全策略的检测引擎而获得非常好的安全特性,检测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,并将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。状态检测防火墙监视和跟踪每一个有效连接的状态,并根据这些信息决定是否允许网络数据包通过防火墙。 4.3.3状态检测技术的特点:
①?? 高安全性 ②?? 高效性 ③?? 可伸缩性和易扩展性 ④?? 应用范围广
4.3.4NAT技术的工作原理(P121):
网络地址转换,是一个internet工程任务组的标准,允许一个整体机构以一个公用IP地址出现在互联网上。即是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT有三种类型:静态NAT、动态NAT和网络地址端口转换NAPT。
4.6.2个人防火墙的主要功能:
1) 2) 3) 4) 5) 6) 7) 8)
IP数据包过滤功能 安全规则的修订功能
对特定网络攻击数据包的拦截功能 应用程序网络访问控制功能 网络快速切断、恢复功能 日志记录功能
网络攻击的报警功能 产品自身安全功能
4.6.3个人防火墙的特点:
优点:①增加了保护级别,不需要额外的硬件资源;
②除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击;
③是对公共网络中的单个系统提供了保护,能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等。
缺点:①对公共网络只有一个物理接口,导致个人防火墙本身容易受到威胁; ②在运行时需要占用个人计算机的内存、CPU时间等资源; ③只能对单机提供保护,不能保护网络系统。
4.7防火墙的发展趋势(P142): ①?? 优良的性能
②?? 可扩展的结构和功能 ③?? 简化的安装与管理 ④?? 主动过滤 ⑤?? 防病毒与防黑客 ⑥?? 发展联动技术
课后题:
1、简述防火墙的定义。(P103)
2、防火墙的主要功能。(P135)
3、防火墙的体系结构有哪几种?简述各自的特点。(P106)
16 / 29
防火墙的体系结构:双重宿主主机体系结构;屏蔽主机体系结构;屏蔽子网体系结构。
双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络往另一个网络发送数据包。
双重宿主主机体系结构是由一台同时连接在内外部网络的双重宿主主机提供安全保障的,而被屏蔽主机体系结构则不同,在屏蔽主机体系结构中,提供安全保护的主机仅仅与被保护的内部网络相连.
屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。
4、简述包过滤防火墙的工作机制和包过滤模型。(P110,P111图) 包过滤型防火墙一般有一个包检查模块,可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但不能控制传输的数据内容,因为内容是应用层数据。包过滤模型P111
5、简述包过滤的工作过程。(P112)
6、简述代理防火墙的工作原理,并阐述代理技术的优缺点。(P116) 所谓代理服务器,是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的proxy应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进行下一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用,所以又叫代理防火墙。代理防火墙工作于应用层,且针对特定的应用层协议。 优点: ①代理易于配置
②代理能生成各项记录
③代理能灵活、完全地控制进出流量、内容 ④代理能过滤数据内容
⑤代理能为用户提供透明的加密机制 ⑥代理可以方便地与其他安全手段集成 缺点: ①?? 代理速度较路由器慢 ②?? 代理对用户不透明 ③?? 对于每项服务代理可能要求不同的服务器 ④?? 代理服务不能保证免受所有协议弱点的限制 ⑤?? 代理不能改进底层协议的安全性
7、简述状态检测防火墙的特点。(P120)
状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处,克服了两者的不足,能够根据协议、端口,以及源地址、目的地址的具体情况决定数据包是否允许通过。 优点:①高安全性 ②高效性
17 / 29
③可伸缩性和易扩展性 ④应用范围广。
不足:对大量状态信息的处理过程可能会造成网络连接的某种迟滞。 8、简述NAT技术的工作原理(P121)
9、试描述攻击者用于发现和侦察防火墙的典型技巧。(P122)
攻击者往往通过发掘信任关系和最薄弱环节上的安全脆弱点来绕过防火墙,或者经由拔号帐号实施攻击来避开防火墙。典型技巧:①用获取防火墙标识进行攻击。凭借端口扫描和标识获取等技巧,攻击者能有效地确定目标网络上几乎每个防火墙的类型、版本和规则。②穿透防火墙进行扫描。利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿透防火墙扫描。③利用分组过滤的脆弱点进行攻击。利用ACL规则设计不完善的防火墙,允许某些分组不受约束的通过。④利用应用代理的脆弱点进行攻击。 10、若把网络卫士防火墙3000部署在本单位网络出口处,试给出其应用配置。(P129)
11、简述个人防火墙的特点。(P136 4.6.3)
12、简述防火墙的发展动态和趋势。(P141)
防火墙的发展动态:防火墙有许多防范功能,但由于互联网的开放性,它也有一些力不能及的地方,主要表现在以下方面: 1、防火墙不能防范不经由防火墙的攻击。
2、防火墙目前还不能防止感染了病毒的软件或文件的传输,这只能在每台主机上安装反病毒软件。
3、防火墙不能防止数据驱动式攻击。
4、另外,防火墙还存在着安装、管理、配置复杂的缺点,在高流量的网络中,防火墙还容易成为网络的瓶颈。 防火墙的发展趋势: ①优良的性能
②可扩展的结构和功能 ③简化的安装与管理 ④主动过滤
⑤防病毒与防黑客 ⑥发展联动技术。
18 / 29
第5章、 入侵检测技术
5.1.1入侵检测的原理(P148图):
入侵检测是用于检测任何损害或企图损害系统保密性、完整性或可用性的一种网络安全技术。
通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。IDS包括软硬件产品
5.1.2入侵检测的系统结构组成(P148图):
从系统构成上看,入侵检测系统应包括数据提取、入侵分析、响应处理和远程管理四大部分。
5.1.3入侵检测系统的分类(P149):
①基于数据源的分类:按数据源所处的位置,把入侵检测系统分为五类:
基于主机、 基于网络、 混合入侵检测、
基于网关的入侵检测系统 文件完整性检查系统; ②基于检测理论分类,可分为 异常检测 误用检测;
③基于检测时效的分类,可分为
离线检测方式(采取批处理方式) 在线检测方式(实时检测)。
19 / 29
5.2.1入侵检测分析模型:
分析是入侵检测的核心功能,一般的,入侵检测分析处理过程可分为三个阶段: 构建分析器,
对实际现场数据进行分析, 反馈和提炼过程。
其中,前两个阶段都包含三个功能,即数据处理、数据分类(数据可分为入侵指示、非入侵指示或不确定)和后处理。
5.2.2误用检测(P153):
误用检测是按照预定模式搜寻事件数据的,最适用于对已知模式的可靠检测。执行误用检测,主要依赖于可靠的用户活动记录和分析事件的方法。
分为①条件概率预测法 ②产生式/专家系统 ③状态转换方法
④用于批模式分析的信息检索技术
⑤Keystroke Monitor和基于模型的方法。
5.2.3异常检测(P156):
异常检测基于一个假定:用户的行为是可预测的、遵循一致性模式的,且随着用户事件的增加,异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由试题集来描述的。
分为①Denning的原始模型 ②量化分析 ③统计度量
④非参数统计度量 ⑤基于规则的方法
5.3.1分布式入侵检测的优势(P163):
分布式入侵检测由于采用了非集中的系统结构和处理方式,相对于传统的单机IDS具有一些明显的
优势:①检测大范围的攻击行为 ②提高检测的准确度 ③提高检测效率 ④协调响应措施
5.3.2分布式入侵检测的技术难点(P164):
①?? 事件产生及存储
②?? 状态空间管理及规则复杂度 ③?? 知识库管理 ④?? 推理技术
5.4入侵检测系统的标准(P166):
①IETF/IDWG。
IDWG定义了用于入侵检测与响应系统之间或与需要交互的管理系统之间的信息共享所需要的数据格式和交换规程。
IDWG提出了三项建议草案:入侵检测消息交换格式(IDMEF)、
入侵检测交换协议(IDXP) 隧道轮廓(Tunnel Profile)
20 / 29
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库自学考试计算机网络安全整理资料 - 图文(4)在线全文阅读。
相关推荐: