试题一(共 20 分)

阅读下列说明和图，回答问题 1 至问题 5，将解答填入答题纸的对应栏内。【说明】已知某公司网络环境结构主要由三个部分组成，分别是 DMZ 区、内网办公区和生产区，其拓扑结构如图 1-1 所示。信息安全部的王工正在按照等级保护 2.0 的要求对部分业务系统开展安全配置。图 1-1 当中，网站服务器的 IP 地址是 192.168.70.140，数据库服务器的 IP 地址是 192.168.70.141，信息安全部计算机所在网段为 192.168.11.1/24，王工所使用的办公电脑 IP 地址为 192.168.11.2。

【问题 1】(2 分)

为了防止生产网受到外部的网络安全威胁，安全策略要求生产网和其他网之间部署安全隔离装置，隔离强度达到接近物理隔离。请问图中 X 最有可能代表的安全设备是什么?

问题 1 解析：

图中最有有可能代表的设备是网闸，安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

问题一：答案      网闸

【问题 2】(2 分)

防火墙是网络安全区域边界保护的重要技术，防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图 1-1 拓扑图中的防火墙布局属于哪种体系结构类型?

问题 2 解析：

问题2：答案          基于屏蔽子网的防火墙

【问题 3】(2 分)

通常网络安全需要建立四道防线，第一道是保护，阻止网络入侵；第二道是监测，及时发现入侵和破坏；第三道是响应，攻击发生时确保网络打不垮；第四道是恢复，使网络在遭受攻击时能以最快速度起死回生。请问拓扑图 1-1 中防火墙 1 属于第几道防线?

问题 3 解析：

纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来，针对保护对象，部署合适的安全措施，形成多道保护线，各安全防护措施能够互相支持和补救，尽可能地阻断攻击者的威胁。目前，安全业界认为网络需要建立四道防线：安全保护是网络的第一道防线，能够阻止对网络的入侵和危害；安全监测是网络的第二道防线，可以及时发现入侵和破坏；实时响应是网络的第三道防线，当攻击发生时维持网络“打不垮”；恢复是网络的第四道防线，使网络在遭受攻击后能以最快的速度“起死回生”，最大限度地降低安全事件带来的损失。显然，防火墙 1 位于纵深防御模型的最外层，作为安全保护的第一道防线，阻止互联网对内网的入侵和危害。

参考答案：   第一道防线

【问题 4】(6 分)图 1-1 中防火墙 1 和防火墙 2 都采用 Ubuntu 系统自带的 iptables 防火墙，其默认的过滤规则如图 1-2 所示。

(1)请说明上述防火墙采取的是白名单还是黑名单安全策略。

(2)图 1-2 显示的是 iptables 哪个表的信息，请写出表名。

(3)如果要设置 iptables 防火墙默认不允许任何数据包进入，请写出相应命令。

问题 4 解析：

（1）黑名单安全策略：当链的默认策略为 ACCEPT 时，链中的规则对应的动作应该为DROP 或者 REJECT，表示只有匹配到规则的报文才会被拒绝，没有被规则匹配到的报文都会被默认接受。白名单安全策略：当链的默认策略为 DROP 时，链中的规则对应的动作应该为ACCEPT，表示只有匹配到规则的报文才会被放行，没有被规则匹配到的报文都会被默认拒绝。图 1-2 中链的默认策略是 ACCEPT，防火墙采取的是黑名单策略。

（2）在 iptables 中内建的规则表有三个：nat、mangle 和 filter。这三个规则表的功能如下：●nat：此规则表拥有 prerouting 和 postrouting 两个规则链，主要功能是进行一对一、一对多、多对多等地址转换工作（snat、dnat），这个规则表在网络工程中使用得非常频繁。●mangle：此规则表拥有 prerouting、forward 和 postrouting 三个规则链。除了进行网络地址转换外，还在某些特殊应用中改写数据包的 ttl、tos 的值等，这个规则表使用得很少，因此在这里不做过多讨论。●filter：这个规则表是默认规则表，拥有 input、forward 和 output 三个规则链，它是用来进行数据包过滤的处理动作（如 drop、accept 或 reject 等），通常的基本规则都建立在此规则表中。图 1-2 中的 iptables 的默认规则链是 INPUT、FORWARD 和 OUTPUT，所以显示的是filter 表的相关信息。

（3）防火墙 1 和防火墙 2 都需要经过路由判断后进行转发，即目的地不是本机的数据包执行的规则。所以需要修改 FORWARD 规则链的默认策略为 DROP 或者 REJECT。题干要求的是默认不允许任何数据包进入，命令如下：iptables -P FORWARD DROP 或者 iptables -t filter -P FORWARD DROP

（DROP 更改为 REJECT 也符合题意）

参考答案：

（1）黑名单

（2）Filter

（3）iptables -P FORWARD DROP 或者 iptables -t filter -P FORWARD DROP（DROP 更改为 REJECT 也符合题意）

【问题 5】(8 分)DMZ 区的网站服务器是允许互联网进行访问的，为了实现这个目标，王工需要对防火墙 1 进行有效配置。同时王工还需要通过防火墙 2 对网站服务器和数据库服务器进行日常运维。

(1)防火墙 1 应该允许哪些端口通过?

(2)请编写防火墙 1 上实现互联网只能访问网站服务器的 iptables 过滤规则。

(3)请写出王工电脑的子网掩码。

(4)为了使王工能通过 SSH 协议远程运维 DMZ 区中的服务器，请编写防火墙 2 的iptables 过滤规则。

问题 5 解析：（1）网站服务器提供的是 web 服务，使用 HTTP 和 HTTPS，对应的默认端口是 80 和443。

（2）首先设置 iptables 防火墙默认不允许任何数据包进入，即采用白名单策略，然后在 filter 表的 FORWARD 链中添加一条允许目标端口 80 和 443 的 TCP 服务。规则如下iptables -t filter -P FORWARD DROP（DROP 更改为 REJECT 也符合题意）iptables -t filter -A FORWARD -p tcp --dport 80 -j ACCEPTiptables -t filter -A FORWARD -p tcp --dport 443 -j ACCEPT（3）网工 IP 地址位于信息安全部计算机所在网段为 192.168.11.1/24，/24 就是掩码，点分十进制表示为 255.255.255.0

（4）SSH 协议是基于 TCP 的 22 号端口，所以在配置 iptables 需要设置源地址为网工办公电脑的 IP 地址、目标地址为 DMZ 区域所使用的 IP 地址、协议是 TCP 协议、目标端口是 22 的数据流的允许通过的规则，以及一条反向允许通过的规则。即：iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp --dport 22 -j ACCEPTiptables -t filter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2 -p tcp --sport 22 -j ACCEPT

参考答案：

（1）80 和 443

（2）iptables -t filter -P FORWARD DROP（DROP 更改为 REJECT 也符合题意）iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 80 -jACCEPTiptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 443 –jACCEPT

（3）255.255.255.0

（4）iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp--dport 22 -j ACCEPTiptables -t filter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2 -p tcp--sport 22 -j ACCEPT