【中级软件设计师】防火墙（附软考真题）

原创已于 2025-06-03 13:43:57 修改

· 806 阅读

17 ·

版权

文章标签：

#软考真题 #中级软件设计师 #防火墙 #包过滤防火墙 #应用代理网关防火墙 #内网、DMZ、外网

于 2024-04-09 07:00:45 首次发布

中级软件设计师专栏收录该内容

26 篇文章

订阅专栏

【中级软件设计师】防火墙（附软考真题）

一、历年真题

1、包过滤防火墙对数据包的过滤依据不包括（）。（2009年下半年）
A. 源IP地址
B. 源端口号
C. MAC地址
D. 目的IP地址

2、防火墙通常分为内网、外网和DMZ三个区域，按照受保护程序，从高到低正确的排列次序为（）。（2013年上半年）
A. 内网、外网和DMZ
B. 外网、内网和DMZ
C. DMZ、内网和外网
D. 内网、DMZ和外网

3、防火墙的工作层次是决定防火墙效率及安全的主要因素，以下叙述中，正确的是（）。（2014年上半年）
A. 防火墙工作层次越低，工作效率越高，安全性越高
B. 防火墙工作层次越低，工作效率越低，安全性越低
C. 防火墙工作层次越高，工作效率越高，安全性越低
D. 防火墙工作层次越高，工作效率越低，安全性越高

4、以下关于包过滤防火墙和代理服务防火墙的叙述中，正确的是（）。（2014年上半年）
A. 包过滤成本技术实现成本较高，所以安全性能高
B. 包过滤技术对应用和用户是透明的
C. 代理服务技术安全性较高，可以提高网络整体性能
D. 代理服务技术只能配置成用户认证后才建立连接

5、网络系统中，通常把（）置于DMZ区。（2014年下半年）
A. 网络管理服务器
B. Web服务器
C. 入侵检测服务器
D. 财务管理服务器

6、防火墙不具备（）动能。（2015年下半年）
A. 记录访问过程
B. 查毒
C. 包过滤
D. 代理

7、以下关于防火墙功能特性的叙述中，不正确的是（）。（2017年下半年）
A. 控制进出网络的数据包和数据流向
B. 提供流量信息的日志和审计
C. 隐藏内部IP以及网络结构细节
D. 提供漏洞扫描功能

8、（）防火墙是内部网和外部网的隔离点，它可对应用层的通信数据流进行监控和过滤。（2019年上半年）
A. 包过滤
B. 应用级网关
C. 数据库
D. WEB

9、包过滤防火墙对（）的数据报文进行检查。（2021年下半年）
A. 应用层
B. 物理层
C. 网络层
D. 链路层

10、防火墙通常分为内网、外网和DMZ三个区域，按照受保护程度，从低到高正确的排列次序为（）。（2021年下半年）
A. 内网、外网和DMZ
B. 外网、DMZ和内网
C. DMZ、内网和外网
D. 内网、DMZ和外网

11、web应用防火墙无法有效防护（）。（2023年上半年）
A. 登录口令暴力破解
B. 恶意注册
C. 抢票机器人
D. 流氓软件

12、在信息安全中，防火墙的主要作用是（）。（2025年上半年）
A. 防止病毒感染
B. 防止网络攻击
C. 加密数据
D. 提高网络速度

二、考点：防火墙

1、防火墙

1.1、作用
① 控制进出网络的数据包和数据流向；提供流量信息的日志和审计；隐藏内部IP以及网络结构细节。
② 防火墙不具备查毒功能。
③ 防火墙是被动防御，无法提供系统漏洞扫描。

1.2、发展阶段
防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段。

2、包过滤防火墙

2.1、包过滤防火墙对数据包的过滤依据包括 源IP地址、源端口号、目标IP地址 和 目标端口号。
2.2、包过滤技术对应用和用户是透明的。
2.3、过滤型的防火墙通常直接转发报文（网络层），它对用户完全透明，速度较快。其优点是防火墙对每条传入和传出网络的包实行低水平控制；每个IP包的字段都被检查；缺点是不能防范黑客攻击，不支持应用层协议。

3、应用代理网关防火墙

应用代理网关防火墙彻底隔断内网和外网的直接通信（是内部网和外部网的隔离点），内网用户对外网的访问变成防火墙对外网的访问，然后由防火墙转发给内网用户。所有通信都必须应用代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接。
优点：可检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。

4、内网、DMZ、外网

4.1、防火墙通常分为内网、外网和DMZ三个区域，🔺 按照受保护程序，从高到低为内网、DMZ、外网。

DMZ: 隔离区、非军事化区(周边网络)，一般放置提供公共网络服务的设备，如Web服务器。

① 内网可访问外网。内网的用户需要自由地访问外网。在这一策略中，防火墙需要执行NAT。
② 内网可访问DMZ。此策略使内网用户可使用或者管理DMZ中的服务器。
③ 外网不可访问内网。这是防火墙的基本策略，内网中存放的是公司内部数据，显然这些数据是不允许外网的用户进行访问的。若要访问，就要通过VPN方式来进行。
④ 外网可以访问DMZ。DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
⑤ DMZ不可访问内网。如不执行此策略，则当入侵者攻陷DMZ时，内部网络将不会受保护。
⑥ DMZ不可访问外网。此条策略也有例外，可以根据需要设定某个特定的服务器可以访问外网，以保证该服务器可以正常工作。
综上所述，内网可访问外网、DMZ；DMZ不能访问内网、外网；外网不可访问内网，外网可访问DMZ。

5、防火墙的性能及特点

防火墙的工作层次是决定防火墙效率及安全的主要因素。🔺 防火墙工作层次越高，工作效率越低，安全性越高。

三、真题的答案与解析

答案

1、C
2、D
3、D
4、B
5、B
6、B
7、D
8、B
9、C
10、B
11、D
12、B

解析

第1题：包过滤防火墙对数据包的过滤依据包括源IP地址、源端口号、目标IP地址和目标端口号，故选C。

第2、10题：通过防火墙可将网络划分为三个区域：安全级别最高的LAN Area (内网）、安全级别中等的DMZ区域和安全级别最低的Internet区域（外网）。三个区域因担负不同的任务而拥有不同的访问策略。规则如下：
① 内网可访问外网。内网的用户需要自由地访问外网。在这一策略中，防火墙需要执行NAT。
② 内网可访问DMZ。此策略使内网用户可使用或者管理DMZ中的服务器。
③ 外网不能访问内网。这是防火墙的基本策略，内网中存放的是公司内部数据，显然这些数据是不允许外网的用户进行访问的。若要访问，就要通过VPN方式来进行。
④ 外网可以访问DMZ。DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
⑤ DMZ不能访问内网。如不执行此策略，则当入侵者攻陷DMZ时，内部网络将不会受保护。
⑥ DMZ不能访问外网。此条策略也有例外，可以根据需要设定某个特定的服务器可以访问外网，以保证该服务器可以正常工作。
综上所述，防火墙区域按照受保护程度从高到低正确的排列次序应为内网、DMZ和外网，故选D。

第3题：防火墙的性能及特点主要由以下两方面所决定：
① 工作层次。这是决定防火墙效率及安全的主要因素。一般来说，工作层次越低，则工作效率越高，但安全性就低了；反之，工作层次越高，工作效率越低，则安全性越高。
② 防火墙采用的机制。如果采用代理机制，则防火墙具有内部信息隐藏的特点，相对而言，安全性高，效率低；如果采用过滤机制，则效率高，安全性却降低了。

第4题：包过滤防火墙采用包过滤技术对应用和用户是透明的。

第5题：DMZ是指非军事化区，也称周边网络，可位于防火墙之外也可位于防火墙之内。非军事化区一般用来放置提供公共网络服务的设备，这些设备由于必须被公共网络访问，所以无法提供与内部网络主机相等的安全性。Web服务器是为一种为公共网络提供Web访问的服务器；网络管理服务器和入侵检测服务器是管理企业内部网和对企业内部网络中的数据流进行分析的专用设备，一般不对外提供访问；而财务服务器是一种仅针对财务部门内部访问和提供服务的设备，不提供对外的公共服务。

第7题：防火墙是被动防御，无法提供系统漏洞扫描。