1．1防火墻概論

1、防火墻,一、 防火墻概論,一般說來，防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。,安裝防火墻以前的網(wǎng)絡(luò),安裝防火墻后的網(wǎng)絡(luò),,在邏輯上，防火墻既是一個分離器，一個限制器，它也是一個分析器，它有效地

2、監(jiān)控了內(nèi)部網(wǎng)和Internet之問的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。從具體實現(xiàn)上來看，防火墻是一個獨立的進程或一組緊密聯(lián)系的進程，運行于路由器或服務(wù)器上，控制經(jīng)過它們的網(wǎng)絡(luò)應(yīng)用服務(wù)及傳輸?shù)臄?shù)據(jù)。安全、管理、速度是防火墻的三大要素。,防火墻的優(yōu)點,防火墻是網(wǎng)絡(luò)安全的屏障控制對主機系統(tǒng)的訪問監(jiān)控和審計網(wǎng)絡(luò)訪問防止內(nèi)部信息的外泄部署NAT機制,防火墻的弱點,防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊 防火墻不能防范不經(jīng)由防火墻的攻擊 防火

3、墻不能防范感染了病毒的軟件或文件的傳輸 防火墻不能防范數(shù)據(jù)驅(qū)動式攻擊 防火墻不能防范利用標準網(wǎng)絡(luò)協(xié)議中的缺陷進行的攻擊 防火墻不能防范利用服務(wù)器系統(tǒng)漏洞進行的攻擊 防火墻不能防范新的網(wǎng)絡(luò)安全問題 防火墻限制了有用的網(wǎng)絡(luò)服務(wù),防火墻的后門,二、防火墻技術(shù),防火墻技術(shù)是一種綜合技術(shù)，主要包括：包過濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)和代理技術(shù)。,包過濾技術(shù),包過濾原理 包過濾是最早應(yīng)用到防火墻當中的技術(shù)之一。它針對網(wǎng)絡(luò)

4、數(shù)據(jù)包由信息頭和數(shù)據(jù)信息兩部分組成這一特點而設(shè)計。防火墻通過對信息頭的檢測就可以決定是否將數(shù)據(jù)包發(fā)往目的地址，從而達到對進入和流出網(wǎng)絡(luò)的數(shù)據(jù)進行監(jiān)測和限制的目的。,包過濾技術(shù),IP頭格式,TCP頭格式,包過濾技術(shù),包過濾模型 包過濾防火墻的核心是包檢查模塊。包檢查模塊深入到操作系統(tǒng)的核心，在操作系統(tǒng)或路由器轉(zhuǎn)發(fā)包之前攔截所有的數(shù)據(jù)包。當把包過濾防火墻安裝在網(wǎng)關(guān)上之后，包過濾檢查模塊深入到系統(tǒng)的傳輸層和網(wǎng)絡(luò)層之間，

5、即TCP層和IP層之間，在操作系統(tǒng)或路由器的TCP層對IP包處理以前對IP包進行處理。,包過濾技術(shù),,包過濾技術(shù),包過濾技術(shù) 數(shù)據(jù)包過濾功能的實現(xiàn)依賴于包過濾規(guī)則，有時人們也稱之為訪問控制列表(ACL，Access Control List)。只有滿足訪問控制列表的數(shù)據(jù)才被轉(zhuǎn)發(fā)，其余數(shù)據(jù)則被從數(shù)據(jù)流中刪除。為了保證所有流人和流出網(wǎng)絡(luò)的數(shù)據(jù)包都被監(jiān)控和檢測，包過濾器必須放置在網(wǎng)絡(luò)單點訪問點的位置。,包過濾技術(shù),1．

6、配置訪問控制列表(配置包過濾防火墻策略)從本質(zhì)上講，一個包過濾防火墻由一個臟端口、一個凈端口和一組訪問控制列表規(guī)則組成。 訪問控制列表通過控制在防火墻的接口上轉(zhuǎn)發(fā)還是阻斷數(shù)據(jù)包分組來過濾網(wǎng)絡(luò)數(shù)據(jù)流，防火墻檢查每一個數(shù)據(jù)分組，并根據(jù)訪問控制列表規(guī)則對數(shù)據(jù)分組進行操作,包過濾技術(shù),,包過濾策略實例,包過濾技術(shù),訪問控制列表的配置有兩種方式： 限制策略：接受受信任的IP包，拒絕其他所有IP包 寬松策略：拒絕不受信任的IP包，接受其

7、他所有IP包,包過濾技術(shù),2．動態(tài)訪問控制列表(動態(tài)包過濾技術(shù))當配置了動態(tài)訪問控制列表，可以實現(xiàn)指定用戶的IP數(shù)據(jù)流臨時通過防火墻時，進行會話連接。當動態(tài)訪問控制列表被觸發(fā)后，動態(tài)訪問控制列表重新配置接口上的已有的訪問控制列表，允許指定的用戶訪問指定的IP地址。在會話結(jié)束后，將接口配置恢復(fù)到原來的狀態(tài)。動態(tài)包過濾技術(shù)一般結(jié)合身份認證機制進行實現(xiàn)。,包過濾技術(shù),,動態(tài)訪問控制列表工作原理圖,包過濾技術(shù),第一步，用戶打開發(fā)起一個到防火

8、墻的Telnet會話，該防火墻已經(jīng)配置了動態(tài)訪問控制列表。第二步，防火墻接收到Telnet數(shù)據(jù)包分組后，打開Telnet會話，提示用戶輸入認證信息(例如，用戶名和口令)并對用戶身份進行驗證。只有用戶通過身份驗證后，用戶才能通過防火墻訪問內(nèi)部網(wǎng)絡(luò)，身份驗證也可由其他安全認證服務(wù)器來完成(例如，RADIUS服務(wù)器等)。第三步，通過身份認證后，用戶退出Telnet會話，防火墻訪問控制列表內(nèi)創(chuàng)建一個臨時條目。根據(jù)配置，該臨時條目可以限制用戶

9、臨時訪問的網(wǎng)絡(luò)范圍。第四步，用戶通過防火墻交換數(shù)據(jù)。第五步，超過預(yù)設(shè)定超時時間(Timeout)后，防火墻將刪除這個臨時訪問控制列表規(guī)則，系統(tǒng)管理員也可以手動刪除它。,包過濾技術(shù),3．狀態(tài)包檢查(SPI，Stateful Packet Inspection)技術(shù)狀態(tài)包檢查技術(shù)又稱為反射訪問控制列表技術(shù)。反射訪問控制列表能夠動態(tài)建立訪問控制列表條目，在這些臨時條目中不僅包含必要的包過濾信息，還包含了網(wǎng)絡(luò)會話的狀態(tài)信息。這些臨時條目在

10、新會話開始(如內(nèi)部主機向外部主機發(fā)起連接請求)時創(chuàng)建，并在會話結(jié)束時被刪除。,,,狀態(tài)檢測包過濾技術(shù)防火墻的工作邏輯流程圖,包過濾技術(shù),,狀態(tài)檢查訪問控制列表工作原理圖,包過濾技術(shù)優(yōu)缺點,包過濾技術(shù)的優(yōu)點：幫助保護整個網(wǎng)絡(luò)，減少暴露的風(fēng)險；對用戶完全透明，不需要對客戶端做任何改動，也不需要對用戶做任何培訓(xùn)；很多路由器可以作數(shù)據(jù)包過濾，因此不需要專門添加設(shè)備。在應(yīng)用中依然存在著以下問題 ： 訪問控制列表的配置和維護困難 包過濾

11、防火墻難以詳細了解主機之間的會話關(guān)系 基于網(wǎng)絡(luò)層和傳輸層實現(xiàn)的包過濾防火墻難以實現(xiàn)對應(yīng)用層服務(wù)的過濾,網(wǎng)絡(luò)地址翻譯技術(shù),NAT(Network Address Translation，網(wǎng)絡(luò)地址翻譯)的最初設(shè)計目的是用來增加私有組織的可用地址空間和解決將現(xiàn)有的私有TCP／IP網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)上的IP地址編號問題。,網(wǎng)絡(luò)地址翻譯技術(shù),私有IP地址只能作為內(nèi)部網(wǎng)絡(luò)號，不在互聯(lián)網(wǎng)主干網(wǎng)上使用。網(wǎng)絡(luò)地址翻譯技術(shù)通過地址映射保證了使用私有IP地址

12、的內(nèi)部主機或網(wǎng)絡(luò)能夠連接到公用網(wǎng)絡(luò)。NAT網(wǎng)關(guān)被安放在網(wǎng)絡(luò)末端區(qū)域(內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的邊界點上)，并且在源自內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)之前把數(shù)據(jù)包的源地址轉(zhuǎn)換為惟一的IP地址。,網(wǎng)絡(luò)地址翻譯技術(shù),靜態(tài)網(wǎng)絡(luò)地址翻譯技術(shù)NAT網(wǎng)關(guān)位于內(nèi)部和外部網(wǎng)絡(luò)接口卡之間，只有在內(nèi)部和外部網(wǎng)絡(luò)接口之間傳輸?shù)臄?shù)據(jù)包才進行轉(zhuǎn)換。如果網(wǎng)絡(luò)地址翻譯技術(shù)完全依賴于手工指定內(nèi)部局部地址和內(nèi)部全局地址之間映射關(guān)系來運行，我們稱之為靜態(tài)網(wǎng)絡(luò)地址翻譯技術(shù),,

13、,靜態(tài)網(wǎng)絡(luò)地址翻譯 地址轉(zhuǎn)換原理圖,第一步，在防火墻手工建立靜態(tài)NAT映射表。第二步，網(wǎng)絡(luò)內(nèi)部主機建立一條到外部主機的會話連接。如圖2—7所示，主機10．1．1．1發(fā)送數(shù)據(jù)包到主機B。第三步，防火墻從內(nèi)部網(wǎng)絡(luò)接收到一個數(shù)據(jù)包時檢查NAT映射表：如果已為該地址配置了靜態(tài)地址轉(zhuǎn)換，防火墻使用內(nèi)部全局地址，并轉(zhuǎn)發(fā)該數(shù)據(jù)包。如圖2—7所示，防火墻使用202．168．2．2來替換內(nèi)部局部地址10．1．1．1；否則，防火墻不對內(nèi)部地址進行任何轉(zhuǎn)

14、換，直接將數(shù)據(jù)包進行轉(zhuǎn)發(fā)或丟棄。第四步，外部主機收到數(shù)據(jù)包后進行應(yīng)答。如圖2—7所示，主機B將收到來自202．168．2．2的數(shù)據(jù)包(已經(jīng)經(jīng)過NAT轉(zhuǎn)換后)，并進行應(yīng)答。第五步，當防火墻接收到來自外部網(wǎng)絡(luò)的數(shù)據(jù)包時，防火墻檢查NAT映射表：如果NAT映射表中存在匹配項，則使用內(nèi)部局部地址替換數(shù)據(jù)包的目的IP地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)主機。如圖2—7所示，防火墻使用10．1．1．1替換202．168．2．2，并進行轉(zhuǎn)發(fā)；如果NAT

15、映射表中不存在匹配項，則拒絕數(shù)據(jù)包。對于每個數(shù)據(jù)包，防火墻都將執(zhí)行第二步到第五步的操作。,網(wǎng)絡(luò)地址翻譯技術(shù),動態(tài)網(wǎng)絡(luò)地址翻譯技術(shù) 如果NAT映射表由防火墻動態(tài)建立，對網(wǎng)絡(luò)管理員和用戶透明，我們稱之為動態(tài)網(wǎng)絡(luò)地址翻譯技術(shù)。 網(wǎng)絡(luò)地址翻譯技術(shù)允許將多個內(nèi)部IP地址映射成為一個外部IP地址。從本質(zhì)上講網(wǎng)絡(luò)地址映射并不是簡單的IP地址之間的映射，而是網(wǎng)絡(luò)套接字映射，網(wǎng)絡(luò)套接字由IP地址和端口號共同組成。當多個不同的內(nèi)部局部地址映射到同一

16、個內(nèi)部全局地址時，可以使用不同端口號來區(qū)分它們,網(wǎng)絡(luò)地址翻譯技術(shù),,動態(tài)網(wǎng)絡(luò)地址翻譯地址轉(zhuǎn)換原理圖,網(wǎng)絡(luò)地址翻譯技術(shù),第一步，網(wǎng)絡(luò)內(nèi)部主機建立到外部主機的會話連接。如圖2—8所示，主機10．1．1．1訪問外部主機B：64．21．7．3。第二步，防火墻接收到來自某內(nèi)部主機的數(shù)據(jù)包時檢查NAT映射表：如果還沒有為該內(nèi)部主機建立地址轉(zhuǎn)換映射項，防火墻會決定對該地址進行轉(zhuǎn)換。如圖所示，防火墻收到來自10．1．1．1的第一個數(shù)據(jù)包時，建立：10

17、．1．1．1：2492一一202．168．2．2：2492，并記錄會話狀態(tài)。 如果已經(jīng)有其他地址轉(zhuǎn)換映射存在，那么防火墻將使用該記錄進行地址轉(zhuǎn)換，并記錄會話狀態(tài)信息。第三步，防火墻進行地址轉(zhuǎn)換后轉(zhuǎn)發(fā)數(shù)據(jù)包。第四步，外部主機收到訪問信息，并進行應(yīng)答。第五步，當防火墻接收到來自外部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查NAT映射表查詢匹配項：如果NAT映射表中存在地址映射和會話狀態(tài)匹配的選項時，轉(zhuǎn)發(fā)數(shù)據(jù)包，如圖2—8所示；否則，拒絕數(shù)據(jù)包。對于

18、每個數(shù)據(jù)包，防火墻都將執(zhí)行第二步到第五步的操作。,網(wǎng)絡(luò)地址翻譯技術(shù),網(wǎng)絡(luò)地址翻譯技術(shù)實現(xiàn)負載均衡網(wǎng)絡(luò)地址翻譯技術(shù)不僅僅具有隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的作用，同時可以用于網(wǎng)絡(luò)負載均衡,網(wǎng)絡(luò)地址翻譯技術(shù),,網(wǎng)絡(luò)地址翻譯實現(xiàn)TCP負載均衡原理圖,第一步，外部內(nèi)部主機建立到內(nèi)部服務(wù)器的會話連接。如圖2—9所示，外部主機B建立到內(nèi)部網(wǎng)絡(luò)虛擬www服務(wù)器202．168．2．1：80的一個會話連接。 第二步，防火墻從主機10．1．1．1接收到這個連接

19、請求，為其建立一個新的地址轉(zhuǎn)換映射，為該內(nèi)部全局IP地址202．168．2．1分配一個真實內(nèi)部主機地址(例如，10．1．1．1)。 第三步，防火墻用所選的真實內(nèi)部主機地址替換原目的地址，并轉(zhuǎn)發(fā)該數(shù)據(jù)包。 第四步，內(nèi)部主機10．1．1．1接收到該數(shù)據(jù)包，并做出應(yīng)答。 第五步，防火墻接收到應(yīng)答數(shù)據(jù)包，用內(nèi)部局部地址及端口號和外部地址及端口號從NAT映射表中查找出對應(yīng)的內(nèi)部全局地址(虛擬主機地址)和端口號。然后將源地址

20、轉(zhuǎn)換成虛擬主機地址，并轉(zhuǎn)發(fā)該數(shù)據(jù)包。,網(wǎng)絡(luò)地址翻譯技術(shù),網(wǎng)絡(luò)地址翻譯技術(shù)本身依然存在一些問題難以解決： 一些應(yīng)用層協(xié)議的工作特點導(dǎo)致了它們無法使用網(wǎng)絡(luò)地址翻譯技術(shù) 靜態(tài)和動態(tài)網(wǎng)絡(luò)地址映射安全問題 對內(nèi)部主機的引誘和特洛伊木馬攻擊 狀態(tài)表超時問題,網(wǎng)絡(luò)代理技術(shù),網(wǎng)絡(luò)代理技術(shù)---應(yīng)用層代理包過濾技術(shù)在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)包的攔截、分析和過濾等應(yīng)用。代理(Proxy)技術(shù)針對每一個特定應(yīng)用進行實現(xiàn)，在應(yīng)用層實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流保護功能，代理的

21、主要特點是具有狀態(tài)性。代理能夠提供部分與傳輸有關(guān)的狀態(tài)，能完全提供與應(yīng)用相關(guān)的狀態(tài)部分傳輸信息，代理也能夠處理和管理信息。,網(wǎng)絡(luò)代理技術(shù),Telnet代理服務(wù),網(wǎng)絡(luò)代理技術(shù),應(yīng)用層代理服務(wù)器起到了內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時的中間轉(zhuǎn)接作用對外部網(wǎng)來說，外部網(wǎng)所見到的只是代理服務(wù)器，因為它收到的請求都是從代理服務(wù)器來的，對內(nèi)部網(wǎng)來說，客戶機所能直接訪問的只是代理服務(wù)器，它的請求首先是發(fā)給了代理服務(wù)器。,網(wǎng)絡(luò)代理技術(shù),外部網(wǎng)絡(luò)主機通過應(yīng)用

22、層代理訪問內(nèi)部網(wǎng)絡(luò)主機，內(nèi)部網(wǎng)絡(luò)主機只接受應(yīng)用層代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)節(jié)點的直接請求,網(wǎng)絡(luò)代理技術(shù),,INTERNET客戶通過應(yīng)用層代理訪問內(nèi)部網(wǎng)絡(luò)主機,網(wǎng)絡(luò)代理技術(shù),在具體應(yīng)用中，應(yīng)用層代理往往通過一臺雙宿主機或堡壘主機進行實現(xiàn)，應(yīng)用層代理允許用戶訪問，但是不應(yīng)該允許用戶注冊到應(yīng)用層代理主機上。 應(yīng)用層代理一般只向單個主機或一部分主機提供網(wǎng)絡(luò)服務(wù)，而不是向所有的主機提供此服務(wù) 針對不同服務(wù)的代理功能需要開發(fā)不同的代理服務(wù)

23、程序，對于一些服務(wù)可以容易或自動提供代理，對于這些服務(wù)可以通過對正常服務(wù)器的配置來設(shè)置代理。,應(yīng)用層代理技術(shù)的優(yōu)缺點分析 應(yīng)用層代理的主要優(yōu)點 應(yīng)用層代理有能力支持可靠的用戶認證并提供詳細的注冊信息；用于應(yīng)用層的過濾規(guī)則相對于包過濾路由器來說更容易配置和測試；應(yīng)用層代理工作在客戶機和真實服務(wù)器之間，可以完全控制網(wǎng)絡(luò)會話，所以可以提供很詳細的日志和安全審計功能；提供代理服務(wù)的防火墻可以被配置成惟一的可被外部看見的主機，這樣可以

24、隱藏內(nèi)部網(wǎng)的IP地址，可以保護內(nèi)部主機免受外部主機的進攻；通過代理訪問Internet可以解決合法的IP地址不夠用的問題，因為Internet所見到只是代理服務(wù)器的地址，內(nèi)部IP通過代理可以訪問Intenet。,網(wǎng)絡(luò)代理技術(shù),2．應(yīng)用層代理的缺點 有限的連接性 有限的技術(shù) 應(yīng)用層實現(xiàn)的防火墻會造成明顯的性能下降； 每個應(yīng)用程序都必須有一個代理服務(wù)程序來進行安全控制，每一種應(yīng)用升級時，相應(yīng)代理服務(wù)程序也要升級，維護相對復(fù)雜；

25、應(yīng)用層代理要求用戶改變自己的行為，或者在訪問代理服務(wù)的每個系統(tǒng)上安裝特殊的軟件。 應(yīng)用層代理對操作系統(tǒng)和應(yīng)用層的漏洞也是脆弱的，,網(wǎng)絡(luò)代理技術(shù),電路級代理 應(yīng)用層代理為一種特定的服務(wù)(如FTP，Telnet等)提供代理服務(wù)，它不但轉(zhuǎn)發(fā)流量而且對應(yīng)用層協(xié)議做出解釋。而電路級代理(通常也稱為電路級網(wǎng)關(guān))也是一種代理，但是只是建立起一個回路，對數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用。電路級網(wǎng)關(guān)依賴于TCP連接，并不進行任何附加的包處理或過濾。,網(wǎng)絡(luò)代理技

26、術(shù),在電路級網(wǎng)關(guān)中，數(shù)據(jù)包被提交給應(yīng)用層來處理。電路級網(wǎng)關(guān)只用來在兩個通信終點之間轉(zhuǎn)接數(shù)據(jù)包，只是將簡單的字節(jié)回來復(fù)制，由于連接似乎是起源于防火墻，其隱藏了受保護網(wǎng)絡(luò)的有關(guān)信息 電路級網(wǎng)關(guān)對外像一個代理，而對內(nèi)則是一個過濾路由器,網(wǎng)絡(luò)代理技術(shù),,電路級網(wǎng)關(guān)工作原理示意圖,網(wǎng)絡(luò)代理技術(shù),SOCKS代理技術(shù) SOCKS協(xié)議是一個電路級網(wǎng)關(guān)的標準，它在1991年是由Koblas等提出，IETF也建立了SOCKS標準。SOCKS協(xié)議可以通

27、過中繼TCP數(shù)據(jù)包實現(xiàn)功能強大的電路級網(wǎng)關(guān)防火墻，而對應(yīng)用層不需要作任何改變。,網(wǎng)絡(luò)代理技術(shù),,SOCKS服務(wù)器的工作原理圖,網(wǎng)絡(luò)代理技術(shù),SOCKS代理可以使那些運行在防火墻后面的主機能夠充分地訪問Internet，而無須內(nèi)部主機直接與外部主機建立連接；可以實現(xiàn)管理員明確地控制一個組織內(nèi)部如何與Intetnet通{信；可以實現(xiàn)在特定的主機上提供特定的服務(wù)；可以禁止對Intenet上的某些主機的訪問；可以實現(xiàn)詳細的日志記錄。,網(wǎng)絡(luò)代理技

28、術(shù),SOCKS代理主要由兩部分組成： SOCKS服務(wù)程序：這是一個可以直接同Intenet和內(nèi)部網(wǎng)絡(luò)通信的程序； SOCKS客戶程序：這是一個經(jīng)過修改的Internet客戶程序。它將使運行客戶程序的{主機同運行服務(wù)程序的主機通信，而不是直接與Intenet通信。,三、防火墻的基本結(jié)構(gòu),1、屏蔽路由器2、雙宿主機防火墻 3、屏蔽主機防火墻4、屏蔽子網(wǎng)防火墻5、其他的防火墻結(jié)構(gòu),屏蔽路由器,屏蔽路由器作為內(nèi)外連接的惟一通

29、道，要求所有的報文都必須在此通過檢查,雙宿主機防火墻,這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡分別與受保護網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等,屏蔽主機防火墻,屏蔽主機防火墻易于實現(xiàn)也很安全，因此應(yīng)用廣泛。,屏蔽子網(wǎng)防火墻,這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，

30、在子網(wǎng)內(nèi)構(gòu)成一個非軍事區(qū)(DMZ)。,其他的防火墻結(jié)構(gòu),一個堡壘主機和一個非軍事區(qū),,兩個堡壘主機和兩個非軍事區(qū),,兩個堡壘主機和一個非軍事區(qū),,典型的防火墻結(jié)構(gòu),練習(xí)題,1．包過濾防火墻適合應(yīng)用的場合有( )。A．機構(gòu)是集中化的管理 B．網(wǎng)絡(luò)主機數(shù)比較少C．機構(gòu)有強大的集中安全策略 D．使用了DHCP這樣的動態(tài)IP地址分配協(xié)議2．數(shù)據(jù)包不屬于包過濾一般需要檢查的部分是( )。A．IP源地址和目的地址

31、 B．源端口和目的端口C．協(xié)議類型 D．TCP序列號3．包過濾的優(yōu)點不包括( )。A．處理包的數(shù)據(jù)比代理服務(wù)器快 B．不需要額外費用C．對用戶是透明的 D．包過濾防火墻易于維護,4．關(guān)于狀態(tài)檢查技術(shù)，說法錯誤的是( )。A．跟蹤流經(jīng)防火墻的所有通信信息B．采用一個“監(jiān)測模塊”執(zhí)行網(wǎng)絡(luò)安全策略C．對通信連接的狀態(tài)進行跟蹤與分析D．狀態(tài)檢查防火墻工作在協(xié)議的最底層，所以不能有效地監(jiān)測應(yīng)用層的數(shù)據(jù)

32、5．狀態(tài)檢查防火墻的優(yōu)點不包括( )。A．高安全性 B．高效性C．可伸縮性和易擴展性 D．易配置性6．關(guān)于網(wǎng)絡(luò)地址翻譯技術(shù)的說法，錯誤的是( )。A．只能進行一對一的網(wǎng)絡(luò)地址翻譯B．解決IP地址空間不足問題C．向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu) D．有多種地址翻譯模式,7．網(wǎng)絡(luò)地址翻譯的模式不包括( )。A．靜態(tài)翻譯 B．動態(tài)翻譯C．負載平衡翻譯 D．隨機地址翻譯8．關(guān)于代理技術(shù)的說法，

33、錯誤的是( )。A．代理技術(shù)又稱為應(yīng)用層網(wǎng)關(guān)技術(shù)B．代理技術(shù)針對每一個特定應(yīng)用都有一個程序C．代理是企圖在網(wǎng)絡(luò)層實現(xiàn)防火墻的功能D．代理也能處理和管理信息9．關(guān)于代理技術(shù)的特點的說法，錯誤的是( )。A．速度比包過濾防火墻要快得多B．對每一類應(yīng)用，都需要一個專門的代理C．靈活性不夠D．代理能理解應(yīng)用協(xié)議，可以實施更細粒度的訪問控制10．關(guān)于代理技術(shù)優(yōu)點的說法，錯誤的是( )。A．易于配置，界面友好