【软件评测师】考点44——防火墙的基础知识

计算机网络中防火墙的基础知识是软件评测师考试的高频考点，经常出现在上午场的客观选择题当中。防火墙技术是近年来维护网络安全最重要的手段。根据网络信息保密程度，实施不同的安全策略和多级保护模式。加强防火墙的使用，可以经济、有效地保证网络安全。下面就该知识点并结合例题进行总结学习。

一、防火墙概述

（1）定义：防火墙简称Firewall，是建立在内、外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而外部网络是不安全和不可信赖的。所有来自Internet的传输信息和内部网络发出的传输信息都要穿过防火墙，由防火墙进行分析，以确保它们符合站点设定的安全策略，以提供一种内部节点或网络与Internet 的安全屏障。

（2）作用：防止不希望的、未经授权地进出被保护的内部网络，通过边界控制强化内部网络的安全策略。但是防火墙不具有查毒功能和漏洞扫描功能。

二、防火墙分类

防火墙技术经历了包过滤、应用代理网关和状态检测3个发展阶段。

（1）包过滤防火墙：一般有一个包检查块(通常称为包过滤器)，数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在网络层和数据链路层之间。通常直接转发报文，它对用户完全透明，速度较快。通过检查模块，防火墙能够拦截和检查所有出站和进站的数据，它首先打开包，取出包头，根据包头的信息确定该包是否符合包过滤规则，并进行记录。对于不符合规则的包，应进行报警并丢弃该包。

包过滤防火墙工作在网络层，对数据包的源及目的IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，如果一条规则阻止包传输或接收，此包便不被允许通过，否则该包可以被继续处理。包过滤防火墙的处理速度较快，并且易于配置。

优点：

①防火墙对每条传入和传出网络的包实行低水平控制；

②每个IP包的字段都被检查，例如源地址、目的地址、协议和端口等；

③防火墙可以识别和丢弃带欺骗性源IP地址的包；

④包过滤防火墙是两个网络之间访问的唯一来源；

⑤包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。

缺点：

①不能防范黑客攻击，因为网管不可能区分出可信网络与不可信网络的界限；

②不支持应用层协议，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙；

③不能处理新的安全威胁。

（2）应用代理网关防火墙：彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者在任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。

优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。

缺点：①难于配置；②处理速度非常慢。

（3）状态检测防火墙：结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上提高了代理防火墙的性能。Internet上使用的是TCP/IP，TCP的每个可靠连接均需要经过“客户端同步请求”、“服务器应答”和“客户端再应答”三次握手。例如，最常用到的Web浏览、文件下载和收发邮件等都要经过这三次握手。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。

状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个会话，利用状态表跟踪每一个会话的状态。状态检测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态检测防火墙在提高安全防范能力的同时也改进了流量处理速度。因为它采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。

下面是近几年对该知识点考察过的真题，以后仍是考试出题的重点，大家要重视起来。

【2017年第8题】以下关于防火墙功能特性的说法中，错误的是（  ）。

A、控制进出网络的数据包和数据流向

B、提供流量信息的日志和审计

C、隐藏内部IP以及网络结构细节

D、提供漏洞扫描功能

解析：本题考查防火墙功能特性的基础知识。

防火墙（Firewall），也称防护墙，是一种位于内部网络与外部网络之间的网络安全系统。计算机流入流出的所有网络通信均要经过防火墙。防火墙可以控制进出网络的数据包和数据流向，提供流量信息的日志和审计，隐藏内部IP以及网络结构细节，但防火墙不提供查毒和漏洞扫描功能。

故正确答案为：D

【2018年第8题】防火墙对数据包进行过滤时，不能过滤的是( )

A、源和目的IP地址

B、存在安全威胁的URL地址

C、IP协议号

D、源和目的端口

解析：本题考查防火墙的基础知识。

包过滤防火墙对每个IP包的字段都被检查，例如源地址、目的地址、协议和端口等。但是不支持应用层协议，因为它不认识数据包中的应用层协议。对于存在安全威胁的URL地址，属于应用层的数据内容，防火墙不能进行有效筛选。

故正确答案为：B

【2019年第8题】常用作网络边界防范的是（ ）。

A、防火墙  

B、入侵检测

C、防毒墙  

D、漏洞扫描

解析：本题考查计算机网络的基础知识。

防火墙(Firewall), 是建立在内、外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而认为外部网络是不安全和不可信赖的。

故正确答案为：A

作者唯一官方个人微信公众号（昊洋与你一起成长）：HYJY20180101

写于2021年9月17日

作者：昊洋讲师

版权所有，侵权必究