防火墙与×××技术名词解释1,防火墙:是一类防范措施的总称。2,非受信网络:一般指的是外部网络。3,扼制点:提供内,外两个网络间的访问控制。4,受信网络一般指的是内部网络。5,局域网指一定区域范围内的网络。
6,×××(虚拟专用网):是指通过一个公共网络建立一个临时的,安全链接。
简答题
1,扼制点的作用是控制访问。
2,防火墙不能防止的安全隐患有:不能阻止已感染病毒的软件或文件的传输;内部人员的工作失误。
3,防火墙与×××之间的本质区别是:堵/通;或防范别人/保护自己。
4,设置防火墙的目的及主要作用是什么?
 答:设置防火墙的目的是为了在内部网与外部网之间设立惟一通道,允许网络管理员定义一个中心“扼制点”提供两个网络间的访问的控制,使得只有被安全策略明确授权的信息流才被允许通过,对两个方向的信息流都能控制。它的主要作用是防止发生网络安全事件引起的损害,使***更难实现,来防止非法用户,比如防止***,网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的***。
5,简述防火墙的设计须遵循的基本原则。
 答:(1)由内到外和由外到内的业务流必须经过防火墙。(2)只允许本地安全政策认可的业务流必须经过防火墙。(3)尽可能控制外部用户访问内域网,应严格限制外部用户进入内域网。(4)具有足够的透明性,保证正常业务的流通。(5)具有抗穿透性***能力,强化记录,审计和告警。
6,目前防火墙的控制技术可分为:包过滤型,包检验型以及应用层网关型三种。
7,防火墙不能解决的问题有哪些?
 答:(1)如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到***。
 (2)防火墙无法防范通过防火墙以外的其他途径的***。
 (3)防火墙不能防止来自内部变节者和不经心的用户带来的威胁。
 (4)防火墙也不能防止传送已感染病毒的软件或文件。
 (5)防火墙无法防范数据驱动型的***。
8,×××提供哪些功能?
 答:加密数据:以保证通过公网传输的信息即使被他人截获也不会泄露。
 信息认证和身份认证:保证信息的完整性,合法性,并能鉴用户的身份。
 提供访问控制:不同的用户有不同的访问权限。
9,简述隧道的基本组成。
 答:一个隧道启动器,一个路由网络,一个可选的隧道交换机,一个或多个隧道终结器。
11,IPSec提供的安全服务包括:私有性(加密),真实性(验证发送者的身份),完整性(防数据篡改)和重传保护(防止未经授权的数据重新发送)等,并制定了密钥管理的方法。
12,选择×××(虚拟专用网)解决方案时需要考虑哪几个要点?
 答:(1)认证方法;(2)支持的加密算法。(3)支持的认证算法。(4)支持IP压缩算法。(5)易于部署。(6)兼容分布式或个人防火墙的可用性。
13,简述×××的分类。
 答:按×××的部署模式分,×××的部署模式从本质上描述了×××的通道是如何建立和终止的,一般有三种×××部署模式:端到端模式;供应商到企业模式;内部供应商模式。
 按×××的服务类型分,×××业务大致可分为三类:internet×××Access×××和Extranet×××。
14,简述×××的具体实现即解决方案有哪几种?
 答:(1)虚拟专用拨号网络,用户利用拨号网络访问企业数据中心,用户从企业数据中心获得一个私有地址,但用户数据可跨公共数据网络传输。
 (2)虚拟专用路由网络,它是基于路由的×××接入方式。
 (3)虚拟租用线路,是基于虚拟专线的一种×××,它在公网上开出各种隧道,模拟专线来建立×××。
 (4)虚拟专用LAN子网段,是在公网上用隧道协议仿真出来一个局域网,透明地提供跨越公网的LAN服务。
论述题
1,试述防火墙的分类有及它们分别在安全性或效率上有其特别的优点。
 答:目前防火墙的控制技术大概可分为:包过滤型,包检验型以及应用层网关型三种。
  (1)包过滤型:包过滤型的控制方式会检查所有进出防火墙的包标头内容,如来源及目的地,使用协定等信息。现在的路由器,交换式路由器以及某些操作系统已经具有用包过滤控制的能力。包过滤型的控制方式最大的好处是效率最高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。
 (2)包检验型:包检验型的控制机制是通过一个检验模组对包中的各个层次作检验。包检验型可谓是包过滤型的加强版,目的在增加包过滤型的安全性,增加控制“连线”的能力。但由于包检验的主要对象仍是个别的包,不同的包检验方式可能会产生极大的差异。其检查层面越广越安全,但其相对效率也越低。包检验型防火墙在检查不完全的情况下,可难会造成原来以为只有特定的服务可以通过,通过精心设计的数据包,可在到达目的地时因重组而被转变杨原来并不允许通过的连线请求。这个为了增加效率的设计反而成了安全弱点。
 (3)应用层网关型:应用层网关型的防火墙采用将连线动作拦截,由一个特殊的代理程序来处理两端间的边线方式,并分析其边线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被客户或服务器端欺骗,在管理上也不会般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式,但也是效率最低的一种方式。
2,试述×××的优点有哪些?
 答:成本较低:×××在设备的使用量及广域网络的频宽使用上,均比专线式的架构节省,故能使企业网络的总成本降低。
 网络结构灵活:×××比专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时,×××可以轻易地达到目的;相对而言,传统的专线式架构便需大费脑筋了。
 管理方便:×××较少的网络设备及物理线路,使网络的管理较为轻松;不论分公司或是远程访问用户再多,均只需要通过互联网的路径进入企业网络
 ×××是一种连接,从表面上看它类似一种专用连接,但实际上是 在共享网络上实现的。它往往使用一种被称作“隧道”的技术,数据包在公共网络上专用的“隧道”内传输,专用“隧道”用于建立点对点的连接。来自不同数据的网络业务经由不同的隧道在相同的体系结构上传输,并允许网络协议穿越不兼容的体系结构,还可区分来自不同数据源的业务,因而可将该业务发往指定的目的地,并接收指定等级的服务。
3,组建×××应该遵循的设计原则。
 答:×××的设计应遵循以下原则:安全性,网络优化,×××管理等。
 在安全性方面,由于×××直接构建在公用网上,实现简单,方便,灵活,但同时其安全问题也更为突出,由于×××直接构建在公用网上,实现简单,方便,灵活,但同时其安全问题也更为突出。企业必须确保其×××上传送的数据不被***者窥视和篡改,并且在防止非法用户对网络资源或私有信息的访问。Extrant×××将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。安全问题是×××的核心问题。目前,×××的安全保证主要是通过防火墙技术,路由器配以隧道技术,加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。
 在网络优化方面,构建×××的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QOS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
 在×××管理方面,×××要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的×××管理系统是必不可少的。×××管理的目标为:减小网络风险,具有高扩展性,经济性,高可靠性等优点。事实上,×××管理主要包括安全管理,设备管理,配置管理,访问控制列表管理,服务质量管理等内容。