2025年信息系统安全专家防火墙在微服务架构中的应用专题试卷及解析.pdfVIP

2025年信息系统安全专家防火墙在微服务架构中的应用专题试卷及解析1

2025年信息系统安全专家防火墙在微服务架构中的应用专

题试卷及解析

2025年信息系统安全专家防火墙在微服务架构中的应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在微服务架构中，传统边界防火墙面临的最大挑战是什么？

A、处理能力不足

B、无法对东西向流量进行有效控制

C、配置过于复杂

D、不支持NAT功能

【答案】B

【解析】正确答案是B。在微服务架构中，服务间通信（东西向流量）远多于外部

访问（南北向流量），传统边界防火墙主要部署在网络边界，无法看到和管控内部服务

间的流量，这是其核心局限。选项A（处理能力）可通过硬件升级解决；选项C（配置

复杂）是管理问题，非根本性挑战；选项D（NAT功能）是基础功能，传统防火墙普

遍支持。知识点：微服务流量模式与传统安全模型。易错点：容易将性能或配置问题误

认为是最大挑战，而忽略了架构变化带来的流量可见性缺失这一根本问题。

2、在微服务环境中，哪种防火墙部署模式最能实现精细化的服务间访问控制？

A、集中式边界防火墙

B、主机级防火墙

C、服务网格（ServiceMesh）中的Sidecar代理

D、云平台网络安全组

【答案】C

【解析】正确答案是C。服务网格中的Sidecar代理（如Envoy）作为每个微服务的

“伴随”容器，能够拦截进出该服务的所有流量，并基于服务身份而非IP地址执行L7级

别的访问控制策略，实现了最精细化的管控。选项A（边界防火墙）粒度太粗；选项B

（主机防火墙）只能看到IP和端口，无法识别服务身份；选项D（网络安全组）通常工

作在L3/L4层，且策略与实例绑定，不如服务网格灵活。知识点：微服务安全代理模

式。易错点：可能混淆主机防火墙和Sidecar代理，认为两者都在主机上工作，但忽略

了Sidecar与业务应用的紧密耦合及L7策略能力。

3、以下哪项是微服务架构中引入API网关的主要原因，同时也承担了部分防火墙

功能？

A、服务注册与发现

B、请求路由与认证授权

C、分布式追踪

2025年信息系统安全专家防火墙在微服务架构中的应用专题试卷及解析2

D、服务熔断与降级

【答案】B

【解析】正确答案是B。API网关是所有外部请求的统一入口，负责将请求路由到

正确的后端服务，并在此过程中集中执行认证、授权、速率限制等安全策略，这些功能

与传统防火墙的访问控制类似。选项A（服务注册发现）是服务治理核心功能；选项C

（分布式追踪）用于问题排查；选项D（熔断降级）是容错机制。知识点：API网关的

核心职责与安全价值。易错点：容易将API网关与服务治理组件（如注册中心）的功

能混淆，需明确其作为“流量大门”和安全策略执行点的核心定位。

4、在微服务安全实践中，“零信任网络”的核心思想是什么？

A、默认信任内部网络流量

B、基于网络位置划分信任区域

C、从不信任，总是验证

D、仅对南北向流量进行验证

【答案】C

【解析】正确答案是C。“零信任网络”的核心原则是“从不信任，总是验证”，即不因

流量来自内部网络就默认其安全，任何访问请求都必须经过严格的身份验证和授权。选

项A和B是传统边界安全模型的思想；选项D只关注了部分流量，不符合零信任全面

验证的理念。知识点：零信任安全架构的基本原则。易错点：容易将“零信任”简单理解

为“不信任外部网络”，而忽略了其对内部流量的同等审视要求。

5、当微服务部署在Kubernetes环境中时，通常使用哪种原生资源来实现网络层面

的隔离和访问控制？

A、Deployment

B、Service

C、NetworkPolicy

D、Ingress

【答案】C

【解析】正确答案是C。Kubernetes的NetworkPolicy资源允许用户定义Po