防火墙复习资料专.doc

1、 一、 填空题（每空2分，共20分）(百度) 1、 --（防火墙）------是指设置在不同网络（如可信任的企业内部网和不可信的公共网）  或网络安全域之间的，用以实施网络间访问控制的一组组件的集合。  2、目前普遍应用的防火墙按组成结构可分为 （软件防火墙）,硬件防火墙,芯片级 防火墙三种。  3、包过滤类型的防火墙要遵循的一条基本原则是 --（最小特权原则）------ 。  4、状态检测防火墙中有两张表用来实现对数据流的控制，它们分别是规则表和 ---（状态检测表）------。  5、常见防火墙按采用的技术分类主要有：包过滤防火墙；代理防火墙；-(状态检测防火墙)----

2、  6、-（双重宿主主机）------- 是防火墙体系的基本形态  7、应用层网关防火墙也就是传统的代理型防火墙。应用层网关型防火墙工作在 OSI 模型的应用层，它的核心技术就是 -（代理服务器技术）-------，电路层网关工作在OSI模型的会话层。  8、防火墙体系结构一般有如下三种类型：（双重宿主主机体系结构）、屏蔽主机体系结构和屏蔽子网体系结构。  9、在屏蔽子网防火墙体系结构中， ---（堡垒主机）----- 和分组过滤路由器共同构成了整  个防火墙的安全基础。  10、防火墙的工作模式有----（路由模式）---- 、透明桥模式和混合模式三大类。  11.芯片

3、级防火墙的核心部分是（ASIC芯片）  12.目前市场上常见的防火墙架构有(X86 ASIC NP)  13.代理防火墙是一种较新型的防火墙技术，它分为（应用层网关）和（电路层网关）  14.防火墙是一个或一组实施（访问控制策略）的系统  15.访问控制策略设计原则有(封闭)原则和（开放）原则  16.按防火墙应用部署位置分，可以分为（边界）防火墙，（个人）防火墙和（分布式）防火墙  17.防火墙实现的主要技术有（包过滤）技术，（应用代理）技术，（状态检测）技术 二、 名词解释（每小题4分，共20分） 1.深度过滤：深度过滤技术又称为深度检测技术，是防火墙技术的集成和优化 2

4、入侵检测：检测并响应针对计算机系统或网络的入侵行为的学科 3.蜜罐技术：将攻击的目标转移到蜜罐系统上，诱骗、收集、分析攻击的信息，确定入侵行为的模式和入侵者的动机。 4.PPTP：即点对点隧道协议，是一种支持多协议虚拟专用网络的网络技术 5.MPLS VPN：是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。 6.防火墙：一种位于内部网络与外部网络之间的网络安全系统。 7.包过滤技术：又称报文过滤技术。其作用是执行边界访问控制功能，即对网络通信数据进行

5、过滤（filtering，亦称筛选）。 8.VPN：是指通过一个公用网络建立一个临时的、安全的链接，是一条穿过混乱的公用网络的安全、稳定的隧道。 9.非军事区：又称为屏蔽子网，它是在用户内联网络和外联网络之间构建的一个缓冲网络，目的是最大限度地减少外部入侵者对内联网络的侵略。 10.堡垒主机：是非常有名的一种网络安全机制，也是安全访问控制实施的一种基础组件。 三、 简答题（每题5分，共40分） 1. 防火墙面对的主要安全威胁有哪些？ 通过更改防火墙配置参数和其它相关安全数据而展开的攻击。 攻击者利用高层协议和服务对内部受保护网络或主机进行的攻击。 绕开身份认证和鉴

6、别机制，伪装身份，破坏已有连接。 任何通过伪装内部网络地址进行非法内部资源访问的地址欺骗攻击。 未经授权访问内部网络中的目标数据。 用户对防火墙等重要设备未经授权的访问。 破坏审计记录。 2.防火墙的规则特点有哪几个？ 规则是系统安保策略的实现和延伸； 与网络访问行为紧密相关； 在严格安全管理和充分利用网络之间取得较好的平衡； 防火墙可以实施各种不同的服务访问政策。 1.防火墙的规则是整个组织或机构关于保护内部信息资源的策略的实现和延伸； 2.防火墙的规则必须与网络访问活动紧密相关，理论上应该集中关于网络访问的所有问题； 3.防火墙的规则必须既稳妥

7、可靠，又切合实际，是一种在严格安全管理与充分利用网络资源之间取得较好平衡的政策； 4.防火墙可以实施各种不同的服务访问政策。（课本答案） 3.包过滤技术存在的问题有哪些？ 包过滤技术过滤思想简单，对信息的处理能力有限。只能访问包头中的部分信息，不能理解通信的上下文，因此不能提供更安全的网络防护能力。 当过滤规则增多的时候，对于过滤规则的维护是一个非常困难的问题。不但要考虑过滤规则是否能够完成安全过滤任务，还要考虑规则之间的关系防止冲突的发生。尤其是后一个问题是非常难于解决的。 包过滤技术控制层次较低，不能实现用户级控制。特别是不能实现对用户合法身份的认证以及对冒用的IP

8、地址的确定。 4.代理的具体作用有哪些？ （1）隐藏内部主机（2）过滤内容（3）提高系统性能（4）保障安全（5）阻断URL （6）保护电子邮件（7）身份认证（8）信息重定向 5.代理的缺点有哪些？ 代理服务程序很多都是专用的，不能够很好地适应网络服务和协议的不断发展。 在访问数据流量较大的情况下，代理技术会增加访问的延迟，影响系统的性能。 应用层网关需要用户改变自己的行为模式，不能够实现用户的透明访问。 应用层代理还不能够完全支持所有的协议。 代理系统对操作系统有明显的依赖性，必须基于某个特定的系统及其协议。 相对于包过滤技术来说，代理技术执行的速度

9、是较慢的。 6.简述过滤路由器的缺点。 配置复杂，维护困难； 只针对数据包本身进行检测，只能检测出部分攻击行为； 无法防范数据驱动式攻击； 只能简单地判断IP地址，而无法进行用户级的身份认证和鉴别； 随着过滤规则的增加，路由器的吞吐量将会下降； 无法对数据流进行全面地控制，不能理解特定服务的上下文环境和数据。 7.防火墙的性能指标有哪些？ 可靠性、可用性、可扩展性、可审计性、可管理性、成本耗费 8.试说明入侵行为的一般过程。 确定攻击目标 ， 实施攻击，攻击后处理 9. 防火墙定义以及具有的属性。 定义：防火墙是隔离在内部网络与外部网络之间的一个防御

10、系统。 防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。 只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防火墙。 防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影响。 10. 防火墙实现的4类控制功能有哪些？ 方向控制；服务控制；行为控制；用户控制； 11.包过滤技术的优点有哪些？ 1、包过滤技术实现简单、快速。经典的解决方案只需要在内部网络与外部网络之间的路由器上安装过滤模块即可。2、包过滤技术的实现对用户是透明的。用户无需改变自己的网络访问行为模式，也不需要在主机上安装任何的客户端软件，更不用进

11、行任何的培训。 3、包过滤技术的检查规则相对简单，因此检查操作耗时极短，执行效率非常高，不会给用户网络的性能带来不利的影响。 12.简述状态检测技术的优缺点。 优：1、安全性比静态包过滤技术高。2、与静态包过滤技术相比，提升了防火墙的性能。 缺：1、主要工作在网络层和传输层，对报文的数据部分检查很少，安全性还不够高。 2、 检查内容多，对防火墙的性能提出了更高的要求。 13.代理的优点有哪些？ 1、代理服务提供了高速缓存。对同一个信息有重复的请求时，可以从缓存获取信息而不必再次进行网络连接，提高了网络的性能。2、因为代理服务器屏蔽了内部网络，所以阻止了一切对内部网络的探测活动

12、 3、代理服务在应用层上建立，可以更有效地对内容进行过滤。 4、 代理服务器禁止内网与外网的直接连接，减少了内部主机受到直接攻击的危险。5、代理服务可以提供各种用户身份认证手段，从而加强服务的安全性。6、 连接是基于服务而非基于物理连接，因此代理防火墙不易受IP地址欺骗的攻击。7、代理服务提供了详细的日志记录，有助于进行细致的日志分析和审计。8、代理防火墙的过滤规则比包过滤防火墙的过滤规则更简单。 14.简述过滤路由器的优点。 快速、耗费比高、透明、实现容易。 15.一般来说，一条过滤规则都要包含的几个主要字段是哪几个？ 源地址、源端口号、目的地址、目的端口号、协议标志、过滤

13、方式。 16. 入侵检测技术的不足之处有哪几点？ （1）无法完全自动地完成对所有攻击行为的检查，必须通过与管理人员的交互来实现。 （2）不能很好地适应攻击技术的发展，只有在熟知攻击行为的特征后才能识别检测它。虽然存在智能化、可自学习的入侵检测技术，但还不能跟上变形攻击技术和自发展攻击技术的步伐。 （3）入侵检测技术很难实现对攻击的实时响应。往往是在被动地监测到攻击序列开始后，还需要与防火墙系统进行联动，才能完成阻断攻击的动作。这对于那些一次性完成的攻击行为（瞬发攻击）是毫无作用的。 （4）本质是一种被动的系统，无法弥补各种协议的缺陷，只能尽量地去适应协议的规范。 （5）无论是基于主

14、机的还是基于网络的入侵检测系统，其信息源都来自于受保护的网络，那么系统的检测精度要依赖于系统提供信息的资量和完整性。受此限制，在很多情况下，无法完全达到入侵检测技术的理论水平； （6）处理能力有限，当系统满负荷运转时，不能及时有效的分析、处理全部的数据； （7）无法完全适应现代系统软件和硬件技术的发展速度，最明显的例子就是现有的入侵检测系统不能很好的支持不断出现的各种应用服务，也不能很好的融合进多样化的现代网络； （8）无法快速的适应组织或机构的系统安全策略的变化，调整过程较为复杂。 四、论述题（每题10分，共20分） 1. 试论述防火墙的不足之处主要有哪些？ 限制网络服务，对

15、内部用户防范不足，不能防范旁路连接 ，不适合进行病毒检测 ，无法防范数据驱动型攻击 ，无法防范所有的威胁 ，防火墙配置比较困难，无法防范内部人员泄露机密信息，防火墙对网络访问速度有影响，单失效点 2. 试论述计算机系统面临的威胁行为主要有哪些？ 拒绝服务；欺骗；监听；密码破解；木马；缓冲区溢出；ICMP秘密通道；TCP会话劫持； 3. 试论述防火墙的好处有哪几点？ （1）防火墙允许网络管理员定义一个“检查点”来防止非法用户进入内部网络并抵抗各种攻击；（2）防火墙通过过滤存在着安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。（3） 防火墙可以增强受保护节点的保密性，强化私有权。（4

16、防火墙有能力较精确地控制对内部子系统的访问。（5）防火墙系统具有集中安全性。（6）在防火墙上可以很方便地监视网络的通信流，并产生告警信息。（7） 防火墙是审计和记录网络行为最佳的地方。（8）防火墙可以作为向客户发布信息的地点。（9） 防火墙为系统整体安全策略的执行提供了重要的实施平台。 4.试论述三层隧道与二层隧道的性能比较。 第三层隧道与第二层隧道相比，优点在于它的安全性、可扩展性及可靠性。 从安全的角度来看，由于第二层隧道一般终止在用户网设备（CPE）上，会对用户网络的安全以及防火墙提出比较严峻的挑战。而第三层的隧道一般终止在ISP的网关上，不会对用户网的安全构成威胁。 从

17、可扩展性角度来看，第二层IP隧道将整个PPP帧封装在报文内，可能会产生传输效率问题；其次，PPP会话会贯穿整个隧道，并终止在用户网的网关或服务器上。由于用户网内的网关要保存大量的PPP对话状态及信息，这会对系统负荷产生较大的影响，当然也会影响系统的扩展性。除此之外，由于PPP的LCP(数据链路层控制)及NCP(网络层控制)对时间非常敏感，IP隧道的效率会造成PPP会话超时等问题。第三层隧道终止在ISP网内，并且PPP会话终止在RAS处，网点无需管理和维护每个PPP会话状态，从而减轻系统负荷。 第三层隧道技术对于公司网络还有一些其他优点，网络管理者采用第三层隧道技术时，不必在他们的远程为客户原有设备（CPE）安装特殊软件。因为PPP和隧道终点由ISP的设备生成，CPE不用负担这些功能，而仅作为一台路由器。第三层隧道技术可采用任意厂家的CPE予以实现。使用第三层隧道技术的公司网络不需要IP地址，也具有安全性。服务提供商网络能够隐藏私有网络和远端节点地址。 5