自考04751计算机网络安全-重难点分析4

第4章  防火墙技术

一、  识记

1、防火墙的基本概念P.103

答：防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰，达到保护内部网络系统安全的目的。

2、防火墙的体系结构类型P.106图

答：防火墙的体系结构一般有以下几种：

①双重宿主主机体系结构；②屏蔽主机体系结构；③屏蔽子网体系结构。

3、个人防火墙的特点

答：个人防火墙的优点：

①增加了保护级别，不需要额外的硬件资源。

②个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。

③个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，如IP地址之类的信息等。

个人防火墙的缺点：

①个人防火墙对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁。

②个人防火墙在运行时需要占用个人计算机的内存、CPU时间等资源。

③个人防火墙只能对单机提供保护，不能保护网络系统。

4、防火墙的发展趋势+防火墙的缺陷（不足）“笔记P30-31”

答：①优良的性能；②可扩展的结构和功能；③简化的安装与管理；④主动过滤；⑤防病毒与防黑客；⑥发展联动技术。

附：

1、防火墙可以分为网络层防火墙和应用层防火墙，这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。

二、领会

1、防火墙的主要功能P.104

答：无论何种类型的防火墙都应具备五大基本功能：

（1）过滤进、出网络的数据（2）管理进、出网络的访问行为（3）封堵某些禁止的业务

（4）记录通过防火墙的信息内容和活动（5）对网络攻击检测和告警

2、防火墙的局限性P.105

答：主要体现在以下几个方面：

（1）网络的安全性通常是以网络服务的开放性和灵活性为代价

防火墙通常会使网络系统的部分功能被削弱。

①由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；

②由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。

（2）防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失

①只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；

②不能解决来自内部网络的攻击和安全问题；

③不能防止受病毒感染的文件的传输；

④不能防止策略配置不当或错误配置引起的安全威胁；

⑤不能防止自然或人为的故意破坏；

⑥不能防止本身安全漏洞的威胁。

3、数据包过滤技术的工作原理P.110

答：包过滤防火墙工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。它的优点是效率比较高，对用户来说是透明的。缺点是对于大多数服务和协议不能提供安全保障，无法有效地区分同一IP地址的不同用户，并且包过滤防火墙难于配置、监控和管理，不能提供足够的日志和报警。

数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。

包过滤技术的缺陷：①不能彻底防止地址欺骗；②无法执行某些安全策略；③安全性较差；④一些应用协议不适合于数据包过滤；⑤管理功能弱。

4、代理服务技术的工作原理P.116

答：代理服务器（Proxy）技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。

所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙（应用层网关防火墙和电路层网关防火墙）。

代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。

代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应。代理客户机（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。

代理技术的优点：①代理易于配置；②代理能生成各项记录；③代理能灵活、完全地控制进出流量、内容；④代理能过滤数据内容；⑤代理能为用户提供透明的加密机制；⑥代理可以方便地与其它安全手段集成。

代理技术的缺点：①代理速度较路由器慢；②代理对用户不透明；③对每项服务代理可能要求不同的服务器；④代理服务不能保证免受所有协议弱点的限制；⑤代理不能改进底层协议的安全性。

5、状态检测技术的工作原理P.119

答：也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，则立即将其终止。

状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。它在协议栈底层截取数据包，然后分析这些数据包的当前状态，并将其与前一时刻相应的状态信息进行对比，从而得到对该数据包的控制信息。

检测引擎支持多种协议和应用程序，并可以方便地实现应用和服务的扩充。当用户访问请求到达网关操作系统前，检测引擎通过状态监视器要收集有关状态信息，结合网络配置和安全规则做出接纳、拒绝、身份认证及报警等处理动作。一旦有某个访问违反了安全规则，该访问就会被拒绝，记录并报告有关状态信息。

6、NAT技术的工作原理P.121

答：网络地址转换（Network Address Translation，NAT），允许一个整体机构以一个公用IP地址出现在互联网上，这是一种把内部私有IP地址翻译成合法网络IP地址的技术。

NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。NAT可以使多台计算机共享互联网连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入互联网中。这时，NAT屏蔽了内部网络，所有内部网络计算机对于公共网络来说是不可见的，而内部网络计算机用户通常不会意识到NAT的存在。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。

7、个人防火墙的主要功能P.135

答：①IP数据包过滤功能；②安全规划的修订功能；③对特定网络攻击数据包的拦截功能；④应用程序网络访问控制功能；⑤网络快速切断/恢复功能；⑥日志记录功能；⑦网络攻击的报警功能；⑧产品自身安全功能。

三、应用

防火墙的典型应用P.128+屏蔽子网体系结构图的应用、各组件功能（见“2009.04题32”、“2010.04题32”、“2011.04题33”）

附：

从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。