信息安全工程师下午题

试题一(共 20 分)

阅读下列说明和图,回答问题 1 至问题 5,将解答填入答题纸的对应栏内。【说明】已知某公司网络环境结构主要由三个部分组成,分别是 DMZ 区、内网办公区和生产区,其拓扑结构如图 1-1 所示。信息安全部的王工正在按照等级保护 2.0 的要求对部分业务系统开展安全配置。图 1-1 当中,网站服务器的 IP 地址是 192.168.70.140,数据库服务器的 IP 地址是 192.168.70.141,信息安全部计算机所在网段为 192.168.11.1/24,王工所使用的办公电脑 IP 地址为 192.168.11.2。

【问题 1】(2 分)

为了防止生产网受到外部的网络安全威胁,安全策略要求生产网和其他网之间部署安全隔离装置,隔离强度达到接近物理隔离。请问图中 X 最有可能代表的安全设备是什么?

问题 1 解析:

图中最有有可能代表的设备是网闸,安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。

问题一:答案      网闸

【问题 2】(2 分)

防火墙是网络安全区域边界保护的重要技术,防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图 1-1 拓扑图中的防火墙布局属于哪种体系结构类型?

问题 2 解析:

问题2:答案          基于屏蔽子网的防火墙

【问题 3】(2 分)

通常网络安全需要建立四道防线,第一道是保护,阻止网络入侵;第二道是监测,及时发现入侵和破坏;第三道是响应,攻击发生时确保网络打不垮;第四道是恢复,使网络在遭受攻击时能以最快速度起死回生。请问拓扑图 1-1 中防火墙 1 属于第几道防线?

问题 3 解析:

纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够互相支持和补救,尽可能地阻断攻击者的威胁。目前,安全业界认为网络需要建立四道防线:安全保护是网络的第一道防线,能够阻止对网络的入侵和危害;安全监测是网络的第二道防线,可以及时发现入侵和破坏;实时响应是网络的第三道防线,当攻击发生时维持网络“打不垮”;恢复是网络的第四道防线,使网络在遭受攻击后能以最快的速度“起死回生”,最大限度地降低安全事件带来的损失。显然,防火墙 1 位于纵深防御模型的最外层,作为安全保护的第一道防线,阻止互联网对内网的入侵和危害。

参考答案:   第一道防线

【问题 4】(6 分)图 1-1 中防火墙 1 和防火墙 2 都采用 Ubuntu 系统自带的 iptables 防火墙,其默认的过滤规则如图 1-2 所示。

(1)请说明上述防火墙采取的是白名单还是黑名单安全策略。

(2)图 1-2 显示的是 iptables 哪个表的信息,请写出表名。

(3)如果要设置 iptables 防火墙默认不允许任何数据包进入,请写出相应命令。

问题 4 解析:

(1)黑名单安全策略:当链的默认策略为 ACCEPT 时,链中的规则对应的动作应该为DROP 或者 REJECT,表示只有匹配到规则的报文才会被拒绝,没有被规则匹配到的报文都会被默认接受。白名单安全策略:当链的默认策略为 DROP 时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到规则的报文才会被放行,没有被规则匹配到的报文都会被默认拒绝。图 1-2 中链的默认策略是 ACCEPT,防火墙采取的是黑名单策略。

(2)在 iptables 中内建的规则表有三个:nat、mangle 和 filter。这三个规则表的功能如下:●nat:此规则表拥有 prerouting 和 postrouting 两个规则链,主要功能是进行一对一、一对多、多对多等地址转换工作(snat、dnat),这个规则表在网络工程中使用得非常频繁。●mangle:此规则表拥有 prerouting、forward 和 postrouting 三个规则链。除了进行网络地址转换外,还在某些特殊应用中改写数据包的 ttl、tos 的值等,这个规则表使用得很少,因此在这里不做过多讨论。●filter:这个规则表是默认规则表,拥有 input、forward 和 output 三个规则链,它是用来进行数据包过滤的处理动作(如 drop、accept 或 reject 等),通常的基本规则都建立在此规则表中。图 1-2 中的 iptables 的默认规则链是 INPUT、FORWARD 和 OUTPUT,所以显示的是filter 表的相关信息。

(3)防火墙 1 和防火墙 2 都需要经过路由判断后进行转发,即目的地不是本机的数据包执行的规则。所以需要修改 FORWARD 规则链的默认策略为 DROP 或者 REJECT。题干要求的是默认不允许任何数据包进入,命令如下:iptables -P FORWARD DROP 或者 iptables -t filter -P FORWARD DROP

(DROP 更改为 REJECT 也符合题意)

参考答案:

(1)黑名单

(2)Filter

(3)iptables -P FORWARD DROP 或者 iptables -t filter -P FORWARD DROP(DROP 更改为 REJECT 也符合题意)

【问题 5】(8 分)DMZ 区的网站服务器是允许互联网进行访问的,为了实现这个目标,王工需要对防火墙 1 进行有效配置。同时王工还需要通过防火墙 2 对网站服务器和数据库服务器进行日常运维。

(1)防火墙 1 应该允许哪些端口通过?

(2)请编写防火墙 1 上实现互联网只能访问网站服务器的 iptables 过滤规则。

(3)请写出王工电脑的子网掩码。

(4)为了使王工能通过 SSH 协议远程运维 DMZ 区中的服务器,请编写防火墙 2 的iptables 过滤规则。

问题 5 解析:(1)网站服务器提供的是 web 服务,使用 HTTP 和 HTTPS,对应的默认端口是 80 和443。

(2)首先设置 iptables 防火墙默认不允许任何数据包进入,即采用白名单策略,然后在 filter 表的 FORWARD 链中添加一条允许目标端口 80 和 443 的 TCP 服务。规则如下iptables -t filter -P FORWARD DROP(DROP 更改为 REJECT 也符合题意)iptables -t filter -A FORWARD -p tcp --dport 80 -j ACCEPTiptables -t filter -A FORWARD -p tcp --dport 443 -j ACCEPT(3)网工 IP 地址位于信息安全部计算机所在网段为 192.168.11.1/24,/24 就是掩码,点分十进制表示为 255.255.255.0

(4)SSH 协议是基于 TCP 的 22 号端口,所以在配置 iptables 需要设置源地址为网工办公电脑的 IP 地址、目标地址为 DMZ 区域所使用的 IP 地址、协议是 TCP 协议、目标端口是 22 的数据流的允许通过的规则,以及一条反向允许通过的规则。即:iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp --dport 22 -j ACCEPTiptables -t filter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2 -p tcp --sport 22 -j ACCEPT

参考答案:

(1)80 和 443

(2)iptables -t filter -P FORWARD DROP(DROP 更改为 REJECT 也符合题意)iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 80 -jACCEPTiptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 443 –jACCEPT

(3)255.255.255.0

(4)iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp--dport 22 -j ACCEPTiptables -t filter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2 -p tcp--sport 22 -j ACCEPT

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/386597.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【BES2500x系列 -- RTX5操作系统】系统执行流程 -- 引导程序(boot loader)--(十)

💌 所属专栏:【BES2500x系列】 😀 作  者:我是夜阑的狗🐶 🚀 个人简介:一个正在努力学技术的CV工程师,专注基础和实战分享 ,欢迎咨询! &#x1f49…

地球磁场的形成、变迁、特点

还是大剑师兰特:曾是美国某知名大学计算机专业研究生,现为航空航海领域高级前端工程师;CSDN知名博主,GIS领域优质创作者,深耕openlayers、leaflet、mapbox、cesium,canvas,webgl,ech…

Unity多客户端位置同步信息

书接上文,有了一个基本的网络同步消息的服务器,客户端这边其实要做的工作就简单许多。 如果对位置信息的保密程度没那么高的话,可以放在客户端处理这部分的逻辑。 即一个客户端移动的时候,另一个客户端跟着移动,基本…

【电控笔记-xuan】各种估测器扰动估计性能比较

各种扰动观测器观测结果 蓝色: 扰动值 隆博戈估测器扰动补偿 论文53disturb扰动补偿 2order eso 观测

LabVIEW学习-LabVIEW处理带分隔符的字符串从而获取数据

带分隔符的字符串很好处理,只需要使用"分隔符字符串至一维字符串数组"函数或者"一维字符串数组至分隔符字符串"函数就可以很轻松地处理带分隔符地字符串。 这两个函数所在的位置为: 函数选板->字符串->附加字符串函数->分…

APT 安装软件详细教程

文章目录 APT 安装软件详细教程APT 概述APT 的基本命令APT 命令详解安装软件包更新和升级软件包删除软件包搜索和查找软件包管理软件包依赖清理软件包缓存APT 配置软件源配置自定义软件源常见问题及解决方案解决软件包依赖问题处理软件源错误其他常见问题使用 APT 的最佳实践总…

在Postman中引用JS库

前言 在做接口测试时,出于安全因素,请求参数需要做加密或者加上签名才能正常请求,例如:根据填写的请求参数进行hash计算进行签名。postman作为主流的接口调试工具也是支持请求预处理的,即在请求前使用JavaScript脚本对…

昇思MindSpore学习入门-自动混合精度

混合精度(Mix Precision)训练是指在训练时,对神经网络不同的运算采用不同的数值精度的运算策略。在神经网络运算中,部分运算对数值精度不敏感,此时使用较低精度可以达到明显的加速效果(如conv、matmul等&am…

OSI七层模型详解

OSI七层模型 OSI(Open System Interconnect),即开放式系统互连。 一般都叫OSI参考模型,是ISO组织在1985年研究的网络互连模型。该体系结构标准定义了网络互连的七层框架(物理层、数据链路层、网络层、传输层、会话层、…

[玄机]流量特征分析-常见攻击事件 tomcat

[玄机]流量特征分析-常见攻击事件 tomcat 题目做法及思路解析(个人分享) Tomcat是一个开源的Java Servlet容器,它实现了Java Servlet和JavaServer Pages (JSP) 技术,提供了一个运行这些应用程序的Web服务器环境。Tomcat由A…

go程序在windows服务中优雅开启和关闭

本篇主要是讲述一个go程序,如何在windows服务中优雅开启和关闭,废话不多说,开搞!!!   使用方式:go程序 net服务启动 Ⅰ 开篇不利 Windows go进程编译后,为一个.exe文件,直接执行即…

语言转文字

因为工作原因需要将语音转化为文字,经常搜索终于找到一个免费的好用工具,记录下使用方法 安装Whisper 搜索Colaboratory 右上方链接服务 执行 !pip install githttps://github.com/openai/whisper.git !sudo apt update && sudo apt install f…

NSSRound#4 Team

[NSSRound#4 SWPU]1zweb 考察&#xff1a;phar的反序列化 1.打开环境&#xff0c;审计代码 1.非预期解 直接用file伪协议读取flag,或直接读取flag file:///flag /flag 2.正常解法 用读取文件读取index.php,upload.php的源码 index.php: <?php class LoveNss{publi…

hadoop学习(一)

一.hadoop概述 1.1hadoop优势 1&#xff09;高可靠性&#xff1a;Hadoop底层维护多个数据副本&#xff0c;即使Hadoop某个计算元素或存储出现故障&#xff0c;也不会导致数据的丢失。 2&#xff09;高扩展性&#xff1a;在集群间分配任务数据&#xff0c;可方便扩展数以千计…

c++ 内存管理(newdeletedelete[])

因为在c里面新增了类&#xff0c;所以我们在有时候会用malloc来创建类&#xff0c;但是这种创建只是单纯的开辟空间&#xff0c;没有什么默认构造的。同时free也是free的表面&#xff0c;如果类里面带有指针指向堆区的成员变量就会free不干净。 所以我们c增加了new delete和de…

Python --Pandas库基础方法(2)

文章目录 Pandas 变量类型的转换查看各列数据类型改变数据类型 重置索引删除行索引和切片seriesDataFrame取列按行列索引选择loc与iloc获取 isin()选择query()的使用排序用索引排序使用变量值排序 修改替换变量值对应数值的替换 数据分组基于拆分进行筛选 分组汇总引用自定义函…

springcloud RocketMQ 客户端是怎么走到消费业务逻辑的 - debug step by step

springcloud RocketMQ &#xff0c;一个mq消息发送后&#xff0c;客户端是怎么一步步拿到消息去消费的&#xff1f;我们要从代码层面探究这个问题。 找的流程图&#xff0c;有待考究。 以下我们开始debug&#xff1a; 拉取数据的线程&#xff1a; PullMessageService.java 本…

126M全球手机基站SHP数据分享

数据是GIS的血液&#xff01; 我们在《2.8亿东亚五国建筑数据分享》一文中&#xff0c;为你分享过东亚五国建筑数据。 现在再为你分享全球手机基站SHP数据&#xff0c;你可以在文末查看该数据的领取方法。 全球手机基站SHP数据 全球手机基站数据是OpenCelliD团队创建由社区…

【Spring Cloud】Sleuth +Zinkin 实现链路追踪并持久化的解决方案

文章目录 前言链路追踪介绍Sleuth入门Sleuth介绍TraceSpanAnnotation Sleuth入门1、引入依赖2、修改配置文件3、网关路由配置4、演示 Zipkin的集成ZipKin介绍ZipKin服务端安装Zipkin客户端集成1、添加依赖2、添加配置3、访问微服务4、演示 Zipkin数据持久化使用mysql实现数据持…

现代Java开发:使用jjwt实现JWT认证

前言 jjwt 库 是一个流行的 Java 库&#xff0c;用于创建和解析 JWT。我在学习spring security 的过程中看到了很多关于jwt的教程&#xff0c;其中最流行的就是使用jjwt实现jwt认证&#xff0c;但是教程之中依然使用的旧版的jjwt库&#xff0c;许多的类与方法已经标记弃用或者…