2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷(带答案)第8期.docxVIP

书山有路勤为径，学海无涯苦作舟！ 住在富人区的她 2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析B卷（带答案） 一.综合题(共15题) 1. 案例题阅读下列说明和表，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】防火墙类似于我国古代的护城河，可以阻挡敌人的进攻。在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙通过使用各种安全规则来实现网络的安全策略。防火墙的安全规则由匹配条件和处理方式两个部分共同构成。网络流量通过防火墙时，根据数据包中的某些特定字段进行计算以后如果满足匹配条件，就必须采用规则中的处理方式进行处理。【问题1】（5分）假设某企业内部网（202.114.63.0/24）需要通过防火墙与外部网络互连，其防火墙的过滤规则实例如表4.1所示。???表中“*”表示通配符，任意服务端口都有两条规则。请补充表4.1中的内容（1）和（2），并根据上述规则表给出该企业对应的安全需求。【问题2】（4分）一般来说，安全规则无法覆盖所有的网络流量。因此防火墙都有一条默认（缺省）规则，该规则能覆盖事先无法预料的网络流量。请问缺省规则的两种选择是什么？【问题3】（6分）请给出防火墙规则中的三种数据包处理方式。【问题4】（4分）防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面的内容：服务控制、方向控制、用户控制和行为控制。请问表4.1中，规则A涉及访问控制的哪几个方面的内容？ 【答案】【问题1】（1）53 （2）丢弃或Drop其安全需求为：（1）允许内部用户访问外部网络的网页服务器；（2）允许外部用户访问内部网络的网页服务器 （202.114.64.125）；（3）除 1和2 外，禁止其他任何网络流量通过该防火墙。【问题2】?? （1）默认拒绝：一切没有被允许的就是禁止的；? （2）默认允许：一切没有被禁止的就是允许的。【问题3】??（1）Accept：允许数据包或信息通过；（2）Reject ：拒绝数据包或信息通过，并且通知信息源该信息被禁止；（3）Drop：直接将数据包或信息丢弃，并且不通知信息源。【问题4】?? 服务控制和方向控制。 【解析】【问题1】规则 A 和 B 允许内部用户访问外部网络的网页服务器。规则 C 和 D 允许外部用户访问内部网络的网页服务器。规则 E 和 F 允许内部用户访问域名服务器。规则 G 是缺省拒绝的规则。规则E中目的端口为53；规则G中动作为Drop。其安全需求为：①允许内部用户访问外部网络的网页服务器；②允许外部用户访问内部网络的网页服务器 （202.114.64.125）；③除 1 和 2 外，禁止其他任何网络流量通过该防火墙。【问题2】缺省规则有两种选择：默认拒绝或者默认允许。默认拒绝是指一切未被允许的就是禁止的，其安全规则的处理方式一般为 Accept；默认允许是指一切未被禁止的就是允许的。其安全规则的处理方式一般为 Reject 或 Drop。 【问题3】 防火墙规则中的处理方式主要包括以下几种：（1）Accept：允许数据包或信息通过。（2）Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止。（3）Drop：直接将数据包或信息丢弃，并且不通知信息源。【问题4】防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面或层次的内容：（1）服务控制：决定哪些服务可以被访问，无论这些服务是在内部网络还是在外部网络。常见的网络服务有邮件服务、网页服务、代理服务、文件服务等，这些服务往往是系统对外的功能。在计算机网络中，服务往往就是指 TCP/IP协议中的端口值，如 25 是指 SMTP 服务，110是指 POP3 服务，80是指网页服务等。当然，服务控制也包括服务的位置控制，如 E 地址。（2）方向控制：决定在哪些特定的方向上服务请求可以被发起并通过防火墙，也就是服务是位于内部网络还是外部网络。通过规则控制，可以限定一个方向的服务，也可以同时限定两个方向的服务。（3）用户控制：决定哪些用户可以访问特定服务。该技术既可以应用于防火墙网络内部的用户（本地用户），也可以被应用到来自外部用户的访问。可以采用用户名、主机的 IP、主机的 MAC 等标识用户。（4）行为控制：决定哪些具体的服务内容是否符合安全策略。如防火墙可以通过过滤邮件来清除垃圾邮