06-防火墙安全配置规范试题.docVIP

防火墙安全配置规范试题 总分：分 时间：分钟姓名：：判断题（每题2分，共20分） 工程师开局需要使用推荐版本和补丁。（对 ） 防火墙Console口缺省没有密码，任何人都可以使用Console口登录设备。（错 ） 一般情况下把防火墙连接的不安全网络加入低优先级域，安全网络加入高优先级域（ 对） 防火墙缺省包过滤默认是打开的。（错 ） 防火墙local域和其它域inbound方向可以不做安全策略控制。（ 错） 防火墙双机热备场景下，HRP心跳线可以只用一条物理链路。（ 错） 原则上SNMP需要采用安全的版本，不得采用默认的community，禁用SNMP写功能，配置SNMP访问列表限制访问。（对 ） 防火墙可以一直开启ftp server功能。（错） 远程登录防火墙建议使用SSH方式。（对 ） 正确设置设备的系统时间，确保时间的正确性。（ 对） 单选题（每题分，共 安全区域 接口检测 虚拟通道 认证与授权 防火墙默认有4 个安全区域，安全域优先级从高到低的排序是（C） Trust、Untrust 、DMZ、Local Local、DMZ 、Trust 、Untrust Local、Trust、DMZ 、Untrust Trust 、Local、DMZ 、Untrust 针对防火墙安全功能描述错误的是（D） 防火墙可以划分为不同级别的安全区域，优先级从1-100 一般将内网放入Trust 域，服务器放入 DMZ 域，外网属于Untrust 域 要求在域间配置严格的包过滤策略 防火墙默认域间缺省包过滤是permit 的 防火墙Console口缺省用户名和密码是（ D） huawei；huawei huawei；huawei@123 root；huawei admin；dmin@123 防火墙登录密码必须使用强密码，什么是强密码？（D ） 长度大于8，同时包含数字、字母 包含数字，字母、特殊字符 包含数字，字母 长度大于8，同时包含数字、字母、特殊字符 对于防火墙域间安全策略，下面描述正确的是（ ） 防火墙域间可以配置缺省包过滤，即允许所有的流量通过 域间inbound方向安全策略可以全部放开 域间outbound方向安全策略可以全部放开 禁止使用缺省包过滤，域间要配置严格的包过滤策略；若要使用缺省包过滤，需得到客户书面授权。 若防火墙连接internet的接口在untrust区域，内网服务器在DMZ区域，防火墙做了服务器公网地址到私网地址的映射（nat server）。请问untrust和DMZ域间安全策略如何做？（） 使用域间缺省包过滤 在inbound方向配置源地址为any，目的地址为私网地址的acl 在inbound方向配置源地址为any，目的为服务器私网地址+目的端口的acl 在inbound方向配置源地址为any，目的为服务器公网地址+目的端口的acl 某工程师现网进行IPSEC测试时，为了调测方便在连接internet接口的untrust域和local域inbound方向包过滤acl中配置了rule permit ip。测试完成后该工程师没有删除该配置，请问这样做是否有风险，风险是什么？（ ） 没有风险 有风险，防火墙可能会遭受到来自internet的攻击 没有风险，但是按照配置规范还是要把acl中permit ip去掉 有风险，ipsec隧道会一直建立 某局点untrust和trust域间inbound配置了严格包过滤，但acl的最后一个rule没有配置deny ip，同时域间缺省包过滤配置为permit。请问此时从untrust域访问trust域的报文如何处理（） 由于先匹配域间acl，若没有命中rule报文直接被丢弃 先匹配域间acl，如果没有匹配到相应的rule，但是由于域间缺省包过滤是permit，所以报文仍然转发 由于先匹配了域间缺省包过滤，所以报文仍然可以转发 以上都不对 某局点部署了两台防火墙A/B，但是由于工程师的疏忽没有部署双机热备。但现网中存在流量来回路径不一致情况（即从A墙出去的流量会从B墙回来），在这种场景下TCP业务就会中断。请问此时为了紧急恢复业务，需要怎么做？假设域间包过滤配置没有问题（ ） 两台防火墙配置hrp enable 两台防火墙上行接口配置hrp track 没有办法解决，只能部署双机热备 两台防火墙配置undo firewall session link-state check 关于双机热备配置，以下说明不正确的是 （ ） 配置VRRP的接口的类型、编号要一致 对应插槽上的接口/子接口配置的VRRP要一致 对应插槽上的接口/子接口必须加入到相同的安全区域 主备防火墙的HRP备份通道配