A.Allow B.NAT C.SAT D.FwdFast
30.防火墙的设计时要遵循简单性原则,具体措施包括: 选ABC A.在防火墙上禁止运行其它应用程序 B.停用不需要的组件
C.将流量限制在尽量少的点上 D. 安装运行WEB服务器程序
31.标准访问控制列表以( B )作为判别条件。
A、数据包的大小 B、数据包的源地址
C、数据包的端口号 D、数据包的目的地址
32.IP扩展访问列表的数字标示范围是多少? ( C )。
A、0-99 B、1-99 C、100-199 D、101-200
33.访问控制列表(ACL)分为标准和扩展两种。下面关于ACL的描述中,错误的
是( C ) 。
标准ACL可以根据分组中的IP源地址进行过滤
扩展ACL可以根据分组中的IP目标地址进行过滤
标准ACL可以根据分组中的IP目标地址进行过滤
扩展ACL可以根据不同的上层协议信息进行过滤
34.通配符掩码和子网掩码之间的关系是( B )。
两者没有什么区别
通配符掩码和子网掩码恰好相反
一个是十进制的,另一个是十六进制的
两者都是自动生成的
1. 防火墙要实现的四类控制功能是什么? 方向控制、服务控制、行为控制、用户控制
21
2. 防火墙的理论特性有哪些?
创建阻塞点、强化网络安全策略,提供集成功能、实现网络隔离、记录和审计内联网络和外联网络之间的活动、自身具有非常墙的抵御攻击的能力 3. 防火墙的实际功能有哪些?(至少五项)
包过滤、代理、网络地址转换、虚拟专用网络、用户身份认证、记录报警分析与审计、管理功能、其他功能。
4. 简要说明防火墙的规则特点。
规则是保护内部信息资源的策略的实现和延伸;规则必须与访问活动紧密相关;规则必须稳妥可靠切合实际在安全和利用资源之间取得较为平衡的政策;可以实施各种不同的服务访问策略。
5. 简要说明防火墙的设计原则。
拒绝访问一切未予特学的服务;允许一切未被特别拒绝的服务 6. 防火墙采用的主要技术有哪些? 包过滤型防火墙;代理型防火墙
7. 简要说明包过滤型防火墙优缺点。
优点:工作在传输层下,对数据包本身包头字段进行过滤,性价比很高;缺点:过滤判断条件有限,安全性不高;过滤规则数目的增加会影响防火墙的性能;很难对用户身份进行验证;对安全管理人员的素质要求高。 8. 简要说明代理型防火墙优缺点。 优点:工作在应用层,可以以进行深层的内容进行控制;阻断了内联网络和外联网络的链接,实现了内外网的相互屏蔽,避免了数据驱动类型的攻击。
缺点:代理型防火墙速度相对较慢,当网关吞吐量较大时,防火墙就会成为瓶颈。 9. 简要说明包过滤型防火墙和代理型防火墙的区别。 包过滤防火墙工作在网络协议IP层,它只对IP包的源地址、目标地址及相应端口进行处理,因此速度比较快,能够处理的并发连接比较多,缺点是对应用层的攻击无能为力。
代理服务器防火墙将收到的IP包还原成高层协议的通讯数据,比如http连接信息,因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢,能够处理的并发数比较少。 10. 简要说明多重宿主主机。
多重宿主主机实际上是安放在内联网络和外联网络的接上的一台堡垒主机它要提供最少两个网络接 :个与内联网络相连, 另一个与外联网络相连。内联网络与外联网络之间的通信可通过多重宿主主机:的应用层数据共享或者应用层代理服务来完成 11. 说明屏蔽主机和屏蔽子网的区别和联系。 屏蔽主机由包过滤器和堡垒主机组成。
1、堡垒主机在网络内部,通过防火墙的过滤使得这个主机是唯一可从外部到达的主机。 2、实现了应用层和网络层的安全,比单独的包过滤或应用网关代理更安全。 3、过滤路由器是否配置正确是这种防火墙安全的关键。 屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机,在内个网络之间建立了被隔离的子网,称作周边网。
将堡垒主机、WEB服务器、E-MAIL服务器放在被屏蔽的子网内,外部、内部都可以访问。但禁止他们通过屏蔽子网通信。
如果堡垒主机被控制,内部网络仍然受内部包过滤路由器保护。
这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒
22
主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。 12. 防火墙的好处有哪些?
1.防火墙允许网络管理员定义一个“检查点”来防止非法用户进人内联网络,并抵抗·各种攻击。网络的安全性在防火墙上得到加固,而不是增加受保护网络内部主机的负担; 2.防火墙通过过滤存在安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。只有经过选择的网络服务才能通过防火墙,脆弱的服务只能在系统整体安全策略的控制下,在受保护网络的内部实现;
3.防火墙可以增强受保护节点的保密性,强化私有权.防火墙可以阻断某些提供主机信息的服务。如Finger和DNS等,使得外部主机无法获取这些有利于攻击的信息; 4.防火墙有能力较梢确地控制对内部子系统的访问。防火墙可以设置成允许外联网络访问内联网络的某些子系统.而不允许访间其他的子系统。这有效地增加了内联网络不同子系统的封闭性,使得系统核体安全策略的实施更加细致、深人; 5.防火墙境系统具有集中安全性。若受保护网络的所有或者大部分安全程序集中地放置在防火墙上,而非分散到受保护网络中的各台主机上,则安全监控的范围会更集中,监控行为更易于实现,安全成本也会更便宜;
6.在防火墙上可以很方便地监视网络的通信流,并产生告警信息。正如前面所描述的.网络面临的问题不是是否会受到攻击,而是什么时候受到攻击,因此对通信流的监控是一项需要持之以恒的、耐心的工作;
7.安全审计和管理是网络安全研究的重要课题,而防火墙恰恰是审计和记录网络行为最佳的地方。由于所有的网络访问流都要经过防火墙,所以网络管理员可以在防火墙上记录、分析网络行为,并以此检验安全策略的执行情况或者改进安全策略,
8.防火墙不但是网络安全的检查点,它还可以作为向用户发布信息的地点.即防火墙系统可以包括www服务器和FTP服务器等设备,并且允许外部主机进行访问。
9.最根本的是,防火墙为系统整体安全策略的执行提供了重要的实施平台。如果没有防火墙,那么系统整体安全策略的实施多半靠的是用户的自觉性和内联网络中各台主机的安全性。
13. 防火墙的不足之处有哪些?
限制网络服务;对内部用户防范不足;不能防范旁路连接;不适合进行病毒检测;无法防范数据驱动型攻击;无法防范所有威胁;配置问题;无法防范内部人员泄密;速度问题;单失效点问题
14. 解释说明传统防火墙单失效点问题。
传统防火墙至于内外网相连接的关键点处,会成为系统网络访问的瓶颈,一旦失效,内外网的连接将断开。
15. 包过滤技术防火墙过滤规则要检测哪些主要字段信息?
源地址;源端口号;目的地址;目的端口号;协议标志;过滤方式等 16. 简要说明什么是防火墙安全过滤规则? 过滤路由器的核心是过滤规则,过滤路由器位于内外网的边界上,控制着内联网络的所有数据包,网络访问策略是一个有序的规则的形式存储在过滤路由器里,每一条规则定义了针对某个特定类型数据包的动作,针对数据包的包头字段,“拒绝一切未特许的,允许一切未拒绝的”典型策略。
17. 简要说明包过滤技术的优点。
简单快速;对用户是透明的;检查规则简单效率高等; 18. 简要说明包过滤技术的缺点。
23
过滤技术思想简单,对信息处理能力有限,规则增多是规则的维护困难;控制层次较低,不能实现用户级的控制,不能对合法用户身份鉴别及冒用IP地址的鉴别。 19. 请简要说明状态检测技术的基本原理。
状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。 20. 简要说明什么是深度状态检测。
深度检测防火墙,将状态检测和应用防火墙技术结合在一起,以处理应用程序的流量,防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能,深度检测防火墙能够对数据流量迅速完成网络层级别的分析,并做出访问控制决;对于允许的数据流,根据应用层级别的信息,对负载做出进一步的决策。
深度检测防火墙深入分析了TCP或UDP数据包的内容,以便对负载有个总的认识。
状态检测防火墙是目前使用最广泛的防火墙,用来防护黑客攻击。但是,随着专门针对应用层的Web攻击现象的增多,在攻击防护中,状态检测防火墙的有效性越来越低。 21. 简要说明状态检测技术的优点。 安全性比静态包过滤高,可以阻断更多的复杂攻击行为可以通过分析打开相应的端口而不是一刀切;提升了防火墙的性能,后续数据包不需要检测,只需要快速通过。 22. 简要说明状态检测技术的缺点。
工作在网络层和传输层,对报文的数据部分检查很少,安全性还不够高; 检测内容多,对防火墙的性能提出来更高的要求。 23. 请简要比较代理技术和包过滤技术的安全性。 代理技术提供了与应用相关的所有信息,并且能够提供安全日志所需的最详细的管理和控制数据,安全级别更高。代理服务器不只检测数据包头部的各个字段,还能深入到包的内部,理解数据包载荷部分内容的含义,还可以为安全监测和日志记录提供最为详细的信息。对于外网来说只能看到代理服务器,而不能见到内部网络,实现联网网络隔离,使得内外网无法直接通信降低了受到直接攻击的风险,隐藏了内部网咯的结构和用户,经一部降低了用户网络遭受探测的风险。代理服务气损坏的话只能是内外网的连接中断,但是无法出现攻击和信息泄露的现象,代理技术比包过滤技术安全。 24. 简述代理技术的具体作用。(至少5项)
隐藏内部主机;过滤内容;提高系统性能;保障安全;阻断URL;保护电子邮件;身份认证;信息重定向。
25. 防火墙代理技术的优点有哪些?
提供了高速缓存,提高了网络性能;屏蔽了内联网络,组织了内网探测活动;禁止了直接连接,减少了直接攻击的风险;应用层上过滤,实现有效过滤;提供了用户身份认证手段,加强了安全性;连接基于服务而不是物理连接,不易受Ip地址欺骗攻击;应用层工作,提供了详细的日志和分析功能;过滤规则比包过滤防火墙规则简单。 26. 防火墙代理技术的缺点有哪些?
代理程序专用,不适应网络服务和协议的不断发展;
数据量大的情况下会增加访问延迟,影响系统性能;不能实现用户的透明访问;不支持所有的协议;
对操作系统有明显的依赖;代理技术的执行速度慢。 27. 请说明过滤路由器的优点。
24
快速;性能耗费比高;透明;实现容易。 28. 请说明过滤路由器的缺点。
配置复杂维护困难;数据包本身检测,智能检测部分攻击行为;无法防范数据驱动型攻击;只能对数据包的各字段进行检查,无法确定数据包的发送者的真实性。 29. 一般来说,一条过滤规则包括那些字段?
源地址;源端口号;目的地址;目的端口号;协议标志;过滤方式等 30. 说明堡垒主机的设计原则并简要解释。(论述题)
最小服务原则;预防原则;主要类型;系统需求;部署位置 31. 说明双宿主主机的优点有哪些?
作为内外网的唯一接口,易于实现网络安全策略;使用堡垒主机实现,成本较低。 32. 说明双宿主主机的缺点有哪些? 用户账户的存在提供一种入侵途径,比没有用户账户的安全性要低;存在账户数据库记录增多,管理和维护非常复杂,容易出错;账户信息的频繁存取耗费大量资源,降低堡垒主机本身的稳定性。出现速度地下甚至崩溃现象;允许用户登录,对主机安全性是一个威胁,很难进行有效监控和记录。
33. 说明双宿主网关的优点有哪些?
无需管理和维护账户数据库,降低了入侵攻击风险;具有良好的可扩展性;屏蔽了内联网络主机组织了信息泄露现象的发生。 34. 说明双宿主网关的缺点有哪些? 主机本身成为安全焦点,安全配置重要而复杂;代理服务组件增多会影响系统整体性能瓶颈;单台主机会带来单失效点的问题;灵活性差如果没有某项代理组建,用户无法使用该服务。 35. 简要说明屏蔽主机的工作原理。
SHF(Screened Host Firewall ) 屏蔽主机防火墙采用一个包滤路由器与外部网连接,用一个堡垒主机安装在内部网络上,起着代理服务器的作用,是外部网络所能到达的惟一节点,以此来确保内部网络不受外部未授权用户的攻击,达到内部网络安全保密的目的。在屏蔽主机防火墙的网络安全方案中,一个数据包过滤路由器与因特网相连,同时,一个双端主机(Dual Homed Host, DHH)安装在内部网络中。通常情况下,在网络路由器上设立过滤原则,使这个双端主机成为在因特网上所有其他节点所能到达的惟一节点。这样就确保了内部网络不能受到任何未被授权的外部用户的攻击。 36. 请解释屏蔽主机的优点。
①屏蔽主机是一种结合了包过滤和代理两张不同机制的防火墙,它能够提供比单纯的过滤路由器和多重宿主主机更高的安全性。任何攻击者都需要攻破包过滤和代理两道防线才能进入到内联网络,增加了攻击者的难度。
②屏蔽主机支持多种功能的网络服务的深层过滤,并具有相当的可扩展性。由于堡垒主机的采用代理防火墙技术,所以服务器只需要添加代理服务器组件即可。
③屏蔽主机系统本身是可靠地、稳固的。不同于多重宿主主机,直接面对对外网络的并不是堡垒主机而是路由器。所以简单配置的路由器要比保护一台主机要容易得多。 37. 请解释屏蔽主机的缺点。
主要缺点是堡垒主机和内联网络主机放置在一起,他们之间没有一道安全隔离屏障。如果堡垒主机北宫皮,那么内联网络将全部暴露在攻击者面前。此外虽然过滤路由器的安全性比多重宿主主机要高,但是只进行简单的包过滤规则,因此入侵者有多种手段对过滤路由器进行破坏。一旦路由表被修改,则堡垒主机被旁路,堡垒主机的大理服务器就没有用了,所有内联网络向外联网络发出的请求都会通过被破坏的过滤路由器直接发到外联网络,内联网络就没有秘密可言了,内联网络的安全性都维系在一张相对脆弱的路由表上,这是一个比较严重
25