1、网络规划设计师-防火墙与 IDS、网络安全协议及答案解析(总分:20.00,做题时间:90 分钟)一、单项选择题(总题数:12,分数:20.00)1.如果某台硬件防火墙有如下配置。FW (config)#nameif ethemet0 P1 security100FW (config)#nameif ethernet1 P2 security0FW (config)#nameif ethemet2 P3 security50那么该防火墙最可能的端口连接方案是_。A端口 P1作为外网接口,P2 连接 DMZ,P3 作为内网接口B端口 P1作为内网接口,P2 连接 DMZ,P3 作为外网接口C端口
2、 P1作为外网接口,P2 作为内网接口,P3 连接 DMZD端口 P1作为内网接口,P2 作为外网接口,P3 连接 DMZ(分数:1.00)A.B.C.D.某组织机构要新建一个网络,除内部办公、文件共享等功能外,还要对外提供访问本机构网站(包括动态网页)、电子邮件服务及本机构的域名解析服务。网络规划设计师在设计相应的网络安全策略时,给出的方案是:利用 DMZ保护内网不受攻击,在 DMZ和 Internet之间配一个外部防火墙,在 DMZ和内网之间,较好的策略是_,在 DMZ中最可能部署的是_。(分数:2.00)(1).A配置一个内部防火墙,其规则为除非禁止,都被允许B配置一个内部防火墙,其规则
3、为除非允许,都被禁止C不配置防火墙,自由访问,但在相关服务器上安装网络版防病毒软件D不配置防火墙,只在三层交换机上设置禁止 Ping操作(分数:1.00)A.B.C.D.(2).AWeb 服务器,FTP 服务器,E-mail 服务器,相关数据库服务器BWeb 服务器、E-mail 服务器、FTP 服务器、DNS 服务器CDNS 服务器、Web 服务器、E-mail 服务器DFTP 服务器、相关数据库服务器(分数:1.00)A.B.C.D.某机构要新建一个网络,除内部办公、员工邮件等功能外,还要对外提供访问本机构网站(包括动态网页)、E-mail服务和 FTP服务,设计师在设计网络安全策略时,给
4、出的方案是:利用 DMZ保护内网不受攻击,在 DMZ和内网之间配一个内部防火墙,在 DMZ和 Internet间配置一个外部防火墙。内部网络使用地址段10.x.x.x/24进行 IP地址规划设计。为了使该机构的网站、E-mail 和 FTP服务能被在外出差的员工正常访问,需要进行的设置是_。若 WWW服务器提供 SSL验证的某项服务,以保证外部访问者的口令等敏感信息以密文方式传输,则_。(分数:2.00)(1).A为这些内部服务器各配置两种 IP地址:是内部私有 IP地址,是公网 IP地址B直接为这些内部服务器各配置一个公网的 IP地址C在外部防火墙上设置对外合法的服务器 IP地址到内部地址的
5、对应关系,放行几条访问所需协议的安全规则D在内部防火墙上设置对外合法的服务器 IP地址到内部地址的对应关系,在外部防火墙上仅允许HTTP、FTP、SMTP、POP3 等协议的数据包通过(分数:1.00)A.B.C.D.(2).A无须任何修改,直接就可以使用B需要在防火墙上删除允许 HTTP端口 80访问 WWW服务器的安全访问规则C需要在防火墙上增加允许端口号 80和 110访问 WWW服务器的访问规则D需要在防火墙上增加允许端口号 443访问 WWW服务器的安全访问规则(分数:1.00)A.B.C.D.对某省直属单位大中型网络规划时,为了增强应用服务器的网络安全,设计师甲提出了将入侵检测系统
6、(IDS)部署在 DMZ区域中的方案,而设计师乙提出了基于网络的入侵防护系统(NIPS)部署方案。对于设计师甲方案的优点不包括_;而设计师乙所提出的 NIPS通常部署在_。(分数:2.00)(1).A可以检测防火墙系统的策略配置是否合理B可以检测 DMZ被黑客攻击的重点C可以审计来自 Internet上对受保护网络的攻击类型D可以查看受保护区域主机被攻击的状态(分数:1.00)A.B.C.D.(2).A受保护的应用服务器前端 B受保护的应用服务器后端C受保护的应用服务器的操作系统中 D边界路由器与防火墙之间(分数:1.00)A.B.C.D.2.以下关于入侵防御系统(IPS)的描述中,错误的是_
7、。AIPS 产品在网络中是在线旁路式工作,能保证处理方法适当而且可预知BIPS 能对流量进行逐字节检查,且可将经过的数据包还原为完整的数据流CIPS 提供主动、实时的防护,能检测网络层、传输层和应用层的内容D如果检测到攻击企图,IPS 就会自动将攻击包丢去或采取措施阻断攻击源(分数:1.00)A.B.C.D.3.以下攻击手段中,基于网络的入侵防护系统(NIPS)无法阻断的是_。ASYN Flooding BSQL 注入CPing Of Death DDDoS(分数:1.00)A.B.C.D.某公司为便于员工在家里访问公司的一些数据,允许员工通过 Internet访问公司的 FTP服务器。为了能
8、够方便地实现这一目标,决定在客户机与 FTP服务器之间采用_协议,在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议,客户机与服务器之间协商相互认可的密码发生在_。(分数:2.00)(1).AL2TP BIPSec CPPTP DTLS(分数:1.00)A.B.C.D.(2).A客户认证阶段 B密码交换阶段C会谈密码阶段 D接通阶段(分数:1.00)A.B.C.D.4.安全 Web服务器应用方案中,在使用 SSL协议对浏览器与服务器之间的信息进行加密时,会话密钥由_。A用户自己指定 B网络管理员指定C浏览器生成 D服务器生成(分数:1.00)A.B.C.D.5.HTTPS为浏览器和
9、Web服务器提供安全的信息交换。它运行在安全_之上。A网关 B物理连接C会话密钥 D套接口(分数:1.00)A.B.C.D.6.以下关于 HTTPS的关闭连接描述中,错误的是_。A服务器可以在发送关闭警告后关闭连接,从而形成客户端的不完全关闭B客户端检测到一个未完成关闭时应予以有序恢复C未准备接收任何数据的客户只有等待服务器的关闭警告才能关闭连接D当客户遇到一个未成熟关闭时,要将所有已接收到的数据同 Content-Length头指定的一样多的请求视为已完成(分数:1.00)A.B.C.D.某大型网上商城销售各类百货商品,为保证顾客能够安全方便地在网上商城购物,网站提供了基于 SET协议机制保
10、证安全交易的在线支付功能。SET 协议主要是解决_的安全网络支付问题。SET 支付系统的参与对象中,_是银行内部网与因特网的接口,负责将网上商城的付款信息转送到银行内部网络进行处理。网站通过 SET协议机制中采用的双重数字签名技术,能够保证_。买家在网上购物时发出的支付指令,在由商家送达银行支付网关之前,是在_上传送的。(分数:4.00)(1).A现金 B支票 C银行卡 D汇票(分数:1.00)A.B.C.D.(2).A持卡客户 B网上商家 C认证机构 D支付网关(分数:1.00)A.B.C.D.(3).A商家能看到买家的购物信息和买家的账户信息B商家不能看到买家的购物信息和买家的账户信息C商
11、家能看到买家的购物信息,但不能看到买家的账户信息D商家不能看到买家的购物信息,但能看到买家的账户信息(分数:1.00)A.B.C.D.(4).AInternet B虚拟专用网(VPN)C商家内联网 D银行后台专用网(分数:1.00)A.B.C.D.在 SET交易模式中,数字信封使用_算法加密会话密钥(或持卡人账号)时,首先用_算法对明文编码。(分数:2.00)(1).ASHA BRSA CIDEA DAES(分数:1.00)A.B.C.D.(2).AOAEP BRC5 CECC DMD5(分数:1.00)A.B.C.D.网络规划设计师-防火墙与 IDS、网络安全协议答案解析(总分:20.00,
12、做题时间:90 分钟)一、单项选择题(总题数:12,分数:20.00)1.如果某台硬件防火墙有如下配置。FW (config)#nameif ethemet0 P1 security100FW (config)#nameif ethernet1 P2 security0FW (config)#nameif ethemet2 P3 security50那么该防火墙最可能的端口连接方案是_。A端口 P1作为外网接口,P2 连接 DMZ,P3 作为内网接口B端口 P1作为内网接口,P2 连接 DMZ,P3 作为外网接口C端口 P1作为外网接口,P2 作为内网接口,P3 连接 DMZD端口 P1作为内
13、网接口,P2 作为外网接口,P3 连接 DMZ(分数:1.00)A.B.C.D. 解析:解析 通常,防火墙基本配置命令。nameif,用于配置防火墙接口的名字,并指定安全级别。安全级别取值越大,则安全级别越高。依题意,该硬件防火墙的 Ethernet0端口被命名为 P1,安全级别为100;Ethernet1 端口被命名为 P2,安全级别为 0;Ethernet2 端口被命名为 P3,安全级别为 50。相比之下,P1 端口安全级别最高,适合作为内网接口连接内部网络;P2 端口安全级别最低,适合作为外网接口连接 Internet;P3 端口适合作为 DMZ接口。某组织机构要新建一个网络,除内部办公
14、、文件共享等功能外,还要对外提供访问本机构网站(包括动态网页)、电子邮件服务及本机构的域名解析服务。网络规划设计师在设计相应的网络安全策略时,给出的方案是:利用 DMZ保护内网不受攻击,在 DMZ和 Internet之间配一个外部防火墙,在 DMZ和内网之间,较好的策略是_,在 DMZ中最可能部署的是_。(分数:2.00)(1).A配置一个内部防火墙,其规则为除非禁止,都被允许B配置一个内部防火墙,其规则为除非允许,都被禁止C不配置防火墙,自由访问,但在相关服务器上安装网络版防病毒软件D不配置防火墙,只在三层交换机上设置禁止 Ping操作(分数:1.00)A.B. C.D.解析:(2).AWe
15、b 服务器,FTP 服务器,E-mail 服务器,相关数据库服务器BWeb 服务器、E-mail 服务器、FTP 服务器、DNS 服务器CDNS 服务器、Web 服务器、E-mail 服务器DFTP 服务器、相关数据库服务器(分数:1.00)A.B.C. D.解析:解析 由题干关键信息“对外提供访问本机构网站(包括动态网页)、电子邮件服务及本机构的域名解析服务”可知,在 DMZ中至少需要部署 Web服务器、E-mail 服务器和 DNS服务器。同时,在 DMZ与内网之间应部署一台内部防火墙,实行“除非允许,都被禁止”此类严格的访问限制。请参见第 23.1.1节和第 23.1.2节例题 1的相关
16、介绍。某机构要新建一个网络,除内部办公、员工邮件等功能外,还要对外提供访问本机构网站(包括动态网页)、E-mail服务和 FTP服务,设计师在设计网络安全策略时,给出的方案是:利用 DMZ保护内网不受攻击,在 DMZ和内网之间配一个内部防火墙,在 DMZ和 Internet间配置一个外部防火墙。内部网络使用地址段10.x.x.x/24进行 IP地址规划设计。为了使该机构的网站、E-mail 和 FTP服务能被在外出差的员工正常访问,需要进行的设置是_。若 WWW服务器提供 SSL验证的某项服务,以保证外部访问者的口令等敏感信息以密文方式传输,则_。(分数:2.00)(1).A为这些内部服务器各
17、配置两种 IP地址:是内部私有 IP地址,是公网 IP地址B直接为这些内部服务器各配置一个公网的 IP地址C在外部防火墙上设置对外合法的服务器 IP地址到内部地址的对应关系,放行几条访问所需协议的安全规则D在内部防火墙上设置对外合法的服务器 IP地址到内部地址的对应关系,在外部防火墙上仅允许HTTP、FTP、SMTP、POP3 等协议的数据包通过(分数:1.00)A.B.C. D.解析:(2).A无须任何修改,直接就可以使用B需要在防火墙上删除允许 HTTP端口 80访问 WWW服务器的安全访问规则C需要在防火墙上增加允许端口号 80和 110访问 WWW服务器的访问规则D需要在防火墙上增加允
18、许端口号 443访问 WWW服务器的安全访问规则(分数:1.00)A.B. C.D.解析:解析 由于该机构内部网络使用地址段 10.x.x.x/24进行 IP地址规划设计,因此有可能为处于DMZ区域的服务器各配置一个内部私有 IP地址。例如,WWW 服务器分配的 IP地址为 10.99.1.1/24,E-mail服务器分配的 IP地址为 10.99.1.2/24,FTP 服务器分配的 IP地址为 10.99.1.3/24等。此类私有 IP地址不能直接出现在 Internet中,对此需要在外部防火墙上设置网络地址转换(NAT),即建立起对外合法的服务器 IP地址与相关内部 IP地址之间的映射关系
19、,然后配置允许 HTTP、SMTP、POP3、FTP 等协议的数据包通过外部防火墙。安全套接层(SSL)可以为 HTTP等协议的数据通信提供数据封装、压缩、加密、身份认证、协商加密算法、交换加密密钥等安全支持。它使用的端口号是 TCP 443。因此,依题意,需要在防火墙上增加允许 SSL端口号 443访问 WWW服务器的安全访问规则。对某省直属单位大中型网络规划时,为了增强应用服务器的网络安全,设计师甲提出了将入侵检测系统(IDS)部署在 DMZ区域中的方案,而设计师乙提出了基于网络的入侵防护系统(NIPS)部署方案。对于设计师甲方案的优点不包括_;而设计师乙所提出的 NIPS通常部署在_。(
20、分数:2.00)(1).A可以检测防火墙系统的策略配置是否合理B可以检测 DMZ被黑客攻击的重点C可以审计来自 Internet上对受保护网络的攻击类型D可以查看受保护区域主机被攻击的状态(分数:1.00)A.B.C. D.解析:(2).A受保护的应用服务器前端 B受保护的应用服务器后端C受保护的应用服务器的操作系统中 D边界路由器与防火墙之间(分数:1.00)A.B.C.D. 解析:解析 如果将入侵检测系统(IDS)部署在防火墙的非军事区(DMZ)中,就可以查看受保护区域(DMZ)内主机被攻击的状态,从而间接了解黑客对 DMZ区域攻击的重点内容是什么,以及间接检查防火墙系统的策略配置是否合理
21、。如果将 IDS系统部署在防火墙的 DMZ外,那么它就不能访问 DMZ区域的主机,也无法审计来自 Internet上对受保护网络的攻击。通常,NIPS 部署于网络进/出口处,例如串联在边界路由器与防火墙之间,网络进出的数据流都必须通过它,从而保护整个网络的安全。而 HIPS安装在受保护的主机系统中,检测并阻挡针对该主机的威胁和攻击。AIPS 由 HIPS发展而来,通常部署于应用服务器前端。2.以下关于入侵防御系统(IPS)的描述中,错误的是_。AIPS 产品在网络中是在线旁路式工作,能保证处理方法适当而且可预知BIPS 能对流量进行逐字节检查,且可将经过的数据包还原为完整的数据流CIPS 提供
22、主动、实时的防护,能检测网络层、传输层和应用层的内容D如果检测到攻击企图,IPS 就会自动将攻击包丢去或采取措施阻断攻击源(分数:1.00)A. B.C.D.解析:解析 IPS 提供主动、实时的防护,能检测网络层、传输层和应用层的内容。其设计是对网络流量中的恶意数据包进行检测,对攻击性的流量进行自动拦截。如果检测到攻击企图,IPS 就会自动将攻击包丢掉或采取措施阻断攻击源,而不把攻击流量放进内部网络。通常,包过滤防火墙只能检测网络层和传输层的内容,不能对应用层的内容进行检查。串接式部署是 IPS区别于 IDS的主要特征,即 IDS产品在网络中是旁路式工作,而 IPS产品在网络中是串接式工作。串
23、接式工作保证所有网络数据都经过 IPS设备,IPS 检测数据流中的恶意代码,核对策略,在未转发到服务器之前,将信息包或数据流拦截。由于 IPS是在线操作,因而能保证处理方法适当而且可预知。3.以下攻击手段中,基于网络的入侵防护系统(NIPS)无法阻断的是_。ASYN Flooding BSQL 注入CPing Of Death DDDoS(分数:1.00)A.B. C.D.解析:解析 通常,NIPS 能够防止拒绝服务攻击(DoS)等类型的入侵,而常见的 DoS攻击有:分布式拒绝服务(DDoS)攻击、SYN Flooding 攻击、Ping of Death 攻击、Land 攻击、Smurf 攻
24、击、Teardrop 攻击等。而 AIPS能够防止诸多入侵,其中包括 SQL代码注入、Cookie 篡改、参数篡改、缓冲器溢出、强制浏览、畸形数据包、数据类型不匹配及其他已知漏洞等。某公司为便于员工在家里访问公司的一些数据,允许员工通过 Internet访问公司的 FTP服务器。为了能够方便地实现这一目标,决定在客户机与 FTP服务器之间采用_协议,在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议,客户机与服务器之间协商相互认可的密码发生在_。(分数:2.00)(1).AL2TP BIPSec CPPTP DTLS(分数:1.00)A.B.C.D. 解析:(2).A客户认证阶段 B
25、密码交换阶段C会谈密码阶段 D接通阶段(分数:1.00)A.B. C.D.解析:解析 TLS 是 SSL的后继协议,由 TLS记录协议和 TLS握手协议构成。TLS 记录协议是否使用加密技术是可选的。如果使用加密技术(如数据加密标准 DES),则可以保证连接安全。TLS 握手协议使服务器和客户机在数据交换之前进行相互鉴定,并协商加密算法和密钥。依题意,客户机与 FTP服务器之间采用 TLS协议,可在传输层对数据进行加密以保证数据通信的安全性。该客户机与 FTP服务器在密码交换阶段协商相互认可的密码。4.安全 Web服务器应用方案中,在使用 SSL协议对浏览器与服务器之间的信息进行加密时,会话密
26、钥由_。A用户自己指定 B网络管理员指定C浏览器生成 D服务器生成(分数:1.00)A. B.C.D.解析:解析 在使用 SSL对客房客户端浏览器与服务器之间的信息进行加密时,会话密钥由浏览器产生。该密钥使用 Web服务器的公钥加密之后传送给该服务器。Web 服务器使用自己的私钥对其进行解密,得到相应的会话密钥。然后用该会话密钥对浏览器与服务器之间的信息进行加密和解密。5.HTTPS为浏览器和 Web服务器提供安全的信息交换。它运行在安全_之上。A网关 B物理连接C会话密钥 D套接口(分数:1.00)A.B.C.D. 解析:解析 HTTPS 工作在 TCP/IP协议族的应用层,为浏览器和 We
27、b服务器提供安全的信息交换。它运行在安全套接口(SSL)之上。6.以下关于 HTTPS的关闭连接描述中,错误的是_。A服务器可以在发送关闭警告后关闭连接,从而形成客户端的不完全关闭B客户端检测到一个未完成关闭时应予以有序恢复C未准备接收任何数据的客户只有等待服务器的关闭警告才能关闭连接D当客户遇到一个未成熟关闭时,要将所有已接收到的数据同 Content-Length头指定的一样多的请求视为已完成(分数:1.00)A.B.C. D.解析:解析 客户在关闭连接前必须发送关闭警告。未准备接收任何数据的客户可能选择不等待服务器的关闭警告而直接关闭连接,这样在服务器端将产生一个不完全的关闭。某大型网上
28、商城销售各类百货商品,为保证顾客能够安全方便地在网上商城购物,网站提供了基于 SET协议机制保证安全交易的在线支付功能。SET 协议主要是解决_的安全网络支付问题。SET 支付系统的参与对象中,_是银行内部网与因特网的接口,负责将网上商城的付款信息转送到银行内部网络进行处理。网站通过 SET协议机制中采用的双重数字签名技术,能够保证_。买家在网上购物时发出的支付指令,在由商家送达银行支付网关之前,是在_上传送的。(分数:4.00)(1).A现金 B支票 C银行卡 D汇票(分数:1.00)A.B.C. D.解析:(2).A持卡客户 B网上商家 C认证机构 D支付网关(分数:1.00)A.B.C.
29、D. 解析:(3).A商家能看到买家的购物信息和买家的账户信息B商家不能看到买家的购物信息和买家的账户信息C商家能看到买家的购物信息,但不能看到买家的账户信息D商家不能看到买家的购物信息,但能看到买家的账户信息(分数:1.00)A.B.C. D.解析:(4).AInternet B虚拟专用网(VPN)C商家内联网 D银行后台专用网(分数:1.00)A. B.C.D.解析:解析 在电子商务交易中,SET 协议主要是解决银行卡的安全网络支付问题。SET 支付系统的参与对象中,支付网关是银行内部网与因特网的接口,负责将网上商城的付款信息转送到银行内部网络进行处理。买家在网上购物时发出的支付指令,在由
30、商家送达银行支付网关之前,是在 Internet上传送的。在支付请求阶段,利用双重数字签名技术可以保证商家能看到买家的购物信息,但不能看到买家的账户信息。买家在电子商务网站选购物品后,生成订货信息和支付信息。买家利用哈希算法生成订货信息数字摘要和支付信息数字摘要,然后将订货信息数字摘要和支付信息数字摘要连接起来,再利用哈希算法生成双重数字摘要。买家利用自身的私钥对双重数字摘要加密生成双重数字签名,然后将其和订货信息摘要、支付信息摘要一起发送给商家,商家收到信息后,将接收到的双重数字签名利用买家的公钥解密,再利用同样的哈希算法将订货信息生成新的订货信息摘要,再将新的订货信息摘要与支付信息数字摘要
31、生成新的双重数字摘要,并与买家发送的双重数字摘要比较,以确保信息的完整性和真实性。在 SET交易模式中,数字信封使用_算法加密会话密钥(或持卡人账号)时,首先用_算法对明文编码。(分数:2.00)(1).ASHA BRSA CIDEA DAES(分数:1.00)A.B. C.D.解析:(2).AOAEP BRC5 CECC DMD5(分数:1.00)A. B.C.D.解析:解析 SET 中公钥密码算法通常采用 RSA,默认使用的哈希函数是 SHA,对称密码算法一般采用DES。在用 RSA加密时,如果直接对明文加密,那么对密文进行分析,从而得到明文的一些比特是可能的,而且这样的技术确实存在。因此 SET在数字信封中使用 RSA加密会话密钥(或持卡人账号)时,首先用OAEP(最优非对称加密填充)算法对明文编码。OAEP 算法的作用是使消息的各比特之间相互联系在一起,从而使得根据密文来求解明文的任意比特的难度增大。
