第一章
1. 防火墙定义:防火墙是位于两个(或多个)网络之间,实施访问控制策略的一个或一组组件的集合。(或者防火墙是设置在本地计算机或内联网络与外联网络之间,保护本地网络或内联网络免遭来自外部网络的威胁和入侵的一道屏障。)
2. 防火墙位置:物理位置,安装在内联网络与外联网络的交界点上;对于个人防火墙来说,是指安装在单台主机硬盘上的软件系统。
逻辑位置:防火墙与网络协议相对应的逻辑层次关系。
3. 防火墙理论特性:根据信息安全理论对其提出的要求而设置的安全功能,是各种防火墙的共性作用。
防火墙从理论上讲是分离器、限制器和分析器,即防火墙要实现四类控制功能:
方向控制:防火墙能够控制特定的服务请求通过它的方向;
速度与激情7全球票房服务控制:防火墙可以控制用户可以访问的网络服务类型;
行为控制:防火墙能够控制使用特定服务的方式;
用户控制:防火墙能够控制能够进行网络访问的用户。
思想道德教育4. 防火墙规则
(1)过滤规则
(2)设计原则:a.拒绝访问一切未予特许的服务:这个原则也被称为限制性原则,在该规则下,防火墙阻断所有的数据流,只允许符合开放规则的数据流进出。
b.允许访问一切未被特许拒绝的服务:该规则也被称为连通性原则,在该规则下,防火墙只禁止符合屏蔽规则的数据流,而允许转发其他所有数据流。
5.防火墙分类
按采用的主要技术划分:包过滤型防火墙、代理型防火墙
按具体实现划分:(1)多重宿主主机:安放在内联网络和外联网络接口上的一台堡垒主机,它提供最少两个网络接口,一个与内联网络连接,另一个与外联网络连接。
(2)筛选路由器:用一台放置在内联网络与外联网络之间的路由器来实现。它对进出内联网络的所有信息进行分析,并按照一定的信息过滤规则对进出内联网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。
(3)屏蔽主机:由内联网络和外联网络之间的一台过滤路由器和一台堡垒主机构成。它强迫所有外部主机与堡垒主机相连接,而不让他们与内部主机直接相连。
(4)屏蔽子网:它对网络的安全保护通过两台包过滤路由器和在这两个路由器之间构筑的子网来实现。
6. 防火墙的优点
(1)防火墙是网络安全的屏障
(2)防火墙实现了对内网系统的访问控制
(3)部署NAT机制
(4)提供整体安全解决平台
(5)防止内部信息外泄
(6)监控和审计网络行为
(7)防火墙系统具有集中安全性
(8)在防火墙上可以很方便的监视网络的信息流,并产生警告信息。
7. 防火墙的缺点
(1)限制网络服务
(2)对内部用户防范不足
(3)不能防范旁路连接
(4)不适合进行病毒检测
(5)无法防范数据驱动型攻击
(6)无法防范所有威胁
(7)配置问题。防火墙管理人员在配置过滤规则时经常出错。
(8)无法防范内部人员泄露机密信息
(9)速度问题
(10)单失效点问题
第二章
结婚要买些什么
1. TCP/IP包头
2. 包过滤技术
(1)概念:又称为报文过滤技术,执行边界访问控制功能,即对网络通信数据进行过滤。
(2)技术原理:
(3)过滤对象:a.针对IP的过滤,查看每个IP数据包的包头,将包头数据与规则集相比较,转发规则集允许的数据包,拒绝规则集不允许的数据包。
b.针对ICMP的过滤。阻止存在泄漏用户网络敏感信息的危险的ICMP数据包进出网络;拒绝所有可能会被攻击者利用、对用户网络进行破坏的ICMP数据包。
c.针对TCP的过滤,常见的为端口过滤和对标志位的过滤。
d.针对UDP的过滤,要么阻塞某个端口,要么听之任之。
(4)优点:包过滤技术实现简单、快速;
          包过滤技术的实现对用户是透明的;
  包过滤技术的检查规则相对简单,因此操作耗时极短,执行效率非常高
(5)缺点:
包过滤技术过滤思想简单,对信息的处理能力有限;
当过滤规则增多时,对过滤规则的维护是一个非常困难得问题;
包过滤技术控制层次较低,不能实现用户级控制。
3. 状态检测技术
(1)技术原理:状态检测技术根据连接的“状态”进行检查,当一个连接的初始数据报文到达执行状态检测的防火墙时,首先要检查该报文是否符合安全过滤规则的规定。如果该报文与规定相符合,则将该连接的信息记录下来并自动添加一条允许该连接通过的过滤规则,然后向目的地转发该报文。以后凡是属于该连接的数据防火墙一律予以放行,包括从内向外和从外向内的双向数据流。在通信结束、释放该连接以后,防火墙将自动删除该连接的过滤规则。动态过滤规则存储在连接状态表中,并由防火墙维护。
(2)状态:状态根据使用的协议的不同而有不同的形式,可以根据相应协议的有限状态机来定义,一般包括NEW ,ESTABLISHED ,RELATED ,CLOSED。
(3)状态检测技术的优点
安全性比静态包过滤技术高;
与静态包过滤技术相比,提高了防火墙的性能。
(4)状态检测技术的缺点
主要工作在网络层和传输层,对报文的数据部分检查很少,安全性还不够高;
检查内容多,对防火墙的性能提出了更高的要求。
4. 代理技术
(1)代理的执行分为以下两种情况:一种情况是代理服务器监听来自内联网络的服务请求;另一种情况是内部主机只接收代理服务器转发的信息而不接收任何外部地址主机发送的信息。
(2)代理代码:
(3)代理服务器的实现:双宿主网关的IP路由功能被严格禁止,网卡间所有需要转发的数据必须通过安装在双宿主网关上的代理服务器程序控制。由此实现内联网络的单接入点和网络隔离。
(4)代理技术优点:
代理服务提供了高速缓存;
代理服务器屏蔽了内联网络,所以阻止了一切对内联网络的探测活动;
代理服务在应用层上建立,可以更有效的对内容进行过滤;
代理服务器禁止内联网络与外联网络的直接连接,减少了内部主机直接受到攻击的危险;
代理服务可以提供各种身份认证手段,从而加强服务的安全性;
代理防火墙不易受IP地址欺骗的攻击;
代理服务位于应用层,提供了详细的日志记录,有助于进行细致的日志分析和审计;
代理防火墙的过滤规则比包过滤防火墙的过滤规则更简单。
(5)代理技术的缺点
代理服务程序很多都是专用的,不能够很好的适应网络服务和协议的发展;
在访问数据流量较大的情况下,代理技术会增加访问的延时,影响系统的性能;
应用层网关需要用户改变自己的行为模式,不能够实现用户的透明访问;
应用层代理还不能够支持所有的协议;
代理系统对操作系统有明显的依赖性,必须基于某个特定的系统及其协议;
相对于包过滤技术来说,代理技术执行的速度较慢。
第三章
1. 过滤路由器的实现:过滤路由器对经过它的所有数据流进行分析,按照预定义的过滤规则,也就是网络安全策略的具体实现,对进出内联网络的信息进行限制。允许经过授权的信息通过,拒绝非授权的信息通过。
2. 过滤路由器优缺点
(1)过滤路由器优点:快速、性能高、透明、容易实现
过滤路由器是从普通路由器发展而来,继承了普通路由器转发速率快的优点;
购买过滤路由器比单独购买独立的防火墙产品具有更大的成本优势;
过滤路由器对用户来说是完全透明的;
过滤路由器的实现极其简单。
(2)缺点:
过滤路由器配置复杂,维护困难;
过滤路由器只针对数据包本身进行检测,只能检测出部分攻击行为;
过滤路由器无法防范数据驱动式攻击;
过滤路由器只针对到达它的数据包的各个字段进行检测,无法确定数据包发出者的真实性;
随着过滤规则的增加,路由器的吞吐量会下降;
过滤路由器无法对数据流进行全面的控制,不能理解特定服务的上下文和数据。
2.过滤规则
(1)表3—1给图填数据
(2)由规则生成策略(协议具有双向性,一写就写俩)
(3)逐条匹配深入原则(填空)
建筑遗产
3.屏蔽冲突:当排在过滤规则表后面的一条规则能匹配的所有数据包也能被排在过滤规则表前面的一条过滤规则匹配的时候,后面的这条过滤规则将永远无法得以执行,这种冲突称为屏蔽冲突。
4.堡垒主机
(1)定义:堡垒主机是一种网络完全机制,也是安全访问控制实施的一种基础组件。通常情况下堡垒主机由一台计算机担当,并拥有两块或者多块网卡分别连接各内联网络和外联网络。
(2)作用:隔离内联网络和外联网络,为内联网络设立一个检查点,对所有进出内联网络的数据包进行过滤,集中解决内联网络的安全问题。
(3)设计原则:
a.最小服务原则:尽可能减少堡垒主机提供的服务,对于必须设置的服务,只能授予尽可能低的权限;
b.预防原则:用户必须加强与堡垒主机的联系,对堡垒主机的安全情况进行持续不断的监测,仔细分析堡垒主机的日志,及时对攻击行为作出响应。
(4)类型
a.内部堡垒主机
b.外部堡垒主机
c.牺牲主机
5.多重宿主主机防火墙实现方法
采用一台堡垒主机作为连接内联网络和外联网络的通道,在这台堡垒主机中安装多块网卡,
每一块网卡都连接不同的内联子网和外联网络,信息的交换通过应用层数据共享或者应用层代理服务实现,而网络层直接的信息交换是被绝对禁止的。与此同时,在堡垒主机上还要安装访问控制软件,用以实现对交换信息的过滤和控制功能。
多重宿主主机有两种经典的实现:第一种是采用应用层数据共享技术的双宿主主机防火墙,另一种是采用应用层代理服务器技术的双宿主网关防火墙。
6.双宿主主机防火墙
(1)优点:作为内联网络与外联网络的唯一接口,易于实现网络安全策略;
          使用堡垒主机实现,成本较低。
(2)缺点:
a.用户账户的存在给入侵者提供了一种入侵途径,入侵者可以通过诸如窃听、破译等多种手段获取用户的账号和密码进而登录防火墙;
b.双宿主主机防火墙上存在用户账户数据库,当数据库的记录数量逐渐增多时,管理
员需要花费大量的精力和时间对其进行管理和维护,这项工作是非常复杂的,容易出错;
c.用户账户数据库的频繁存取将耗费大量系统资源,会降低堡垒主机本身的稳定性和可靠性,容易出现系统运行速度低下甚至崩溃等现象;
d.允许用户登录到防火墙主机上,对主机的安全性是一个很大的威胁。用户的行为是不可预知的,各种有意或者无意的破坏都将给主机带来麻烦,而且这些行为也很难进行有效的监控和记录。
(3)双宿主主机构成(填空):双宿主主机防火墙是一台具有安全控制功能的双网卡堡垒主机,两块网卡中的一块负责连接内联网络,另一块负责连接外联网络。甩客
7.双宿主网关
(1)工作原理:在防火墙主机上安装各种网络服务的代理服务器程序。当内联网络中的主机意图访问外联网络时,只需要将请求发送至双宿主网关防火墙相应的代理服务器上,通过过滤规则的检测并获得允许后,再由代理服务器程序代为转发至外联网络指定主机上。而外联网络中的主机所有对内联网络的请求都由
眼泪中的名字
(2)优点
a.无需管理和维护用户账户数据库
b.由于采用代理服务器技术,防火墙提供的服务具有良好的可扩展性
c.信息通过代理服务器转发,屏蔽了内联网络的主机,阻止了信息泄露现象的发生
(3)缺点
a.入侵者只要攻破堡垒主机就可以直接面对内联网络,因此防火墙主机的安全配置非常复杂且重要
b.防火墙本身的性能是影响系统整体性能的瓶颈
c.单点失效,一旦防火墙主机停止运行,则内联网络的链接将全部中断