Межсетевые экраны - ответы
Количество вопросов - 395
Свойства NAT-пула типа Stateful
При определении аномалий
Для анализа возможностей интеграции межсетевого экрана с сетевой инфраструктурой следует определить
При использовании VLAN увеличение пропускной способности происходит благодаря тому, что
IDS обычно определяют следующие типы атак
Так называемые правила доступа (Access Rules) – это
Системы анализа уязвимостей используются
Выберите правильное утверждение
Обработка Ethernet-кадров, содержащих теги VLAN основана на следующих принципах:
Особенности фильтрования ICMP-протокола
Под безопасностью информационной системы понимается
IDS может обеспечивать следующие возможности
Централизованное управление идентификационными и аутентификационными данными имеет следующие преимущества
Отличия прокси-шлюзы прикладного уровня от межсетевых экранов прикладного уровня
Межсетевые экраны для веб-приложений располагают
При осуществлении атаки IP Spoofing
Если физический Ethernet-порт маршрутизатора соединен с коммутатором (обычно управляемым), который поддерживает стандарт 802.1Q VLAN
Компоненты IDS
Анализ логов при использовании маршрутизатора NAT
Гарантирование доступности предполагает
Что не относится к активной атаке
При выборе IDS следует учитывать
Прокси-шлюзы прикладного уровня (выберите самое точное определение, один ответ)
Преимущества network-based IDS
Технология VLAN обладает следующими характеристиками
Особенности Правил фильтрования для протокола IPv6
Проверка параметров безопасности пользовательского компьютера состоит в проверке
Активной называется такая атака, при которой
Uplink-порт коммутатора, который соединен с межсетевым экраном и через который должен передаваться vlan-трафик,
Идентификация пользователя дает возможность вычислительной системе
Политика безопасности – это (выберите самое точное определение, один ответ)
Что из перечисленного может не являться уязвимостью
Сервис безопасности – это
Причины, по которым необходимо создавать «оборону в глубину»
Риск - это
Что не относится к replay-атаке
Что не относится к DoS-атаке
Что не относится к атаке «man in the middle»
Что не относится к пассивной атаке
Атаки сканирования могут определять
При DoS-атаках наводнения
Что из перечисленного относится к сервисам безопасности
Доступность - это
Сервис, который гарантирует, что информация получена из законного источника и получателем является тот, кто нужно, называется
Идентификация – это
Анализ рисков включает
Примеры угроз
Термин сущность (entity) часто лучше подходит для обозначения предъявителя идентификации, чем термин пользователь, так как
Многофакторная аутентификация означает
Управление доступом или авторизация означает
При управлении доступом на уровне файловой системы для разграничения доступа используются
При управлении конфигурациями необходимо обеспечить следующее
Что из перечисленного не относится к механизмам безопасности
Широковещательными пакетами называются пакеты, у которых
Гибкость технологии VLAN означает
Технология VLAN позволяет
Через один и тот же физический Ethernet-порт
Vlan-интерфейсы могут использоваться
Технология VLAN описана в стандарте
VLAN создается
Порт коммутатора, к которому подключена рабочая станция, не поддерживающая технологию VLAN, создается как
Канал между маршрутизатором и коммутатором с поддержкой стандарта 802.1Q, по которому передается трафик всех vlan-сетей, называется
Если к маршрутизатору подключены коммутаторы или другие устройства (например, рабочие станции пользователей), не поддерживающие технологию VLAN
Если нет коммутатора с поддержкой VLAN, но необходимо создать VLAN для разграничения трафика
Межсетевые экраны регулируют поток сетевого трафика между сетями или хостами
Под термином «сетевой периметр» понимают
К требованиям, которые накладывает внешнее окружение на функционирование межсетевого экрана, относятся
Адреса канального уровня называются
На транспортном уровне модели OSI определяются понятия
Сессия транспортного уровня - это
Содержимое прикладного уровня называется активным, потому что
Приложение, которое хочет предоставлять сервис, доступный по сети другим приложениям, называется
Состояние ТСР-соединения ESTABLISHED
Выберите правильные утверждения
Недостатки пакетных фильтров
Анализ состояния в пакетном фильтре означает
Межсетевые экраны прикладного уровня могут
Межсетевые экраны прикладного уровня
Прокси-шлюзы прикладного уровня
Отличия выделенного прокси-сервера от прикладных прокси-шлюзов
Прокси-сервер может быть
Под унифицированным управлением угрозами (Unified Threat Management – UTM) понимают
Типичная система унифицированного управления угрозами включает
Межсетевые экраны для веб-приложений
Технология UPnP, которая позволяет приложению, установленному на компьютере за межсетевым экраном, автоматически запрашивать у межсетевого экрана открытие определенных портов
Ограниченность анализа межсетевого экрана
Политика межсетевого экрана должна
На границе сетевого периметра
IP-адреса для частных сетей
Выходным фильтрованием называется
Входящий трафик, IP-адресом получателя в котором является сам межсетевой экран
Проверка доступности с интерфейса, на который пришел данный пакет IP-адреса источника
Атака IP Spoofing состоит в том, что
Управление доступом в пакетном фильтре осуществляется на основании
Для прохождения трафика прикладных серверов следует учитывать, что
Особенности Правил фильтрования для протокола IPv6
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
Блокирование всего ICMP-трафика
NAT предназначен для
Технология NAT имеет следующие характеристики
Начало сессия, отслеживаемое NAT, и начало ТСР-сессии
Традиционный (или исходящий) NAT
Недостатки NAT-пула типа Stateful
Преимущества NAT-пула типа Stateless
Преимущества NAT-пулов типа Fixed
Прохождение NAT может вызывать трудности, если
Двойной NAT необходим,
При совместном использовании туннелирования и NAT возможны следующие варианты
Прикладные протоколы, для которых можно не учитывать наличие NAT
Приложения с несколькими взаимозависимыми сессиями
Основные принципы, которым необходимо следовать при разработки окружения межсетевого экрана
На аппаратном межсетевом экране интерфейс, маркированный как dmz, обладает свойствами
Между DMZ и ISP следует установить
Выберите правильное утверждение
Администрирование межсетевого экрана должно всегда выполняться
Встроенный в ОС межсетевой экран по сравнению с аппаратным межсетевым экраном обеспечивает
Определение экстранет
Сетевой уровень, на котором функционируют коммутаторы
При анализе назначения межсетевого экрана следует определить
При анализе возможностей управления межсетевым экраном следует определить
При внедрении персональных межсетевых экранов и межсетевых экранов для хостов следует рассмотреть
Развертывание межсетевого экрана
При использовании IDS
Преимущества использования IDS
Причины, по которым необходимо использовать IDS
По скорости обработки событий IDS делятся на
Выберите правильное утверждение
Преимущества анализа состояния протокола
Недостатки network-based IDS
Преимущества host-based IDS
Преимущества application-based IDS
При определении злоупотреблений
Преимущества сигнатурного метода
Какие ответные действия IDS относятся к активным
Последовательность действий при анализе уязвимостей
Источники данных, используемые системами host-based анализа уязвимостей
Методы, используемые network-based системами анализа уязвимостей для оценки уязвимостей
Недостатки и проблемы систем анализа уязвимостей
Факторы, влияющие на выбор наиболее подходящей IDPS
Преимуществом расположения сенсоров network-based IDS позади внешнего межсетевого экрана является
Преимуществом расположения сенсоров network-based IDS на основной магистральной сети является
IDPS хорошо выполняют следующие функции
К ограничениям IDPS относятся
К ограничениям IDPS относятся
Создание альтернативных маршрутов основано на следующих принципах
Альтернативные таблицы маршрутизации содержат
Если в таблице доступа (Access Rules) нет ни одного правила доступа, или не найдено соответствие параметров пакета ни одному из правил доступа, то в выбранной в соответствии с правилами маршрутизации (Routing Rules) таблице маршрутизации осуществляется поиск маршрута к IP-адресу источника. Если такой маршрут не найден, то
Если в альтернативной таблице маршрутизации параметр Ordering установлен в значение Default, и ни в таблице main, ни в альтернативной таблице не найден маршрут с сетью назначения, отличной от all-nets (0.0.0.0/0), то
После того, как маршрут найден в альтернативной таблице
Поддержка архитектуры Diffserv в NetDefendOS
Принципы обеспечения QoS в NetDefendOS
Гарантирование полосы пропускания достигается следующим образом
В определении шейпинга канал является объектом, с помощью которого задаются возможные приоритеты трафика, используемые для
В определении шейпинга характеристиками канала являются
В определении шейпинга гарантированная полоса пропускания может указываться
В каждом правиле канала в NetDefendOS указывается
Цели создания VLAN
Примерами уязвимостей являются
Прикладной уровень модели OSI
Конфиденциальность – это
Преимущества систем анализа уязвимостей
Маршрутизатор NAT
При использовании Двунаправленного (Two-Way) NAT
Аббревиатура DMZ расшифровывается как
Транспортный уровень модели OSI
При возникновении инцидента, связанного с информационной безопасностью, самое главное, что необходимо иметь
Возможные стратегии управления рисками
На этапе планирования внедрения межсетевого экрана следует выполнить
По умолчанию межсетевой экран должен
Лучшей политикой по умолчанию для межсетевого экрана считается
При использовании технологии VLAN на основе стандарта 802.1Q
Сокетом называется
Основное свойство коммутаторов (выберите самое точное определение, один ответ)
Общие свойства прокси-шлюзов прикладного уровня и межсетевых экранов прикладного уровня
В политике пакетного фильтра определено понятие
Сканирование сети
При управлении доступом на сетевом уровне для разграничения трафика используются
Технология, используемая на маршрутизаторе для создания vlan-сетей, при подключении устройств без поддержки стандарта 802.1Q, называется
На границе сетевого периметра следует
Предпочтительная последовательность этапов внедрения межсетевого экрана
Что не относится к сервисам безопасности
Повторное использование перехваченного ранее сообщения называется
Под DoS-атакой понимается
Модификация передаваемого сообщения называется
Атаки сканирования
Разновидности DoS-атак
Отчетность включает
Участниками аутентификационного процесса могут быть
В качестве аутентификации пользователя могут использоваться
В системах управления доступом субъектом может быть
В системах управления доступом объектом может быть
Использование третьей доверенной стороны необходимо для
Широковещательные пакеты передаются
VLAN-трафик называется
Технология VLAN не позволяет
Межсетевые экраны являются (выберите самое точное определение, один ответ)
Конец ТСР-соединения может быть
При установлении ТСР-соединения
Выберите правильные утверждения
Межсетевые экраны с поддержкой состояния являются пакетными фильтрами, которые
Под глубоким анализом пакета (deep packet inspection) понимают
Недостатки межсетевых экранов прикладного уровня
Персональные межсетевые экраны для настольных компьютеров и ноутбуков
Персональные межсетевые экраны для настольных компьютеров и ноутбуков являются
Межсетевой экран на основе приложения имеет следующие особенности
Политика межсетевого экрана определяет
Выходное фильтрование необходимо, так как
Управление доступом в пакетном фильтре осуществляется на основании
Для того, чтобы пакетный фильтр пропустил определенный трафик, следует указать следующее действие
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
Межсетевые экраны, расположенные на границе сетевого периметра
Способы реализации Двунаправленного (Two-Way) NAT
Прикладные протоколы, для которых обязательно следует учитывать наличие NAT
Необходимость поддержки FTP маршрутизаторами NAT связано с тем, что
Service Leg конфигурация межсетевого экрана должна иметь как минимум
Если в организации есть веб-сервер для внешних пользователей и веб-сервер для получения информации своими сотрудниками, то оптимальным количеством DMZ является
Какие из перечисленных DNS-серверов Вы расположили бы во внутренней DMZ
Одна из причин, по которой коммутаторы не должны использоваться для предоставления каких-либо возможностей межсетевого экрана
При анализе производительности межсетевого экрана следует определить
Управление межсетевым экраном включает
Причины, по которым необходимо использовать IDS
Возможные выделенные каналы связи IDS
Выберите правильное утверждение
Недостатками методики определения злоупотреблений являются
Разница между системами анализа уязвимостей и системами обнаружения проникновения
Метод анализа создаваемых объектов в network-based анализаторах уязвимостей состоит в том, что
Преимущества систем анализа уязвимостей
По способу управления IDРS бывают
К ограничениям IDPS относятся
Проверка доступности IP-адреса источника с входящего интерфейса выполняется следующим образом.
Если в альтернативной таблице маршрутизации параметр Ordering установлен в значение First, и не в таблице main, не в альтернативной таблице не найден маршрут с сетью назначения, отличной от all-nets (0.0.0.0/0), то
Параметр Ordering альтернативной таблицы определяет
Шейпингом трафика (traffic shaping) называется
В определении шейпинга канал представляет собой
Правило каналов в NetDefendOS определяет
Выберите правильное утверждение
Пакетные фильтры с поддержкой состояния
Преимущества пакетных фильтров
Маршрутизатор NAT
Недостатками методики определения аномалий являются
Что из перечисленного всегда является уязвимостью
Недостатки использования системы унифицированного управления угрозами
Целостность – это
Под угрозой понимается
NAT используется
Что не относится к атаке сканирования
Системы анализа уязвимостей принято классифицировать
Существует необходимость в межсетевых экранах для виртуальных инфраструктур, так как
Использование GRE-туннеля для соединения двух локальных сетей через магистральную сеть
Какие из перечисленных веб-серверов следует расположить во внешней DMZ
На границе сетевого периметра
Типы NAT-пулов
Межсетевые экраны прикладного уровня не могут
Выделенные прокси-серверы предназначены для того, чтобы обрабатывать трафик
При использовании технологии VLAN
При разработке политики безопасности главное, что должен определить собственник информационных активов (один ответ)
Что понимается под атакой на информационную систему
Что понимают под «обороной в глубину»
Основные классы атак на передаваемые по сети данные
DoS-атаки шквальной эксплуатации
Сервис, который обеспечивает невозможность несанкционированного просмотра данных, называется
Для гарантирования выполнения сервисов безопасности необходимо
Стандарт IEEE 802.1Q определяет
Межсетевые экраны (выберите самое точное определение, один ответ)
При использовании межсетевого экрана предполагается, что
Адреса сетевого уровня называются
Состояние ТСР-соединения LISTEN
Тип межсетевого экрана определяется
Недостатки межсетевых экранов прикладного уровня
При использовании прокси-шлюзов прикладного уровня
Прокси-сервер не может быть
При использовании унифицированного управления угрозами проверка жизнеспособности обычно состоит в следующем
Преимущества использования системы унифицированного управления угрозами
Примеры IP-адресов, которые не должны появляться в пакетах
Межсетевые экраны, расположенные на границе сетевого периметра
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
Трансляция сетевых адресов (NAT) позволяет
Понятие сессии в NAT
Преимущества NAT-пула типа Stateful
Недостатки NAT-пула типа Stateless
Особенности NAT-пулов типа Fixed
При использовании NAT необходим шлюз прикладного уровня (ALG), если
Отличия двойного NAT от традиционного и двунаправленного NAT
Типичная ситуация, когда требуется несколько уровней межсетевых экранов
При анализе возможностей управления межсетевым экраном следует определить
Определение и реагирование на инциденты безопасности
IDS могут быть реализованы
Недостатки host-based IDS
Метод тестирования ошибок (exploit’ов) в network-based анализаторах уязвимостей состоит в том, что
Недостатки и проблемы систем анализа уязвимостей
Преимуществом расположения сенсоров network-based IDS в критических подсетях является
IDPS хорошо выполняют следующие функции
К ограничениям IDPS относятся
IDPS в качестве выходной информации выдают
Записи Routing Rules
Если в альтернативной таблице маршрутизации параметр Ordering установлен в значение Only, и ни в таблице main, ни в альтернативной таблице не найден маршрут с сетью назначения, отличной от all-nets (0.0.0.0/0), то
Шейпинг реализован в NetDefendOS с помощью следующих механизмов
При выполнении шейпинга трафик может проходить через
В определении шейпинга пропускная способность канала может указываться
IDPS хорошо выполняют следующие функции
Основные принципы, которым необходимо следовать при разработки окружения межсетевого экрана
IDS обычно определяют следующие типы атак
Недостатки host-based IDS
Сетевой уровень модели OSI
Выберите наиболее оптимальное окружение межсетевого экрана
При использовании технологии VLAN на основе Port-based VLAN
Поддерживать технологию VLAN могут следующие типы аппаратных устройств
Правило доступа по умолчанию
Устройства персональных межсетевых экранов
Свойства NAT-пула типа Stateless
Взаимное расположение прокси-сервера и традиционного межсетевого экрана прикладного уровня
Что не относится к понятию «оборона в глубину»
Невозможность получения сервиса законным пользователем называется
Атака «man in the middle» является
Атака называется пассивной, если
Атака сканирования является разновидностью
Авторизация - это
В случае принятия риска необходимо
Широковещательным доменом называется
Если физический Ethernet-порт маршрутизатора соединен с неуправляемыми коммутаторами или другим оборудованием без поддержки VLAN (например, с рабочими станциями пользователей)
Uplink-порт коммутатора, который соединен с межсетевым экраном и через который должен передаваться vlan-трафик, создается как
При использовании VLAN на основе портов
Основное назначение межсетевого экрана состоит в том, чтобы (выберите самое точное определение, один ответ)
Инициализация ТСР-соединения выполняется
Для того, чтобы пакетный фильтр отбросил определенный трафик без оповещения об этом источника, следует указать действие
Межсетевые экраны прикладного уровня
Прокси-шлюзов прикладного уровня
Перед разработкой политики межсетевого экрана следует
Политика по умолчанию для всего трафика должна быть
Особенности Правил фильтрования для протокола IPv6
Сессия, отслеживаемая NAT, и прикладная сессия
Двойной NAT является вариантом NAT, который
Multihomed NAT означает, что
Компоненты логической сетевой инфраструктуры
Преимущества network-based IDS
Преимущества application-based IDS
Возможные технологии определения аномалий
IDPS хорошо выполняют следующие функции
PBR-маршрутизация может быть следующих типов
Шейпинг реализован в NetDefendOS с помощью следующих механизмов
Выберите правильное утверждение
Факторы, влияющие на выбор наиболее подходящей IDPS
При внедрении персональных межсетевых экранов и межсетевых экранов для хостов следует рассмотреть
Какие из перечисленных серверов Вы расположили бы во внешней DMZ
Что из перечисленного относится к механизмам безопасности
Преимущества использования IDS
Управление доступом в пакетном фильтре осуществляется на основании
При использовании унифицированного управления угрозами проверка жизнеспособности обычно состоит в следующем
Персональные межсетевые экраны для настольных компьютеров и ноутбуков устанавливаются
Под «управлением доступом в сеть (Network Access Control – NAC)» понимают
Аутентификация – это
Технология VLAN обладает следующими характеристиками
Использование технологии VLAN позволяет
VLAN ID – это
Порт транспортного уровня – это
В магистральных (Backbone), разделенных на сегменты частных сетях использование NAT
Определение интранет
Тестирование межсетевого экрана должно включать следующие шаги
IDS может обеспечивать следующие возможности
Недостатки application-based IDS
Недостатки сигнатурного метода
Преимуществом расположения сенсоров network-based IDS перед внешним межсетевым экраном является
К ограничениям IDPS относятся
Таблица маршрутизации выбирается
Если в таблице доступа (Access Rules) нет ни одного правила, то
Под Quality of Service (QoS) понимается
Приоритеты шейпинга трафика, вводимые NetDefendOS
Шейпинг трафика может применяться
Пакетный фильтр сравнивает параметры заголовка пакета со своим набором правил. После этого
Методы network-based анализа уязвимостей
Сервис, который обеспечивает невозможность несанкционированного изменения данных, называется
Уменьшение количества хостов в широковещательном домене необходимо
Инициатором закрытия ТСР-соединения может быть
Завершение ТСР-сессии
В сети демилитаризованной зоны (DMZ) должны располагаться
Преимущества host-based IDS
Инструментальные средства проверки целостности файлов позволяют определить
IDPS хорошо выполняют следующие функции
При выполнении шейпинга выполняется
Преимуществом расположения сенсоров network-based IDS позади внешнего межсетевого экрана является
Основные компоненты управления доступом
Виртуальной локальной сетью называется (vlan)
При осуществлении атаки IP Spoofing
Допустимые активные ответы IDS
Маршрутизация на основе правил (Policy-based Routing – PBR) предоставляет следующие возможности
Механизм безопасности – это (выберите самое точное определение, один ответ)
При использовании технологии VLAN повышается безопасность, так как
Канальный уровень модели OSI
Под reply-атакой понимается
В NetDefendOS определены следующие компоненты, с помощью которых задается шейпинг трафика
Какие понятия не определяют полностью политику безопасности
Общие свойства системам анализа уязвимостей и системам обнаружения проникновения
Недостатки network-based IDS
Подсистема шейпинга трафика в NetDefendOS