【计算机网络安全4751】4~6章

第4章  防火墙技术

 

一、 识记

1、防火墙的基本概念P.103

答：防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。

 

2、防火墙的体系结构类型P.106

答：防火墙的体系结构一般有以下几种

①双重宿主主机体系结构；②屏蔽主机体系结构；③屏蔽子网体系结构。

 

3、个人防火墙的特点

答：个人防火墙的优点：

①增加了保护级别，不需要额外的硬件资源。

②个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。

③个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，如 IP 地址之类的信息等。

个人防火墙的缺点：

①个人防火墙对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁。

②个人防火墙在运行时需要战用个人计算机的内存、 CPU 时间等资源。

③个人防火墙只能对单机提供保护，不能保护网络系统。

 

4、防火墙的发展趋势

答：①优良的性能；②可扩展的结构和功能；③简化的安装与管理；④主动过滤；⑤防病毒与防黑客；⑥发展联动技术。

 

二、领会

1、防火墙的主要功能P.104

答：无论何种类型的防火墙都应具备五大基本功能：

（ 1 ）过滤进、出网络的数据

（ 2 ）管理进、出网络的访问行为

（ 3 ）封堵某些禁止的业务

（ 4 ）记录通过防火墙的信息内容和活动

（ 5 ）对网络攻击检测和告警

 

2、防火墙的局限性P.105

答：主要体现在以下几个方面

（ 1 ）网络的安全性通常是以网络服务的开放性和灵活性为代价

防火墙通常会使网络系统的部分功能被削弱。

①由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；

②由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。

（ 2 ）防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失

①只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；

②不能解决来自内部网络的攻击和安全问题；

③不能防止受病毒感染的文件的传输；

④不能防止策略配置不当或错误配置引起的安全威胁；

⑤不能防止自然或人为的故意破坏；

⑥不能防止本身安全漏洞的威胁。

 

3、各类防火墙的特点

 

4、数据包过滤技术的工作原理P.110

答：包过滤防火墙工作在网络层，通常基于 IP 数据包的源地址、目的地址、源端口和目的端口进行过滤。它的优点是效率比较高，对用户来说是透明的。缺点是对于大多数服务和协议不能提供安全保障，无法有效地区分同一 IP 地址的不同用户，并且包过滤防火墙难于配置、监控和管理，不能提供足够的日志和报警。

数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。

数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，这通常安装在路由器上。

数据包过滤防火墙的缺点有两个：

一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；

二是数据包的源地址、目的地址及 IP 的端口号都在数据包的头部，很有可能被窃听或假冒。

 

5、代理服务技术的工作原理P.116

答：代理服务器（ Proxy ）技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。

所谓代理服务器，是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的 Proxy 应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙。

代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。

代理服务器（ Proxy Server ）作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应。代理客户机（ Proxy Client ）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。

 

6、状态检测技术的工作原理P.119

答：基于状态检测技术的防火墙是由 Check Point 软件技术有限公司率先提出的，也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，则立即将其终止。

状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。它在协议栈底层截取数据包，然后分析这些数据包的当前状态，并将其与前一时刻相应的状态信息进行对比，从而得到对该数据包的控制信息。

检测引擎支持多种协议和应用程序，并可以方便地实现应用和服务的扩充。当用户访问请求到达网关操作系统前，检测引擎通过状态监视器要收集有关状态信息，结合网络配置和安全规则做出接纳、拒绝、身份认证及报警等处理动作。一旦有某个访问违反了安全规则，该访问就会被拒绝，记录并报告有关状态信息。

 

7、NAT技术的工作原理P.121

答：网络地址转换（ Network Address Translation ， NAT ），这是一个 Internet 工程任务组（ Internet Engineering Task Force ,IETF ）的标准，允许一个整体机构以一个公用 IP 地址出现在互联网上，这是一种把内部私有 IP 地址翻译成合法网络 IP 地址的技术。

NAT 就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。 NAT 可以使多台计算机共享互联网连接，这一功能很好地解决了公共 IP 地址紧缺的问题。通过这种方法，可以只申请一个合法 IP 地址，就把整个局域网中的计算机接入互联网中。这时， NAT 屏蔽了内部网络，所有内部网络计算机对于公共网络来说是不可见的，而内部网络计算机用户通常不会意识到 NAT 的存在。

NAT 功能通常被集成到路由器、防火墙、 ISDN 路由器或者单独的 NAT 设备中。

 

8、个人防火墙的主要功能P.135

答 ：① IP 数据包过滤功能

     ②安全规划的修订功能

     ③对特定网络攻击数据包的拦截功能

④应用程序网络访问控制功能

⑤网络快速切断/恢复功能

⑥日志记录功能

⑦网络攻击的报警功能

⑧产品自身安全功能

 

三、应用

防火墙的典型应用P.128

附：

从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和 NAT 技术等。

 

第5章  入侵检测技术

 

一、 识记

    1、入侵检测的原理P.148

答：入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。所谓入侵检测系统，就是执行入侵检测任务的硬件或软件产品。

入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法，其应用前提是：入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。

入侵检测系统需要解决两个问题：一是如何充分并可靠地提取描述行为特征的数据，二是如何根据特征数据，高效并准确地判定行为的性质。

 

2、入侵检测的系统结构组成P.149

答：根据任务属性的不同，入侵检测系统的功能结构可分为两个部分：中心检测平台和代理服务器。

 

3、入侵检测系统的分类P.149

答：（ 1 ）基于数据源的分类：基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。

（ 2 ）基于检测理论的分类：异常检测和误用检测。

（ 3 ）基于检测时效的分类：在线检测和离线检测。

 

4、分布式入侵检测的优势和技术难点P.163

答：分布式入侵检测的优势

①检测大范围的攻击行为；②提高检测的准确度；③提高检测效率；④协调响应措施。

分布式入侵检测的技术难点

①事件产生及存储；②状态空间管理及规则复杂度；③知识库管理；④推理技术。

 

5、入侵检测系统的主要标准的名称

答：① IETF/IDWG 。 IDWG 提出了三项建议草案：入侵检测消息交换格式（ IDMEF ）、入侵检测交换协议（ IDXP ）及隧道轮廓（ Tunnel Profile ）；

② CIDF 。 CIDF 的工作集中体现在四个方面： IDS 的体系结构、通信机制、描述语言和应用编程接口 API 。

 

二、领会

1、入侵检测系统的分析模型P.152

答：分析是入侵检测的核心功能。入侵检测分析处理过程可分为三个阶段：

①第一阶段主要进行分析引擎的构造，分析引擎是执行预处理、分类和后处理的核心功能；

②第二阶段，入侵分析主要进行现场实际事件流的分析，在这个阶段分析器通过分析现场的实际数据，识别出入侵及其他重要的活动；

③第三阶段，与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规划集提炼等功能。误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新，与此同时，一些误用检测引擎还对系统进行优化工作，如定期删除无用记录等。对于异常检测，历史统计特征轮廓的定时更新是反馈和提炼阶段的主要工作。

 

2、误用检测和异常检测的基本原理P.153～156

 

3、CIDF体系结构组成P.169

答： CIDF 指公共入侵检测框架。 CIDF 在 IDES 和 NIDES 的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件，事件产生器、事件分析器、响应单元和事件数据库。

在该模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则是以文件或数据流的形式。 CIDF 将 IDS 需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。

以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是多个计算机上的多个进程，它们以 GIDO （统一入侵检测对象）格式进行数据交换。

 

第6章  网络安全检测技术

 

一、识记

1、安全威胁的概念P.181

答：安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。

 

2、安全漏洞的概念P.182

答：安全漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

 

3、端口扫描的基本原理P.184

答：端口扫描的原理是向目标主机的 TCP/IP 端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为 TCP 端口和 UDP 端口两大类，因此端口扫描技术也可以相应地分为 TCP 端口扫描技术和 UDP 端口扫描技术。

 

二、领会

1、网络安全漏洞威胁等级的划分方法P.181

 

 

2、网络安全漏洞的分类方法P.182

答：漏洞的分类方法主要有①按漏洞可能对系统造成的直接威胁分类；②按漏洞的成因分类两大类。

 

3、操作系统类型探测的主要方法P.185

答：由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的，因此操作系统类型信息是网络安全检测的一个重要内容。

操作系统探测技术主要包括：

①获取标识信息探测技术；

②基于 TCP/IP 协议栈的操作系统指纹探测技术；

③ ICMP 响应分析探测技术。

 

4、信息型漏洞探测和攻击型漏洞探测技术的原理P.186

答：（ 1 ）信息型漏洞探测原理：大部分的网络安全漏洞都与特定的目标状态直接相关，因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。该技术具有实现方便、对目标不产生破坏性影响的特点，广泛应用于各类网络安全漏洞扫描软件中。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。这主要是因为该技术在本质上是一种间接探测技术，探测过程中某些不确定因素的影响无法完全消除。

为提高漏洞探测的准确率和效率，引进如下两种改进措施：

顺序扫描技术，可以将收集到的漏洞和信息用于另一个扫描过程以进行更深层次的扫描――即以并行方式收集漏洞信息，然后在多个组件之间共享这些信息。

多重服务检测技术，即不按照 RFC 所指定的端口号来区分目标主机所运行的服务，而是按照服务本身的真实响应来识别服务类型。

（ 2 ）攻击型漏洞探测原理：模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。

模拟攻击技术也有其局限性，首先，模拟攻击行为难以做到面面俱到，因此就有可能存在一些漏洞无法探测到；其次，模拟攻击过程不可能做到完全没有破坏性，对目标系统不可避免地会带来一定的负面影响。

模拟攻击主要通过专用攻击脚本语言、通用程序设计语言和成形的攻击工具来进行。

 

附：按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为信息型漏洞探测和攻击型漏洞探测。 P.186

按照漏洞探测的技术特征，又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。 P.186