防火墙安全配置规范试题
总分:100分 时间:70分钟 姓名:_____________ 工号:__________
1、 判断题(每题2分,共20分)
1、 工程师开局需要使用推荐版本和补丁。(对 )
2、 防火墙Console口缺省没有密码,任何人都可以使用Console口登录设备。(错 )
3、 一般情况下把防火墙连接的不安全网络加入低优先级域,安全网络加入高优先级域( 对)
4、 防火墙缺省包过滤默认是打开的。(错 )
5、 防火墙local域和其它域inbound方向可以不做安全策略控制。( 错)
6、 防火墙双机热备场景下,HRP心跳线可以只用一条物理链路。( 错)
7、 原则上SNMP需要采用安全的版本,不得采用默认的community,禁用SNMP写功能,配置SNMP访问列表限制访问。(对 )
8、 防火墙可以一直开启ftp rver功能。(错)
9、 远程登录防火墙建议使用SSH方式。(对 )
10、 正确设置设备的系统时间,确保时间的正确性。( 对)
2、 单选题(每题3分,共36分)
1. 防火墙一般部署在内网和外网之间,为了保护内网的安全,防火墙提出了一种区别路由器的新概念(A),用来保障网络安全。
A. 安全区域
B. 接口检测
C. 虚拟通道
D. 认证与授权
2. 防火墙默认有4 个安全区域,安全域优先级从高到低的排序是(C)
A. Trust、Untrust 、DMZ、Local
B. Local、DMZ 、Trust 、Untrust
C. Local、Trust、DMZ 、Untrust
D. Trust 、Local、DMZ 、Untrust
3. 针对防火墙安全功能描述错误的是(D)
A. 防火墙可以划分为不同级别的安全区域,优先级从1-100
B. 一般将内网放入Trust 域,服务器放入 DMZ 域,外网属于Untrust 域
C. 要求在域间配置严格的包过滤策略
D. 防火墙默认域间缺省包过滤是permit 的
4. 防火墙Console口缺省用户名和密码是( D)
A. huawei;huawei
B. huawei;huawei@123
C. root;huawei
D. admin;Admin@123
5. 防火墙登录密码必须使用强密码,什么是强密码?(D )
A. 长度大于8,同时包含数字、字母
B. 包含数字,字母、特殊字符
C. 包含数字,字母
D. 长度大于8,同时包含数字、字母、特殊字符
6. 对于防火墙域间安全策略,下面描述正确的是( )
A. 防火墙域间可以配置缺省包过滤,即允许所有的流量通过
B. 域间inbound方向安全策略可以全部放开
C. 域间outbound方向安全策略可以全部放开
D. 禁止使用缺省包过滤,域间要配置严格的包过滤策略;若要使用缺省包过滤,需得到客户书面授权。
7. 若防火墙连接internet的接口在untrust区域,内网服务器在DMZ区域,防火墙做了服务器公网地址到私网地址的映射(nat rver)。请问untrust和DMZ域间安全策略如何做?()
A. 使用域间缺省包过滤
B. 在inbound方向配置源地址为any,目的地址为私网地址的acl
C. 在inbound方向配置源地址为any,目的为服务器私网地址+目的端口的acl
D. 在inbound方向配置源地址为any,目的为服务器公网地址+目的端口的acl
8. 某工程师现网进行IPSEC测试时,为了调测方便在连接internet接口的untrust域和local域inbound方向包过滤acl中配置了rule permit ip。测试完成后该工程师没有删除该配置,请问这样做是否有风险,风险是什么?( )
A. 没有风险
B. 有风险,防火墙可能会遭受到来自internet的攻击
C. 没有风险,但是按照配置规范还是要把acl中permit ip去掉
D. 有风险,ipc隧道会一直建立
9. 某局点untrust和trust域间inbound配置了严格包过滤,但acl的最后一个rule没有配置deny ip,同时域间缺省包过滤配置为permit。请问此时从untrust域访问trust域的报文如何处理()
A. 由于先匹配域间acl,若没有命中rule报文直接被丢弃
B. 先匹配域间acl,如果没有匹配到相应的rule,但是由于域间缺省包过滤是permit,所以
报文仍然转发
C. 由于先匹配了域间缺省包过滤,所以报文仍然可以转发
D. 以上都不对
10. 某局点部署了两台防火墙A/B,但是由于工程师的疏忽没有部署双机热备。但现网中存在流量来回路径不一致情况(即从A墙出去的流量会从B墙回来),在这种场景下TCP业务就会中断。请问此时为了紧急恢复业务,需要怎么做?假设域间包过滤配置没有问题( )
A. 两台防火墙配置hrp enable
B. 两台防火墙上行接口配置hrp track
C. 没有办法解决,只能部署双机热备
D. 两台防火墙配置undo firewall ssion link-state check
. 关于双机热备配置,以下说明不正确的是 ( )
A. 配置VRRP的接口的类型、编号要一致
B. 对应插槽上的接口/子接口配置的VRRP要一致
C. 对应插槽上的接口/子接口必须加入到相同的安全区域
D. 主备防火墙的HRP备份通道配置必须一致
E. HRP默认可以自动调整备防火墙通过ospf发布路由的cost值
12. 防火墙双机热备组网下流量转发的描述正确的是 ( )
A. 防火墙主备组网(上下行业务口是三层口),送到备防火墙的流量无法转发,会被备防火墙丢弃
B. 防火墙主备组网(上下行业务口是二层口),送到备防火墙的流量仍然会被转发
C. 防火墙负载分担组网(双主组网),两台防火墙上的会话会相互向对端备份
D. 防火墙负载分担组网(双主组网),两台防火墙上都可以配置ACL
3、 多选题(每题4分,共44分)
1. 在域间配置严格包过滤时,下列说法正确的是( )
A. 域间包过滤acl最后一个rule需要配置deny ip
B. 域间包过滤acl内不允许配置rule permit ip
C. 必要时域间包过滤acl内rule配置需要精确到端口
D. 域间包过滤acl可以随意配置rule的策略
2. 在PS网络中,防火墙承担了NAT设备和内部网络的安全防护作用。假如防火墙所连接的内网中存在DNS服务器,对GPRS/3G用户提供DNS服务,GPRS/3G用户的IP地址是由GGSN来分配,并在防火墙上转换成公网地址访问internet。
