防火墙试题2.doc

一、选择题 1、 下列哪些是防火墙的重要行为？（ AB ） A、准许 B、限制 C、日志记录 D、问候访问者 2、 最简单的防火墙结构是（ A ） A、路由器 B、代理服务器 C、日志工具 D、包过滤器 3、 绝大多数WEB站点的请求使用哪个TCP端口？（ C ） A、21 B、25 C、80 D、1028 三、选择题 1.常用的加密算法包括（ABCD ） A．DES B.3DES C.RSA D.AES E.MD5 F.MAC 2.常用的散列算法有（ EF ） A．DES B.3DES C.RSA D.AES E.MD5 F.MAC 一、选择题 1.传统上,公司的多个机构之间进行数据通信有众多不同的方式,主要有（ABCD） A．帧中继线路 B.ATM线路 C.DDN线路 D.PSTN 2.IPSec的应用方式有（ABCD） A．端对端安全 B.远程访问 C.VPNs D.多提供商 VPNs 3. IPSec 可以使用两种模式,分别是（AB） A．Transport mode B. Tunnel mode C. Main mode D. Aggressive mode 4.在IPSec中，使用IKE建立通道时，使用的端口号是（B） A．TCP 500 B.UDP 500 C.TCP 50 D. UDP 50 5.在IKE阶段1的协商中，可以有两种模式。当两个对端都有静态的IP地址时，采用（C）协商；当一端实动态分配的IP地址时候，采用（D）协商. A．Transport mode B. Tunnel mode C. Main mode D. Aggressive mode 一、填空题 1.密码学从其发展来看，分为传统密码学和计算机密码学两大阶段。 2.密码学做为数学的一个分支，包括密码编码学和密码分析学。 3.计算机密码学包括对称密钥密码体制和公开密钥密码体制。 4.常用的加密算法包括：DES，3DES，AES；常用的散列算法有MD5，MAC 一、填空题 1.目前普遍应用的防火墙按组成结构可分为软件防火墙,硬件防火墙,芯片级防火墙三种。 2.基于PC架构的防火墙上运行一些经过裁剪和简化的操作系统，最常用的有UNIX、Linux和FreeBSD系统。 3.芯片级防火墙的核心部分是ASIC芯片。 4.目前市场上常见的防火墙架构有X86,ASIC，NP。 5.包过滤类型的防火墙要遵循的一条基本原则是最小特权原则。 6.状态检测防火墙中有两张表用来实现对数据流的控制，它们分别是规则表和状态检测表。 7.常见防火墙按采用的技术分类主要有：包过滤防火墙；代理防火墙；状态检测防火墙。 8.代理防火墙是一种较新型的防火墙技术，它分为应用层网关和电路层网关。 9.应用层网关防火墙也就是传统的代理型防火墙。应用层网关型防火墙工作在OSI模型的应用层，它的核心技术就是代理服务器技术。电路层网关工作在OSI模型的会话层。 二、填空题 1.IPSec是一个面向提供IP数据安全和完整性服务的工业标准.它定义了两种协议 ESP和 AH ；它工作在IP层。 2.ESP的协议号是50,AH的协议号是51. 3.入侵检测系统的两大职责是：实时检测和安全审计 4.IDS的实现中，有基于网络的NIDS和基于主机的HIDS 。 二、判断题 1.单向散列函数（ hash function）用于数据认证与数据完整性。（ 对） 2．消息鉴别码（Message Authentication Code, MAC),它是带有秘密密钥的单向散列函数，散列值是预映射的值和密钥的函数。（ 对 ） 二、问答题 1. 防火墙体系结构有哪几种，分别是什么？ 答：屏蔽路由器(Screened Router)结构，双宿主主机网关(Dual Homed Gateway)结构，屏蔽主机网关(Screened Host Gateway)结构，屏蔽子网(Screened Subnet)结构。 2. 列出每种结构的防火墙在组成结构上有什么特点？ 答：1）屏蔽路由器(Screened Router)结构由一个单一的路由器构成 2) 双宿主主机网关(Dual Homed Gateway)结构由一台装有两块网卡的堡垒主机做防火墙。 3）屏蔽主机网关(Screened Host Gateway)结构由一台保垒主机和一台路由器共同构成 4）屏蔽子网(Screened Subnet)结构由一台内部路由器加一台保垒主机加一台外部路由器构成 3. 列出制定安全策略的七个步骤 答：1）组建一个工作团队 2）制定公司的整体安全策略 3）确定被保护的资产 4）决定安全策略的审核内容 5）确定安全风险 6）定义可接受的使用策略 7）提供远程访问 4. 常用的两种基本防火墙设计策略是什么？ 答：1）允许所有除明确拒绝之外的通信或服务 2）拒绝所有除明确允许之外的通信或服务 5. 防火墙配置策略的基本准则有哪些？ 答：1）一切未被允许的就是禁止的 2）按规则链来进行匹配 3）从头到尾的匹配方式 4）匹配成功马上停止 四．问答题 1.计算机密码学有什么作用，分别通过什么方法来实现？ 答：1）机密性：通过数据加密实现。 2）数据完整性：通过数据加密、数据散列或数字签名来实现 3）鉴别：通过数据加密、数据散列或数字签名来实现 4）抗否认性：通过对称加密或非对称加密，以及数字签名等，并借助可信的注册机构或证书机构的辅助，提供这种服务 2.对称密钥算法和公开密钥算法各自有什么特点？ 答：1）对称密钥算法的特点是加密密钥能从解密密钥中推算出来； 2）非对称密钥算法的特点是解密密钥不能根据加密密钥推算出来；加密密钥能公开；有时也用私人密钥加密而用公开密钥解密，这主要用于数字签名。 3.密钥管理包括有哪些部分？ 答：产生密钥，密钥传输，使用密钥，更新密钥，存储密钥，备份密钥， 　密钥有效期，密钥销毁，数字证书。 二．问答题 1.代理服务器技术有哪些优缺点？ 答：优点：代理易于配置；代理能生成各项记录；代理能过滤数据内容。 缺点：速度较路由器慢；对用户不透明；代理不能改进底层协议的安全性 2.状态检测防火墙工作在OSI模型的哪部分，它有什么优缺点？ 答：1）状态检测防火墙工作在数据链路层和网络层之间，它从中截取数据包。 2) 状态检测防火墙的优点 (1)高效性； (2)可伸缩性和可扩展性强； (3)应用范围广。 3) 状态检测防火墙的缺点 (1) 配置复杂； (2) 会降低网络的速度； 三．问答题 1.常用的VPN技术有哪些，分别是什么？ 答：MPLS 多协议标签交换 SSL/TSL 传输层安全 L2TP 二层隧道协议 PPTP 点到点隧道协议 IPSec IP安全协议 2.防火墙有哪些局限性？ 答：（1）防火墙不能防止通向站点的后门；（2）防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击；（3）防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。 1.1)设定INPUT为ACCEPT 1.2)设定OUTPUT为ACCEPT 1.3)设定FORWARD为ACCEPT 参考答案: iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 2)制定源地址访问策略 2.1)接收来自192.168.0.3的IP访问 2.2)拒绝来自192.168.0.0/24网段的访问 参考答案: iptables -A INPUT -i eth0 -s 192.168.0.3 -j ACCPET iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP 3)目标地址192.168.0.3的访问给予记录,并查看/var/log/message 参考答案: iptables -A INPUT -s 192.168.0.3 -j LOG 4)制定端口访问策略 4.1)拒绝所有地址访问本机的111端口 4.2)拒绝192.168.0.0/24网段的1024-65534的源端口访问SSH 参考答案: iptables -A INPUT -i eth0 -p tcp --dport 111 -j DROP iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --sport 1024:65534 --dport ssh -j DROP 5)制定CLIENT端的防火墙访问状态 5.1)清除所有已存在的规则; 5.2)设定预设策略,除了INPUT设为DROP,其他为ACCEPT; 5.3)开放本机的lo能自由访问; 5.4)设定有相关的封包状态能进入本机; 参考答案: iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPTLUPA iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state INVALID -j DROP 6)制定防火墙的MAC地址访问策略 6.1)清除所以已存的规则 6.2)将INPUT设为DROP 6.3)将目标计算机的MAC设为ACCEPT 参考答案: iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -A INPUT -m mac --mac-source 00-C0-9F-79-E1-8A -j ACCEPT 7)设定ICMP包，状态为8的被DROP掉 参考答案: iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP 8)制定防火墙的NAT访问策略 8.1)清除所有策略LUPA开源社区 8.2)重置ip_forward为1 8.3)通过MASQUERADE设定来源于192.168.6.0网段的IP通过192.168.6.217转发出去 8.4)通过iptables观察转发的数据包 参考答案: iptables -F iptables -X iptables -Z echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 192.168.6.0 -o 192.168.6.217 -j MASQUERADE iptables -L -nv 9)制定防火墙的NAT访问策略 9.1)清除所有NAT策略 9.2)重置ip_forward为1 9.3)通过SNAT设定来源于192.168.6.0网段通过eth1转发出去 9.4)用iptables观察转发的数据包 参考答案: iptables -F -t nat iptables -X -t nat iptables -Z -t nat echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.6.217 iptables -L -nv 10)端口转发访问策略 10.1)清除所有NAT策略 10.2)重置ip_forward为1LUPA 10.3)通过DNAT设定为所有访问192.168.6.217的22端口，都访问到192.168.6.191的22端口 10.4)设定所有到192.168.6.191的22端口的数据包都通过FORWARD转发 10.5)设定回应数据包,即通过NAT的POSTROUTING设定,使通讯正常 参考答案: iptables -F -t nat iptables -X -t nat iptables -Z -t nat echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -d 192.168.6.217 -p tcp --dport 22 -j DNAT --to-destination 192.168.6.191:22 iptables -A FORWARD -p tcp -d 192.168.6.191 --dport 22 -j ACCEPT iptables -t nat -I POSTROUTING -p tcp --dport 22 -j MASQUERADE