计算机网络安全教程（第三版）第十章简答题答案

第 10 章 防火墙与入侵检测

1. 什么是防火墙？古时候的防火墙和目前通常说的防火墙有什么联系和区别？
   答：
   防火墙的本义原指古代人们的房屋之间修建的墙，这道墙可以防止火灾发生时蔓延到别的房屋。现今防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。可见，不管古代和今天的防火墙，在安全意义上都是在防范某种特定的风险。
2. 简述防火墙的分类，并说明分组过滤防火墙的基本原理。
   答：
   常见的防火墙有3种类型：分组过滤防火墙，应用代理防火墙，状态检测防火墙。
   分组过滤防火墙基本原理如下：
   数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃。
   分组过滤防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议（TCP，UDP或ICMP）、TCP、UDP目的端口和ICMP消息类型等。如果包的信息匹配所允许的数据包，那么该数据包便会按照路由表中的信息被转发。如果不匹配规则，用户配置的默认参数会决定是转发还是丢弃数据包。
3. 常见防火墙模型有哪些？比较它们的优缺点。
   答：
   常见防火墙系统一般按照4种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。
   （1）筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破，那么内部网络将变得十分危险。该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能。
   （2）单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，它实现了网络层安全（包过滤）和应用层安全（代理服务）。单宿主堡垒主机在内部网络和外部网络之间，具有防御进攻的功能，通常充当网关服务。优点是安全性比较高，但是增加了成本开销和降低了系统性能，并且对内部计算机用户也会产生影响。
   （3）双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口，但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行使所有去往内部网络的信息必须经过堡垒主机。双宿主堡垒主机是惟一能从外部网上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁，所以一般禁止用户注册到堡垒主机。
   （4）屏蔽子网模型用了两个包过滤路由器和一个堡垒主机，它是最安全的防火墙系统之一，因为在定义了“中立区”（Demilitarized Zone，DMZ）网络后，它支持网络层和应用层安全功能。
4. 编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台计算机访问某主机（IP为172.18.25.109）的终端服务（TCP端口3389）。
   答：
   规则集如下：
   
   第1条规则：主机172.18.25.110可以以任何端口访问任何主机172.18.25.109的3389端口，基于TCP协议的数据包都允许通过。第2条规则：任何主机的端口访问主机172.18.25.109的任何端口，基于TCP协议的数据包都禁止通过。
5. 使用Winroute实现第4题的规则。（上机完成）
   答：（略）
6. 简述创建防火墙的基本步骤及每一步的注意点。
   答：
   成功创建一个防火墙系统一般需要6个步骤：制定安全策略，搭建安全体系结构，制定规则次序，落实规则集，注意更换控制和做好审计工作。
   （1）制定安全策略。防火墙和防火墙规则集只是安全策略的技术实现。在建立规则集之前，必须首先理解安全策略。安全策略一般由管理人员制定，实际的安全策略会特别复杂。在实际应用中，需要根据公司的实际情况制定详细的安全策略。
   （2）搭建安全体系结构。作为一个安全管理员，需要将安全策略转化为安全体系结构。
   （3）制定规则次序。在建立规则集时，需要注意规则的次序，哪条规则放在哪条之前是非常关键的。同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。
   （4）落实规则集。选择好素材后就可以建立规则集。一个典型的防火墙的规则集合包括12个方面，在此不详述。
   （5）注意更换控制。当规则组织好后，应该写上注释并经常更新，注释可以帮助理解每一条规则做什么。对规则理解得越好，错误配置的可能性就越小。对那些有多重防火墙管理员的大机构来说，建议当规则被修改时，把规则更改者的名字、规则变更的日期和时间、规则变更的原因等信息加入注释中，这可以帮助管理员跟踪谁修改了哪条规则及修改的原因。
   （6）建立好规则集后，检测是否可以安全地工作是关键的一步。防火墙实际上是一种隔离内外网的工具。在Internet中，很容易犯一些配置上的错误。通过建立一个可靠的、简单的规则集，可以在防火墙之后创建一个更安全的网络环境。需要注意的是：规则越简单越好。网络的头号敌人是错误配置，尽量保持规则集简洁和简短，因为规则越多，就越可能犯错误，规则越少，理解和维护就越容易。一个好的准则是最好不要超过30条，一旦规则超过50条，就会以失败而告终。
7. 什么是入侵检测系统？简述入侵检测系统目前面临的挑战。
   答：
   入侵检测系统（Intrusion Detection System，IDS）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
   没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有：主机与入侵检测系统缺乏共享数据的机制、缺乏集中协调的机制、缺乏揣摩数据在一段时间内变化的能力、缺乏有效的跟踪分析。另外攻击可以来自四方八面，特别是技术高超、由一群人组织策划的攻击。攻击者要花费长时间准备及在全球性发动攻击。时至今日，找出这样复杂的攻击也是一件难事。有着不同种类漏洞的广泛分布异构计算机系统，使入侵检测系统很难对付，尤其是这样的系统有大量未经处理的流动数据，而实体之间又缺乏通信及信任机制。
8. 简述入侵检测常用的4种方法。
   答：
   常用的方法有3种：静态配置分析、异常性检测方法，基于行为的检测方法和文件完整性检查。
   （1）静态配置分析。静态配置分析通过检查系统的配置（如系统文件的内容）来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（如系统配置信息）。采用静态分析方法是因为入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。另外，系统在遭受攻击后，入侵者也可能在系统中安装一些安全性后门以便于以后对系统的进一步攻击。对系统的配置信息进行静态分析，可及早发现系统中潜在的安全性问题，并采取相应的措施来补救。但这种方法需要对系统的缺陷尽可能的了解；否则，入侵者只需要简单地利用那些系统安全系统未知的缺陷就可以避开检测系统。
   （2）异常性检测方法。异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。基于用户特征轮廓的入侵检测系统模型的基本思想是：通过对系统审计数据的分析建立起系统主体（单个用户、一组用户、主机甚至是系统中的某个关键的程序和文件等）的正常行为特征轮廓，检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。特征轮廓是借助主体登录的时间、登录的位置、CPU的使用时间及文件的存取等属性来描述它的正常行为特征。当主体的行为特征改变时，对应的特征轮廓也相应改变。
   （3）基于行为的检测方法。基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。
   （4）文件完整性检查。文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。
9. 编写程序实现每10秒检查一次与端口关联的应用程序。（上机完成）
   答：（略）
10. 简述入侵检测的步骤及每一步的工作要点。
    答：
    入侵检测的3个步骤：信息收集、数据分析和响应。
    1）信息收集。收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性。
    2）数据分析。数据分析是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能的高低。根据数据分析的不同方式可将入侵检测系统分为异常（Anomaly）入侵检测与滥用（Misuse）入侵检测两类。攻击技术是不断发展的，在其攻击模式添加到模式库以前，新类型的攻击就可能会对系统造成很大的危害。所以，入侵检测系统只有同时使用这两种入侵检测技术，才能避免不足。这两种方法通常与人工智能相结合，以使入侵检测系统有自学习的能力。
    3）响应。数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应，而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。
    （1）将分析结果记录在日志文件中，并产生相应的报告。
    （2）触发警报，如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件，等等。
    （3）修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接或更改防火墙配置等。
11. 对某一台装有入侵检测工具的计算机进行扫描、攻击等实验，查看入侵检测系统的反应，并编写实验报告。（上机完成）
    答：（略）