软考网络管理员备考知识点汇总(五).docx

网络管理员 软考网络管理员备考知识点汇总（五） 网络管理员是软考中一门初级资格的考试科目。考试一共分为两门，上午下午各一门。为了让大家能顺利的备考，小编就一些网络管理员的一些学习知识点做了一个汇总，希望对大家能有所帮助。 包过滤防火墙      包过滤防火墙是在网络的入口对通过的数据包进行选择，只有满足条件的数据包才能通过，否则被抛弃。      本质上说，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。例如，作为防火墙的设备可能有三块网卡，一块连到内部网络，一块连到公共的Internet,另外一块连接到DMZ.防火墙的任务，就是作为"网络警察",指引包和截住那些有危害的包。包过滤防火墙检查每一个传入包，查看包中可用的基本信息，包括源地址、目的地址、TCP/UDP端口号、传输协议（TCP、UDP、ICMP等）。然后，将这些信息与设立的规则相比较。如果已经设立了拒绝telnet连接，而包的目的端口是23,那么该包就会被丢弃。如果允许传入Web连接，而目的端口为80,则包就会被放行。      包过滤防火墙中每个IP包的字段都会被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则，与规则不匹配的包就被丢弃，如果有理由让该包通过，就要建立规则来处理它。包过滤防火墙是通过规则的组合来完成复杂策略的。例如，一个规则可以包括："允许Web连接"、"但只针对指定的服务器"、"只针对指定的目的端口和目的地址"这样三个子规则。      包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。 应用层网关防火墙      应用层网关防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接。      网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。      例如，一个用户的Web浏览器可能在80端口，但也经常可能是在1080端口，连接到了内部网络的HTTP代理防火墙。防火墙接受连接请求后，把它转到所请求的Web服务器。这种连接和转移对该用户来说是透明的，因为它完全是由代理防火墙自动处理的。代理防火墙通常支持的一些常见的应用程序有：HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC等，目前国内很多厂家在硬件防火墙里集成这些模块，如北大方正公司的方正方御防火墙就能代理以上应用程序。      应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接，为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内部发动攻击的可能性减少。      代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 状态检测防火墙      状态检测防火墙又称动态包过滤防火墙，是在传统包过滤上的功能扩展，现在已经成为防火墙的主流技术。      有人将状态检测防火墙称为第三代防火墙，可见其应用的广泛性。相对于状态检测包过滤，我们将传统的包过滤称为静态包过滤，静态包过滤将每个数据包进行单独分析，固定的根据其包头信息进行匹配，这种方法在遇到利用动态端口应用协议时会发生困难。我们举一个经典的例子来说明：FTP协议。      FTP在整个过程中使用了两种TCP连接，控制连接用于客户端与服务器端之间交互协商与命令传输，数据连接用于客户端与服务器端之间传输文件数据。客户端向服务器端固定的21端口发起连接请求建立控制连接，防火墙的静态包过滤根据这个固定的端口信息，很好地对控制连接实施过滤功能。而数据连接则使用动态端口，它是由控制连接来协商并发起，先由客户端或者服务器端在控制连接上发送PORT命令，将需要建立的动态端口作为参数传递，通过这种方式使客户端和服务器端完成了动态端口的协定。动态端口意味着每次的端口都有可能不一样，而防火墙无法知道哪些端口需要打开，如果采用原始的静态包过滤，有希望用到此服务的话，就需要将所有可能的端口打开，这会给安全带来不必要的隐患。而状态检测通过检查跟踪应用程序信息（如FTP的PORT命令），判断是否需要临时打开某个端口，当传输结束时，端口又马上恢复关闭状态。      状态检测防火墙，试图跟踪通过防火墙的网络连接和数据包，这样防火墙就可以使用一组附加的标准，以确定是允许还是拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。      当包过滤防火墙见到一个网络包，包是孤立存在的，没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息，则该包被认为是无状态的，它仅是存在而已。一个有状态包检查的防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已经建立的或者相关的网络连接、数据的传出请求等。例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就被允许通过。一个状态检测防火墙可截断所有传入的通信，而允许所有传出的通信。因为防火墙跟踪内部出去的请求，所有按要求传入的数据被允许通过，直到连接被关闭为止。只有未被请求的传入通信被截断。      跟踪连接状态的方式取决于通过防火墙包的类型：      TCP包。当建立起一个TCP连接时，通过的第一个包被标有包的SYN标志。通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包。在这种方式下，如果传入的包是响应一个已建立的连接时，才会被允许通过。      UDP包。UDP包比TCP包简单，因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据，使得防火墙确定包的合法性很困难。可是，如果防火墙跟踪包的状态，就可以解决这个问题。对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。和TCP包一样，所有传入的UDP包都不会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包，情况和UDP包类似。防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。      状态检测防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。状态检测防火墙能够对多层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，检测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，状态检测防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。