网络安全第9章课后题 防火墙应用技术

1.选择题

（1）拒绝服务攻击的一个基本思想是（    ）

A．不断发送垃圾邮件工作站

B．迫使服务器的缓冲区满

C．工作站和服务器停止工作

D．服务器停止工作

（2）TCP采用三次握手形式建立连接，在（   ）时候开始发送数据。

A．第一步    B．第二步    C．第三步之后           D．第三步

（3）驻留在多个网络设备上的程序在短时间内产生大量的请求信息冲击某web服务器，导致该服务器不堪重负，无法正常相应其他合法用户的请求，这属于（   ）

A．上网冲浪 B中间人攻击C．DDoS攻击          D．MAC攻击

（4）关于防火墙，以下(     )说法是错误的。

A.防火墙能隐藏内部IP地址

B.防火墙能控制进出内网的信息流向和信息包

C.防火墙能提供VPN功能

D.防火墙能阻止来自内部的威胁                

（5）以下说法正确的是（   ）

A.防火墙能够抵御一切网络攻击

B.防火墙是一种主动安全策略执行设备

C.防火墙本身不需要提供防护

D.防火墙如果配置不当，会导致更大的安全风险      

解答： B C C D D

2.填空题

1.防火墙隔离了内部、外部网络，是内、外部网络通信的        途径，能够根据制定的访问规则对流经它的信息进行监控和审查，从而保护内部网络不受外界的非法访问和攻击。

唯一

2.防火墙是一种             设备，即对于新的未知攻击或者策略配置有误，防火墙就无能为力了。

被动安全策略执行

3.从防火墙的软、硬件形式来分的话，防火墙可以分为       防火墙和硬件防火墙以及      防火墙。

软件、芯片级

4.包过滤型防火墙工作在OSI网络参考模型的      和       。

网络层、传输层

5.第一代应用网关型防火墙的核心技术是             。

代理服务器技术

6.单一主机防火墙独立于其它网络设备，它位于             。

网络边界

7.组织的雇员，可以是要到外围区域或 Internet 的内部用户、外部用户（如分支办事处工作人员）、远程用户或在家中办公的用户等，被称为内部防火墙的               。

完全信任用户

8.            是位于外围网络中的服务器，向内部和外部用户提供服务。

堡垒主机

9.            利用TCP协议的设计上的缺陷，通过特定方式发送大量的TCP请求从而导致受攻击方CPU超负荷或内存不足的一种攻击方式。

SYN Flood

10.针对SYN Flood攻击，防火墙通常有三种防护方式：         、被动式SYN网关和          。

SYN网关、SYN中继

解答：

1. 唯一
2. 被动安全策略执行
3. 软件、芯片级
4. 网络层、传输层
5. 代理服务器技术
6. 网络边界
7. 完全信任用户
8. 堡垒主机
9. SYN Flood
10. SYN网关、SYN中继

3.简答题

1.防火墙是什么？

防火墙是一种位于两个（或多个）网络之间，通过执行访问控制策略来保护网络安全的设备。它隔离了内部、外部网络，是内、外部网络通信的唯一途径，能够根据制定的访问规则对流经它的信息进行监控和审查，从而保护内部网络不受外界的非法访问和攻击。

2.简述防火墙的分类及主要技术

以防火墙的软硬件形式分类可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

（1）软件防火墙需要客户预先安装好的计算机操作系统的支持，俗称个“人防火墙”。

（2）硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区。

（3）芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。

3.按照防火墙的技术分类

 可以分为包过滤型和应用代理型两大类。

包过滤型防火墙

工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。

在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。

1）第一代，静态包过滤类型防火墙

这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。

2）第二代，动态包过滤类型防火墙

这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。

应用代理(Application Proxy)型

应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火和第二代自适应代理防火墙。

1）第一代应用网关(Application Gateway)型防火墙

这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。

2）第二代自适应代理(Adaptive proxy)型防火墙

它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。

4.以防火墙体系结构分类

主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

（1）单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。

（2）路由器集成式防火墙是将防火墙功能集成在中、高档路由器中，大大降低了网络设备购买成本。

（3）分布式防火墙不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。

5.以防火墙在性能等级上的分类

如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。

正确配置防火墙以后，是否能够必然保证网络安全？如果不是，试简述防火墙的缺点。

（1）不能防范不经由防火墙的攻击。

（2）防火墙是一种被动安全策略执行设备，即对于新的未知攻击或者策略配置有误，防火墙就无能为力了。

（3）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙允许某些标准网络协议，就不能防止利用协议缺陷的攻击。

（4）防火墙不能防止利用服务器系统漏洞进行的攻击。

（5）防火墙不能防止数据驱动式的攻击。

（6）防火墙无法保证准许服务的安全性。

（7）防火墙不能防止本身的安全漏洞威胁。

（8）防火墙不能防止感染了病毒的软件或文件的传输。

此外，防火墙在性能上不具备实时监控入侵的能力，其功能与速度成反比。防火墙的功能越多，对CPU和内存的消耗越大，速度越慢。管理上，人为因素对防火墙安全的影响也很大。因此，仅仅依靠现有的防火墙技术，是远远不够的。

6.防火墙的基本结构是怎样的？如何起到“防火墙”的作用？

主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

（1）单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。

（2）路由器集成式防火墙是将防火墙功能集成在中、高档路由器中，大大降低了网络设备购买成本。

（3）分布式防火墙不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。

7.SYN Flood攻击的原理是什么？

SYN Flood攻击所利用的是TCP协议存在的漏洞。TCP协议是面向连接的，在每次发送数据以前，都会在服务器与客户端之间先虚拟出一条路线，称TCP连接，以后的各数据通信都经由该路线进行，直到本次TCP连接结束。而UDP协议则是无连接的协议，基于UDP协议的通信，各数据报并不经由相同的路线。在整个TCP连接中需要经过三次协商，俗称“三次握手”来完成

     第一次：客户端发送一个带有SYN标记的TCP报文到服务端，正式开始TCP连接请求。在发送的报文中指定了自己所用的端口号以及TCP连接初始序号等信息。

     第二次：服务器端在接收到来自客户端的请求之后，返回一个带有SYN+ACK标记的报文，表示接受连接，并将TCP序号加l。

     第三次：客户端接收到来自服务器端的确认信息后，也返回一个带有ACK标记的报文，表示已经接收到来自服务器端的确认信息。服务器端在得到该数据报文后，一个TCP连接才算真正建立起来。

     在以上三次握手中，当客户端发送一个TCP连接请求给服务器端，服务器也发出了相应的响应数据报文之后，可能由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器端的确认数据报，这就造成了以上三次连接中的第一次和第二次握手的TCP半连接。由于服务器端发出了带SYN+ACK标记的报文，却并没有得到客户端返回相应的ACK报文，于是服务器就进入等待状态，并定期反复进行SYN+ACK报文重发，直到客户端确认收到为止。这样服务器端就会一直处于等待状态，使得CPU及其他资源严重消耗，不仅服务器可能崩溃，而且网络也可能处于瘫痪。

     SYN Flood攻击正是利用了TCP连接的这样一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时，服务器端就会一直陷入等待的过程中，并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发，最终使得服务器端崩溃。

8.防火墙如何阻止SYN Flood攻击？

1）两种主要类型防火墙（包过滤型和应用代理型防火墙）的防御SYN Flood攻击原理

应用代理型防火墙的防御方法是客户端要与服务器建立TCP连接的三次握手过程中，充当代理角色，这样客户端要与服务器端建立一个TCP连接，就必须先与防火墙进行三次TCP握手，当客户端和防火墙三次握手成功之后，再由防火墙与客户端进行三次TCP握手，完成后再进行一个TCP连接的三次握手。防火墙相当于起到一种隔离保护作用，安全性较高。当外界对内部网络中的服务器端进行SYN Flood攻击时，实际上遭受攻击的不是服务器而是防火墙。而防火墙自身则又是具有抗攻击能力的，可以通过规则设置，拒绝外界客户端不断发送的SYN+ACK报文。

包过滤型防火墙工作于IP层或者IP层之下，对于外来的数据报文，它只是起一个过滤的作用。当数据包合法时，它就直接将其转发给服务器，起到的是转发作用。

在包过滤型防火墙中，客户端同服务器的三次握手直接进行，并不需要通过防火墙来代理进行。这种防火墙适合于大流量的服务器，但是需要设置妥当才能保证服务器具有较高的安全性和稳定性。

2）防火墙防御SYN Flood攻击特殊设置

除了可以直接采用以上两种不同类型的防火墙进行SYN Flood防御外，还可进行一些特殊的防火墙设置来达到目的。针对SYN Flood攻击，防火墙通常有三种防护方式：SYN网关、被动式SYN网关和SYN中继。