防火墙是隔离内部网和外部网的一类安全系统。通常防火墙中使用的技术有过滤,和代理两种。路由器可以根据(23)进行过滤,以阻挡某些非法访问。(24)是一种代理协议,使用该协议的代理服务器是一种(25)网关。另外一种代理服务器使用(26)技术,它可以把内部网络中

admin2019-02-01  39

问题 防火墙是隔离内部网和外部网的一类安全系统。通常防火墙中使用的技术有过滤,和代理两种。路由器可以根据(23)进行过滤,以阻挡某些非法访问。(24)是一种代理协议,使用该协议的代理服务器是一种(25)网关。另外一种代理服务器使用(26)技术,它可以把内部网络中的某些私有IP地址隐藏起来。所谓的可信任系统(Trusted System)是美国国防部定义的安全操作系统标准,常用的操作系统UNIX 和Windows NT等可以达到该标准的(27)级。

选项 A、D
B、C1
C、C2
D、B2

答案C

解析 实现防火墙的产品主要两大类:一类是网络级防火墙,另一类是应用级防火墙。目前一种趋势是把这两种技术结合起来。(1)网络级防火墙。网络级防火墙也称为过滤型防火墙。事实上它是一种具有特殊功能的路由器,采用报文动态过滤技术,能够动态地检查流过的TCP/IP报文或分组头,根据企业所定义的规则,决定禁止某些报文通过或者允许某些报文通过,允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。状态检测防火墙又称动态包过滤,是在传统包过滤上的功能扩展。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时也具有较好的适应性和可扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接,当反向应答分组送达时,就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,不仅仅检测“to”或“from”的地址,而且不要求每个访问的应用都有代理。(2)应用级防火墙。应用级防火墙也称为应用网关型防火墙,目前已大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装了对应于每种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。例如,对外部用户(或内部用户)的FTP,TELNET,SMTP等服务请求,检查用户的真实身份、请求合法性,以及源与目的地IP地址的合法性等,从而由网关决定接受或拒绝该服务请求,对于可接受的服务请求由代理服务机制连接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。目前常用的应用级防火墙大致有4种类型:双穴机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器,分别适用于不同规模的企业内部网。他们的一个共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。①双穴主机(Dual-Homed)网关。由堡垒主机作为应用网关,其中装有两块网卡分别连接外因特网和受保护的内部网,该主机运行防火墙软件,具有两个p地址,并且能隔离内部主机与外部主机之间的所有可能连接。②屏蔽主机(Screened Host)网关。也称甄别主机网关。在外部因特网与被保护的企业内部网之间插入了堡垒主机和路由器,通常是由IP分组过滤路由器去过滤或甄别出可能的不安全连接,再把所有授权的应用服务连接转向应用网关的代理服务机制。③屏蔽子网(Screened Subnet)网关。也称甄别子网网关,适用于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立的子网,例如,在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关),内部网与外部网的一方各有一个分组过滤路由器,可根据不同甄别规则接受或拒绝网络通信,子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的唯一系统。路由器工作于网络层,主要进行网络寻址和实现分组转发功能。对路由器的功能加以扩充,建立一组转发规则,就可以实现一定的安全控制。把这样的路由器安装在 Internet和Intranet之间,可以实现分组过滤。SOCKS是一种传输层代理协议,它的目标是提供一个通用的框架结构,支持一般的TCP/IP应用,并且要修改软件以便实现与SOCKS服务器的交互。当用户需要访问外部的应用服务器时,客户程序首先打开与SOCKS服务器的连接,然后把包含应用服务器地址、端口号和认证信息的访问请求发送给SOCKS服务器;SOCKS根据其配置参数验证用户请求的有效性,然后与目标建立适当的连接。这种工作方式对用户完全是透明的。早期的SOCKS 4.0没有提供用户认证功能,1996年推出的SOCKS 5.0扩展了老版本的模型,包含了一个通用的强认证方案,并且支持IPv6地址和UDP协议,可以提供更安全的防火墙。NAT是网络地址翻译(Network Address Translation)的缩写,可用在防火墙中把内部主机完全隐藏起来。NAT的一种应用是动态地址翻译(Dynamic Address Translation)。为了说明这种机制首先引入存根域的概念,所谓存根域(Stub Domain)是内部网络的抽象,这样的网络只处理源和目标都在子网内部的通信。由于任何时候存根域内只有一部分主机要与外界通信,甚至还有许多主机可能从不与外界通信,所以整个存根域只需共享少量的全局IP地址。存根域有一个边界路由器,由它来处理域内与外部的通信。可信任系统是美国国防部定义的安全操作系统标准,该标准共分为A、B、C、D四个大的安全级别。D级不具备安全特征。C级支持自主式访问控制和对象重用。C1级中,将用户和数据分离,每个用户可以通过认证和访问控制等手段保护其隐私信息,但不能保护系统中的敏感信息:C2级中,系统对用户进行识别和认证,通过登录过程和安全审计对系统中的敏感信息实施保护,这是处理敏感信息的最低安全级别。B级属于强制式信息保护。B1级为带有敏感标记的信息保护,必须给出安全策略模型的非正规表述;B2级为结构式保护,系统中的所有对象都要实施(自主或强制式)访问控制,必须给出安全策略的形式化模型;B3级(安全域)中,对所有对象的访问控制是防篡改并可测试的,且支持安全管理员的功能,具有安全审计和报警功能。 A级形式化技术贯穿于整个开发过程,实现了可验证的安全策略模型,例如,可以用形式化技术分析隐含信道。常用的UNIX和Windows操作系统属于C2级。
转载请注明原文地址:https://jikaoti.com/ti/u4m7FFFM
0

相关试题推荐
随机试题
最新回复(0)