缓冲区溢出攻击的方法_一定程度上能防范缓冲区溢出攻击的措施有哪些_缓冲区溢出攻击原理(8)

包过滤型防火墙一般有一个包检查模块，可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但不能控制传输的数据内容，因为内容是应用层数据。

包过滤模块深入OS核心，网络层和数据链路层(实际上在NIC)之间，包过滤模块位于软件最底层，在转发包之前拦截数据包并进行处理。

仅在一个重要位置放置包过滤路由器就可以保护整个网络，且对用户透明。

包过滤模型见下图：

包过滤防火墙通过检查模块拦截和检查所有进出数据，首先验证数据包是否符合过滤规则并记录数据包情况，根据规则进行发送、丢弃、报警、通知、回应等操作。

简述包过滤的工作过程

包过滤即拦截和检查所有进出数据，首先验证数据包是否符合过滤规则并记录数据包情况，根据规则进行发送、丢弃、报警、通知、回应等操作。主要依据数据包源目地址、数据包协议类型、源目端口、ICMP消息类型，允许或不允许某些数据包在网络上传输。

简述代理防火墙的工作原理，并阐述代理技术的优缺点

代理服务器指运行代表客户处理连接请求的程序，客户连接意图，核实后传递到真实服务器，接受服务器应答，处理后传给最终客户。起中间转接和隔离作用，又叫代理防火墙，其工作于应用层，针对特定的应用程序，可以记录和控制所有进出流量。

优点：①代理易于配置②代理能生成各项记录③代理能灵活、完全地控制进出流量、内容④代理能过滤数据内容⑤代理能为用户提供透明的加密机制⑥代理可以方便地与其他安全手段集成

缺点：①代理速度较路由器慢②代理对用户不透明③对于每项服务代理可能要求不同的服务器④不能保证免受所有协议弱点的限制⑤不能改进底层协议的安全性

简述状态检测防火墙的特点

状态检测防火墙结合了包过滤防火墙和代理服务器防火墙的长处，克服了两者的不足，能够根据协议、端口，以及源目地址的具体情况决定数据包是否允许通过。

优点：①高安全性②高效性③可伸缩性和易扩展性④应用范围广。

不足：对大量状态信息的处理过程可能会造成网络连接的某种迟滞。

简述NAT技术的工作原理

把内部私有IP地址翻译成合法网络IP地址的技术，局域网内部网络使用内部地址，当内部节点与外部网络通信时，在网关处将内部地址替换成公用地址，完成通信。可以共享IP地址，解决公共IP地址紧缺问题，并能对外屏蔽内部网络。有SNAT,PNAT,NAPT三种类型。

试描述攻击者用于发现和侦察防火墙的典型技巧

攻击者往往通过发掘信任关系和最薄弱环节上的安全脆弱点来绕过防火墙，或者经由拔号帐号实施攻击来避开防火墙。典型技巧：

①用获取防火墙标识进行攻击。凭借端口扫描和标识获取等技巧，攻击者能有效地确定目标网络上几乎每个防火墙的类型、版本和规则。

②穿透防火墙进行扫描。利用原始分组传送进行穿透防火墙扫描和利用源端口扫描进行穿透防火墙扫描。

③利用分组过滤的脆弱点进行攻击。利用ACL规则设计不完善的防火墙，允许某些分组不受约束的通过。

④利用应用代理的脆弱点进行攻击。

若把网络卫士防火墙3000部署在本单位网络出口处，试给出其应用配置

①配置防火墙接口地址②设置路由表③指定防火墙接口属性

④配置域名服务器⑤透明设置⑥增加用户

⑦NAT配置⑧反向NAT配置⑨访问规则配置

简述个人防火墙的特点

优点：①增加了保护级别，不需要额外的硬件资源②抵挡内外攻击③保护单个系统，隐蔽用户信息。

缺点：①单接口，本身易受威胁②占用个人计算机的内存、CPU时间等资源③只能对单机提供保护，不能保护网络系统。

简述防火墙的发展动态和趋势

目前防火墙已具有多种防范功能，但由于互联网的开放性，它也有一些力不能及的地方，主要表现在以下方面：①不能防范不经由防火墙的攻击②不能防止感染了病毒的软件或文件的传输，这只能在每台主机上安装反病毒软件③不能防止数据驱动式攻击④还存在着安装、管理、配置复杂，在高流量网络易成为网络瓶颈的缺点。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-30462-8.html