软考在线  |  计算机技术与软件专业技术资格(水平)考试   |   [请选择科目]
[ 成为 VIP会员 ]        登录  |  注册      我的  购物车
 
科目切换  联系我们 
    
  |   [请选择科目]
VIP:有效提升20分!  真题  历年真题 (可免费开通)/  百科全书/ 机考模拟平台/  最难真题榜/  自测/  攻打黄金十二宫/  真题检索/  真题下载/  真题词库
知识   必会知识榜/  最难知识榜/  知识点查询/      文档   学习计划/  精华笔记/  试题文档     纸质图书   《百科全书》HOT!!/         /        首页/  2025年上半年专区/  手机版/ 
免费智能真题库 > 历年试卷 > 信息安全工程师 > 2021年下半年 信息安全工程师 上午试卷 综合知识
  第36题      
  知识点:   包过滤   防火墙   访问控制   访问控制规则   IP地址   端口   防火墙技术
  关键词:   IP地址   包过滤   端口   防火墙   访问控制        章/节:   访问控制策略设计与实现   防火墙类型与实现技术   网络设备安全机制与实现技术   网络信息安全目标与功能       

 
包过滤是在IP层实现的防火墙技术,根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。包过滤防火墙扩展IP访问控制规则的格式如下:

则以下说法错误的是()。
 
 
  A.  source表示来源的IP地址
 
  B.  deny表示若经过过滤器的包条件匹配,则允许该包通过
 
  C.  destination表示目的IP地址
 
  D.  log表示记录符合规则条件的网络包
 
 
 确定 并 查看答案解析     知识点讲解  我要标记      有奖找茬      上一题        下一题 
 

 
  第31题    2022年下半年  
   56%
Cisco IOS的包过滤防火墙有两种访问规则形式:标准IP 访问表和扩展IP访问表。标准 IP 访问控制规则的格式如下:
access-lis..
  第28题    2022年下半年  
   38%
访问控制规则是访问约束条件集,是访问控制策略的具体实现和表现形式。目前常见的访问控制规则有:基于角色的访问控制规则、基于时..
  第28题    2022年下半年  
   38%
访问控制规则是访问约束条件集,是访问控制策略的具体实现和表现形式。目前常见的访问控制规则有:基于角色的访问控制规则、基于时..
 
  第32题    2022年下半年  
   50%
网络地址转换简称NAT.NAT 技术主要是为了解决网络公开地址不足而出现的。网络地址转换的实现方式中,把内部地址映射到外部网络的..
  第52题    2017年上半年  
   59%
包过滤技术防火墙在过滤数据包是,一般不关心()。
  第23题    2017年上半年  
   69%
以下关于NAT的说法中,错误的是()。
 
  第67题    2024年下半年  
   0%
访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。如果按照访问控制..
  第20题    2022年下半年  
   63%
美国国家标准与技术研究院NIST 发布了《提升关键基础设施网络安全的框架》,该框架定义了五种核心功能:识别(ldentify)、保护(Pro..
  第38题    2024年下半年  
   0%
UNIX 系统中超级用户的特权会分解为若干个特权子集,分别赋给不同的管理员,使管理员只能具有完成其任务所需的权限,该访问控制的..
 
  第37题    2021年下半年  
   67%
以下有关网站攻击防护及安全监测技术的说法,错误的是()。
  第30题    2022年下半年  
   43%
防火墙是由一些软件、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的数据包,起到网络安全屏障的作用。..
  第33题    2022年下半年  
   63%
用户在实际应用中通常将入侵检测系统放置在防火墙内部,这样可以()。
   知识点讲解    
   · 包过滤    · 防火墙    · 访问控制    · 访问控制规则    · IP地址    · 端口    · 防火墙技术
 
       包过滤
        包过滤是在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中的数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称为包过滤型防火墙(Packet Filter),其工作机制如下图所示。
        
        包过滤工作机制
        目前,包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm都是常用的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。下表是包过滤型防火墙的通用实例,该规则的作用在于只允许内、外网的邮件通信,其他的通信都禁止。
        
        防火墙过滤规则
        包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络安全管理中,包过滤技术经常用来进行网络访问控制。下面以Cisco IOS为例,说明包过滤器的作用。Cisco IOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行,标准IP访问控制规则的格式如下:
        
        而扩展IP访问控制规则的格式是:
        
        其中:
        . 标准IP访问控制规则的list-number规定为1~99,而扩展IP访问控制规则的list-number规定为100~199;
        . deny表示若经过Cisco IOS过滤器的包条件不匹配,则禁止该包通过;
        . permit表示若经过Cisco IOS过滤器的包条件匹配,则允许该包通过;
        . source表示来源的IP地址;
        . source-wildcard表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任何来源的IP包;
        . destination表示目的IP地址;
        . destination-wildcard表示接收数据包的主机IP地址的通配符掩码;
        . protocol表示协议选项,如IP、ICMP、UDP、TCP等;
        . log表示记录符合规则条件的网络包。
        下面给出一个例子,用Cisco路由器防止DDoS攻击,配置信息如下。
        
        简而言之,包过滤成为当前解决网络安全问题的重要技术之一,不仅可以用在网络边界,而且也可应用在单台主机上。例如,现在个人防火墙以及Windows 2000和Windows XP都提供了对TCP、UDP等协议的过滤支持,用户可以根据自己的安全需求,通过过滤规则的配置来限制外部对本机的访问。下图是利用Windows 2000系统自带的包过滤功能对139端口进行过滤,这样可以阻止基于RPC的漏洞攻击。
        
        Windows 2000过滤配置示意图
        包过滤防火墙技术的优点是低负载、高通过率、对用户透明。但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以轻易通过包过滤器。
 
       防火墙
        防火墙是网站安全的第一道技术屏障,主要用于限制来自某些特定IP地址的网站连接请求,阻止常见的Web应用攻击及Web Services攻击。目前,可以使用的防火墙技术主要有包过滤防火墙、Web应用防火墙。其中,包过滤防火墙只能基于IP层过滤网站恶意包,Web应用防火墙针对80、443端口、Web Services攻击。开源Web防火墙有ModSecurity,商业Web防火墙公司有杭州安恒、天融信、华为等。
 
       访问控制
        网络设备的访问可以分为带外(out-of-band)访问和带内(in-band)访问。带外(out-of-band)访问不依赖其他网络,而带内(in-band)访问则要求提供网络支持。网络设备的访问方法主要有控制端口(Console Port)、辅助端口(AUX Port)、VTY、HTTP、TFTP、SNMP。Console、AUX和VTY称为line。每种访问方法都有不同的特征。Console Port属于默认设置访问,要求物理上访问网络设备。AUX Port提供带外访问,可通过终端服务器或调制解调器Modem连接到网络设备,管理员可远程访问。VTY提供终端模式通过网络访问网络设备,通常协议是Telnet或SSH2。VTY的数量一般设置为5个,编号是从0到4。网络设备也支持使用HTTP协议进行Web访问。网络设备使用TFTP(Trivial File Transfer Protocol)上传配置文件。SNMP提供读或读写访问几乎所有的网络设备。
               CON端口访问
               为了进一步严格控制CON端口的访问,限制特定的主机才能访问路由器,可做如下配置,其指定X.Y.Z.1可以访问路由器:
               
               VTY访问控制
               为保护VTY的访问安全,网络设备配置可以指定固定的IP地址才能访问,并且增加时间约束。例如,X.Y.Z.12、X.Y.Z.5可以通过VTY访问路由器,则可以配置如下:
               
               超时限制配置如下:
               
               HTTP访问控制
               限制指定IP地址可以访问网络设备。例如,只允许X.Y.Z.15路由器,则可配置如下:
               
               除此之外,强化HTTP认证配置信息如下:
               
               其中,type可以设为enable、local、tacacs或aaa。
               SNMP访问控制
               为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作,网络设备提供了SNMP访问安全控制措施,具体如下:
               一是SNMP访问认证。当通过SNMP访问网络设备时,网络设备要求访问者提供社区字符串(community strings)认证,类似口令密码。如下所示,路由器设置SNMP访问社区字符串。
               (1)设置只读SNMP访问模式的社区字符串。
               
               (2)设置读/写SNMP访问模式的社区字符串。
               
               二是限制SNMP访问的IP地址。如下所示,只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SNMP只读访问。
               
               三是关闭SNMP访问。如下所示,网络设备配置no snmp-server community命令关闭SNMP访问。
               
               设置管理专网
               远程访问路由器一般是通过路由器自身提供的网络服务来实现的,例如Telnet、SNMP、Web服务或拨号服务。虽然远程访问路由器有利于网络管理,但是在远程访问的过程中,远程通信时的信息是明文,因而,攻击者能够监听到远程访问路由器的信息,如路由器的口令。为增强远程访问的安全性,应建立一个专用的网络用于管理设备,如下图所示。
               
               建立专用的网络用于管理路由器示意图
               同时,网络设备配置支持SSH访问,并且指定管理机器的IP地址才可以访问网络设备,从而降低网络设备的管理风险,具体方法如下:
               (1)将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet。
               (2)在路由器设置包过滤规则,只允许管理主机远程访问路由器。例如以下路由器配置可以做到:只允许IP地址是X.Y.Z.6的主机有权访问路由器的Telnet服务。
               
               特权分级
               针对交换机、路由器潜在的操作安全风险,交换机、路由器提供权限分级机制,每种权限级别对应不同的操作能力。在Cisco网络设备中,将权限分为0~15共16个等级,0为最低等级,15为最高等级。等级越高,操作权限就越多,具体配置如下:
               
 
       访问控制规则
        访问控制规则实际上就是访问约束条件集,是访问控制策略的具体实现和表现形式。目前,常见的访问控制规则有基于用户身份、基于时间、基于地址、基于服务数量等多种情况,下面分别介绍主要的访问控制规则。
               基于用户身份的访问控制规则
               基于用户身份的访问控制规则利用具体的用户身份来限制访问操作,通常以账号名和口令表示用户,当用户输入的“账号名和口令”都正确后,系统才允许用户访问。目前,操作系统或网络设备的使用控制都采用这种控制规则。
               基于角色的访问控制规则
               正如前面所说,基于角色的访问控制规则是根据用户完成某项任务所需要的权限进行控制的。
               基于地址的访问控制规则
               基于地址的访问控制规则利用访问者所在的物理位置或逻辑地址空间来限制访问操作。例如,重要的服务器和网络设备可以禁止远程访问,仅仅允许本地的访问,这样可以增加安全性。基于地址的访问控制规则有IP地址、域名地址以及物理位置。
               基于时间的访问控制规则
               基于时间的访问控制规则利用时间来约束访问操作,在一些系统中为了增加访问控制的适应性,增加了时间因素的控制。例如,下班时间不允许访问服务器。
               基于异常事件的访问控制规则
               基于异常事件的访问控制规则利用异常事件来触发控制操作,以避免危害系统的行为进一步升级。例如,当系统中的用户登录出现三次失败后,系统会在一段时间内冻结账户。
               基于服务数量的访问控制规则
               基于服务数量的访问控制规则利用系统所能承受的服务数量来实现控制。例如,为了防范拒绝服务攻击,网站在服务能力接近某个阈值时,暂时拒绝新的网络访问请求,以保证系统正常运行。
 
       IP地址
        Internet地址是按名字来描述的,这种地址表示方式易于理解和记忆。实际上,Internet中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议,故每个主机必须用IP地址来标识。
        每个IP地址都由4个小于256的数字组成,数字之间用“.”分开。Internet的IP地址共有32位,4个字节。它表示时有两种格式:二进制格式和十进制格式。二进制格式是计算机所认识的格式,十进制格式是由二进制格式“翻译”过去的,主要是为了便于使用和掌握。例如,十进制IP地址129.102.4.11的表示方法与二进制的表示方法10000001011001100000010000001011相同,显然表示成带点的十进制格式则方便得多。
        域名和IP地址是一一对应的,域名易于记忆,便于使用,因此得到比较普遍的使用。当用户和Internet上的某台计算机交换信息时,只需要使用域名,网络则会自动地将其转换成IP地址,找到该台计算机。
        Internet中的地址可分为5类:A类、B类、C类、D类和E类。各类的地址分配方案如下图所示。在IP地址中,全0代表的是网络,全1代表的是广播。
        
        各类地址分配方案
        A类网络地址占有1个字节(8位),定义最高位为0来标识此类地址,余下7位为真正的网络地址,支持1~126个网络。后面的3个字节(24位)为主机地址,共提供224-2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。
        B类网络地址占有2个字节,使用最高两位为10来标识此类地址,其余14位为真正的网络地址,主机地址占后面的2个字节(16位),所以B类全部的地址有(214-2)×(216-2)=16 382×65 534个。B类网络地址第一个字节的十进制值为128~191。
        C类网络地址占有3个字节,它是最通用的Internet地址。使用最高三位为110来标识此类地址,其余21位为真正的网络地址,因此C类地址支持221-2个网络。主机地址占最后1个字节,每个网络可多达28-2个主机。C类网络地址第一个字节的十进制值为192~223。
        D类地址是相当新的。它的识别头是1110,用于组播,例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。
        E类地址为实验保留,其识别头是1111。E类网络地址第一个字节的十进制值为240~255。
        网络软件和路由器使用子网掩码(Subnet Mask)来识别报文是仅存放在网络内部还是被路由转发到其他地方。在一个字段内,1的出现表明一个字段包含所有或部分网络地址,0表明主机地址位置。例如,最常用的C类地址使用前三个8位来识别网络,最后一个8位识别主机。因此,子网掩码是255.255.255.0。
        子网地址掩码是相对特别的IP地址而言的,如果脱离了IP地址就毫无意义。它的出现一般是跟着一个特定的IP地址,用来为计算这个IP地址中的网络号部分和主机号部分提供依据。换句话说,就是在写一个IP地址后,再指明哪些是网络号部分,哪些是主机号部分。子网掩码的格式与IP地址相同,所有对应网络号的部分用1填上,所有对应主机号的部分用0填上。
        A类、B类、C类IP地址类默认的子网掩码如下表所示。
        
        带点十进制符号表示的默认子网掩码
        如果需要将网络进行子网划分,此时子网掩码可能不同于以上默认的子网掩码。例如,138.96.58.0是一个8位子网化的B类网络ID。基于B类的主机ID的8位被用来表示子网化的网络,对于网络138.96.39.0,其子网掩码应为255.255.255.0。
        例如,一个B类地址172.16.3.4,为了直观地告诉大家前16位是网络号,后16位是主机号,就可以附上子网掩码255.255.0.0(11111111111111110000000000000000)。
        假定某单位申请的B类地址为179.143.XXX.XXX。如果希望把它划分为14(至少占二进制的4位)个虚拟的网络,则需要占4位主机位,子网使用掩码为255.255.240.0~255.255.255.0来建立子网。每个LAN可有212-2个主机,且各子网可具有相同的主机地址。
        假设一个组织有几个相对大的子网,每个子网包括了25台左右的计算机;而又有一些相对较小的子网,每个子网大概只有几台计算机。这种情况下,可以将一个C类地址分成6个子网(每个子网可以包含30台计算机),这样解决了很大的问题。但是出现了一个新的情况,那就是大的子网基本上完全利用了IP地址范围,但是小的子网却造成了许多IP地址的浪费。为了解决这个新的难题,避免任何的IP浪费,就出现了允许应用不同大小的子网掩码来对IP地址空间进行子网划分的解决方案。这种新的方案就叫作可变长子网掩码(VLSM)。
        VLSM用一个十分直观的方法来表示,那就是在IP地址后面加上“/网络号及子网络号编址位数”。例如,193.168.125.0/27就表示前27位表示网络号。
        例如,给定135.41.0.0/16的基于类的网络ID,所需的配置是为将来使用保留一半的地址,其余的生成15个子网,达到2000台主机。
        由于要为将来使用保留一半的地址,完成了135.41.0.0的基于类的网络ID的1-位子网化,生成两个子网135.41.0.0/17和135.41.128.0/17,子网135.41.128.0/17被选作为将来使用所保留的地址部分;135.41.0.0/17被继续生成子网。
        为达到划分2000台主机的15个子网的要求,需要将135.41.128.0/17的子网化的网络ID的4-位子网化。这就产生了16个子网(135.41.128.0/21,135.41.136.0/21,…,135.41.240.0/21,135.41.248.0/21),允许每个子网有2046台主机。最初的15个子网化的网络ID(135.41.128.0/21~135.41.240.0/21)被选定为网络ID,从而实现了要求。
        现在的IP协议的版本号为4,所以也称之为IPv4,为了方便网络管理员阅读和理解,使用了4个十进制数中间加小数点“.”来表示。但随着因特网的膨胀,IPv4不论从地址空间上,还是协议的可用性上都无法满足因特网的新要求。因此出现了一个新的IP协议IPv6,它使用了8个十六进制数中间加小数点“.”来表示。IPv6将原来的32位地址扩展成为128位地址,彻底解决了地址缺乏的问题。
 
       端口
        在TCP/IP网络中,传输层的所有服务都包含端口号,它们可以唯一区分每个数据包包含哪些应用协议。端口系统利用这种信息来区分包中的数据,尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层软件。
        端口号和设备IP地址的组合通常称作插口(socket)。任何TCP/IP实现所提供的服务都用知名的1~1023之间的端口号。这些知名端口号由Internet号分配机构(Internet Assigned Numbers Authority, IANA)来管理。例如,SMTP所用的TCP端口号是25,POP3所用的TCP端口号是110,DNS所用的UDP端口号为53,WWW服务使用的TCP端口号为80。FTP在客户与服务器的内部建立两条TCP连接,一条是控制连接,端口号为21;另一条是数据连接,端口号为20。
        256~1023之间的端口号通常由UNIX系统占用,以提供一些特定的UNIX服务。也就是说,提供一些只有UNIX系统才有的而其他操作系统可能不提供的服务。
        在实际应用中,用户可以改变服务器上各种服务的保留端口号,但要注意,在需要服务的客户端也要改为同一端口号。
 
       防火墙技术
        从技术角度来看,防火墙主要包括包过滤防火墙、状态检测防火墙、电路级网关、应用级网关和代理服务器。
               包过滤防火墙
               包过滤防火墙(Package Filtering)也叫网络级防火墙,如下图所示。一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。通常用一台路由器实现。它的基本思想很简单:对所接受的每个数据包进行检查,根据过滤规则,然后决定转发或丢弃该包,对进出两个方向上都要进行配置。
               
               包过滤防火墙
               包过滤防火墙进行数据过滤时,查看包中可用的基本信息(源地址、目的地址、端口号、协议等)。过滤器往往建立一组规则,防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则。一般情况下,默认规则就是要求防火墙丢弃该包。其次通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
                      建立过程
                      建立包过滤防火墙的过程如下:
                      (1)对来自专用网络的包,只允许来自内部地址的包通过,因为其他的包包含不正确的包头信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
                      (2)在公共网络,只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许了与Web连接使用相同端口的连接,所以它并不是十分安全。
                      (3)丢弃从公共网络传入的包,而这些包都有用户网络内的源地址,从而减少IP欺骗性的攻击。
                      (4)丢弃包含源路由信息的包,以减少源路由攻击。要记住在源路由攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取的正常路由,可能会绕过已有的安全程序。通过忽略源路由信息,防火墙可以减少这种方式的攻击。
                      优点
                      包过滤路由器的优点:
                      (1)防火墙对每条传入和传出网络的包实行低水平控制。
                      (2)每个IP包的字段都被检查,如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
                      (3)防火墙可以识别和丢弃带欺骗性源IP地址的包。
                      (4)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
                      (5)包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
                      总的来说,包过滤路由器实现简单、费用低、对用户透明、效率高。
                      缺点
                      包过滤路由器的缺点:
                      (1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或错误配置了已有的规则,在防火墙上留下漏洞。然而在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面的配置和更直接的规则定义。
                      (2)为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,当计算机上又安装了RealPlayer,软件会自动搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,这样无意中RealPlayer就利用了Web服务器的端口。
                      (3)可能还有其他方法绕过防火墙进入网络,如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
                      总的来说,包过滤路由器有维护困难、不支持用户鉴别的缺点。
               状态检测防火墙
               状态检测防火墙试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的,因此状态检测防火墙也称动态包过滤防火墙。
               当包过滤防火墙见到一个网络包,包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅是存在而已。
               一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,如已有的网络连接、数据的传出请求等。
               例如,如果传入的包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。
               一个状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。因为防火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。只有未被请求的传入通信被截断。
               如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,但状态包检查是很有力和适应性的技术。例如,可以将防火墙配置成只允许从特定端口进入的通信,只可传到特定服务器。如果正在运行Web服务器,防火墙只将80端口传入的通信发到指定的Web服务器。
               状态/动态检测防火墙可提供的其他一些额外的服务有:
               (1)将某些类型的连接重定向到审核服务中去。例如,到专用Web服务器的连接,在Web服务器连接被允许之前,可能被发送到SecutID服务器(用一次性口令来使用)。
               (2)拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含ActiveX程序的Web页面。
               跟踪连接状态的方式取决于包通过防火墙的类型:
               (1)TCP包。当建立一个TCP连接时,通过的第一个包被标有包的SYN标志。通常情况下,防火墙丢弃所有外部的连接企图,除非已经建立某条特定规则来处理它们。对内部的连接试图连到外部主机,防火墙注明连接包,允许响应及随后在两个系统之间的包,直到连接结束为止。在这种方式下,传入的包只有在它是响应一个已建立的连接时,才会被允许通过。
               (2)UDP包。UDP包比TCP包简单,因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难,因为没有打开的连接可利用,以测试传入的包是否应被允许通过。如果防火墙跟踪包的状态,就可以确定。对传入的包,若它所使用的地址和UDP包携带的协议与传出的连接请求匹配,该包就被允许通过。和TCP包一样,没有传入的UDP包会被允许通过,除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包,情况和UDP包类似。防火墙仔细地跟踪传出的请求,记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,以确保这些包是被请求的。
               状态/动态检测防火墙的优点有:
               (1)检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。
               (2)识别带有欺骗性源IP地址包的能力。
               (3)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
               (4)基于应用程序信息验证一个包状态的能力。例如,基于一个已经建立的FTP连接,允许返回的FTP包通过。
               (5)基于应用程序信息验证一个包状态的能力,如允许一个先前认证过的连接继续与被授予的服务通信。
               (6)记录有关通过每个包详细信息的能力。基本上防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。
               状态/动态检测防火墙的缺点:
               状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活时,或者是有大量的过滤网络通信的规则存在时。可是硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。
               电路级网关
               电路级网关工作与会话层,用来监控受信任端与不受信任的主机间的TCP握手信息。它作为服务器接受外来的请求并转发请求,在TCP握手过程中,检查双方的SYN、ACK和序列数据是否合理逻辑,来判断该请求的会话是否合法。一旦该网关认为会话是合法的,就会为双方建立连接,自此网关仅复制、传递数据,而不进行过滤。电路级网关通常需要依靠特殊的应用程序来进行复制传递数据的服务。实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合,所以有人也把电路级网关等同为应用级网关。电路级网关是在OSI模型中会话层上来过滤数据包。它无法检查应用层级的数据包。最流行的电路级网关是IBM公司发明的socks网关。很多产品包括微软公司的Microsoft Proxy Server都支持socks。
               电路级网关的主要优点就是提供NAT,在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关是基于和包过滤防火墙一样的规则。电路级网关提供包过滤提供的所有优点但却没有包过滤的缺点。
               其缺点是不能很好地区别好包与坏包、易受IP欺骗这类的攻击及复杂性这些都是电路级网关的弱点。电路级网关又一个主要的缺点是需要修改应用程序和执行程序。电路级网关要求终端用户通过网关的认证。
               应用级网关防火墙
               应用级网关可以工作在OSI/RM的任一层上来检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。常用的应用级防火墙已有了相应的代理服务器,如HTTP、NNTP、FTP、Telnet、Rlogin、X-Window等,但是对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录才能访问Internet或Intranet。
               应用级网关的优点在于它易于记录并控制所有进出通信,并对Internet的访问做到内容级的过滤,控制灵活而全面,安全性高。应用级网关具有登记、日志、统计和报告功能,有很好的审计功能,还可以具有严格的用户认证功能。
               应用级网关的确定是需要为每种应用写不同的代码,维护比较困难,另外详细的检查也导致速度比较慢。
               代理服务器
               代理服务器作用在应用层,用来提供应用层服务的控制,在内部网络向外部网络申请服务时起到中间转接的作用。内部网络只接受代理提出的服务请求,拒绝外部网络其他节点的直接请求。
               具体来说,代理服务器是运行在防火墙主机上的专门的应用程序或服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问Internet并被内部主机访问的堡垒主机。这些程序接受用户对Internet服务的请求,并按照一定的安全策略将它们转发到实际的服务中。代理提供替代连接并且充当服务的网关。
               包过滤技术和应用网关通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便。缺点是审计功能差,过滤规则的设计存在矛盾关系,即如果过滤规则简单,则安全性差;如果过滤规则复杂,则管理困难。一旦判断条件满足,防火墙内部网络的结构和运行状态便会暴露在外部。代理技术则能进行安全控制和加速访问,有效地实现防火墙内外计算机系统的隔离,安全性好,以及实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。
               实际应用中,防火墙实际很少采用单一的技术,通常是多种解决不同问题技术的组合。在实际设计中还涉及用户的需求、用户可接受的风险等级、用户的资金、专长等因素。
   题号导航      2021年下半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第36题    在手机中做本题
    在线人数   共计 7070人 在线 
    wodexiajia..     domgfangru..     ykou001@16..     xuexiuli12..     qddhss@soh..     haiqin28@h..
    xueerni@16..     924662957@..     l86577853@..     jiaoyuehon..     qibingshan..     yjli@se.cu..
    yjxwds@126..     wangqiang1..     hwf228@163..     likaigreat..     happy_yqb@..     dadola@163..
    lizhou3912..     906661038@..     lxf@aiai.e..     mahao606@1..     nokia3230a..     jxyuwoan@1..
    tanhanbiao..     xiaoqing7@..     yuchaochao..     fber.gaoqi..     xel790414@..     lideyu9194..
    tlwjjzy@si..     tly256688@..     jjyxr@163...     ccxzhj@163..     zhweijie20..     woaichidam..
    wangweijun..     qiuxueyue@..     mengqixian..     dongbo991@..     zhongqiang..     malumitsu@..

本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。


京B2-20210865 | 京ICP备2020040059号-5 |京公网安备 11010502032051号 | 营业执照 | Copyright ©2000-2025 All Rights Reserved 软考在线版权所有