防火墙复习重点(考试复习用的).docVIP

1.1防火墙 ①.防火墙是指设置在不同网络或网络安全域之间的一系列不减的组合（允许，拒绝，监测）。 ②.防火墙是分离器，限制器，或分析器。安全，速度，管理是防火墙3大要素。 ③.防火墙的优点：是网络的屏障；控制对主机系统的访问；监控和审计网络访问；防止内部信息的外泄；部署NAT机制。 ④.防火墙的弱点：不能防范（内部网络攻击；不经由防火墙的攻击；感染了病毒的软件和文件的传输；数据驱动式攻击；利用标准网络协议的缺陷进行的攻击；利用服务器系统漏洞的攻击；新的网络安全问题）限制了有用的网络服务。 1.2防火墙的基本结构 ①.屏蔽路由器：比较简单基于IP层徳报文过滤软件，实现报文过滤功能。缺点：路由器被控制后很难发现，而且不能分辨不同的用户。 ②.双宿主机的防火墙：用一台装有2块网卡的堡垒主机做防火墙。两块网卡分别于受保护和外部网相连；系统软件可以用于维护系统日志，硬件复制日志或远程日志。缺点：侵入堡垒主机并使其只具有路由功能，则网上任何用户均可以自由访问内网。 ③屏蔽主机防火墙：易于实现也很安全。一个分组过滤路由器 连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由上设立过于规则，并使这个堡垒主机成为外部网络唯一可以直接到达的主机。 ④.屏蔽子网防火墙：在内部网和外部网之间建立一个被隔离的子网，用两台分组过滤路由器将子网分别与内部网络和外部网络分开。安全性十足。 1.3防火墙的模型和分类 ①.包过滤防火墙的优点：对每条传入和传出网络的包实行低水平控制；每个IP包的字段都被检查；可以识别和丢弃带欺骗性源IP地址的包；是两个网络之间访问的唯一途径。 缺点：配置困难；可能还有其他方法绕过防火墙进入网络；为特定服务开放的端口存在危险。 ②.状态/动态检测防火墙的优点：检查IP包的每个字段的能力，并遵从基于包中信息的过于规则；识别带有欺骗性源IP的能力；基于应用程序信息验证一个包的状态的能力；记录有关通过的每个包的详细信息的能力。 缺点：所有记录，测试和分析工作可能会造成网络连接的某种迟泻。 ③.应用程序代理防火的优点：指定对连接的控制；通过限制某种协议 的传出请求，来减少网络中不必要的服务；能够记录所有连接，包括地址和持续时间。 缺点：必须在一定范围内定制用户的系统；一些程序根本不支持代理连接。 ④.个人防火墙的优点：增强 了报告级别，不需要额外的硬件资源；除了可以 抵挡外部攻击和内部攻击；对公共网络中的单个系统提供了保护。 缺点：公共网路只有一个物理接口。 1.4攻击方式和防火墙防御 ①.拒绝服务攻击：死亡之PING；泪滴；UDP洪水；SYN洪水；Land攻击等等。 利用型攻击：口令猜测；特洛伊木马；缓冲区溢出。 信息收集型攻击：扫描技术；体系结构探测；利用信息服务 假消息攻击：DNS高速 缓存污染；伪造电子邮件 ②.主要攻击手段：IP地址欺骗；TCP序号攻击；IP分段攻击；IP隧道攻击；报文攻击；电污染攻击；数据驱动攻击；木马攻击。 ③.技术展望：多级过滤技术；网络安全产品的系统化；管理的通用化。 2.1包过滤原理 ①.通过对信息头徳检测就可以决定是否将数据包发往目的地址，已到达对进入和流出网络 的数据进行检测和限制。核心是包检查模块 ②.包过滤技术：配置访问控制列表；动态访问控制列表；状态包检查技术 ③.缺点：访问控制列表的配置和维护困难；难以详细了解主机之间的对话；难以实现应用层服务的过滤。 2.1包过滤原理 ①.通过对信息头徳检测就可以决定是否将数据包发往目的地址，已到达对进入和流出网络 的数据进行检测和限制。核心是包检查模块 ②.包过滤技术：配置访问控制列表；动态访问控制列表；状态包检查技术 ③.缺点：访问控制列表的配置和维护困难；难以详细了解主机之间的对话；难以实现应用层服务的过滤。 2.2NAT（网络地址翻译）相关术语 ①.内部局部地址（Inside Local Address）；内部全局地址（Inside Global Adress）；外部全局地址（Outside Global）；外部局部地址（Outside Local）.网路地址翻译技术根据实现方法不同有：静态...和动态...。 ②.缺点：一些应用层协议的工作特点导致无法使用网络地址翻译技术；静态和动态网络地址映射安全问题；对内部主机的引诱和木马攻击；状态表超时问题。 2.3 应用层代理技术 ①.优点：有能力支持可靠的用户认证并提供详细的注册信息；过滤规则比包过滤路由器更容易配置和测试；工作在客服机和真实服务器之间，可以完全控制会话；可以被配置成唯一可被外部看见的主机；可以解决IP地址不够用的问题 。 缺点：有限的连接性；有限的技术；造成明显的性能下降；维护相对复杂；要求用户改变自己的行为。 ②.电路级代理：1电路级代理又称电路级网关，它工作在会话层。它在两个