VPN练习题

更新时间:2023-12-25 14:40:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

防 火 墙 技 术 练 习 题

姓名: 学号:

选择题:

1、 下面哪些方式是属于三层VPN的 C . A、 L2TP B、 MPLS C、 IPSec D、 PP2P 2、 在加密和解密的过程中,下面哪种算法是采用不对称方式的 C

A、 DES B、 3DES C、 RSA D、 AES 14、 在防火墙的“访问控制”应用中,内网、外网、DMZ三者的访问关系为 ABD

A、内网可以访问外网 B、内网可以访问DMZ区 C、DMZ区可以访问内网 D、外网可以访问DMZ区 15、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好

B

3、 在公网上使用IPSec加密数据具有哪些优点 ABCD A、 防重放 B、 数据私密性

C、 数据完整性 D、 数据来源认证 4、 在IPSec VPN中,使用的MD5加密算法生成的指纹有

B

A、 56 B、 128 C、 192 D、 256 5、 下面哪种功能是ESP具有的,而AH不具有的 B A、 认证 B、 加密 C、 隧道模式 D、 MD5 哈希 6、 在传输模式下,下面哪种协议会导致AH封装的数据包失败

B

A、 VRRP B、 NAT C、 NDP D、 NTP 7、 下列协议中, A 协议的数据可以受到IPSec的保护。 A. TCP、UDP、IP B. ARP C. RARP D. 以上皆可以 8、 AH使用下面哪个协议号: B A、 50 B、 51 C、 52 D、 53 9、 ESP

使用下面哪个协议号: A A、 50 B、 51 C、 52 D、 53 10、 ESP协议中不是必须实现的验证算法的是 D 。 A. HMAC-MD5 B. HMAC-SHA1 C. NULL D. HMAC-RIPEMD-160 11

A A、AH在传输模式中验证整个IP数据包,在隧道模式中验证整个IP数据包;

B、AH在传输模式中验证整个IP数据包,在隧道模式中验证新IP头外数据包;

C、 AH在传输模式中验证IP头后的数据包,在隧道模式中验证整个IP数据包;

D、 AH在传输模式中验证IP头后的数据包,在隧道模式中验证新IP头外数据包

12、 在公钥密码体制中,用于加密的密钥为:D A、公钥 B、私钥 C、公钥与私钥 D、公钥或私钥 13、加密技术的强度可通过以下哪几方面来衡量: ABC A、算法的强度 B、密钥的保密性 C、密钥的长度 D、计算机的性能

A、IDS B、防火墙 C、杀毒软件 D、路由器 16、AH协议中必须实现的验证算法是 A 。 A. HMAC-MD5和HMAC-SHA1 B. NULL C. HMAC-RIPEMD-160 D. 以上皆是

17、IPSEC是一套协议集,它不包括下列哪个协议 B 。 A.AH B.SSL C.IKE D.ESP

18、下列防火墙产品中,属于天融信产品的是 D 。 A.黑客愁 B.网眼 C.熊猫 D.网络卫士 19.以下哪一项不是防火墙测试包含的内容 A 。

A.购买测试设备 B.建立测试准则 C.搭建测试环境 D.确定测试项目

20. B 是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人(如计算机黑客或破解高手等)而设计的。

A.网络管理计算机 B.蜜罐(Honeypot) C.傀儡计算机 D.入侵检测系统

简答题:

1.网络安全属性包括哪几方面? 答:

1、可用性,指得到授权的实体在需要时可以使用所需要的网络资源和服务。

2、机密性,指网络中信息不被非授权实体(包括用户和进程等)获取与使用。

3、完整性,指网络信息的真实可信性,即网络少的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏,保证授权用户得到的信息是真实的。

4、可靠性,是指系统在规定的条件下和规定的时间内,完成规定功能的概率。

5、不可抵赖性,也称为不可否认性;是指通信的双方在通信过程中,对于自己所发送或接收的消息不可抵赖

2.阐述数据包过滤防火墙的工作原理。

答:包过滤(Packet Filter)是在网络层中根据事先设置的安全访问策略(过滤规则),检查每一个数据包的源IP地址、目的IP

地址以及IP分组头部的其他各种标志信息(如协议、服务类型等),确定是否允许该数据包通过防火墙。

3.从工作原理来看,防火墙可以分为哪些种类?

答:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。

4.AH协议和ESP协议的主要区别是什么? 答:1、AH没有ESP的加密特性

2、AH的认证是对整个数据包做出的,包括IP头部分,因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment 动验证,创建自己的检查列表。

11.防火墙的不能防范的攻击有哪些?

答:防火墙不是万能的,只是系统整体安全策略中的一部分

1) 2) 3) 4) 5) 6)

限制网络服务 对内部用户防范不足 不能防范旁路连接

不能防止受病毒感染的文件的传输 无法防范数据驱动型攻击

其他不足:不能防止策略配置不当或错误配置引起的安offset,TTL以及header checksum.所以这些值在进行认证前要全部清零。所以与NAT模式冲突。而ESP的验证不会对整个IP包进行验证,IP头部不会被验证,因此ESP和NAT模式不冲突。 5.能否用ESP协议替代AH协议?

答:AH协议:可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网重播。

ESP协议:具有所有的AH功能,还可以利用加密技术保障数据机密性。

虽然AH和ESP都可以提供身份认证,但他们有2点区别: ESP要求使用高强度的加密算法,会受到许多限制。多数情况下,使用AH的认证服务已经能够满足要求,相对来说,ESP开销较大。 有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制,选择安全方案可以有更大的灵活度。 所以不能用ESP协议替代AH协议。

6.为什么AH协议和NAT冲突?ESP是否和NAT也冲突? 答:被AH验证的区域是整个IP包,包括IP包头部的源、目IP地址,由于经过NAT会改变源、目的地址,因此AH与NAT是冲突的,不能同时使用。ESP与NAT不冲突。 7.HMAC算法与HASH算法有什么区别?

答:HMAC算法需要一个密钥,而HASH算法不需要。 8.IPSEC算法的工作模式有哪两种,有什么区别,分别应用在什么环境?

答:IPSEC算法的两种模式是:传输模式和隧道模式。 区别:传输模式要保护的内容是IP包的载荷,可能是TCP/UDP等传输层协议,也可能是ICMP协议,还可能是AH协议或者ESP协议。 隧道模式保护的内容是整个原始的IP包。 9.在IPSEC VPN中,完整性验证是如何实现的? 答:在发送方,整个IP包和验证密钥被作为输入, 经过HMAC算法计算后得到的结果被填充到AH 头部的“验证数据”字段中;

",在接收方,整个IP包和验证算法所用的密钥也 被作为输入,经过HMAC算法计算的结果和AH 头部的“验证数据”字段进行比较,如果一致, 说明该IP包数据没有被篡改,内容是真实可信 的。

10.简述防火墙测试的主要内容包括哪些?

答:操作系统的配置,防火墙配置,相冲突的规则,系统管理,测试防火墙规则库,确认错误配置,识别漏洞,扫描网络,使用nmap,修改控制,验证防火墙,对防火墙策略的更改,规则库的自

全威胁;不能防止自然或人为的故意破坏;不能防止本身安全漏洞的威胁;存在单点失效问题

12.物理隔离网闸与防火墙在设计理念方面的主要区别是什么? 物理隔离网闸的设计是以安全为首要目的,在安全的基础上实现通信,而防火墙的设计是在保证通信的前提下保证安全 13.常见的身份认证方式有哪几种?

答:单向认证,双向认证,信任的第三方认证。 14.简述虚拟专用网络的基本功能。

答:VPN的功能:1、数据机密性保护 2、数据完整性保护 3、数据源发性认证 4、抗重放攻击 15.为什么说Ipv4是不安全的,举例说明。

答:IPV4地址空间匮乏,路由表过于庞大,不能很好的支持实时业务,使它不能适应Internet的发展,表达的复杂成都不如IPV6

本文来源:https://www.bwwdw.com/article/hkcx.html

Top