1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 通信/网络

2025年网络工程师《网络设备配置》防火墙配置策略专项练习.docVIP

2025年网络工程师《网络设备配置》防火墙配置策略专项练习.doc

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    2025年网络工程师《网络设备配置》防火墙配置策略专项练习

    一、单项选择题(共20题,每题2分)

    1.防火墙访问控制列表(ACL)的匹配规则是?

    A.深度优先匹配

    B.顺序逐条匹配

    C.随机匹配

    D.反向匹配

    答案:B

    解析:防火墙ACL默认按配置顺序逐条检查,匹配第一条规则后即执行动作(允许/拒绝),不再继续检查后续规则,因此是顺序匹配。

    2.防火墙中Trust(信任)区域到Untrust(非信任)区域的默认策略是?

    A.允许

    B.拒绝

    C.仅允许HTTP流量

    D.仅拒绝TCP流量

    答案:B

    解析:防火墙默认策略为“区域间拒绝所有流量”,需手动配置允许规则才能放行特定流量。

    3.以下哪种NAT类型可将多个内网IP映射到一个公网IP的不同端口?

    A.静态NAT

    B.动态NAT

    C.PAT(端口地址转换)

    D.双向NAT

    答案:C

    解析:PAT(PortAddressTranslation)通过复用公网IP的不同端口,实现多个内网IP共享一个公网IP访问外网,解决公网IP地址不足问题。

    4.防火墙配置策略时,“源安全区域”和“目的安全区域”的作用是?

    A.仅标识流量方向

    B.决定是否应用ACL规则

    C.限制流量最大带宽

    D.记录流量日志等级

    答案:B

    解析:防火墙通过源区域和目的区域确定流量所属的安全域间,进而匹配该域间关联的ACL规则,决定是否放行流量。

    5.以下哪项不是防火墙扩展ACL的匹配条件?

    A.源IP地址

    B.目的端口号

    C.传输层协议(TCP/UDP)

    D.MAC地址

    答案:D

    解析:扩展ACL可基于IP地址、端口、协议等三层/四层信息匹配,MAC地址属于二层信息,由基本ACL或交换机处理。

    6.防火墙默认日志记录的最小等级是?

    A.调试(Debug)

    B.信息(Info)

    C.警告(Warning)

    D.错误(Error)

    答案:B

    解析:防火墙默认记录“信息”及以上等级的日志(如会话建立、策略匹配结果),调试级日志需手动开启。

    7.配置防火墙策略时,“会话保持时间”的作用是?

    A.限制同一IP的并发连接数

    B.定义空闲会话的超时释放时间

    C.控制流量的传输速率

    D.防止IP地址欺骗

    答案:B

    解析:会话保持时间(超时时间)用于设定无流量交互的会话在防火墙中保留的时长,超时后自动释放,避免资源浪费。

    8.以下哪种攻击可通过防火墙的“SYNFlood防护”功能防御?

    A.DNS缓存投毒

    B.ARP欺骗

    C.分布式拒绝服务(DDoS)

    D.SQL注入

    答案:C

    解析:SYNFlood是DDoS攻击的一种,通过发送大量半开TCP连接耗尽防火墙资源,SYNFlood防护可限制半开连接数或校验SYN请求合法性。

    9.防火墙的“DMZ区域”通常用于部署?

    A.内部办公主机

    B.财务核心服务器

    C.对外提供服务的服务器(如Web)

    D.互联网出口路由器

    答案:C

    解析:DMZ(非军事化区)是隔离于内网和外网的中间区域,用于部署需对外提供服务但需限制内网直接访问的服务器(如Web、邮件服务器)。

    10.配置防火墙策略时,“允许所有ICMP流量”可能带来的风险是?

    A.暴露内网主机存活状态(如Ping探测)

    B.导致TCP连接超时

    C.消耗过多内存

    D.阻断HTTPS流量

    答案:A

    解析:ICMP协议(如EchoRequest)可用于探测网络中存活的主机,允许所有ICMP流量可能泄露内网拓扑信息,增加被攻击风险。

    11.防火墙的“基于应用层的过滤”可识别以下哪种流量?

    A.HTTP的URL路径

    B.IP分片

    C.MAC地址

    D.物理端口号

    答案:A

    解析:应用层过滤(如UTM功能)可深度解析流量内容,识别HTTP的URL、FTP的命令等七层信息,实现更精细的控制。

    12.以下哪项是防火墙“状态检测”的核心特点?

    A.仅检查数据包的源/目的IP

    B.跟踪完整的会话流程(如TCP三次握手)

    C.限制流量的传输速率

    D.仅允许已知端口的流量

    答案:B

    解析:状态检测防火墙会记录会话状态(如TCP连接的建立、传输、关闭),仅放行属于已建立会话的回应流量,增强安全性。

    13.配置防火墙NAT策略时,“地址池”的作用是?

    A.定义内网保留IP段

    B.为动态NAT分配公网IP

    C.限制NAT转换的最大次数

    D.记录NAT转换日志

    答案:B

    解析:动态NAT需配置公网IP地址池,内网主机访问外网时从池中动态分配一个未使用的公网IP进行转换。

    14.防火墙策略中“拒绝所有流量”的规则应放在ACL的?

    A.最前面

    B.中间位置

    C.最后面

    D.无需配置

    答案:C

    解析:ACL按顺序匹配,“拒绝所有”通常作为默认规则放在最后,确保前面的允许规则优先生效,避免误阻断合法流量。

    15.以下哪项不是防火墙的基本功能?

    A.流量过滤

    B.病毒查杀

    C.地址转换

    您可能关注的文档

    最近下载

    文档评论(0)

    小Tt + 关注
    实名认证
    文档贡献者

    一级建造师持证人

    繁华落幕

    咨询Ta 进入空间
    领域认证该用户于2023年11月03日上传了一级建造师

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >