国防《计算机信息安全技术》课后习题答案第8章.pdfVIP

国防《计算机信息安全技术》课后习题答案第8章

第一篇：国防《计算机信息安全技术》课后习题答案第8章

第8章防火墙技术

习题参考答案

1.简述防火墙的定义。

答防火墙是一种隔离控制技术。它是位于两个信任程度不同的

网络之间的能够提供网络安全保障的软件或硬件设备的组合，它对两

个网络之间的通讯进行控制，按照统一的安全策略，阻止外部网络对

内部网络重要数据的访问和非法存取，以达到保护系统安全的目的。

2.防火墙的主要功能有哪些？又有哪些局限性？

答主要功能①过滤进出网络的数据信息。

②管理进出网络的访问行为。③便于集中安全保护。

④对网络存取和访问进行监控审计。⑤实施NAT技术的理想平

台。

局限性①防火墙不能防范不经过防火墙的攻击。

②防火墙不能防范网络内部的攻击。

③防火墙不能防范内部人员的泄密行为。

@防火墙不能防范因配置不当或错误配置引起的安全威胁。

⑤防火墙不能防范利用网络协议的缺陷进行的攻击。

⑥防火墙不能防范利用服务器系统的漏洞进行的攻击。

⑦防火墙不能防范感染病毒文件的传输。

⑧防火墙不能防范本身安全漏洞的威胁。

⑨防火墙不能防范人为的或自然的破坏。

3.什么是堡垒主机？堡垒主机有哪几种类型？堡垒主机的作用是

什么？

答堡垒主机是一种被强化的可以防御进攻的主机。根据不同的

安全要求，有单宿主堡垒主机、双宿主堡垒主机和受害堡垒主机3种

类型。堡垒主机基本上都被放置在网络的周边或非军事区，作为进入

内部网络的一个检查点，从而把整个网络的安全问题都集中在堡垒主

机上解决。4.什么是DMZ?为什么要设立DMZ?DMZ中一般放置

哪些设备？

答:DMZ（DemilitarizedZone,非军事区或隔离区）指为不信

任系统服务的孤立网段。它把内部网络中需要向外提供服务的服务器

集中放置到一个单独的网段，与内部网络隔离开，这个网段就是DMZ。

它解决了需要公开的服务与内部网络安全策略相矛盾的问题。DMZ区

中一般放置堡垒主机、提供各种服务的服务器和Modem池。

5.屏蔽路由器体系结构的优缺点是什么？

答屏蔽路由器体系结构的优点是结构简单，容易实现，成本低

廉。只需在边界路由器中加入一个包过滤软件就可以了，现在标准的

路由器软件中都包含有过滤能；屏蔽路由器对用户是透明的，无需

修改、配置用户主机。

缺点是：不能识别不同的用户；屏蔽路由器没有较好的监视和日

志能、报警能，无法保留攻击踪迹，不易发觉入侵行为；依赖一

个单一的设备保护系统的风险比较大；被保护的内部网络主机与外部

网络的主机直接通信，使整个网络受到威胁。

6.双宿主主机体系结构的特点有哪些？其主要的缺点是什么？

答：双宿主主机结构是在外部网络和内部网络之间放置一台双宿

主堡垒主机作为防火墙。双宿主堡垒主机的两个网卡分别连接内、外

部网络，监控过往数据。内、外网络通信必须经过堡垒主机。堡垒主

机不使用包过滤规则，而是相当于一个网关,割断了两个网络IP层之

间的直接通信。两个网络之间的通信是通过应用层数据共享或应用层

代理服务来实现。堡垒主机上运行的防火墙软件，可以转发应用程序,

提供服务等。

双宿主主机结构主要的缺点是：一旦攻击者侵入堡垒主机并使其

具有路由能，贝！M丑可外部网络用户都可以随便访问内部网络。

7.包过滤技术的原理是什么？状态检测技术有哪些优势？

答：包过滤技术是一种基于网络层的防火墙技术，其核心是包过

滤算法的设计，也叫做安全策略设计。包过滤防火墙读取流过它的每

一个数据包的报头信息，然后用预先设定好的过滤规则与之逐条匹配。

匹配成的数据包按照过滤规则允许通过的被转发，不允许通过的则

被丢弃。如果没有一条过滤规则与数据包报头的信息匹配，防火墙会

使用丢弃这一默认规则丢弃数据包。包过滤技术检查数据包报头的信

息主要有：源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP

目的端口号、TCP标志位、协议等。