自考计算机网络安全复习资料(第四章 防火墙技术)

破书一堆

4.1.1防火墙的基本概念：是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
4.1.2防火墙的主要功能：①过滤进、出网络的数据②管理进、出网络的访问行为③封堵某些禁止的业务④记录通过防火墙的信息和内容⑤对网络攻击检测和告警
4.1.3防火墙的局限性：①网络的安全性通常是以网络服务的开放性和灵活性为代价②防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。
4.2防火墙的体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。（图见P106）
4.3防火墙可以分为网络层防火墙和应用层防火墙，这两类防火墙的具体实现技术主要有骗子滤技术、代理服务技术、状态检测技术和NAT技术等。
4.3.1 骗子滤技术的工作原理（P110）：工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。骗子滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。
4.3.1骗子滤技术的缺陷：①不能彻底防止地址欺骗②无法执行某些安全策略③安全性较差④一些应用协议不适合于数据骗子滤⑤管理功能弱
4.3.2代理服务技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。
4.3.2 代理服务技术的工作原理（P116）：所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进行下一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。
4.3.2代理技术的优点：①代理易于配置②代理能生成各项记录③代理能灵活、完全地控制进出流量、内容④代理能过滤数据内容⑤代理能为用户提供透明的加密机制⑥代理可以方便地与其它安全手段集成。
4.3.2代理技术的缺点：①代理速度较路由器慢②代理对用户不透明③对每项服务代理可能要求不同的服务器④代理服务不能保证免受所有协议弱点的限制⑤代理不能改进底层协议的安全性。
4.3.3 状态检测技术的工作原理（P119）：也称为动态骗子滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性，检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测，并将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。
4.3.3状态检测技术的特点：①高安全性②高效性③可伸缩性和易扩展性④应用范围广
4.3.4NAT 技术的工作原理（P121）：网络地址转换，是一个internet工程任务组的标准，允许一个整体机构以一个公用IP地址出现在互联网上。即是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT有三种类型：静态NAT、动态NAT和网络地址端口转换NAPT。
4.6.2个人防火墙的主要功能：①IP数据骗子滤功能②安全规则的修订功能③对特定网络攻击数据包的拦截功能④应用程序网络访问控制功能⑤网络快速切断、恢复功能⑥日志记录功能⑦网络攻击的报警功能⑧产品自身安全功能
4.6.3 个人防火墙的特点：优点：①增加了保护级别，不需要额外的硬件资源；②除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击；③是对公共网络中的单位系统提供了保护，能够为用户陷隐蔽暴露在网络上的信息，比如IP地址之类的信息等。缺点：①对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁；②在运行时需要战胜个人计算机的内存、CPU时间等资源；③只能对单机提供保护，不能保护网络系统。
4.7防火墙的发展趋势（P142）：①优良的性能②可扩展的结构和功能③简化的安装与管理④主动过滤⑤防病毒与防黑客⑥发展联动技术
课后题：
1、简述防火墙的定义。（P103）2、防火墙的主要功能。（P135）
3、防火墙的体系结构有哪几种？简述各自的特点。（P106）
防火墙的体系结构：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。
双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络往另一个网络发送数据包。
双重宿主主机体系结构是由一台同时连接在内外部网络的双重宿主主机提供安全保障的，而被屏蔽主机体系结构则不同，在屏蔽主机体系结构中，提供安全保护的主机仅仅与被保护的内部网络相连.
屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔离开。
4、简述骗子滤防火墙的工作机制和骗子滤模型。（P110，P111图）
骗子滤型防火墙一般有一个包检查模块，可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但不能控制传输的数据内容，因为内容是应用层数据。骗子滤模型P111
5、简述骗子滤的工作过程。（P112）
6、简述代理防火墙的工作原理，并阐述代理技术的优缺点。（P116）
所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进行下一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。
优点：①代理易于配置②代理能生成各项记录③代理能灵活、完全地控制进出流量、内容④代理能过滤数据内容⑤代理能为用户提供透明的加密机制⑥代理可以方便地与其他安全手段集成
缺点：①代理速度较路由器慢②代理对用户不透明③对于每项服务代理可能要求不同的服务器④代理服务不能保证免受所有协议弱点的限制⑤代理不能改进底层协议的安全性
7、简述状态检测防火墙的特点。（P120）
状态检测防火墙结合了骗子滤防火墙和代理服务器防火墙的长处，克服了两者的不足，能够根据协议、端口，以及源地址、目的地址的具体情况决定数据包是否允许通过。优点：①高安全性②高效性③可伸缩性和易扩展性④应用范围广。不足：对大量状态信息的处理过程可能会造成网络连接的某种迟滞。
8、简述NAT技术的工作原理（P121）
9、试描述攻击者用于发现和侦察防火墙的典型技巧。（P122）
   攻击者往往通过发掘信任关系和最薄弱环节上的安全脆弱点来绕过防火墙，或者经由拔号帐号实施攻击来避开防火墙。典型技巧：①用获取防火墙标识进行攻击。凭借端口扫描和标识获取等技巧，攻击者能有效地确定目标网络上几乎每个防火墙的类型、版本和规则。②穿透防火墙进行扫描。利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿透防火墙扫描。③利用分组过滤的脆弱点进行攻击。利用ACL规则设计不完善的防火墙，允许某些分组不受约束的通过。④利用应用代理的脆弱点进行攻击。
10、若把网络卫士防火墙3000部署在本单位网络出口处，试给出其应用配置。（P129）
11、简述个人防火墙的特点。（P136  4.6.3）
12、简述防火墙的发展动态和趋势。（P141）
防火墙的发展动态：防火墙有许多防范功能，但由于互联网的开放性，它也有一些力不能及的地方，主要表现在以下方面：①防火墙不能防范不经由防火墙的攻击。② 防火墙目前还不能防止感染了病毒的软件或文件的传输，这只能在每台主机上安装反病毒软件。③防火墙不能防止数据驱动式攻击。④另外，防火墙还存在着安装、管理、配置复杂的缺点，在高流量的网络中，防火墙还容易成为网络的瓶颈。
防火墙的发展趋势：①优良的性能②可扩展的结构和功能③简化的安装与管理④主动过滤⑤防病毒与防黑客⑥发展联动技术。

yhtgfedswq

谢谢楼主，真是太好了