2025年信息系统安全专家SIEM与防火墙联动技术专题试卷及解析.pdfVIP

2025年信息系统安全专家SIEM与防火墙联动技术专题试卷及解析1

2025年信息系统安全专家SIEM与防火墙联动技术专题试

卷及解析

2025年信息系统安全专家SIEM与防火墙联动技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SIEM与防火墙联动架构中，SIEM系统主要承担的角色是什么？

A、直接阻断网络攻击

B、收集、分析日志并生成告警

C、替代防火墙进行流量过滤

D、管理防火墙硬件设备

【答案】B

【解析】正确答案是B。SIEM（安全信息和事件管理）系统的核心功能是集中收集

来自各种设备和系统的日志数据，进行关联分析，检测异常行为并生成告警。它本身不

直接执行阻断操作（A错误），也不替代防火墙的过滤功能（C错误），更不负责硬件管

理（D错误）。知识点：SIEM系统功能定位。易错点：容易混淆SIEM的分析功能与

防火墙的执行功能。

2、以下哪种协议常用于SIEM系统与防火墙之间的自动化联动？

A、HTTP

B、Syslog

C、API（如RESTAPI）

D、FTP

【答案】C

【解析】正确答案是C。现代SIEM与防火墙联动通常通过API（特别是RESTAPI）

实现自动化指令下发，如动态更新防火墙规则。Syslog（B）主要用于日志传输，不能执

行指令；HTTP（A）和FTP（D）不是专为安全设备联动设计的协议。知识点：安全

设备联动协议。易错点：可能误选Syslog，因为它与SIEM相关，但功能不同。

3、SIEM系统检测到某IP地址频繁尝试暴力破解登录，联动防火墙的最佳响应措

施是？

A、记录日志并忽略

B、临时封禁该IP地址

C、仅向管理员发送邮件

D、重启防火墙设备

【答案】B

【解析】正确答案是B。针对暴力破解等恶意行为，SIEM应联动防火墙动态封禁源

IP，阻止进一步攻击。仅记录（A）或发邮件（C）响应不足；重启防火墙（D）影响业

2025年信息系统安全专家SIEM与防火墙联动技术专题试卷及解析2

务且无效。知识点：SIEM联动响应策略。易错点：可能低估动态封禁的重要性，选择

被动响应。

4、在SIEM规则中，以下哪种事件最可能触发防火墙联动？

A、员工正常访问公司网站

B、单次登录失败

C、检测到端口扫描行为

D、系统定期备份日志

【答案】C

【解析】正确答案是C。端口扫描是典型的攻击前兆，SIEM检测后应联动防火墙阻

断扫描源。正常访问（A）、单次失败（B）和备份（D）属于常规行为，无需联动。知

识点：SIEM规则触发条件。易错点：可能误选B，但单次失败可能是误操作，需多次

才触发。

5、SIEM与防火墙联动的主要优势是？

A、减少防火墙日志存储量

B、提高威胁检测与响应的自动化程度

C、简化防火墙配置管理

D、降低SIEM系统硬件成本

【答案】B

【解析】正确答案是B。联动能实现自动检测与响应，显著提升效率。其他选项：A

（日志量可能增加）、C（配置可能更复杂）、D（可能需更高性能SIEM）均非主要优势。

知识点：SIEM联动价值。易错点：可能误选C，但联动通常增加配置复杂度。

6、以下哪种情况不适合SIEM与防火墙联动？

A、检测到DDoS攻击

B、发现内部员工异常数据传输

C、识别恶意软件通信

D、防火墙硬件故障

【答案】D

【解析】正确答案是D。硬件故障需人工处理，无法通过联动解决。A、B、C均适

合联动（如阻断流量、隔离主机）。知识点：联动适用场景。易错点：可能忽略硬件故

障的特殊性。

7、SIEM系统在联动防火墙时，最需要关注的风险是？

A、防火墙性能下降

B、误报导致正常业务中断

C、日志数据丢失

D、API接口过载

2025年信息系统安全专家SIEM与防火墙联动