得分:10/10
简述防火墙的定义 防火墙是位于两个(或多个)网络之间执行访问控制的软件和硬件系统,它根据访问控制规则对进出网络的数据流进行过滤。
防火墙对数据流的拒绝和丢弃有何区别?
- 当数据流被拒绝时,防火墙要向发送者回复一条消息,用ICMP包告知数据源数据包被拒绝的原因,提示发送者该数据流已被拒绝。
- 当数据流被丢弃时,防火墙不会对这些数据包进行任何处理,也不会向发送者发送任何提示信息。丢弃数据包的做法加长了网络扫描所花费的时间,发送者只能等待回应直至通信超时。
简述数据包过滤器和状态防火墙。
- 数据包过滤器通过数据包的头部信息来判断是接受还是拒绝数据包,它并不查看数据包载荷中的应用数据。这种防火墙检查流经它的每个数据包,根据数据包本身所带的信息决定它的去留,而不用参考其他数据包的内容。
- 状态防火墙会通过对流经的数据包的分析查找通信中的数据流,根据数据流的信息来帮助判断是否让数据包通行。数据流提供了数据包的上下文。状态防火墙有时还会检测一些常用协议的应用数据(虽然可以检测的数据量是有限的),通过这些数据来识别和跟踪相关的数据流。
与包过滤防火墙相比,应用代理防火墙有哪些特点?
- 在已有的安全模型中安全性较高。
- 具有强大的认证功能。
- 具有超强的日志功能。
- 应用级网关防火墙的规则配置比较简单
在防火墙的典型部署中,堡垒主机是一个组织机构网络安全的中心主机,它应该具备哪些主要特征?
- 堡垒主机硬件平台运行较为安全的操作系统,成为可信任的系统。
- 只有网络管理员认为必要的服务(代理和用户认证等)才会安装在堡垒主机上。
- 当允许一个用户访问代理服务时,堡垒主机可能会要求进行额外认证。另外,每一个代理服务都可能需要相应的鉴别机制(Authentication)
- 每一个代理都只能支持标准应用服务命令集中的一个子集。
- 每一个代理只允许访问指定主机的通信,支持对通信进行详细的审计。
- 每一个代理模块都是一个为网络安全设计的一个很小的软件包。
- 代理之间相互独立。
- 代理通常无需进行磁盘访问,不需要读取初始配置文件。这使得入侵者很难在主机上安装Trojan horse、sniffers或其他危险的文件。
- 堡垒主机是一个组织机构网络安全的中心主机。