練習題

一、填空題

1.防火墻一般部署在____________和____________之間。

2.從實現方式上看，防火墻可以分為____________和____________兩類。

3.為了配置管理方便，內網中需要向外網提供服務的服務器往往放在Internet與內部網絡之間一個單獨的網段，這個網段一般稱為____________。

4.____________是指在不丟包的情況下單位時間內通過防火墻的數據包數量，這是測量防火墻性能的重要指標。

5.防火墻的基本類型有____________、____________、____________和____________。

二、單項選擇題

1.防火墻是（?。?/p>

A.審計內、外網間數據的硬件設備

B.審計內、外網間數據的軟件設備

C.審計內、外網間數據的策略

D.以上的綜合

2.不屬于防火墻的主要作用是（　）。

A.抵抗外部攻擊

B.保護內部網絡

C.防止惡意訪問

D.限制網絡服務

3.以下說法正確的是（?。?/p>

A.防火墻能防范新的網絡安全問題

B.防火墻能防范數據驅動型攻擊

C.防火墻不能完全阻止病毒的傳播

D.防火墻不能防止來自內部網的攻擊

4.“周邊網絡”是指（　）。

A.防火墻周邊的網絡

B.堡壘主機周邊的網絡

C.介于內網與外網之間的保護網絡

D.包過濾型路由器周邊的網絡

5.關于屏蔽子網防火墻體系結構中堡壘主機的說法，錯誤的是（?。?/p>

A.不屬于整個防御體系的核心

B.位于周邊網絡

C.可被認為是應用層網關

D.可以運行各種代理程序

6.數據包包過濾一般不需要檢查的部分是（　）。

A.IP源地址和目的地址

B.源端口和目的端口

C.協議類型

D.TCP序列號

7.下列哪一項是天融信的防火墻產品？（　）

A.黑客愁

B.網眼

C.網絡衛士

D.熊貓

三、思考題

1.防火墻的兩個基本安全策略是什么？

2.防火墻的基本功能包括哪些？

3.防火墻的缺陷有哪些？

四、綜合題

1.某用戶使用的防火墻的接口Eth0連接企業內網，內網為192.168.100.0/24，Eth0的IP地址為192.168.100.1；Eth1連接外網，Eth1的IP地址為202.10.10.1。企業可用的公網IP地址范圍為202.10.10.1～202.10.10.10，網絡拓撲結構的示意圖如圖1-37所示。

【任務要求】

（1）分析題中情況下，防火墻可以采用的部署模式。

（2）分析題中情況下，如何使用防火墻在保證各項性能及功能要求的前提下，替換路由器。

（3）以采用透明方式部署防火墻為例，說明題中網絡結構下，在天融信防火墻上的基本配置過程及步驟。

2.某企業的網絡結構示意圖如圖1-38所示，所部署的防火墻工作在混合模式。Eth0接口屬于內網區域（area_eth0），為交換trunk接口，同時屬于vlan.0001和vlan.0002，vlan.0001的IP地址為10.10.10.1，連接研發部門文檔組所在的內網（10.10.10.0/24）；vlan.0002的IP地址為10.10.11.1，連接研發部門項目組所在的內網（10.10.11.0/24）。Eth1接口IP地址為192.168.100.140，屬于外網area_eth1區域，公司通過與防火墻Eth1接口相連的路由器連接外網。Eth2接口屬于area_eth2區域，為路由接口，其IP地址為172.16.1.1，為信息管理部所在區域，有多臺服務器，其中Web服務器的IP地址為192.16.1.3。用戶具體要求如下：

內網文檔組的機器可以上網，允許項目組領導上網，禁止項目組普通員工上網；

外網和area_eth2區域的機器不能訪問研發部門內網；

內外網用戶均可以訪問area_eth2區域的Web服務器。

【任務要求】

（1）分析防火墻策略匹配的過程，以及匹配順序。

（2）寫出如果要按照題中用戶要求，在天融信防火墻下實現防火墻配置的基本步驟和過程。

3.企業Web服務器（IP：172.16.1.2）通過防火墻MAP為202.99.27.201對內網用戶提供Web服務，網絡示意圖如圖1-39所示。

【任務要求】

（1）分析上述環境的配置要求，并描述配置過程及要點；

（2）本書中所提的案例及實際操作，基本均采用的是天融信公司目前最新的防火墻系統版本，因為防火墻產品的配置理念基本一致，請使用微軟的ISA防火墻軟件完成本任務的防火墻配置，并簡述配置過程。