软考题库
网络规划设计师 · 高频练习

边界防火墙为什么常采用默认拒绝、按需放行?

高级 单选题 第 210 题 中等 网络规划设计师边界防火墙访问控制最小权限
内容整理:软考题库编辑部 最近更新:
题目

某单位在互联网边界部署防火墙。安全方案要求先拒绝未明确授权的访问,再根据业务需要逐条放行业务端口和访问来源。这样设计的主要考虑是()。

A 减少不必要暴露面,让边界访问控制更可审计
B 让所有外部主机都能任意访问内部数据库
C 保证防火墙不产生任何日志
D 让网络越难管理越好
题目类型:原创新大纲高频考点题 用途:用于帮助理解网络规划设计师相关考点和答案解析,不等同于官方真题。
书木兰刷题练习 适合懒人、小白的刷题通关平台
正确答案
A
答案解析

边界安全策略通常不应默认全部开放。默认拒绝、按需放行的思路,是先把未授权访问挡在外面,再根据业务系统、端口、来源、目的地址和访问时间等条件精细放行。这样可以减少暴露面,也便于后续审计和变更管理。

选项分析

A

正确。默认拒绝、按需放行能减少攻击面,并让访问策略更清晰。

B

错误。内部数据库不应被外部主机任意访问。

C

错误。边界策略通常更需要日志审计。

D

错误。安全规划要让规则清晰可管,不是故意制造混乱。

本题为什么容易错

很多人把防火墙理解成“买了设备就安全”。考试更看重策略:哪些流量允许,为什么允许,谁批准,出了问题能不能查到。

先看结论

简短答案

边界防火墙为什么常采用默认拒绝、按需放行,正确答案是 A(减少不必要暴露面,让边界访问控制更可审计)。边界安全策略通常不应默认全部开放。默认拒绝、按需放行的思路,是先把未授权访问挡在外面,再根据业务系统、端口、来源、目的地址和访问时间等条件精细放行。这样可以减少暴露面,也便于后续审计和变更管理。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
减少不必要暴露面,让边界访问控制更可审计 本题正确答案 正确。默认拒绝、按需放行能减少攻击面,并让访问策略更清晰。 看到题干核心场景时优先联想到它
让所有外部主机都能任意访问内部数据库 本题干扰项 错误。内部数据库不应被外部主机任意访问。 看到该词不要急着选,先判断是否真正解决题干问题
保证防火墙不产生任何日志 本题干扰项 错误。边界策略通常更需要日志审计。 看到该词不要急着选,先判断是否真正解决题干问题
让网络越难管理越好 本题干扰项 错误。安全规划要让规则清晰可管,不是故意制造混乱。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • 让所有外部主机都能任意访问内部数据库:错误。内部数据库不应被外部主机任意访问。
  • 保证防火墙不产生任何日志:错误。边界策略通常更需要日志审计。
  • 让网络越难管理越好:错误。安全规划要让规则清晰可管,不是故意制造混乱。
复习

知识点详解

最小权限是网络规划设计师考试中需要结合场景理解的考点。围绕“边界防火墙为什么常采用默认拒绝、按需放行”这类题目,复习时要先看题干描述的是概念定义、适用场景、作用效果,还是与其他选项的区别。本题的题干关键词是“某单位在互联网边界部署防火墙。安全方案要求先拒绝未明确授权的访问,再根据业务需要逐条放行业务端口和访问来源。这样设计的主要考虑是()”,它指向的核心答案是 A(减少不必要暴露面,让边界访问控制更可审计)。

备考速记

备考速记:题干如果强调“最小权限”中的关键目标,就先联想到 最小权限;如果选项里出现 让所有外部主机都能任意访问内部数据库、保证防火墙不产生任何日志、让网络越难管理越好,不要只看名称熟悉,要判断它们是否真正对应题干场景。

最小权限在最小权限场景中的作用

最小权限在本题中的核心价值,是解决“某单位在互联网边界部署防火墙。安全方案要求先拒绝未明确授权的访问,再根据业务需要逐条放行业务端口和访问来源。这样设计的主要考虑是()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出最小权限场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查最小权限的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把最小权限和让所有外部主机都能任意访问内部数据库、保证防火墙不产生任何日志、让网络越难管理越好放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
最小权限在网络规划设计师软考中的考法

软考选择题通常不会只考概念定义,还会把最小权限放到最小权限场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

题干已经说先拒绝未明确授权访问,再按业务需要放行。这个原则对应最小权限和暴露面控制,A 选项最准确。

考点定位

边界访问控制题常和最小权限、默认拒绝、按需授权、日志审计一起出现。它考的不是某个按钮位置,而是安全策略原则。

易错提醒

  • 用 any-any 全放行代替安全策略,风险很高。
  • 只写允许端口,不限制来源和目的地址。
  • 策略变更没有记录,后续很难审计。

备考提示

  • 看到互联网边界、业务端口、未授权访问,优先想到默认拒绝和最小权限。
  • 边界防火墙可以和安全域、零信任、日志审计一起复习。

你可能还想了解

  • 边界防火墙为什么常采用默认拒绝、按需放行?
  • 最小权限是什么?
  • 最小权限在网络规划设计师考试中怎么考?
  • 网络规划设计师最小权限题怎么理解?
  • 防火墙默认拒绝按需放行怎么考?
  • 边界访问控制策略怎么考?

本文小结

本题核心考点是最小权限在最小权限场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(减少不必要暴露面,让边界访问控制更可审计)。