广东开放大学防火墙与入侵检测技术（本）期末考试试卷与参考答案

防火墙与入侵检测技术期末复习笔记

——广东开放大学（本）期末考试试卷与参考答案解析

一、课程核心知识点总结

1. 防火墙技术

（1）防火墙类型与功能

- 包过滤防火墙：基于IP地址、端口号、协议类型等静态规则过滤数据包。

- 状态检测防火墙：记录会话状态，动态判断数据包合法性（如三次握手验证）。

- 应用层网关（代理防火墙）：在应用层协议（如HTTP、FTP）中代理通信，深度分析内容。

- 下一代防火墙（NGFW）：集成入侵检测、反病毒、流量管理等功能，支持深度包检测（DPI）。

（2）防火墙配置原则

- 最小权限原则：仅开放必要端口和服务。

- 默认拒绝策略：未明确允许的流量均被拦截。

- 日志与审计：记录关键事件，定期分析异常流量。

2. 入侵检测技术

（1）入侵检测系统（IDS）分类

- 基于签名的检测（误用检测）：匹配已知攻击特征（如SQL注入、DDoS模式）。

- 基于异常的检测：通过统计模型识别偏离正常行为的流量（如突然激增的HTTP请求）。

- 网络型IDS（NIDS）：监控网络流量（如Snort）。

- 主机型IDS（HIDS）：监控主机日志和系统调用（如OSSEC）。

（2）IDS与防火墙的协同

- 联动防御：IDS检测到攻击后，触发防火墙封锁源IP或关闭漏洞端口。

- 互补性：防火墙侧重边界防御，IDS侧重内部威胁监测。

二、期末考试模拟试卷与参考答案

一、单项选择题（每题2分，共20分）

1. 包过滤防火墙主要工作在OSI模型的哪一层？

A. 物理层

B. 数据链路层

C. 网络层

D. 应用层

答案：C

解析：包过滤防火墙基于IP地址、端口号等网络层信息进行过滤。

2. 以下哪项是状态检测防火墙的核心技术？

A. 静态规则匹配

B. 会话状态表维护

C. 应用层协议分析

D. 深度包检测

答案：B

解析：状态检测防火墙通过维护会话状态表，动态判断数据包合法性。

3. Snort属于哪种类型的入侵检测系统？

A. HIDS

B. NIDS

C. 基于签名的检测

D. B和C均正确

答案：D

解析：Snort是典型的网络型IDS（NIDS），且主要依赖签名规则库进行检测。

二、简答题（每题10分，共30分）

4. 简述防火墙与入侵检测系统（IDS）的主要区别。

参考答案：

- 功能定位：防火墙侧重主动防御，阻止非法流量；IDS侧重被动监测，识别已发生的攻击。

- 技术实现：防火墙通过规则过滤流量，IDS通过分析流量或日志发现异常。

- 部署位置：防火墙通常部署在网络边界，IDS可部署在内网或关键节点。

5. 列举三种常见的网络攻击类型，并说明防火墙如何防御。

参考答案：

- 端口扫描：防火墙可通过隐藏服务端口或限制扫描源IP防御。

- DDoS攻击：通过流量清洗、速率限制或动态IP黑名单缓解。

- SQL注入：应用层网关防火墙可过滤恶意HTTP请求中的注入代码。

三、案例分析题（共50分）

6. 某企业网络部署了防火墙和NIDS，近期发现服务器频繁收到大量异常HTTP请求，疑似遭受攻击。请分析可能的攻击类型，并提出防御措施。

参考答案：

- 可能攻击类型：

1. HTTP洪水攻击（DDoS）：利用大量虚假请求耗尽服务器资源。

2. SQL注入：请求中包含恶意SQL代码（如`' OR 1=1`）。

3. 跨站脚本（XSS）：请求携带恶意JavaScript代码。

- 防御措施：

1. 防火墙配置：

- 限制HTTP请求速率（如每秒不超过100次）。

- 部署WAF（Web应用防火墙）过滤恶意参数。

2. IDS联动：

- 配置NIDS规则，实时检测并阻断异常流量。

- 记录攻击源IP，通过防火墙黑名单封锁。

3. 服务器加固：

- 对输入参数进行严格过滤和转义。

- 更新Web应用漏洞补丁。

三、复习建议与学习心得

1. 复习重点

- 防火墙配置：掌握iptables、Cisco ASA等工具的命令行配置。

- IDS规则编写：熟悉Snort规则语法（如`alert tcp $EXTERNAL_NET any -> $HOME_NET 80`）。

- 攻防实战：通过CTF平台（如Hack The Box）模拟攻击与防御场景。

2. 易错点解析

- 混淆NIDS与HIDS：NIDS监控网络流量，HIDS监控主机日志（如文件修改、进程行为）。

- 误用防火墙策略：忽略回环接口（lo）的配置，导致内网攻击无法被拦截。

四、参考答案与评分标准

1. 评分标准

- 选择题：答案正确得满分，错误不得分。

- 简答题：需覆盖核心要点，每遗漏1点扣3分。

- 案例分析题：需结合技术原理与实际场景，逻辑清晰得满分，否则酌情扣分。

注：以上内容为模拟考试题及解析，实际考试题目可能有所不同，建议结合教材《防火墙与入侵检测技术》（广东开放大学指定教材）深入复习。

撰写人：XXX

日期：2023年X月X日

学习心得：通过本课程学习，深刻理解了网络安全防御体系的分层设计，防火墙与IDS的协同是构建纵深防御的关键。未来需进一步实践配置与攻防演练，提升实战能力。