第8章 防火墙技术

计算机网络信息安全工程师技术水平证书考试大纲一、课程性质、目的和要求计算机网络信息安全工程师技术水平证书考试是一种实践性很强的教育考试，对于考生的基本要求是具有扎实的理论基础和较强的实践能力，达到计算机网络信息安全工程师的水平。

二、考核方式和考核目标1．考试形式：纸卷2．考试分值比例：计算机网络信息安全工程师技术水平证书试卷由理论考试和实践考试两部分组成。

试卷总分值为100分，其中理论题占50分，实践题占50分。

3．考试时间：150分钟。

4．考核目标：要求考生掌握网络信息安全基础理论、网络安全技术与标准、网络安全管理实践及网络信息安全的相关知识。

三、考核知识点《计算机网络信息安全理论与实践教程》第一篇网络信息安全基础理论第1章网络信息安全概论第2章网络攻击原理与常用方法第3章网络安全体系第4章网络安全密码学基本理论第二篇网络安全技术与标准第5章物理与环境安全技术第6章认证技术的原理与应用第7章访问控制技术的原理与应用第8章防火墙技术的原理与应用第9章VPN技术的原理与应用第10章漏洞扫描技术的原理与应用第11章入侵检测技术的原理与应用第12章恶意代码防范技术的原理第13章网络物理隔离技术的原理与应用第14章网络安全新技术第15章网络安全技术相关标准第三篇网络安全管理实践第16章网络安全风险评估技术的原理与应用第17章Windows系统安全第18章UNIX/Linux操作系统安全第19章网络路由设备安全第20章应急响应技术的原理与灾害恢复计算机网络公共部分《计算机网络原理与操作系统》第一部分计算机网络原理第1章计算机网络概述1.1 计算机网络的形成及发展1.2 计算机网络的基本概念1.3 计算机网络的组成与拓扑结构1.4 计算机网络体系结构1.5 计算机网络的功能与应用第2章物理层2.1 数据通信基础2.2 数据交换技术2.3 传输介质2.4 物理层接口与协议第3章数据链路层3.1 数据链路层基础3.2 帧同步功能3.3 差错控制3.4 流量控制3.5 数据链路层协议3.6 协议描述与验证3.7 链路通信规程举例第4章网络层4.1 通信子网的操作方式和网络层提供的服务4.2 路由选择4.3 拥塞控制4.4 网络互连4.5 TCP/IP模型互联层协议第5章传输层5.1 传输服务5.2 TCP/IP体系的传输层5.3 用户数据包协议UDP5.4 传输控制协议TCP第6章会话层及其高层6.1 会话层6.2 表示层6.3 应用层第二部分网络操作系统第11章网络操作系统概述11.1 系统概述11.2 操作系统的形成和发展11.3 操作系统的基本概念第12章网络操作系统的基本功能12.1 进程管理12.2 设备管理12.3 存储管理12.4 文件系统第13章网络操作系统的服务13.1 共享资源的管理13.2 网络资源的访问控制13.3 网络操作系统的安全保护13.4 网络通信应用编程接口第14章Windows Server 2003网络操作系统14.1 Windows Server 2003操作系统简介14.2 Windows Server 2003的体系结构14.3 Windows Server 2003的内存管理14.4 Windows Server 2003的存储和文件系统服务14.5 Windows Server 2003的活动目录第15章Linux网络操作系统15.1 Linux操作系统简介15.2 Linux体系结构15.3 Linux的内存管理15.4 Linux的进程管理15.5 Linux中的文件系统五、题型及样题一、单选题互联网上的服务都是基于一种协议,WWW服务基于( )协议?A.SMIPB.HTTPC.SNMPD.TELNET二、简答题一般来讲，中国机构可以注册哪两种类型的域名？可以通过哪几种方式填写注册申请表？三、综合应用题利用ADSL数据通信网接入Internet是比较普遍的一种方式。

第8章1判断题1-1 目前防火墙技术仅应用在防火墙产品中。

（×）1-2 一般来说，防火墙在OSI参考模型中的位置越高，所需要检查的内容就越多，同时CPU 和RAM的要求也就越高。

（√）1-3 防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个基本准则，其中前者的安全性要比后者高。

（√）1-4 采用防火墙的网络一定是安全的。

（×）1-5 包过滤防火墙一般工作在OSI参考模型的网络层与传输层，主要对IP分组和TCP/UDP 端口进行检测和过滤操作。

（√）1-6 当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小。

（×）1-7 在传统的包过滤、代理和状态检测3类防火墙中，只能状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏。

（√）1-8 分布式防火墙由于采用了计算机网络的分布式通信特点，所以在实施时只能采用纯软件方式。

（×）1-9 有些个人防火墙是是一款独立的软件，而有些个人防火墙则整合在防病毒软件中使用。

（√）2 填空题2-1 防火墙将网络分割为两部分，即将网络分成两个不同的安全域。

对于接入Internet的局域网，其中局域网属于可信赖的安全域，而Internet属于不可信赖的非安全域。

2-2 为了使管理人员便于对防火墙的工作状态进行了解，一般防火墙都需要提供完善的日志功能。

2-3 防火墙一般分为路由模式和透明模式两类。

当用防火墙连接同一网段的不同设备时，可采用透明模式防火墙；而用防火墙连接两个完全不同的网络时，则需要使用路由模式防火墙。

2-4 状态检测防火墙是在传统包过滤防火墙的基础上发展而来的，所以将传统的包过滤防火墙称为静态包过滤防火墙，而将状态检测防火墙称为动态包过滤防火墙。

3 选择题3-1 以下设备和系统中，不可能集成防火墙功能的是（ A ）A.集线器B. 交换机C. 路由器D. Windows Server 2003操作系统3-2 对“防火墙本身是免疫的”这句话的正确理解是（B ）A. 防火墙本身是不会死机的B. 防火墙本身具有抗攻击能力C. 防火墙本身具有对计算机病毒的免疫力D. 防火墙本身具有清除计算机病毒的能力3-3 在以下各项功能中，不可能集成在防火墙上的是（D ）A. 网络地址转换（NAT）B. 虚拟专用网（VPN）C. 入侵检测和入侵防御D. 过滤内部网络中设备的MAC地址3-4 当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时，该服务器一般要置于防火墙的（C ）A. 内部B. 外部C. DMZ区D. 都可以3-5 以下关于状态检测防火墙的描述，不正确的是（D ）A. 所检查的数据包称为状态包，多个数据包之间存在一些关联B. 能够自动打开和关闭防火墙上的通信端口C. 其状态检测表由规则表和连接状态表两部分组成D. 在每一次操作中，必须首先检测规则表，然后再检测连接状态表3-6 以下关于传统防火墙的描述，不正确的是（ A ）A. 即可防内，也可防外B. 存在结构限制，无法适应当前有线和无线并存的需要C. 工作效率较低，如果硬件配置较低或参数配置不当，防火墙将成形成网络瓶颈D. 容易出现单点故障3-7 在分布式防火墙系统组成中不包括（ D ）A. 网络防火墙B. 主机防火墙C. 中心管理服务器D. 传统防火墙3-8 下面对于个人防火墙的描述，不正确的是（ C ）A. 个人防火墙是为防护接入互联网的单机操作系统而出现的B. 个人防火墙的功能与企业级防火墙类似，而配置和管理相对简单C. 所有的单机杀病毒软件都具有个人防火墙的功能D. 为了满足非专业用户的使用，个人防火墙的配置方法相对简单3-9 下面对于个人防火墙未来的发展方向，描述不准确的是（ D ）A. 与xDSL Modem、无线AP等网络设备集成B. 与防病毒软件集成，并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成。

1、描述五种基本安全技术的方法和作用.（第一章）P14答：1).防火墙技术：内部网络（可信赖的网络)和外部网络（不可信赖的网络)之间的屏障，按照安全规则来控制数据包的进出。

工作方式：过滤器：检查数据包的来源和目的地；数据包内容扫描:根据规定接收或拒绝数据包；数据包模式检查：是否符合已知“友好”数据包的位模式。

2）．加密技术：信息的重新组合，使得只有收发双方才能解码并还原信息的一种手段。

目前,加密正逐步被集成到系统和网络中，如IETF正在发展的下一代网际协议IPv6.硬件方面，Intel公司也在研制用于PC机和服务器主板的加密协处理器。

3）.身份认证技术：防火墙是系统的第一道防线，用以防止非法数据的侵入，而安全检查的作用则是阻止非法用户.认证方式：密码、人体生理特征(如指纹）的识别、智能IC卡或USB盘4）.数字签名技术：证明消息确实是由发送者签发的；验证数据或程序的完整性5）。

内容检查技术：反病毒软件可以清除E—mail病毒；完善防火墙可以对付新型Java和ActiveX病毒2、描述替代密码和置换密码所使用的加密方法。

（第二章）P20替代密码：明文中的每一个字符被替换为另外一个字符得到密文;逆替换恢复明文置换密码：重排明文的字母顺序得到密文；逆重排恢复明文3、描述D-H算法的过程与作用。

(第四章）P57用于密钥分配，其安全性基于计算离散对数的困难性。

DH算法过程：1）、相互产生密钥对2）、交换公钥3）、用对方的公钥和自己的私钥运行DH算法得到一个密钥X4）、A产生一个对称加密密钥加密数据，同时用密钥X加密这个对称的加密密钥并发送给B5）、B用密钥X解密对称的加密密钥,得到对称的加密密钥6）、B用这个对称的加密密钥来解密A的数据4、描述PGP系统的过程与作用.（第四章)PGP(Pretty Good Privacy）：基于RSA与IDEA的开源的加密邮件软件发送方•生成新的IDEA密钥k(对称)•用对方RSA公钥加密k，用k加密邮件信息m，一起发送接收方•用本方RSA私钥解密得到k•用k解密邮件信息5、描述同步洪水攻击（SYN FLOOD）的目的、所利用的协议机制和攻击方法。

计算机信息安全技术计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。

学科组成密码应用技术：主要用于保障计算机信息的机密性、完整性和抗御外部入侵等。

信息安全技术：主要用于防止系统漏洞、防止外部黑客入侵、防御病毒破坏和对可疑访问进行有效控制等。

数据灾难与数据恢复技术：一旦计算机发生意外、灾难等，可使用备份还原及数据恢复技术将丢失的数据找回。

国际领的数据恢复技术研发机构效率源就曾针对地震灾害、洪涝灾害等特殊数据恢复难题推出过相应的灾难数据恢复解决方案。

操作系统维护技术：操作系统作为一切操作的平台，在进行相应的计算机信息安全处理前必须对操作平台有一个系统全面的了解。

编辑本段培养目标培养掌握系统与网络安全的基本理论与病毒防范、黑客攻击手段分析与防范技术，能熟练应用信息安全产品，熟悉信息安全管理规范，具有开发、维护和管理信息安全系统能力的高等技术应用性人才。

编辑本段主要课程第1章计算机信息安全概述1.1威胁计算机信息安全的因素1.2计算机信息安全研究的内容1.2.1计算机外部安全1.2.2计算机内部安全1.2.3计算机网络安全1.30SI信息安全体系1.3.1安全服务1.5.2容错设计1.5.3故障恢复策略习题1第2章密码与隐藏技术2.1密码技术概述2.2古典加密方法2.2.1代替密码2.2.2换位密码2.2.3对称加密体制2.3数据加密标准DES 2.3.1DES算法描述 2.3.2DES 算法加密过程 2.3.3DES算法解密过程2.3.4三重DES算法 2.4高级加密标准AES 2.4.1AES算法数学基础 2.4.2AES算法概述2.4.3AES算法加密过程 2.4.4AES算法解密过程 2.4.5AES算法安全性 2.5公开密钥体制2.6RSA算法2.6.1RSA算法数学基础2.6.2RSA 算法基础2.6.3RSA算法过程2.6.4RSA算法安全性2.10.2数字水印主要特性2.10.3数字水印分类2.10.4典型数字水印算法2.10.5数字水印应用2.10.6数字水印攻击习题2第3章数字签名与认证3.1数字签名概述3.1.1数字签名原理3.1.2数字签名标准DSS3.1.3PGP电子邮件加密3.2单向散列函数3.2.1单向散列函数特点3.2.2MD5 算法3.2.3SHA 算法3.2.4SHA-1 与MD5 的比较3.3Kerberos身份验证3.3.1 什么是Kerberos3.3.2Kerberos 工作原理3.4公开密钥基础设施PKI3.4.1数字证书3.4.2PKI基本组成3.4.3对PKI的性能要求3.4.4PKI的标准3.5用户ID与口令机制3.5.1用户认证ID3.5.2不安全口令3.5.3安全口令3.5.4 口令攻击3.5.5改进方案3.6生物特征识别技术3.6.1生物特征识别系统组成3.6.2指纹识别3.6.3虹膜识别3.6.4其他生物识别技术3.7智能卡习题3第4章计算机病毒与黑客4.1计算机病毒概述4.1.1计算机病毒的定义4.5.2木马的基本原理4.5.3特洛伊木马的启动方式4.5.4特洛伊木马端口4.5.5特洛伊木马的隐藏4.5.6特洛伊木马分类4.5.7特洛伊木马查杀4.6计算机病毒与黑客的防范习题4第5章网络攻击与防范5.1网络安全漏洞5.2目标探测5.2.1目标探测的内容5.2.2目标探测的方法5.3扫描概念和原理5.3.1扫描器概念5.3.2常用端口扫描技术5.3.3防止端口扫描5.4网络监听5.4.1网络监听原理5.4.2网络监听检测与防范5.4.3嗅探器Sniffer介绍5.5缓冲区溢出5.5.1缓冲区溢出原理5.5.2缓冲区溢出攻击方法5.5.3防范缓冲区溢出5.6拒绝服务5.6.1拒绝服务DDoS5.6.2分布式拒绝服务DDoS5.6.3DDoS攻击的步骤5.6.4防范DDoS攻击的策略5.7欺骗攻击与防范5.7.1IP欺骗攻击与防范5.7.2IP地址盗用与防范5.7.3DNS欺骗与防范5.7.4Web欺骗与防范5.8网络安全服务协议5.8.1安全套接层协议SSL5.8.2传输层安全协议TLS5.8.3安全通道协议SSH5.8.4安全电子交易SET5.8.5网际协议安全IPSec5.9无线网安全5.9.1IEEE 802.11b 安全协议5.9.2IEEE 802.11i 安全协议5.9.3WAPI安全协议5.9.4扩展频谱技术习题5第6章防火墙技术6.1防火墙概述6.1.1防火墙的概念6.1.2防火墙的主要功能6.1.3防火墙的基本类型6.2防火墙的体系结构6.2.1筛选路由器结构6.2.2双宿主主机结构6.2.3屏蔽主机网关结构6.2.4屏蔽子网结构6.3防火墙技术6.3.1包过滤技术6.3.2代理服务技术6.3.3电路层网关技术习题6第7章入侵检测技术7.1入侵检测系统概述7.2入侵检测一般步骤7.3入侵检测系统分类7.3.1根据系统所检测的对象分类7.3.2根据数据分析方法分类7.3.3根据体系结构分类7.4入侵检测系统关键技术7.5.3智能入侵检测系统7.6入侵检测系统标准化7.6.1入侵检测工作组IDWG7.6.2通用入侵检测框架CIDF7.7入侵检测系统Snort7.8入侵检测产品选购习题7第8章数字取证技术8.5数字取证常用工具习题8第9章操作系统安全9.5.1PAM 机制9.5.2安全审计9.5.3强制访问控制9.5.4用户和文件配置9.5.5网络配置9.5.6Linux 安全模块LSM9.5.7加密文件系统9.6Linux安全配置习题9第10章数据备份与恢复10.1数据备份概述10.2系统数据备份10.2.1磁盘阵列RAID技术10.2.2系统还原卡10.2.3克隆大师Ghost10.2.4其他备份方法10.3用户数据备份10.3.1Seco nd Copy 2000习题10第11章软件保护技术11.1软件保护技术概述11.2静态分析技术11.2.1文件类型分析11.2.2W32Dasm11.2.3IDA Pro 简介11.2.4可执行文件代码编辑工具11.2.5可执行文件资源编辑工具11.3.1SoftlCE 调试器11.3.20llyDbg 调试器11.4常用软件保护技术11.4.1序列号保护机制11.4.2 警告（NAG ）窗口1143时间限制1144时间段限制1145注册保护11.4.6功能限制11.4.7光盘软件保护11.4.8软件狗11.4.9软盘保护技术11.4.10反跟踪技术11.4.11网络软件保护11.4.12补丁技术11.5软件加壳与脱壳11.5.1壳”的概念11.5.2壳”的加载11.5.3软件加壳工具介绍11.5.4软件脱壳11.6设计软件保护的建议习题11第12章实验指导实验1加密与隐藏实验2破解密码实验3网络漏洞扫描］实验4冰河”黑客工具实验5网络监听工具Sniffer实验6个人防火墙配置实验7入侵检测软件设置实验8Windows 2000/XP/2003 安全设置实验9系统数据备份实验10用户数据备份实验11数据恢复实验12软件静态分析实验13资源编辑工具实验14软件动态分析编辑本段图书基本信息书名:计算机网络与信息安全技术售价：28.0元，为你节省0.0元折扣：100折|作者:俞承杭编著出版社：机械工业出版社出版日期：2008-3-1ISBN : 9787111233886字数：451000页码：279版次：1装帧：平装内容提要本书从分析信息安全问题的起因着手，分析了网络攻击和信息安全风险，并在此基础上介绍了信息安全的理论和技术体系，针对信息安全的不同环节给出了不同的技术实现方法。

第八章防火墙与入侵检测技术一、选择题1.防火墙是计算机网络安全中常用到的一种技术，它通常被用在。

A LAN内部B LAN和WAN之间C PC和PC之间D PC和LAN之间标准答案：B2.为HTTP协议开放的端口是。

A 80B 139C 135D 99标准答案：A3.防火墙一般由分组过滤路由器和两部分组成。

A 应用网关B 网桥C 杀毒软件D防病毒卡标准答案：A4，下列选项是入侵检测常用的方法。

A 模式匹配B 统计分析C 静态配置分析D 完整性分析标准答案：C5，如果内部网络的地址网段为192.168.1.0/24 ，需要用到防火墙的功能，才能使用户上网。

A 地址映射B 地址转换C IP地址和MAC地址绑定功能D URL过滤功能标准答案：B6.下面哪种安全技术被称为是信息安全的第一道闸门？。

A 入侵检测技术B 防火墙技术C 防病毒技术D 加密技术标准答案：B7.下面哪种安全技术被称为是信息安全的第二道闸门？。

A 防火墙技术B 防病毒技术C 入侵检测技术D 加密技术标准答案：C8.下列不属于系统安全的技术是。

A 防火墙B 加密狗C 认证D 防病毒标准答案：B9.电路级网关是以下哪一种软/硬件的类型？。

A 防火墙B 入侵检测软件C 入侵防御软件D 商业支付程序标准答案：A10. 对于防火墙不足之处，描述错误的是。

A无法防护基于操作系统漏洞的攻击B 无法防护端口反弹木马的攻击C 无法防护病毒的侵袭D 无法进行带宽管理标准答案：D11.防火墙对数据包进行状态检测包过滤时，不可以进行过滤的是。

A 源和目的IP地址B 源和目的端口C IP协议号D 数据包中的内容标准答案：D12.包过滤防火墙不能对进行过滤。

A IP地址B 病毒C 协议D 端口标准答案：B13，加强网络安全性的最重要的基础措施是。

A 设计有效的网络安全策略B 选择更安全的操作系统C 安装杀毒软件D 加强安全教育标准答案：A14. 下面关于包过滤描述错误的是。

第8章防火墙技术习题参考答案1．简述防火墙的定义。

答：防火墙是一种隔离控制技术。

它是位于两个信任程度不同的网络之间的能够提供网络安全保障的软件或硬件设备的组合，它对两个网络之间的通讯进行控制，按照统一的安全策略，阻止外部网络对内部网络重要数据的访问和非法存取，以达到保护系统安全的目的。

2．防火墙的主要功能有哪些？又有哪些局限性？答：主要功能：①过滤进出网络的数据信息。

②管理进出网络的访问行为。

③便于集中安全保护。

④对网络存取和访问进行监控审计。

⑤实施NA T技术的理想平台。

局限性：①防火墙不能防范不经过防火墙的攻击。

②防火墙不能防范网络内部的攻击。

③防火墙不能防范内部人员的泄密行为。

④防火墙不能防范因配置不当或错误配置引起的安全威胁。

⑤防火墙不能防范利用网络协议的缺陷进行的攻击。

⑥防火墙不能防范利用服务器系统的漏洞进行的攻击。

⑦防火墙不能防范感染病毒文件的传输。

⑧防火墙不能防范本身安全漏洞的威胁。

⑨防火墙不能防范人为的或自然的破坏。

3．什么是堡垒主机？堡垒主机有哪几种类型？堡垒主机的作用是什么？答：堡垒主机是一种被强化的可以防御进攻的主机。

根据不同的安全要求，有单宿主堡垒主机、双宿主堡垒主机和受害堡垒主机3种类型。

堡垒主机基本上都被放置在网络的周边或非军事区，作为进入内部网络的一个检查点，从而把整个网络的安全问题都集中在堡垒主机上解决。

4．什么是DMZ？为什么要设立DMZ？DMZ中一般放置哪些设备？答：DMZ（Demilitarized Zone，非军事区或隔离区）指为不信任系统服务的孤立网段。

它把内部网络中需要向外提供服务的服务器集中放置到一个单独的网段，与内部网络隔离开，这个网段就是DMZ。

它解决了需要公开的服务与内部网络安全策略相矛盾的问题。

DMZ区中一般放置堡垒主机、提供各种服务的服务器和Modem池。

5．屏蔽路由器体系结构的优缺点是什么？答：屏蔽路由器体系结构的优点是结构简单，容易实现，成本低廉。