防火墙试题2Word下载.docx

1、 ATransport mode B. Tunnel mode C. Main mode D. Aggressive mode 4.在IPSec中，使用IKE建立通道时，使用的端口号是（B） ATCP 500 B.UDP 500 C.TCP 50 D. UDP 50 5.在IKE阶段1的协商中，可以有两种模式。当两个对端都有静态的IP地址时，采用（C）协商；当一端实动态分配的IP地址时候，采用（D）协商. 一、填空题 1.密码学从其发展来看，分为传统密码学和计算机密码学两大阶段。 2.密码学做为数学的一个分支，包括密码编码学和密码分析学。3.计算机密码学包括对称密钥密码体制和公开密钥密码体制。

2、4.常用的加密算法包括：DES，3DES，AES；常用的散列算法有MD5，MAC 1.目前普遍应用的防火墙按组成结构可分为软件防火墙,硬件防火墙,芯片级防火墙三种。2.基于PC架构的防火墙上运行一些经过裁剪和简化的操作系统，最常用的有UNIX、Linux和FreeBSD系统。3.芯片级防火墙的核心部分是ASIC芯片。4.目前市场上常见的防火墙架构有X86,ASIC，NP。5.包过滤类型的防火墙要遵循的一条基本原则是最小特权原则。6.状态检测防火墙中有两张表用来实现对数据流的控制，它们分别是规则表和状态检测表。7.常见防火墙按采用的技术分类主要有：包过滤防火墙；代理防火墙；状态检测防火墙。8.代

3、理防火墙是一种较新型的防火墙技术，它分为应用层网关和电路层网关。9.应用层网关防火墙也就是传统的代理型防火墙。应用层网关型防火墙工作在OSI模型的应用层，它的核心技术就是代理服务器技术。电路层网关工作在OSI模型的会话层。二、填空题 1.IPSec是一个面向提供IP数据安全和完整性服务的工业标准.它定义了两种协议 ESP和 AH ；它工作在IP层。2.ESP的协议号是50,AH的协议号是51. 3.入侵检测系统的两大职责是：实时检测和安全审计 4.IDS的实现中，有基于网络的NIDS和基于主机的HIDS 。二、判断题 1.单向散列函数（ hash function）用于数据认证与数据完整性。（

4、 对） 2消息鉴别码（Message Authentication Code, MAC）,它是带有秘密密钥的单向散列函数，散列值是预映射的值和密钥的函数。（ 对 ） 二、问答题1. 防火墙体系结构有哪几种，分别是什么？答：屏蔽路由器（Screened Router）结构，双宿主主机网关（Dual Homed Gateway）结构，屏蔽主机网关（Screened Host Gateway）结构，屏蔽子网（Screened Subnet）结构。2. 列出每种结构的防火墙在组成结构上有什么特点？1）屏蔽路由器（Screened Router）结构由一个单一的路由器构成 2） 双宿主主机网关（Dual

5、 Homed Gateway）结构由一台装有两块网卡的堡垒主机做防火墙。 3）屏蔽主机网关（Screened Host Gateway）结构由一台保垒主机和一台路由器共同构成 4）屏蔽子网（Screened Subnet）结构由一台内部路由器加一台保垒主机加一台外部路由器构成 3. 列出制定安全策略的七个步骤1）组建一个工作团队 2）制定公司的整体安全策略3）确定被保护的资产4）决定安全策略的审核内容5）确定安全风险6）定义可接受的使用策略7）提供远程访问 4. 常用的两种基本防火墙设计策略是什么？1）允许所有除明确拒绝之外的通信或服务2）拒绝所有除明确允许之外的通信或服务5. 防火墙配置策略

6、的基本准则有哪些？1）一切未被允许的就是禁止的 2）按规则链来进行匹配3）从头到尾的匹配方式4）匹配成功马上停止四问答题 1.计算机密码学有什么作用，分别通过什么方法来实现？1）机密性：通过数据加密实现。 2）数据完整性：通过数据加密、数据散列或数字签名来实现 3）鉴别： 4）抗否认性：通过对称加密或非对称加密，以及数字签名等，并借助可信的注册机构或证书机构的辅助，提供这种服务 2.对称密钥算法和公开密钥算法各自有什么特点？ 答：1）对称密钥算法的特点是加密密钥能从解密密钥中推算出来； 2）非对称密钥算法的特点是解密密钥不能根据加密密钥推算出来；加密密钥能公开；有时也用私人密钥加密而用公开密钥

7、解密，这主要用于数字签名。3.密钥管理包括有哪些部分？产生密钥，密钥传输，使用密钥，更新密钥，存储密钥，备份密钥， 密钥有效期，密钥销毁，数字证书。二问答题 1.代理服务器技术有哪些优缺点？优点：代理易于配置；代理能生成各项记录；代理能过滤数据内容。 缺点：速度较路由器慢；对用户不透明；代理不能改进底层协议的安全性 2.状态检测防火墙工作在OSI模型的哪部分，它有什么优缺点？1）状态检测防火墙工作在数据链路层和网络层之间，它从中截取数据包。 2） 状态检测防火墙的优点 （1）高效性； （2）可伸缩性和可扩展性强； （3）应用范围广。3） 状态检测防火墙的缺点 （1） 配置复杂； （2） 会降低

8、网络的速度；三问答题 1.常用的VPN技术有哪些，分别是什么？MPLS 多协议标签交换 SSL/TSL 传输层安全 L2TP 二层隧道协议 PPTP 点到点隧道协议 IPSec IP安全协议 2.防火墙有哪些局限性？（1）防火墙不能防止通向站点的后门；（2）防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击；（3）防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。1.1）设定INPUT为ACCEPT1.2）设定OUTPUT为ACCEPT1.3）设定FORWARD为ACCEPT参考答案:iptables -P INPUT ACCEPTi

9、ptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT2）制定源地址访问策略2.1）接收来自192.168.0.3的IP访问2.2）拒绝来自192.168.0.0/24网段的访问iptables -A INPUT -i eth0 -s 192.168.0.3 -j ACCPETiptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP3）目标地址192.168.0.3的访问给予记录,并查看/var/log/messageiptables -A INPUT -s 192.168.0.3 -j LOG4）制定

10、端口访问策略4.1）拒绝所有地址访问本机的111端口4.2）拒绝192.168.0.0/24网段的1024-65534的源端口访问SSHiptables -A INPUT -i eth0 -p tcp -dport 111 -j DROPiptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 -sport 1024:65534 -dport ssh -j DROP5）制定CLIENT端的防火墙访问状态5.1）清除所有已存在的规则;5.2）设定预设策略,除了INPUT设为DROP,其他为ACCEPT;5.3）开放本机的lo能自由访问;5.4）设定有相

11、关的封包状态能进入本机;iptables -Fiptables -Xiptables -Ziptables -P INPUT DROPiptables -P FORWARD ACCEPTLUPAiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i eth0 -m state -state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -m state -state INVALID -j DROP6）制定防火墙的MAC地址访问策略6.1）清除所以已存的规则6.2）将INPUT设为DROP6.3）

12、将目标计算机的MAC设为ACCEPTiptables -A INPUT -m mac -mac-source 00-C0-9F-79-E1-8A -j ACCEPT7）设定ICMP包，状态为8的被DROP掉iptables -A INPUT -i eth0 -p icmp -icmp-type 8 -j DROP8）制定防火墙的NAT访问策略8.1）清除所有策略LUPA开源社区8.2）重置ip_forward为18.3）通过MASQUERADE设定来源于192.168.6.0网段的IP通过192.168.6.217转发出去8.4）通过iptables观察转发的数据包echo 1 /proc/s

13、ys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -s 192.168.6.0 -o 192.168.6.217 -j MASQUERADEiptables -L -nv9）制定防火墙的NAT访问策略9.1）清除所有NAT策略9.2）重置ip_forward为19.3）通过SNAT设定来源于192.168.6.0网段通过eth1转发出去9.4）用iptables观察转发的数据包iptables -F -t natiptables -X -t natiptables -Z -t natiptables -t nat -A POSTROUTI

14、NG -o eth1 -j SNAT -to 192.168.6.21710）端口转发访问策略10.1）清除所有NAT策略10.2）重置ip_forward为1LUPA10.3）通过DNAT设定为所有访问192.168.6.217的22端口，都访问到192.168.6.191的22端口10.4）设定所有到192.168.6.191的22端口的数据包都通过FORWARD转发10.5）设定回应数据包,即通过NAT的POSTROUTING设定,使通讯正常iptables -t nat -A PREROUTING -d 192.168.6.217 -p tcp -dport 22 -j DNAT -to-destination192.168.6.191:22iptables -A FORWARD -p tcp -d 192.168.6.191 -dport 22 -j ACCEPTiptables -t nat -I POSTROUTING -p tcp -dport 22 -j MASQUERADE