练习题

一、填空题

1.防火墙一般部署在____________和____________之间。

2.从实现方式上看，防火墙可以分为____________和____________两类。

3.为了配置管理方便，内网中需要向外网提供服务的服务器往往放在Internet与内部网络之间一个单独的网段，这个网段一般称为____________。

4.____________是指在不丢包的情况下单位时间内通过防火墙的数据包数量，这是测量防火墙性能的重要指标。

5.防火墙的基本类型有____________、____________、____________和____________。

二、单项选择题

1.防火墙是（　）。

A.审计内、外网间数据的硬件设备

B.审计内、外网间数据的软件设备

C.审计内、外网间数据的策略

D.以上的综合

2.不属于防火墙的主要作用是（　）。

A.抵抗外部攻击

B.保护内部网络

C.防止恶意访问

D.限制网络服务

3.以下说法正确的是（　）。

A.防火墙能防范新的网络安全问题

B.防火墙能防范数据驱动型攻击

C.防火墙不能完全阻止病毒的传播

D.防火墙不能防止来自内部网的攻击

4.“周边网络”是指（　）。

A.防火墙周边的网络

B.堡垒主机周边的网络

C.介于内网与外网之间的保护网络

D.包过滤型路由器周边的网络

5.关于屏蔽子网防火墙体系结构中堡垒主机的说法，错误的是（　）。

A.不属于整个防御体系的核心

B.位于周边网络

C.可被认为是应用层网关

D.可以运行各种代理程序

6.数据包包过滤一般不需要检查的部分是（　）。

A.IP源地址和目的地址

B.源端口和目的端口

C.协议类型

D.TCP序列号

7.下列哪一项是天融信的防火墙产品？（　）

A.黑客愁

B.网眼

C.网络卫士

D.熊猫

三、思考题

1.防火墙的两个基本安全策略是什么？

2.防火墙的基本功能包括哪些？

3.防火墙的缺陷有哪些？

四、综合题

1.某用户使用的防火墙的接口Eth0连接企业内网，内网为192.168.100.0/24，Eth0的IP地址为192.168.100.1；Eth1连接外网，Eth1的IP地址为202.10.10.1。企业可用的公网IP地址范围为202.10.10.1～202.10.10.10，网络拓扑结构的示意图如图1-37所示。

【任务要求】

（1）分析题中情况下，防火墙可以采用的部署模式。

（2）分析题中情况下，如何使用防火墙在保证各项性能及功能要求的前提下，替换路由器。

（3）以采用透明方式部署防火墙为例，说明题中网络结构下，在天融信防火墙上的基本配置过程及步骤。

2.某企业的网络结构示意图如图1-38所示，所部署的防火墙工作在混合模式。Eth0接口属于内网区域（area_eth0），为交换trunk接口，同时属于vlan.0001和vlan.0002，vlan.0001的IP地址为10.10.10.1，连接研发部门文档组所在的内网（10.10.10.0/24）；vlan.0002的IP地址为10.10.11.1，连接研发部门项目组所在的内网（10.10.11.0/24）。Eth1接口IP地址为192.168.100.140，属于外网area_eth1区域，公司通过与防火墙Eth1接口相连的路由器连接外网。Eth2接口属于area_eth2区域，为路由接口，其IP地址为172.16.1.1，为信息管理部所在区域，有多台服务器，其中Web服务器的IP地址为192.16.1.3。用户具体要求如下：

内网文档组的机器可以上网，允许项目组领导上网，禁止项目组普通员工上网；

外网和area_eth2区域的机器不能访问研发部门内网；

内外网用户均可以访问area_eth2区域的Web服务器。

【任务要求】

（1）分析防火墙策略匹配的过程，以及匹配顺序。

（2）写出如果要按照题中用户要求，在天融信防火墙下实现防火墙配置的基本步骤和过程。

3.企业Web服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供Web服务，网络示意图如图1-39所示。

【任务要求】

（1）分析上述环境的配置要求，并描述配置过程及要点；

（2）本书中所提的案例及实际操作，基本均采用的是天融信公司目前最新的防火墙系统版本，因为防火墙产品的配置理念基本一致，请使用微软的ISA防火墙软件完成本任务的防火墙配置，并简述配置过程。