2022年11月信息安全工程师 下午试卷答案及解析.pdfVIP

一、[材料型]问答题

试题一(共20分)

阅读下列说明和图，回答问题1至问题5，将解答填入答题纸的对应栏内。

【说明】

已知某公司网络环境结构主要由三个部分组成，分别是DMZ区、内网办公区和生

产区，其拓扑结构如图1-

1所示。信息安全部的王工正在按照等级保护2.0的要求对部分业务系统开展安全配

置。图1-

1当中，网站服务器的IP地址是40，数据库服务器的IP地址是192.168.7

0.141，信息安全部计算机所在网段为/24，王工所使用的办公电脑IP地

址为。

1、【问题1】(2分)

为了防止生产网受到外部的网络安全威胁，安全策略要求生产网和其他网之间部署

安全隔离装置，隔离强度达到接近物理隔离。请问图中X最有可能代表的安全设备

是什么?

参考答案：网闸

解析：

根据题目描述，为了防止生产网受到外部的网络安全威胁，需要部署安全隔离装置

，且隔离强度要达到接近物理隔离。在这种情况下，最有可能代表的安全设备是网

闸。安全隔离网闸是一种网络安全设备，它通过带有多种控制功能的专用硬件在电

路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换，

从而实现生产网和其他网之间的安全隔离。因此，图中X最有可能代表的安全设备

是网闸。

2、【问题2】(2分)

防火墙是网络安全区域边界保护的重要技术，防火墙防御体系结构主要有基于双宿

主主机防火墙、基于代理型防火墙和基于屏蔽子网的防火墙。图1-

1拓扑图中的防火墙布局属于哪种体系结构类型?

参考答案：基于屏蔽子网的防火墙

解析：

：根据题目描述和图1-

1拓扑图，可以看到存在防火墙1、DMZ网络和防火墙2等部分，这种布局属于屏蔽

子网的防火墙结构。屏蔽子网防火墙是一种较为安全的网络架构，通过独立的子网

来隔离不同的网络区域，增强网络安全性和数据保护。因此，根据题目中的网络结

构和常见的防火墙体系结构，可以判断图1-

1拓扑图中的防火墙布局属于基于屏蔽子网的防火墙。

3、【问题3】(2分)

通常网络安全需要建立四道防线，第一道是保护，阻止网络入侵；第二道是监测，

及时发现入侵和破坏；第三道是响应，攻击发生时确保网络打不垮；第四道是恢复

，使网络在遭受攻击时能以最快速度起死回生。请问拓扑图1-

1中防火墙1属于第几道防线?

参考答案：第一道防线

解析：

根据纵深防御模型的理念，网络安全的四道防线分别对应不同的安全防护措施。第

一道防线是安全保护，主要任务是阻止网络入侵。在提供的拓扑图1-

1中，防火墙1位于最外层，其职责就是阻止互联网对内网的入侵和危害，因此防火

墙1属于第一道防线。

4、【问题4】(6分)

图1-

1中防火墙1和防火墙2都采用Ubuntu系统自带的iptables防火墙，其默认的过滤规则

如图1-2所示。

(1)请说明上述防火墙采取的是白名单还是黑名单安全策略。

(2)图1-2显示的是iptables哪个表的信息，请写出表名。

(3)如果要设置iptables防火墙默认不允许任何数据包进入，请写出相应命令。

参考答案：

（1）黑名单

（2）Filter

（3）iptables-PFORWARDDROP或者iptables-tfilter-PFORWARDDROP

（DROP更改为REJECT也符合题意）

解析：

(1)根据提供的图示和信息，防火墙的默认策略是ACCEPT，这意味着只有当数据包

匹配规则中的特定条件时才会被允许通过，未匹配的数据包将被接受。这种策略是

黑名单安全策略，因为它默认拒绝未知来源的数据包。

(2)在iptables中，图1-

2显示的是filter表的信息。filter表是iptables默认的规则表，包含input、forward和out

put三个规则链，用于数据包过滤。

(3)为了设置iptables防火墙默认不允许任何数据包进入，需要修改FORWARD规则

链的默认策略为DROP或REJECT。命令为“iptables-PFORWARD

DROP”或“iptables-tfilter-PFORWARD

DROP”均可实现这一设置。DROP表示直接丢弃数据包，而REJECT会在丢弃数据

包的同时发送拒绝报文给发送方。因此，将DROP更改为REJECT也符合题意。

5、【问题5】(8分)

DMZ区的网站服务器是允许互联网进行访问的，为了实现这个目标，王工需要对

防火墙1进行有效配置。同时王工还需要通过防火墙2对网站服务器和数据库服务器

进行日常运维。

(1)防火墙1应该允许哪些端口通过?

(2)请编写防火