【软考软件评测师】第二十四章 系统安全设计(防火墙技术)
【软考软件评测师】第二十四章 系统安全设计(防火墙技术)
【软考软件评测师】第二十四章 系统安全设计(防火墙技术)
- 【软考软件评测师】第二十四章 系统安全设计(防火墙技术)
- 第一部分 知识点集锦
- 1.防火墙概念
- 2.防火墙功能
- 3.入侵检测与防火墙
- 4.防毒墙
- 5.漏洞扫描
- 6.防火墙的局限
- 7.包过滤防火墙
- 1)包过滤防火墙实现
- 2)包过滤防火墙局限
- 8.DMZ非军事化区
- 9.安全防护测试
- 第二部分 综合知识历年真题
- 2019下综合知识历年真题(1分)
- 2018下综合知识历年真题(1分)
- 2017下综合知识历年真题(1分)
- 2015下综合知识历年真题(1分)
- 2014下综合知识历年真题(2分)
- 2011下综合知识历年真题(1分)
第一部分 知识点集锦
1.防火墙概念
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
2.防火墙功能
其功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
防火墙(Firewall),也称防护墙,是一种位于内部网络与外部网络之间的网络安全系统。
计算机流入流出的所有网络通信均要经过防火墙。防火墙可以控制进出网络的数据包和数据流向,提供流量信息的日志和审计,隐藏内部IP以及网络结构细节。但防火墙不提供漏洞扫描功能。
3.入侵检测与防火墙
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
4.防毒墙
防毒墙是指位于网络入口处(网关),用于对网络传输中的病毒进行过滤的网络安全设备。通俗的说,防毒墙可以部署在企业局域网和互联网交界的地方,阻止病毒从互联网侵入内网。凡是病毒都有一定的特征。防毒墙会扫描通过网关的数据包,然后对这些数据进行病毒扫描,如果是病毒,则将其清除。理论上讲,防毒墙可以阻止任何病毒从网关处侵入企业内部网络。
5.漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
6.防火墙的局限
存在安全威胁的URL地址,属于应用层的数据内容,包过滤防火墙不能进行有效筛选。
防火墙不提供漏洞扫描功能。
防火墙是一种放置在网络边界上,用于保护内部网络安全的网络设备,防火墙不具备检查病毒的功能。
7.包过滤防火墙
包过滤防火墙是一种通过软件检查数据包以实现系统安全防护的基本手段,数据包过滤用在内部主机和外部主机之间,过滤系统可以是一台路由器或是一台主机。 通常通过查看所流经的数据包的包头来决定整个包的命运,可能会决定丢弃这个包,可能会接受这个包(让这个包通过),也可能执行其他更复杂的动作。具体来说,包过滤防火墙通常根据数据包源地址、目的地址、端口号和协议类型等标志设置访问控制列表实现对数据包的过滤。
1)包过滤防火墙实现
包过滤是在IP层实现的,包过滤根据数据包的源IP地址、目的IP地址、协议类型 (TCP包、UDP包、ICMP包)、源端口、目的端口等包头信息及数据包传输方向等信息来判断是否允许数据包通过。
2)包过滤防火墙局限
当网络规模比较复杂时,由于包过滤防火墙要求逻辑的一致性、封堵端口的有效性和规则集的正确性等原因,会导致访问控制规则复杂,难以配置管理。
8.DMZ非军事化区
DMZ是指非军事化区,也称周边网络,可以位于防火墙之外也可以位于防火墙之内。非军事化区一般用来放置提供公共网络服务的设备。这些设备由于必须被公共网络访问,所以无法提供与内部网络主机相等的安全性。
Web服务器是为一种为公共网络提供Web访问的服务器,可以放在DMZ当中。
网络管理服务器和入侵检测服务器是管理企业内部网和对企业内部网络中的数据流进行分析的专用设备,一般不对外提供访问;
财务服务器是一种仅针对财务部门内部访问和提供服务的设备,不提供对外的公共服务。
9.安全防护测试
系统采用防火墙技术来实现安全防护,在进行安全防护测试时,主要考虑以下测试点:
- 是否支持对HTTP、FTP、SMTP等服务类型的访问控制。
- 是否考虑到防火墙的冗余设计。
- 是否支持交换和路由两种工作模式。
- 是否支持对日志的统计分析。
- 是否支持日志的本地或远程数据库存储
- 对非法攻击是否具有多种警告方式和警告级别。
第二部分 综合知识历年真题
2019下综合知识历年真题(1分)
【2019年评测真题第08题:绿色】
08.常用作网络边界防范的是( )。
A.防火墙
B.入侵检测
C.防毒墙
D.漏洞扫描
解答:答案选择A。
2018下综合知识历年真题(1分)
【2018年评测真题第09题:红色】
09.防火墙对数据包进行过滤时,不能过滤的是( )。
A.源和目的IP地址
B.存在安全威胁的URL地址
C.IP协议号
D.源和目的端口
解答:答案选择B。
2017下综合知识历年真题(1分)
【2017年评测真题第08题:绿色】
08.以下关于防火墙功能特性的说法中,错误的是( )。
A.控制进出网络的数据包和数据流向
B.提供流量信息的日志和审计
C.隐藏内部IP以及网络结构细节
D.提供漏洞扫描功能
解答:答案选择D。
2015下综合知识历年真题(1分)
【2015年评测真题第14题:绿色】
14.防火墙不具备( )功能。
A.包过滤
B.查毒
C.记录访问过程
D.代理
解答:答案选择B。
2014下综合知识历年真题(2分)
【2014年评测真题第58题:红色】
58.包过滤防火墙是一种通过软件检查数据包以实现系统安全防护的基本手段,以下叙述中,不正确的是 ( ) .
A.包过滤防火墙通常工作在网络层以上,因此可以实现对应用层数据的检查与过滤
B.包过滤防火墙通常根据数据包源地址、目的地址、端口号和协议类型等标志设置访问控制列表实现对数据包的过滤
C.数据包过滤用在内部主机和外部主机之间,过滤系统可以是一台路由器或是一台主机
D.当网络规模比较复杂时,由于要求逻辑的一致性、封堵端口的有效性和规则集的正确性等原因,会导致访问控制规则复杂,难以配置管理
解答:答案选择A。
【2014年评测真题第09题:红色】
09.网络系统中,通常把 ( ) 置于DMZ区。
A.网络管理服务器
B.Web服务器
C.入侵检测服务器
D.财务管理服务器
解答:答案选择B。
2011下综合知识历年真题(1分)
【2011年评测真题第25题:红色】
25.某应用系统采用防火墙技术来实现安全防护,在进行安全防护测试时,设计的测试点不包括( )。
A.是否支持对HTTP、FTP、SMTP等服务类型的访问控制
B.是否在检测到入侵事件时,自动执行切断服务、记录入侵过程等动作
C.是否支持交换和路由两种工作模式
D.是否考虑到防火墙的冗余设计
解答:答案选择B。