信息安全工程师教程知识点精讲(三)

信息安全工程师教程知识点精讲(三)

全国计算机技术与软件专业技术资格(水平)考试，这门新开的信息安全工程

师分属该考试“信息系统”专业，位处中级资格。官方教材《信息安全工程师

教程》及考试大纲于7月1日出版，希赛小编整理了信息安全工程师教程精讲

学习笔记，供大家参考学习。

防火墙

防火墙(Firewall),也称防护墙，是由CheckPoint创立者GilShwed于1993年

发明并引入国际互联网(US5606668(A)1993-12-15)<>它是一种位于内部网络

与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规

则，允许或是限制传输的数据通过。

基本定义

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、

专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说

法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个

安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入，防火墙主

要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是

一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所

有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分

开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种

访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不

同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

换句话说，如果不通过防火墙，公司内部的人就无法访问Internet,Internet上

的人也无法和公司内部的人进行通信°

什么是防火墙

XP系统相比于以往的Windows系统新增了许多的网络功能(Windows7的防火

墙一样很强大，可以很方便地定义过滤掉数据包)，例如Internet连接防火墙

(ICF),它就是用一段“代码墙”把电脑和Internet分隔开，时刻检查出入防火墙

的所有数据包，决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件

或者软件，例如专用防火墙设备就是硬件形式的防火墙，包过滤路由器是嵌有

防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙。

ICF工作原理

ICF被视为状态防火墙.状态防火墙可监视通过其路径的所有通讯，并且检杳所

处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信

进入专用端，ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中，ICF

将跟踪源自该计算机的通信。与ICS一起使用时，ICF将跟踪所有源自ICF/ICS

计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会

针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从

计算机或专用网络内部开始的)，才允许将传入Internet通信传送给网络中的计

算机。

源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止，除非在“服务”

选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未

经请求的通讯，防止像端口扫描这样的常见黑客袭击。

防火墙的种类

防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的

防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火

墙。常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、

NETSCREEN、TALENTH■等。

从结构上来分，防火墙有两种：即代理主机结构和路由器+过滤器结构，后一种

结构如下所示：内部网络过滤器(Filter)路由器(Router)Internet

从原理上来分，防火墙则可以分成4种类型：特殊设计的硬件防火墙、数据包

过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多

种类型防火墙，构筑多道防火墙“防御T事二

吞吐量

网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资

源。吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率。其测试方

法是：在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如

果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试；如果接

收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞吐量测试结

果以比特/秒或字节/秒表示。

吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用FDT（FullDuplex

Throughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量

指标也涵盖了报文转发率指标。

主要类型

网络层防火墙

网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上，我

们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越

防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员

定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项

“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP地址、来源端

口号、目的IP地址或端口号、服务类型（如HTTP或是FTP）。也能经由通信协

议、TTL值、来源的网域名称或网段…等属性来进行过滤。

应用层防火墙

应用层防火墙是在TCP/IP堆栈的“应用层”上运作，您使用浏览器时所产生的

数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦裁进出

某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论

上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木

马程序的快速蔓延。不过就实现而言，这个方法既烦且杂（软件有千千百百种

啊），所以大部分的防火墙都不会考虑以这种方法设计。

XML防火墙是一种新型态的应用层防火墙。

根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防

火墙。

数据库防火墙

（三）防火墙自身应具有非常强的抗攻击免疫力

这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于

网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就

要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防

火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论

系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火

墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能

说是相对的。

目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要

是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透

彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）.

CheckpointsNetScreen等，国内主流厂商为东软、天融信、山石网科、网御神

州、联想、方正等，它们都提供不同级别的防火墙产品。

（四）应用层防火墙具备更细致的防护能力

自从Gartner提出下一代防火墙概念以来，信息安全行业越来越认识到应用层

攻击成为当下取代传统攻击，最大程度危害用户的信息安全，而传统防火墙由

于不具备区分端口和应用的能力，以至于传统防火墙仅仅只能防御传统的攻

击，基于应用层的攻击则毫无办法。

从2022年开始，国内厂家通过多年的技术积累，开始推出下一代防火墙，在国

内从第一家推出真正意义的下一代防火墙的网康科技开始，至今包扩东软，天

融信等在内的传统防火墙厂商也开始相互⑶效仿，陆续推出了下一代防火墙，

下一代防火墙具备应用层分析的能力，能够基于不同的应用特征，实现应用层

的攻击过滤，在具备传统防火墙、IPS、防毒等功能的同时，还能够对用户和内

容进行识别管理，兼具了应用层的高性能和智能联动两大特性，能够更好的针

对应用层攻击进行防护。

（五）数据库防火墙针对数据库恶意攻击的阻断能力

虚拟补丁技术：针对CVE公布的数据库漏洞，提供漏洞特征检测技术。

高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时

间、用户、操作类型、对象等特征定义高危访问行为。

SQL注入禁止技术：提供SQL注入特征库。

返回行超标禁止技术：提供对敏感表的返回行数控制。

SQL黑名单技术：提供对非法SQL的语法抽象描述。

代理服务

代理服务设备（可能是一台专属的硬件，或只是普通机器上的一套软件）也能

像应用程序一样回应输入封包（例如连接要求），同时封锁其他的封包，达到类

似于防火墙的效果。

代理使得由外在网络窜改一个内部系统更加困难，并且一个内部系统误用不一

定会导致一个安全漏洞可从防火墙外面（只要应用代理剩下的原封和适当地被

配置）被入侵。相反地，入侵者也许劫持一个公开可及的系统和使用它作为代

理人为他们自己的目的；代理人然后伪装作为那个系统对其它内部机器。当对

内部地址空间的用途加强安全，破坏狂也许仍然使用方法譬如IP欺骗试图通过

小包对目标网络。

防火墙经常有网络地址转换（NAT）的功能，并且主机被保护在防火墙之后共

同地使用所谓的“私人地址空间”，依照被定义在［RFC1918］。管理员经常设置

了这样的情节：假装内部地址或网络是安全的。