网络与信息安全管理员三级实操试题及答案.docxVIP

网络与信息安全管理员三级实操试题及答案

一、防火墙策略配置与验证（20分）

某企业网络拓扑如下：办公区（IP段/24）、服务器区（IP段/24，包含Web服务器0、数据库服务器0）、DMZ区（IP段/24，包含对外FTP服务器0）。要求通过华为USG6000防火墙实现以下安全策略：

1.办公区员工可访问DMZ区FTP服务器的21号端口（主动模式）；

2.办公区仅允许指定IP（00）访问服务器区Web服务器的80/443端口；

3.服务器区数据库服务器禁止被外部（非服务器区）IP访问；

4.所有区域默认拒绝未授权流量。

操作要求：

-基于图形化管理界面完成策略配置（需列出关键配置步骤）；

-验证策略生效性（需说明验证方法及预期结果）。

答案：

步骤1：划分安全区域

登录防火墙管理界面，在“网络配置-安全区域”中创建四个区域：Local（防火墙自身）、Trust（办公区）、Server（服务器区）、DMZ（DMZ区）。将对应接口的IP段绑定至各区域：Trust区绑定/24，Server区绑定/24，DMZ区绑定/24。

步骤2：配置默认拒绝策略

在“策略配置-安全策略”中，添加默认策略：源区域为所有（除Local）、目标区域为所有（除Local），动作为“拒绝”，优先级设为最低（如1000）。

步骤3：配置办公区访问DMZFTP策略

新增安全策略：源区域Trust，源IP地址/24；目标区域DMZ，目标IP地址0；服务类型为TCP21端口；动作为“允许”，优先级设为100。

步骤4：配置指定办公IP访问Web服务器策略

新增安全策略：源区域Trust，源IP地址00；目标区域Server，目标IP地址0；服务类型为TCP80/443；动作为“允许”，优先级设为90。

步骤5：配置数据库服务器防护策略

新增安全策略：源区域为Trust、DMZ（非Server区），源IP地址任意；目标区域Server，目标IP地址0；服务类型任意；动作为“拒绝”，优先级设为80（高于默认拒绝策略，确保优先匹配）。

验证方法及结果：

-测试1：使用办公区任意PC（如0）访问FTP服务器0:21，应成功连接；使用非办公区IP（如）访问，应失败。

-测试2：使用00访问0:80，应正常打开网页；使用01访问，应提示“无法连接”。

-测试3：使用办公区PC（00）或DMZ区FTP服务器（0）尝试连接0的任意端口（如3306），应无法建立连接；服务器区内PC（如0）访问0:3306，应正常连接（因源区域为Server，不在策略限制范围内）。

二、入侵检测系统（IDS）规则编写与测试（20分）

某企业部署了启明星辰天阗IDS，需针对以下攻击场景编写检测规则：

-攻击特征：SQL注入攻击，HTTP请求中包含“OR1=1”（不区分大小写）；

-攻击场景：攻击者通过办公区PC（50）向Web服务器（0）的80端口发送恶意请求；

-规则要求：触发高优先级警报（级别5），记录完整请求内容（包括URL、User-Agent），并联动防火墙阻断攻击源IP（50）30分钟。

操作要求：

-基于Snort规则语法编写检测规则；

-说明IDS与防火墙联动配置步骤；

-设计测试用例验证规则有效性。

答案：

1.Snort规则编写

```snort

alerttcp/24any-080(

msg:SQLInjectionAttempt-OR1=1;

sid:1000001;

rev:1;

priority:5;

content:|27|OR|27|1|27|=|27|1;转义单引号（）为|27|，匹配OR1=1

nocase;不区分大小写

http_uri;检查HTTPURI部分

content:User-Agent|3A|;记录User-Agent头

depth:1000;检查前1000字节

react:block_src,30;联动阻断源IP30分钟

)

```

2.IDS与防火墙联动配置步骤

-步骤1：在IDS管理界面，进入“联动配置”，选择“防火墙类型”为华为USG6000，填写防火墙管理IP（如）、API接口账号/密码（需提前在防火墙开放北向API权限）。

-步骤2：在规则中启用“react”动作，指定阻断时长为30分钟，触发条件为规则匹配成功。

-步骤3：在防