信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/2/16）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2022/2/16

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2022/2/16）

閱讀下列說明和表，回答問題1至問題4,將解答填入答題紙的對應(yīng)欄內(nèi)。

【說明】

防火墻類似于我國古代的護城河，可以阻擋敵人的進(jìn)攻。在網(wǎng)絡(luò)安全中，防火墻主要用于邏輯隔離外部網(wǎng)絡(luò)與受保護的內(nèi)部網(wǎng)絡(luò)。防火墻通過使用各種安全規(guī)則來實現(xiàn)網(wǎng)絡(luò)的 安全策略。

防火墻的安全規(guī)則由匹配條件和處理方式兩個部分共同構(gòu)成。網(wǎng)絡(luò)流量通過防火墻時，根據(jù)數(shù)據(jù)包中的某些特定字段進(jìn)行計算以后如果滿足匹配條件，就必須采用規(guī)則中的處理方式進(jìn)行處理。

【問題1】（5分）

假設(shè)某企業(yè)內(nèi)部網(wǎng)（202.114.63.0/24）需要通過防火墻與外部網(wǎng)絡(luò)互連，其防火墻的過濾規(guī)則實例如表4.1所示。

請補充表4.1中的內(nèi)容（1）和（2），并根據(jù)上述規(guī)則表給出該企業(yè)對應(yīng)的安全需求。

【問題2】（4分）

一般來說，安全規(guī)則無法覆蓋所有的網(wǎng)絡(luò)流量。因此防火墻都有一條缺?。J(rèn)）規(guī)則，該規(guī)則能覆蓋事先無法預(yù)料的網(wǎng)絡(luò)流量。請問缺省規(guī)則的兩種選擇是什么？

【問題3】（6分）

請給出防火墻規(guī)則中的三種數(shù)據(jù)包處理方式。

【問題4】（4分）

防火墻的目的是實施訪問控制和加強站點安全策略，其訪問控制包含四個方面的內(nèi) 容：服務(wù)控制、方向控制、用戶控制和行為控制。請問表4.1中，規(guī)則A涉及訪問控制的哪幾個方面的內(nèi)容？

信管網(wǎng)cnitpm492170600355：
1 53 丟棄 內(nèi)部用戶可以訪問外部網(wǎng)絡(luò)的網(wǎng)頁服務(wù)器 外部用戶可以訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)頁服務(wù)器，其他流量不能訪問服務(wù)器 默認(rèn)拒絕，默認(rèn)允許 3接受拒絕丟棄 4服務(wù)控制方向控制

信管網(wǎng)cnitpm492009413874：
1. （1）53 （2）ｄｒｏｐ 2. 默認(rèn)允許；默認(rèn)拒絕 3. accept ：接受數(shù)據(jù)； deject ：拒絕接受，并且通知發(fā)送方拒絕的消息； ｄｒｏｐ：拒絕，并且不通知發(fā)送方 4. 方向控制，服務(wù)控制，用戶控制

信管網(wǎng)cnitpm489858407735：
53，ｄｒｏｐ 允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)的網(wǎng)頁瀏覽器 允許內(nèi)部外部訪問內(nèi)部網(wǎng)絡(luò)的網(wǎng)頁瀏覽器 除（1）和（2）外，任何其他網(wǎng)絡(luò)流量禁止通過該服務(wù)器 默認(rèn)允許：一切沒有禁止的就是允許的 默認(rèn)拒絕：一切沒有允許的就是拒絕的 接受 允許該數(shù)據(jù)包通過 拒絕，拒絕該數(shù)據(jù)包通過，并且通知信息源該數(shù)據(jù)包被禁止 丟棄，丟棄數(shù)據(jù)包，不通知該數(shù)據(jù)包被禁止 服務(wù)控制，方向控制

信管網(wǎng)cnitpm472555540195：
[1] 53 reject 放通202.114.63.0/24子網(wǎng)對外的的dns請求，放通所有對外的http協(xié)議請求，默認(rèn)阻止所有其他數(shù)據(jù)包。 [2] 白名單策略：只允許符合安全規(guī)則的包通過防火墻，其他通信包禁止 黑名單策略：禁止與安全規(guī)則相沖突的包通過防火墻，其他通信包都允許 [3] accept 允許數(shù)據(jù)包通過 reject 向主機發(fā)送拒絕數(shù)據(jù)包，拒絕對方的連接動作 ｄｒｏｐ 直接丟棄數(shù)據(jù)包 [4] 服務(wù)控制 方向控制

信管網(wǎng)cnitpm480111948342：
（1）53 reject。企業(yè)內(nèi)部網(wǎng)絡(luò)可訪問外部的任意網(wǎng)絡(luò)。外部任意網(wǎng)絡(luò)也可以訪問內(nèi)部網(wǎng)絡(luò) （2）默認(rèn)允許 默認(rèn)拒絕 （3）包過濾，服務(wù)器代理，基于狀態(tài)監(jiān)測 （4）服務(wù)、方向控制。