全部科目 > 系统分析师 >
2019年上半年 上午试卷 综合知识
第 61 题
知识点 防火墙   应用层   监控   数据流  
关键词 防火墙   数据   通信   应用层  
章/节 通信和网络安全  
 
 
( )防火墙是内部网和外部网的隔离点,它可对应用层的通信数据流进行监控和过滤。
 
  A.  包过滤
 
  B.  应用级网关
 
  C.  数据库
 
  D.  WEB
 
 




 
 
相关试题     计算机网络安全 

  第68题    2022年上半年  
某信息系统不断受到SQL注入攻击,应部署()进行安全防护,实时阻断攻击行为。

  第7题    2014年上半年  
防火墙的工作层次是决定防火墙效率及安全的主要因素,下面的叙述中正确的是(7)。

  第9题    2013年上半年  
下图为DARPA提出的公共入侵检测框架示意图,该系统由4个模块组成。其中模块①〜④分别是(9)。
 
知识点讲解
· 防火墙
· 应用层
· 监控
· 数据流
 
        防火墙
        防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全的和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制,防火墙适合于相对独立的网络。
        实现防火墙的产品主要有两大类:一类是网络级防火墙,另一类是应用级防火墙。
               网络级防火墙
               网络级防火墙也称为过滤型防火墙,事实上是一种具有特殊功能的路由器,采用报文动态过滤技术,能够动态地检查流过的TCP/IP报文或分组头,根据企业所定义的规则,决定禁止某些报文通过或者允许某些报文通过,允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。
               状态检测防火墙又称动态包过滤,是在传统包过滤上的功能扩展。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。
               状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接,当反向应答分组送达时,就认为一个虚拟连接已经建立。
               包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的,过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到地址欺骗型攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
               应用级防火墙
               应用级防火墙也称为应用网关型防火墙,目前已大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装对应于每种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。例如对外部用户(或内部用户)的FTP、TELNET、SMTP等服务请求,检查用户的真实身份、请求合法性和源与目的地IP地址等,从而由网关决定接受或拒绝该服务请求,对于可接受的服务请求由代理服务机制连接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。
               目前常用的应用级防火墙大至上有4种类型,分别适合于不同规模的企业内部网:双穴主机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器。一个共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。
               (1)双穴主机(dual-homeD)网关:由堡垒主机作为应用网关,其中装有两块网卡分别连接外因特网和受保护的内部网,该主机运行防火墙软件,具有两个IP地址,并且能隔离内部主机与外部主机之间的所有可能连接。
               (2)屏蔽主机(screened host)网关:也称甄别主机网关。在外部Internet与被保护的企业内部网之间插入了堡垒主机和路由器,通常是由IP分组过滤路由器去过滤或甄别出可能的不安全连接,再把所有授权的应用服务连接转向应用网关的代理服务机制。
               (3)屏蔽子网(screened subnet)网关:也称甄别子网网关,适合于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立的子网,例如在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关),内部网与外部网的一方各有一个分组过滤路由器,可根据不同甄别规则接受或拒绝网络通信,子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的唯一系统。
 
        应用层
        TCP/IP的应用层大致对应于OSI/RM模型的应用层和表示层,应用程序通过本层协议利用网络。这些协议主要有FTP、TFTP、HTTP(Hypertext Transfer Protocol,超文本传输协议)、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)、DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)、NFS、Telnet(远程登录协议)、DNS(Domain Name System,域名系统)和SNMP(Simple Network Management Protocol,简单网络管理协议)等。
        FTP是网络上两台计算机传送文件的协议,是通过Internet把文件从客户机复制到服务器上的一种途径。
        TFTP是用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。TFTP协议设计的时候是进行小文件传输的,因此它不具备通常的FTP的许多功能,它只能从文件服务器上获得或写入文件,不能列出目录,也不进行认证。
        HTTP是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先被显示等。
        SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建模在FTP文件传输服务上的一种邮件服务,主要用于传输系统之间的邮件信息并提供与来信有关的通知。
        DHCP分为两个部分,一个是服务器端,另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。DHCP通过租约的概念,有效且动态地分配客户端的TCP/IP设定。DHCP分配的IP地址可以分为3种方式,分别是固定分配、动态分配和自动分配。
        NFS是FreeBSD支持的文件系统中的一种,允许一个系统在网络上与他人共享目录和文件。通过使用NFS,用户和程序可以像访问本地文件一样访问远端系统上的文件。
        Telnet是登录和仿真程序,它的基本功能是允许用户登录进入远程主机系统。以前,Telnet是一个将所有用户输入送到远方主机进行处理的简单的终端程序。它的一些较新的版本在本地执行更多的处理,于是可以提供更好的响应,并且减少了通过链路发送到远程主机的信息数量。
        DNS用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。DNS通过对用户友好的名称查找计算机和服务。当用户在浏览器中输入域名时,DNS服务可以将此名称解析为与之相关的其他信息,如IP地址。
        SNMP是为了解决Internet上的路由器管理问题而提出的,指一系列网络管理规范的集合,包括协议本身、数据结构的定义和一些相关概念。目前SNMP已成为网络管理领域中事实上的工业标准,并被广泛支持和应用,大多数网络管理系统和平台都是基于SNMP的。
 
        监控
        主要包括故障监控和性能、流量、负载等状态监控,这些监控关系到集群的健康运行及潜在问题的及时发现与干预。
        (1)服务故障、状态监控:主要是对服务器自身、上层应用、关联服务数据交互监控;例如针对前端Web Server,就可以有很多种类型的监控,包括应用端口状态监控,便于及时发现服务器或应用本身是否崩溃、通过ICMP包探测服务器健康状态,更上层可能还包括应用各频道业务的监控,这些只是一部分,还有多种监控方式,依应用特点而定。还有一些问题需解决,如集群过大,如何高性能地进行监控也是一个现实问题。
        (2)集群状态类的监控或统计,为合理管理调优集群提供数据参考,包括服务瓶颈、性能问题、异常流量、攻击等问题。
 
        数据流
        数据流由一组固定成分的数据组成,表示数据的流向。在DFD中,数据流的流向可以有以下几种:从一个加工流向另一个加工;从加工流向数据存储(写);从数据存储流向加工(读);从外部实体流向加工(输入);从加工流向外部实体(输出)。
        DFD中的每个数据流用一个定义明确的名字表示。除了流向数据存储或从数据存储流出的数据流不必命名外,每个数据流都必须有一个合适的名字,以反映该数据流的含义。
        数据流或者由具体的数据属性(也称为数据结构)构成,或者由其他数据流构成。组合数据流是由其他数据流构成的数据流,它们用于在高层的数据流图中组合相似的数据流,以使数据流图更便于阅读。
        控制流是对数据流图的补充,采用虚线表示,是对由触发系统功能的事件进行描述。
        另外,一个加工可以有多个输入数据流和多个输出数据流,此时可以加上一些扩充字符符号或图形元素来描述多个数据流之间的关系。如:
        (1)星号(*)。星号表示数据流之间存在“与”关系。如果是输入流则表示所有输入数据流全部到达后才能进行加工处理;如果是输出流则表示加工结束将同时产生所有的输出数据流。
        (2)加号(+)。加号表示数据流之间存在“或”关系。如果是输入流则表示其中任何一个输入数据流到达后就能进行加工处理;如果是输出流则表示加工处理的结果是至少产生其中一个输出数据流。
        (3)异或(⊕)。异或表示数据流之间存在“互斥”关系。如果是输入流则表示当且仅当其中一个输入流到达后才能进行加工处理;如果是输出流则表示加工处理的结果是仅产生这些输出数据流中的一个。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有