网络安全技术及应用 第5版 习题及答案 贾铁军 习题集 第9章.doc

第9章 防火墙应用 单选题 （1） 拒绝服务攻击的一个基本思想是（ ） A．不断发送垃圾邮件工作站 B．迫使服务器的缓冲区满 C．工作站和服务器停止工作 D．服务器停止工作 （2）TCP采用三次握手形式建立连接，在（ ）时候开始发送数据。 A．第一步 B．第二步 C．第三步之后 D．第三步 （3）驻留在多个网络设备上的程序在短时间内产生大量的请求信息冲击某web服务器，导致该服务器不堪重负，无法正常相应其他合法用户的请求，这属于（ ） A．上网冲浪 B中间人攻击 C．DDoS攻击 D．MAC攻击 （4）关于防火墙，以下( )说法是错误的。 A.防火墙能隐藏内部IP地址 B.防火墙能控制进出内网的信息流向和信息包 C.防火墙能提供VPN功能 D.防火墙能阻止来自内部的威胁 （5）以下说法正确的是（ ） A.防火墙能够抵御一切网络攻击 B.防火墙是一种主动安全策略执行设备 C.防火墙本身不需要提供防护 D.防火墙如果配置不当，会导致更大的安全风险 解答： B C C D D 填空题 防火墙隔离了内部、外部网络，是内、外部网络通信的 途径，能够根据制定的访问规则对流经它的信息进行监控和审查，从而保护内部网络不受外界的非法访问和攻击。 唯一 防火墙是一种 设备，即对于新的未知攻击或者策略配置有误，防火墙就无能为力了。 被动安全策略执行 从防火墙的软、硬件形式来分的话，防火墙可以分为 防火墙和硬件防火墙以及 防火墙。 软件、芯片级 包过滤型防火墙工作在OSI网络参考模型的 和 。 网络层、传输层 第一代应用网关型防火墙的核心技术是 。 代理服务器技术 单一主机防火墙独立于其它网络设备，它位于 。 网络边界 组织的雇员，可以是要到外围区域或 Internet 的内部用户、外部用户（如分支办事处工作人员）、远程用户或在家中办公的用户等，被称为内部防火墙的 。 完全信任用户 是位于外围网络中的服务器，向内部和外部用户提供服务。 堡垒主机 利用TCP协议的设计上的缺陷，通过特定方式发送大量的TCP请求从而导致受攻击方CPU超负荷或内存不足的一种攻击方式。 SYN Flood 针对SYN Flood攻击，防火墙通常有三种防护方式： 、被动式SYN网关和 。 SYN网关、SYN中继 解答： 唯一 被动安全策略执行 软件、芯片级 网络层、传输层 代理服务器技术 网络边界 完全信任用户 堡垒主机 SYN Flood SYN网关、SYN中继 简答题 防火墙是什么？ 防火墙是一种位于两个（或多个）网络之间，通过执行访问控制策略来保护网络安全的设备。它隔离了内部、外部网络，是内、外部网络通信的唯一途径，能够根据制定的访问规则对流经它的信息进行监控和审查，从而保护内部网络不受外界的非法访问和攻击。 简述防火墙的分类及主要技术 1 以防火墙的软硬件形式分类 可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 （1）软件防火墙需要客户预先安装好的计算机操作系统的支持，俗称个“人防火墙”。 （2）硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区。 （3）芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。 2 按照防火墙的技术分类 可以分为包过滤型和应用代理型两大类。 包过滤型防火墙 工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。 1）第一代，静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 2）第二代，动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中