Firewall) [编辑] 什么是硬件防火墙 硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。 硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。 [编辑] 硬件防火墙检查的内容 系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。 一般来说，硬件防火墙的例行检查主要针对以下内容： 1.硬件防火墙的配置文件 不管你在安装硬件防火墙的时候考虑得有多么的全面和严密，一旦硬件防火墙投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变。作为网络安全管理人员，最好能够编写一套修改防火墙配置和规则的安全策略，并严格实施。所涉及的硬件防火墙配置，最好能详细到类似哪些流量被允许，哪些服务要用到代理这样的细节。

在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。 2.硬件防火墙的磁盘使用情况 如果在硬件防火墙上保留日志记录，那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。如果不保留日志记录，那么检查硬件防火墙的磁盘使用情况就变得更加重要了。保留日志记录的情况下，磁盘占用量的异常增长很可能表明日志清除过程存在问题，这种情况相对来说还好处理一些。在不保留日志的情况下，如果磁盘占用量异常增长，则说明硬件防火墙有可能是被人安装了Rootkit工具，已经被人攻破。 因此，网络安全管理人员首先需要了解在正常情况下，防火墙的磁盘占用情况，并以此为依据，设定一个检查基线。硬件防火墙的磁盘占用量一旦超过这个基线，就意味着系统遇到了安全或其他方面的问题，需要进一步的检查。 3.硬件防火墙的CPU负载 和磁盘使用情况类似，CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。作为安全管理人员，必须了解硬件防火墙系统CPU负载的正常值是多少，过低的负载值不一定表示一切正常，但出现过高的负载值则说明防火墙系统肯定出现问题了。过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。 4.硬件防火墙系统的精灵程序 每台防火墙在正常运行的情况下，都有一组精灵程序（Daemon），比如名字服务程序、系统日志程序、网络分发程序或认证程序等。在例行检查中必须检查这些程序是不是都在运行，如果发现某些精灵程序没有运行，则需要进一步检查是什么原因导致这些精灵程序不运行，还有哪些精灵程序还在运行中。 5.系统文件 关键的系统文件的改变不外乎三种情况：管理人员有目的、有计划地进行的修改，比如计划中的系统升级所造成的修改；管理人员偶尔对系统文件进行的修改；攻击者对文件的修改。 经常性地检查系统文件，并查对系统文件修改记录，可及时发现防火墙所遭到的攻击。此外，还应该强调一下，最好在硬件防火墙配置策略的修改中，包含对系统文件修改的记录。 6.异常日志 硬件防火墙日志记录了所有允许或拒绝的通信的信息，是主要的硬件防火墙运行状况的信息来源。由于该日志的数据量庞大，所以，检查异常日志通常应该是一个自动进行的过程。当然，

网络安全技术习题及答案第4章防火墙技术

网络安全技术习题及答案第4章防火墙技术 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

第4章防火墙技术 练习题 1. 单项选择题 （1）一般而言，Internet防火墙建立在一个网络的( A )。 A．内部网络与外部网络的交叉点 B．每个子网的内部 C．部分内部网络与外部网络的结合合 D．内部子网之间传送信息的中枢 （2）下面关于防火墙的说法中，正确的是( C )。 A．防火墙可以解决来自内部网络的攻击 B．防火墙可以防止受病毒感染的文件的传输 C．防火墙会削弱计算机网络系统的性能 D．防火墙可以防止错误配置引起的安全威胁 （3）包过滤防火墙工作在( C )。 A．物理层B．数据链路层 C．网络层D．会话层 （4）防火墙中地址翻译的主要作用是（ B ）。 A．提供代理服务B．隐藏内部网络地址 C．进行入侵检测D．防止病毒入侵（5）WYL公司申请到5个IP地址，要使公司的20台主机都能联到Internet上，他需要使用防火墙的哪个功能( B )。 A．假冒IP地址的侦测B．网络地址转换技术 C．内容检查技术D．基于地址的身份认证（6）根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高内部用户之间攻击的是（ D ）。 A．使用防病毒软件B．使用日志审计系统 C．使用入侵检测系统D．使用防火墙防止内部攻击（7）关于防火墙的描述不正确的是（ D ）。

A．防火墙不能防止内部攻击。 B．如果一个公司信息安全制度不明确，拥有再好的防火墙也没有 用。 C．防火墙是IDS的有利补充。 D．防火墙既可以防止外部用户攻击，也可以防止内部用户攻击。 （8）包过滤是有选择地让数据包在内部与外部主机之间进行交换， 根据安全规则有选择的路由某些数据包。下面不能进行包过滤的设备 是（ D ）。 A．路由器B．主机 C．三层交换机D．网桥 2. 简答题 （1）防火墙的两条默认准则是什么 （2）防火墙技术可以分为哪些基本类型各有何优缺点 （3）防火墙产品的主要功能是什么 3. 综合应用题 图所示的拓扑图中是某公司在构建公司局域网时所设计的一个方案，中间一台是用Netfilter/iptables构建的防火墙，eth1连接的是内部网络，eth0连接的是外部网络，请对照图回答下面的问题。 图公司局域网拓扑图 【问题1】 按技术的角度来分，防火墙可分为哪几种类型，请问上面的拓扑是属于哪一种类型的防火墙 答： 防火墙可分为包过滤、应用网关、状态检测。 上面的拓扑是属于包过滤 【问题2】

公需课《大国博弈中的全球产业链分化重构》课后习题及答案

大国博弈中的全球产业链分化重构 总分：100 及格分数：60 单选题（共7题，每题5分） 1、亚特兰大的产业领域有四个特点：洗你胃、洗你脑、让你睡、生产杀人武器。其中，（）表明是洗你脑。 A、将假日酒店集团总部设在亚特兰大 B、通过CNN向世界人民输出美国价值观 C、向全世界生产一些攻击性的武器装备 D、通过可乐改变全世界人民的饮食文化 2、根据本讲，国家之间的行为方式如果相互有影响，在这种情况下，国家之间这种互动、影响的静态或动态过程的表现类型就叫（）。 A、发展 B、竞争 C、制约 D、博弈 3、价值链是从（）层面讲，企业在市场上提供商品和服务，通过不同的生产流程创造价值。 A、商品 B、企业 C、国家 D、服务 4、中国的GDP未来肯定要超过美国，支撑中国GDP超越美国的一个重要基础是（）。 A、在大国博弈过程中，尽快建立盟友体系 B、在大国博弈过程中，尽快瓦解以欧美为代表的一些西方发达国家形 成的盟友体系 C、在大国博弈过程中，提高外汇储备 D、在大国博弈过程中，产业链结构重组

5、1719年是我们国家最强盛的一个封建王朝（），当时是中国GDP产量全球最高的一个时代。。 A、文景之治 B、开元盛世 C、康乾盛世 D、贞观之治 6、大国之间博弈最为激烈的是在（） A、制度文化领域 B、军事安全领域 C、产业科技领域 D、文化教育领域 7、现在，出外旅行的中国人越来越多，购买能力越来越强。对一些不友好的地区，游客不愿意去。这种变化会导致（）。 A、全球需求链重组 B、全球供应链重组 C、全球产业链重组 D、全球分布链重组 多选题（共6题，每题5分） 1、全球治理机制变革的最终目标是（）。 A、实现全人类的利益共同体 B、使全人类从全球化的治理变革中享受到好处、优势 C、发展以中国为代表的新兴国家力量 D、瓦解以欧美为代表的一些西方发达国家形成的一些盟友体系 E、规避或消除传统治理机制带来的风险、冲突和矛盾 2、根据本讲，未来全球治理机制变革的理念是（）。 A、共同商量

防火墙安全配置规范试题

防火墙安全配置规范试题 总分：100分时间：70分钟姓名：_____________ 工号：__________ 一、判断题（每题2分，共20分） 1、工程师开局需要使用推荐版本和补丁。（对） 2、防火墙Console口缺省没有密码，任何人都可以使用Console口登录设备。（错） 3、一般情况下把防火墙连接的不安全网络加入低优先级域，安全网络加入高优先级域 （对） 4、防火墙缺省包过滤默认是打开的。（错） 5、防火墙local域和其它域inbound方向可以不做安全策略控制。（错） 6、防火墙双机热备场景下，HRP心跳线可以只用一条物理链路。（错） 7、原则上SNMP需要采用安全的版本，不得采用默认的community，禁用SNMP写功能， 配置SNMP访问列表限制访问。（对） 8、防火墙可以一直开启ftp server功能。（错） 9、远程登录防火墙建议使用SSH方式。（对） 10、正确设置设备的系统时间，确保时间的正确性。（对） 二、单选题（每题3分，共36分） 1. 防火墙一般部署在内网和外网之间，为了保护内网的安全，防火墙提出了一种区别路由 器的新概念（A），用来保障网络安全。 A. 安全区域 B. 接口检测 C. 虚拟通道 D. 认证与授权 2. 防火墙默认有4 个安全区域，安全域优先级从高到低的排序是（C） A. Trust、Untrust 、DMZ、Local B. Local、DMZ 、Trust 、Untrust

C. Local、Trust、DMZ 、Untrust D. Trust 、Local、DMZ 、Untrust 3. 针对防火墙安全功能描述错误的是（D） A. 防火墙可以划分为不同级别的安全区域，优先级从1-100 B. 一般将内网放入Trust 域，服务器放入 DMZ 域，外网属于Untrust 域 C. 要求在域间配置严格的包过滤策略 D. 防火墙默认域间缺省包过滤是permit 的 4.防火墙Console口缺省用户名和密码是（ D） A. huawei；huawei B. huawei；huawei@123 C. root；huawei D. admin；Admin@123 5.防火墙登录密码必须使用强密码，什么是强密码？（D ） A.长度大于8，同时包含数字、字母 B.包含数字，字母、特殊字符 C.包含数字，字母 D.长度大于8，同时包含数字、字母、特殊字符 6.对于防火墙域间安全策略，下面描述正确的是（） A.防火墙域间可以配置缺省包过滤，即允许所有的流量通过 B.域间inbound方向安全策略可以全部放开 C.域间outbound方向安全策略可以全部放开 D.禁止使用缺省包过滤，域间要配置严格的包过滤策略；若要使用缺省包过滤，需得 到客户书面授权。

防火墙功能简介

防火墙功能简介 摘要文章给出了防火墙的定义和作用，对其相关的构造和要求做了解释，并针对国内《高层民用建筑设计防火规范》、《建筑设计防火规范》和国外规范中对防火墙的有关规定提出了在建筑实际规范中确定防火墙的构造和耐火极限要求的几点建议。 关键词防火防火墙建筑防火建筑防火设计 1，防火墙的定义和作用 在建筑防火设计中，主要考虑的是建筑物的主动、被动防火能力和人员安全疏散措施。在主动防火措施中，防火分区是一项主要内容。而防火墙是针对建筑物内外的不同部位和火势蔓延途径，在平面上设置的划分防火区段的建筑结构，是水平防火分区的主要防火分隔物。其主要作用是防止火势和烟气从建筑物外部向内部或由内部向外部或内部之间蔓延，在满足使用需要的同时，把建筑物的内部或外部空间合理地分隔策划能够若干防火区域，有效地减少人员伤亡和火灾损失。它是一种具有较高耐火极限的重要防火分隔物，是阻止火势蔓延的有力设施。 我国建筑设计防火规范中尚无对防火墙作过定义。因此，有必要对其进行定义。 从国外的标准看，防火墙的定义围绕其作用和应具有的性能来定义。如《澳大利亚建筑规范》中定义：防火墙是将楼层或建筑物分隔开，阻止火势和烟气蔓延，并具有规范规定的耐火极限(该规范将建筑物分别按功能分为10类，不同类建筑物中防火墙的耐火极限分别为1.5h，2h，3h，4h)的墙体。美国《标准建筑规范》(SBC)中定义：防火墙是从基础一直砌筑到屋顶或穿过屋顶，具有4h耐火极限，能限制火势蔓延，且在火灾条件下具有足够的结构稳定性，使得其两侧的建筑倒塌时不影响该墙的稳定的墙体(其中的开口采取防护措施)。美国《标准防火规范》(SFC)定义：防火墙是具有保护的开口，能限制火势蔓延，且从基础一直砌筑到屋顶的墙体。美国消防协会(NFPA)《防火手册》中定义：防火墙是具有足够的耐火极限、稳定性和耐久性，能抵御可使该墙两侧建筑结构倒塌的火灾的影响(如在墙上开口，必须采取防护措施)的墙体。美国消防协会标准(NFPA 221)《防火墙和防火隔墙标准》中定义：防火墙是设置在建筑物之间或在建筑物内部用以防火分隔以阻止火势蔓延，并具有一定耐火极限和结构稳定性的墙体。 因此，本人认为对防火墙可从其作用和性能进行定义，即防火墙是具有一定耐火极限、稳定性、耐久性、隔热性和抗变形能力，用于隔断火灾和烟气及其辐射热，能防止火势和烟气向其他防火区域蔓延的墙体。 2．防火墙的构造要求 防火墙从其走向可分为纵向防火墙与横向防火墙；从设置位置可分为内墙防火墙、外墙防火墙和室外独立防火墙；从其结构性能可分为：防火墙和防火隔墙。在规范中涉及较多的通常是防火墙和防火隔墙。 防火隔墙有：独立式防火隔墙、悬臂防火隔墙、承重墙、双防火隔墙、束缚式防火隔墙、单防火隔墙、翼墙等。这些墙体具有4 h的耐火极限时可作为防火墙。防火隔墙具有较低的耐火极限，且不需象防火墙一样从基础开始一直砌筑到屋顶。一般是从建筑物内的地板面到上一层顶板底。 防火墙所起作用大小主要取决于防火墙的强度、耐久性和隔绝性。防火墙上不应有任何开口孔洞。

博弈论第七章习题复习课程

博弈论第七章习题

第七章习题 一、判断下列表述是否正确，并作简单分析 （1）海萨尼转换可以把不完全信息静态博弈转换为不完美信息博弈，说明有了海萨尼转换，不完全信息静态博弈和一般的不完美信息动态博弈是等同的，不需要另外发展分析不完全信息静态博弈的专门分析方法和均衡概念。 答：错误。即使海萨尼转换把不完全信息静态博弈转换为不完美信息动态博弈，也是一种特殊的有两个阶段同时选择的不完美信息动态博弈，对这种博弈的分析进行专门讨论和定义专门均衡的概念有利于提高分析的效率。 （2）完全信息静态博弈中的混合策略可以被解释成不完全信息博弈的纯策略贝叶斯纳什均衡。 答：正确。完全信息静态博弈中的混合策略博弈几乎总是可以解释成一个有少量不完全信息的近似博弈的一个纯策略Bayes—Nash均衡。夫妻之争的混合策略Nash均衡可以用不完全信息夫妻之争博弈的Bayes—Nash均衡表示就是一个例证。 （3）证券交易所中的集合竞价交易方式本质上就是一种双方报价拍卖。 答：正确。我国证券交易中运用的集合竞价确定开盘价的方式就是一种双方报价拍卖。与一般双方报价拍卖的区别只是交易对象，标的不是一件而是有许多件。 （4）静态贝叶斯博弈中之所以博弈方需要针对自己的所有可能类型，都设定行为选择，而不是只针对实际类型设定行为选择，是因为能够迷惑其他博弈方，从而可以获得对自己更有利的均衡。 答：错误。不是因为能够迷惑其他博弈方，而是其他博弈方必然会考虑这些行为选择并作为他们行为选择的依据。因为只根据实际类型考虑行为选择就无法判断其他博弈方的策略，从而也就无法找出自己的最优策略。其实，在这种博弈中一个博弈方即使自己不设定针对自己所有类型的行为选

计算机网络试题及答案填空题

1. 实现防火墙的技术主要有两种，分别是（包过滤）和（应用级网关）。 2. RS-232-C接口规范的内容包括四个方面特性，即机械特性、电气特性、功能特性和（过程特性）。 3. 在大多数广域网中，通信子网一般都包括两部分：传输信道和（转接设备）。 4． IPV4报文的头部长度最大是（ 60）字节， IPV4报文的最大长度是（ 65535）字5．FTP服务器进程的保留端口号是（ 21 ）。 6．计算机网络常用的交换技术有电路交换、（报文交换）和（分组交换）。 7．使用FTP协议时，客户端和服务器之间要建立（控制）连接和数据连接。 8．以太网采用的拓扑结构是（总线结构），FDDI网络采用的拓扑结构是（反向双环结构）。 10. IP的主要功能包括无连接数据传送、差错处理和（路由选择）。 1、脉冲编码调制（PCM）的过程简单的说可分为采样、量化和编码。 2、某计算机的IP地址为208.37.62.23，如果该网络的地址掩码为255.255.255.240，问该网络最多可以划分 14 个子网；每个子网最多有 14 台主机。 3、线缆长度为1km，数据传输速率为10Mb/s的以太网，电磁信号传播速率为2×105m/ms，则其最短帧长为 100bit 。 4、香农关于噪声信道的主要结论是：任何带宽为W (赫兹)，信噪比为s/n的信道其最大数据率为__ Wlog2(1+s/n)(b／s)______。 5、PPP协议使用零比特填充方法实现透明传输。 6、使因特网更好地传送多媒体信息的一种方法是改变因特网平等对待所有分组的思想，使得对时延有较严格要求的实时音频/视频分组，能够从网络获得更好的服务质量。 7、目前，计算网络中的通信主要面临4中基本的安全威胁，分别是截获、中断、篡改和伪造。 1 计算机网络的拓扑结构主要有星型拓扑结构、总线型拓扑结构、（环型）、树型拓扑结构及（网状型）。 2 OSI参考模型是个开放性的模型，它的一个重要特点就是具有分层结构，其中（表示）层具有的功能是规范数据表示方式和规定数据格式等。 3 路由器的功能由三种：网络连接功能、（路由选择）和设备管理功能。 千兆以太网有两种标准，他们分别是（单模光纤）和（ UTP千兆）。 4以太网交换机的数据交换方式有（直接）交换方式、存储转发交换方式和改进直接交换方式。 5从用户角度或者逻辑功能上可把计算机网络划分为通信子网和（资源子网）。 6计算机网络最主要的功能是（资源共享） 2. 域名系统DNS是一个分布式数据库系统。 3. TCP/IP的网络层最重要的协议是 IP互连网协议，它可将多个网络连成一个互连网。 4. 在TCP/IP层次模型的第三层（网络层）中包括的协议主要有ARP 及 RARP IP. ICMP. . 。 7. 运输层的运输服务有两大类：面向连接. 和的无连接服务服务。 8. Internet所提供的三项基本服务是E-mail. Telnet . FTP 。 9. 在IEEE802局域网体系结构中，数据链路层被细化成LLC逻辑链路子层和MAC介质访问控制子层两层。 10. IEEE802.3规定了一个数据帧的长度为64字节到1518字节之间。 1报文从网络的一端传送到另一端所需的时间叫时延，网络中时延主要由传播时延、发送时延和排队时延组成。 2在OSI的不同层次中，所传输的数据形式是不同的，物理层所传的数据单位是【3】位、数据链路层的数据单位是【4】帧、网络层的数据单位是【5】IP数据报/分组、运输层传输的数据单位是【6】报文。

如何鉴别硬件防火墙的好坏

如何鉴别防火墙的实际功能差异有一些问题常令用户困惑：在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别？ 描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异地十分明显。 一、网络层的访问控制 所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。 1、规则编辑 对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察：对网络层的访问控制是否可以通过规则表现出来？访问控制的粒度是否足够细？同样一条规则，是否提供了不同时间段的控制手段？规则配置是否提供了友善的界面？是否可以很容易地体现网管的安全意志？ 2、IP/MAC地址绑定 同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC 地址的自动搜集？对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制？因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。 3、NAT（网络地址转换） 这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题：难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。 二、应用层的访问控制 这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作

博弈论各章节课后习题答案 (4)

第四章谈判与协调 1.帕累托占优均衡和纳什均衡的关系是什么? 纳什均衡的基本思想是：每一个局中人选择一个策略，由所有局中人的策略构成了一个策略组合；在其它局中人选定策略不变的情况下，若某一个局中人单独地违背自己已选的策略，那么他的收益只会下降（或收益不会增加）。这样的策略组合构成一个均衡局势，并命名为纳什均衡。纳什均衡有纯策略的纳什均衡和混合策略的纳什均衡。一个博弈中有不止一个纳什均衡时，就构成一个多重纳什均衡问题。在多重纳什均衡下给出一些选择标准就得到一些特定的纳什均衡。其中帕累托占有纳什均衡是根据这样的选择标准选择的均衡。在博弈 中，若均为G 的其纳什均衡，若满足[,{},{}]i i G N S P =12,,,m s s s ????0 i s ?，0()()i i i j P s P s ?? >1,2,,,1,2,,i n j m ==??则称为博弈G 的帕累托占优纳什均衡。可见帕累托占有纳什均衡是纳什均衡中收益最大 0i s ? 的一种均衡。 2.分别找出具有下列性质的2人博弈的例子。 (1)不存在纯策略纳什均衡； (2)至少有两个纳什均衡，并且其中之一是帕累托占优均衡。 （1 ）不存在纯策略的纳什均衡：该博弈不存在纯策略的纳什均衡 （2） 该博弈有三个纳什均衡：（战争，战争）、（和平，和平）和一个混合策略纳什均 衡。很显然，（和平，和平）是一个帕累托占优纳什均衡。 2525((,),(,77773.假设在某一产品市场上有两个寡头垄断企业，它们的成本函数分别为： TC 1=0.1q +20q 1+100000TC 2=0.4q +32q 2+20000 2122这两个企业生产一同质产品，其市场需求函数为：Q=4000-10p 。试分别基于古诺模型和纳什谈判模型求解两企业的利润。 解：由和400010Q p =?12 Q q q =+得124000.1() p q q =?+战争 和平国 家 1战争-5，-58，-10和平-10，810，10

网络基础试题及答案

一、选择题(每题1分,共20分’) (1) 组建计算机网络的目的就是实现连网计算机系统的 ( c )。 (A)硬件共享 (B)软件共享 (C)资源共享 (D)数据共享 (2) 一座大楼内的一个计算机网络系统,属于( b )。 (A)WAN (B)LAN (C)MAN (D)ADSL (3) 信道容量就是指信道传输信息的( b )能力,通常用信息速率来表示。 (A)最小 (B)最大 (C)一般 (D)未知 (4) ISO的中文名称就是( c )。 (A)国际认证 (B)国际经济联盟 (C)国际标准化组织 (D)世界电信联盟 (5) 网络协议的三要素就是( a )。 (A)语法、语义、定时 (B)语法、语义、语素 (C)语法、语义、词法 (C)语法、语义、格式 (6) OSI参考模型的( c )完成差错报告、网络拓扑结构与流量控制的功能。 (A)物理层 (B)数据链路层 (C)传输层 (D)应用层 (7) 对局域网来说,网络控制的核心就是( c )。 (A)工作站 (B)网卡 (C)网络服务器 (D)网络互连设备 (8) 现行IP地址采用的标记法就是( b )。 (A)十六进制 (B)十进制 (C)八进制 (D)自然数 (9) 在局域网中,运行网络操作系统的设备就是 ( b )。 (A)网络工作站 (B)网络服务器 (C)网卡 (D)路由器 (10) 路由器设备工作在 ( b )层 (A)物理层 (B)网络层 (C)会话层 (D)应用层 (11) 在下列传输介质中,采用RJ－45头作为连接器件的就是( a )。 (A)双绞线 (B)粗同轴电缆 (C)细同轴电缆 (D)光纤 (12) 下列各项中,属于网络操作系统的就是( b )。 (A)DOS (B)Windows NT (C)FoxPro (D)Windows 98 (13) 在计算机网络发展过程中,( b )对计算机网络的形成与发展影响最大。 (A)OCTOPUS (B)ARPANET

防火墙双机热备配置及组网指导

防火墙双机热备配置及组网指导 防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1：防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。 在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下： ★ hrp enable ：HRP使能命令，使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

防火墙试题与答案.docx

..... 防火墙培训试题 1.关于防火墙的描述不正确的是：（） A、防火墙不能防止内部攻击。 B、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP 地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP 地址欺骗。 2.防火墙的主要技术有哪些？（） A.简单包过滤技术 B.状态检测包过滤技术 C.应用代理技术 D.复合技术 E.地址翻译技术 3.防火墙有哪些部属方式？（） A.透明模式 B.路由模式 C.混合模式 D.交换模式 4.判断题：并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能 同时建立的最大连接数。（V）

..... 5.判断题：对于防火墙而言，除非特殊定义，否则全部 ICMP 消息包将被禁止 通过防火墙（即不能使用 ping命令来检验网络连接是否建立）。 （V） 6.下列有关防火墙局限性描述哪些是正确的。（） A、防火墙不能防范不经过防火墙的攻击 B、防火墙不能解决来自内部网络的攻击和安全问题 C、防火墙不能对非法的外部访问进行过滤 D、防火墙不能防止策略配置不当或错误配置引起的安全威胁 7.防火墙的作用（） A、过滤进出网络的数据 B、管理进出网络的访问行为 C、封堵某些禁止的行为 D、记录通过防火墙的信息内容和活动 8. 防火墙能够完全防止传送己被病毒感染的软件和文件（X） 9.防火墙的测试性能参数一般包括（） A）吞吐量 B）新建连接速率

C）并发连接数 D）处理时延 10. 防火墙能够作到些什么？（） A、包过滤 B、包的透明转发 C、阻挡外部攻击 D、记录攻击 11. 防火墙有哪些缺点和不足？（） A、防火墙不能抵抗最新的未设置策略的攻击漏洞 B、防火墙的并发连接数限制容易导致拥塞或者溢出 C、防火墙对服务器合法开放的端口的攻击大多无法阻止 D、防火墙可以阻止内部主动发起连接的攻击 12. 防火墙中地址翻译的主要作用是：（） A.提供应用代理服务 B.隐藏内部网络地址 C.进行入侵检测 D.防止病毒入侵 13. 判断题：防火墙必须记录通过的流量日志，但是对于被拒绝的流量可以没