防火墙入侵检测实践题.docxVIP

防火墙入侵检测实践题

考试时间：______分钟总分：______分姓名：______

选择题（每题2分，共10分）

1.防火墙配置中，以下哪项策略符合“最小权限原则”？

A.允许所有内网IP访问外网

B.仅开放Web服务器的80和443端口给内网用户

C.禁止所有外网IP访问内网

D.允许所有IP访问数据库服务器的3306端口

2.在Snort规则中，以下哪个选项用于指定检测HTTP请求的URI部分？

A.content

B.http_uri

C.dsize

D.pcre

3.防火墙的“状态检测”与“无状态检测”的主要区别在于？

A.状态检测支持NAT转换，无状态检测不支持

B.状态检测维护连接表，无状态检测不维护

C.状态检测仅支持TCP协议，无状态检测支持所有协议

D.状态检测需要IDS联动，无状态检测不需要

4.以下哪项日志片段最可能表示SQL注入攻击？

A.00-0:80(TCP,SYN)

B.00-0:80(TCP,content:unionselect)

C.00-0:3306(TCP,ACK)

D.00-0:22(TCP,RST)

5.当IDS告警显示内网IP频繁尝试SSH登录失败时，以下哪种应急响应措施最优先？

A.立即重启Web服务器

B.在防火墙中封禁该IP

C.导出所有日志分析

D.修改数据库密码

多选题（每题2分，共10分）

1.防火墙与IDS协同工作机制的优势包括？

A.防火墙阻断流量，IDS提供实时告警

B.IDS规则可动态调整防火墙策略

C.减少日志分析的工作量

D.提高网络传输速度

2.编写Snort规则检测目录遍历漏洞时，应包含哪些要素？

A.协议类型（如tcp）

B.目标端口（如80）

C.关键词（如/etc/passwd）

D.流量大小（如dsize:100）

3.防火墙配置NAT时，以下哪些说法正确？

A.源NAT用于内网用户访问外网

B.目的NAT用于外网用户访问内网服务器

C.NAT配置无需ACL规则匹配

D.NAT会增加网络延迟

4.日志分析中，识别暴力破解攻击的依据包括？

A.同一IP短时间内多次访问同一端口

B.日志中频繁出现“DENY”动作

C.访问流量包含大量“unionselect”关键词

D.目标端口为22（SSH）或3389（RDP）

5.应急响应流程中，证据留存的有效措施包括？

A.导出防火墙和IDS日志

B.使用Wireshark捕获原始流量

C.删除过期日志节省空间

D.记录事件时间戳和操作步骤

防火墙配置题（25分）

某企业内网区域（/24）部署了Web服务器（0，端口80/443）和数据库服务器（0，端口3306）。要求：

（1）配置防火墙允许内网用户访问Web服务器的80/443端口；

（2）允许Web服务器访问数据库服务器的3306端口；

（3）禁止外网（/0）直接访问数据库服务器；

（4）配置NAT，使内网用户通过防火墙访问外网时使用地址池00-00。

IDS规则编写题（20分）

针对靶机（00）的Apache服务器，编写Snort规则检测以下攻击：

（1）针对“目录遍历漏洞”（如访问`/etc/passwd`）；

（2）针对“SQL注入”（如URL参数中包含`unionselect`）。

日志分析题（20分）

给定防火墙日志片段（部分）：

```

2023-10-0114:30:01[FW][DENY]from00:12345to0:3306(TCP)

2023-10-0114:31:15[IDS][ALERT]00-0:80(Rule:sql-injectionattempt)

2023-10-0114:32:20[FW][DENY]from:54321to0:22(TCP)

```

要求：

（1）分析各条日志对应的攻击类型；

（2）定位攻击源IP、目标IP及攻击目标；

（3）说明防火墙/IDS的处置效果。

综合应急响应题（