软考知识点（防火墙）

一.防火墙配置中的网络区域划分(1) 非信任网络Untrust也称公共网络不信任的接口用来连接 Internet 的接口处于防火墙之外的公共开放网络。(2) 信任网络Trust也称内部网络位于防火墙之内的可信网络是防火墙要保护的目标。(3) DMZ非军事化区也称周边网络可以位于防火墙之外也可以位于防火墙之内安全敏感度和保护强度较低。非军事化区一般用来放置提供公共网络服务的设备这些设备由于必须被公共网络访问所以无法提供与内部网络主机相等的安全性。二.防护墙常见的部署方式1路由模式防火墙的接口工作在三层模式一般部署在网关位置除实现网络安全防护功能外还实现路由、NAT网络地址转换等路由器的功能。2透明模式防火墙的接口工作在二层模式接入防火墙后不用调整现有网络结构和配置仅实现网络安全防护功能。3混合模式防火墙的接口中既有二层接口也有三层接口比如在需要配置双机冗余的场景业务接口配置二层模式而心跳通信接口配置三层模式。三.防火墙的功能1根据配置的访问控制规则对进出的数据包进行过滤滤掉不安全或者未授权的服务和非法用户。2NAT地址转换包括SNAT源地址转换和DNAT目标地址转换。当内部用户访问互联网时防火墙将私网IP转换为公网IP称为SNAT当内部对外提供Web服务时外部用户主动发起对内部网络的访问防火墙将公网IP转换为私网IP称为DNAT。3路由、VLAN、链路聚合网络功能。4记录通过防火墙的网络连接活动实现网络监控。四.Web防火墙传统防火墙通过过滤技术主要对第2层到第层进行防护面对应用层防护能力很弱。1.常见的攻击有SQL注入XSS反序列化远程命令执行文件上传WebShell等利用软件漏洞进行的攻击。Web 应用防火墙Web Application FirewallWAF是一种用于 HTTP 应用的防火墙工作在应用层除了拦截具体的 IP 地址或端口WAF 可以更深入地检测 Web 流量通过匹配 Web 攻击特征库发现攻击并阻断。2.Web应用防火墙的功能Web攻击防护通过特征匹配阻断 SQL 注入、跨站脚本攻击、Web 扫描等攻击行为。Web登录攻击防护包括暴力破解防护、撞库防护、弱口令防护等。漏洞利用防护包括反序列化漏洞利用、远程命令执行利用等其他软件漏洞利用攻击防护。Web恶意行为防护包括恶意注册防护、高频交易防护、薅羊毛行为防护、短信验证码滥刷防护等。恶意流量防护包括 CC 攻击防护、人机识别、TCP Flood 攻击防护等。五.入侵检查系统IDS通常来说入侵检测系统应包括如下主要功能1监测并分析用户和系统的网络活动。2匹配特征库识别已知的网络攻击、信息破坏、有害程序和漏洞等攻击行为。3统计分析异常行为。4发现异常行为时可与防火墙联动由防火墙对网络攻击行为实施阻断。六.入侵防御系统IPS通常入侵防御系统具有如下功能1监测并分析用户和系统的网络活动。2匹配特征库识别已知的网络攻击、信息破坏、有害程序和漏洞等攻击行为并阻断攻击。3统计分析异常行为。七.网络病毒系统1.计算机病毒个概念计算机病毒是一段非常短的通常只有几千个字节会不断自我复制隐藏和感染其他程序或计算机的程序代码。携带计算机病毒的计算机程序称为计算机病毒载体或被感染程序。2.计算机病毒特性传染性隐蔽性潜伏性破坏性针对性衍生性寄生性未知性。3.典型的网络病毒1.宏病毒宏病毒是一种寄存在文档的宏中的计算机病毒即应用软件相关的应用文档内含有称为宏的可执行代码病毒办公文档和电子邮件都是宏病毒的常用载体宏病毒能够感染运行不同操作系统平台的计算机。2.特洛伊木马特洛伊木马是一种密码潜伏的能够通过远程网络进行控制的恶意程序。完整的木马程序有两个部分组成一个是服务端被控制端一个是客户端控制端。常见的特洛伊木马有Back Orifice,NetBus,ProSUB7广外女生广外男生灰鸽子蜜蜂大盗和Dropper。3.蠕虫病毒蠕虫病毒是利用网络进行复制和传播的计算机病毒。典型的蠕虫病毒有冲击波爱虫求职信和熊猫烧香。4.CIH病毒CIH病毒属于文件型病毒5.勒索病毒勒索病毒是近年来影响力最大的病毒之一最有名的为 WannaCry 勒索病毒该病毒利用 Windows 操作系统的 SMB 服务445 端口的漏洞进行传播能够在短时间内感染一个局域网内的全部计算机。当主机感染病毒后主机上的重要文件如照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件将被加密。2017 年 5 月 12 日WannaCry 勒索病毒在全球范围内大规模爆发感染了大量的计算机。受害者的计算机被黑客锁定后病毒会提示支付价值相当于 300 美元的比特币才可解锁