2025年IT公司网络防火墙配置安全试题库及答案.docxVIP

2025年IT公司网络防火墙配置安全试题库及答案

一、单项选择题（每题2分，共20题）

1.某企业部署下一代防火墙（NGFW），需对HTTP/HTTPS流量进行深度内容检测，以下哪项是实现该功能的关键模块？

A.状态检测引擎

B.应用识别引擎

C.包过滤引擎

D.NAT转换引擎

答案：B

2.根据等保2.0要求，网络防火墙的审计日志至少需保存多长时间？

A.3个月

B.6个月

C.12个月

D.24个月

答案：B

3.以下哪种NAT配置方式适用于企业内网多台主机共享一个公网IP访问互联网？

A.静态NAT

B.动态NAT

C.PAT（端口地址转换）

D.双向NAT

答案：C

4.防火墙透明模式部署时，以下哪项描述正确？

A.需要修改现有网络IP地址规划

B.作为三层设备参与路由转发

C.仅通过MAC地址表转发流量

D.支持基于IP的访问控制策略

答案：C

5.某金融机构要求防火墙能够阻断已知的SQL注入攻击，应启用以下哪种功能？

A.入侵防御系统（IPS）

B.防病毒（AV）

C.流量监控（FlowMonitoring）

D.虚拟专用网（VPN）

答案：A

6.以下哪项是防火墙高可用性（HA）部署的核心目标？

A.提升单节点处理性能

B.确保故障时业务零中断

C.简化策略配置复杂度

D.降低设备采购成本

答案：B

7.云原生防火墙（CNFW）部署在公有云环境中，主要防护的流量类型是？

A.数据中心南北向流量

B.虚拟机间东西向流量

C.物理机与虚拟机间流量

D.广域网（WAN）跨境流量

答案：B

8.零信任架构下，防火墙的访问控制策略应基于以下哪项优先验证？

A.终端IP地址

B.用户身份与设备状态

C.流量源端口

D.网络拓扑位置

答案：B

9.某企业需限制内网主机仅能访问特定外部FTP服务器（端口21），正确的访问控制策略配置是？

A.允许源地址（内网）→目标地址（FTP服务器）→服务（TCP21）

B.允许源地址（FTP服务器）→目标地址（内网）→服务（TCP21）

C.允许源地址（内网）→目标地址（任意）→服务（TCP21）

D.允许源地址（任意）→目标地址（FTP服务器）→服务（TCP21）

答案：A

10.防火墙日志中出现“TCPSYNFlood攻击”记录，最可能的原因是？

A.内网主机感染勒索病毒

B.外部主机发起DDoS攻击

C.防火墙策略配置错误

D.服务器端口未关闭

答案：B

11.以下哪项是防火墙应用层过滤（ALG）的典型场景？

A.阻断ICMPping请求

B.识别并控制微信视频通话流量

C.限制内网主机访问公网IP

D.配置静态路由指向网关

答案：B

12.为防止防火墙被暴力破解管理接口，应优先配置以下哪项措施？

A.启用SSH协议替代Telnet

B.限制管理IP白名单

C.关闭不必要的管理端口（如HTTP）

D.以上都是

答案：D

13.某企业跨地域分支通过IPSecVPN互联，防火墙作为VPN网关时，需配置的关键参数不包括？

A.预共享密钥（PSK）

B.IPsecSA生命周期

C.源/目标IP地址

D.无线SSID名称

答案：D

14.以下哪种流量清洗方式属于防火墙的DDoS防护功能？

A.黑洞路由

B.流量牵引至清洗中心

C.基于速率限制（RateLimiting）

D.部署负载均衡设备

答案：C

15.防火墙策略审计的核心目的是？

A.统计流量带宽使用情况

B.发现冗余或危险策略（如全通策略）

C.测试设备转发性能

D.生成合规性报告

答案：B

16.云防火墙（CFW）支持“弹性扩展”特性，主要解决传统防火墙的哪类问题？

A.硬件性能瓶颈导致的高流量阻塞

B.策略配置复杂度过高

C.多租户隔离能力不足

D.日志存储容量有限

答案：A

17.零信任框架下，防火墙对远程办公用户的访问控制需验证的维度不包括？

A.用户账号密码

B.终端操作系统版本

C.网络接入位置（如Wi-Fi/4G）

D.设备是否安装必威体育精装版杀毒软件

答案：C

18.某企业部署防火墙双机热备（Active-Standby），主设备故