CH7 防火墙技术
零基础教学讲义 · 防火墙 + WAF + 入侵检测,网络安全的"第一道防线" · 配套作业3
🎯学习目标
读完这一章,你应该能回答:
- 防火墙是什么?为什么需要它?
- 四种核心技术(包过滤 / 应用代理 / 状态检测 / 完全内容检测)各自工作在哪一层、检查什么?
- 四种体系结构如何演进?什么是 DMZ?企业怎么部署三个安全区?
- NAT / MAP、接入方式、五大性能指标、局限性。
- WAF 为什么能补防火墙的短板?IDS 的异常检测 vs 误用检测、HIDS vs NIDS。
📌 一句话定位防火墙挡门口(访问控制)、WAF 护 Web(防 SQL 注入/XSS)、IDS 在内部巡逻(检测告警)——三者组成纵深防御,全部是作业3考点。
1防火墙基本概念
📖 定义
防火墙(FireWall)是一种高级访问控制设备,置于不同网络安全域之间,通过相关安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。
两个关键点:① 它是两个安全域之间通信流的唯一通道;② 根据访问控制规则(源/目的 IP、协议、端口等)决定放行还是拦截。比喻:小区大门的保安,所有人进出都要查证。
图1 · 防火墙是两个安全域之间通信流的唯一通道,按规则表(如 TCP Pass / UDP Block)决定进出行为
为什么需要防火墙?(三个关键原因)
🛡️
阻止外部攻击
最重要的原因
阻止来自不可信网络的攻击,网络攻击数量逐年递增。
🔒
保护内部信息
客户资料、研发数据
防止内网信息被窃取、篡改或删除。
🤝
维护信誉
银行、证券尤甚
减少因攻击造成的信誉受损风险。
城门失火,殃及池鱼业务越依赖互联网,越需要防火墙这道边界防线。
2防火墙发展历程(五代)
第一代 · 20世纪80年代 · 包过滤
最早几乎与路由器同时出现,依附于路由器的包过滤(Packet Filter)功能实现;后渐渐发展为独立设备。第二代 · 1989 · 电路层防火墙
贝尔实验室最早推出第二代——电路层防火墙。第三代 · 90年代初 · 应用层防火墙
即应用层(代理)防火墙。第四代 · 1994 · 状态检测
1992 年 USC 信息科学院开发动态包过滤,演变为状态检测(Stateful Inspection);1994 年以色列 CheckPoint 推出商业化产品。第五代 · 1998 · 自适应代理
NAI 公司推出自适应代理(Adaptive Proxy),动态设置包过滤规则,对每个连接进行跟踪。📜 执行标准GB/T 18019(包过滤)、GB/T 18020(应用级)、GB/T 17900(代理服务器)、GB/T 18336(评估准则)、GB/T 20281(防火墙技术要求和测试评价方法,认证依据)。
3四种核心技术(必考 ⭐)
这是全章最重要的对比表。四种技术按检查深度递增:
| 类型 | 工作层 | 检查什么 | 建状态表 | 还原会话 |
|---|---|---|---|---|
| 包过滤 | 网络层 | 只看报头(IP/端口/协议) | ✗ | ✗ |
| 应用代理 | 应用层 | 只看数据(应用层内容) | ✗ | ✗ |
| 状态检测 | 2~4 层 | 报头 + 连接状态 | ✓ | ✗ |
| 完全内容检测 | 2~7 层 | 报头 + 状态 + 应用层内容 | ✓ | ✓ |
🔍 四种技术的工作层 & 检查范围图解
图2 · 四种技术覆盖的层次(彩色竖条 = 该技术检查到的协议层)
📦 三种工作原理对比(报文穿过防火墙时检查什么)
图3 · 包过滤"只看报头"、应用代理"只看数据"、状态检测"看报头+建状态表"
逐个看(点卡片翻转)
📦
包过滤
网络层只看报头(IP/端口/协议)
优:快、易配、对用户透明
缺:不识别应用层、不维持状态、防不住 IP 欺骗
优:快、易配、对用户透明
缺:不识别应用层、不维持状态、防不住 IP 欺骗
🔁
应用代理
应用层检查应用内容(如禁 FTP put)
优:安全性好,负载在应用层检查
缺:支持应用少、对用户不透明、性能差
优:安全性好,负载在应用层检查
缺:支持应用少、对用户不透明、性能差
🔗
状态检测
2~4 层建状态表跟踪会话
内置 TCP/IP 状态机,检查包是否符合会话状态
优:性能高、支持大量应用、内核级实现
内置 TCP/IP 状态机,检查包是否符合会话状态
优:性能高、支持大量应用、内核级实现
🔬
完全内容检测
2~7 层还原会话+内容分析
网络层/应用层/会话保护都强
能防混合型安全威胁
网络层/应用层/会话保护都强
能防混合型安全威胁
💡 自适应代理结合代理防火墙的安全性 + 包过滤的高速度,在不损失安全性的基础上大大提升代理防火墙性能(第五代)。
🎮 小练习:把技术和它的特征连起来
先点左边一个技术,再点右边对应特征。连对会变绿。
🔧 防火墙技术
包过滤
应用代理
状态检测
🎯 核心特征
建状态表、跟踪会话(2~4层)
网络层只看报头、前后报文无关
应用层检查内容、对用户不透明
随堂测状态检测防火墙相对简单包过滤的最重要改进是?
4四种体系结构(安全性递增)
| 结构 | 组成 | 特点 / 弱点 |
|---|---|---|
| 过滤路由器 | 1 个路由器(ACL) | 唯一通道;缺点:被攻陷难发现、无日志、不能识别用户 |
| 双宿主主机 | 1 台双网卡堡垒主机 | 能维护日志;致命弱点:堡垒主机被入侵则内网全暴露 |
| 被屏蔽主机 | 屏蔽路由器 + 堡垒主机 | 两道屏障;弱点:进入堡垒主机后内网仍受威胁 |
| 被屏蔽子网(DMZ) | 2 个路由器 + 堡垒主机 + 周边网络 | 最安全;缺点:成本高、配置复杂 |
图4 · 四种体系结构演进:圆越大越安全,主机是双宿主/被屏蔽主机的最大缺陷
⚠️ 易考点双宿主主机和被屏蔽主机的共同弱点:主机是最主要的安全缺陷,一旦堡垒主机被入侵,整个内网受威胁。DMZ 正是为解决这个隐患而生。
5被屏蔽子网 / DMZ(重点 ⭐)
在内外网之间建一个被隔离的子网(周边网络),用两台路由器夹起来,堡垒主机放中间。外部用户必须穿越两道屏蔽路由器才能访问内网。
四个部件
🌐
周边网络
位于内外网之间的附加网络,堡垒主机置于此。内网通信不经过它,外部即使入侵堡垒主机也监听不到内网信息。
🚧
外部路由器
第一道屏障
过滤外网对周边/内网的访问,限制外网用户只能访问周边网络。
🛡️
内部路由器
第二道屏障
复制外部路由器的内网过滤规则(防失效),并限制堡垒主机访问内网。
🏰
堡垒主机
放在周边网络,对外提供 WWW/FTP,对内提供 DNS/WWW代理/FTP代理。
🗺️ DMZ 网络拓扑(企业三区典型部署)
图5 · DMZ 网络拓扑:内网 ─ 内部路由器 ─ DMZ堡垒主机 ─ 外部路由器 ─ Internet
⭐ 核心价值
即使攻击者攻破 DMZ 里的堡垒主机,由于内部路由器将内网与周边网络隔离,他无法监听到内部网络信息。双层路由器构成双重防护,过滤规则互相复制防失效。
📋 典型访问策略
① 外网不允许访问内网;② 内网用户可按权限访问 Internet;③ 内、外用户只允许访问 DMZ 指定服务器的指定服务。内网用私有 IP,DMZ 服务器若用私有地址需在防火墙做 NAT/MAP。
6防火墙功能与 NAT
五个基本功能(必背)
- 过滤进、出网络的数据。
- 管理进、出网络的访问行为。
- 封堵某些禁止的业务。
- 记录通过防火墙的信息内容和活动(日志)。
- 对网络攻击的检测和告警。
其他/扩展功能NAT、隐藏内部 IP 与结构、流量日志审计、连单独网段对外提供 Web/FTP、集中安全管理、VPN(IPSEC/PPTP/L2TP);扩展:防病毒、IP/MAC 绑定、用户认证、带宽管理(QoS)、双机热备(高可用)、负载均衡、与 IDS 联动等。
NAT(网络地址转换)
图6 · NAT:把内网私有源地址改写为公网地址(类似邮局/快递重新封装)
- 作用:内部私有地址 ↔ 公网地址转换。
- 三大好处:① 隐藏内部网络结构;② 内网可用私有 IP;③ 解决公网地址不足(IP 复用)。
- MAP(地址/端口映射):把公网"地址+端口"映射到内部服务器,如
MAP 199.168.1.2:80 TO 202.102.1.3:80,让公开服务器用私有地址对外提供服务,同时隐藏内部结构。
7三种接入方式
| 方式 | 相当于 | 特点 |
|---|---|---|
| 路由接入 | 路由器 | 连接不同网段,需要配置 IP,提供简单路由功能 |
| 透明接入 | 网桥 | 内部主机配置不用改、不用配 IP,原网络结构不变 |
| 混合接入 | 路由 + 透明 | 大多数防火墙同时保留两种模式,按用户网络情况选择 |
⚠️ 注意路由接入模式的优点和透明接入模式的优点不能同时并存;混合模式下,不同子网走静态路由通信,同一网段走透明模式通信。
8性能五大指标(必背)
| 指标 | 含义 | 衡量标准 |
|---|---|---|
| 吞吐量 | 不丢包情况下能达到的最大速率 | 越大越好(小则成网络瓶颈) |
| 时延 | 输入帧最后1比特到达 → 输出帧第1比特输出的时间间隔 | 越小越好 |
| 丢包率 | 因资源不足该转发却没转发的帧百分比 | 越小越好 |
| 背靠背 | 全速发包出现第一个丢包时发送的帧数 | 体现缓冲能力(抗突发) |
| 并发连接数 | 穿越防火墙同时建立的最大连接数 | 越大越好 |
🚀
吞吐量↑
最大速率⏱️
时延↓
越小越快📉
丢包率↓
越小越稳💥
背靠背
抗突发缓冲🔗
并发连接数↑
同时连接数图7 · 五大性能指标记忆图(吞吐量/并发越大越好,时延/丢包越小越好)
9局限性与两个争议
局限性(必考)
- 防外不防内——难防内部攻击或滥用。
- 不能防绕过/未经过防火墙的攻击(如内部私自拨号上网)。
- 只实现粗粒度访问控制。
- 难管理配置,易造成漏洞;很难提供内外一致的安全策略。
- 基于报头检测,无法阻断通过开放端口流入的有害流量(不是蠕虫/黑客攻击的解决方案)。
- 对 0day 攻击无能为力。
⚠️ 正因如此需要 IDS、WAF 来补充,组成纵深防御。
争议一:胖 vs 瘦
| 胖防火墙 | 瘦防火墙 | |
|---|---|---|
| 定义 | 功能大而全,集成安全平台 | 功能少而精,只做访问控制,靠多厂商联动 |
| 优势 | 功能全、控制细、协作强、降成本 | 性能高、专业性强、整体安全高、配置简单 |
| 不足 | 性能降低、自身安全弱、功能拼凑、稳定性差、配置复杂 | 功能单一、整体防护不足、采购成本高 |
结论趋势是构建联动、统一的动态安全防护体系,通过安全管理中心监控协调各产品。
争议二:硬件架构
🖥️
X86 通用 CPU
高灵活、易开发新功能;受 CPU/PCI 总线制约,高千兆环境性能不足。
⚡
NPU 网络处理器
专为处理数据包设计、可编程、I/O 强;但微引擎编程难、成本高、成熟度不及 ASIC。
🔩
ASIC 专用芯片
千兆线速,适合高端;传统缺乏灵活性、开发难,现代增加可编程性。
最佳组合通用 CPU(系统控制管理)+ 可编程 ASIC(数据高速处理转发)各司其职。
10WAF:Web 应用防火墙(重点 ⭐)
WAF 是什么专门保护 Web 应用 的防火墙,防护 SQL 注入、XSS、XML 注入、Web 层 DDoS 等。因重点防 SQL 注入,也叫"SQL 防火墙"。本质是防应用层攻击,技术上更应叫 Web IPS。
❓ 为什么传统防火墙防不住 Web 攻击?
图8 · 传统防火墙工作在网络/传输层,不分析应用层;SQL 注入/XSS 藏在正常 HTTP/HTTPS 请求里(80/443 本就开放),所以漏过
部署
串行接入在 Web 服务器前面,对性能要求高,必须具备 HA、Bypass 功能,还要与负载均衡、Web Cache 协调部署。
检测技术(五种)
| 技术 | 原理 |
|---|---|
| 代理服务 | 基于会话的双向代理,中断用户与服务器直连,适用各种加密协议,能抑制 DDoS |
| 特征识别 | 靠攻击"指纹"(如 SQL 注入 1=1、溢出 Shellcode)。难点:特征库庞大、易误报、对 0day 无效 |
| 算法识别 | 对攻击类型归类做模式化,进行语义理解(而非靠"长相"识别) |
| 模式匹配 | IDS 传统技术,把攻击归纳成模式(协议模式简单、行为模式难) |
| 自学习技术 | 学习正常访问模式(如账号无特殊字符、密码不超 20 位),偏离就预警/阻断 |
⚠️ 最大挑战:识别率对已知攻击能给出识别率,对未知攻击识别率可用性不大;且不易测量(入侵成功者一般不张扬)。
🤖 基于机器学习的 Web 异常检测
传统规则集难应对 0day。新思路:不识别"入侵行为",而是建模"正常流量(Profile)",不符合的就是异常——"以不变应万变",更难被绕过。最大困难是标签数据缺乏(入侵黑样本稀少),故多用无监督学习。
📊
统计学习
参数长度/字符分布/访问频率;切比雪夫不等式、卡方检验。
🔤
文本分析
借鉴 NLP,HMM 隐马尔科夫模型对参数序列建模。
🎯
单分类
one-class SVM(McPAD 用 N-Gram 向量化找最小边界)。
🧩
聚类
正常流量大量重复,异常稀少;聚类外的小簇判为入侵。
11IDS:入侵检测系统(重点 ⭐)
IDS 是什么监控系统/网络,识别违反安全策略的行为和攻击迹象,是防火墙的补充——防火墙挡门口,IDS 在里面巡逻,发现内部和绕过防火墙的攻击。主要做检测和告警(能主动阻断的叫 IPS)。
Denning 模型 & CIDF 四组件
Denning 模型是入侵检测奠基模型,核心:通过审计记录识别异常和攻击。CIDF 通用框架分四组件:
图9 · CIDF 四组件:事件产生器 → 事件分析器 → 事件数据库 / 响应单元
异常检测 vs 误用检测(核心对比)
| 异常检测 | 误用 / 特征检测 | |
|---|---|---|
| 思想 | 建正常行为模型,识别偏离 | 匹配已知攻击特征(签名) |
| 检测未知攻击(0day) | 能 | 不能 |
| 主要缺点 | 误报率高、正常模型难建 | 漏报未知、需持续更新特征库 |
💡 记忆异常检测"你不正常我报警"(能抓新攻击但易误伤);误用检测"你像通缉犯我抓"(准但只抓已知)。
HIDS vs NIDS(核心对比)
图10 · HIDS 装在主机上、NIDS 监听网段
| HIDS(基于主机) | NIDS(基于网络) | |
|---|---|---|
| 部署 | 单台主机上(装代理) | 网络节点,监听整个网段 |
| 能否看加密通信 | 能(主机上已解密) | 不能(看不懂密文) |
| 特点 | 能映射到具体用户/主机;占主机资源 | 监控整个网段、不占主机资源;交换环境需镜像 |
📌 还有网络节点 IDS 和混合型/分布式入侵检测。实战常 HIDS + NIDS 组合。
Snort(著名开源 NIDS)
- 通过规则检测,规则 = 规则头 + 规则选项。
- 三个子系统:数据包解码器(嗅探/预处理)→ 检测引擎 → 日志/告警系统。
12防火墙 / WAF / IDS 三者关系
| 设备 | 位置 | 作用 | 防什么 |
|---|---|---|---|
| 防火墙 | 网络边界 | 访问控制 | 控制进出流量 |
| WAF | Web 服务器前(串行) | 防应用层攻击 | SQL 注入、XSS |
| IDS | 网络/主机内部 | 检测告警 | 内部/绕过攻击 |
图11 · 纵深防御:防火墙挡门、WAF 护 Web、IDS 内部巡逻,三者互补
13本章小结
- 防火墙 = 安全域之间的唯一通道 + 访问控制设备,五大功能、五大性能指标。
- 四种核心技术:包过滤(网络层)、应用代理(应用层)、状态检测(2-4层,建状态表)、完全内容检测(2-7层,还原会话)。
- 四种结构:过滤路由器 < 双宿主 < 被屏蔽主机 < 被屏蔽子网(DMZ,最安全);DMZ 四部件、双路由器双屏障。
- NAT 隐藏内部结构 + IP 复用;接入方式:路由/透明/混合。
- 局限性:防外不防内、防不住绕过/0day → 需 IDS、WAF 补充。
- WAF 补应用层短板(防 SQL 注入/XSS,传统防火墙不分析应用层)。
- IDS 补内部检测短板:异常检测 vs 误用检测、HIDS vs NIDS、Snort(规则头+规则选项)。
📄 配套作业3🔥 防火墙 + WAF + IDS
⭐重点例题(作业3精讲)
作业3整章对应 CH7,下面把核心题目做成例题详细讲解,掌握了它们考试就稳了。
例1【简答】比较包过滤、应用代理、状态检测、完全内容检测的工作层次、优缺点
包过滤(网络层):只看报头(IP/端口/协议)。优——快、易配、对用户透明;缺——不识别应用层、不维持状态、防不住 IP 欺骗。
应用代理(应用层):检查应用层内容。优——安全性好;缺——支持应用少、对用户不透明、性能差。
状态检测(2~4层):建状态表跟踪会话,检查包是否符合会话状态。优——性能高、支持大量应用、内核级;克服了包过滤"只看单包"的缺点。
完全内容检测(2~7层):还原会话并分析应用内容,能防混合型威胁,三层保护都强。
应用代理(应用层):检查应用层内容。优——安全性好;缺——支持应用少、对用户不透明、性能差。
状态检测(2~4层):建状态表跟踪会话,检查包是否符合会话状态。优——性能高、支持大量应用、内核级;克服了包过滤"只看单包"的缺点。
完全内容检测(2~7层):还原会话并分析应用内容,能防混合型威胁,三层保护都强。
例2【案例】企业边界防火墙与 DMZ 规划(案例1)
(1) 逻辑关系:Internet ─ 外部路由器 ─ 防火墙 ─ DMZ(官网/邮件/文件下载,堡垒主机) ─ 内部路由器 ─ 内网(OA/财务/研发,私有IP)。对外服务放 DMZ,内网与 DMZ、外网逻辑隔离。
(2) 访问策略:① 外部用户访问官网——只允许访问 DMZ 指定服务器的指定服务(如 80/443),不能进内网;② 内部用户访问互联网——按权限允许出站;③ 外部用户访问内网——一律拒绝。
(3) NAT/MAP 作用:内网私有地址经 NAT 转公网出网(隐藏结构+IP复用);DMZ 服务器用私有地址时,用 MAP 把公网"地址:端口"映射到服务器对外发布。补充措施:在 Web 服务器前加 WAF 防 SQL 注入/XSS,部署 IDS 检测内部/绕过攻击,开启日志审计。
(2) 访问策略:① 外部用户访问官网——只允许访问 DMZ 指定服务器的指定服务(如 80/443),不能进内网;② 内部用户访问互联网——按权限允许出站;③ 外部用户访问内网——一律拒绝。
(3) NAT/MAP 作用:内网私有地址经 NAT 转公网出网(隐藏结构+IP复用);DMZ 服务器用私有地址时,用 MAP 把公网"地址:端口"映射到服务器对外发布。补充措施:在 Web 服务器前加 WAF 防 SQL 注入/XSS,部署 IDS 检测内部/绕过攻击,开启日志审计。
例3【案例】为什么传统防火墙挡不住校园门户的 SQL 注入/XSS?(案例2)
(1) 包过滤/状态检测工作在网络层/传输层,不分析应用层内容;SQL 注入和 XSS 藏在正常 HTTP/HTTPS 请求里,而 80/443 端口本就开放、IP 与协议都合法,所以防火墙看不出异常、不告警。
(2) WAF 检测思路:特征识别(匹配
(3) 降误报保连续性:先用观察/学习模式建正常 Profile 再上线拦截、结合机器学习异常检测降低误报、配置 Bypass/HA 保证业务不中断、对高风险规则才阻断、其余告警。
(2) WAF 检测思路:特征识别(匹配
1=1、<script> 等指纹)、算法识别(对攻击归类做语义理解)、模式匹配(协议/行为模式)、自学习(学正常访问模式,如账号无特殊字符、密码不超20位,偏离即拦截)。(3) 降误报保连续性:先用观察/学习模式建正常 Profile 再上线拦截、结合机器学习异常检测降低误报、配置 Bypass/HA 保证业务不中断、对高风险规则才阻断、其余告警。
例4【案例】入侵检测部署与告警处置(案例3)
(1) 组合部署:在网络出入口/核心交换镜像口部署 NIDS 监控整体流量(发现端口扫描、异常外联);在加密通信的关键服务器上装 HIDS(NIDS 看不懂密文,HIDS 在主机上已解密、能审计登录);交换式环境用网络节点 IDS 补盲。
(2) 检测方法选择:端口扫描——特征检测(扫描行为模式明确);失败登录暴破——可特征(阈值规则);异常外联(连陌生IP/异常时段)——异常检测(偏离正常基线)。
(3) 响应处置:告警→归并去重关联→联动防火墙阻断可疑连接/隔离主机→保存日志与流量做取证→复盘更新规则与基线。
(2) 检测方法选择:端口扫描——特征检测(扫描行为模式明确);失败登录暴破——可特征(阈值规则);异常外联(连陌生IP/异常时段)——异常检测(偏离正常基线)。
(3) 响应处置:告警→归并去重关联→联动防火墙阻断可疑连接/隔离主机→保存日志与流量做取证→复盘更新规则与基线。
例5【判断辨析】课件易错判断题
✗ "包过滤防火墙能理解所有应用层语义、识别所有 Web 攻击"——错,它只看报头。
✗ "透明模式接入需大规模修改主机 IP 配置"——错,透明模式像网桥,主机配置不用改。
✗ "网络型 IDS 能直接分析加密通信明文"——错,NIDS 看不懂密文,需 HIDS 或端点配合。
✓ "防火墙可作为可信与不可信网络之间的缓冲区"——对。
✓ "异常检测能检测未知攻击,但正常模型难建、误报较高"——对。
✗ "透明模式接入需大规模修改主机 IP 配置"——错,透明模式像网桥,主机配置不用改。
✗ "网络型 IDS 能直接分析加密通信明文"——错,NIDS 看不懂密文,需 HIDS 或端点配合。
✓ "防火墙可作为可信与不可信网络之间的缓冲区"——对。
✓ "异常检测能检测未知攻击,但正常模型难建、误报较高"——对。
🎯自测(点击展开参考要点)
四种核心技术分别工作在哪一层?哪两种建状态表?
包过滤=网络层;应用代理=应用层;状态检测=2~4层;完全内容检测=2~7层。状态检测和完全内容检测会建状态表;完全内容检测还会还原会话。
DMZ 的四个部件是什么?核心价值是什么?
周边网络、外部路由器、内部路由器、堡垒主机。核心价值:即使攻破 DMZ 堡垒主机,内部路由器隔离内网,攻击者无法监听到内网信息;双层路由器构成双重防护、规则互相复制防失效。
防火墙性能五大指标?各自越大/越小越好?
吞吐量(↑大)、时延(↓小)、丢包率(↓小)、背靠背(缓冲/抗突发)、并发连接数(↑大)。
为什么传统防火墙防不住 SQL 注入/XSS?
它工作在网络层/传输层,不分析应用层内容;攻击藏在正常 HTTP/HTTPS 请求里(80/443 本就开放),所以需要工作在应用层的 WAF 来防护。
异常检测 vs 误用检测,HIDS vs NIDS 各自关键差异?
异常检测建正常模型、能测未知攻击但误报高;误用检测匹配已知特征、准但测不到未知。HIDS 装主机上、能看加密(已解密)内容、占资源;NIDS 监听网段、看不懂加密通信。
✅ 都能答上来?那 CH7 的知识点你就掌握了,可以去做作业3了。下面还有 76 道强化题库巩固。
📝强化题库(41 选择 + 35 填空 = 76 题)
覆盖本章全部知识点,含 作业举一反三 变体题。选择题点选即时判分;填空题输入后点"检查"或"显示答案"。
已答 0/41
答对 0
正确率 —
已检查 0/35
答对 0