2025年防火墙技术习题参考答案 .pdfVIP

先天下之忧而忧，后天下之乐而乐。——范仲淹

防火墙技术习题参考答案

第6章防火墙技术习题答案

填空

（1）防火墙是一个或一组实施访问控制策略的系统。（2）访问

控制策略设计原则有封闭原则和开放原则。

（3）按防火墙应用部署位置分，可以分为边界防火墙、个人防火

墙和分布式防火墙三大类。

（4）防火墙实现技术主要有包过滤技术、应用代理技术、状态检

测技术。

简答

（1）典型的防火墙具有哪几个方面的基本特性？

答：典型的防火墙具有以下三个方面的基本特性：

内部网络和外部网络之间的所有网络数据流都必须经过防火墙

这是防火墙所处网络位置特性，同时也是一个前提。因为只有当

防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保

护企业网部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用

于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网

络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互

联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同

部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全

控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、

出内部网络的服务和访问的审计和控制。

只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性，并在此前提下将

网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火

墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网

络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应

的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当

天行健，君子以自强不息。地势坤，君子以厚德载物。——《周易》

的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相

应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。

因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多

端口的（网络接口≥2）转发设备，它跨接于多个分离的物理网段之间，

并在报文转发过程之中完成对报文的审查工作。

防火墙自身应具有非常强的抗攻击免疫力

这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。

防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对

黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。

它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具

有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火

墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没

有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

（2）什么是访问控制策略？

答：访问控制策略规定了网络不同部分允许的数据流向，同时还

规定了哪些类型的传输是允许的，哪些类型的传输将被阻塞。内容清

楚的访问控制策略有助于保证对防火墙产品选择的正确性。

（3）包过滤技术的工作原理和特点是什么？答：包过滤技术是在

网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即

访问控制表。借助报文中优先级、TOS、UDP或TCP端口等信息，或

它们的组合作为过滤参考，通过在接口输入或输出方向上使用基本或

高级访问控制规则，可以实现对数据包的