網(wǎng)絡(luò)安全技術(shù) 習(xí)題及答案第4章 防火墻技術(shù)

第4章 防火墻技術(shù)練習(xí)題1. 單項選擇題（1）一般而言，Internet防火墻建立在一個網(wǎng)絡(luò)的( A )。A內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點B每個子網(wǎng)的內(nèi)部C部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合合 D內(nèi)部子網(wǎng)之間傳送信息的中樞（2）下面關(guān)于防火墻的說法中，正確的是( C )。A防火墻可以解決來自內(nèi)部網(wǎng)絡(luò)的攻擊B防火墻可以防止受病毒感染的文件的傳輸C防火墻會削弱計算機網(wǎng)絡(luò)系統(tǒng)的性能 D防火墻可以防止錯誤配置引起的安全威脅（3）包過濾防火墻工作在( C )。A物理層B數(shù)據(jù)鏈路層C網(wǎng)絡(luò)層 D會話層（4）防火墻中地址翻譯的主要作用是（ B ）。A提供代理服務(wù) B隱藏內(nèi)部網(wǎng)絡(luò)地址C進行入侵檢測 D防止病毒入侵（5）WYL公司申請到5個IP地址，要使公司的20臺主機都能聯(lián)到Internet上，他需要使用防火墻的哪個功能( B )。A假冒IP地址的偵測B網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)C內(nèi)容檢查技術(shù) D基于地址的身份認證（6）根據(jù)統(tǒng)計顯示，80%的網(wǎng)絡(luò)攻擊源于內(nèi)部網(wǎng)絡(luò)，因此，必須加強對內(nèi)部網(wǎng)絡(luò)的安全控制和防范。下面的措施中，無助于提高內(nèi)部用戶之間攻擊的是（ D ）。A使用防病毒軟件B使用日志審計系統(tǒng)C使用入侵檢測系統(tǒng)D使用防火墻防止內(nèi)部攻擊（7）關(guān)于防火墻的描述不正確的是（ D ）。A防火墻不能防止內(nèi)部攻擊。B如果一個公司信息安全制度不明確，擁有再好的防火墻也沒有用。C防火墻是IDS的有利補充。D防火墻既可以防止外部用戶攻擊，也可以防止內(nèi)部用戶攻擊。（8）包過濾是有選擇地讓數(shù)據(jù)包在內(nèi)部與外部主機之間進行交換，根據(jù)安全規(guī)則有選擇的路由某些數(shù)據(jù)包。下面不能進行包過濾的設(shè)備是（ D ）。A路由器 B主機C三層交換機 D網(wǎng)橋2. 簡答題（1）防火墻的兩條默認準則是什么？（2）防火墻技術(shù)可以分為哪些基本類型？各有何優(yōu)缺點？（3）防火墻產(chǎn)品的主要功能是什么？3. 綜合應(yīng)用題圖4.12所示的拓撲圖中是某公司在構(gòu)建公司局域網(wǎng)時所設(shè)計的一個方案，中間一臺是用Netfilter/iptables構(gòu)建的防火墻，eth1連接的是內(nèi)部網(wǎng)絡(luò)，eth0連接的是外部網(wǎng)絡(luò)，請對照圖回答下面的問題。圖4.12 公司局域網(wǎng)拓撲圖【問題1】按技術(shù)的角度來分，防火墻可分為哪幾種類型，請問上面的拓撲是屬于哪一種類型的防火墻？ 答：防火墻可分為包過濾、應(yīng)用網(wǎng)關(guān)、狀態(tài)檢測。上面的拓撲是屬于包過濾【問題2】如果想讓內(nèi)部網(wǎng)絡(luò)的用戶上網(wǎng)，則需要NAT才能實現(xiàn)，請問在iptables上的NAT有哪幾種類型，想讓內(nèi)部網(wǎng)絡(luò)的用戶上網(wǎng)，要做的是哪一種類型？答：在iptables上的NAT有：SNAT與DNAT想讓內(nèi)部網(wǎng)絡(luò)的用戶上網(wǎng)，要做的是SNAT【問題3】如果想讓內(nèi)部網(wǎng)絡(luò)的用戶上網(wǎng)，請完成下面的配置？ （1）打開IP轉(zhuǎn)發(fā)功能#echo “ 1 ” /proc/sy/net/ipv4/ip_forward（2）做NAT#iptables t nat A POSTROUTING o eth0