首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
为什么一般处理“震荡波”病毒时,首先要把被侵入的计算机系统从网络上断开? 目前防火墙主要分为哪3种类型?根据防火墙的实现原理,该防火墙属于哪一类?
为什么一般处理“震荡波”病毒时,首先要把被侵入的计算机系统从网络上断开? 目前防火墙主要分为哪3种类型?根据防火墙的实现原理,该防火墙属于哪一类?
admin
2008-01-03
92
问题
为什么一般处理“震荡波”病毒时,首先要把被侵入的计算机系统从网络上断开?
目前防火墙主要分为哪3种类型?根据防火墙的实现原理,该防火墙属于哪一类?
选项
答案
包过滤防火墙、应用层网关防火墙和状态检测防火墙3种。该防火墙属于包过滤防火墙。
解析
根据防火墙实现原理的不同,通常将防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙3类。
(1)包过滤防火墙
包过滤防火墙是在网络的入口对通过的数据包进行选择,只有满足条件的数据包才能通过,否则被抛弃。包过滤防火墙如下页图所示。
本质上说,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有3块网卡,一块连到内部网络,一块连到公共的Internet,另外一块连接到DMZ。防火墙的任务,就是作为“网络警察”,指引包和截住那些有危害的包。包过滤防火墙检查每一个传入包,查看包中可用的基本信息,包括源地址、目的地址、TCP/UDP端口号、传输协议(TCP、UDP、ICMP等)。然后,将这些信息与设
立的规则相比较。如果已经设立了拒绝Telnet连接,而包的目的端口是23,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行。
包过滤防火墙中每个IP包的字段都会被检查,例如,源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则,与规则不匹配的包就被丢弃,如果有理由让该包通过,就要建立规则来处理它。包过滤防火墙是通过规则的组合来完成复杂策略的。例如,一个规则可以包括;“允许Web连接”、“但只针对指定的服务器”、“只针对指定的目的端口和目的地址”这样3个子规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)应用层网关防火墙,又称代理(Proxy)
应用层网关防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立与公共网络服务器单独的连接,如下页图所示。
网络内部的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。另外,如果不为特定的应用程序安装代理程序代码,这种服务是不会被支持的,不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。
例如,一个用户的Web浏览器可能在80端口,但也经常可能是在1080端口,连接到了内部网络的HTTP代理防火墙。防火墙接受连接请求后,把它转到所请求的Web服务器。这种连接和转移对该用户来说是透明的,因为它完全是由代理防火墙自动处理的。代理防火墙通常支持的一些常见的应用程序有HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC等,目前国内很多厂家在硬件防火墙里集成这些模块。
应用程序代理防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接,为安全性提供了额外的保证。如果网络受到危害,这个特征使得从内部发动攻击的可能性减少。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(3)状态检测防火墙
状态检测防火墙又称动态包过滤防火墙,是在传统包过滤上的功能扩展,现在已经成为防火墙的主流技术。状态检测防火墙如下页图所示。
有人将状态检测防火墙称为第三代防火墙,可见其应用的广泛性。相对于状态检测包过滤,我们将传统的包过滤称为静态包过滤,静态包过滤将每个数据包进行单独分析,固定地根据其包头信息进行匹配,这种方法在遇到利用动态端口应用协议时会发生困难。
状态检测防火墙,试图跟踪通过防火墙的网络连接和数据包,这样防火墙就可以使用一组附加的标准,以确定是允许还是拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。
状态检测防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。状态检测防火墙能够对多层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,检测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,状态检测防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
转载请注明原文地址:https://kaotiyun.com/show/xM3Z777K
本试题收录于:
网络管理员下午应用技术考试题库软考初级分类
0
网络管理员下午应用技术考试
软考初级
相关试题推荐
根据对程序运行的统计,在一般时间内其程序的执行往往呈现出高度的局部性,这种局部性可能包括:Ⅰ.时间局部性Ⅱ.缓冲区局部性Ⅲ.空间局部性。而准确地叙述了程序局部性的是______。A.Ⅰ和ⅡB.Ⅱ和ⅢC.ⅢD.Ⅰ和Ⅲ
CMM模型将软件过程的成熟度分为5个等级。从(34)级别开始,建立了基本的项目管理过程来跟踪成本、进度和机能,制定了必要的过程纪律,并基于以往的项目的经验来计划与管理新的项目。
计算机获取模拟视频信息的过程中首先要进行()。
若某个计算机系统中,内存地址与I/O地址统一编址,访问内存单元和I/O设备是靠______采区分的。A.数据总线上输出的数据B.不同的地址代码C.内存与I/O设备使用不同的地址总线D.不同的指令
指令流水线将一条指令的执行过程分为四步,其中第1、2和4步的经过时间为△t,如下图所示。若该流水线顺序执行50条指令共用153△t,并且不考虑相关问题,则该流水线的瓶颈第3步的时间为(5)△t。
yacc是一个生成编译程序的工具,它的输入是文法G的产生式规则,它的输出是文法G的(29)。
目前,一般计算机系统中的主存储器容量都很大,而且越来越大。另外,由于普遍采用了虚拟存储器结构,要求指令中给出的地址码是一个虚拟地址,其长度比实际主存储器的容量所要求的长度还要长得多。例如,在一般32位计算机系统中,虚拟地址空间为4GB,因此,要求地址码的长
在解决计算机主机与打印机之间速度不匹配问题时通常设置一个打印数据缓冲区,主机将要输出的数据依次写入该缓冲区,而打印机则依次从该缓冲区中取出数据打印,该缓冲区应是一个(46)结构。
数据流图如图1-9(住宅安全系统顶层图)所示中的A和B分别是什么?数据流图如图1-10(住宅安全系统第0层DFD图)所示中的数据存储“配置信息”会影响图中的哪些加工?
在cache的地址映射中,凡主存中的任意一块均可映射到cache内的任意一块的位置上,这种方法称为______。
随机试题
常用的档案分类方法有()。
根据我国《刑法》第267条第2款的规定,携带凶器抢夺的,依照我国《刑法》关于抢劫罪的规定定罪处罚。
珠光体钢堆焊金属,这类钢中C的质量分数小于0.25%,其他合金元素总的质量分数在()以下。
下面促进患者睡眠的措施中,不正确的是
A.土元B.水元C.火元D.风元E.空培根中的培等同于
具有良好的塑性、韧性、冷弯性能、冷热压力加工性能和焊接性能,适用于制造各种容器、焊管、建筑结构等的低合金钢为()。
一般要求百年一遇洪水位以上()m的地段,可选作城市用地。
下列因素中,影响对审计工作的指导、监督复核的性质、时间安排和范围的因素的有()。
狗狗到底能否感知其他同类以及人类的情绪,一直以来_________。不过美国的一个研究就为此找出了答案。他们发现狗狗能够透过听觉与视觉官感,不仅能_________到同类的情绪,更会看主人,甚至是陌生人的“喜怒哀乐”。填入画横线部分最恰当的一项是:
LivingAloneIsJoyfulMoreandmoreAmericansarelivingalone.Somelivealonebecauseofdivorceorthedeathofapartne
最新回复
(
0
)