網絡安全技術及應用 第5版 習題及答案 賈鐵軍 習題集 第9章

第9章防火墻應用單選題（1）拒絕服務攻擊的一個基本思想是（）A．不斷發(fā)送垃圾郵件工作站B．迫使服務器的緩沖區(qū)滿C．工作站和服務器停止工作D．服務器停止工作（2）TCP采用三次握手形式建立連接，在（）時候開始發(fā)送數據。A．第一步 B．第二步 C．第三步之后 D．第三步（3）駐留在多個網絡設備上的程序在短時間內產生大量的請求信息沖擊某web服務器，導致該服務器不堪重負，無法正常相應其他合法用戶的請求，這屬于（）A．上網沖浪B中間人攻擊C．DDoS攻擊 D．MAC攻擊（4）關于防火墻，以下()說法是錯誤的。A.防火墻能隱藏內部IP地址B.防火墻能控制進出內網的信息流向和信息包C.防火墻能提供VPN功能D.防火墻能阻止來自內部的威脅 （5）以下說法正確的是（）A.防火墻能夠抵御一切網絡攻擊B.防火墻是一種主動安全策略執(zhí)行設備C.防火墻本身不需要提供防護D.防火墻如果配置不當，會導致更大的安全風險 解答：BCCDD填空題防火墻隔離了內部、外部網絡，是內、外部網絡通信的途徑，能夠根據制定的訪問規(guī)則對流經它的信息進行監(jiān)控和審查，從而保護內部網絡不受外界的非法訪問和攻擊。唯一防火墻是一種設備，即對于新的未知攻擊或者策略配置有誤，防火墻就無能為力了。被動安全策略執(zhí)行從防火墻的軟、硬件形式來分的話，防火墻可以分為防火墻和硬件防火墻以及防火墻。軟件、芯片級包過濾型防火墻工作在OSI網絡參考模型的和。網絡層、傳輸層第一代應用網關型防火墻的核心技術是。代理服務器技術單一主機防火墻獨立于其它網絡設備，它位于。網絡邊界組織的雇員，可以是要到外圍區(qū)域或Internet的內部用戶、外部用戶（如分支辦事處工作人員）、遠程用戶或在家中辦公的用戶等，被稱為內部防火墻的。完全信任用戶是位于外圍網絡中的服務器，向內部和外部用戶提供服務。堡壘主機利用TCP協議的設計上的缺陷，通過特定方式發(fā)送大量的TCP請求從而導致受攻擊方CPU超負荷或內存不足的一種攻擊方式。SYNFlood針對SYNFlood攻擊，防火墻通常有三種防護方式：、被動式SYN網關和。SYN網關、SYN中繼解答：唯一被動安全策略執(zhí)行軟件、芯片級網絡層、傳輸層代理服務器技術網絡邊界完全信任用戶堡壘主機SYNFloodSYN網關、SYN中繼簡答題防火墻是什么？ 防火墻是一種位于兩個（或多個）網絡之間，通過執(zhí)行訪問控制策略來保護網絡安全的設備。它隔離了內部、外部網絡，是內、外部網絡通信的唯一途徑，能夠根據制定的訪問規(guī)則對流經它的信息進行監(jiān)控和審查，從而保護內部網絡不受外界的非法訪問和攻擊。簡述防火墻的分類及主要技術1以防火墻的軟硬件形式分類可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。（1）軟件防火墻需要客戶預先安裝好的計算機操作系統的支持，俗稱個“人防火墻”。（2）硬件防火墻一般至少應具備三個端口，分別接內網，外網和DMZ區(qū)。（3）芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。2按照防火墻的技術分類可以分為包過濾型和應用代理型兩大類。包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層，它根據數據包頭源地址，目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發(fā)到相應的目的地，其余數據包則被從數據流中丟棄。在整個防火墻技術的發(fā)展過程中，包過濾技術出現了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。1）第一代，靜態(tài)包過濾類型防火墻這類防火墻幾乎是與路由器同時產生的，它是根據定義好的過濾規(guī)則審查每個數據包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。2）第二代，動態(tài)包過濾類型防火墻這類防火墻采用動態(tài)設置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術后來發(fā)展成為包狀態(tài)監(jiān)測(StatefulInspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態(tài)地在過濾規(guī)則中增加或更新條目。應用代理(ApplicationProxy)型應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。在代理型防火墻技術的發(fā)展過程中，它也經歷了兩個不同的版本，即：第一代應用網關型代理防火和第二代自適應代理防火墻。1）第一代應用網關(ApplicationGateway)型防火墻這類防火墻是通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發(fā)出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。 2）第二代自適應代理(Adaptiveproxy)型防火墻它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應代理服務器(AdaptiveProxyServer)與動態(tài)包過濾器(DynamicPacketfilter)。3以防火墻體系結構分類主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（1）單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。（2）路由器集成式防火墻是將防火墻功能集成在中、高檔路由器中，大大降低了網絡設備購買成本。（3）分布式防火墻不是只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。4以防火墻在性能等級上的分類如果按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。正確配置防火墻以后，是否能夠必然保證網絡安全？如果不是，試簡述防火墻的缺點。（1）不能防范不經由防火墻的攻擊。（2）防火墻是一種被動安全策略執(zhí)行設備，即對于新的未知攻擊或者策略配置有誤，防火墻就無能為力了。（3）防火墻不能防止利用標準網絡協議中的缺陷進行的攻擊。一旦防火墻允許某些標準網絡協議，就不能防止利用協議缺陷的攻擊。（4）防火墻不能防止利用服務器系統漏洞進行的攻擊。（5）防火墻不能防止數據驅動式的攻擊。（6）防火墻無法保證準許服務的安全性。（7）防火墻不能防止本身的安全漏洞威脅。（8）防火墻不能防止感染了病毒的軟件或文件的傳輸。此外，防火墻在性能上不具備實時監(jiān)控入侵的能力，其功能與速度成反比。防火墻的功能越多，對CPU和內存的消耗越大，速度越慢。管理上，人為因素對防火墻安全的影響也很大。因此，僅僅依靠現有的防火墻技術，是遠遠不夠的。防火墻的基本結構是怎樣的？如何起到“防火墻”的作用？主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。 （1）單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。 （2）路由器集成式防火墻是將防火墻功能集成在中、高檔路由器中，大大降低了網絡設備購買成本。 （3）分布式防火墻不是只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。SYNFlood攻擊的原理是什么？SYNFlood攻擊所利用的是TCP協議存在的漏洞。TCP協議是面向連接的，在每次發(fā)送數據以前，都會在服務器與客戶端之間先虛擬出一條路線，稱TCP連接，以后的各數據通信都經由該路線進行，直到本次TCP連接結束。而UDP協議則是無連接的協議，基于UDP協議的通信，各數據報并不經由相同的路線。在整個TCP連接中需要經過三次協商，俗稱“三次握手”來完成第一次：客戶端發(fā)送一個帶有SYN標記的TCP報文到服務端，正式開始TCP連接請求。在發(fā)送的報文中指定了自己所用的端口號以及TCP連接初始序號等信息。第二次：服務器端在接收到來自客戶端的請求之后，返回一個帶有SYN+ACK標記的報文，表示接受連接，并將TCP序號加l。第三次：客戶端接收到來自服務器端的確認信息后，也返回一個帶有ACK標記的報文，表示已經接收到來自服務器端的確認信息。服務器端在得到該數據報文后，一個TCP連接才算真正建立起來。在以上三次握手中，當客戶端發(fā)送一個TCP連接請求給服務器端，服務器也發(fā)出了相應的響應數據報文之后，可能由于某些原因（如客戶端突然死機或斷網等原因），客戶端不能接收到來自服務器端的確認數據報，這就造成了以上三次連接中的第一次和第二次握手的TCP半連接。由于服務器端發(fā)出了帶SYN+ACK標記的報文，卻并沒有得到客戶端返回相應的ACK報文，于是服務器就進入等待狀態(tài)，并定期反復進行SYN+ACK報文重發(fā)，直到客戶端確認收到為止。這樣服務器端就會一直處于等待狀態(tài)，使得CPU及其他資源嚴重消耗，不僅服務器可能崩潰，而且網絡也可能處于癱瘓。SYNFlood攻擊正是利用了TCP連接的這樣一個漏洞來實現攻擊目的的。當惡意的客戶端構造出大量的這種TCP半連接發(fā)送到服務器端時，服務器端就會一直陷入等待的過程中，并且耗用大量的CPU資源和內存資源來進行SYN+ACK報文的重發(fā)，最終使得服務器端崩潰。防火墻如何阻止SYNFlood攻擊？1）兩種主要類型防火墻（包過濾型和應用代理型防火墻）的防御SYNFlood攻擊原理應用代理型防火墻的防御方法是客戶端要與服務器建立TCP連接的三次握手過程中，充當代理角色，這樣客戶端要與服務器端建立一個TCP連接，就必須先與防火墻進行三次TCP握手，當客戶端和防火墻三次握手成功之后，再由防火墻與客戶端進行三次TCP握手，完成后再進行一個TCP連接的三次握手。防火墻相當于起到一種隔離保護作用，安全性較高。當外界對內部網絡中的服務器端進行SYNFlood攻擊時，實際上遭受攻擊的不是服務器而是防火墻。而防火墻自身則又是具有抗攻擊能力的，可以通過規(guī)則設置，拒絕外界客戶端不斷發(fā)送的SYN+ACK報文。包過濾型防火墻工作于IP層或者IP層之下，對于外來的數據報文，它只是起一個過濾的作用。當數據包合法時，它就直接將其轉發(fā)給