下列不能進行包過濾的設備

① 安全設備指什麼（包過濾、訪問控制）

保衛自我的一些攝制器材！一些保障你隱私的軟體和設備。一般是密碼，防毒軟體密碼、安全防護等！@不同的應用，安全設備的定義不用，太廣泛了

② 計算機網路安全技術試題

《計算機網路安全》試卷
1. 非法接收者在截獲密文後試圖從中分析出明文的過程稱為（ A ） A. 破譯 B. 解密 C. 加密 D. 攻擊
2. 以下有關軟體加密和硬體加密的比較，不正確的是（ B ） A. 硬體加密對用戶是透明的，而軟體加密需要在操作系統或軟體中寫入加密程序 B. 硬體加密的兼容性比軟體加密好 C. 硬體加密的安全性比軟體加密好 D. 硬體加密的速度比軟體加密快
3. 下面有關3DES的數學描述，正確的是（ B ） A. C=E(E(E(P, K1), K1), K1) B. C=E(D(E(P, K1), K2), K1) C. C=E(D(E(P, K1), K1), K1) D. C=D(E(D(P, K1), K2), K1)
4. PKI無法實現（ D ） A. 身份認證 B. 數據的完整性 C. 數據的機密性 D. 許可權分配
5. CA的主要功能為（ D ） A. 確認用戶的身份 B. 為用戶提供證書的申請、下載、查詢、注銷和恢復等操作 C. 定義了密碼系統的使用方法和原則 D. 負責發放和管理數字證書
6. 數字證書不包含（ B ） A. 頒發機構的名稱 B. 證書持有者的私有密鑰信息 C. 證書的有效期 D. CA簽發證書時所使用的簽名演算法
7. 「在網際網路上沒有人知道對方是一個人還是一條狗」這個故事最能說明（ A ） A. 身份認證的重要性和迫切性 B. 網路上所有的活動都是不可見的 C. 網路應用中存在不嚴肅性 D. 計算機網路是一個虛擬的世界
8. 以下認證方式中，最為安全的是（ D ） A. 用戶名+密碼 B. 卡+密鑰 C. 用戶名+密碼+驗證碼 D. 卡+指紋
9. 將通過在別人丟棄的廢舊硬碟、U盤等介質中獲取他人有用信息的行為稱為（ D ） A. 社會工程學 B. 搭線竊聽 C. 窺探 D. 垃圾搜索
10. ARP欺騙的實質是（ A ） A. 提供虛擬的MAC與IP地址的組合 B. 讓其他計算機知道自己的存在 C. 竊取用戶在網路中傳輸的數據 D. 擾亂網路的正常運行
11. TCP SYN泛洪攻擊的原理是利用了（ A ） A. TCP三次握手過程 B. TCP面向流的工作機制 C. TCP數據傳輸中的窗口技術 D. TCP連接終止時的FIN報文
12. DNSSEC中並未採用（C ）
A. 數字簽名技術 B. 公鑰加密技術 C. 地址綁定技術 D. 報文摘要技術
13. 當計算機上發現病毒時，最徹底的清除方法為（ A ） A. 格式化硬碟 B. 用防病毒軟體清除病毒 C. 刪除感染病毒的文件 D. 刪除磁碟上所有的文件
14. 木馬與病毒的最大區別是（ B ） A. 木馬不破壞文件，而病毒會破壞文件 B. 木馬無法自我復制，而病毒能夠自我復制 C. 木馬無法使數據丟失，而病毒會使數據丟失 D. 木馬不具有潛伏性，而病毒具有潛伏性
15. 經常與黑客軟體配合使用的是（ C ） A. 病毒 B. 蠕蟲 C. 木馬 D. 間諜軟體
16. 目前使用的防殺病毒軟體的作用是（C ） A. 檢查計算機是否感染病毒，並消除已感染的任何病毒 B. 杜絕病毒對計算機的侵害 C. 檢查計算機是否感染病毒，並清除部分已感染的病毒 D. 查出已感染的任何病毒，清除部分已感染的病毒
17. 死亡之ping屬於（ B ） A. 冒充攻擊 B. 拒絕服務攻擊 C. 重放攻擊 D. 篡改攻擊
18. 淚滴使用了IP數據報中的（ A ） A. 段位移欄位的功能 B. 協議欄位的功能 C. 標識欄位的功能 D. 生存期欄位的功能
19. ICMP泛洪利用了（ C ） A. ARP命令的功能 B. tracert命令的功能 C. ping命令的功能 D. route命令的功能
20. 將利用虛假IP地址進行ICMP報文傳輸的攻擊方法稱為（ D ） A. ICMP泛洪 B. LAND攻擊 C. 死亡之ping D. Smurf攻擊
21. 以下哪一種方法無法防範口令攻擊（ A ） A. 啟用防火牆功能 B. 設置復雜的系統認證口令 C. 關閉不需要的網路服務 D. 修改系統默認的認證名稱
22． 以下設備和系統中，不可能集成防火牆功能的是（ A ） A.集線器 B. 交換機 C. 路由器 D. Windows Server 2003操作系統
23. 對「防火牆本身是免疫的」這句話的正確理解是（ B ） A. 防火牆本身是不會死機的 B. 防火牆本身具有抗攻擊能力 C. 防火牆本身具有對計算機病毒的免疫力 D. 防火牆本身具有清除計算機病毒的能力
24. 以下關於傳統防火牆的描述，不正確的是（A ） A. 即可防內，也可防外 B. 存在結構限制，無法適應當前有線網路和無線網路並存的需要 C. 工作效率較低，如果硬體配置較低或參數配置不當，防火牆將成形成網路瓶頸 D. 容易出現單點故障
25. 下面對於個人防火牆的描述，不正確的是（ C ） A. 個人防火牆是為防護接入互聯網的單機操作系統而出現的 B. 個人防火牆的功能與企業級防火牆類似，而配置和管理相對簡單 C. 所有的單機殺病毒軟體都具有個人防火牆的功能 D. 為了滿足非專業用戶的使用，個人防火牆的配置方法相對簡單
26.VPN的應用特點主要表現在兩個方面，分別是（ A ） A. 應用成本低廉和使用安全 B. 便於實現和管理方便 C. 資源豐富和使用便捷 D. 高速和安全
27. 如果要實現用戶在家中隨時訪問單位內部的數字資源，可以通過以下哪一種方式實現（ C ） A. 外聯網VPN B. 內聯網VPN C. 遠程接入VPN D. 專線接入
28. 在以下隧道協議中，屬於三層隧道協議的是（ D ） A. L2F B. PPTP C. L2TP D. IPSec
29.以下哪一種方法中，無法防範蠕蟲的入侵。（B ） A. 及時安裝操作系統和應用軟體補丁程序 B. 將可疑郵件的附件下載等文件夾中，然後再雙擊打開 C. 設置文件夾選項，顯示文件名的擴展名 D. 不要打開擴展名為VBS、SHS、PIF等郵件附件
30. 以下哪一種現象，一般不可能是中木馬後引起的（ B ） A. 計算機的反應速度下降，計算機自動被關機或是重啟 B. 計算機啟動時速度變慢，硬碟不斷發出「咯吱，咯吱」的聲音 C. 在沒有操作計算機時，而硬碟燈卻閃個不停 D. 在瀏覽網頁時網頁會自動關閉，軟碟機或光碟機會在無盤的情況下讀個不停
31.下面有關DES的描述，不正確的是 （A） A. 是由IBM、Sun等公司共同提出的 B. 其結構完全遵循Feistel密碼結構 C. 其演算法是完全公開的 D. 是目前應用最為廣泛的一種分組密碼演算法
32． 「信息安全」中的「信息」是指 （A） A、以電子形式存在的數據 B、計算機網路 C、信息本身、信息處理過程、信息處理設施和信息處理都 D、軟硬體平台
33. 下面不屬於身份認證方法的是 （A ） A. 口令認證 B. 智能卡認證 C. 姓名認證 D. 指紋認證
34. 數字證書不包含 （ B） A. 頒發機構的名稱 B. 證書持有者的私有密鑰信息 C. 證書的有效期 D. CA簽發證書時所使用的簽名演算法
35. 套接字層（Socket Layer）位於 （B ） A. 網路層與傳輸層之間 B. 傳輸層與應用層之間 C. 應用層 D. 傳輸層
36. 下面有關SSL的描述，不正確的是
A. 目前大部分Web瀏覽器都內置了SSL協議 B. SSL協議分為SSL握手協議和SSL記錄協議兩部分 C. SSL協議中的數據壓縮功能是可選的 D. TLS在功能和結構上與SSL完全相同
37. 在基於IEEE 802.1x與Radius組成的認證系統中，Radius伺服器的功能不包括（ D ） A. 驗證用戶身份的合法性 B. 授權用戶訪問網路資源 C. 對用戶進行審計 D. 對客戶端的MAC地址進行綁定
38. 在生物特徵認證中，不適宜於作為認證特徵的是（ D ） A. 指紋 B. 虹膜 C. 臉像 D. 體重
39. 防止重放攻擊最有效的方法是（B ） A. 對用戶賬戶和密碼進行加密 B. 使用「一次一密」加密方式 C. 經常修改用戶賬戶名稱和密碼 D. 使用復雜的賬戶名稱和密碼
40. 計算機病毒的危害性表現在（ B） A. 能造成計算機部分配置永久性失效 B. 影響程序的執行或破壞用戶數據與程序 C. 不影響計算機的運行速度 D. 不影響計算機的運算結果
41. 下面有關計算機病毒的說法，描述不正確的是（ B ） A. 計算機病毒是一個MIS程序 B. 計算機病毒是對人體有害的傳染性疾病 C. 計算機病毒是一個能夠通過自身傳染，起破壞作用的計算機程序 D. 計算機病毒是一段程序，只會影響計算機系統，但不會影響計算機網路
42 計算機病毒具有（ A ） A. 傳播性、潛伏性、破壞性 B. 傳播性、破壞性、易讀性 C. 潛伏性、破壞性、易讀性 D. 傳播性、潛伏性、安全性
43. 目前使用的防殺病毒軟體的作用是（ C ） A. 檢查計算機是否感染病毒，並消除已感染的任何病毒 B. 杜絕病毒對計算機的侵害 C. 檢查計算機是否感染病毒，並清除部分已感染的病毒 D. 查出已感染的任何病毒，清除部分已感染的病毒
44 在DDoS攻擊中，通過非法入侵並被控制，但並不向被攻擊者直接發起攻擊的計算機稱為（ B ） A. 攻擊者 B. 主控端 C. 代理伺服器 D. 被攻擊者
45. 對利用軟體缺陷進行的網路攻擊，最有效的防範方法是（ A ） A. 及時更新補丁程序 B. 安裝防病毒軟體並及時更新病毒庫 C. 安裝防火牆 D. 安裝漏洞掃描軟體
46. 在IDS中，將收集到的信息與資料庫中已有的記錄進行比較，從而發現違背安全策略的行為，這類操作方法稱為（A ） A. 模式匹配 B. 統計分析 C. 完整性分析 D. 不確定
47. IPS能夠實時檢查和阻止入侵的原理在於IPS擁有眾多的（ C ） A. 主機感測器 B. 網路感測器 C. 過濾器 D. 管理控制台 （D ）

③ 請問交換機的支持L2（Layer 2）~L4（Layer 4）包過濾功能，具體值得是哪些內容啊

計算機網路往往由許多種不同類型的網路互連連接而成。如果幾個計算機網路只是在物理上連接在一起，它們之間並不能進行通信，那麼這種「互連」並沒有什麼實際意義。因此通常在談到「互連」時，就已經暗示這些相互連接的計算機是可以進行通信的，也就是說，從功能上和邏輯上看，這些計算機網路已經組成了一個大型的計算機網路，或稱為互聯網路，也可簡稱為互聯網、互連網。將網路互相連接起來要使用一些中間設備（或中間系統），ISO的術語稱之為中繼（relay）系統。根據中繼系統所在的層次，可以有以下五種中繼系統：1.物理層（即常說的第一層、層L1）中繼系統，即轉發器（repeater）。2.數據鏈路層（即第二層，層L2），即網橋或橋接器（bridge）。3.網路層（第三層，層L3）中繼系統，即路由器（router）。4.網橋和路由器的混合物橋路器（brouter）兼有網橋和路由器的功能。5.在網路層以上的中繼系統，即網關（gateway）.當中繼系統是轉發器時，一般不稱之為網路互聯，因為這僅僅是把一個網路擴大了，而這仍然是一個網路。高層網關由於比較復雜，目前使用得較少。因此一般討論網路互連時都是指用交換機和路由器進行互聯的網路。本文主要闡述交換機和路由器及其區別。交換機和路由器「交換」是今天網路里出現頻率最高的一個詞，從橋接到路由到ATM直至電話系統，無論何種場合都可將其套用，搞不清到底什麼才是真正的交換。其實交換一詞最早出現於電話系統，特指實現兩個不同電話機之間話音信號的交換，完成該工作的設備就是電話交換機。所以從本意上來講，交換只是一種技術概念，即完成信號由設備入口到出口的轉發。因此，只要是和符合該定義的所有設備都可被稱為交換設備。由此可見，「交換」是一個涵義廣泛的詞語，當它被用來描述數據網路第二層的設備時，實際指的是一個橋接設備；而當它被用來描述數據網路第三層的設備時，又指的是一個路由設備。我們經常說到的乙太網交換機實際是一個基於網橋技術的多埠第二層網路設備，它為數據幀從一個埠到另一個任意埠的轉發提供了低時延、低開銷的通路。由此可見，交換機內部核心處應該有一個交換矩陣，為任意兩埠間的通信提供通路，或是一個快速交換匯流排，以使由任意埠接收的數據幀從其他埠送出。在實際設備中，交換矩陣的功能往往由專門的晶元（ASIC）完成。另外，乙太網交換機在設計思想上有一個重要的假設，即交換核心的速度非常之快，以致通常的大流量數據不會使其產生擁塞，換句話說，交換的能力相對於所傳信息量而無窮大（與此相反，ATM交換機在設計上的思路是，認為交換的能力相對所傳信息量而言有限）。雖然乙太網第二層交換機是基於多埠網橋發展而來，但畢竟交換有其更豐富的特性，使之不但是獲得帶寬的最好途徑，而且還使網路更易管理。而路由器是OSI協議模型的網路層中的分組交換設備（或網路層中繼設備），路由器的基本功能是把數據（IP報文）傳送到正確的網路，包括：1.IP數據報的轉發，包括數據報的尋徑和傳送；2.子網隔離，抑制廣播風暴；3.維護路由表，並與其他路由器交換路由信息，這是IP報文轉發的基礎。4.IP數據報的差錯處理及簡單的擁塞控制；5.實現對IP數據報的過濾和記帳。對於不同地規模的網路，路由器的作用的側重點有所不同。在主幹網上，路由器的主要作用是路由選擇。主幹網上的路由器，必須知道到達所有下層網路的路徑。這需要維護龐大的路由表，並對連接狀態的變化作出盡可能迅速的反應。路由器的故障將會導致嚴重的信息傳輸問題。在地區網中，路由器的主要作用是網路連接和路由選擇，即連接下層各個基層網路單位－－園區網，同時負責下層網路之間的數據轉發。在園區網內部，路由器的主要作用是分隔子網。早期的互連網基層單位是區域網（LAN），其中所有主機處於同一邏輯網路中。隨著網路規模的不斷擴大，區域網演變成以高速主幹和路由器連接的多個子網所組成的園區網。在其中，處個子網在邏輯上獨立，而路由器就是唯一能夠分隔它們的設備，它負責子網間的報文轉發和廣播隔離，在邊界上的路由器則負責與上層網路的連接。第二層交換機和路由器的區別傳統交換機從網橋發展而來，屬於OSI第二層即數據鏈路層設備。它根據MAC地址定址，通過站表選擇路由，站表的建立和維護由交換機自動進行。路由器屬於OSI第三層即網路層設備，它根據IP地址進行定址，通過路由表路由協議產生。交換機最大的好處是快速，由於交換機只須識別幀中MAC地址，直接根據MAC地址產生選擇轉發埠演算法簡單，便於ASIC實現，因此轉發速度極高。但交換機的工作機制也帶來一些問題。1.迴路：根據交換機地址學習和站表建立演算法，交換機之間不允許存在迴路。一旦存在迴路，必須啟動生成樹演算法，阻塞掉產生迴路的埠。而路由器的路由協議沒有這個問題，路由器之間可以有多條通路來平衡負載，提高可靠性。2.負載集中：交換機之間只能有一條通路，使得信息集中在一條通信鏈路上，不能進行動態分配，以平衡負載。而路由器的路由協議演算法可以避免這一點，OSPF路由協議演算法不但能產生多條路由，而且能為不同的網路應用選擇各自不同的最佳路由。3.廣播控制：交換機只能縮小沖突域，而不能縮小廣播域。整個交換式網路就是一個大的廣播域，廣播報文散到整個交換式網路。而路由器可以隔離廣播域，廣播報文不能通過路由器繼續進行廣播。4.子網劃分：交換機只能識別MAC地址。MAC地址是物理地址，而且採用平坦的地址結構，因此不能根據MAC地址來劃分子網。而路由器識別IP地址，IP地址由網路管理員分配，是邏輯地址且IP地址具有層次結構，被劃分成網路號和主機號，可以非常方便地用於劃分子網，路由器的主要功能就是用於連接不同的網路。5.保密問題：雖說交換機也可以根據幀的源MAC地址、目的MAC地址和其他幀中內容對幀實施過濾，但路由器根據報文的源IP地址、目的IP地址、TCP埠地址等內容對報文實施過濾，更加直觀方便。6.介質相關：交換機作為橋接設備也能完成不同鏈路層和物理層之間的轉換，但這種轉換過程比較復雜，不適合ASIC實現，勢必降低交換機的轉發速度。因此目前交換機主要完成相同或相似物理介質和鏈路協議的網路互連，而不會用來在物理介質和鏈路層協議相差甚元的網路之間進行互連。而路由器則不同，它主要用於不同網路之間互連，因此能連接不同物理介質、鏈路層協議和網路層協議的網路。路由器在功能上雖然占據了優勢，但價格昂貴，報文轉發速度低。近幾年，交換機為提高性能做了許多改進，其中最突出的改進是虛擬網路和三層交換。劃分子網可以縮小廣播域，減少廣播風暴對網路的影響。路由器每一介面連接一個子網，廣播報文不能經過路由器廣播出去，連接在路由器不同介面的子網屬於不同子網，子網范圍由路由器物理劃分。對交換機而言，每一個埠對應一個網段，由於子網由若干網段構成，通過對交換機埠的組合，可以邏輯劃分子網。廣播報文只能在子網內廣播，不能擴散到別的子網內，通過合理劃分邏輯子網，達到控制廣播的目的。由於邏輯子網由交換機埠任意組合，沒有物理上的相關性，因此稱為虛擬子網，或叫虛擬網。虛擬網技術不用路由器就解決了廣播報文的隔離問題，且虛擬網內網段與其物理位置無關，即相鄰網段可以屬於不同虛擬網，而相隔甚遠的兩個網段可能屬於不同虛擬網，而相隔甚遠的兩個網段可能屬於同一個虛擬網。不同虛擬網內的終端之間不能相互通信，增強了對網路內數據的訪問控制。交換機和路由器是性能和功能的矛盾體，交換機交換速度快，但控制功能弱，路由器控制性能強，但報文轉發速度慢。解決這個矛盾的最新技術是三層交換，既有交換機線速轉發報文能力，又有路由器良好的控制功能。第三層交換機和路由器的區別在第三層交換技術出現之前，幾乎沒有必要將路由功能器件和路由器區別開來，他們完全是相同的：提供路由功能正在路由器的工作，然而，現在第三層交換機完全能夠執行傳統路由器的大多數功能。作為網路互連的設備，第三層交換機具有以下特徵：1.轉發基於第三層地址的業務流；2.完全交換功能；3.可以完成特殊服務，如報文過濾或認證；4.執行或不執行路由處理。第三層交換機與傳統路由器相比有如下優點：1.子網間傳輸帶寬可任意分配：傳統路由器每個介面連接一個子網，子網通過路由器進行傳輸的速率被介面的帶寬所限制。而三層交換機則不同，它可以把多個埠定義成一個虛擬網，把多個埠組成的虛擬網作為虛擬網介面，該虛擬網內信息可通過組成虛擬網的埠送給三層交換機，由於埠數可任意指定，子網間傳輸帶寬沒有限制。2.合理配置信息資源：由於訪問子網內資源速率和訪問全局網中資源速率沒有區別，子網設置單獨伺服器的意義不大，通過在全局網中設置伺服器群不僅節省費用，更可以合理配置信息資源。3.降低成本：通常的網路設計用交換機構成子網，用路由器進行子網間互連。目前採用三層交換機進行網路設計，既可以進行任意虛擬子網劃分，又可以通過交換機三層路由功能完成子網間通信，為此節省了價格昂貴的路由器。4.交換機之間連接靈活：作為交換機，它們之間不允許存在迴路，作為路由器，又可有多條通路來提高可靠性、平衡負載。三層交換機用生成樹演算法阻塞造成迴路的埠，但進行路由選擇時，依然把阻塞掉的通路作為可選路徑參與路由選擇。五、結論綜上所述，交換機一般用於LAN－WAN的連接，交換機歸於網橋，是數據鏈路層的設備，有些交換機也可實現第三層的交換。路由器用於WAN－WAN之間的連接，可以解決異性網路之間轉發分組，作用於網路層。他們只是從一條線路上接受輸入分組，然後向另一條線路轉發。這兩條線路可能分屬於不同的網路，並採用不同協議。相比較而言，路由器的功能較交換機要強大，但速度相對也慢，價格昂貴，第三層交換機既有交換機線速轉發報文能力，又有路由器良好的控制功能，因此得以廣播應用。

④ 求去年的計算機2,3級考試的筆試和機試題

我有四份題目
發不過去

2006年9月全國計算機等級考試三級網路技術筆試試卷

一、選擇題（每小題 1 分，共 60 分）
下列各題 A）、B）、C）、D）四個選項中，只有一個選項是正確的，請將正確選項塗寫
在答題卡相應位置上，答在試卷上不得分。

（1）微處理器已經進入雙核和 64 位的時代，當前與 Intel 公司在晶元技術上全面競爭並獲得不俗業績的公司是______。
A）AMD 公司
B）HP 公司
C）SUN 公司
D）IBM 公司

（2）1983 年阿帕網正式採用 TCP/IP 協議，標志著網際網路的出現。我國最早與網際網路正式連接的時間是______。
A）1984 年
B）1988 年
C）1994 年
D）1998 年

（3）以下關於奔騰處理器體系結構的描述中，哪一個是錯誤的？
A）哈佛結構是把指令和數據進行混合存儲
B）超流水線技術的特點是提高主頻、細化流水
C）超標量技術的特點是設置多條流水同 執行多個處理
D）分支預測能動態預測程序分支的轉移

（4）以下關於 PCI 局部匯流排的描述中，哪一個是錯誤的？
A）PCI 的含義是外圍部件介面
B）PCI 的含義是個人電腦介面
C）PCI 比 EISA 有明顯的優勢
D）PCI 比 VESA 有明顯的優勢

（5）以下關於主板的描述中，哪一個是錯誤的？
A）按 CPU 插座分類有 Slot 主板、Socket 主板
B）按主板的規格分類有 TX 主板、DX 主板
C）按數據埠分類為 SCSI 主板、EDO 主板
D）按的展槽分類有 PCI 主板、USB 主板

（6）以下關於應用軟體的描述中，哪一個是正確的？
A）微軟公司的瀏覽軟體是 Internet Explorer
B）桌面出版軟體有 Publisher、Powerpoint
C）電子表格軟體有 Excel、Access
D）金山公司的文字處理是 WPS 2000
（7）以下關於計算機網路特徵的描述中，哪一個是錯誤的？
A）計算機網路建立的主要目的是實現計算機資源的共享
B）網路用戶可以調用網中多台計算機共同完成某項任務
C）聯網計算機既可以聯網工作也可以脫網工作
D）聯網計算機必須作用統一的操作系統

（8）哪種廣域網技術是在 X.25 公用分組交換網的基礎上發展起來的？
A）ATM
B）幀中繼
C）ADSL
D）光纖分布式數據介面

（9）在實際的計算機網路組建過程中，一般首先應該做什麼？
A）網路拓撲結構設計
B）設備選型
C）應用程序結構設計
D）網路協議選型

（10）綜合業務數字網 ISDN 設計的目標是：提供一個在世界范圍內協調一致的數字通信網路，支持各種通信服務，並在不同的國家採用相同的______。
A）標准
B）結構
C）設備
D）應用

（11）城域網的主幹網採用的傳輸介質主要是______。
A）同軸電纜 B）光纖
C）屏蔽雙膠線
D）無線信道

（12）常用的數據傳輸率單位有 kbps、Mbps、Gips，如果區域網的傳輸速率 100Mbps，那麼發送 1bit 數據需要的時間是______。
A）1×10-6s
B）1×10-7s
C）1×10-8s
D）1×10-9s

（13）誤碼率是指二進制碼元在數據傳輸系統中被傳錯的______。
A）比特數
B）位元組數
C）概率
D）速度

（14）T1 載波速率為______。
A）1.544Mbps
B)2.048Mbps
C)64kbps
D)128kbps

（15）以下關於 OSI 參考模型的描述中，哪一種說法是錯誤的？
A）OSI 參考模型定義了開放系統的層次結構
B）OSI 參考模型定義了各層所包括的可能的服務
C）OSI 參考模型定義了各層介面的實現方法
D）OSI 參考模型作為一個框架協調組織各層協議的制定

（16）地址解析協議 ARP 屬於 TCP/IP 的哪一層？
A）主機-網路層
B）互聯層
C）傳輸層
D）應用層

（17）IEEE 802.1 標准主要包括哪些內容？
I.區域網體系結構
II.網路互聯
III.網路管理
IV.性能測試
A）僅Ⅰ和Ⅱ
B）僅Ⅰ、Ⅱ和Ⅲ
C）僅Ⅱ和Ⅲ
D）全部

（18）IEEE 802.3z 標準定義了千兆介質專用介面 GMI 的目的是分隔 MAC 子層與______。
A）物理層
B）LLC 子層
C）信號編碼方式
D）傳輸介質

（19）Ethernet 交換機實質上是一個多埠的______。
A）中繼器
B）集線器
C）網橋
D）路由器

（20）採用直接交換方式的 Ethernet 交換機，其優點是交換延遲時間短，不足之處是缺乏______。
A）並發交換能力
B）差錯檢測能力
C）路由能力
D）地址解析能力

（21）如果將符合 10BASET 標準的 4 個 HUB 連接起來，那麼在這個區域網中相隔最遠的兩台
計算機之間的最大距離為______。
A）200 米
B）300 米
C）400 米
D）500 米

（22）以下關於 Ethernet 地址的描述，哪個是錯誤的？
A）Ethernet 地址就是通常所說的 MAC 地址
B）MAC 地址又叫做區域網硬體地址
C）域名解析必然會用到 MAC 地址
D）區域網硬體地址存儲在網卡之中

（23） 以下哪個地址是 MAC 地址？
A）0D-01-22-AA
B）00-01-22-0A-AD-01
C）A0.01.00
D)139.216.000.012.002

（24）在一個 Ethernet 中，有 A、B、C、D 四台主機，如果 A 向 B 發送數據，那麼______。
A）只有 B 可以接收到數據
B）四台主機都能接收到數據
C）只有 B、C、D 可以接收到數據
D）四台主機都不能接收到數據

（25）以下關於虛擬局域特徵的描述中，哪一種說法是錯誤的？
A）虛擬區域網建立在區域網交換機或 ATM 交換機之上
B）虛擬區域網能將網上的結點按工作性質與需要劃分成若干個邏輯工作組
C）虛擬區域網以軟體方式實現邏輯工作組的劃分與管理
D）同一邏輯工作組的成員必須連接在同一個物理網段上

（26）以下關於操作系統的描述中，哪一種說法是錯誤的？
A）DOS 是單任務的圖形界面操作系統
B）DOS 通過 FAT 文件表示尋找磁碟文件
C）Windows 是多任務的圖形界面操作系統
D）Windows 通過虛擬文件表 VFAT 尋找磁碟文件

（27）以下關於網路操作系統的描述中，哪一個說法是錯誤的？
A）屏蔽本地資源和網路資源之間的差異
B）具有硬體獨立特性，支持多平台
C）提供文件服務和列印管理
D）客戶和伺服器的軟體可以互換

（28）以下關於 Windows2000 的描述中，哪一種說法是錯誤的？
A）伺服器的新功能之一是活動目錄服務
B）域是基本的管理單位
C）域控制器不再區分主從結構
D）數據中心版適合數字家庭使用

（29）以下關於 NetWare 的描述中，哪一種說法是錯誤的？
A）強大的文件和列印服務功能
B）不支持 TCP/IP 協議
C）良好的兼容性和系統容錯能力
D）完備的安全措施

（30）對於 Linux，以下哪種說法是錯誤的？
A）Linux 是一種開源的操作系統
B）Linux 提供了強大的應用程序開發環境
C）Linux 可以免費使用
D）Linux 不支持 Sparc 硬體平台

（31）關於 Unix 操作系統的特性，以下哪種說法是錯誤的？
A）Unix 是一個支持多任務、多用戶的操作系統
B）Unix 本身由 Pascal 語言編寫、導讀、易移植
C）Unix 提供了功能強大的 Shell 編程語言
D）Unix 的樹結構文件系統有良好的安全性和可維護性

（32）通信線路的帶寬是描述通信線路的______。
A）糾錯能力
B）物理尺寸
C）互聯能力
D）傳輸能力

（33）在網際網路中，屏蔽各個物理網路的差異主要通過以下哪個協議實現？
A）NETBEIU
B)IP
C)TCP
D)SNMP

（34）以下哪一個是用戶僅可以在本地內部網路中使用的專用 IP 地址？
A）192.168.1.1
B)20.10.1.1
C)202.113.1.1
D)203.5.1.1

（35）關於 IP 數據報的報頭，以下哪種說法是錯誤的？
A）版本域表示與該數據報對應的 IP 協議的版本號
B）頭部校驗和域用於保護 IP 報頭的完整性
C）服務類型域說明數據區數據的形式
D）生存周期域表示該數據報可以在網際網路中的存活時間

（36）關於靜態路由，以下哪種說法是錯誤的？
A）靜態路由通常由管理員手工建立
B）靜態路由可以在子網編址的互聯網中使用
C）靜態路由不能隨互聯網結構的變化而自動變化
D）靜態路由已經過時，目前很少有人使用

（37）在網際網路中，路由器必須實現的網路協議為
A）IP
B）IP 和 HTTP
C）IP 和 FTP
D）HTTP 和 FTP

（38）關於網際網路的域名系統，以下哪種說法是錯誤的？
A）域名解析需要藉助於一組既獨立又協作的域名伺服器完成
B）域名伺服器邏輯上構成一定的層次結構
C）域名解析總是從根域名伺服器開始
D）域名解析包括遞歸解析和反復解析兩種方式

（39）IP 數據報在穿越網際網路過程中有可能被分片。在 IP 數據報分片以後，通常由以下哪種設備進行重組？
A）源主機
B）目的主機
C）轉發路由器
D）轉發交換機

（40）以下哪種軟體不同 FTP 的客戶端軟體？
A）DNS
B）IE
C）CuteFtp
D)NetAnts

（41）以下關於 WWW 服務系統的描述中，哪一個是錯誤的？
A）WWW 服務系統採用客戶/伺服器工作模式
B）WWW 服務系統通過 URL 定位系統中的資源
C）WWW 服務系統使用的傳輸協議為 HTML
D）WWW 服務系統中資源以頁面方式存儲
（42）如果一個用戶通過電話網將自己的主機入網際網路，以訪問網際網路上的 Web 站點，那麼用戶不需要在這台主機上安裝和配置______。
A）數據機
B）網卡
C）TCP/IP 協議
D）WWW 瀏覽器

（43）以下有關網路管理功能的描述中，哪個是錯誤的？
A）配置管理是掌握和控制網路的配置信息
B）故障管理是對網路中的故障進行定位
C）性能管理監視和調整工作參數，改善網路性能
D）安全管理是使網路性能維持在較好水平

（44）下面哪些操作系統能夠達到 C2 安全級別？
Ⅰ. Windows 3.x
Ⅱ.Apple System 7.x
Ⅲ. Windows NT
Ⅳ.NetWare 3.x
A) Ⅰ和Ⅲ
B）Ⅱ和Ⅲ
C）Ⅱ和Ⅳ
D）Ⅲ和Ⅳ

（45）下面哪種攻擊方法屬於被動攻擊？
A）拒絕服務攻擊
B）重放攻擊
C）通信量分析攻擊
D）假冒攻擊

（46）下面哪個（些）攻擊屬於非服務攻擊？
Ⅰ.郵件炸彈攻擊
Ⅱ.源路由攻擊
Ⅲ.地址欺騙攻擊
A）僅Ⅰ
B）Ⅰ和Ⅱ
C）Ⅱ和Ⅲ
D）Ⅰ和Ⅲ

（47）端到端加密方式是網路中進行數據加密的一種重要方式，其加密、解密在何處進行？
A）源結點、中間結點
B）中間結點、目的結點
C）中間結點、中間結點
D）源結點、目的結點

（48）DES 是一種常用的對稱加密演算法，其一般的分組長度為
A）32 位
B）56 位
C）64 位
D）128 位

（49）下面哪個不是 RSA 密碼體制的特點？
A）它的安全性基於大整數因子分解問題
B）它是一種公鑰密碼體制
C）它的加密速度比 DES 快
D）它常用於數字簽名、認證

（50）以下哪個方法不能用於計算機病毒檢測？
A）自身校驗
B）加密可執行程序
C）關鍵字檢測
D）判斷文件的長度

（51）以下關於防火牆技術的描述，哪個是錯誤的？
A）防火牆分為數據包過濾和應用網關兩類
B）防火牆可以控制外部用戶對內部系統的訪問
C）防火牆可以阻止內部人員對外部的攻擊
D）防火牆可以分析和統管網路使用情況

（52）下面關於 IPSec 的說法哪個是錯誤的？
A）它是一套用於網路層安全的協議
B）它可以提供數據源認證服務
C）它可以提供流量保密服務
D）它只能在 Ipv4 環境下使用

（53）關於 SSL 和 SET 協議，以下哪種說法是正確的？
A）SSL 和 SET 都能隔離訂單信息和個人賬戶信息
B）SSL 和 SET 都不能隔離訂單信息和個人賬戶信息
C）SSL 能隔離訂單信息和個人賬戶信息，SET 不能
D）SET 能隔離訂單信息和個人賬戶信息，SSL 不能

（54）EDI 用戶通常採用哪種平台完成數據交換？
A）專用的 EDI 交換平台
B）通用的電子郵件交換平台
C）專用的虛擬區域網交換平台
D）通用的電話交換平台

（55）關於電子商務系統結構中安全基礎層的描述，以下哪種說法是錯誤的？
A）安全基礎層位於電子商務系統結構的最底層
B）安全基礎層用於保證數據傳輸的安全性
C）安全基礎層可以實現交易各方的身份認證
D）安全基礎層用於防止交易中抵賴的發生

（56）電子政務應用系統建設包括的三個層面是______。
A）網路建設、信息收集、業務處理
B）信息收集、業務處理、決策支持
C）業務處理、網路建設、決策支持
D）信息收集、決策支持、網路建設

（57）電子政務內網主要包括______。
A）公眾服務業務網、非涉密政府辦公網和涉密政府辦公網
B）網際網路、公眾服務業務網和非涉密政府辦公網
中國最大的 IT 技術/IT 管理/IT 教育/IT 培訓/IT 咨詢資源站點
C）網際網路、公眾服務業務網和涉密政府辦公網
D）網際網路、非涉密政府辦公網和涉密政府辦公網

（58）下面哪個不是 ATM 技術的主要特徵？
A）信元傳輸
B）面向無連接
C）統計多路復用
D）服務質量保證

（59）以下關於 ADSL 技術的說法，哪個是錯誤的？
A）ADSL 可以有不同的上下行傳輸速率
B）ADSL 可以傳送數據、視頻等信息
C）ADSL 信號可以與語音信號在同一對電話線上傳輸
D）ADSL 可以為距離 10km 的用戶提供 8Mbps 下行信道

（60）無線區域網通常由以下哪些設備組成？
Ⅰ. 無線網卡
Ⅱ. 無線接入點
Ⅲ. 乙太網交換機
Ⅳ. 計算機
A）Ⅰ、Ⅱ和Ⅲ
B）Ⅱ、Ⅲ和Ⅳ
C）Ⅰ、Ⅱ和Ⅳ
D）Ⅰ、Ⅲ和Ⅳ

二、填空題（每空 2 分，共 40 分）
請將答案分別寫在符合題卡中序號為【1】至【20】的橫線上，答在試卷上不得分。

（1）安騰是 【1】 位的晶元。

（2）符合電視質量的視頻和音頻壓縮形式的國際標準是 【2】 。

（3）計算機網路利用通信線路將不同地理位置的多個 【3】 的計算機系統連接起來，以實現資源共享。

（4）計算機網路拓撲反映出網路中各實體之間的 【4】 關系。

（5）阿帕網屬於【5】交換網。

（6）在 TCP/IP 協議中,傳輸層負責為【6】層提供服務。

（7）在網路中，為了將語音信號和數據、文字、圖形、圖像一同傳輸，必須利用【7】技術將語音信號數字化。

（8）IEEE 802.11b 定義了使用跳頻技術的無線區域網標准，它的最高傳輸速率可以達到【8】Mbps。

（9）早期的網路操作系統經歷了由【9】結構向主從結構的過渡。

（10）下一代互聯網的互聯層使用的協議為 IPv 【10】。

（11）一台主機的 IP 地址為 10.1.1.100，屏蔽碼為 255.0.0.0。現在用戶需要配置該主機的默認路由。如果與該主機直接相連的惟一的路由器具有 2 個 IP 地址，一個為10.2.1.100，屏蔽碼為 255.0.0.0，另一個為 11.1.1.1，屏蔽碼為 255.0.0.0，那麼該主機的默認路由應該為【11】。

（12）利用 IIS 建立的 Web 站點的 4 級訪問控制為 IP 地址限制、用戶驗證、【12】許可權和 NTFS 許可權。

（13）郵件伺服器之間傳送郵件通常使用【13】協議。

（14）在一般網路管理模型中，一個管理者可以和多個【14】進行信息交換，實現對網
絡的管理。

（15）SNMP 是最常用的計算機網路管理協議。SNMPv3 在 SNMPv2 基礎上增加、完善了【15】和管理機制。

（16）數字簽名最常用的實現方法建立在公鑰密碼體制和安全單向【16】函數基礎之上。

（17）防止口令猜測的措施之一是嚴格地限制從一個終端進行連續不成功登錄的【17】。

（18）電子商務應用系統包括 CA 系統、【18】系統、業務應用系統和用戶終端系統。

（19）根據國家電子政務的有關規定，涉密網必須與非涉密網進行【19】隔離。

（20）藍牙技術一般用於【20】米之內的手機、PC、手持終端等設備之間的無線連接。

2006年9月全國計算機等級考試三級網路技術筆試答案

答案：
1-30 ACABB DDBAA BCCAC BBABB DCBAD ADDBD

31-60BDBAC CACBA CBDDC CDCCB CDAAA BABDC

1)64，
2)MPEG，
3)自治，
4)結構，
5)虛擬，
6)應用，
7)數據機，
8)11，
9)對等，
10)6
11)10.2.1.100
12)wed訪問
13)SMTP
14)代理節點
15)安全
16)散列
17)次數
18)支付網關
19)物理
20)10

⑤ 包過濾防火牆的技術缺點

→一些包過濾網關不支持有效的用戶認證。
→規則表很快會變得很大而且復雜，規則很難測試。隨著表的增大和復雜性的增加，規則結構出現漏洞的可能 性也會增加。
→這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題，會使得網路大門敞開，而用戶甚至可能還不知道。
→在一般情況下，如果外部用戶被允許訪問內部主機，則它就可以訪問內部網上的任何主機。
→包過濾防火牆只能阻止一種類型的IP欺騙，即外部主機偽裝內部主機的IP，對於外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。
雖然，包過濾防火牆有如上所述的缺點，但是在管理良好的小規模網路上，它能夠正常的發揮其作用。一般情況下，人們不單獨使用包過濾網關，而是將它和其他設備（如堡壘主機等）聯合使用。
包過濾的工作是通過查看數據包的源地址、目的地址或埠來實現的，一般來說，它不保持前後連接信息，過濾決定是根據 當前數據包的內容來做的。管理員可以做一個可接受機和服務的列表，以及一個不可接受機和服務的列表。在主機和網路一級，利用數據包過濾很容易實現允許或禁止訪問。
由此不難看出這個層次的防火牆的優點和弱點，由於防火牆只是工作在OSI的第三層（網路層）和第四層（傳輸層），因此包過濾的防火牆的一個非常明顯的優勢就是速度，這是因為防火牆只是去檢查數據報的報頭，而對數據報所攜帶的內容沒有任何形勢的檢查，因此速度非常快。與此同時，這種防火牆的缺點也是顯而易見的，比較關鍵的幾點如下所述。
（1）由於無法對數據報的內容進行核查，一次無法過濾或審核數據報的內容
體現這一問題的一個很簡單的例子就是：對某個埠的開放意味著相應埠對應的服務所能夠提供的全部功能都被開放，即使通過防火牆的數據報有攻擊性，也無法進行控制和阻斷。例如在一個簡單的Web伺服器，而包過濾的防火牆無法對數據報內容進行核查。因此，未打相應補丁的提供Web服務的系統，及時在防火牆的屏蔽之後，也會被攻擊著輕易獲取超級用戶的許可權。
（2）由於此種類型的防火牆工作在較低層次，防火牆本身所能接觸的信息較少，所以它無法提供描述細致事件的日誌系統。
此類防火牆生成的日誌常常只是包括數據報捕獲的時間、網路層的IP地址、傳輸層的埠等非常原始的信息。至於這個數據報內容是什麼，防火牆不會理會，而這對安全管理員而言恰恰是很關鍵的。因為及時一個非常優秀的系統管理員，一旦陷入大量的通過/屏蔽的原始數據包信息中，往往也是難以理清頭緒，這在發生安全事件時給管理員的安全審計帶來很大的困難。
（3）所有可能用到的埠（尤其是大於1024的埠）都必須開放，對外界暴露，從而極大地增加了被攻擊的可能性
通常對於網路上所有服務所需要的數據包進出防火牆的二埠都要仔細考慮，否則會產生意想不到的情況。然而我們知道，當被防火牆保護的設備與外界通信時，絕大多數應用要求發出請求的系統本身提供一個埠，用來接收外界返回的數據包，而且這個埠一般是在1024到65536之間不確定的，如果不開放這些埠，通信將無法完成，這樣就需要開放1024以上的全部埠，允許這些埠的數據包進出。而這就帶來非常大的安全隱患。例如：用戶網中有一台UNIX伺服器，對內部用戶開放了RPC服務，而這個服務是用在高埠的，那麼這台伺服器非常容易遭到基於RPC應用的攻擊。
（4）如果網路結構比較復雜，那麼對管理員而言配置訪問控制規則將非常困難
當網路發展到一定規模時，在路由器上配置訪問控制規則將會非常繁瑣，在一個規則甚至一個地址處出現錯誤都有可能導致整個訪問控制列表無法正常使用。

⑥ 包過濾防火牆的基本過程

下面做個簡單的敘復述：制
（1）包過濾規則必須被包過濾設備埠存儲起來。
（2）當包到達埠時，對包報頭進行語法分析。大多數包過濾設備只檢查IP、TCP、或UDP報頭中的欄位。
（3）包過濾規則以特殊的方式存儲。應用於包的規則的順序與包過濾器規則存儲順序必須相同。
（4）若一條規則阻止包傳輸或接收，則此包便不被允許。
（5）若一條規則允許包傳輸或接收，則此包便可以被繼續處理。
（6）若包不滿足任何一條規則，則此包便被阻塞。

⑦ 路由器如何進行數據包過濾

數據包是TCP/IP協議通信傳輸中的數據單位，區域網中傳輸的不是「幀」嗎?
但是TCP/IP協議是工作在OSI模型第三層(網路層)、第四層(傳輸層)上的，而幀是工作在第二層(數據鏈路層)。
上一層的內容由下一層的內容來傳輸，所以在區域網中，「包」是包含在「幀」里的。
一、數據包過濾有時也稱為靜態數據包過濾，它通過分析傳入和傳出的數據包以及根據既定標准傳遞或阻止數據包來控制對網路的訪問，當路由器根據過濾規則轉發或拒絕數據包時，它便充當了一種數據包過濾器。
當數據包到達過濾數據包的路由器時，路由器會從數據包報頭中提取某些信息，根據過濾規則決定該數據包是應該通過還是應該丟棄。數據包過濾工作在開放式系統互聯 (OSI) 模型的網路層，或是 TCP/IP 的 Internet 層。
二、作為第3層設備，數據包過濾路由器根據源和目的 IP 地址、源埠和目的埠以及數據包的協議，利用規則來決定是應該允許還是拒絕流量。這些規則是使用訪問控制列表 (ACL) 定義的。
三、相信您還記得，ACL 是一系列 permit 或 deny 語句組成的順序列表，應用於 IP 地址或上層協議。ACL 可以從數據包報頭中提取以下信息，根據規則進行測試，然後決定是「允許」還是「拒絕」。
四、簡單的說，你上網打開網頁，這個簡單的動作，就是你先發送數據包給網站，它接收到了之後，根據你發送的數據包的IP地址，返回給你網頁的數據包，也就是說，網頁的瀏覽，實際上就是數據包的交換。
1、數據鏈路層對數據幀的長度都有一個限制，也就是鏈路層所能承受的最大數據長度，這個值稱為最大傳輸單元，即MTU。以乙太網為例，這個值通常是1500位元組。
2、對於IP數據包來講，也有一個長度，在IP包頭中，以16位來描述IP包的長度。一個IP包，最長可能是65535位元組。
3、結合以上兩個概念，第一個重要的結論就出來了，如果IP包的大小，超過了MTU值，那麼就需要分片，也就是把一個IP包分為多個。
數據包的結構與我們平常寫信非常類似，目的IP地址是說明這個數據包是要發給誰的，相當於收信人地址;
源IP地址是說明這個數據包是發自哪裡的，相當於發信人地址，而凈載數據相當於信件的內容，正是因為數據包具有這樣的結構，安裝了TCP/IP協議的計算機之間才能相互通信。
在使用基於TCP/IP協議的網路時，網路中其實傳遞的就是數據包。

⑧ 包過濾防火牆

1.1 包過濾防火牆的一般概念
1.1.1 什麼是包過濾防火牆
包過濾防火牆是用一個軟體查看所流經的數據包的包頭（header），由此決定整個包的命運。它可能會決定丟棄（DROP）這個包，可能會接受（ACCEPT）這個包（讓這個包通過），也可能執行其它更復雜的動作。
在Linux系統下,包過濾功能是內建於核心的（作為一個核心模塊，或者直接內建），同時還有一些可以運用於數據包之上的技巧，不過最常用的依然是查看包頭以決定包的命運。
包過濾防火牆將對每一個接收到的包做出允許或拒絕的決定。具體地講，它針對每一個數據報的報頭，按照包過濾規則進行判定，與規則相匹配的包依據路由信息繼續轉發，否則就丟棄。包過濾是在IP層實現的，包過濾根據數據包的源IP地址、目的IP地址、協議類型（TCP包、UDP包、ICMP包）、源埠、目的埠等報頭信息及數據包傳輸方向等信息來判斷是否允許數據包通過。
包過濾也包括與服務相關的過濾，這是指基於特定的服務進行包過濾，由於絕大多數服務的監聽都駐留在特定TCP/UDP埠，因此，為阻斷所有進入特定服務的鏈接，防火牆只需將所有包含特定TCP/UDP目的埠的包丟棄即可。
1.1.2 包過濾防火牆的工作層次
包過濾是一種內置於Linux內核路由功能之上的防火牆類型，其防火牆工作在網路層。
1.1.3 包過濾防火牆的工作原理
（1）使用過濾器。數據包過濾用在內部主機和外部主機之間， 過濾系統是一台路由器或是一台主機。過濾系統根據過濾規則來決定是否讓數據包通過。用於過濾數據包的路由器被稱為過濾路由器。
數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現的，主要信息有：
* IP源地址
* IP目標地址
* 協議（TCP包、UDP包和ICMP包）
* TCP或UDP包的源埠
* TCP或UDP包的目標埠
* ICMP消息類型
* TCP包頭中的ACK位
* 數據包到達的埠
* 數據包出去的埠
在TCP/IP中，存在著一些標準的服務埠號，例如，HTTP的埠號為80。通過屏蔽特定的埠可以禁止特定的服務。包過濾系統可以阻塞內部主機和外部主機或另外一個網路之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機或網路連接到內部網路中。
（2）過濾器的實現。數據包過濾一般使用過濾路由器來實現，這種路由器與普通的路由器有所不同。
普通的路由器只檢查數據包的目標地址，並選擇一個達到目的地址的最佳路徑。它處理數據包是以目標地址為基礎的，存在著兩種可能性：若路由器可以找到一個路徑到達目標地址則發送出去；若路由器不知道如何發送數據包則通知數據包的發送者「數據包不可達」。
過濾路由器會更加仔細地檢查數據包，除了決定是否有到達目標地址的路徑外，還要決定是否應該發送數據包。「應該與否」是由路由器的過濾策略決定並強行執行的。
路由器的過濾策略主要有：
* 拒絕來自某主機或某網段的所有連接。
* 允許來自某主機或某網段的所有連接。
* 拒絕來自某主機或某網段的指定埠的連接。
* 允許來自某主機或某網段的指定埠的連接。
* 拒絕本地主機或本地網路與其它主機或其它網路的所有連接。
* 允許本地主機或本地網路與其它主機或其它網路的所有連接。
* 拒絕本地主機或本地網路與其它主機或其它網路的指定埠的連接。
* 允許本地主機或本地網路與其它主機或其它網路的指定埠的連接。
1.1.4 包過濾器操作的基本過程
下面做個簡單的敘述：
（1）包過濾規則必須被包過濾設備埠存儲起來。
（2）當包到達埠時，對包報頭進行語法分析。大多數包過濾設備只檢查IP、TCP、或UDP報頭中的欄位。
（3）包過濾規則以特殊的方式存儲。應用於包的規則的順序與包過濾器規則存儲順序必須相同。
（4）若一條規則阻止包傳輸或接收，則此包便不被允許。
（5）若一條規則允許包傳輸或接收，則此包便可以被繼續處理。
（6）若包不滿足任何一條規則，則此包便被阻塞。
1.1.5 包過濾技術的優缺點
（1）優點：
→對於一個小型的、不太復雜的站點，包過濾比較容易實現。
→因為過濾路由器工作在IP層和TCP層，所以處理包的速度比代理伺服器快。
→過濾路由器為用戶提供了一種透明的服務，用戶不需要改變客戶端的任何應用程序，也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層，而IP層和TCP層與應用層的問題毫不相關。所以，過濾路由器有時也被稱為「包過濾網關」或「透明網關」，之所被稱為網關，是因為包過濾路由器和傳統路由器不同，它涉及到了傳輸層。
→過濾路由器在價格上一般比代理伺服器便宜。
（2）缺點：
→一些包過濾網關不支持有效的用戶認證。
→規則表很快會變得很大而且復雜，規則很難測試。隨著表的增大和復雜性的增加，規則結構出現漏洞的可能 性也會增加。
→這種防火牆最大的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題，會使得網路大門敞開，而用戶其至可能還不知道。
→在一般情況下，如果外部用戶被允許訪問內部主機，則它就可以訪問內部網上的任何主機。
→包過濾防火牆只能阻止一種類型的IP欺騙，即外部主機偽裝內部主機的IP，對於外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。
雖然，包過濾防火牆有如上所述的缺點，但是在管理良好的小規模網路上，它能夠正常的發揮其作用。一般情況下，人們不單獨使用包過濾網關，而是將它和其他設備（如堡壘主機等）聯合使用。
包過濾的工作是通過查看數據包的源地址、目的地址或埠來實現的，一般來說，它不保持前後連接信息，過濾決定是根據 當前數據包的內容來做的。管理員可以做一個可接受機和服務的列表，以及一個不可接受機和服務的列表。在主機和網路一級，利用數據包過濾很容易實現允許或禁止訪問。
由此不難看出這個層次的防火牆的優點和弱點，由於防火牆只是工作在OSI的第三層（網路層）和第四層（傳輸層），因此包過濾的防火牆的一個非常明顯的優勢就是速度，這是因為防火牆只是去檢查數據報的報頭，而對數據報所攜帶的內容沒有任何形勢的檢查，因此速度非常快。與此同時，這種防火牆的缺點也是顯而易見的，比較關鍵的幾點如下所述。
（1）由於無法對數據報的內容進行核查，一次無法過濾或審核數據報的內容
體現這一問題的一個很簡單的例子就是：對某個埠的開放意味著相應埠對應的服務所能夠提供的全部功能都被開放，即使通過防火牆的數據報有攻擊性，也無法進行控制和阻斷。例如在一個簡單的Web伺服器，而包過濾的防火牆無法對數據報內容進行核查。因此，未打相應補丁的提供Web服務的系統，及時在防火牆的屏蔽之後，也會被攻擊著輕易獲取超級用戶的許可權。
（2）由於此種類型的防火牆工作在較低層次，防火牆本身所能接觸道德信息較少，所以它無法提供描述細致事件的日誌系統。
此類防火牆生成的日誌常常只是包括數據報捕獲的時間、網路層的IP地址、傳輸層的埠等非常原始的信息。至於這個數據報內容是什麼，防火牆不會理會，而這對安全管理員而言恰恰是很關鍵的。因為及時一個非常優秀的系統管理員，一旦陷入大量的通過/屏蔽的原始數據包信息中，往往也是難以理清頭緒，這在發生安全事件時給管理員的安全審計帶來很大的困難。
（3）所有可能用到的埠（尤其是大於1024的埠）都必須開放，對外界暴露，從而極大地增加了被攻擊的可能性
通常對於網路上所有服務所需要的數據包進出防火牆的二埠都要仔細考慮，否則會產生意想不到的情況。然而我們知道，當被防火牆保護的設備與外界通信時，絕大多數應用要求發出請求的系統本身提供一個埠，用來接收外界返回的數據包，而且這個埠一般是在1024到65536之間不確定的，如果不開發那個這些埠，通信將無法完成，這樣就需要開發那個1024以上的全部埠，允許這些埠的數據包進出。而這就帶來非常大的安全隱患。例如：用戶網中有一台UNIX伺服器，對內部用戶開放了RPC服務，而這個服務是共做在高埠的，那麼這台伺服器非常容易遭到基於RPC應用的攻擊。
（4）如果網路結構比較復雜，那麼對管理員而言配置訪問控制規則將非常困難
當網路發展到一定規模時，在路由器上配置訪問控制規則將會非常繁瑣，在一個規則甚至一個地址處出現錯誤都有可能導致整個訪問控制列表無法正常使用。

⑨ 實現包過濾的核心技術是（ ）

B、實現包過濾技術是原理是通過對訪問者的源地址和埠以及目標地址和埠進行對比，通過規則來實現通過與不能通過，主要解決的是一種訪問權問題，是一種一刀切的做法，能和不能，加強版是動態包過濾技術

⑩ 求幫做計算機作業

考試題？