A、正确
B、错误
答案:A
解析:解析:防火墙的接口只能属于一个区域,所以题目中的描述是正确的。
A、正确
B、错误
答案:A
解析:解析:防火墙的接口只能属于一个区域,所以题目中的描述是正确的。
A. 状态检测型防火墙对报文进行检查时,同一连接的前后报文不具有相关性
B. 状态检测防火墙需要对每个进入防火墙的数据包进行规则匹配
C. 状态检测型防火墙只需要对该连接的第一个数据包进行访问规则的匹配,该连接的后续报文直接在状态表中进行匹配
D. 因为UDP协议为面向无连接的协议,因此状态检测型防火墙无法对UDP报文进行状态表的匹配
解析:解析:状态检测型防火墙对报文进行检查时,同一连接的前后报文要有相关性;防火墙只对首包进行状态检测,同一流量的后续报文需要匹配;UDP对于TCP来说就简单很多了,它是没有连接状态的协议,在防火墙上面的话则只要安全策略允许通过,则会直接创建会话信息。
A. 前缀列表对于路由掩码的匹配功能比访问控制列表更强
B. 前缀列表可以匹配前缀号和前缀长度
C. 前缀列表可以用于数据包的过滤
D. 前缀列表可用来过滤IP前缀
解析:解析:前缀列表是过滤路由的,而不是过滤数据包,所以选项“前缀列表可以用于数据包的过滤”的描述是错误的。
A. 正确
B. 错误
解析:解析:流策略在一个接口上,可以在出方向调用,也可以在入方向调用。
A. 源目MAC地址、源目IP地址和源目端口号
B. 源目MAC地址、源目IP地址和协议类型
C. 源目IP地址、源目端口号和协议类型
D. 源目MAC地址、源目端口号和协议类型
解析:解析:Server map是防火墙用来转发数据包的,因此需要知道目的IP、目的端口号、协议号即可。所以本题选择“源目IP地址、源目端口号和协议类型”。
A. 地址转换可以使内部网络用户(私有IP地址)方便地访问Internet
B. 地址转换可以屏蔽内部网络的用户,提高内部网络的安全性
C. 地址转换可以使内部局域网的许多主机共享一个IP地址上网
D. 地址转换能够处理IP报头加密的情况
解析:解析:地址转换不能够处理IP报头加密的情况,所以不包括“地址转换能够处理IP报头加密的情况”。
A. [mask-length,greater-equal-value ]
B. [0,greater-equal-value]
C. 无限制
D. [greater-equal-value,32]
解析:解析:如果仅指定了greater-equal-value则代表掩码范围是大于等于指定的到32位,所以前缀范围选择“[greater-equal-value,32]”。
A. 正确
B. 错误
解析:解析:状态检测防火墙用安全策略决定建立会话,与会话关联才会转发,所以题目中的描述是正确的。
A. 攻击者可以通过伪造的源MAC地址数据帧发送给交换机来实施MAC地址欺骗攻击
B. MAC地址欺骗攻击会导致交换机要发送到正确目的地的数据被发送给了攻击者
C. MAC地址欺骗攻击主要利用了交换机MAC地址学习机制
D. MAC地址欺骗攻击会造成交换机学习到错误的MAC地址与IP地址的映射关系
解析:解析:MAC地址攻击主要目的是攻击交换机MAC地址表,使其学习到错误的MAC地址,从而造成数据包的错误转发,或者是对其进行流量攻击,瘫痪其正常功能,进而中断网络链接。
A. 在状态检查机制打开的情况下,后续包也需要进行安全策略检查
B. 报文到达防火墙时,会查找会话表,如果没有匹配,防火墙会执行首包处理流程
C. 在状态检查机制打开的情况下,防火墙处理TCP报文时,只有SYN报文才能建立会话
D. 报文到达防火墙时,会查找会话表,如果匹配,防火墙会执行后续包处理流程
解析:解析:在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。为数据流的第一个报文建立会话,数据流内的后续报文直接根据会话进行转发,提高了转发效率。所以选项“在状态检查机制打开的情况下,后续包也需要进行安全策略检查”是错误的,其他选项正确。
A. 二层ACL编号范围:6000~6999
B. 用户自定义ACL编号范围:5000~5999
C. 用户ACL,7000~7999
D. 基本ACL编号范围:2000~2999
E. 高级ACL编号范围:3000~4999
解析:解析:基本ACL:2000~2999。高级ACL:3000~3999。二层ACL:4000~4999。用户自定义ACL:5000~5999。用户ACL:6000~6031。所以本题选择“用户自定义ACL编号范围:5000~5999”、“基本ACL编号范围:2000~2999”。
