防火墙安全配置规范试题
总分:100分 时间:70分钟 姓名:_____________ 工号:__________
一、 判断题(每题2分,共20分)
1、 工程师开局需要使用推荐版本和补丁。(对 )
2、 防火墙Console口缺省没有密码,任何人都可以使用Console口登录设备。(错 ) 3、 一般情况下把防火墙连接的不安全网络加入低优先级域,安全网络加入高优先级域
( 对)
4、 防火墙缺省包过滤默认是打开的。(错 )
5、 防火墙local域和其它域inbound方向可以不做安全策略控制。( 错) 6、 防火墙双机热备场景下,HRP心跳线可以只用一条物理链路。( 错)
7、 原则上SNMP需要采用安全的版本,不得采用默认的community,禁用SNMP写功
能,配置SNMP访问列表限制访问。(对 ) 8、 防火墙可以一直开启ftp server功能。(错) 9、 远程登录防火墙建议使用SSH方式。(对 )
10、 正确设置设备的系统时间,确保时间的正确性。( 对)
二、 单选题(每题3分,共36分)
1. 防火墙一般部署在内网和外网之间,为了保护内网的安全,防火墙提出了一种区别路由
器的新概念(A),用来保障网络安全。 A. 安全区域 B. 接口检测 C. 虚拟通道 D. 认证与授权
2. 防火墙默认有4 个安全区域,安全域优先级从高到低的排序是(C)
A. Trust、Untrust 、DMZ、Local B. Local、DMZ 、Trust 、Untrust
C. Local、Trust、DMZ 、Untrust D. Trust 、Local、DMZ 、Untrust
3. 针对防火墙安全功能描述错误的是(D)
A. 防火墙可以划分为不同级别的安全区域,优先级从1-100
B. 一般将内网放入Trust 域,服务器放入 DMZ 域,外网属于Untrust 域 C. 要求在域间配置严格的包过滤策略 D. 防火墙默认域间缺省包过滤是permit 的
4. 防火墙Console口缺省用户名和密码是( D)
A. huawei;huawei B. huawei;huawei@123 C. root;huawei D. admin;Admin@123
5. 防火墙登录密码必须使用强密码,什么是强密码?(D )
A. 长度大于8,同时包含数字、字母 B. 包含数字,字母、特殊字符 C. 包含数字,字母
D. 长度大于8,同时包含数字、字母、特殊字符
6. 对于防火墙域间安全策略,下面描述正确的是( )
A. 防火墙域间可以配置缺省包过滤,即允许所有的流量通过 B. 域间inbound方向安全策略可以全部放开
C. 域间outbound方向安全策略可以全部放开
D. 禁止使用缺省包过滤,域间要配置严格的包过滤策略;若要使用缺省包过滤,需得
到客户书面授权。
7. 若防火墙连接internet的接口在untrust区域,内网服务器在DMZ区域,防火墙做了服
务器公网地址到私网地址的映射(nat server)。请问untrust和DMZ域间安全策略如何做?()
A. 使用域间缺省包过滤
B. 在inbound方向配置源地址为any,目的地址为私网地址的acl
C. 在inbound方向配置源地址为any,目的为服务器私网地址+目的端口的acl D. 在inbound方向配置源地址为any,目的为服务器公网地址+目的端口的acl
8. 某工程师现网进行IPSEC测试时,为了调测方便在连接internet接口的untrust域和local
域inbound方向包过滤acl中配置了rule permit ip。测试完成后该工程师没有删除该配置,请问这样做是否有风险,风险是什么?( ) A. 没有风险
B. 有风险,防火墙可能会遭受到来自internet的攻击
C. 没有风险,但是按照配置规范还是要把acl中permit ip去掉 D. 有风险,ipsec隧道会一直建立
9. 某局点untrust和trust域间inbound配置了严格包过滤,但acl的最后一个rule没有配置
deny ip,同时域间缺省包过滤配置为permit。请问此时从untrust域访问trust域的报文如何处理()
A. 由于先匹配域间acl,若没有命中rule报文直接被丢弃
B. 先匹配域间acl,如果没有匹配到相应的rule,但是由于域间缺省包过滤是permit,
所以报文仍然转发
C. 由于先匹配了域间缺省包过滤,所以报文仍然可以转发 D. 以上都不对
10. 某局点部署了两台防火墙A/B,但是由于工程师的疏忽没有部署双机热备。但现网中存
在流量来回路径不一致情况(即从A墙出去的流量会从B墙回来),在这种场景下TCP业务就会中断。请问此时为了紧急恢复业务,需要怎么做?假设域间包过滤配置没有问
题( )
A. 两台防火墙配置hrp enable B. 两台防火墙上行接口配置hrp track C. 没有办法解决,只能部署双机热备
D. 两台防火墙配置undo firewall session link-state check
11. 关于双机热备配置,以下说明不正确的是 ( )
A. 配置VRRP的接口的类型、编号要一致 B. 对应插槽上的接口/子接口配置的VRRP要一致 C. 对应插槽上的接口/子接口必须加入到相同的安全区域 D. 主备防火墙的HRP备份通道配置必须一致
E. HRP默认可以自动调整备防火墙通过ospf发布路由的cost值
12. 防火墙双机热备组网下流量转发的描述正确的是 ( )
A. 防火墙主备组网(上下行业务口是三层口),送到备防火墙的流量无法转发,会被备防
火墙丢弃
B. 防火墙主备组网(上下行业务口是二层口),送到备防火墙的流量仍然会被转发 C. 防火墙负载分担组网(双主组网),两台防火墙上的会话会相互向对端备份 D. 防火墙负载分担组网(双主组网),两台防火墙上都可以配置ACL
三、 多选题(每题4分,共44分)
1. 在域间配置严格包过滤时,下列说法正确的是( )
A. 域间包过滤acl最后一个rule需要配置deny ip B. 域间包过滤acl内不允许配置rule permit ip C. 必要时域间包过滤acl内rule配置需要精确到端口 D. 域间包过滤acl可以随意配置rule的策略
2. 在PS网络中,防火墙承担了NAT设备和内部网络的安全防护作用。假如防火墙所连接
的内网中存在DNS服务器,对GPRS/3G用户提供DNS服务,GPRS/3G用户的IP地址是由GGSN来分配,并在防火墙上转换成公网地址访问internet。
防火墙连接GGSN接口位于gi_trust域,DNS位于DMZ区域(DMZ域优先级高于gi_trust),请问DMZ和gi_trust域间安全策略如何配置( )
A. 因为两个域都处于内网中,所以inbound和outbound方向安全策略可以完全放开 B. inbound方向配置源为GGSN地址池,目的为DNS地址的acl
C. inbound方向配置源为GGSN地址池,目的为DNS地址+目的端口的acl
D. outbound方向虽然存在安全风险可能性很小,但是根据规范要求也不能使用缺省包过
滤。
3. 客户需要对从untrust域远程通过SSH登录防火墙的IP地址进行限制,假设防火墙上只
有四个域:local、untrust、trust、dmz下列哪些配置是正确的( ) A. 在user-interface vty 0 4下配置acl
B. 在untrust和trust之间配置严格包过滤,域间只允许特定地址互访 C. 在untrust和dmz之间配置严格包过滤,域间只允许特定地址互访 D. 在untrust和local之间配置严格包过滤,域间只允许特定地址互访
4. 防火墙部署双机热备的主要目的是什么?()
A. 提供设备冗余备份 B. 提供防火墙session备份
C. 提供备防火墙可以备份主防火墙所有配置功能
D. 当网络中存在流量来回路径不一致时,可以使业务不中断
5. 对于防火墙inbound和outbound描述正确的是()
A. Inbound是指数据流从高优先级域到低优先级域 B. outbound是指数据流从高优先级域到低优先级域 C. inbound是指数据流从低优先级域到高优先级域 D. outbound是指数据流从低优先级域到高优先级域
6. ACL 是实现数据流控制的手段之一,在防火墙中,ACL一般用到的有哪些特性()
A. 源地址和通配符掩码 B. 基于时间段的ACL 控制 C. 使用地址组和端口组进行流控