阅读量:24
参考教材:网络安全技术及应用 第3版 主编贾铁军等
第8章 防火墙应用技术
填空题
防火墙隔离了内部、外部网络,是内、外部网络通信的___途径,能够根据制定的访问规则对流经它的信息进行监控和审查,从而保护内部网络不受外界的非法访问和攻击。
————唯一
防火墙是一种___设备,即对于新的未知攻击或者策略配置有误,防火墙就无能为力了。
————被动
从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及___防火墙。
————芯片级
包过滤型防火墙工作在OSI网络参考模型的网络层和___。
————传输层
第一代应用网关型防火墙的核心技术是___。
————代理技术
单一主机防火墙独立于其它网络设备,它位于___。
————网络边界
组织的雇员,可以是要到外围区域或 Internet 的内部用户、外部用户(如分支办事处工作人员)、远程用户或在家中办公的用户等,被称为内部防火墙的___。
————完全信任用户
___是位于外围网络中的服务器,向内部和外部用户提供服务。
————堡垒主机
___利用TCP协议的设计上的缺陷,通过特定方式发送大量的TCP请求从而导致受攻击方CPU超负荷或内存不足的一种攻击方式。
————拒绝服务攻击
论述题 1)防火墙的 分类 及 主要技术 有哪些?
分类:
以防火墙的软硬件形式来分:
软件防火墙:运行于特定的计算机上,需要客户预先安装好的计算机操作系统的支持。
硬件防火墙:不基于专门的硬件平台。
芯片级防火墙:基于专门的硬件平台,没有操作系统。
按照防火墙的技术分类:
包过滤型:工作在网络层和传输层
应用代理型:工作在应用层
以防火墙体系结构来分:单一主机防火墙、路由器集成式防火墙和分布式防火墙
按性能等级来分:百兆级防火墙,千兆级防火墙两类
主要技术:代理服务技术,包过滤技术,网络地址转换技术,虚拟专用网VPN技术,审计技术,信息加密技术
2)正确配置防火墙以后,是否能够必然保证网络安全?如果不是,试介绍防火墙的缺点。
①不能防范绕过防火墙的攻击。
②防火墙是一种被动安全策略执行设备(新攻击无能为力)
③防火墙不能防止利用 标准网络协议中的缺陷 进行的攻击。
④防火墙不能防止 利用 服务器系统漏洞 进行的攻击。
⑤不能防止 数据驱动式 的攻击
⑥无法保证 准许服务的安全性
⑦不能防止 本身的安全漏洞威胁
⑧不能防止 感染了病毒的软件 或 文件的传输
3) 防火墙阻止SYN Flood攻击,可使用SYN网关防护方式。说明SYN网关工作原理。
(关于 防火墙阻止SYN Flood攻击更加详情可查看)
①SYN Flood(洪水攻击)攻击的原理
图:
解释:客户端向服务端 发送 大量假IP ———>这会导致 第三次握手 不能成功———>服务端 就会 存在 大量 的半连接 ———> 消耗资源———> 形成拒绝服务攻击
②SYN网关
图:
解释:防火墙收到 服务端的 SYN/ACK 包后 , 会立刻发送一个ACK包 给服务端,减少半连接数。(当客户端真正的ACK包到达时,有数据 则转发给服务端,没有数据则丢弃该包。)
4) 防火墙阻止SYN Flood攻击,可使用被动式SYN网关防护方式。说明被动式SYN网关工作原理。
①SYN Flood(洪水攻击)攻击的原理
②被动SYN网关
图:
解释:防火墙的超时期限远小于服务器的超时期限,当 超过 防火墙的期限后,客户端 还没有发送ACK包,防火墙就会向服务器发送RST包,节约了半连接时间。
5) 防火墙阻止SYN Flood攻击,可使用SYN中继防护方式。说明SYN中继工作原理。
①SYN Flood(洪水攻击)攻击的原理
②SYN中继
图:
解释:得先跟防火墙三次握手成功,才能和 服务端 进行连接。
