史上最全防火墙技术复习题 期末考试题选择题 填空题 简答题 防火墙试题
10. 简要说明多重宿主主机。
多重宿主主机实际上是安放在内联网络和外联网络的接上的一台堡垒主机它要提供最少两个网络接 :个与内联网络相连, 另一个与外联网络相连。内联网络与外联网络之间的通信可通过多重宿主主机:的应用层数据共享或者应用层代理服务来完成
11. 说明屏蔽主机和屏蔽子网的区别和联系。
屏蔽主机由包过滤器和堡垒主机组成。
1、堡垒主机在网络内部,通过防火墙的过滤使得这个主机是唯一可从外部到达的主机。
2、实现了应用层和网络层的安全,比单独的包过滤或应用网关代理更安全。
3、过滤路由器是否配置正确是这种防火墙安全的关键。
屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机,在内个网络之间建立了被隔离的子网,称作周边网。
将堡垒主机、WEB服务器、E-MAIL服务器放在被屏蔽的子网内,外部、内部都可以访问。但禁止他们通过屏蔽子网通信。
如果堡垒主机被控制,内部网络仍然受内部包过滤路由器保护。
这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。
12. 防火墙的好处有哪些?
1.防火墙允许网络管理员定义一个“检查点”来防止非法用户进人内联网络,并抵抗·各种攻击。网络的安全性在防火墙上得到加固,而不是增加受保护网络内部主机的负担;
2.防火墙通过过滤存在安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。只有经过选择的网络服务才能通过防火墙,脆弱的服务只能在系统整体安全策略的控制下,在受保护网络的内部实现;
3.防火墙可以增强受保护节点的保密性,强化私有权.防火墙可以阻断某些提供主机信息的服务。如Finger和DNS等,使得外部主机无法获取这些有利于攻击的信息;
4.防火墙有能力较梢确地控制对内部子系统的访问。防火墙可以设置成允许外联网络访问内联网络的某些子系统.而不允许访间其他的子系统。这有效地增加了内联网络不同子系统的封闭性,使得系统核体安全策略的实施更加细致、深人;
5.防火墙境系统具有集中安全性。若受保护网络的所有或者大部分安全程序集中地放置在防火墙上,而非分散到受保护网络中的各台主机上,则安全监控的范围会更集中,监控行为更易于实现,安全成本也会更便宜;
6.在防火墙上可以很方便地监视网络的通信流,并产生告警信息。正如前面所描述的.网络面临的问题不是是否会受到攻击,而是什么时候受到攻击,因此对通信流的监控是一项需要持之以恒的、耐心的工作;
7.安全审计和管理是网络安全研究的重要课题,而防火墙恰恰是审计和记录网络行为最佳的地方。由于所有的网络访问流都要经过防火墙,所以网络管理员可以在防火墙上记录、分析网络行为,并以此检验安全策略的执行情况或者改进安全策略,
8.防火墙不但是网络安全的检查点,它还可以作为向用户发布信息的地点.即防火墙系统可以包括www服务器和FTP服务器等设备,并且允许外部主机进行访问。
9.最根本的是,防火墙为系统整体安全策略的执行提供了重要的实施平台。如果没有防火墙,那么系统整体安全策略的实施多半靠的是用户的自觉性和内联网络中各台主机的安全性。
13. 防火墙的不足之处有哪些?
限制网络服务;对内部用户防范不足;不能防范旁路连接;不适合进行病毒检测;无法防范数据驱动型攻击;无法防范所有威胁;配置问题;无法防范内部人员泄密;速度问题;单失效点问题
14. 解释说明传统防火墙单失效点问题。
传统防火墙至于内外网相连接的关键点处,会成为系统网络访问的瓶颈,一旦失效,内外网的连接将断开。