免费智能真题库 > 历年试卷 > 信息系统监理师 > 2013年上半年 信息系统监理师 上午试卷 综合知识
  第22题      
  知识点:   防火墙   包过滤
  关键词:   包过滤   防火墙   数据包   数据        章/节:   安全管理       

 
包过滤防火墙作为比较简单的防火墙,主要机制是检查出入数据包(22)地址。
 
 
  A.  物理层
 
  B.  网络层
 
  C.  数据链路层
 
  D.  应用层
 
 
 

 
  第20题    2017年上半年  
   81%
以下关于基于双重宿主主机体系结构的防火墙的叙述中,正确的是( )。
  第20题    2015年下半年  
   42%
入侵检测系统提供的基本服务功能包括( )。
  第22题    2015年上半年  
   68%
(22)不属于防火墙的核心技术。
   知识点讲解    
   · 防火墙    · 包过滤
 
       防火墙
        防火墙是一种综合性的技术,涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范,以及安全操作系统等方面。防火墙的主要目标是控制出入一个网络的权限,并迫使所有的连接都经过这样的检查,它主要可以分为以下5种类型。
        (1)包过滤防火墙。也称为访问控制表。它根据定义好的过滤规则审查每个数据包,并根据是否与规则匹配来决定是否能够通过。
        (2)应用网关防火墙。是指在网关上执行一些特定的应用程序和服务器程序,以实现协议过滤和转发功能。
        (3)代理服务器防火墙。主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐蔽内部网络的目的。
        (4)状态检测防火墙。也称为自适应防火墙、动态包过滤防火墙,通过状态检测技术记录、维护各个连接的协议状态,并对IP包进行分析,决定是否能够通过,它具有很高的效率。
        (5)自适应代理技术。自适应代理根据用户的安全策略,动态地适应传输中的分组流量。它整合了动态包过滤防火墙和应用代理技术,本质上是状态检测防火墙。
        由于防火墙主要用于限制保护的网络和因特网之间或与其他网络之间进行相互的信息存取、传递操作,它处于内部网络和外部网络之间,因此网络应用受到结构性限制,内部安全隐患仍然存在,效率较低,而故障率较高。这些问题导致了:
        (1)不能防范外部刻意的人为攻击;
        (2)不能防范内部用户的攻击;
        (3)不能防止内部用户因误操作而造成的口令失密及受到的攻击;
        (4)很难防止病毒或受病毒感染的文件的传输。
 
       包过滤
        包过滤是在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中的数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称为包过滤型防火墙(Packet Filter),其工作机制如下图所示。
        
        包过滤工作机制
        目前,包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm都是常用的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。下表是包过滤型防火墙的通用实例,该规则的作用在于只允许内、外网的邮件通信,其他的通信都禁止。
        
        防火墙过滤规则
        包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络安全管理中,包过滤技术经常用来进行网络访问控制。下面以Cisco IOS为例,说明包过滤器的作用。Cisco IOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行,标准IP访问控制规则的格式如下:
        
        而扩展IP访问控制规则的格式是:
        
        其中:
        . 标准IP访问控制规则的list-number规定为1~99,而扩展IP访问控制规则的list-number规定为100~199;
        . deny表示若经过Cisco IOS过滤器的包条件不匹配,则禁止该包通过;
        . permit表示若经过Cisco IOS过滤器的包条件匹配,则允许该包通过;
        . source表示来源的IP地址;
        . source-wildcard表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任何来源的IP包;
        . destination表示目的IP地址;
        . destination-wildcard表示接收数据包的主机IP地址的通配符掩码;
        . protocol表示协议选项,如IP、ICMP、UDP、TCP等;
        . log表示记录符合规则条件的网络包。
        下面给出一个例子,用Cisco路由器防止DDoS攻击,配置信息如下。
        
        简而言之,包过滤成为当前解决网络安全问题的重要技术之一,不仅可以用在网络边界,而且也可应用在单台主机上。例如,现在个人防火墙以及Windows 2000和Windows XP都提供了对TCP、UDP等协议的过滤支持,用户可以根据自己的安全需求,通过过滤规则的配置来限制外部对本机的访问。下图是利用Windows 2000系统自带的包过滤功能对139端口进行过滤,这样可以阻止基于RPC的漏洞攻击。
        
        Windows 2000过滤配置示意图
        包过滤防火墙技术的优点是低负载、高通过率、对用户透明。但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以轻易通过包过滤器。
   题号导航      2013年上半年 信息系统监理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第22题    在手机中做本题