防火墙试题(2)

二．问答题

1.代理服务器技术有哪些优缺点？

答：优点：代理易于配置；代理能生成各项记录；代理能过滤数据内容。

缺点：速度较路由器慢；对用户不透明；代理不能改进底层协议的安全性

2.状态检测防火墙工作在OSI模型的哪部分，它有什么优缺点？ 答：1）状态检测防火墙工作在数据链路层和网络层之间，它从中截取数据包。

2) 状态检测防火墙的优点

(1)高效性； (2)可伸缩性和可扩展性强； (3)应用范围广。 3) 状态检测防火墙的缺点

(1) 配置复杂； (2) 会降低网络的速度； 三．问答题

1.常用的VPN技术有哪些，分别是什么？ 答：MPLS 多协议标签交换 SSL/TSL 传输层安全 L2TP 二层隧道协议 PPTP 点到点隧道协议 IPSec IP安全协议 2.防火墙有哪些局限性？

答：（1）防火墙不能防止通向站点的后门；（2）防火墙一般不提供对

内部的保护。 防火墙无法防范数据驱动型的攻击；（3）防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。

1.1)设定INPUT为ACCEPT 1.2)设定OUTPUT为ACCEPT 1.3)设定FORWARD为ACCEPT 参考答案:

iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT

2)制定源地址访问策略

2.1)接收来自192.168.0.3的IP访问 2.2)拒绝来自192.168.0.0/24网段的访问 参考答案:

iptables -A INPUT -i eth0 -s 192.168.0.3 -j ACCPET iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP

3)目标地址192.168.0.3的访问给予记录,并查看/var/log/message 参考答案:

iptables -A INPUT -s 192.168.0.3 -j LOG

4)制定端口访问策略

4.1)拒绝所有地址访问本机的111端口

4.2)拒绝192.168.0.0/24网段的1024-65534的源端口访问SSH 参考答案:

iptables -A INPUT -i eth0 -p tcp --dport 111 -j DROP

iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --sport 1024:65534 --dport ssh -j DROP

5)制定CLIENT端的防火墙访问状态 5.1)清除所有已存在的规则;

5.2)设定预设策略,除了INPUT设为DROP,其他为ACCEPT; 5.3)开放本机的lo能自由访问; 5.4)设定有相关的封包状态能进入本机; 参考答案: iptables -F iptables -X iptables -Z

iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPTLUPA

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP

6)制定防火墙的MAC地址访问策略 6.1)清除所以已存的规则 6.2)将INPUT设为DROP

6.3)将目标计算机的MAC设为ACCEPT 参考答案: iptables -F iptables -X iptables -Z

iptables -P INPUT DROP

iptables -A INPUT -m mac --mac-source 00-C0-9F-79-E1-8A -j ACCEPT

7)设定ICMP包，状态为8的被DROP掉 参考答案:

iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP

8)制定防火墙的NAT访问策略 8.1)清除所有策略LUPA开源社区

8.2)重置ip_forward为1

8.3)通过MASQUERADE设定来源于192.168.6.0网段的IP通过192.168.6.217转发出去

8.4)通过iptables观察转发的数据包 参考答案: iptables -F iptables -X iptables -Z

echo \

iptables -t nat -A POSTROUTING -s 192.168.6.0 -o 192.168.6.217 -j MASQUERADE iptables -L -nv

9)制定防火墙的NAT访问策略 9.1)清除所有NAT策略 9.2)重置ip_forward为1

9.3)通过SNAT设定来源于192.168.6.0网段通过eth1转发出去 9.4)用iptables观察转发的数据包 参考答案: iptables -F -t nat iptables -X -t nat iptables -Z -t nat