防火墙技术与应用（微课版）-书后习题参考答案

《防火墙技术与应用》书后习题参考答案模块一一、选择题1．B工作区2．DVRP3．Cadmin4．CAdmin@1235．D用户视图6．B接口视图7．Dquit8．D用户视图9．C?10．B显示所有以h开头的后续命令二、简答题1．eNSP各依赖软件的作用分别是什么？答：WinPcap提供网络底层访问能力；Wireshark用于接口抓包及协议分析；VirtualBox为eNSP提供虚拟机支持。2．eNSP中打开防火墙CLI的方法有哪些？答：双击防火墙图标；右击防火墙图标，在快捷菜单中选择“CLI”命令。3．在保存拓扑时，如何才能把防火墙等设备的完整配置保存下来？答：需在防火墙、路由器、交换机等设备中通过save命令手动保存当前配置，再保存拓扑。4．防火墙CLI不同视图下的提示符各有什么特征？答：用户视图提示符为<主机名>；系统视图提示符为[主机名]；接口视图提示符为[主机名-接口名称]。5．命令简写的条件是什么？答：输入的字符串能唯一匹配一个命令关键字，即可简写该命令。

模块二一、选择题1．A包过滤防火墙2．A连接真实网络及设备3．DHTTPS4．B不能访问网络5．Atelnetserverenable6．A明文7．Dstelnetserverenable8．Dstelnetserverenable9．A管理级10．C5二、简答题1．为什么说路由器与交换机的本质是“转发”，防火墙的本质是“控制”？答：路由器与交换机的核心作用是将数据包从一个接口转发到目标接口，实现网络连通；防火墙的核心作用是依据安全策略，控制不同网络区域间的数据流，允许合法流量通过，阻止非法访问，本质是访问控制。2．状态检测防火墙有什么优点？答：后续数据包处理性能高，基于会话表避免重复检查；安全性较高，动态管理连接状态，会话结束后关闭临时入口；采用实时连接状态监控技术，增强系统安全性。3．如果拓扑中包含设备云，该拓扑在其他计算机上如何才能正常工作？答：需在其他计算机上添加相同配置的环回网卡并设置对应IP地址；确保拓扑文件中设备云的绑定信息、端口映射配置与该计算机的网卡信息一致；安装所需的依赖软件。4．防火墙Web管理界面的快速向导可以进行哪些方面的设置？答：包括配置基本信息、系统时间、接入互联网方式、接入互联网参数、局域网接口、局域网DHCP服务，以及核对配置信息。5．使用Telnet管理防火墙有哪些优缺点？答：优点是配置便捷，可实现远程管理，降低维护工作量；缺点是采用明文传输密码，安全性差，易被窃听，且不支持复杂的安全验证机制。6．使用SSH管理防火墙有哪些优点？答：采用加密方式传输数据，保障身份认证和数据传输的安全性；支持多种身份验证方式，安全性更高；能有效防止数据被窃听、篡改，适用于生产环境中的远程管理。

模块三一、选择题1．B322．B503．D包过滤4．C入方向5．D不会命中6．A“与”7．B“或”8．CLocal9．A访问管理功能10．BASPF二、简答题1．华为防火墙默认的几个安全区域各有什么特点？答：Local区域安全级别100，代表防火墙本身，完全可信；Trust区域安全级别85，可信任度高，通常定义内网用户网络；DMZ区域安全级别50，中等可信，通常定义内网服务器网络；Untrust区域安全级别5，可信任度低，通常定义Internet等不安全网络。2．防火墙安全策略的匹配条件有哪些？答：包括用户（Who）、流量来源和目的（Where，含源/目的安全区域、IP地址、地区、VLANID）、访问的服务/应用/URL分类（What）、时间段（When）。3．简述防火墙安全策略的匹配规则。答：多个匹配条件为“与”关系，需全部匹配；单个条件多值为“或”关系，匹配任一即可；策略按配置顺序匹配，命中即停止；首包匹配策略建立会话表，后续包直接匹配会话表。4．在哪些情况下，必须使用针对Local安全区域的安全策略？答：防火墙自身参与的业务，如防火墙主动ping其他设备、允许/禁止特定设备登录防火墙、控制网管服务器与防火墙互访等场景。5．当使用非标准端口的FTP时，如何设置安全策略？答：先添加对应非标准端口的服务对象；新建允许该服务通过的安全策略；配置ACL标识目标流量，通过port-mapping命令将非标准端口映射为FTP端口，使ASPF识别。6．除了FTP外，ASPF功能还可用于哪些协议？答：包括DNS、H.323、SIP、ICQ、MSN、QQ、PPTP、RTSP等多通道协议。

模块四一、选择题1．C网络地址转换技术2．C私网地址3．Anat-policy4．D出接口的公网IP地址5．CNo-PAT6．D创建NAT地址池7．C黑洞路由8．D是否允许端口转换9．Cno-reverse10．Bdisplayfirewallsessiontable二、简答题1．源NAT包括哪几种方式？答：包括出接口地址方式（EasyIP）和地址池方式，地址池方式又分为No-PAT（不带端口转换）和NAPT（带端口转换）两种。2．NATServer的应用场景是什么？答：主要用于公网用户访问私网内部服务器的场景，实现公网地址与私网地址的一对一映射。3．防火墙会话表中显示了哪些内容？答：显示会话的协议类型、VPN信息、源IP地址及端口、转换后的IP地址及端口、目的IP地址及端口等信息。4．No-PATNAT与NAPTNAT在配置上有何不同？答：核心区别在地址池配置，No-PAT需在地址池模式中指定no-pat参数，不转换端口；NAPT需勾选“允许端口地址转换”，同时转换IP地址和端口。5．No-PATNAT与NAPTNAT各自的应用场景有哪些？答：No-PAT适用于少量私网用户需固定公网地址访问外网的场景；NAPT适用于大量私网用户通过少量公网地址访问外网，需提高地址利用率的场景。6．目的NAT策略支持的目的地址转换方式有哪些？答：包括公网地址与私网地址一对一转换、公网端口与私网地址一对一转换、公网端口与私网端口一对一转换、公网地址与私网端口一对一转换、随机转换为目的转换地址池中的地址。7．目的NAT与NATServer在配置时有何异同？答：相同点是均实现公网到私网的地址转换；不同点是NATServer自动生成Server-map表项，配置简单，适用于简单映射；目的NAT不生成Server-map表项，支持更丰富的转换方式，配置更灵活。8．简述域内双向NAT的工作过程。答：域内用户访问公网地址时，防火墙同时转换报文的源地址和目的地址，将目的地址转换为私网服务器地址，源地址转换为域内可达地址；服务器响应报文时，防火墙反向转换地址，确保通信正常。

模块五一、选择题1．BVRRP（虚拟路由器冗余协议）2．CVRRP3．BVGMP（VRRP组管理协议）4．A减去一定的值5．C450006．AHRP（华为冗余协议）7．D直连8．B会话快速备份9．C接口配置视图10．D3min二、简答题1．简述VRRP应用到防火墙网络时存在的问题。答：传统VRRP无法保证主、备用防火墙状态一致性，若一台防火墙部分接口为主状态、部分为备用状态，会导致报文来回路径不一致，后续报文因找不到会话表项被丢弃，造成业务中断。2．华为防火墙双机热备的备份方式有哪几种？答：包括自动备份、手动批量备份、会话快速备份、设备重启后主备防火墙配置自动同步四种。3．防火墙双机热备系统设置的虚拟网关地址在何时开始生效？答：当双机热备的VRRP、HRP配置完成并启用后，虚拟网关地址开始生效，内网设备可通过该地址访问外网或其他区域设备。4．双机热备系统启用时，如何在备用防火墙上进行功能配置？答：需执行hrpstandbyconfigenable命令，允许在备用设备上配置；否则备用设备处于Standby状态，无法直接执行配置命令，配置需从主设备同步。5．在防火墙双机热备系统中，当主设备的故障恢复时，能否重新成为主设备？答：默认可以，主设备故障恢复后优先级恢复，会触发抢占机制重新成为主设备；若无需抢占，可通过undohrppreempt命令取消。6．主备备份模式与负载分担模式有什么不同？答：主备备份模式中一台为主设备转发数据，另一台备用，资源利用率低；负载分担模式下两台设备同时工作、互为备份，各自承担部分流量，提高资源利用率。7．在防火墙双机热备系统中，接口监控可用于哪些场景？答：用于监控主设备的内外网接口状态，当接口出现故障时，触发主备切换，确保网络业务不中断，适用于双出口网络等需保障链路可靠性的场景。8．在防火墙双机热备系统中，当主设备配置了安全策略时，备用设备还需要配置吗？答：不需要，主设备的安全策略会通过HRP自动同步到备用设备，确保主备设备配置一致性，故障切换后业务正常运行。

模块六一、选择题1．A虚拟专用网络2．C三层3．DSA（安全联盟）4．DIKESA（互联网密钥交换协议安全联盟）5．CL2TPVPN6．AGRE7．BSecoClient8．D动态路由技术二、简答题1．什么是VPN？VPN有什么作用？答：VPN即虚拟专用网络，通过公共网络建立安全加密通道，使远程用户或分支机构可安全访问内部网络资源；作用包括低成本实现跨地域通信、保障数据传输安全、提升网络访问灵活性、隔离不同业务流量。2．华为防火墙VPN的主要技术有哪些？答：主要包括GREVPN、L2TPVPN、IPSecVPN、SSLVPN，以及组合技术GREoverIPSecVPN、L2TPoverIPSecVPN。3．简述GREVPN的工作原理。答：原始报文进入源VPN网关后，被封装添加新IP头；封装后的报文通过公网传输至目的VPN网关；目的网关解封装，去掉新IP头和GRE头，恢复原始报文后转发至目标设备。4．如何使用Windows操作系统创建L2TPVPN连接到防火墙？答：打开网络和共享中心，创建新的连接或网络；选择“连接到工作区”，选择“使用我的Internet连接（VPN）”；输入防火墙LNS服务器地址，设置连接名称；输入用户名、密码等认证信息，完成创建后连接即可。5．设置NAT策略时，如何规避VPN流量？答：在NAT策略中新增规则，指定VPN相关的源/目的地址，动作设置为“no-nat”；确保该规则优先级高于普通NAT规则，使VPN流量不经过地址转换。6．如何在客户端通过浏览器连接SSLVPN网关？答：打开浏览器，输入SSLVPN网关地址及端口；输入用户名和密码完成身份认证；认证通过后，通过浏览器访问内网资源，或下载安装客户端插件扩展访问权限。7．比较SSLVPN与L2TPoverIPSecVPN的异同。答：相同点：均提供远程接入功能，保障数据传输安全。不同点：SSLVPN基于应用层，无需安装专用客户端，适用于移动设备和临时接入；L2TPoverIPSecVPN基于网络层，需安装客户端，加密强度高，适用于固定远程办公场景，支持更多协议类型。

模块七一、选择题1．D应用层2．A不认证3．B本地认证4．C安全组5．D事前认证6．A防火墙上二、简答题1．什么是AAA？答：AAA是认证（Authentication）、授权（Authorization）、记账（Accounting）的缩写，是网络安全