购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.2
安全模块真题解析

1.【判断题】IPsec体系中的ESP安全协议无法对IP报文头进行认证。

【解析】 ESP安全协议将数据中的有效载荷进行加密后封装到数据包中,以保证数据的机密性,但ESP安全协议没有对IP报文头的内容进行保护,不对IP报文头进行认证。因此该题是正确的。

【答案】 正确

2.【判断题】HTTPS采用非对称加密与对称加密结合的方式加密报文,首先通过对称加密交换非对称加密的密钥,然后使用非对称加密算法加密业务数据。

【解析】 对称加密算法的加密效率高,非对称加密算法能解决密钥分发的问题。HTTPS首先通过非对称加密交换对称加密的密钥,然后用对称加密算法加密业务数据。因此该题是错误的。

【答案】 错误

3.【判断题】在防火墙配置入侵防御功能时,需调用相应签名。签名若同时命中签名过滤器和例外签名,则以例外签名的响应动作为准。

【解析】 例外签名的响应动作优先级高于签名过滤器的响应动作优先级。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的响应动作为准。该题是正确的。

【答案】 正确

4.【判断题】在防火墙主备模式下的双机热备组网中,必须开启会话快速备份功能,从而应对报文来回路径不一致的场景。

【解析】 一般情况下,负载分担和业务接口未启用VRRP的双机热备组网,容易出现报文来回路径不一致的情况,需要开启会话快速备份功能。防火墙(Firewall,FW)主备模式下的双机热备组网,并非必须开启会话快速备份功能,实际上是否存在报文来回路径不一致的情况,要根据组网和业务来判断,开启会话快速备份功能对设备性能会有一定影响。因此该题是错误的。

【答案】 错误

5.【单选题】防火墙会话表是一个记录协议连接状态、实现报文正常转发的重要表项。通过display firewall session table verbose命令查看会话表,输出的信息不包含以下哪一项?

A.会话表项的老化时间

B.命中的安全策略名称

C.会话ID

D.数据流的源MAC地址

【解析】 防火墙会话表包含会话表项的老化时间、剩余时间、协议名称、命中的安全策略名称、会话ID、VPN实例、源/目的区域和源/目的IP地址等信息,但不包含数据流的源MAC地址信息。如下所示是一个防火墙会话表的查询结果:

<FW> display firewall session table verbose
Current total sessions:1
icmp VPN:public-->public ID: a48f3648905d02c0553591da1
Zone:local-->trust Remote TTL:00:00:20 Left:00:00:08
Interface: GigabitEthernet1/0/1  Nexthop: 10.1.1.1  MAC:000f-e225-db4f
<--packets:6 bytes:390-->packets:8 bytes:340
10.1.1.1:43981-->10.1.1.10:43981 PolicyName: test

选项A:查询结果中的TTL表示会话表项的老化时间。选项A正确。

选项B:查询结果中的PolicyName表示命中的安全策略名称。选项B正确。

选项C:查询结果中的ID表示会话ID。选项C正确。

选项D:查询结果中没有数据流的源MAC地址,只有下一跳的MAC地址。防火墙会话表输出的信息不包含的是选项D。

【答案】 D

6.【单选题】蠕虫是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序。以下不属于蠕虫特点的是哪一项?

A.利用应用软件漏洞大肆传播

B.信息窃取

C.消耗网络带宽

D.破坏重要数据

【解析】

选项A:蠕虫是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在应用软件漏洞的计算机上的部分或全部控制权来传播。选项A正确。

选项B:蠕虫一般会在传播后直接进行破坏行为,但不具备信息窃取等功能。因此不属于蠕虫的特点的是选项B。

选项C:蠕虫感染并完全控制一台计算机之后,就会把这台计算机作为宿主,进而扫描并感染其他计算机。当这些新的被蠕虫感染的计算机被完全控制之后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直持续。蠕虫使用这种递归的方法进行传播,按照指数增长的规律进行分布,进而控制越来越多的计算机。蠕虫在传播过程中会消耗大量网络带宽。选项C正确。

选项D:2007年年初曾流行的“熊猫烧香”及其变种也是蠕虫。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。选项D正确。

【答案】 B

7.【单选题】在华为防火墙上,每个安全区域都有一个唯一的优先级,表示优先级的数字越大,该区域内的网络越可信。默认情况下,以下安全区域的优先级从高到低排列正确的是哪一项?

A.Local区域 > Trust区域 > DMZ区域 > Untrust区域

B.DMZ区域 > Trust区域 > Local区域 > Untrust区域

C.Trust区域 > Local区域 > Untrust区域 > DMZ区域

D.Trust区域 > DMZ区域 > Local区域 > Untrust区域

【解析】 华为防火墙上保留4个缺省的安全区域,分别是本地区域(Local区域,优先级为100)、受信区域(Trust区域,优先级为85)、非军事区域(DMZ区域,优先级为50)和非受信区域(Untrust区域,优先级为5)。

选项A:安全区域的优先级是按照从高到低的顺序排列的。选项A正确。

选项B:Local区域优先级最高。选项B错误。

选项C:Local区域优先级最高。选项C错误。

选项D:Local区域优先级最高。选项D错误。

【答案】 A

8.【单选题】NAT是一种地址转换技术,可以将报文头中的IP地址转换为另一个IP地址。以下哪一项不是NAT技术的优点?

A.节约IP地址

B.对内网用户提供隐私保护

C.地址转换过程对用户透明

D.提高端到端通信效率

【解析】

选项A:NAT技术通过多对一的转换,可以将多个私网地址转换为一个公网地址,起到节约IP地址的作用。选项A正确。

选项B:地址转换后,内网用户原本的IP地址不会暴露,NAT能够起到保护隐私的作用。选项B正确。

选项C:地址转换过程是在路由器或者防火墙等网关设备上进行的,对用户而言是透明且无感知的。选项C正确。

选项D:地址转换过程会在一定程度上降低端到端通信效率。不是NAT技术优点的是选项D。

【答案】 D

9.【单选题】免费ARP报文是一种特殊的ARP报文,当有新的用户主机接入网络时,该用户主机会以广播的方式发送免费ARP报文,来确认广播域中有无其他设备与自己的IP地址冲突。以下关于免费ARP报文的特点的描述,错误的是哪一项?

A.免费ARP报文属于ARP请求报文

B.免费ARP报文为单播报文

C.攻击者可以使用伪造的免费ARP报文进行中间人攻击

D.发送免费ARP报文可以确认IP地址是否冲突

【解析】

选项A:设备主动使用自己的IP地址作为目的地址发送ARP请求报文,此种报文称为免费ARP报文。选项A正确。

选项B:ARP请求报文是以广播的方式发送的。选项B错误。

选项C:攻击者如果伪造免费ARP报文,会使网络中其他设备存储的ARP表中的IP地址与MAC地址的映射关系是错误的,从而形成中间人攻击。选项C正确。

选项D:用户发送免费ARP报文后,正常情况下应当不会收到ARP回应,如果收到ARP回应,则表明本网络中存在与自身IP地址重复的地址。选项D正确。

【答案】 B

10.【单选题】入侵防御是一种基于攻击特征库检测入侵行为,并采取一定的措施实时中止入侵的安全机制。以下关于入侵防御的描述,错误的是哪一项?

A.防火墙的入侵防御功能对所有通过防火墙的报文进行检测分析,并实时决定是允许其通过还是阻止其通过

B.预定义签名的内容不是固定的,可以创建、修改或删除

C.入侵防御签名用来描述网络中存在的入侵行为的特征,以及设备需要对其采取的动作

D.防火墙/IPS设备通常部署在网络出口处,抵挡来自互联网的威胁

【解析】

选项A:入侵防御通过完善的检测机制对所有通过防火墙的报文进行检测分析,并实时决定是允许其通过还是阻止其通过。选项A正确。

选项B:预定义签名的内容不能被修改,但可通过查看其内容了解入侵防御所检测的入侵行为的特征,方便后续进行配置签名过滤器或例外签名进行排除。选项B错误。

选项C:入侵防御签名用来描述网络中存在的入侵行为的特征,防火墙通过将数据流和入侵防御签名进行比较来检测和防范入侵行为,入侵防御签名包含入侵行为的特征和采取的动作两部分。选项C正确。

选项D:防火墙/IPS设备一般都直路部署在网络出口处,这样才能保证所有进出的数据包都经过防火墙/IPS设备的检查和审核,以抵挡攻击和威胁。如果旁路部署防火墙/IPS设备,一般只能起到审计的作用。选项D正确。

【答案】 B

11.【单选题】SYN Flood攻击是一种利用TCP的三次握手机制向目标计算机发动的攻击。以下关于华为防火墙对SYN Flood攻击防御技术的描述,错误的是哪一项?

A.限制TCP半连接数可以防御SYN Flood攻击

B.连续一段时间内收到的具有同一目的地址的SYN报文超过阈值就启动源认证,可以防御SYN Flood攻击

C.对于不同类型的DoS攻击,有源认证、限流等不同的防御方式

D.通过配置防火墙域间安全策略可以防御SYN Flood攻击

【解析】 SYN Flood攻击利用了TCP的三次握手机制。攻击者向服务器发送大量的SYN报文请求,当服务器回应SYN-ACK报文时,不再继续回应ACK报文,导致服务器上建立大量的TCP半连接,直至其老化。这样,服务器的资源会被这些TCP半连接耗尽,导致服务器无法回应正常的请求。

选项A:限制TCP半连接数可以将服务器上的TCP半连接数限制在合理范围内,用来防御SYN Flood攻击。选项A正确。

选项B:华为防火墙可以统计连续一段时间内收到的具有同一目的地址的SYN报文,当统计的报文流量超过阈值时,防火墙启动源认证。防火墙会对SYN报文的源IP地址进行探测,来自真实源IP地址的SYN报文将被转发,来自虚假源IP地址的SYN报文将被丢弃。通过这种方式可以防御SYN Flood攻击。选项B正确。

选项C:针对SYN Flood、HTTP Flood、HTTPS Flood、DNS Request Flood、DNS Reply Flood和SIP Flood等DoS攻击,可以采用源认证进行防御。针对ICMP Flood和UDP Flood等攻击,可以采用限流进行防御。选项C正确。

选项D:SYN Flood攻击是利用了正常的TCP三次握手机制发动的攻击,攻击者发送的是正常的SYN报文,因此配置防火墙域间安全策略对这种正常的SYN报文是无法发挥防御作用的。选项D错误。

【答案】 D

12.【单选题】组建了双机热备系统的华为防火墙,在重启后一定不会同步以下哪种配置?

A.Session Table

B.IP-Link

C.安全策略

D.NAT策略

【解析】 在双机热备组网中,支持备份的配置包括会话表(Session Table)、安全策略和NAT策略。

选项A:在重启后一定会同步会话表,以保证会话连接不中断。选项A正确。

选项B:IP-Link由于与接口以及探测到的链路和目的IP地址有关,因此不支持备份和同步。在重启后不会同步的是选项B。

选项C:安全策略需要在双机热备的两台设备间保持一致,因此在重启后一定会同步。选项C正确。

选项D:NAT策略需要在双机热备的两台设备间保持一致,因此在重启后一定会同步。选项D正确。

【答案】 B

13.【多选题】IPsec是IETF制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头(AH)和封装安全载荷(ESP)两个安全协议。以下对于AH和ESP的描述,正确的是哪些选项?

A.AH可以提供数据完整性校验和加密

B.隧道模式下,AH对新的IP头也要进行验证,所以AH无法应用在IPsec VPN中有NAT的场景中

C.AH可以提供ESP除了数据加密外的所有功能

D.隧道模式下,ESP报文不对新IP头进行验证

【解析】

选项A:AH(Authentication Header,认证头)仅支持认证功能,不支持加密功能。选项A错误。

选项B:AH的数据完整性验证范围为整个IP报文。在隧道模式下,AH对新的报文头也要进行验证,当IPsec(Internet Protocol Security,互联网络层安全协议)VPN的组网环境中有NAT时,新的IP头中的IP地址会发生变化,导致AH验证失败,所以AH不适用于有NAT的IPsec VPN场景。选项B正确。

选项C:AH支持数据完整性校验、数据源认证和防重放攻击,ESP(Encapsulating Security Payload,封装安全载荷)支持数据完整性校验、数据源认证、数据加密和防重放攻击。选项C正确。

选项D:与AH不同的是,ESP将数据中的有效载荷进行加密后封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护,因此在隧道模式下,ESP是不验证新的IP头的。选项D正确。

【答案】 BCD

14.【多选题】以下哪些是杀毒软件的组成部分?

A.扫描器

B.病毒库

C.虚拟机

D.分析器

【解析】 杀毒软件通常由扫描器、病毒库和虚拟机组成,并且由主程序将它们结合为一体。这些组成部分共同工作,以实现对计算机病毒、特洛伊木马和其他恶意软件的检测和清除。

选项A:扫描器是杀毒软件的主要组成部分,负责扫描文件以识别病毒。其编译技术和算法的先进程度直接影响杀毒软件的效果。选项A正确。

选项B:病毒库包含已知病毒的特征码,该特征码用于与扫描器发现的文件进行比对,以确定文件是否包含病毒。选项B正确。

选项C:虚拟机用于在隔离的环境中运行疑似被病毒感染的文件,以模拟病毒执行过程,从而在不损害系统的情况下分析文件是否包含病毒。选项C正确。

选项D:杀毒软件的组成部分不包含分析器。选项D错误。

【答案】 ABC

15.【多选题】SSL VPN是通过SSL协议实现远程安全接入的VPN技术。那么SSL VPN的业务功能包括以下哪些?

A.Web代理

B.网络扩展

C.端口共享

D.文件共享

【解析】 SSL VPN的业务功能包括Web代理、文件共享、端口转发和网络扩展。

选项A:正确。

选项B:正确。

选项C:错误。端口共享这种说法是错误的,应该是端口转发。

选项D:正确。

【答案】 ABD

16.【多选题】防火墙会话表是实现状态检测机制的重要表项。以下关于会话表的描述,正确的是哪些选项?

A.会话表老化是为了节约系统资源

B.防火墙可以提供会话快速老化功能

C.会话表老化时间设置得越长越好

D.会话表老化时间设置得越短越好

【解析】

选项A:对于一条已经建立的会话表项,只有当它不断被报文匹配时才有存在的必要。如果某条会话表项长时间没有被报文匹配,则说明通信双方可能已经断开了连接,不再需要该条会话表项了。此时,为了节约系统资源,系统会在一条会话表项连续一段时间未被报文匹配后,将其删除,即会话表项已经老化。选项A正确。

选项B:在某些场景下,当网络中发生某些攻击时,防火墙上的并发会话数会快速增长,可能导致正常业务无法创建新的会话。防火墙提供会话快速老化功能,在并发会话数或内存使用率达到一定条件后,防火墙会加快会话老化进程,提前老化会话,快速降低会话表使用率。选项B正确。

选项C:如果在会话表项老化之后,又有和这条已被老化的会话表项相同的五元组的报文通过,则系统会重新根据安全策略决定是否为其建立会话表项。如果不能建立会话表项,则这个报文是不能被转发的。所以会话表老化时间过长会导致系统中存在很多已经断开的连接的会话表,占用系统资源,并且有可能导致新的会话表项不能正常建立,影响其他业务的转发。因此会话表老化时间不是越长越好。选项C错误。

选项D:如果会话表老化时间过短,会导致一些可能需要长时间才收发一次报文的连接被系统强行中断,影响这些连接对应的业务的转发。因此会话表老化时间也不是越短越好。选项D错误。

【答案】 AB

17.【多选题】安全区域是网络安全设备以接口为单位按需划分的逻辑网络片区。以下关于防火墙安全区域的特点的描述,正确的是哪些选项?

A.防火墙的一个接口可以属于多个安全区域

B.在同一安全区域下的用户互访不受安全策略的控制

C.Local区域中不能添加任何接口,但防火墙上的所有业务接口本身都属于Local区域

D.防火墙上提供的Local区域,代表防火墙本身

【解析】

选项A:一个安全区域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。一个接口只能属于一个安全区域。选项A错误。

选项B:只有当不同安全区域之间发生数据流动时,才会触发安全检查。在同一安全区域下的用户互访不受安全策略的控制。选项B正确。

选项C:Local区域定义的是设备本身,包括设备的各接口。用户不能改变Local区域本身的任何配置,包括向其中添加接口。选项C正确。

选项D:Local区域定义的是设备本身,包括设备的各接口。选项D正确。

【答案】 BCD

18.【多选题】以下关于IKE SA协商过程中的主模式与野蛮模式的区别的描述,正确的是哪些选项?

A.与主模式相比,野蛮模式的优点是建立IKE SA的速度较快

B.野蛮模式无法提供身份保护

C.IKEv2的野蛮模式比IKEv1的野蛮模式的报文交互效率高

D.如果发起者已知响应者的策略,或者对响应者的策略有全面的了解,采用野蛮模式能够更快地创建IKE SA

【解析】 IKEv1协商分为两个阶段,其中第一阶段定义了两种模式:主模式和野蛮模式。

选项A:主模式和野蛮模式的区别在于主模式需要使用6个报文,野蛮模式需要使用3个报文,野蛮模式效率高、速度快。选项A正确。

选项B:主模式能保护身份,野蛮模式的身份是明文发送的,不能保护身份。选项B正确。

选项C:IKEv2简化了SA(Security Association,安全联盟)的协商过程。IKEv2在正常情况下使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA,IKEv2中没有野蛮模式这种说法。选项C错误。

选项D:如果发起者已知响应者的策略,或者对响应者的策略有全面的了解,采用野蛮模式确实能够更快地创建IKE SA。选项D正确。

【答案】 ABD ytzNqz4x2Bq3wahIhbvfcef7ft8V7rcYBmHbu0gRKLIY7AuR2QxkgaN2IoGkw8XQ

点击中间区域
呼出菜单
上一章
目录
下一章
×