a

1.防火墙过滤规则表

1.假设某企业内部网(202.114.63.0/24)需要通过防火墙与外部网络互连,其防火墙的过滤规则实例如表。表中”*”表示通配符,任意服务端口都有两条规则。

1.解释一下每条规则的含义。并请补充表中的内容(1)和(2)

1
2
3
4
5
6
7
8
9
10
A:允许内部网段的任意主机从任意大于1024的端口发起到任意地址的80端口(HTTP)的TCP连接。
B:允许外部网络的任意主机的80端口(HTTP)向内部网段的任意大于1024的端口发起TCP连接,并且是已经建立的连接(ACK=Yes)
C:允许任意主机从任意大于1024的端口向特定地址202.114.64.125的80端口(HTTP)发起TCP连接。
D:允许特定地址202.114.64.125的80端口(HTTP)向任意地址的任意大于1024的端口发起TCP连接,并且是已经建立的连接(ACK=Yes)。
E:允许内部网段的任意主机从任意大于1024的端口发起到任意地址的特定UDP端口(需要补充)的连接。
F:允许外部网络的任意主机的53端口(DNS)向内部网段的任意大于1024的端口发起UDP连接。
G:这是一个默认规则,通常用于处理所有未明确匹配的流量。根据常见的防火墙策略,这可能是拒绝(drop)或记录(log)未匹配的流量。
补充:
(1):53
(2):drop

2.根据上述规则表给出该企业对应的安全需求。

1
2
3
(1)企业需要控制内部网络对外部HTTP/UDP服务的访问,同时允许外部HTTP/UDP服务响应内部网络的请求。
(2)企业允许外部网络访问特定的服务器(202.114.64.125)的80端口,并且允许该服务器的80端口响应外部网络的请求,意味着该服务器托管了企业对外提供服务的网站或应用。
(3)实现了内部网络与外部网络之间的安全隔离,以防止未经授权的访问和潜在的网络攻击。

3.请给出防火墙规则中的三种数据包处理方式。

1
2
3
允许(Accept/Allow):当数据包匹配规则时,防火墙允许该数据包通过,使其能够到达目标地址,常用于放行可信的、必要的网络流量,比如企业内网办公区访问生产网特定服务的合法请求 。
拒绝(Reject/Deny):若数据包匹配规则,防火墙会直接丢弃该数据包,还可能向发送方返回拒绝响应(如 ICMP 不可达消息 )。用于明确阻止非法或不需要的流量,像外部网络恶意尝试访问生产网敏感端口时,用拒绝动作阻断并告知来源 。
丢弃(Drop):数据包匹配规则后,防火墙直接丢弃该数据包,且不向发送方返回任何响应。这种方式更隐蔽,可避免攻击者通过返回信息探测网络结构,常用来处理疑似攻击流量,让攻击者难以判断是规则阻断还是网络故障,增强网络安全性 。

4.防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面的内容。请问是哪些?具体包括哪些内容?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
1. 认证(身份识别与验证)
   内容:对访问主体(用户、设备、进程等)的身份合法性进行识别与检验确认 。包括主体向客体证明 “我是谁”(如用户输入账号密码、设备提供数字证书 ),以及客体(防火墙、被访问系统 )对主体身份的校验(验证账号密码是否匹配、证书是否有效且未被篡改 )。
   作用:是访问控制的基础,确保只有合法身份的主体能参与后续访问流程,防止非法主体伪装身份入侵。比如企业员工需用域账号密码登录,防火墙验证通过后才允许其访问内网资源。
2. 控制策略(规则与权限管理)
   内容:通过设定规则集合,限制主体对客体(网络资源、服务、数据等 )的访问范围与操作权限 。涵盖:
   网络维度:基于 IP 地址(如允许 / 拒绝特定 IP 段访问 )、端口(开放或封禁 80、443 等端口 )、协议(TCP、UDP 等 )控制流量;
   用户维度:为不同用户 / 用户组分配权限(如普通员工仅能访问办公系统,管理员可操作服务器配置 );
   时间 / 场景维度:限定访问时段(如工作时间开放外网访问,非工作时间阻断 )、应用场景(如仅允许内网终端在接入办公网络时访问生产系统 )。
   作用:精准管控合法主体的访问边界,既保障授权用户 / 设备正常使用资源,又阻止非法或越权访问,避免敏感数据泄露、系统被恶意操控。
3. 访问监控(违规与越权检测)
   内容:对主体访问客体的行为进行实时监测,识别并记录 “越权操作” 或 “异常行为” 。例如:
   检测用户尝试访问未授权的高敏感目录;
   监控设备短时间内高频发起可疑连接(疑似扫描、攻击 );
   追踪协议违规行为(如 HTTP 流量中夹杂恶意代码 payload )。
   作用:及时发现访问过程中的安全风险,为后续审计、响应提供依据,防止 “合法身份但非法操作” 的威胁扩散,比如员工账号被盗用后尝试访问核心数据库,可被监控拦截。
4. 安全审计(行为记录与追溯)
   内容:自动记录主体访问网络资源的活动日志,包括访问主体信息(谁访问 )、访问客体信息(访问了什么 )、访问行为(何时访问、做了什么操作 ),并支持对日志的分析、查询与审计 。例如:
   记录 “192.168.1.100(用户 A )在 9:00 访问了 10.0.0.1(服务器 B )的 80 端口,执行了 GET 请求”;
   定期审计日志,检查是否存在违规访问(如非工作时间访问敏感系统 )、潜在攻击痕迹(如多次登录失败尝试 )。
   作用:用于事后追溯安全事件(如数据泄露后,通过审计日志定位泄露源、分析攻击路径 ),同时满足合规要求(如等保、行业监管对日志留存与审计的规定 ),帮助企业持续优化访问控制策略。

5.请问表中,规则A涉及访问控制的哪几个方面的内容?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
(1)源地址(Source Address):
规则A指定了源地址为202.114.63.0/24,这意味着只有来自这个特定IP地址范围(内部网段)的流量才会被此规则匹配。这是一种基于源IP地址的访问控制。
(2)源端口(Source Port):
规则A中的源端口被指定为大于1024的任意端口(>1024)。这通常意味着只有来自较高编号的端口(通常是应用程序或服务的动态端口)的流量才会被此规则匹配。这是一种基于源端口的访问控制。
目的地址(Destination Address):
目的地址被指定为任意(*),这意味着此规则不限制流量的目的地址,即流量可以被发送到任何外部地址。这表明没有基于目的IP地址的访问控制。
(3)目的端口(Destination Port):
目的端口被指定为80,这是HTTP服务的标准端口。这意味着只有目标端口为80的流量才会被此规则匹配。这是一种基于目的端口的访问控制。
(4)协议(Protocol):
规则A指定了TCP协议,这意味着只有TCP协议的流量才会被此规则匹配。这是一种基于协议类型的访问控制。
(5)ACK标志(ACK Flag):
ACK标志被指定为任意(*),这意味着此规则不限制TCP数据包的ACK标志,即流量可以是任何类型的TCP数据包(包括但不限于ACK、SYN、FIN等)。这表明没有基于TCP标志的访问控制。
(5)动作(Action):
规则A的动作是“accept”,这意味着匹配此规则的流量将被允许通过防火墙。

2.RSA求密文

2.已知两个素数5和13,明文为2;通过RSA求密文。

3.hill加密

VPN

1.什么是 VPN?VPN提供了哪些主要特性?

定义:

VPN是一组通信协议,利用公共互连网络的物理资源为用户创建逻辑上的虚拟子网,

以提供与专用网络相当的安全信息传输。

主要安全特性:

  • 隧道机制:

    利用协议的封装,配合其他特性的使用,加大对数据保护的力度

  • 加密保护:

    通过对数据的加密,避免VPN数据传输过程中被第三方偷窥

  • 完整性保护:

    通过使用完整性保护算法,避免数据传输过程中被第三方截获并非法篡改

  • 用户身份认证:

    允许合法用户访问,禁止非法用户和未授权用户访问

  • 防止恶意攻击:

    通过基于路由器的VPN实现,利用不同的功能防止一定的恶意攻击

2.什么是隧道?隧道的主要功能有哪些?

隧道定义:

隧道技术是VPN的核心技术,用一种网络协议封装另一种网络协议的报文,使数据能够在不同网络之间传输。

主要功能:

(1)将数据传输到特定目的地

(2)隐藏私有的网络地址

(3)协议数据传递

(4)提供数据安全支持

3.列举常见的隧道协议

分为二层和三层隧道协议。

二层:PPTP(点到点隧道协议)、L2TP(第二层隧道协议)

三层:GRE(通用路由封装)、IPSec

4.IPSec 的传输模式和隧道模式分别适用于哪些应用场景?为什么?

IPSec有两种主要的工作模式:传输模式和隧道模式。

传输模式:IPSec直接对原始的IP数据包进行保护,在原始IP数据包的传输层头部和IP数据载荷之间插入IPSec头部(如ESP和AH头部)。这种场景主要用于保护主机之间的端到端通信。

隧道模式:IPSec将整个原始IP数据包封装在一个新的IP数据包中,新的IP数据包包含一个新的IP头部,用于在网络中进行路由。这种模式主要用于保护网络之间的通信,如远程访问、站点到站点的VPN。

传输模式的应用场景:

(1)主机到主机通信:不需要