计算机网络防火墙的体系结构

计算机网络应用防火墙的基本结构如果我们要想更加真实的认识和了解防火墙，首先还应该从它的基本结构来熟悉它。

从防火墙结构上来看，它与一台计算机结构差不多，同样包括CPU、内存、硬盘和主板等基本组件，且主板上也有南、北桥芯片，但它与一般计算机最主要的区别就是防火墙上都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。

1．CPUCPU（Central Processing Unit的缩写），被称为“中央处理单元”，是防火墙系统的最主要组成部分之一。

CPU主要用来进行运算和逻辑运算，其物理结果包括逻辑运算单元、控制单元和存储单元组成。

在逻辑运算和控制单元中包括一些寄存器，这些寄存器用于CPU在处理数据过程中数据的暂时保存。

CPU内部核心工作的时钟频率（即主频），单位一般是兆赫兹（MHz）。

2．内存内存指的是防火墙中的存储部件，是CPU直接与之沟通，并用其存储数据的部件，存放当前正在使用的（即执行中）的数据和程序，它的物理实质就是一组或多组具备数据输入输出和数据存储功能的集成电路。

对防火墙来说，有了存储器，才有记忆功能，才能保证正常工作。

存储器的种类很多，按其用途可分为主存储器和辅助存储器，主存储器又称内存储器（简称内存），辅助存储器又称外存储器（简称外存），像硬盘，软盘等。

3．硬盘硬盘是防火墙主要的存储媒介之一，用来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。

它有一个或者多个铝制/玻璃制的碟片组成。

这些碟片外覆盖有铁磁性材料。

硬盘采用全密封结构，绝大多数硬盘都是固定硬盘，被永久性地密封固定在硬盘驱动器中。

防火墙中使用的硬盘大多为IDE接口或者SCSI接口的。

4．主板主板，又叫主机板（mainboard）、系统板（systemboard）或母板（motherboard），安装在防火墙内部，是防火墙最基本也是最重要的部件之一。

主板即一个电路板，组成了防火墙的主要电路系统，一般有I/O控制芯片、指示灯插接件、扩充插槽及插卡的直流电源供电接插件等组成。

计算机网络应用防火墙的体系结构防火墙主要应用结构可以分为包过滤型结构、双宿网关结构、屏蔽主机结构和屏蔽子网结构。

1．包过滤型结构包过滤型结构是通过专用的包过滤路由器，或是安装了包过滤功能的普通路由器来实现的。

包过滤型结构对进出内部网络的所有信息进行分析，按照一定的安全策略对这些信息进行分析与限制，如图11-10所示。

图11-10 包过滤型结构包过滤型结构处理速度快、费用低且对用户透明，结构简单，便于管理。

但是，包过滤型结构对于包过滤的判断只限于数据包的头信息，并不涉及包的内容，所以它只能阻止部分IP欺骗的数据包。

另外，包过滤结构的日志功能有限，不能从日志中发现黑客的攻击记录，并且配置比较烦琐。

2．双宿网关结构连接了两个网络的多宿主机（具有多个网络连接的主机）称为双宿主机。

多宿主机是具有多个网络接口卡的主机，每个接口都可以和一个网络连接。

因为它能在不同的网络之间进行数据交换，因此也称为网关。

双宿网关结构是用一台装有两块网卡的主机作为防火墙，将外部网络与内部网络实现物理上的隔开，这台处于防火墙关键部位且运行应用级网关软件的计算机系统称为堡垒主机。

如图11-11所示，为双宿网关结构。

图11-11 双宿网关结构双宿网关的结构的安全性较高，但入侵者一旦得到了双宿网关的访问权，即可入侵内部网络。

所以在设置该应用级网关时应该注意以下几点：●在该应用级网关的硬件系统上运行安全可信任的安全操作系统。

●安全应用代理软件，保留DNS、FTP、SMTP等必要的服务，删除不必要的服务与应用软件。

●设计应用级网关的防攻击方法与被破坏后的应急方案。

3．屏蔽主机结构屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连，从而不允许它们直接与内部网络的主机相连，如图11-12所示。

因此，屏蔽主机结构是由包过滤路由器和堡垒主机组成的。

屏蔽主机可以实现了网络层和应用层的安全，并且安全性较高。

但是堡垒主机一旦被绕过，则堡垒主机和其他内部网络的主机之间没有任何保护网络安全的措施，内网将暴露。

计算机网络安全体系结构计算机网络安全体系结构是指在计算机网络中，为了保护网络系统和信息不受未经授权的访问、破坏和篡改等威胁而采取的一系列安全措施和安全机制的整体架构。

计算机网络安全体系结构分为三个层次：网络层、主机层和应用层。

网络层主要负责网络边界的安全，包括网络入口、出口的流量控制和数据包过滤等。

网络层安全的主要机制有防火墙、入侵检测和入侵防御系统等。

防火墙是网络边界的安全防御系统，通过设置访问控制规则，对进出网络的数据进行检查和过滤，可以阻止未经授权的访问和攻击。

入侵检测系统可以监测网络中的异常流量和攻击行为，并及时做出响应。

入侵防御系统则更加主动地进行攻击防御和响应。

主机层主要负责保护计算机主机的安全，包括操作系统和基础软件的安全。

主机层安全的主要机制有访问控制、身份认证和安全配置等。

访问控制是限制用户对主机资源的访问权限，通过用户账号和密码来进行认证。

身份认证是确保用户的身份真实可信的过程，可以采用密码、数字证书、生物特征等不同的方式进行认证。

安全配置是对主机的各种安全设置进行调整和优化，包括关闭不必要的服务、增强密码策略、更新操作系统和软件补丁等。

应用层主要负责应用程序和网络服务的安全，包括电子邮件、Web浏览、即时通讯等。

应用层安全的主要机制有加密、身份验证和访问控制等。

加密是将数据转化为密文的过程，通过使用加密算法和密钥来防止数据在传输过程中被窃取和篡改。

身份验证是确保用户的身份真实可信的过程，可以采用用户名和密码、数字证书、多因素认证等方式进行验证。

访问控制是限制用户对网络服务的访问权限，可以通过访问控制列表、访问令牌等方式进行控制。

总体来说，计算机网络安全体系结构是为了保护网络系统和信息不受未经授权的访问、破坏和篡改等威胁而采取的一系列安全措施和安全机制的整体架构。

它包括网络层、主机层和应用层三个层次，通过防火墙、入侵检测和入侵防御系统、访问控制、身份认证、加密等机制来保障网络的安全。

防火墙介绍黎狸1.什么是防火墙？防火墙的功能？防火墙是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。

功能：（本质特征为隔离内外网络和对进出信息流实施访问控制）①网络安全的屏障；②过滤不安全服务；③阻断特定的网络攻击；④部署NAT机制；⑤提供了监视局域网安全和预警的方便端点。

2.理解防火墙的四种体系结构，掌握分组过滤路由器、双宿主机、屏蔽主机、屏蔽子网四种不同结构的原理。

①个人防火墙：在操作系统之上运行的软件，安装在个人PC上，为个人计算机提供简单的防火功能。

②软件防火墙：网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。

支持Windows，Unix或者Linux系统。

③一般硬件防火墙：嵌入式主机，配件可定制，功能全，性能一般。

④纯硬件防火墙：采用专用芯片，高性能，非常高的并发连接数和吞吐量；⑥分布式防火墙：上述几种均为边界防火墙。

防火墙的体系结构：①分组过滤路由器②双宿主机③屏蔽主机④屏蔽子网3.理解和掌握数据包过滤、代理服务器、NAT、状态监测技术，并解释对应名词：数据包过滤、代理服务器、NAT、DMZ数据包过滤：工作在网络层，在网络的适当位置来对数据包实施有选择的通过的技术。

代理服务器：是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。

状态检测技术：4.数据包过滤和状态检测区别和联系？这两种防火墙的主要区别是，状态监测系统维护一复个状态表，让这些系统跟踪通过防火墙的全部开放的连接。

而数据包过滤防火墙就没有这个功能。

当通讯到达时，这个系统把这个通讯与状态表进行比较，确定这个通讯是不是一个已经建立起来的通讯的一部分。

本章主题为防火墙体系结构，包括以下内容：◆防火墙的体系结构◆防火墙的分类◆防火墙的关键技术◆包过滤防火墙◆状态检测防火墙◆代理防火墙1.1 防火墙的体系结构和分类防火墙可以被设置成许多不同的结构，并提供不同级别的安全，而运行维护的费用也不同，各种组织机构应该根据不同的风险评估来确定采用不同的防火墙技术。

下面，将讨论一些典型的防火墙的体系结构和主要技术。

1.1.1 防火墙的体系结构按体系结构可以把防火墙分为屏蔽路由器型防火墙、双宿主机防火墙、屏蔽主机防火墙、屏蔽子网防火墙和一些防火墙结构的变体，下面着重介绍前四种体系结构。

1．屏蔽路由器屏蔽路由器是防火墙最基本的构件，对所接收的每个数据包做允许或拒绝的决定，它可以由厂家专门生产的路由器实现，也可以用主机来实现。

屏蔽路由器作为内外连接的唯一通道，将审查每个数据包以便确定其是否与某一条包过滤规则匹配。

在图中担当屏蔽路由器角色的就是原有路由器，在其中的防火墙包过滤配置中，可以根据数据包包头信息中的IP地址、UDP和TCP端口来过滤数据。

这种防火墙方案有个最大的缺点就是配置复杂，非专业人员很难正确、有效地配置。

如果采用这种措施，就需要对TCP/IP有很好的理解，并能够在路由器上正确地进行有关数据包过滤的设置。

如果不能够正确地进行配置，危险的数据包就有可能透过防火墙进入内部局域网。

如果这是唯一的安全设备，那么黑客们将非常容易地攻破系统，在局域网里为所欲为。

另外一点值得注意的就是采用这种措施，内部网络的IP地址并没有被隐藏起来，并且它不具备监测，跟踪和记录的功能。

纯由屏蔽路由器构成的防火墙，其危险区域包括路由器本身及路由器允许访问的主机。

它的缺点是路由器一旦被控制后很难发现，而且不能识别不同的用户。

2．双宿主机双宿主机，即有两个网络接口的计算机系统，其中一个接口连接内部网络，一个接口连接外部网络。

一个双宿主机是一种防火墙，这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。

三、简答题（本大题共6小题，每小题5分，共30分）安全系结构定义了哪五类安全服务(1)鉴别服务 (2)访问控制服务 (3)数据机密性服务 (4)数据完整性服务 (5)抗抵赖性服务27.为提高电子设备的抗电磁干扰能力，除提高芯片、部件的抗电磁干扰能力外，主要还可以采取哪些措施(1)屏蔽 (2)隔离 (3)滤波 (4)吸波 (5)接地28.从工作原理角度看，防火墙主要可以分为哪两类防火墙的主要实现技术有哪些(1)从工作原理角度看，防火墙主要可以分为：网络层防火墙和应用层防火墙。

(2)防火墙的主要实现技术有：包过滤技术、代理服务技术、状态检测技术、NAT 技术。

30.简述办理按揭端口扫描的原理和工作过程。

半连接端口扫描不建立完整的TCP连接，而是只发送一个SYN数据包，一个SYN|ACK 的响应包表示目标端口是监听(开放)的，而一个RST的响应包表示目标端口未被监听(关闭)的，若收到SYN|ACK的响应包，系统将随即发送一个RST包来中断连接。

31.按照工作原理和传输方式，可以将恶意代码分为哪几类恶意代码可以分为：普通病毒、木马、网络蠕虫、移动代码和复合型病毒。

三、简答题(本大题共6小题，每小题5分，共30分)26.防火墙的主要功能有哪些防火墙的主要功能：①过滤进、出网络的数据②管理进、出网络的访问行为③封堵某些禁止的业务④记录通过防火墙的信息和内容⑤对网络攻击检测和告警27.在密码学中，明文，密文，密钥，加密算法和解密算法称为五元组。

试说明这五个基本概念。

明文（Plaintext）：是作为加密输入的原始信息，即消息的原始形式，通常用m或p表示。

密文（Ciphertext）:是明文经加密变换后的结果，即消息被加密处理后的形式，通常用c表示。

密钥（Key）：是参与密码变换的参数，通常用K表示。

加密算法：是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程，通常用E表示，即c=Ek（p）解密算法：是将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程，通常用D表示，即p=Dk（c）28.入侵检测技术的原理是什么入侵检测的原理（P148图）：通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。

中国石油大学（北京）远程教育学院《计算机网络应用基础》期末复习题一、选择题1.属于计算机网络安全的特征的是（A）A.保密性、完整性、可控性B.可用性、可控性、可选性C.真实性、保密性、机密性D.完整性、真正性、可控性2.数据完整性指的是（ A ）A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B.提供连接实体身份的鉴别C. 防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致D.确保数据数据是由合法实体发出的3.PPDR模型由四个主要部分组成：（C）、保护、检测和响应。

A.安全机制B.身份认证C.安全策略D.加密4.ISO/OSI参考模型共有（D）层。

A.4B.5C.6D.75.以下关于对称密钥加密说法正确的是：（ C ）A.加密方和解密方可以使用不同的算法B.加密密钥和解密密钥可以是不同的C.加密密钥和解密密钥必须是相同的D.密钥的管理非常简单6.以下关于非对称密钥加密说法正确的是：（ B ）A.加密方和解密方使用的是不同的算法B.加密密钥和解密密钥是不同的C.加密密钥和解密密钥匙相同的D.加密密钥和解密密钥没有任何关系7.不属于数据流加密的常用方法的是（D）。

A.链路加密B.节点加密C.端对端加密D.网络加密8. 以下算法中属于非对称算法的是（ B ）。

A.DESB.RSA 算法C.IDEAD.三重 DES9.以下选项中属于常见的身份认证形式的是（A）。

A.动态口令牌B.IP卡C.物理识别技术D.单因素身份认证10.数字签名利用的是（A）的公钥密码机制。

A. PKIB.SSLC.TCPD.IDS11. （B）机制的本质特征是：该签名只有使用签名者的私有信息才能产生出来。

A.标记B.签名C.完整性D.检测12.以下关于数字签名说法正确的是：（D）A.数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B.数字签名能够解决数据的加密传输，即安全传输问题C.数字签名一般采用对称加密机制D.数字签名能够解决篡改、伪造等安全性问题13.数字签名常用的算法有（ B）。