参考答案:
【问题1】 【问题2】 (2)默认允许:一切没有被禁止的就是允许的。 (2)Reject :拒绝数据包或信息通过,并且通知信息源该信息被禁止; (3)Drop:直接将数据包或信息丢弃,并且不通知信息源。 【问题4】
(1)53 (2)丢弃或Drop
其安全需求为:(1)允许内部用户访问外部网络的网页服务器;(2)允许外部用户访问内部网络的网页服务器 (202.114.64.125);(3)除 1和2 外,禁止其他任何网络流量通过该防火墙。
(1)默认拒绝:一切没有被允许的就是禁止的;
【问题3】
(1)Accept:允许数据包或信息通过;
服务控制和方向控制。
详细解析:
【问题1】
规则 A 和 B 允许内部用户访问外部网络的网页服务器。规则 C 和 D 允许外部用户访问内部网络的网页服务器。规则 E 和 F 允许内部用户访问域名服务器。规则 G 是缺省拒绝的规则。规则E中目的端口为53;规则G中动作为Drop。
其安全需求为:①允许内部用户访问外部网络的网页服务器;②允许外部用户访问内部网络的网页服务器 (202.114.64.125);③除 1 和 2 外,禁止其他任何网络流量通过该防火墙。
【问题2】
缺省规则有两种选择:默认拒绝或者默认允许。默认拒绝是指一切未被允许的就是禁止的,其安全规则的处理方式一般为 Accept;默认允许是指一切未被禁止的就是允许的。其安全规则的处理方式一般为 Reject 或 Drop。
【问题3】
防火墙规则中的处理方式主要包括以下几种:
(1)Accept:允许数据包或信息通过。
(2)Reject:拒绝数据包或信息通过,并且通知信息源该信息被禁止。
(3)Drop:直接将数据包或信息丢弃,并且不通知信息源。
【问题4】
防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面或层次的内容:
(1)服务控制:决定哪些服务可以被访问,无论这些服务是在内部网络还是在外部网络。常见的网络服务有邮件服务、网页服务、代理服务、文件服务等,这些服务往往是系统对外的功能。在计算机网络中,服务往往就是指 TCP/IP协议中的端口值,如 25 是指 SMTP 服务,110是指 POP3 服务,80是指网页服务等。当然,服务控制也包括服务的位置控制,如 E 地址。
(2)方向控制:决定在哪些特定的方向上服务请求可以被发起并通过防火墙,也就是服务是位于内部网络还是外部网络。通过规则控制,可以限定一个方向的服务,也可以同时限定两个方向的服务。
(3)用户控制:决定哪些用户可以访问特定服务。该技术既可以应用于防火墙网络内部的用户(本地用户),也可以被应用到来自外部用户的访问。可以采用用户名、主机的 IP、主机的 MAC 等标识用户。
(4)行为控制:决定哪些具体的服务内容是否符合安全策略。如防火墙可以通过过滤邮件来清除垃圾邮件,以及网络流量中是否含有计算机病毒、木马等恶意代码。
规则A只规定了内部网访问外部网络的80端口的特定服务的过滤规则,设计服务控制和方向控制。