VPN练习题

防 火 墙 技 术 练 习 题

姓名： 学号：

选择题：

1、 下面哪些方式是属于三层VPN的 C . A、 L2TP B、 MPLS C、 IPSec D、 PP2P 2、 在加密和解密的过程中，下面哪种算法是采用不对称方式的 C

A、 DES B、 3DES C、 RSA D、 AES 14、 在防火墙的“访问控制”应用中，内网、外网、DMZ三者的访问关系为 ABD

A、内网可以访问外网 B、内网可以访问DMZ区 C、DMZ区可以访问内网 D、外网可以访问DMZ区 15、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好

的

选

择

B

3、 在公网上使用IPSec加密数据具有哪些优点 ABCD A、 防重放 B、 数据私密性

C、 数据完整性 D、 数据来源认证 4、 在IPSec VPN中，使用的MD5加密算法生成的指纹有

B

位

长

度

A、 56 B、 128 C、 192 D、 256 5、 下面哪种功能是ESP具有的，而AH不具有的 B A、 认证 B、 加密 C、 隧道模式 D、 MD5 哈希 6、 在传输模式下，下面哪种协议会导致AH封装的数据包失败

B

A、 VRRP B、 NAT C、 NDP D、 NTP 7、 下列协议中， A 协议的数据可以受到IPSec的保护。 A. TCP、UDP、IP B. ARP C. RARP D. 以上皆可以 8、 AH使用下面哪个协议号： B A、 50 B、 51 C、 52 D、 53 9、 ESP

使用下面哪个协议号： A A、 50 B、 51 C、 52 D、 53 10、 ESP协议中不是必须实现的验证算法的是 D 。 A. HMAC-MD5 B. HMAC-SHA1 C. NULL D. HMAC-RIPEMD-160 11

、

下

面

哪

个

说

法

是

正

确

的

A A、AH在传输模式中验证整个IP数据包，在隧道模式中验证整个IP数据包；

B、AH在传输模式中验证整个IP数据包，在隧道模式中验证新IP头外数据包；

C、 AH在传输模式中验证IP头后的数据包，在隧道模式中验证整个IP数据包；

D、 AH在传输模式中验证IP头后的数据包，在隧道模式中验证新IP头外数据包

12、 在公钥密码体制中，用于加密的密钥为：D A、公钥 B、私钥 C、公钥与私钥 D、公钥或私钥 13、加密技术的强度可通过以下哪几方面来衡量： ABC A、算法的强度 B、密钥的保密性 C、密钥的长度 D、计算机的性能

A、IDS B、防火墙 C、杀毒软件 D、路由器 16、AH协议中必须实现的验证算法是 A 。 A. HMAC-MD5和HMAC-SHA1 B. NULL C. HMAC-RIPEMD-160 D. 以上皆是

17、IPSEC是一套协议集，它不包括下列哪个协议 B 。 A．AH B．SSL C．IKE D．ESP

18、下列防火墙产品中，属于天融信产品的是 D 。 A．黑客愁 B．网眼 C．熊猫 D．网络卫士 19.以下哪一项不是防火墙测试包含的内容 A 。

A．购买测试设备 B．建立测试准则 C．搭建测试环境 D．确定测试项目

20. B 是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人(如计算机黑客或破解高手等)而设计的。

A．网络管理计算机 B．蜜罐(Honeypot) C．傀儡计算机 D．入侵检测系统

简答题：

1．网络安全属性包括哪几方面？ 答：

1、可用性，指得到授权的实体在需要时可以使用所需要的网络资源和服务。

2、机密性，指网络中信息不被非授权实体(包括用户和进程等)获取与使用。

3、完整性，指网络信息的真实可信性，即网络少的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，保证授权用户得到的信息是真实的。

4、可靠性，是指系统在规定的条件下和规定的时间内，完成规定功能的概率。

5、不可抵赖性，也称为不可否认性；是指通信的双方在通信过程中，对于自己所发送或接收的消息不可抵赖

2．阐述数据包过滤防火墙的工作原理。

答：包过滤（Packet Filter）是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP

地址以及IP分组头部的其他各种标志信息（如协议、服务类型等），确定是否允许该数据包通过防火墙。

3．从工作原理来看，防火墙可以分为哪些种类？

答：特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。

4．AH协议和ESP协议的主要区别是什么？ 答：1、AH没有ESP的加密特性

2、AH的认证是对整个数据包做出的，包括IP头部分，因为IP头部分包含很多变量，比如type of service（TOS），flags，fragment 动验证，创建自己的检查列表。

11．防火墙的不能防范的攻击有哪些？

答：防火墙不是万能的，只是系统整体安全策略中的一部分

1) 2) 3) 4) 5) 6)

限制网络服务 对内部用户防范不足 不能防范旁路连接

不能防止受病毒感染的文件的传输 无法防范数据驱动型攻击

其他不足：不能防止策略配置不当或错误配置引起的安offset，TTL以及header checksum.所以这些值在进行认证前要全部清零。所以与NAT模式冲突。而ESP的验证不会对整个IP包进行验证，IP头部不会被验证，因此ESP和NAT模式不冲突。 5．能否用ESP协议替代AH协议？

答：AH协议：可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网重播。

ESP协议：具有所有的AH功能，还可以利用加密技术保障数据机密性。

虽然AH和ESP都可以提供身份认证，但他们有2点区别： ESP要求使用高强度的加密算法，会受到许多限制。多数情况下，使用AH的认证服务已经能够满足要求，相对来说，ESP开销较大。 有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制，选择安全方案可以有更大的灵活度。 所以不能用ESP协议替代AH协议。

6．为什么AH协议和NAT冲突？ESP是否和NAT也冲突？ 答：被AH验证的区域是整个IP包，包括IP包头部的源、目IP地址，由于经过NAT会改变源、目的地址，因此AH与NAT是冲突的，不能同时使用。ESP与NAT不冲突。 7．HMAC算法与HASH算法有什么区别？

答：HMAC算法需要一个密钥，而HASH算法不需要。 8．IPSEC算法的工作模式有哪两种，有什么区别，分别应用在什么环境？

答：IPSEC算法的两种模式是：传输模式和隧道模式。 区别：传输模式要保护的内容是IP包的载荷，可能是TCP/UDP等传输层协议，也可能是ICMP协议，还可能是AH协议或者ESP协议。 隧道模式保护的内容是整个原始的IP包。 9．在IPSEC VPN中，完整性验证是如何实现的？ 答：在发送方，整个IP包和验证密钥被作为输入， 经过HMAC算法计算后得到的结果被填充到AH 头部的“验证数据”字段中；

",在接收方，整个IP包和验证算法所用的密钥也 被作为输入，经过HMAC算法计算的结果和AH 头部的“验证数据”字段进行比较，如果一致， 说明该IP包数据没有被篡改，内容是真实可信 的。

10．简述防火墙测试的主要内容包括哪些？

答：操作系统的配置，防火墙配置，相冲突的规则，系统管理，测试防火墙规则库，确认错误配置，识别漏洞，扫描网络，使用nmap，修改控制，验证防火墙，对防火墙策略的更改，规则库的自

全威胁；不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁；存在单点失效问题

12．物理隔离网闸与防火墙在设计理念方面的主要区别是什么? 物理隔离网闸的设计是以安全为首要目的，在安全的基础上实现通信，而防火墙的设计是在保证通信的前提下保证安全 13．常见的身份认证方式有哪几种？

答：单向认证，双向认证，信任的第三方认证。 14.简述虚拟专用网络的基本功能。

答：VPN的功能：1、数据机密性保护 2、数据完整性保护 3、数据源发性认证 4、抗重放攻击 15.为什么说Ipv4是不安全的，举例说明。

答：IPV4地址空间匮乏，路由表过于庞大，不能很好的支持实时业务，使它不能适应Internet的发展，表达的复杂成都不如IPV6

本文来源：https://www.bwwdw.com/article/5rua.html