2.5 思考与实践
一、单项选择题
1.仅依据IP地址和源/目的端口号处理网络流量的设备通常称为( )。
A.代理服务器
B.包过滤路由器
C.堡垒主机
D.阻塞点
2.包过滤技术防火墙在过滤数据包时,一般不关心( )。
A.数据包的源地址
B.数据包的协议类型
C.数据包的目的地址
D.数据包的内容
3.当防火墙在网络层实现信息过滤与控制时,主要针对IP包头制定规则匹配条件并实施过滤,该规则的匹配条件不包括( )。
A.IP源地址
B.源端口
C.IP目的地址
D.协议
4.在网络边界上,下列通常需要较少的规则的是( )。
A.代理防火墙
B.包过滤防火墙
C.路由器
D.交换机
5.一个防火墙默认设置是除了来自端口110的数据包均丢弃,那么当一个SMTP数据包达到该防火墙时( )。
A.数据包被丢弃
B.该数据包被接收
C.防火墙转发数据包
D.防火墙记录数据包
6.为使内部网络的主机不能访问因特网上的Web服务器,需要阻塞的连接是( )。
A.连接外部主机,目的端口低于1024
B.连接外部主机,源端口为80
C.连接内部主机,目的端口高于1023
D.连接外部主机,目的端口为80
7.应用代理防火墙的主要优点是( )。
A.加密强度高
B.安全控制更细化、更灵活
C.安全服务的透明性更好
D.服务对象更广泛
8.需要防火墙来验证用户的身份,可以选用( )。
A.包过滤防火墙
B.状态包过滤防火墙
C.iptables防火墙
D.代理防火墙
9.网络地址转换(NAT)提供的安全功能是指( )。
A.作为两个网络之间的代理服务器
B.能阻止所有的黑客攻击
C.它对外部网络隐藏内部网络拓扑结构
D.它对于网络流量创建一个检查点
10.一个带有3块网卡的堡垒主机:第1块网卡(eth0)连接内部网络;第2块网卡(eth1)连接到网络的DMZ;第3块网卡(eth2)连接互联网。应当在( )接口上启用NAT。
A.第1块网卡
B.第2块网卡
C.第3块网卡
D.所有网卡
11.IPSec属于( )的安全解决方案。
A.网络层
B.传输层
C.应用层
D.物理层
12.IPSec协议可以为数据传输提供数据源验证、无连接数据完整性、数据机密性、抗重播等安全服务。其实现用户认证采用的协议是( )。
A.IKE协议
B.ESP协议
C.AH协议
D.SKIP协议
13.IPSec组成协议中的( )负责建立信任关系。
A.安全关联(SA)
B.互联网安全关联和密钥管理协议(ISAKMP)
C.OAKLEY协议
D.因特网密钥交换(IKE)
14.虚拟专用网(VPN)是一种新型的网络安全传输技术,为数据传输和网络服务提供安全通道。VPN架构采用的多种安全机制中,不包括( )。
A.隧道技术
B.信息隐藏技术
C.密钥管理技术
D.身份认证技术
15.以下关于虚拟专用网(VPN)描述错误的是( )。
A.VPN不能在防火墙上实现
B.链路加密可以用来实现VPN
C.IP层加密可以用来实现VPN
D.VPN提供机密性保护
16.( )是一个PPTP的延伸,并包括一个专有的协议,允许跨多个中间网络加密数据?
A.LPT1
B.LPT 2
C.MS-CHAP
D.L2TP
17.属于第二层的VPN隧道协议是( )。
A.IPSec
B.PPTP
C.GRE
D.IPv4
18.IPSec协议工作在网络协议栈的( )。
A.数据链路层
B.网络层
C.传输层
D.应用层
19.如果要创建一个VPN,使用以太网适配器作内部的VPN,拨号客户端将连接它,应该使用的协议是( )。
A.ISAKMP
B.PPTP
C.L2TP
D.CHAP
20.以下哪个关于VPN的描述是错误的( )。
A.VPN的实施需要租用专线,以保证信息难以被窃听或破坏
B.VPN提供数据加密、信息认证和访问控制
C.VPN的主要协议包括IPSec、PPTP/L2TP、SSL等
D.VPN的实质是在共享网络环境下建立的安全“隧道”连接,数据可以在“隧道”中传输
21.以下描述中不是关于PPTP的是( )。
A.是微软公司提出来的
B.通过IP实现对PPP数据进行封装,用简单的包过滤或微软域网络控制来实现访问控制
C.它是数据链路层上的协议
D.它是微软公司提出的L2TP和Cisco公司提出的L2F协议融合的产物
22.IPSec是一套协议集,它不包括( )协议。
A.AH
B.ESP
C.IKE
D.SSL
23.关于Windows环境下IPSec的设置,下列叙述正确的是( )。
A.在Windows操作系统中首先集成了IPSec
B.在Windows下可以通过MMC打开“本地安全策略”来实现IPSec的设置
C.在Windows环境下无法实现隧道模式的IPSec
D.在Windows环境下身份认证的方法只有两种:Kerberos V5和预共享密钥
24.屏蔽路由器是指( )。
A.只有一个网络接口的防火墙设备,有两面暴露在公众网络
B.实现过滤功能,有一个接口暴露在公众网络的路由器
C.实现NAT的单宿主堡垒主机
D.实现NAT的双宿堡垒主机
25.单宿主堡垒主机是指( )。
A.只有一个网络接口的防火墙设备
B.至少有两个网络接口的防火墙设备
C.部署在内部网络的一个标准的堡垒主机
D.作为一个代理服务器的防火墙设备
26.内部堡垒主机是指( )。
A.只有一个网络接口的防火墙设备
B.部署在外部网络的单或多宿主堡垒主机
C.部署在内部网络的单或多宿主堡垒主机
D.作为一个代理服务器的防火墙设备
27.用户创建了一个小的子网,一端是一台路由器,另一端是一台代理防火墙。此子网内有几台主机,其中包括该公司的Web、Email、DNS服务器。在路由器的外侧是一个公用网络,在代理防火墙内部是专用网络。该用户创建的这个子网通常被称为( )。
A.一个堡垒
B.一个DMZ
C.防火墙
D.一个电路级代理
28.对于以下4种防火墙实现,( )是最安全的。
A.屏蔽路由器
B.单宿主堡垒主机
C.双宿堡垒主机
D.屏蔽子网
29.最简单的一种防火墙结构是( )。
A.一个屏蔽子网
B.一个屏蔽路由器
C.双宿堡垒主机
D.一个单宿主堡垒主机
30.黑客对于( )防火墙结构需要击败至少3个不同的系统。
A.屏蔽路由器结构
B.双宿堡垒主机结构
C.屏蔽主机结构
D.屏蔽子网结构
二、名词解释
请解释下列名词术语:NAT、VPN、IPSec、SSL、NGFW、WAF、DPI、IPS、UTM。
三、简答题
1.从防火墙产品的形态、部署的位置、功能应用和技术特点等几个方面解释什么是“防火墙”。
2.简述防火墙中包过滤、状态包过滤以及代理技术的工作原理以及适用的网络环境。
3.NAT技术和代理服务技术有什么联系和区别?
4.VPN的实质是在共享网络环境下建立的安全“隧道”连接,数据可以在“隧道”中传输。试简述主要的隧道创建技术。
5.IPSec的传输模式和隧道模式有什么区别?
6.试比较IPSec VPN与SSL VPN两种技术。
7.防火墙有哪些主要体系结构?请解释各结构适用的网络环境及安全特性。
8.2017年5月,勒索软件WanaCry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后无法使用,系统或服务无法正常运行,损失巨大。由于此次勒索软件需要利用系统的SMB服务漏洞(端口号445)进行传播,可以配置防火墙过滤规则来阻止勒索软件的攻击,请填写表2-4中的空(1)~(5),使该过滤规则完整。
表2-4 防火墙过滤规则表
注:假设本机IP地址为1.2.3.4。“*”表示通配符。
9.假设某企业内部网(202.114.63.0/24)需要通过防火墙与外部网络互连,其防火墙的过滤规则见表2-5。
表2-5 防火墙过滤规则表
注:表中“*”表示通配符,任意服务端口都有两条规则。
1)请补充表2-5的内容①和②,并根据上述规则表给出该企业对应的安全需求。
2)一般来说,安全规则无法覆盖所有的网络流量。因此防火墙都有一条默认规则,该规则能覆盖事先无法预料的网络流量。请问默认规则的两种选择是什么?
3)请给出防火墙规则中的3种数据包处理方式。
4)防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含4个方面的内容:服务控制、方向控制、用户控制和行为控制。规则A涉及哪几个方面的访问控制?
10.图2-20给出了一种防火墙的体系结构。回答以下问题。
1)图中描述的是哪一种防火墙体系结构?
2)其中内部屏蔽路由器和外部屏蔽路由器的作用分别是什么?
图2-20 一种防火墙体系结构
四、知识拓展题
1.查阅相关文献,撰写一篇关于如何实现远程主机安全接入可信内网的读书报告。
2.请访问以下著名的防火墙厂商官网,了解各个防火墙厂商提出的下一代防火墙产品的共性和特性。撰写一篇读书报告,谈谈随着安全需求的发展,防火墙应当具有的新功能和新特性。
[1] 天融信:http://www.topsec.com.cn。
[2] 山石网科:https://www.hillstonenet.com.cn。
[3] 启明星辰:https://www.venustech.com.cn。
[4] 网御星云:http://www.leadsec.com.cn。
[5] 绿盟科技:https://www.nsfocus.com.cn。
[6] 安恒信息:https://www.dbappsecurity.com.cn。
[7] 蓝盾:http://www.bluedon.com。
[8] 华为:https://e.huawei.com/cn/products/enterprise-networking/security。
五、应用设计题
1.某个小型公司拥有多个内部网络主机,但是只有一个或者有限的几个外部IP地址。试设计一个方案解决外部IP地址有限的问题。
2.考虑这样一个实例,一个A类子网络(116.111.4.0)为了收/发电子邮件,允许SMTP出站/入站服务,邮件服务器的IP地址为116.111.4.1;对于Web服务,允许内部网用户访问因特网上的任何网络和站点,但只允许一个合作伙伴公司(98.120.7.0)的网络访问内部Web服务器(116.111.4.5)。请设定合理的过滤规则表。
3.SSL VPN应用方案设计。高校校园网远程访问的一个关键应用是图书馆资源访问。高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围。即采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商根据访问者的IP地址来判断是否是经过授权的用户;而只要是从校园网出去的IP地址都是被认可的,因为校园网出口IP地址和部分公网IP地址是属于这个有限范围的,所以校园网上的所有计算机都可以使用。
如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用ADSL还是小区宽带,使用的都是社会网络运营商提供的IP地址,不是校园网的IP地址,因此数据库服务商认为是非授权用户,拒绝访问。
也可以要求数据库服务商进一步开放更多的IP地址为合法用户,但是这要求访问者的IP地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态IP地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而会自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过转换后拥有校内地址,再访问资源数据库。这样,学校从网上购置的大量电子数据就能更有效地提供给广大师生开展教学与研究了。
请采用SSL VPN设计实现上述应用的方案。
六、操作实验题
PAT通常应用在规模较小的企业中。请在安装有Windows Server系统的服务器上实现网络地址转换和端口映射。