2025年通信工程师防火墙级联部署与策略协同专题试卷及解析.pdfVIP

2025年通信工程师防火墙级联部署与策略协同专题试卷及解析1

2025年通信工程师防火墙级联部署与策略协同专题试卷及

解析

2025年通信工程师防火墙级联部署与策略协同专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在企业网络边界采用防火墙级联部署时，通常将哪一类防火墙放置在最外层，用

于处理大量并发连接和初步过滤？

A、应用层防火墙

B、状态检测防火墙

C、Web应用防火墙（WAF）

D、下一代防火墙（NGFW）

【答案】B

【解析】正确答案是B。在防火墙级联部署的典型架构中，最外层（即网络边界）通

常会部署状态检测防火墙。这是因为状态检测防火墙工作在网络层和传输层，性能较

高，能够高效处理海量的网络连接，进行基于状态的访问控制，是第一道防线的理想选

择。A选项应用层防火墙和C选项Web应用防火墙（WAF）专注于应用层深度检测，

性能相对较低，通常部署在内层以保护特定应用。D选项下一代防火墙（NGFW）功能

强大，集成了应用识别等多种功能，但将其置于最外层可能因处理复杂应用而成为性能

瓶颈，且成本较高，一般作为第二道防线或核心区域防护。知识点：防火墙级联部署的

层次化架构与选型原则。易错点：容易误选NGFW，认为功能越强越应该放在最前面，

而忽略了性能和成本因素。

2、在防火墙级联环境中，为了确保内网用户访问外网的流量在返回时能被正确处

理，必须重点配置以下哪项策略？

A、源NAT（SNAT）

B、目的NAT（DNAT）

C、端口映射

D、静态路由

【答案】A

【解析】正确答案是A。当内网用户（私有IP地址）访问外网（公有IP地址）时，

数据包经过防火墙时，防火墙需要将其源IP地址转换为公网IP地址，这个过程称为

源NAT（SNAT）。这样，外网服务器的响应包才能被正确地路由回防火墙，再由防火

墙根据之前的会话记录转发给对应的内网用户。如果没有配置SNAT，外网服务器将无

法找到内网用户的私有地址，导致通信失败。B选项目的NAT（DNAT）主要用于将外

网对特定公网IP和端口的访问转发到内网服务器，常用于发布内网服务。C选项端口

映射是DNAT的一种具体实现。D选项静态路由用于指导数据包的转发路径，但不解

2025年通信工程师防火墙级联部署与策略协同专题试卷及解析2

决地址转换问题。知识点：网络地址转换（NAT）在防火墙级联部署中的应用。易错点：

混淆SNAT和DNAT的应用场景，SNAT是“出去改源”，DNAT是“进来改目的”。

3、两台防火墙级联部署时，若前端防火墙配置了非常宽松的“允许所有”出站策略，

后端防火墙应如何配置才能实现有效的安全防护？

A、同样配置“允许所有”策略，避免阻断业务

B、配置严格的默认拒绝策略，仅允许必要的业务流量通过

C、仅配置入站策略，忽略出站流量

D、完全依赖前端防火墙，后端防火墙关闭所有策略

【答案】B

【解析】正确答案是B。在深度防御（DefenseinDepth）的安全模型中，每一层安

全设备都应提供独立的防护。即使前端防火墙策略宽松，后端防火墙也必须配置严格的

“默认拒绝”策略，并基于最小权限原则，精确开放业务所必需的端口和协议。这样即使

前端被绕过或配置失误，后端仍能提供坚实保障。A选项会使后端防火墙形同虚设，违

背了级联部署的初衷。C选项忽略了出站流量的安全风险，如数据泄露、恶意软件外联

等。D选项完全放弃了后端防火墙的防护能力，是极其危险的做法。知识点：深度防御

策略与最小权限原则。易错点：认为前端已经做了防护，后端可以放松警惕，这是对安

全架构的误解。

4、在防火墙策略协同中，当需要根据用户身份而非仅IP地址来控制访问权限时，

最应该采用以下哪种技术？

A、ACL（访问控制列表）

B、NAT（网络地址转换）

C、用户身份识别与集成

D、VPN（虚拟专用网络）

【答案】C

【解析】正确答案是C。传统的防火墙策略基于I