信息安全工程师教程知识点精讲三

信息安全工程师教程知识点精讲三全国计算机技术与软件专业技术资格水平考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格官方教材《信息安全工程师教程》及考试大纲于月日出版，希赛小编整理了信息安全工程师教程精讲学习笔记，供71大家参考学习防火墙防火墙也称防护墙，是由创立者于年发明并Firewall,Check PointGil Shwed1993引入国际互联网它是一种位于内部网络与外部网络之US5606668A1993-12-15o间的网络安全系统一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过基本定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使与之间建立起一个安全网关Internet Intranet从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规Security Gateway,则、验证工具、包过滤和应用网关个部分组成，防火墙就是一个位于计算机和4它所连接的网络之间的软件或硬件该计算机流入流出的所有网络通信和数据包均要经过此防火墙在网络中，所谓“防火墙”，是指一种将内部网和公众访问网如分开的Internet方法，它实际上是一种隔离技术防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络换句话说，如果不通过防火墙，公司内部的人就无法访问的人也无法和公司内部的Internet,Internet±人进行通信什么是防火墙系统相比于以往的系统新增了许多的网络功能的防火墙一XP WindowsWindows7样很强大，可以很方便地定义过滤掉数据包，例如连接防火墙它就Internet ICF,是用一段代码墙把电脑和分隔开，时刻检查出入防火墙的所有数据包，Internet决定拦截或是放行那些数据包防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙工作原理ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通讯，并且检查所处ICF理的每个消息的源和目标地址为了防止来自连接公用端的未经请求的通信进入专用端，保留了所有源自计算机的通讯表在单独的计算机中，将跟踪源ICF ICFICF自该计算机的通信与一起使用时，将跟踪所有源自计算机的通信ICS ICFICF/ICS和所有源自专用网络计算机的通信所有传入通信都会针对于该表中的各Internet项进行比较只有当表中有匹配项时（这说明通讯交换是从计算机或专用网络内部开始的），才允许将传入通信传送给网络中的计算机Internet源自外部源计算机的通讯（如）将被防火墙阻止，除非在“服务”选ICF Internet项卡上设置允许该通讯通过不会向你发送活动通知，而是静态地阻止未经请ICF求的通讯，防止像端口扫描这样的常见黑客袭击防火墙的种类防火墙从诞生开始，已经历了四个发展阶段基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙常见的防火墙属于具有安全操作系统的防火墙，例如、、■等NETEYE NETSCREENTALENTH从结构上来分，防火墙有两种即代理主机结构和路由器+过滤器结构，后一种结构如下所示内部网络过滤器（）路由器（）Filter RouterInternet从原理上来分，防火墙则可以分成种类型特殊设计的硬件防火墙、数据包过4滤型、电路层网关和应用级网关安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”吞吐量网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率其测试方法是在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果吞吐量测试结果以比特/秒或字节/秒表示吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用（FDT FullDuplex）来衡量，指字节数据包的全双工吞吐量，该指标既包括吞吐量指Throughput64标也涵盖了报文转发率指标主要类型网络层防火墙网络层防火墙可视为一种封包过滤器，运作在底层的协议堆栈上我们IP TCP/IP可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行操作系统及网络设备大多已内置防火墙功能较新的防火墙能利用封包的多样属性来进行过滤，例如来源地址、来源端口IP号、目的地址或端口号、服务类型（如或是）也能经由通信协议、IP HTTPFTP值、来源的网域名称或网段…等属性来进行过滤TTL应用层防火墙应用层防火墙是在堆栈的“应用层”上运作，您使用浏览器时所产生的数TCP/IP据流或是使用时的数据流都是属于这一层应用层防火墙可以拦截进出某应用FTP程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延不过就实现而言，这个方法既烦且杂（软件有千千百百种啊），所以大部分的防火墙都不会考虑以这种方法设计防火墙是一种新型态的应用层防火墙XML根据侧重不同，可分为包过滤型防火墙、应用层网关型防火墙、服务器型防火墙数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计数据库防火墙通过协议分析，根据预定义的禁止和许可策略让合法的操作SQL SQL通过，阻断非法违规操作，形成数据库的外围防御圈，实现危险操作的主动SQL预防、实时审计数据库防火墙面对来自于外部的入侵行为，提供注入禁止和数据库虚拟补丁SQL包功能基本特性

（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性，同时也是一个前提因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制典型的防火墙体系网络结构如下图所示从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网所有的内、外部网络之间的通信都要经过防火墙

（二）只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址防火墙将网络上的流量通过相应的网络接口接收上来，按照协议栈的七层结构顺序上传，OSI在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口库=）转发82设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作

（三）防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行当然这些安全性也只能说是相对的目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势防火墙产品中，国外主流厂商为思科（）、Cisco Checkpoints等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正NetScreen等，它们都提供不同级别的防火墙产品

（四）应用层防火墙具备更细致的防护能力自从提出下一代防火墙概念以来，信息安全行业越来越认识到应用层攻击Gartner成为当下取代传统攻击，最大程度危害用户的信息安全，而传统防火墙由于不具备区分端口和应用的能力，以至于传统防火墙仅仅只能防御传统的攻击，基于应用层的攻击则毫无办法从年开始，国内厂家通过多年的技术积累，开始推出下一代防火墙，在国内2022从第一家推出真正意义的下一代防火墙的网康科技开始，至今包扩东软，天融信等在内的传统防火墙厂商也开始相互⑶效仿，陆续推出了下一代防火墙，下一代防火墙具备应用层分析的能力，能够基于不同的应用特征，实现应用层的攻击过滤，在具备传统防火墙、、防毒等功能的同时，还能够对用户和内容进行识别管理，IPS兼具了应用层的高性能和智能联动两大特性，能够更好的针对应用层攻击进行防护

（五）数据库防火墙针对数据库恶意攻击的阻断能力虚拟补丁技术针对公布的数据库漏洞，提供漏洞特征检测技术CVE高危访问控制技术提供对数据库用户的登录、操作行为，提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为注入禁止技术提供注入特征库SQL SQL返回行超标禁止技术提供对敏感表的返回行数控制黑名单技术提供对非法的语法抽象描述SQL SQL代理服务代理服务设备（可能是一台专属的硬件，或只是普通机器上的一套软件）也能像应用程序一样回应输入封包（例如连接要求），同时封锁其他的封包，达到类似于防火墙的效果代理使得由外在网络窜改一个内部系统更加困难，并且一个内部系统误用不一定会导致一个安全漏洞可从防火墙外面（只要应用代理剩下的原封和适当地被配置）被入侵相反地，入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的；代理人然后伪装作为那个系统对其它内部机器当对内部地址空间的用途加强安全，破坏狂也许仍然使用方法譬如欺骗试图通过小包对目标网络IP防火墙经常有网络地址转换（）的功能，并且主机被保护在防火墙之后共同地NAT使用所谓的“私人地址空间”，依照被定义在［］管理员经常设置了这RFC1918样的情节假装内部地址或网络是安全的防火墙的适当的配置要求技巧和智能它要求管理员对网络协议和电脑安全有深入的了解因小差错可使防火墙不能作为安全工具主要优点（）防火墙能强化安全策略1（）防火墙能有效地记录上的活动2Internet（）防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段与另一个网段3这样，能够防止影响一个网段的问题通过整个网络传播（）防火墙是一个安全策略的检查站所有进出的信息都必须通过防火墙，防火4墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。