防火墙第一次作业.docx

第2章 作业1、 静态包过滤防火墙技术的基本原理，主要过滤规则，过滤规则组成。至少给出两种不同类型的过滤规则示例。答：基本原理：采用一组过滤规则对每个数据包进行检查，然后根据检查结果确定是转发还是丢弃该数据包。这种防火墙对从内网到外网和从外网到内网的两个方向的数据包进行过滤，其过滤规则基于IP和TCP/UDP头中的几个字段。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。允许或禁止某个IP地址或者IP地址范围的用户使用服务浏览器受保护的页面。允许某个可信的IP地址或者IP地址范围的用户使用SMTP服务访问受保护的Mail服务器上的文件。2、 状态监测技术的基本原理，TCP的主要状态，状态监测的基本流程，状态检测防火墙的特点。答：基本原理：采用一种基于连接的状态监测机制，将属于同一个连接的所有包作为一个数据流的整体看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。TCP主要状态：每个连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段。状态监测的基本流程状态检测防火墙的特点。具备动态包过滤的所有优点，同时具备更高的安全性，没有打破客户/服务器的模式，由于状态监测引擎采用单线程进程，此设计将对防火墙的性能产生很大影响。3、 代理服务器的基本原理、类型、优缺点。答：代理服务器（Proxy Server）是一种重要的服务器安全功能，它的工作主要在开放系统互联(OSI)模型的会话层，从而起到防火墙的作用。代理服务器大多被用来连接INTERNET（国际互联网）和Local Area Network（局域网）。是一种特殊的网络服务，允许一个网络终端（一般为客户端）通过这个服务与另一个网络终端（一般为服务器）进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全，防止攻击。类型：HTTP代理、 SOCKS代理、 VPN代理、 FTP代理、 RTSP代理、 POP3代理。优点：与传统的电路级网关相比，它对网络性能造成的影响要小。不需直接与外部网络连接，内部网络安全性较高、应用层代理采用Cache机制，用户信息可以共享，提高信息访问效率可以支持用户概念，提供用户认证、可以实现基于内容的信息过滤。缺点：不同的应用服务，要求又不同的代理程序或不同的代理服务器、实时性要求高的服务不适合、代理不能改进底层协议的安全性。4、 地址转换技术的基本原理、用途、类型和特点。基本原理：所谓的网络地址转换，就是指在一个网络内部，根据需要可以随意自定义IP地址（不需要经过申请）即私有IP地址。在网络内部，各计算机间通过私有IP地址进行通讯。而当计算机要与外部Internet网络进行通讯时，具有NAT功能的设备（如路由器或防火墙）负责将其私有IP地址转换为向ISP申请的即公网的IP地址进行通信。用途：把私有地址变公网地址。不仅能解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。类型：静态地址转换:通过手工指定内部局部地址和内部全局地址的映射，是一对一的关系，映射表是固定不变的。动态地址转换：如果NAT映射表是由防火墙动态建立的，我们称为动态NAT，它也是一对一的关系，但映射表可以改变。端口复用地址转换：首先它也是一种动态NAT，它和动态NAT区别是将多个内部IP地址映射成一个外部IP地址，关键是，它使用套接字来区分多个不同的会话特点：在一个具有NAT功能的路由器下的主机并没有建立真正的IP地址，并且不能参与一些因特网协议。一些需要初始化从外部网络建立的TCP连接和使用无状态协议，比如UDP的服务将被中断。除非NAT路由器作一些具体的努力，否则送来的数据包将不能到达正确的目的地址。一些协议有时可以在应用层网关（见下）的辅助下，在参与NAT的主机之间容纳一个NAT的实例，比如FTP。NAT也会使安全协议变的复杂，比如IPsec。第3章 作业1、 堡垒主机的结构，作用和类型。结构：一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是Internet。作用：作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。类型：内部网络行为管理、命令控制技术、细粒度策略控制功能、准确日志查询检索功能、菜单类操作回放审计功能、帐号密码的安全管理、FTP/SFTP文件安全传输、支持标准SYSLOG日志、即时操作“现场直播”的监控功能、程序重用与控制技术、逻辑命令自动识别技术、分布式处理技术等。类型：无路由双宿主主机、牺牲主机、内部堡垒主机2、 双宿主主机和双宿主网关的区别和特点。区别：双宿主机是一台有两块接口卡(NIC)的计算机，有二个IP地址，每一块接口卡有一个IP地址。双宿主网关仅用一个代理服务器(图)，代理服务器就是安装于双宿主机的代理服务器软件。特点：双重宿主主机直接暴露在外部网络中，充当了堡垒主机的角色，这种体系的弱点是，一旦堡垒主机被攻破，使其直接成为一个路由器，那被外部的网络可以直接访问内部的网络；双宿主网关将受保护网络与外界完全隔离。代理服务器提供日志，有助于发现入侵。由于它本身是一台主机，可以用于诸如身份验证服务及代理服务器，使其具有多种功能。每项服务必须使用专门设计的代理服务器，即使较新的代理服务器(如A1ta Vista Firewall)虽然能处理几种服务，也不能同时服务。如果防火墙只采用双宿主网关一个部件，一旦出现问题网络安全将受到危害。如果重新安装操作系统而忘