第47卷 防火墙技术《计算机网络技术与应用》内蒙古计算机类 考纲百套卷

编写说明：内蒙古自治区对口招生《计算机类考纲百套卷》，依据《2019年内蒙古自治区高等职业院校对口招收中等职业学校毕业生计算机类专业课综合考试指导纲要》编写。本专辑涵盖四门课程，且每门课程均采用三阶递进式训练体系：基础层（具象化支架）拆解考点为微目标，紧扣考纲“掌握”“理解”要求编写考点训练卷；巩固层（关联性支架）强化知识交叉与场景关联，按考纲专题编专题训练卷；应用层（引导性支架）聚焦真题突破，结合知识模块与教材编写课程综合卷。 本试卷是第47卷，为考点训练卷，按《计算机网络技术与应用》范围和要求编写。具体内容为：防火墙技术。 内蒙古对口招生《计算机类考纲百套卷》 第47卷 《计算机网络技术与应用》 防火墙技术 考点训练卷 考试时间60分钟 满分100分 班级 姓名 学号 成绩 一、单项选择题（本大题共25小题，每题2分，共50分） 1. 防火墙的核心设计思想是（ ）。 A. 所有数据包均可通过，可疑的进行拦截 B. 未经明确同意的访问一律禁止，只有同意才能放行 C. 仅监控不拦截，由管理员事后处置 D. 只控制出站流量，入站流量全部放行 2. 从概念上讲，防火墙是一种在内网和外网之间建立安全屏障的（ ）。 A. 加密传输技术 B. 入侵检测技术 C. 隔离控制技术 D. 身份认证技术 3. 以下不属于防火墙基本功能的是（ ）。 A. 自动修补操作系统漏洞 B. 过滤不安全服务，关闭危险端口 C. 集中和简化网络安全管理 D. 对网络访问进行日志记录和统计 4. 防火墙通过阻止内部网络某些区段的信息被外部获取，体现的是（ ）。 A. 过滤不安全服务的功能 B. 控制对内部系统访问的功能 C. 增强网络保密性的功能 D. 集中和简化安全管理的功能 5. 当防火墙检测到可疑的网络活动时发出警报，这属于其 功能。（ ） A. 过滤不安全服务 B. 监控网络安全性 C. 日志记录和统计 D. 强化网络安全策略 6. 以下关于软件防火墙的描述，正确的是（ ）。 A. 硬件集成度高，转发速度最快 B. 仅用于保护大型企业网络 C. 防火墙功能固化在专用芯片中 D. 安装在通用操作系统上，配置灵活 7. 硬件防火墙通常采用 作为底层操作系统。（ ） A. Windows Server B. macOS C. Linux D. Android 8. 将防火墙功能固化在专用集成电路中，速度最快、性能最强但价格最高的防火墙类型是（ ）。 A. 软件防火墙 B. 硬件防火墙 C. 个人防火墙 D. 芯片级防火墙 9. 包过滤防火墙主要工作在OSI参考模型的（ ）。 A. 应用层 B. 表示层 C. 会话层 D. 网络层和传输层 10. 包过滤防火墙进行访问控制决策时，不检查以下哪项信息？（ ） A. 源IP地址 B. 目的端口号 C. 应用层数据内容 D. 传输层协议类型 11. 包过滤防火墙最主要的优点是（ ）。 A. 能够进行用户身份认证 B. 能够深度检测应用层数据 C. 实现简单、处理速度快、对用户透明 D. 具有内容缓存功能 12. 包过滤防火墙最突出的局限性是（ ）。 A. 部署成本过高 B. 无法检查应用层内容，安全性有限 C. 只能运行在专用硬件上 D. 不支持日志记录功能 13. 代理防火墙工作在OSI参考模型的（ ）。 A. 网络层 B. 传输层 C. 应用层 D. 数据链路层 14. 以下属于代理防火墙特有功能的是（ ）。 A. 基于IP地址的包过滤 B. 用户认证和内容过滤 C. 动态维护连接状态表 D. 基于ASIC芯片的高速转发 15. 以下关于代理防火墙安全性的说法，正确的是（ ）。 A. 安全性低于包过滤防火墙 B. 在三类防火墙中安全性最高 C. 和状态检测防火墙安全性相同 D. 安全性取决于硬件配置 16. 代理防火墙的主要缺点是（ ）。 A. 无法进行日志记录 B. 不支持用户认证 C. 处理延迟较大、通信效率低 D. 只能过滤IP地址和端口 17. 状态检测防火墙的核心技术是（ ）。 A. 基于静态规则的包过滤 B. 应用层代理转发 C. 动态维护网络连接状态表 D. 基于ASIC芯片硬件过滤 18. 关于状态检测防火墙，以下描述正确的是（ ）。 A. 只能工作在应用层 B. 综合了包过滤和代理防火墙的优点 C. 完全取代了代理防火墙的用户认证功能 D. 处理速度比包过滤防火墙慢很多 19. 当前在实际网络部署中，最主流的防火墙技术是（ ）。 A. 纯包过滤防火墙 B. 纯代理防火墙 C. 状态检测防火墙 D. 仅基于ACL的路由器 20. 防火墙最适合部署在（ ）。 A. 内部网络与外部网络的接口处 B. 内部网络的任意位置 C. 网络中的每台主机上 D. 仅安装在核心交换机上 21. DMZ在防火墙部署中的主要作用是（ ）。 A. 存放内部机密数据库 B. 放置对外提供服务的服务器，与内外网均做隔离 C. 作为所有内部用户的工作区域 D. 替代防火墙的核心过滤功能 22. 据统计，约50%以上的网络安全威胁来自内部，这说明防火墙的局限在于（ ）。 A. 不能防止绕过防火墙的攻击 B. 不能防范内部攻击 C. 自身可能存在安全漏洞 D. 限制了某些Internet应用 23. 用户通过拨号、PPP或SLIP等方式绕过防火墙直接连接外部网络，这反映了防火墙的哪项局限？（ ） A. 不能防止内部攻击 B. 限制Internet应用的使用 C. 不能防范绕过防火墙的攻击 D. 自身可能存在安全漏洞 24. 防火墙选型时，首先应考虑的因素是（ ）。 A. 价格是否最低 B. 外形是否美观 C. 自身的安全性 D. 是否支持最多的网络协议 25. 在防火墙选型的效率原则中，一般要求启用防火墙后网络带宽下降应（ ）。 A. 不超过30% B. 不超过20% C. 不超过10% D. 不超过5% 二、填空题（本大题共10小题，每题2分，共20分） 26. 包过滤防火墙依据数据包的源/目的IP地址、端口号和__________来进行过滤决策。 27. __________防火墙通过完全隔离内外网的直接连接，对应用层数据进行代理转发，安全性在三类防火墙中最高。 28. __________防火墙通过动态维护连接状态表，综合了包过滤和代理技术的优点，是当前最主流的防火墙技术。 29. 代理防火墙也被称为__________，它工作在应用层，为内外通信提供代理服务。 30. 在防火墙部署中，介于外部网络和内部网络之间的缓冲区被称为__________，用于放置对外提供服务的服务器。 31. __________防火墙采用专用硬件平台，运行经过安全优化的操作系统（如Linux或Unix），稳定性高、安全性好。 32. __________防火墙将防火墙功能固化在专用集成电路中，处理速度最快、性能最强。 33. 防火墙的核心任务是实施__________策略，决定哪些数据包可以穿过防火墙进入内部网络。 34. 防火墙可以对网络访问事件进行__________记录和统计分析，为事后审计和安全评估提供依据。 35. 防火墙通过强制执行统一的__________，使网络安全管理从分散的各个主机集中到防火墙这一单一关口上。 三、简答题（本大题共3小题，每题10分，共30分） 36. 简述三种按工作方式分类的防火墙及其特点对比。 37. 列出防火墙的基本功能。 38. 简述防火墙在网络安全防护中的主要局限性。 原创精品资源学科网独家享有版权，侵权必究！ 学科网（北京）股份有限公司 学科网（北京）股份有限公司 $ 编写说明：内蒙古自治区对口招生《计算机类考纲百套卷》，依据《2019年内蒙古自治区高等职业院校对口招收中等职业学校毕业生计算机类专业课综合考试指导纲要》编写。本专辑涵盖四门课程，且每门课程均采用三阶递进式训练体系：基础层（具象化支架）拆解考点为微目标，紧扣考纲“掌握”“理解”要求编写考点训练卷；巩固层（关联性支架）强化知识交叉与场景关联，按考纲专题编专题训练卷；应用层（引导性支架）聚焦真题突破，结合知识模块与教材编写课程综合卷。 本试卷是第47卷，为考点训练卷，按《计算机网络技术与应用》范围和要求编写。具体内容为：防火墙技术。 内蒙古对口招生《计算机类考纲百套卷》 第47卷 《计算机网络技术与应用》 防火墙技术 考点训练卷 考试时间60分钟 满分100分 班级 姓名 学号 成绩 一、单项选择题（本大题共25小题，每题2分，共50分） 1. 防火墙的核心设计思想是（ ）。 A. 所有数据包均可通过，可疑的进行拦截 B. 未经明确同意的访问一律禁止，只有同意才能放行 C. 仅监控不拦截，由管理员事后处置 D. 只控制出站流量，入站流量全部放行 【答案】B 【解析】防火墙的核心思想是：一切未被“同意”的访问都应被禁止，只有明确允许的通信才能通过，体现默认禁止的安全策略。 2. 从概念上讲，防火墙是一种在内网和外网之间建立安全屏障的（ ）。 A. 加密传输技术 B. 入侵检测技术 C. 隔离控制技术 D. 身份认证技术 【答案】C 【解析】防火墙定义：在内部网络与外部网络之间建立安全屏障的隔离控制技术和系统，用于实施访问控制策略。 3. 以下不属于防火墙基本功能的是（ ）。 A. 自动修补操作系统漏洞 B. 过滤不安全服务，关闭危险端口 C. 集中和简化网络安全管理 D. 对网络访问进行日志记录和统计 【答案】A 【解析】防火墙不具备自动修补操作系统漏洞的功能，这是漏洞扫描或补丁管理系统的职责。防火墙的基本功能包括过滤不安全服务、集中安全管理、监控告警、日志记录等。 4. 防火墙通过阻止内部网络某些区段的信息被外部获取，体现的是（ ）。 A. 过滤不安全服务的功能 B. 控制对内部系统访问的功能 C. 增强网络保密性的功能 D. 集中和简化安全管理的功能 【答案】C 【解析】防火墙可以隐藏内部网络拓扑和地址信息（如通过NAT），防止外部窥探，从而增强网络的保密性。 5. 当防火墙检测到可疑的网络活动时发出警报，这属于其 功能。（ ） A. 过滤不安全服务 B. 监控网络安全性 C. 日志记录和统计 D. 强化网络安全策略 【答案】B 【解析】监控网络安全性功能使防火墙能够实时检测异常活动并产生告警，便于管理员及时响应安全事件。 6. 以下关于软件防火墙的描述，正确的是（ ）。 A. 硬件集成度高，转发速度最快 B. 仅用于保护大型企业网络 C. 防火墙功能固化在专用芯片中 D. 安装在通用操作系统上，配置灵活 【答案】D 【解析】软件防火墙安装在通用操作系统上，优点是配置灵活、成本较低，但性能受限于宿主系统。个人防火墙只保护单台主机。 7. 硬件防火墙通常采用 作为底层操作系统。（ ） A. Windows Server B. macOS C. Linux D. Android 【答案】C 【解析】硬件防火墙采用专用硬件平台，运行经过安全裁剪和优化的Linux或Unix操作系统，稳定性高、安全性强。 8. 将防火墙功能固化在专用集成电路中，速度最快、性能最强但价格最高的防火墙类型是（ ）。 A. 软件防火墙 B. 硬件防火墙 C. 个人防火墙 D. 芯片级防火墙 【答案】D 【解析】芯片级防火墙（ASIC防火墙）将防火墙功能直接固化在硬件芯片中，处理速度最快、性能最强，但研发成本高、价格昂贵。 9. 包过滤防火墙主要工作在OSI参考模型的（ ）。 A. 应用层 B. 表示层 C. 会话层 D. 网络层和传输层 【答案】D 【解析】包过滤防火墙工作在网络层和传输层，依据IP分组头部信息（源/目的IP地址、端口号、协议类型）进行过滤决策。 10. 包过滤防火墙进行访问控制决策时，不检查以下哪项信息？（ ） A. 源IP地址 B. 目的端口号 C. 应用层数据内容 D. 传输层协议类型 【答案】C 【解析】包过滤防火墙只检查网络层和传输层的头部信息（IP地址、端口、协议），无法检查数据包中的应用层内容（如HTTP正文、邮件内容等）。 11. 包过滤防火墙最主要的优点是（ ）。 A. 能够进行用户身份认证 B. 能够深度检测应用层数据 C. 实现简单、处理速度快、对用户透明 D. 具有内容缓存功能 【答案】C 【解析】包过滤防火墙基于简单的规则匹配，处理效率高，不需对数据包做深度解析，因此速度快、实现简单且对用户透明。 12. 包过滤防火墙最突出的局限性是（ ）。 A. 部署成本过高 B. 无法检查应用层内容，安全性有限 C. 只能运行在专用硬件上 D. 不支持日志记录功能 【答案】B 【解析】包过滤防火墙不能检查应用层数据，无法识别隐藏在合法端口中的应用层攻击（如HTTP隧道），安全性相对有限。 13. 代理防火墙工作在OSI参考模型的（ ）。 A. 网络层 B. 传输层 C. 应用层 D. 数据链路层 【答案】C 【解析】代理防火墙工作在应用层，它作为内网和外网之间通信的中间代理，完全隔离内外网络的直接连接。 14. 以下属于代理防火墙特有功能的是（ ）。 A. 基于IP地址的包过滤 B. 用户认证和内容过滤 C. 动态维护连接状态表 D. 基于ASIC芯片的高速转发 【答案】B 【解析】代理防火墙工作在应用层，能够实现用户身份认证、应用层内容过滤、访问日志记录、数据缓存等高级功能，这是包过滤防火墙无法做到的。 15. 以下关于代理防火墙安全性的说法，正确的是（ ）。 A. 安全性低于包过滤防火墙 B. 在三类防火墙中安全性最高 C. 和状态检测防火墙安全性相同 D. 安全性取决于硬件配置 【答案】B 【解析】代理防火墙完全隔离内外网的直接连接，对应用层协议进行深度检查和代理，在三类工作方式中安全性最高。 16. 代理防火墙的主要缺点是（ ）。 A. 无法进行日志记录 B. 不支持用户认证 C. 处理延迟较大、通信效率低 D. 只能过滤IP地址和端口 【答案】C 【解析】代理防火墙因需对应用层数据进行完整解析和代理转发，处理延迟大、效率低，尤其在高带宽环境下性能瓶颈明显。 17. 状态检测防火墙的核心技术是（ ）。 A. 基于静态规则的包过滤 B. 应用层代理转发 C. 动态维护网络连接状态表 D. 基于ASIC芯片硬件过滤 【答案】C 【解析】状态检测防火墙在包过滤基础上增加了状态检测机制，动态建立和维护连接状态表，根据会话上下文判断数据包是否合法。 18. 关于状态检测防火墙，以下描述正确的是（ ）。 A. 只能工作在应用层 B. 综合了包过滤和代理防火墙的优点 C. 完全取代了代理防火墙的用户认证功能 D. 处理速度比包过滤防火墙慢很多 【答案】B 【解析】状态检测防火墙综合了包过滤的高效性和代理防火墙的安全性优点，既保持了较高的处理速度，又能基于连接状态进行智能过滤。 19. 当前在实际网络部署中，最主流的防火墙技术是（ ）。 A. 纯包过滤防火墙 B. 纯代理防火墙 C. 状态检测防火墙 D. 仅基于ACL的路由器 【答案】C 【解析】状态检测防火墙综合了包过滤和代理技术的优点，速度快且安全性好，是当前网络安全部署中的主流防火墙技术。 20. 防火墙最适合部署在（ ）。 A. 内部网络与外部网络的接口处 B. 内部网络的任意位置 C. 网络中的每台主机上 D. 仅安装在核心交换机上 【答案】A 【解析】防火墙应部署在内网和外网的接口处，形成内外网络之间的安全屏障；也可部署在VLAN之间或分支网络之间进行隔离。 21. DMZ在防火墙部署中的主要作用是（ ）。 A. 存放内部机密数据库 B. 放置对外提供服务的服务器，与内外网均做隔离 C. 作为所有内部用户的工作区域 D. 替代防火墙的核心过滤功能 【答案】B 【解析】DMZ是介于外网和内网之间的一个缓冲区域，用于放置Web服务器、邮件服务器等对外提供服务的设备，即使DMZ被攻破也不会直接威胁内网安全。 22. 据统计，约50%以上的网络安全威胁来自内部，这说明防火墙的局限在于（ ）。 A. 不能防止绕过防火墙的攻击 B. 不能防范内部攻击 C. 自身可能存在安全漏洞 D. 限制了某些Internet应用 【答案】B 【解析】防火墙部署在内网和外网边界，主要用于防范外部威胁，对来自内部的攻击（如内部人员恶意操作）无法有效防范。 23. 用户通过拨号、PPP或SLIP等方式绕过防火墙直接连接外部网络，这反映了防火墙的哪项局限？（ ） A. 不能防止内部攻击 B. 限制Internet应用的使用 C. 不能防范绕过防火墙的攻击 D. 自身可能存在安全漏洞 【答案】C 【解析】防火墙无法控制非经其转发的流量，如果用户通过拨号、PPP、SLIP等方式绕过防火墙直接上网，防火墙的保护形同虚设。 24. 防火墙选型时，首先应考虑的因素是（ ）。 A. 价格是否最低 B. 外形是否美观 C. 自身的安全性 D. 是否支持最多的网络协议 【答案】C 【解析】防火墙自身的安全性是选型的首要原则，应采用专用且安全的操作系统并配合专用硬件平台，避免因自身漏洞导致安全失效。 25. 在防火墙选型的效率原则中，一般要求启用防火墙后网络带宽下降应（ ）。 A. 不超过30% B. 不超过20% C. 不超过10% D. 不超过5% 【答案】D 【解析】防火墙选型的效率原则要求设备对网络性能影响尽可能小，一般认为引入防火墙后带宽下降应控制在5%以内。 二、填空题（本大题共10小题，每题2分，共20分） 26. 包过滤防火墙依据数据包的源/目的IP地址、端口号和__________来进行过滤决策。 【答案】协议类型 【解析】包过滤防火墙检查网络层和传输层头部信息，主要依据源IP地址、目的IP地址、源端口号、目的端口号和协议类型（如TCP、UDP）进行规则匹配。 27. __________防火墙通过完全隔离内外网的直接连接，对应用层数据进行代理转发，安全性在三类防火墙中最高。 【答案】代理 【解析】代理防火墙（应用网关）工作在应用层，作为内外网通信的中间人，完全隔离直接连接，能进行深度内容检查，安全性最高。 28. __________防火墙通过动态维护连接状态表，综合了包过滤和代理技术的优点，是当前最主流的防火墙技术。 【答案】状态检测 【解析】状态检测防火墙在包过滤基础上增加了状态检测机制，动态维护每个连接的会话状态，兼具高效性和安全性。 29. 代理防火墙也被称为__________，它工作在应用层，为内外通信提供代理服务。 【答案】应用网关 【解析】代理防火墙（Proxy Firewall）又称应用网关（Application Gateway），在应用层对每种应用协议提供专门的代理服务。 30. 在防火墙部署中，介于外部网络和内部网络之间的缓冲区被称为__________，用于放置对外提供服务的服务器。 【答案】DMZ 【解析】DMZ（Demilitarized Zone，非军事区）是防火墙部署中的重要安全区域，用于隔离对外服务器，保护内网不受直接攻击。 31. __________防火墙采用专用硬件平台，运行经过安全优化的操作系统（如Linux或Unix），稳定性高、安全性好。 【答案】硬件 【解析】硬件防火墙使用专用硬件和经安全精简的操作系统，相比软件防火墙具有更高的稳定性和安全性。 32. __________防火墙将防火墙功能固化在专用集成电路中，处理速度最快、性能最强。 【答案】芯片级 【解析】芯片级防火墙（ASIC防火墙）将安全策略直接硬件化，处理延迟极低、吞吐量极高，但研发成本也最高。 33. 防火墙的核心任务是实施__________策略，决定哪些数据包可以穿过防火墙进入内部网络。 【答案】访问控制 【解析】防火墙本质上是实现网络访问控制策略的设备，通过规则集决定允许或拒绝哪些网络流量通过。 34. 防火墙可以对网络访问事件进行__________记录和统计分析，为事后审计和安全评估提供依据。 【答案】日志 【解析】日志记录和统计是防火墙的基本功能之一，记录了所有经过防火墙的网络活动，便于后续审计分析和安全事件追溯。 35. 防火墙通过强制执行统一的__________，使网络安全管理从分散的各个主机集中到防火墙这一单一关口上。 【答案】安全策略 【解析】防火墙强化网络安全策略的功能体现在：通过集中部署安全策略，避免每台主机各自为政，实现全网统一的安全管控。 三、简答题（本大题共3小题，每题10分，共30分） 36. 简述三种按工作方式分类的防火墙及其特点对比。 【答案】（1）包过滤防火墙：工作在网络层和传输层，基于源/目的IP地址、端口号、协议类型过滤；优点是简单高效、速度快，缺点是无法检查应用层内容，安全性有限。（2）代理防火墙（应用网关）：工作在应用层，代理内外通信，断开直接连接；优点是安全性最高，支持用户认证、内容过滤、日志缓存，缺点是延迟大、效率低。（3）状态检测防火墙：综合前两种优点，动态维护连接状态表，根据会话上下文决策；优点是速度快且安全性好，是当前主流防火墙技术。 37. 列出防火墙的基本功能。 【答案】（1）过滤不安全服务，关闭危险端口；（2）控制对内部系统的访问；（3）集中和简化安全管理；（4）监控网络安全性，产生告警；（5）增强网络保密性，隐藏内网信息；（6）对网络访问进行日志记录和统计；（7）强化网络安全策略，实现统一管控。 38. 简述防火墙在网络安全防护中的主要局限性。 【答案】（1）不能防范内部攻击：据统计约50%以上安全威胁来自内部，防火墙对外不对内。（2）限制某些Internet应用的使用：严格的安全规则可能影响部分正常应用。（3）不能防范绕过防火墙的攻击：如拨号、PPP、SLIP等绕过防火墙的连接，防火墙无法控制。（4）防火墙自身可能存在安全漏洞：防火墙作为软件/硬件系统，同样可能存在可利用的漏洞。 原创精品资源学科网独家享有版权，侵权必究！ 学科网（北京）股份有限公司 学科网（北京）股份有限公司 $