防火墙安全配置规范试题总分:100分时间:70分钟姓名:_____________ 工号:__________一、判断题(每题2分,共20分)1、工程师开局需要使用推荐版本和补丁。
(对)2、防火墙Console口缺省没有密码,任何人都可以使用Console口登录设备。
(错)3、一般情况下把防火墙连接的不安全网络加入低优先级域,安全网络加入高优先级域(对)4、防火墙缺省包过滤默认是打开的。
(错)5、防火墙local域和其它域inbound方向可以不做安全策略控制。
(错)6、防火墙双机热备场景下,HRP心跳线可以只用一条物理链路。
(错)7、原则上SNMP需要采用安全的版本,不得采用默认的community,禁用SNMP写功能,配置SNMP访问列表限制访问。
(对)8、防火墙可以一直开启ftp server功能。
(错)9、远程登录防火墙建议使用SSH方式。
(对)10、正确设置设备的系统时间,确保时间的正确性。
(对)二、单选题(每题3分,共36分)1. 防火墙一般部署在内网和外网之间,为了保护内网的安全,防火墙提出了一种区别路由器的新概念(A),用来保障网络安全。
A. 安全区域B. 接口检测C. 虚拟通道D. 认证与授权2. 防火墙默认有4 个安全区域,安全域优先级从高到低的排序是(C)A. Trust、Untrust 、DMZ、LocalB. Local、DMZ 、Trust 、UntrustC. Local、Trust、DMZ 、UntrustD. Trust 、Local、DMZ 、Untrust3. 针对防火墙安全功能描述错误的是(D)A. 防火墙可以划分为不同级别的安全区域,优先级从1-100B. 一般将内网放入Trust 域,服务器放入DMZ 域,外网属于Untrust 域C. 要求在域间配置严格的包过滤策略D. 防火墙默认域间缺省包过滤是permit 的4.防火墙Console口缺省用户名和密码是(D)A. huawei;huaweiB. huawei;huawei@123C. root;huaweiD. admin;Admin@1235.防火墙登录密码必须使用强密码,什么是强密码?(D )A.长度大于8,同时包含数字、字母B.包含数字,字母、特殊字符C.包含数字,字母D.长度大于8,同时包含数字、字母、特殊字符6.对于防火墙域间安全策略,下面描述正确的是()A.防火墙域间可以配置缺省包过滤,即允许所有的流量通过B.域间inbound方向安全策略可以全部放开C.域间outbound方向安全策略可以全部放开D.禁止使用缺省包过滤,域间要配置严格的包过滤策略;若要使用缺省包过滤,需得到客户书面授权。
7.若防火墙连接internet的接口在untrust区域,内网服务器在DMZ区域,防火墙做了服务器公网地址到私网地址的映射(nat server)。
请问untrust和DMZ域间安全策略如何做?()A.使用域间缺省包过滤B.在inbound方向配置源地址为any,目的地址为私网地址的aclC.在inbound方向配置源地址为any,目的为服务器私网地址+目的端口的aclD.在inbound方向配置源地址为any,目的为服务器公网地址+目的端口的acl8.某工程师现网进行IPSEC测试时,为了调测方便在连接internet接口的untrust域和local域inbound方向包过滤acl中配置了rule permit ip。
测试完成后该工程师没有删除该配置,请问这样做是否有风险,风险是什么?()A.没有风险B.有风险,防火墙可能会遭受到来自internet的攻击C.没有风险,但是按照配置规范还是要把acl中permit ip去掉D.有风险,ipsec隧道会一直建立9.某局点untrust和trust域间inbound配置了严格包过滤,但acl的最后一个rule没有配置deny ip,同时域间缺省包过滤配置为permit。
请问此时从untrust域访问trust域的报文如何处理()A.由于先匹配域间acl,若没有命中rule报文直接被丢弃B.先匹配域间acl,如果没有匹配到相应的rule,但是由于域间缺省包过滤是permit,所以报文仍然转发C.由于先匹配了域间缺省包过滤,所以报文仍然可以转发D.以上都不对10. 某局点部署了两台防火墙A/B,但是由于工程师的疏忽没有部署双机热备。
但现网中存在流量来回路径不一致情况(即从A墙出去的流量会从B墙回来),在这种场景下TCP 业务就会中断。
请问此时为了紧急恢复业务,需要怎么做?假设域间包过滤配置没有问题()A. 两台防火墙配置hrp enableB. 两台防火墙上行接口配置hrp trackC. 没有办法解决,只能部署双机热备D. 两台防火墙配置undo firewall session link-state check11. 关于双机热备配置,以下说明不正确的是()A. 配置VRRP的接口的类型、编号要一致B. 对应插槽上的接口/子接口配置的VRRP要一致C. 对应插槽上的接口/子接口必须加入到相同的安全区域D. 主备防火墙的HRP备份通道配置必须一致E. HRP默认可以自动调整备防火墙通过ospf发布路由的cost值12. 防火墙双机热备组网下流量转发的描述正确的是( )A. 防火墙主备组网(上下行业务口是三层口),送到备防火墙的流量无法转发,会被备防火墙丢弃B. 防火墙主备组网(上下行业务口是二层口),送到备防火墙的流量仍然会被转发C. 防火墙负载分担组网(双主组网),两台防火墙上的会话会相互向对端备份D. 防火墙负载分担组网(双主组网),两台防火墙上都可以配置ACL三、多选题(每题4分,共44分)1.在域间配置严格包过滤时,下列说法正确的是()A.域间包过滤acl最后一个rule需要配置deny ipB.域间包过滤acl内不允许配置rule permit ipC.必要时域间包过滤acl内rule配置需要精确到端口D.域间包过滤acl可以随意配置rule的策略2.在PS网络中,防火墙承担了NA T设备和内部网络的安全防护作用。
假如防火墙所连接的内网中存在DNS服务器,对GPRS/3G用户提供DNS服务,GPRS/3G用户的IP地址是由GGSN来分配,并在防火墙上转换成公网地址访问internet。
防火墙连接GGSN接口位于gi_trust域,DNS位于DMZ区域(DMZ域优先级高于gi_trust),请问DMZ和gi_trust域间安全策略如何配置()A.因为两个域都处于内网中,所以inbound和outbound方向安全策略可以完全放开B.inbound方向配置源为GGSN地址池,目的为DNS地址的aclC.inbound方向配置源为GGSN地址池,目的为DNS地址+目的端口的aclD.outbound方向虽然存在安全风险可能性很小,但是根据规范要求也不能使用缺省包过滤。
3.客户需要对从untrust域远程通过SSH登录防火墙的IP地址进行限制,假设防火墙上只有四个域:local、untrust、trust、dmz下列哪些配置是正确的()A.在user-interface vty 0 4下配置aclB.在untrust和trust之间配置严格包过滤,域间只允许特定地址互访C.在untrust和dmz之间配置严格包过滤,域间只允许特定地址互访D.在untrust和local之间配置严格包过滤,域间只允许特定地址互访4.防火墙部署双机热备的主要目的是什么?()A.提供设备冗余备份B.提供防火墙session备份C.提供备防火墙可以备份主防火墙所有配置功能D.当网络中存在流量来回路径不一致时,可以使业务不中断5. 对于防火墙inbound和outbound描述正确的是()A. Inbound是指数据流从高优先级域到低优先级域B. outbound是指数据流从高优先级域到低优先级域C. inbound是指数据流从低优先级域到高优先级域D. outbound是指数据流从低优先级域到高优先级域6. ACL 是实现数据流控制的手段之一,在防火墙中,ACL一般用到的有哪些特性()A. 源地址和通配符掩码B. 基于时间段的ACL 控制C. 使用地址组和端口组进行流控D. 基本ACL 和高级ACL 都是通过五元组来实现流量控制7. 设备割接入网前,双机热备要做哪些验证()A. 模拟设备业务接口DOWN验证B. 模拟接口板故障验证C. 有多块业务板时,要模拟业务板故障验证D. 模拟主用防火墙整机重启验证8. 关于防火墙的包过滤以下说法中正确的是()A. 包过滤一般应用于域间安全策略中B. 包过滤通过ACL 定义过滤规则C. 防火墙通过检查包头,并与ACL 进行匹配,决定数据的丢弃与否D. 包过滤ACL最后一个rule必须配置deny ip9. 域间安全策略先通过策略条件的匹配,然后再执行permit or deny,域间策略匹配条件包括以下哪几项()A. IP 报文的标准五元组B. 时间段C. IP 报文中的优先级字段和服务类型字段D. 地址集、端口集10. 在有内网服务器资源时,以下哪几项可以避免服务器被攻击()A. 将服务器放入安全区域内,配置域间策略,通过严格的ACL进行数据流的控制B. 在作NAT server时只把业务端口映射到内网服务器,禁止公网到私网一对一IP地址映射C. 服务器要使用强密码,并进行安全加固D. 开启部分攻击防范检测功能11. 某运营商购买我司两台E8000E-X8高端防火墙,主要用来做3G用户NAT网关,同时要对内部的业务系统进行保护,如DNS、计费系统、认证系统等。
请问下列哪些部署是合理的?()A. 原则上设备放在同一机房,并部署双机热备,设备间心跳线使用多条链路捆绑B. Internet和内部业务系统域间部署严格的包过滤策略C. 3G用户和内部业务系统域间部署严格的包过滤策略D. Local域和其它域之间配置严格包过滤策略E. 打开缺省包过滤。