软考网络管理员备考知识点汇总(五)

1、软考网络管理员备考知识点汇总（五）网络管理员软考网络管理员备考知识点汇总（五）网络管理员是软考屮一门初级资格的考试科冃。考试一共分为两门，上午下午各一门。为了让大家能顺利的备考，小编 就一些网络管理员的一些学习知识点做了一个汇总，希與对大家能有所帮 助。包过滤防火墙包过滤防火墙是在网络的入口对通过的数据包进行选择，只有满足条件的数据包才能通过，否则被抛弃。本质上说，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或 接口。例如，作为防火墙的设备可能有三块网卡，一块连到内部网络，一 块连到公共的internet,另外一块连接到dm乙防火墙的任务，就是作为“网 络警察舄指引包和截住那些有危害

2、的包。包过滤防火墙检查每一个传入包, 查看包中可用的基本信息，包扌舌源地址、目的地址、tcp/udp端口号、传 输协议（tcp、udp、icmp等）。然后，将这些信息与设立的规则相比较。 如果己经设立了拒绝telnet连接，而包的目的端口是23,那么该包就会被丢 弃。如果允许传入web连接，而目的端口为80,则包就会被放行。包过滤防火墙屮每个ip包的字段都会被检查，例如源地址、冃的地址、 协议、端口等。防火墙将基于这些信息应用过滤规则，与规则不匹配的包 就被丢弃，如果有理由让该包通过，就要建立规则来处理它。包过滤防火 墙是通过规则的组合來完成复杂策略的。例如，一个规则网络管理员可以包括'

3、;允许web连接”、”但只针对指定的服务器“、”只针对指定 的目的端口和目的地址“这样三个子规则。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价 在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤 技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和 端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的java 小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造ip地址，骗 过包过滤型防火墙。应用层网关防火墙应用层网关防火墙实际上并不允许在它连接的网络之间直接通信。相 反，它是接受来自内部网络特定用户应用程序的通信

4、，然后建立与公共网 络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访 问内部网的任何一部分。另外，如果不为特定的应用程序安装代理程序代 码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任 何没有明确配置的连接，从而提供了额外的安全性和控制性。例如,一个用户的web浏览器可能在80端口，但也经常可能是在1080端口，连 接到了内部网络的http代理防火墙。防火墙接受连接请求后，把它转到 所请求的web服务器。这种连接和转移对该用户来说是透明的，因网络管理员city.c n/rk/wlgly/index.html为它完全是由代

5、理防火墙自动处理的。代理防火墙通常支持的一些常 见的应用程序有：http、https/ssl、smtp、pop3、imap、nntp、telnet、 ftp、irc等，目前国内很多厂家在硬件防火墙里集成这些模块，如北大方 正公司的方正方御防火墙就能代理以上应用程序。应用程序代理防火墙可以配置成允许来口内部网络的任何连接，它也 可以配置成要求用户认证后才建立连接，为安全性提供了额外的保证。如 果网络受到危害，这个特征使得从内部发动攻击的可能性减少。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描, 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有 较大的影响，而且代理

6、服务器必须针对客户机可能产生的所有应用类型逐 一进行设置，大大增加了系统管理的复杂性。状态检测防火墙状态检测防火墙又称动态包过滤防火墙，是在传统包过滤上的功能扩 展，现在已经成为防火墙的主流技术。有人将状态检测防火墙称为第三代防火墙，可见其应用的广泛性。相 对于状态检测包过滤，我们将传统的包过滤称为静态包过滤，静态包过滤 将每个数据包进行单独分析，固定的根据其包头信息进行匹配，这种方法 在遇到利用动态端口应用协议时会发生困难。我们举一个经典的例子来说 明:ftp协议。网络管理员ftp在整个过程中使用了两种tcp连接，控制连接用于客户端与服务器端之间交互协商与命令传输，数据连接用于客户端与服务器

7、端之间传输 文件数据。客户端向服务器端固定的21端口发起连接请求建立控制连接， 防火墙的静态包过滤根据这个固定的端口信息，很好地对控制连接实施过 滤功能。而数据连接则使用动态端口，它是由控制连接来协商并发起，先 由客户端或者服务器端在控制连接上发送port命令，将需要建立的动态 端口作为参数传递，通过这种方式使客户端和服务器端完成了动态端口的 协定。动态端口意味着每次的端口都有可能不一样，而防火墙无法知道哪 些端口需要打开，如果采用原始的静态包过滤，有希槊用到此服务的话, 就需要将所有可能的端口打开，这会给安全带来不必要的隐患。而状态检 测通过检查跟踪应用程序信息（如ftp的port命令），判

8、断是否需要临时 打开某个端口，当传输结束时，端口又马上恢复关闭状态。状态检测防火墙，试图跟踪通过防火墙的网络连接和数据包，这样防 火墙就可以使用一组附加的标准，以确定是允许还是拒绝通信。它是在使 用了基本包过滤防火墙的通信上应用一些技术来做到这点的。当包过滤防火墙见到一个网络包，包是孤立存在的，没冇防火墙所关 心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息, 如源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的 位置的信息，则该包被认为是无状态的，它仅是存在而已。一个网络管理员有状态包检查的防火墙跟踪的不仅是包中包含的信息。为了跟踪包的 状态，防火墙还记录有用的信息

9、以帮助识别包，例如己经建立的或者相关 的网络连接、数据的传岀请求等。例如，如果传入的包包含视频数据流, 而防火墙可能已经记录了有关信息，是关于位于特定ip地址的应用程序最 近向发岀包的源地址请求视频信号的信息。如果传入的包是要传给发出请 求的相同系统，防火墙进行匹配，包就被允许通过。一个状态检测防火墙 可截断所有传入的通信，而允许所有传出的通信。因为防火墙跟踪内部出 去的请求，所有按要求传入的数据被允许通过，直到连接被关闭为止。只 有未被请求的传入通信被截断。跟踪连接状态的方式収决于通过防火墙包的类型：tcp包。当建立起一个tcp连接时，通过的第一个包被标有包的syn 标志。通常情况下，防火墙

10、丢弃所有外部的连接企图，除非已经建立起某 条特定规则來处理它们。对内部的连接试图连到外部主机，防火墙注明连 接包。在这种方式下，如果传入的包是响应一个已建立的连接时，才会被 允许通过。udp包。udp包比tcp包简单，因为它们不包含任何连接或序列信息。 它们只包含源地址、目的地址、校验和携带的数据，使得防火墙确定包的 合法性很怵i难。可是，如果防火墙跟踪包的状态，就可以解决这个问题。 对传入的包，若它所使用的地址和udp包携带的协议与传出的连接请求匹 配，该包就被允许通过。和tcp包一样，所网络管理员有传入的udp包都不会被允许通过，除非它是响应传出的请求或己经 建立了指定的规则來处理它。对其他种类的包，情况和udp包类似。防火 墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后 对照保存过的信息核对传入的包，以确保这些包是被请求的。状态检测防火墙是新一代的产品，这一技术实际已经超越了最初的防 火墙定义。状态检测防火墙能够对多层的数据进行主动的、实时的监测, 在对这些数据加以分析的基础上，检测型防火墙能够有效地判断出各层屮 的非法侵入。同时，