免费智能真题库 > 历年试卷 > 网络规划设计师 > 2011年下半年 网络规划设计师 上午试卷 综合知识
  第42题      
  知识点:   防火墙技术   防火墙
  关键词:   防火墙        章/节:   防火墙应用       

 
以下哪种技术不是实现防火墙的主流技术?(42)。
 
 
  A.  包过滤技术
 
  B.  NAT技术
 
  C.  代理服务器技术
 
  D.  应用级网关技术
 
 
 

  相关试题:防火墙          更多>  
 
  第62题    2010年下半年  
   58%
为防止服务器遭攻击,通常设置一个DMZ。有关外网、DMZ、内网三者之间的关系,应满足(61)。如果在DMZ中没有(62),则访问规则可更简..
  第60题    2014年下半年  
   44%
下面关于防火墙部分连接的叙述中,错误的是( )。
  第61题    2010年下半年  
   43%
为防止服务器遭攻击,通常设置一个DMZ。有关外网、DMZ、内网三者之间的关系,应满足(61)。如果在DMZ中没有(62),则访问规则可更简..
   知识点讲解    
   · 防火墙技术    · 防火墙
 
       防火墙技术
        从技术角度来看,防火墙主要包括包过滤防火墙、状态检测防火墙、电路级网关、应用级网关和代理服务器。
               包过滤防火墙
               包过滤防火墙(Package Filtering)也叫网络级防火墙,如下图所示。一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。通常用一台路由器实现。它的基本思想很简单:对所接受的每个数据包进行检查,根据过滤规则,然后决定转发或丢弃该包,对进出两个方向上都要进行配置。
               
               包过滤防火墙
               包过滤防火墙进行数据过滤时,查看包中可用的基本信息(源地址、目的地址、端口号、协议等)。过滤器往往建立一组规则,防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则。一般情况下,默认规则就是要求防火墙丢弃该包。其次通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
                      建立过程
                      建立包过滤防火墙的过程如下:
                      (1)对来自专用网络的包,只允许来自内部地址的包通过,因为其他的包包含不正确的包头信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
                      (2)在公共网络,只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许了与Web连接使用相同端口的连接,所以它并不是十分安全。
                      (3)丢弃从公共网络传入的包,而这些包都有用户网络内的源地址,从而减少IP欺骗性的攻击。
                      (4)丢弃包含源路由信息的包,以减少源路由攻击。要记住在源路由攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取的正常路由,可能会绕过已有的安全程序。通过忽略源路由信息,防火墙可以减少这种方式的攻击。
                      优点
                      包过滤路由器的优点:
                      (1)防火墙对每条传入和传出网络的包实行低水平控制。
                      (2)每个IP包的字段都被检查,如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
                      (3)防火墙可以识别和丢弃带欺骗性源IP地址的包。
                      (4)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
                      (5)包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
                      总的来说,包过滤路由器实现简单、费用低、对用户透明、效率高。
                      缺点
                      包过滤路由器的缺点:
                      (1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或错误配置了已有的规则,在防火墙上留下漏洞。然而在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面的配置和更直接的规则定义。
                      (2)为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,当计算机上又安装了RealPlayer,软件会自动搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,这样无意中RealPlayer就利用了Web服务器的端口。
                      (3)可能还有其他方法绕过防火墙进入网络,如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
                      总的来说,包过滤路由器有维护困难、不支持用户鉴别的缺点。
               状态检测防火墙
               状态检测防火墙试图跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的,因此状态检测防火墙也称动态包过滤防火墙。
               当包过滤防火墙见到一个网络包,包是孤立存在的。它没有防火墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息,如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息,则该包被认为是无状态的;它仅是存在而已。
               一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,如已有的网络连接、数据的传出请求等。
               例如,如果传入的包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。
               一个状态/动态检测防火墙可截断所有传入的通信,而允许所有传出的通信。因为防火墙跟踪内部出去的请求,所有按要求传入的数据被允许通过,直到连接被关闭为止。只有未被请求的传入通信被截断。
               如果在防火墙内正运行一台服务器,配置就会变得稍微复杂一些,但状态包检查是很有力和适应性的技术。例如,可以将防火墙配置成只允许从特定端口进入的通信,只可传到特定服务器。如果正在运行Web服务器,防火墙只将80端口传入的通信发到指定的Web服务器。
               状态/动态检测防火墙可提供的其他一些额外的服务有:
               (1)将某些类型的连接重定向到审核服务中去。例如,到专用Web服务器的连接,在Web服务器连接被允许之前,可能被发送到SecutID服务器(用一次性口令来使用)。
               (2)拒绝携带某些数据的网络通信,如带有附加可执行程序的传入电子消息,或包含ActiveX程序的Web页面。
               跟踪连接状态的方式取决于包通过防火墙的类型:
               (1)TCP包。当建立一个TCP连接时,通过的第一个包被标有包的SYN标志。通常情况下,防火墙丢弃所有外部的连接企图,除非已经建立某条特定规则来处理它们。对内部的连接试图连到外部主机,防火墙注明连接包,允许响应及随后在两个系统之间的包,直到连接结束为止。在这种方式下,传入的包只有在它是响应一个已建立的连接时,才会被允许通过。
               (2)UDP包。UDP包比TCP包简单,因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难,因为没有打开的连接可利用,以测试传入的包是否应被允许通过。如果防火墙跟踪包的状态,就可以确定。对传入的包,若它所使用的地址和UDP包携带的协议与传出的连接请求匹配,该包就被允许通过。和TCP包一样,没有传入的UDP包会被允许通过,除非它是响应传出的请求或已经建立了指定的规则来处理它。对其他种类的包,情况和UDP包类似。防火墙仔细地跟踪传出的请求,记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,以确保这些包是被请求的。
               状态/动态检测防火墙的优点有:
               (1)检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。
               (2)识别带有欺骗性源IP地址包的能力。
               (3)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
               (4)基于应用程序信息验证一个包状态的能力。例如,基于一个已经建立的FTP连接,允许返回的FTP包通过。
               (5)基于应用程序信息验证一个包状态的能力,如允许一个先前认证过的连接继续与被授予的服务通信。
               (6)记录有关通过每个包详细信息的能力。基本上防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。
               状态/动态检测防火墙的缺点:
               状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活时,或者是有大量的过滤网络通信的规则存在时。可是硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。
               电路级网关
               电路级网关工作与会话层,用来监控受信任端与不受信任的主机间的TCP握手信息。它作为服务器接受外来的请求并转发请求,在TCP握手过程中,检查双方的SYN、ACK和序列数据是否合理逻辑,来判断该请求的会话是否合法。一旦该网关认为会话是合法的,就会为双方建立连接,自此网关仅复制、传递数据,而不进行过滤。电路级网关通常需要依靠特殊的应用程序来进行复制传递数据的服务。实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合,所以有人也把电路级网关等同为应用级网关。电路级网关是在OSI模型中会话层上来过滤数据包。它无法检查应用层级的数据包。最流行的电路级网关是IBM公司发明的socks网关。很多产品包括微软公司的Microsoft Proxy Server都支持socks。
               电路级网关的主要优点就是提供NAT,在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关是基于和包过滤防火墙一样的规则。电路级网关提供包过滤提供的所有优点但却没有包过滤的缺点。
               其缺点是不能很好地区别好包与坏包、易受IP欺骗这类的攻击及复杂性这些都是电路级网关的弱点。电路级网关又一个主要的缺点是需要修改应用程序和执行程序。电路级网关要求终端用户通过网关的认证。
               应用级网关防火墙
               应用级网关可以工作在OSI/RM的任一层上来检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。常用的应用级防火墙已有了相应的代理服务器,如HTTP、NNTP、FTP、Telnet、Rlogin、X-Window等,但是对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务。应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录才能访问Internet或Intranet。
               应用级网关的优点在于它易于记录并控制所有进出通信,并对Internet的访问做到内容级的过滤,控制灵活而全面,安全性高。应用级网关具有登记、日志、统计和报告功能,有很好的审计功能,还可以具有严格的用户认证功能。
               应用级网关的确定是需要为每种应用写不同的代码,维护比较困难,另外详细的检查也导致速度比较慢。
               代理服务器
               代理服务器作用在应用层,用来提供应用层服务的控制,在内部网络向外部网络申请服务时起到中间转接的作用。内部网络只接受代理提出的服务请求,拒绝外部网络其他节点的直接请求。
               具体来说,代理服务器是运行在防火墙主机上的专门的应用程序或服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问Internet并被内部主机访问的堡垒主机。这些程序接受用户对Internet服务的请求,并按照一定的安全策略将它们转发到实际的服务中。代理提供替代连接并且充当服务的网关。
               包过滤技术和应用网关通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便。缺点是审计功能差,过滤规则的设计存在矛盾关系,即如果过滤规则简单,则安全性差;如果过滤规则复杂,则管理困难。一旦判断条件满足,防火墙内部网络的结构和运行状态便会暴露在外部。代理技术则能进行安全控制和加速访问,有效地实现防火墙内外计算机系统的隔离,安全性好,以及实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。
               实际应用中,防火墙实际很少采用单一的技术,通常是多种解决不同问题技术的组合。在实际设计中还涉及用户的需求、用户可接受的风险等级、用户的资金、专长等因素。
 
       防火墙
               防火墙的基本概念
               防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中,防火墙是在内部网与外部网之间构筑的一道保护屏障,是执行访问控制策略的一个或一组系统。通过执行访问控制策略,提供授权通信,保护内部网不受外部非法用户的入侵,控制内部网与外部网之间数据流量。
               防火墙可以是硬件,也可以是软件,或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务,哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过,其本身也必须能够免于渗透,但防火墙不是对网络内的每台计算机分别进行保护,而是让所有外部对内部网计算机的信息访问都通过某个点,防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前,企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。
               防火墙的功能
               防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。
               防火墙具有以下优点:
               (1)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务(如NFS等)。只有预先被允许的服务才能通过防火墙,这样就降低了受到攻击的风险性,大大地提高了网络的安全性。
               (2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被主机禁止。
               (3)集中化的安全管理。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
               (4)对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警,并提供网络是否受到监测和攻击的详细信息。
               防火墙也有一些不能实现的功能:
               (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
               (2)不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
               (3)不能完全防范病毒。因为病毒的类型很多,操作系统各异,编码与压缩二进制文件的方法也各不相同,因此防火墙不能完全防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒。
               防火墙的分类
               从技术角度分类,防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。
                      包过滤防火墙
                      网络传输数据是以“包”为单位进行的,数据被分割成一定大小的数据包,每个数据包中都会含有一些特定的信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查,判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包,防火墙将会拒绝其通过。
                      包过滤防火墙是最简单的防火墙,使用方便,实现成本低。分组过滤在网络层实现,不要求改动应用程序,也不要求用户学习任何新的东西,对用户来讲是透明的,用户基本感觉不到分组过滤器的存在。但也存在一个问题,就是过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
                      包过滤防火墙的工作原理如下图所示。
                      
                      包过滤防火墙
                      代理服务防火墙
                      代理服务防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
                      代理服务防火墙工作原理如下图所示。
                      
                      代理服务防火墙
                      代理服务防火墙也被称为应用网关防火墙,其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。其应用原理是:当代理服务器收到客户对自己代理的某Web站点的访问请求后,就检查该请求是否符合规定;如果规则允许用户访问该站点时,代理服务器代理客户在该站点取回所需信息,再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用,体现了“应用代理”的角色。
                      使用代理服务器技术,所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,彻底隔断了内网与外网的直接通信,从外部网只能看到代理服务器而不能了解内部网的资源信息,如用户的真实IP地址等。代理服务器提供详细的日志和审计功能,应用层的协议会话过程必须符合代理的安全策略要求,访问业务都由“守规矩”的代理服务器代劳。因此,代理服务防火墙的安全性大大提高。
                      代理服务器基于特定的应用,因此需要对每个应用服务(如Telnet、FTP)安装相应的代理服务软件,未被服务器支持的网络服务用户不能使用,因此代理服务防火墙维护量大,使用具有一定的局限性。由于需要代理服务,造成了网络性能下降,网络访问速度变慢。此外,每类应用服务需要使用特殊的客户端软件,并进行一些相关设置,使得代理服务防火墙的透明性较差。
                      复合型防火墙
                      复合型防火墙将前两类防火墙结合起来,形成新的产品,以发挥各自优势,克服各自缺点,满足更高安全性要求。
               防火墙的安全控制模型
               防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
               为网络建立防火墙,首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型,需要确定所有可以被提供的服务以及它们的安全特性,开放这些服务;将所有其他未被列入的服务排除在外,禁止访问。采取第二种安全控制模型,正好相反,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。找出网络所有的漏洞,排除所有的非法服务,一般是很难的。从安全性角度考虑,第一种模型更可取一些,而从灵活性和使用方便性的角度考虑,则第二种模型更合适。
               防火墙与Web服务器的配置方式
               根据需要,防火墙与Web服务器的配置会有所不同,主要有三种:
               (1)Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护,不易被外界攻击,但Web服务器本身也不易被外界所用。
               (2)Web服务器置于防火墙之外。这种方式主要保证了内部网安全,Web服务器不受到保护。需要注意的是,有些防火墙结构不允许将Web服务器设置在防火墙之外。
               (3)Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性,但是如果Web服务器出现问题,整个Web站点和内部网都会处于危险之中。
   题号导航      2011年下半年 网络规划设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第42题    在手机中做本题