防火墙、病毒防护及入侵检测技术

防火墙、病毒防护及入侵检测技术

一、历年试题及分析

●根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防。下面的措施中，无助于提高同一局域网内安全性的措施是__(13)__。

（13）A.使用防病毒软件 B.使用日志审计系统

C.使用入侵检测系统

D.使用防火墙防止内部攻击

答案：C

防火墙把网络划分为几个不同的区域，一般把对外提供网络服务的设备（如WWW服务器、FTP服务器）放置于（4）区域。

（4）A.信任网络 B.非信任网络 C.半信任网络 D. DMZ（非军事化区）

分析：DMZ是英文"demilitarized zone"的缩写，中文名称为"隔离区"，也称"非军事化区"。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

答案：D

●如下图所示，某公司局域网防火墙由包过滤路由器R和应用网关F组成，下面描述错误的是（13）。

A．可以限制计算机C只能访问Internet上在TCP端口80上开放的服务

B．可以限制计算机A仅能访问以“202”为前缀的IP地址

C．可以使计算机B无法使用FTP协议从Internet上下载数据

D．计算机A能够与计算机X建立直接的TCP连接

答案：D

●以下关于入侵检测系统的描述中，说法错误的是（27）。

（27）A. 入侵检测系统能够对网络活动进行监视

B. 入侵检测能简化管理员的工作，保证网络安全运行

C. 入侵检测是一种主动保护网络免受攻击的安全技术

D. 入侵检测是一种被动保护网络免受攻击的安全技术

分析：入侵检测系统IDS是一种主动保护自己免受攻击的网络安全技术；能帮助系统对付网络攻击，扩展了系统管理员的安全管理能力；能够及时识别网络中发生的入侵行为并实时报警；监视计算机系统或网络中发生的事件，并进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。IDS就是自动执行这种监视和分析过程的安全系统。

答案: D

二、知识点归纳

1、防火墙

1.1定义

作为网络安全的第一道门户，可以实现内部网络（信任网络）与外部不可信任网络（如因特网）之间或是内部网不同网络安全区域隔离与访问控制，保障网络系统与网络服务的可用性，有效抵御来自因特网的外部攻击。

♦所有从外部到内部或从内部访问外部的通信必须经过它；

♦只有有内部访问策略授权的通信才能被允许通过；

♦系统本身具有很强的高可靠性。

1.2基本类型

♦包过滤防护墙：又称为访问控制表，根据定义好的过滤规则审查每个数据包饼确定数据包是否与过滤规则匹配，以决定数据包是否能通过。依据IP包头的各种信息，工作于网络层。

♦应用网关防火墙：在网关上执行特定应用程序和服务器程序，实现协议过滤和转发功能，工作于应用层。

♦代理服务防火墙：使用代理技术阻断内部网与外部网之间的通信，达到隐蔽内部网络的目的。

♦状态检测防火墙：动态包过滤防火墙，具有很高的效率。引入动态规则概念，对网络端口动态打开或关闭。

♦自适应代理技术：具有代理技术的安全性和检测技术的高效率。

1.3基本组成：安全操作系统、过滤器、网关、域名服务器、函件处理。

2、病毒防护

2.1定义

编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

四个阶段：潜伏期、繁殖期、触发期、执行阶段。

2.2病毒类型

寄生病毒、存储器驻留病毒、引导区病毒、隐形病毒、多形病毒。

2.3其他分类

(1)系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

(2)蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。

(3)木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。

(4)脚本病毒

脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

3、入侵检测

3.1 定义

入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。

入侵检测通过执行以下任务来实现：

♦监视、分析用户及系统活动；

♦系统构造和弱点的审计；

♦识别反映已知进攻的活动模式并向相关人士报警；

♦异常行为模式的统计分析；

♦评估重要系统和数据文件的完整性；

♦操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

3.2 组成

至少包括数据源、分析引擎和响应三个模块

3.3 分为异常入侵检测技术和误用入侵检测技术

三、其他软考真题

●包过滤防火墙通过（45）来确定数据包是否能通过。

（45）A. 路由表 B. ARP 表 C. NAT 表 D. 过滤规则