下面哪一种功能不是防火墙的主要功能（）

A．NAT地址转换

B．物理隔离

C．抗拒绝服务

D．禁止对WWW服务的访问

网络入侵检测系统和防火墙是两种典型的信息系统安全防御技术，下面关于入侵检测系统和防火墙的说法正确的是（16）。

A．防火墙是入侵检测系统之后的又一道防线，防火墙可以及时发现入侵检测系统没有发现的入侵行为

B．入侵检测系统通常是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作

C．入侵检测系统可以允许内部的一些主要被外部访问，而防火墙没有这些功能，只是监视和分析系统的活动

D．防火墙必须和安全审计系统联合使用才能达到应用目的，而入侵检测系统是一个独立的系统，不需要依赖防火墙和安全审计系统

网络入侵检测系统和防火墙是两种典型的信息系统安全防御技术，下面关于入侵检测系统和防火墙的说法正确的是（16）。

A.防火墙是入侵检测系统之后的又一道防线，防火墙可以及时发现入侵检测系统没有发现的入侵行为

B.入侵检测系统通常是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作

C.入侵检测系统可以允许内部的一些主机被外部访问，而防火墙没有这些功能，只是监视和分析系统的活动

D.防火墙必须和安全审计系统联合使用才能达到应用目的，而入侵检测系统是一个独立的系统，不需要依赖防火墙和安全审计系统

网络入侵检测系统和防火墙是两种典型的信息系统安全防御技术，下面关于入侵检测系统和防火墙的说法正确的是__（16）__

A.防火墙是入侵检测系统之后的又一道防线，防火墙可以及时发现入侵检测系统没有发现的入侵行为

B.入侵检测系统通常是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作

C.入侵检测系统可以允许内部的一些主机被外部访问，而防火墙没有这些功能，只是监视和分析系统的活动

D.防火墙必须和安全审计系统联合使用才能达到应用目的，而入侵检测系统是一个独立的系统，不需要依赖防火墙和安全审计系统

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

防火墙是一种广泛应用的网络安全防御技术，它阻挡对网络的非法访问和不安全的数据传递，保护本地系统和网络免于受到安全威胁。

图3-1改出了一种防火墙的体系结构。

【问题1】

防火墙的体系结构主要有：

（1）双重宿主主机体系结构；

（2）（被）屏蔽主机体系结构；

（3）（被）屏蔽子网体系结构；

请简要说明这三种体系结构的特点。

【问题2】

（1）图3-1描述的是哪一种防火墙的体系结构？

（2）其中内部包过滤器和外部包过滤器的作用分别是什么？

【问题3】

设图3-1中外部包过滤器的外部IP地址为10.20.100.1，内部IP地址为10.20.100.2，内部包过滤器的外部IP地址为10.20.100.3，内部IP地址为192.168.0.1，DMZ中Web服务器IP为10.20.100.6，SMTP服务器IP为10.20.100.8.

关于包过滤器，要求实现以下功能，不允许内部网络用户访问外网和DMZ，外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2，将对应空缺表项的答案填入答题纸对应栏内。

阅读下列有关网络防火墙的说明，回答问题1至问题5，将答案填入答题纸对应的解答栏内。

【说明】

为了保障网络安全，某公司安装了一款防火墙，将内部网络、Web服务器以及外部网络进行逻辑隔离，其网络结构如图4-1所示。

【问题1】

该款防火墙的三个端口EO、El和E2命名为Trusted、Untrusted和DMZ，分别用于连接信任网络、不信任网络和非军事区，则从图4-1可以判断出：①处对应端口(1)，②处对应端口 (2)，③处对应端口 (3)。

【问题2】

表4-1是防火墙对三个端口EO、E1和E2之间包过滤规则的四种缺省设置，请指出设置最为合理的是哪种，并说明理由。

【问题3】

在防火墙缺省配置的基础上，增加下面一条规则，请问该规则的功能是什么？

【问题4】

如果要禁止内网主机192.168.1.2访问公网上202.117.112.3提供的SMTP服务，请补充完成下列配置。

【问题5】

如果内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务，请补充完成下面的配置。

下列关于防火墙的叙述中，错误的是( )。

A．防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合

B．应用级网关防火墙是在网络应用层上建立协议过滤和转发功能，也称访问控制表

C．从逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器

D．影响防火墙系统设计、安装和使用的网络策略可分为两种：高级的网络策略和低级的网络策略

A、因特网防火墙可以是一种硬件设备

B、因特网防火墙可以由软件来实现

C、因特网防火墙也可以集成在路由器中

D、WindowsXP操作系统不带有软件防火墙功能

A．能实现比包过滤更加严格的安全策略。不用依靠包过滤工具来管理进出防火墙的数据流.而是通过每一种应用服务编制专门的代理程序，实现监视和控制应用层信息流的作用。

B．基于代理的防火墙不会遇到数据包过滤防火墙的ACK攻击扫描问题。

C．可以帮助优化性能.将经常访问的信息进行缓存，再次访问时无须向服务器发出新的请求。

D．通过检查每个报文的源地址.目的地址、传输协议、端口号、ICMP的消息类型等与匹配安全策略,来决定是否允许该报文通过

A．选择转发到目标地址所用的最佳路径。

B．重新产生衰减了的信号。

C．把各组网络设备归并进行一个单独的广播域。

D．向所有网段广播信号