免费智能真题库 > 历年试卷 > 网络工程师 > 2009年上半年 网络工程师 上午试卷 综合知识
  第48题      
  知识点:   防火墙   包过滤   包过滤防火墙   防火墙
  关键词:   包过滤   防火墙   数据包   数据        章/节:   网络安全       

 
包过滤防火墙对通过防火墙的数据包进行检查,只有满足条件的数据包才能通过,对数据包的检查内容一般不包括(48)。
 
 
  A.  源地址
 
  B.  目的地址
 
  C.  协议
 
  D.  有效载荷
 
 
 

 
  第21题    2022年下半年  
   45%
当IP报文从一个网络转发到另一个网络时,()。
  第45题    2017年下半年  
   15%
以下关于入侵检测系统的描述中,正确的是( )。
  第41题    2010年上半年  
   15%
杀毒软件报告发现病毒Macro.Melissa,由该病毒名称可以推断出病毒类型是(40), 这类病毒主要感染目标是(41)。
   知识点讲解    
   · 防火墙    · 包过滤    · 包过滤防火墙    · 防火墙
 
       防火墙
               防火墙的概念
               防火墙一词来自建筑物中的同名机构,从字面意思上说,它可以防止火灾从建筑物的一部分蔓延到其他部分。Internet防火墙也要起到同样的作用,防止Internet上的不安全因素蔓延到自己企业或组织的内部网。防火墙技术早在1994年就被RFC 1636列为信息系统安全机制不可缺少的一项措施。
               从狭义上说,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上说,防火墙还包括整个网络的安全策略和安全行为。
               AT&T的两位工程师William Cheswich和Steven Bellovin给出了防火墙的明确定义:所有的从外部到内部或从内部到外部的通信都必须经过它;只有有内部访问策略授权的通到现场安装所必须遵守的程序。信才能被允许通过;系统本身具有很强的高可靠性。
               总之,防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,可有效地监视内部网络和Internet之间的任何活动,保证内部网络的安全;在物理实现上,防火墙是位于网络特殊位置的一组硬件设备——路由器、计算机或其他特制的硬件设备。防火墙可以是一个独立的系统,也可以在一个进行网络互联的路由器上实现防火墙。
               防火墙的发展共经历了以下4个阶段。
               (1)基于路由器的防火墙阶段。
               (2)用户化的防火墙工具套阶段。
               (3)建立在通用操作系统上的防火墙阶段。
               (4)具有安全操作系统的防火墙阶段。
               防火墙的基本类型
               防火墙的基本类型如下。
               (1)包过滤型防火墙。通过访问控制表,检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,来确定是否允许该数据包通过。
               (2)应用网关防火墙。它工作在应用层,能针对特别的网络应用协议制定数据过滤规则。
               (3)代理服务器防火墙。它工作在OSI模型的应用层,主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐藏内部网络的目的。
               (4)状态检测防火墙。也叫自适应防火墙或动态包过滤防火墙。这种防火墙能通过状态检测技术动态记录、维护各个连接的协议状态,并且在网络层和IP之间插入一个检查模块,对IP包的信息进行分析检测,以决定是否允许通过防火墙。
               (5)自适应代理防火墙。根据用户的安全策略,动态适应传输中的分组流量。它整合了动态包过滤防火墙技术和应用代理技术,本质上是状态检测防火墙。
               防火墙的设计
                      设计原则
                      防火墙的设计原则如下。
                      (1)由内到外、由外到内的业务流均要经过防火墙。
                      (2)只允许本地安全策略认可的业务流通过防火墙,实行默认拒绝原则。
                      (3)严格限制外部网络的用户进入内部网络。
                      (4)具有透明性,方便内部网络用户,保证正常的信息通过。
                      (5)具有抗穿透攻击能力,强化记录、审计和报警。
                      基本组成
                      防火墙主要包括以下5个部分:安全操作系统、过滤器、网关、域名服务、函件处理。
                      (1)安全操作系统。防火墙本身必须建立在安全操作系统中,由安全操作系统来保护防火墙的源代码和文件免遭入侵者的攻击。
                      (2)过滤器。外部过滤器保护网关不受攻击,内部过滤器在网关被攻破后提供对内部网络的保护。
                      (3)网关。提供中继服务,辅助过滤器控制业务流。可以在其上执行一些特定的应用程序或服务器程序,这些程序统称为"代理程序"。
                      (4)域名服务。将内部网络的域名和Internet相隔离,使内部网络中主机的IP地址不至于暴露给Internet中的用户。
                      (5)函件处理。保证内部网络用户和Internet用户之间的任何函件交换都必须经过防火墙处理。
               防火墙的功能和网络拓扑结构
               防火墙的功能和网络拓扑结构如下。
               (1)屏蔽路由器结构。通常由过滤路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。
               (2)双穴主机结构。双穴主机具有两个网络接口,它的位置位于内部网络与Internet的连接处,运行应用代理程序,充当内、外网络之间的转发器,如下图所示。
               
               双穴主机结构
               (3)屏蔽主机结构。由屏蔽路由器与堡垒主机构成,屏蔽路由器位于内部网络与Internet之间的连接处,而堡垒主机位于内部网络,如下图所示。
               
               屏蔽主机结构
               (4)屏蔽子网结构。在屏蔽主机结构的基础上增加了一个周边防御网段,用以进一步隔离内部网络与外部网络,如下图所示。
               
               屏蔽子网结构
               周边防御网段是位于内部网络与外部网络之间的另一层安全网段,分别由内、外两个屏蔽路由器与其相连。周边防御网段所构成的安全子网又称为"非军事区"(DeMilitrized Zone, DMZ),这一网段受到安全威胁不会影响到内部网络。DMZ是放置公共信息的最佳位置,通常把WWW、FTP、电子邮件、电子商务等服务器都存放在该区域。而把内部服务器、个人PC等应用放置在内网中。
 
       包过滤
        包过滤是在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中的数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称为包过滤型防火墙(Packet Filter),其工作机制如下图所示。
        
        包过滤工作机制
        目前,包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm都是常用的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。下表是包过滤型防火墙的通用实例,该规则的作用在于只允许内、外网的邮件通信,其他的通信都禁止。
        
        防火墙过滤规则
        包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络安全管理中,包过滤技术经常用来进行网络访问控制。下面以Cisco IOS为例,说明包过滤器的作用。Cisco IOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行,标准IP访问控制规则的格式如下:
        
        而扩展IP访问控制规则的格式是:
        
        其中:
        . 标准IP访问控制规则的list-number规定为1~99,而扩展IP访问控制规则的list-number规定为100~199;
        . deny表示若经过Cisco IOS过滤器的包条件不匹配,则禁止该包通过;
        . permit表示若经过Cisco IOS过滤器的包条件匹配,则允许该包通过;
        . source表示来源的IP地址;
        . source-wildcard表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任何来源的IP包;
        . destination表示目的IP地址;
        . destination-wildcard表示接收数据包的主机IP地址的通配符掩码;
        . protocol表示协议选项,如IP、ICMP、UDP、TCP等;
        . log表示记录符合规则条件的网络包。
        下面给出一个例子,用Cisco路由器防止DDoS攻击,配置信息如下。
        
        简而言之,包过滤成为当前解决网络安全问题的重要技术之一,不仅可以用在网络边界,而且也可应用在单台主机上。例如,现在个人防火墙以及Windows 2000和Windows XP都提供了对TCP、UDP等协议的过滤支持,用户可以根据自己的安全需求,通过过滤规则的配置来限制外部对本机的访问。下图是利用Windows 2000系统自带的包过滤功能对139端口进行过滤,这样可以阻止基于RPC的漏洞攻击。
        
        Windows 2000过滤配置示意图
        包过滤防火墙技术的优点是低负载、高通过率、对用户透明。但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以轻易通过包过滤器。
 
       包过滤防火墙
        包过滤防火墙(Package Filtering)也叫网络级防火墙,如下图所示。一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。通常用一台路由器实现。它的基本思想很简单:对所接受的每个数据包进行检查,根据过滤规则,然后决定转发或丢弃该包,对进出两个方向上都要进行配置。
        
        包过滤防火墙
        包过滤防火墙进行数据过滤时,查看包中可用的基本信息(源地址、目的地址、端口号、协议等)。过滤器往往建立一组规则,防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则。一般情况下,默认规则就是要求防火墙丢弃该包。其次通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
               建立过程
               建立包过滤防火墙的过程如下:
               (1)对来自专用网络的包,只允许来自内部地址的包通过,因为其他的包包含不正确的包头信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
               (2)在公共网络,只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许了与Web连接使用相同端口的连接,所以它并不是十分安全。
               (3)丢弃从公共网络传入的包,而这些包都有用户网络内的源地址,从而减少IP欺骗性的攻击。
               (4)丢弃包含源路由信息的包,以减少源路由攻击。要记住在源路由攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取的正常路由,可能会绕过已有的安全程序。通过忽略源路由信息,防火墙可以减少这种方式的攻击。
               优点
               包过滤路由器的优点:
               (1)防火墙对每条传入和传出网络的包实行低水平控制。
               (2)每个IP包的字段都被检查,如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
               (3)防火墙可以识别和丢弃带欺骗性源IP地址的包。
               (4)包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
               (5)包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
               总的来说,包过滤路由器实现简单、费用低、对用户透明、效率高。
               缺点
               包过滤路由器的缺点:
               (1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或错误配置了已有的规则,在防火墙上留下漏洞。然而在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面的配置和更直接的规则定义。
               (2)为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,当计算机上又安装了RealPlayer,软件会自动搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,这样无意中RealPlayer就利用了Web服务器的端口。
               (3)可能还有其他方法绕过防火墙进入网络,如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
               总的来说,包过滤路由器有维护困难、不支持用户鉴别的缺点。
 
       防火墙
               防火墙的基本概念
               防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中,防火墙是在内部网与外部网之间构筑的一道保护屏障,是执行访问控制策略的一个或一组系统。通过执行访问控制策略,提供授权通信,保护内部网不受外部非法用户的入侵,控制内部网与外部网之间数据流量。
               防火墙可以是硬件,也可以是软件,或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务,哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过,其本身也必须能够免于渗透,但防火墙不是对网络内的每台计算机分别进行保护,而是让所有外部对内部网计算机的信息访问都通过某个点,防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前,企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。
               防火墙的功能
               防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。
               防火墙具有以下优点:
               (1)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务(如NFS等)。只有预先被允许的服务才能通过防火墙,这样就降低了受到攻击的风险性,大大地提高了网络的安全性。
               (2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被主机禁止。
               (3)集中化的安全管理。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
               (4)对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警,并提供网络是否受到监测和攻击的详细信息。
               防火墙也有一些不能实现的功能:
               (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
               (2)不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
               (3)不能完全防范病毒。因为病毒的类型很多,操作系统各异,编码与压缩二进制文件的方法也各不相同,因此防火墙不能完全防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒。
               防火墙的分类
               从技术角度分类,防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。
                      包过滤防火墙
                      网络传输数据是以“包”为单位进行的,数据被分割成一定大小的数据包,每个数据包中都会含有一些特定的信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查,判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包,防火墙将会拒绝其通过。
                      包过滤防火墙是最简单的防火墙,使用方便,实现成本低。分组过滤在网络层实现,不要求改动应用程序,也不要求用户学习任何新的东西,对用户来讲是透明的,用户基本感觉不到分组过滤器的存在。但也存在一个问题,就是过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
                      包过滤防火墙的工作原理如下图所示。
                      
                      包过滤防火墙
                      代理服务防火墙
                      代理服务防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
                      代理服务防火墙工作原理如下图所示。
                      
                      代理服务防火墙
                      代理服务防火墙也被称为应用网关防火墙,其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。其应用原理是:当代理服务器收到客户对自己代理的某Web站点的访问请求后,就检查该请求是否符合规定;如果规则允许用户访问该站点时,代理服务器代理客户在该站点取回所需信息,再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用,体现了“应用代理”的角色。
                      使用代理服务器技术,所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,彻底隔断了内网与外网的直接通信,从外部网只能看到代理服务器而不能了解内部网的资源信息,如用户的真实IP地址等。代理服务器提供详细的日志和审计功能,应用层的协议会话过程必须符合代理的安全策略要求,访问业务都由“守规矩”的代理服务器代劳。因此,代理服务防火墙的安全性大大提高。
                      代理服务器基于特定的应用,因此需要对每个应用服务(如Telnet、FTP)安装相应的代理服务软件,未被服务器支持的网络服务用户不能使用,因此代理服务防火墙维护量大,使用具有一定的局限性。由于需要代理服务,造成了网络性能下降,网络访问速度变慢。此外,每类应用服务需要使用特殊的客户端软件,并进行一些相关设置,使得代理服务防火墙的透明性较差。
                      复合型防火墙
                      复合型防火墙将前两类防火墙结合起来,形成新的产品,以发挥各自优势,克服各自缺点,满足更高安全性要求。
               防火墙的安全控制模型
               防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
               为网络建立防火墙,首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型,需要确定所有可以被提供的服务以及它们的安全特性,开放这些服务;将所有其他未被列入的服务排除在外,禁止访问。采取第二种安全控制模型,正好相反,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。找出网络所有的漏洞,排除所有的非法服务,一般是很难的。从安全性角度考虑,第一种模型更可取一些,而从灵活性和使用方便性的角度考虑,则第二种模型更合适。
               防火墙与Web服务器的配置方式
               根据需要,防火墙与Web服务器的配置会有所不同,主要有三种:
               (1)Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护,不易被外界攻击,但Web服务器本身也不易被外界所用。
               (2)Web服务器置于防火墙之外。这种方式主要保证了内部网安全,Web服务器不受到保护。需要注意的是,有些防火墙结构不允许将Web服务器设置在防火墙之外。
               (3)Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性,但是如果Web服务器出现问题,整个Web站点和内部网都会处于危险之中。
   题号导航      2009年上半年 网络工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第48题    在手机中做本题