软考软件测评师——系统安全设计(防火墙技术)
目录
一、核心概念解析
二、技术联动体系
三、技术局限认知
四、网络架构设计
五、防护系统测试规范
一、核心概念解析
1. 防火墙技术
网络安全基础防护体系,通过软硬件结合方式在内外部网络间建立隔离屏障。核心作用包括流量监控、访问控制、日志记录三大模块,有效保障数据传输安全与信息完整性。
2. 核心功能特性
- 实时风险预警与处置机制
- 全流量方向管控(进/出双向过滤)
- 操作行为审计追踪系统
- 网络结构信息隐匿技术
- 流量可视化分析平台
注:不具备病毒查杀与漏洞扫描能力
二、技术联动体系
3. 入侵检测系统(IDS)
- 安全防护第二道闸门
- 支持多维度监控:安全审计/攻击识别/应急响应
- 分布式探针部署架构
- 实时防护三大威胁:外部渗透/内部越权/误操作风险
4. 网关级病毒防护
- 部署位置:内外网交界网关节点
- 工作模式:全流量病毒特征扫描
- 防护范围:基于特征库的已知威胁拦截
三、技术局限认知
5. 防护盲区警示
- 应用层攻击防御缺失(如恶意URL)
- 新型病毒变种无法识别
- 无法替代专业漏洞扫描工具
- 复杂网络环境配置难度指数级增长
6. 包过滤防火墙要点
- 四元组管控策略:源/目的IP + 端口号 + 协议类型
- 工作层级:网络层(OSI第三层)
- 典型缺陷:状态检测能力缺失,无法识别伪造会话
四、网络架构设计
7. DMZ安全区规划
- 战略定位:公共服务缓冲区
- 典型部署设备:Web服务器/邮件网关
- 禁止放置设备:
▫️ 核心业务系统(财务/ERP)
▫️ 安全管控平台(IDS/日志服务器)
五、防护系统测试规范
8. 六维评估体系
服务类型控制能力(HTTP/FTP/SMTP)
高可用架构支持(双机热备/集群)
混合工作模式(路由/透明桥接)
日志分析深度(流量基线/异常模式)
分布式存储支持(本地/远程数据库)
分级告警机制(邮件/短信/可视化大屏)
第二部分 综合知识历年真题
2019下综合知识历年真题(1分)
【2019年评测真题第08题:绿色】
08.常用作网络边界防范的是( )。
A.防火墙
B.入侵检测
C.防毒墙
D.漏洞扫描
解答:答案选择A。
2018下综合知识历年真题(1分)
【2018年评测真题第09题:红色】
09.防火墙对数据包进行过滤时,不能过滤的是( )。
A.源和目的IP地址
B.存在安全威胁的URL地址
C.IP协议号
D.源和目的端口
解答:答案选择B。
2017下综合知识历年真题(1分)
【2017年评测真题第08题:绿色】
08.以下关于防火墙功能特性的说法中,错误的是( )。
A.控制进出网络的数据包和数据流向
B.提供流量信息的日志和审计
C.隐藏内部IP以及网络结构细节
D.提供漏洞扫描功能
解答:答案选择D。
2015下综合知识历年真题(1分)
【2015年评测真题第14题:绿色】
14.防火墙不具备( )功能。
A.包过滤
B.查毒
C.记录访问过程
D.代理
解答:答案选择B。
2014下综合知识历年真题(2分)
【2014年评测真题第58题:红色】
58.包过滤防火墙是一种通过软件检查数据包以实现系统安全防护的基本手段,以下叙述中,不正确的是 ( ) .
A.包过滤防火墙通常工作在网络层以上,因此可以实现对应用层数据的检查与过滤
B.包过滤防火墙通常根据数据包源地址、目的地址、端口号和协议类型等标志设置访问控制列表实现对数据包的过滤
C.数据包过滤用在内部主机和外部主机之间,过滤系统可以是一台路由器或是一台主机
D.当网络规模比较复杂时,由于要求逻辑的一致性、封堵端口的有效性和规则集的正确性等原因,会导致访问控制规则复杂,难以配置管理
解答:答案选择A。
【2014年评测真题第09题:红色】
09.网络系统中,通常把 ( ) 置于DMZ区。
A.网络管理服务器
B.Web服务器
C.入侵检测服务器
D.财务管理服务器
解答:答案选择B。
2011下综合知识历年真题(1分)
【2011年评测真题第25题:红色】
25.某应用系统采用防火墙技术来实现安全防护,在进行安全防护测试时,设计的测试点不包括( )。
A.是否支持对HTTP、FTP、SMTP等服务类型的访问控制
B.是否在检测到入侵事件时,自动执行切断服务、记录入侵过程等动作
C.是否支持交换和路由两种工作模式
D.是否考虑到防火墙的冗余设计
解答:答案选择B。