免费智能真题库 > 历年试卷 > 软件设计师 > 2019年上半年 软件设计师 上午试卷 综合知识
第7题      
知识点   应用层   监控   防火墙   数据流
关键词   防火墙   数据   通信   应用层      分类   信息安全和病毒防护       

 
( )防火墙是内部网和外部网的隔离点,它可对应用层的通信数据流进行监控和过滤。
 
 
  A.  包过滤
 
  B.  应用级网关
 
  C.  数据库
 
  D.  WEB
 
 
 

 
  第8题    2018年下半年  
   12%
计算机病毒的特征不包括(  )。
  第9题    2013年上半年  
   50%
近年来,在我国出现各类病毒中,(9)病毒通过木马形式感染智能手机。
  第9题    2016年下半年  
   28%
在网络设计和实施过程中要采取多种安全措施,其中(9)是针对系统安全需求的措施。
 


   知识点讲解    
   · 应用层    · 监控    · 防火墙    · 数据流
 
       应用层
        TCP/IP的应用层大致对应于OSI模型的应用层和表示层,应用程序通过本层协议利用网络。这些协议主要有FTP、TFTP、HTTP、SMTP、DHCP、NFS、Telnet、DNS和SNMP等。
        文件传输协议(File Transport Protocol,FTP)是网络上两台计算机传送文件的协议,是通过Internet把文件从客户端复制到服务器上的一种途径。
        简单文件传输协议(Trivial File Transfer Protocol,TFTP)是用来在客户端与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。TFTP协议设计的时候是进行小文件传输的,因此它不具备通常的FTP的许多功能,它只能从文件服务器上获得或写入文件,不能列出目录,也不进行认证。它传输8位数据。
        超文本传输协议(Hypertext Transfer Protocol,HTTP)是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示等。
        简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)是一种提供可靠且有效的电子邮件传输的协议。SMTP是建模在FTP文件传输服务上的一种邮件服务,主要用于传输系统之间的邮件信息并提供与来信有关的通知。
        动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)分为两个部分,一个是服务器端,另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。DHCP透过“租约”的概念,有效且动态地分配客户端的TCP/IP设定。DHCP分配的IP地址可以分为三种方式,分别是固定分配、动态分配和自动分配。
        网络文件系统(Net File System,NFS)是FreeBSD支持的文件系统中的一种,允许一个系统在网络上与他人共享目录和文件。通过使用NFS,用户和程序可以像访问本地文件一样访问远端系统上的文件。
        远程登录协议(Telnet)是登录和仿真程序,它的基本功能是允许用户登录进入远程主机系统。以前,Telnet是一个将所有用户输入送到远方主机进行处理的简单的终端程序。它的一些较新的版本在本地执行更多的处理,于是可以提供更好的响应,并且减少了通过链路发送到远程主机的信息数量。
        域名系统(Domain Name System,DNS)用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。DNS通过对用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与之相关的其他信息,如IP地址。
        简单网络管理协议(Simple Network Management Protocol,SNMP)是为了解决Internet上的路由器管理问题而提出的,它可以在IP、IPX、AppleTalk、OSI及其他用到的传输协议上被使用。SNMP事实上指一系列网络管理规范的集合,包括协议本身、数据结构的定义和一些相关概念。目前SNMP已成为网络管理领域中事实上的工业标准,并被广泛支持和应用,大多数网络管理系统和平台都是基于SNMP的。
 
       监控
        主要包括故障监控和性能、流量、负载等状态监控,这些监控关系到集群的健康运行及潜在问题的及时发现与干预。
        (1)服务故障、状态监控:主要是对服务器自身、上层应用、关联服务数据交互监控;例如针对前端Web Server,就可以有很多种类型的监控,包括应用端口状态监控,便于及时发现服务器或应用本身是否崩溃、通过ICMP包探测服务器健康状态,更上层可能还包括应用各频道业务的监控,这些只是一部分,还有多种监控方式,依应用特点而定。还有一些问题需解决,如集群过大,如何高性能地进行监控也是一个现实问题。
        (2)集群状态类的监控或统计,为合理管理调优集群提供数据参考,包括服务瓶颈、性能问题、异常流量、攻击等问题。
 
       防火墙
               防火墙的基本概念
               防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中,防火墙是在内部网与外部网之间构筑的一道保护屏障,是执行访问控制策略的一个或一组系统。通过执行访问控制策略,提供授权通信,保护内部网不受外部非法用户的入侵,控制内部网与外部网之间数据流量。
               防火墙可以是硬件,也可以是软件,或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务,哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过,其本身也必须能够免于渗透,但防火墙不是对网络内的每台计算机分别进行保护,而是让所有外部对内部网计算机的信息访问都通过某个点,防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前,企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。
               防火墙的功能
               防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。
               防火墙具有以下优点:
               (1)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务(如NFS等)。只有预先被允许的服务才能通过防火墙,这样就降低了受到攻击的风险性,大大地提高了网络的安全性。
               (2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被主机禁止。
               (3)集中化的安全管理。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
               (4)对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警,并提供网络是否受到监测和攻击的详细信息。
               防火墙也有一些不能实现的功能:
               (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
               (2)不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
               (3)不能完全防范病毒。因为病毒的类型很多,操作系统各异,编码与压缩二进制文件的方法也各不相同,因此防火墙不能完全防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒。
               防火墙的分类
               从技术角度分类,防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。
                      包过滤防火墙
                      网络传输数据是以“包”为单位进行的,数据被分割成一定大小的数据包,每个数据包中都会含有一些特定的信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查,判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包,防火墙将会拒绝其通过。
                      包过滤防火墙是最简单的防火墙,使用方便,实现成本低。分组过滤在网络层实现,不要求改动应用程序,也不要求用户学习任何新的东西,对用户来讲是透明的,用户基本感觉不到分组过滤器的存在。但也存在一个问题,就是过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
                      包过滤防火墙的工作原理如下图所示。
                      
                      包过滤防火墙
                      代理服务防火墙
                      代理服务防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
                      代理服务防火墙工作原理如下图所示。
                      
                      代理服务防火墙
                      代理服务防火墙也被称为应用网关防火墙,其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。其应用原理是:当代理服务器收到客户对自己代理的某Web站点的访问请求后,就检查该请求是否符合规定;如果规则允许用户访问该站点时,代理服务器代理客户在该站点取回所需信息,再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用,体现了“应用代理”的角色。
                      使用代理服务器技术,所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,彻底隔断了内网与外网的直接通信,从外部网只能看到代理服务器而不能了解内部网的资源信息,如用户的真实IP地址等。代理服务器提供详细的日志和审计功能,应用层的协议会话过程必须符合代理的安全策略要求,访问业务都由“守规矩”的代理服务器代劳。因此,代理服务防火墙的安全性大大提高。
                      代理服务器基于特定的应用,因此需要对每个应用服务(如Telnet、FTP)安装相应的代理服务软件,未被服务器支持的网络服务用户不能使用,因此代理服务防火墙维护量大,使用具有一定的局限性。由于需要代理服务,造成了网络性能下降,网络访问速度变慢。此外,每类应用服务需要使用特殊的客户端软件,并进行一些相关设置,使得代理服务防火墙的透明性较差。
                      复合型防火墙
                      复合型防火墙将前两类防火墙结合起来,形成新的产品,以发挥各自优势,克服各自缺点,满足更高安全性要求。
               防火墙的安全控制模型
               防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
               为网络建立防火墙,首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型,需要确定所有可以被提供的服务以及它们的安全特性,开放这些服务;将所有其他未被列入的服务排除在外,禁止访问。采取第二种安全控制模型,正好相反,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。找出网络所有的漏洞,排除所有的非法服务,一般是很难的。从安全性角度考虑,第一种模型更可取一些,而从灵活性和使用方便性的角度考虑,则第二种模型更合适。
               防火墙与Web服务器的配置方式
               根据需要,防火墙与Web服务器的配置会有所不同,主要有三种:
               (1)Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护,不易被外界攻击,但Web服务器本身也不易被外界所用。
               (2)Web服务器置于防火墙之外。这种方式主要保证了内部网安全,Web服务器不受到保护。需要注意的是,有些防火墙结构不允许将Web服务器设置在防火墙之外。
               (3)Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性,但是如果Web服务器出现问题,整个Web站点和内部网都会处于危险之中。
 
       数据流
        数据流由一组固定成分的数据组成,表示数据的流向。在DFD中,数据流的流向可以有以下几种:从一个加工流向另一个加工;从加工流向数据存储(写);从数据存储流向加工(读);从外部实体流向加工(输入);从加工流向外部实体(输出)。
        DFD中的每个数据流用一个定义明确的名字表示。除了流向数据存储或从数据存储流出的数据流不必命名外,每个数据流都必须有一个合适的名字,以反映该数据流的含义。
        数据流或者由具体的数据属性(也称为数据结构)构成,或者由其他数据流构成。组合数据流是由其他数据流构成的数据流,它们用于在高层的数据流图中组合相似的数据流,以使数据流图更便于阅读。
        控制流是对数据流图的补充,采用虚线表示,是对由触发系统功能的事件进行描述。
        另外,一个加工可以有多个输入数据流和多个输出数据流,此时可以加上一些扩充字符符号或图形元素来描述多个数据流之间的关系。如:
        (1)星号(*)。星号表示数据流之间存在“与”关系。如果是输入流则表示所有输入数据流全部到达后才能进行加工处理;如果是输出流则表示加工结束将同时产生所有的输出数据流。
        (2)加号(+)。加号表示数据流之间存在“或”关系。如果是输入流则表示其中任何一个输入数据流到达后就能进行加工处理;如果是输出流则表示加工处理的结果是至少产生其中一个输出数据流。
        (3)异或(⊕)。异或表示数据流之间存在“互斥”关系。如果是输入流则表示当且仅当其中一个输入流到达后才能进行加工处理;如果是输出流则表示加工处理的结果是仅产生这些输出数据流中的一个。


 题号导航      2019年上半年 软件设计师 上午试卷 综合知识   本试卷我的完整做题情况 
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
↓第7题