下列不能进行包过滤的设备

① 安全设备指什么（包过滤、访问控制）

保卫自我的一些摄制器材！一些保障你隐私的软件和设备。一般是密码，防毒软件密码、安全防护等！@不同的应用，安全设备的定义不用，太广泛了

② 计算机网络安全技术试题

《计算机网络安全》试卷
1. 非法接收者在截获密文后试图从中分析出明文的过程称为（ A ） A. 破译 B. 解密 C. 加密 D. 攻击
2. 以下有关软件加密和硬件加密的比较，不正确的是（ B ） A. 硬件加密对用户是透明的，而软件加密需要在操作系统或软件中写入加密程序 B. 硬件加密的兼容性比软件加密好 C. 硬件加密的安全性比软件加密好 D. 硬件加密的速度比软件加密快
3. 下面有关3DES的数学描述，正确的是（ B ） A. C=E(E(E(P, K1), K1), K1) B. C=E(D(E(P, K1), K2), K1) C. C=E(D(E(P, K1), K1), K1) D. C=D(E(D(P, K1), K2), K1)
4. PKI无法实现（ D ） A. 身份认证 B. 数据的完整性 C. 数据的机密性 D. 权限分配
5. CA的主要功能为（ D ） A. 确认用户的身份 B. 为用户提供证书的申请、下载、查询、注销和恢复等操作 C. 定义了密码系统的使用方法和原则 D. 负责发放和管理数字证书
6. 数字证书不包含（ B ） A. 颁发机构的名称 B. 证书持有者的私有密钥信息 C. 证书的有效期 D. CA签发证书时所使用的签名算法
7. “在因特网上没有人知道对方是一个人还是一条狗”这个故事最能说明（ A ） A. 身份认证的重要性和迫切性 B. 网络上所有的活动都是不可见的 C. 网络应用中存在不严肃性 D. 计算机网络是一个虚拟的世界
8. 以下认证方式中，最为安全的是（ D ） A. 用户名+密码 B. 卡+密钥 C. 用户名+密码+验证码 D. 卡+指纹
9. 将通过在别人丢弃的废旧硬盘、U盘等介质中获取他人有用信息的行为称为（ D ） A. 社会工程学 B. 搭线窃听 C. 窥探 D. 垃圾搜索
10. ARP欺骗的实质是（ A ） A. 提供虚拟的MAC与IP地址的组合 B. 让其他计算机知道自己的存在 C. 窃取用户在网络中传输的数据 D. 扰乱网络的正常运行
11. TCP SYN泛洪攻击的原理是利用了（ A ） A. TCP三次握手过程 B. TCP面向流的工作机制 C. TCP数据传输中的窗口技术 D. TCP连接终止时的FIN报文
12. DNSSEC中并未采用（C ）
A. 数字签名技术 B. 公钥加密技术 C. 地址绑定技术 D. 报文摘要技术
13. 当计算机上发现病毒时，最彻底的清除方法为（ A ） A. 格式化硬盘 B. 用防病毒软件清除病毒 C. 删除感染病毒的文件 D. 删除磁盘上所有的文件
14. 木马与病毒的最大区别是（ B ） A. 木马不破坏文件，而病毒会破坏文件 B. 木马无法自我复制，而病毒能够自我复制 C. 木马无法使数据丢失，而病毒会使数据丢失 D. 木马不具有潜伏性，而病毒具有潜伏性
15. 经常与黑客软件配合使用的是（ C ） A. 病毒 B. 蠕虫 C. 木马 D. 间谍软件
16. 目前使用的防杀病毒软件的作用是（C ） A. 检查计算机是否感染病毒，并消除已感染的任何病毒 B. 杜绝病毒对计算机的侵害 C. 检查计算机是否感染病毒，并清除部分已感染的病毒 D. 查出已感染的任何病毒，清除部分已感染的病毒
17. 死亡之ping属于（ B ） A. 冒充攻击 B. 拒绝服务攻击 C. 重放攻击 D. 篡改攻击
18. 泪滴使用了IP数据报中的（ A ） A. 段位移字段的功能 B. 协议字段的功能 C. 标识字段的功能 D. 生存期字段的功能
19. ICMP泛洪利用了（ C ） A. ARP命令的功能 B. tracert命令的功能 C. ping命令的功能 D. route命令的功能
20. 将利用虚假IP地址进行ICMP报文传输的攻击方法称为（ D ） A. ICMP泛洪 B. LAND攻击 C. 死亡之ping D. Smurf攻击
21. 以下哪一种方法无法防范口令攻击（ A ） A. 启用防火墙功能 B. 设置复杂的系统认证口令 C. 关闭不需要的网络服务 D. 修改系统默认的认证名称
22． 以下设备和系统中，不可能集成防火墙功能的是（ A ） A.集线器 B. 交换机 C. 路由器 D. Windows Server 2003操作系统
23. 对“防火墙本身是免疫的”这句话的正确理解是（ B ） A. 防火墙本身是不会死机的 B. 防火墙本身具有抗攻击能力 C. 防火墙本身具有对计算机病毒的免疫力 D. 防火墙本身具有清除计算机病毒的能力
24. 以下关于传统防火墙的描述，不正确的是（A ） A. 即可防内，也可防外 B. 存在结构限制，无法适应当前有线网络和无线网络并存的需要 C. 工作效率较低，如果硬件配置较低或参数配置不当，防火墙将成形成网络瓶颈 D. 容易出现单点故障
25. 下面对于个人防火墙的描述，不正确的是（ C ） A. 个人防火墙是为防护接入互联网的单机操作系统而出现的 B. 个人防火墙的功能与企业级防火墙类似，而配置和管理相对简单 C. 所有的单机杀病毒软件都具有个人防火墙的功能 D. 为了满足非专业用户的使用，个人防火墙的配置方法相对简单
26.VPN的应用特点主要表现在两个方面，分别是（ A ） A. 应用成本低廉和使用安全 B. 便于实现和管理方便 C. 资源丰富和使用便捷 D. 高速和安全
27. 如果要实现用户在家中随时访问单位内部的数字资源，可以通过以下哪一种方式实现（ C ） A. 外联网VPN B. 内联网VPN C. 远程接入VPN D. 专线接入
28. 在以下隧道协议中，属于三层隧道协议的是（ D ） A. L2F B. PPTP C. L2TP D. IPSec
29.以下哪一种方法中，无法防范蠕虫的入侵。（B ） A. 及时安装操作系统和应用软件补丁程序 B. 将可疑邮件的附件下载等文件夹中，然后再双击打开 C. 设置文件夹选项，显示文件名的扩展名 D. 不要打开扩展名为VBS、SHS、PIF等邮件附件
30. 以下哪一种现象，一般不可能是中木马后引起的（ B ） A. 计算机的反应速度下降，计算机自动被关机或是重启 B. 计算机启动时速度变慢，硬盘不断发出“咯吱，咯吱”的声音 C. 在没有操作计算机时，而硬盘灯却闪个不停 D. 在浏览网页时网页会自动关闭，软驱或光驱会在无盘的情况下读个不停
31.下面有关DES的描述，不正确的是 （A） A. 是由IBM、Sun等公司共同提出的 B. 其结构完全遵循Feistel密码结构 C. 其算法是完全公开的 D. 是目前应用最为广泛的一种分组密码算法
32． “信息安全”中的“信息”是指 （A） A、以电子形式存在的数据 B、计算机网络 C、信息本身、信息处理过程、信息处理设施和信息处理都 D、软硬件平台
33. 下面不属于身份认证方法的是 （A ） A. 口令认证 B. 智能卡认证 C. 姓名认证 D. 指纹认证
34. 数字证书不包含 （ B） A. 颁发机构的名称 B. 证书持有者的私有密钥信息 C. 证书的有效期 D. CA签发证书时所使用的签名算法
35. 套接字层（Socket Layer）位于 （B ） A. 网络层与传输层之间 B. 传输层与应用层之间 C. 应用层 D. 传输层
36. 下面有关SSL的描述，不正确的是
A. 目前大部分Web浏览器都内置了SSL协议 B. SSL协议分为SSL握手协议和SSL记录协议两部分 C. SSL协议中的数据压缩功能是可选的 D. TLS在功能和结构上与SSL完全相同
37. 在基于IEEE 802.1x与Radius组成的认证系统中，Radius服务器的功能不包括（ D ） A. 验证用户身份的合法性 B. 授权用户访问网络资源 C. 对用户进行审计 D. 对客户端的MAC地址进行绑定
38. 在生物特征认证中，不适宜于作为认证特征的是（ D ） A. 指纹 B. 虹膜 C. 脸像 D. 体重
39. 防止重放攻击最有效的方法是（B ） A. 对用户账户和密码进行加密 B. 使用“一次一密”加密方式 C. 经常修改用户账户名称和密码 D. 使用复杂的账户名称和密码
40. 计算机病毒的危害性表现在（ B） A. 能造成计算机部分配置永久性失效 B. 影响程序的执行或破坏用户数据与程序 C. 不影响计算机的运行速度 D. 不影响计算机的运算结果
41. 下面有关计算机病毒的说法，描述不正确的是（ B ） A. 计算机病毒是一个MIS程序 B. 计算机病毒是对人体有害的传染性疾病 C. 计算机病毒是一个能够通过自身传染，起破坏作用的计算机程序 D. 计算机病毒是一段程序，只会影响计算机系统，但不会影响计算机网络
42 计算机病毒具有（ A ） A. 传播性、潜伏性、破坏性 B. 传播性、破坏性、易读性 C. 潜伏性、破坏性、易读性 D. 传播性、潜伏性、安全性
43. 目前使用的防杀病毒软件的作用是（ C ） A. 检查计算机是否感染病毒，并消除已感染的任何病毒 B. 杜绝病毒对计算机的侵害 C. 检查计算机是否感染病毒，并清除部分已感染的病毒 D. 查出已感染的任何病毒，清除部分已感染的病毒
44 在DDoS攻击中，通过非法入侵并被控制，但并不向被攻击者直接发起攻击的计算机称为（ B ） A. 攻击者 B. 主控端 C. 代理服务器 D. 被攻击者
45. 对利用软件缺陷进行的网络攻击，最有效的防范方法是（ A ） A. 及时更新补丁程序 B. 安装防病毒软件并及时更新病毒库 C. 安装防火墙 D. 安装漏洞扫描软件
46. 在IDS中，将收集到的信息与数据库中已有的记录进行比较，从而发现违背安全策略的行为，这类操作方法称为（A ） A. 模式匹配 B. 统计分析 C. 完整性分析 D. 不确定
47. IPS能够实时检查和阻止入侵的原理在于IPS拥有众多的（ C ） A. 主机传感器 B. 网络传感器 C. 过滤器 D. 管理控制台 （D ）

③ 请问交换机的支持L2（Layer 2）~L4（Layer 4）包过滤功能，具体值得是哪些内容啊

计算机网络往往由许多种不同类型的网络互连连接而成。如果几个计算机网络只是在物理上连接在一起，它们之间并不能进行通信，那么这种“互连”并没有什么实际意义。因此通常在谈到“互连”时，就已经暗示这些相互连接的计算机是可以进行通信的，也就是说，从功能上和逻辑上看，这些计算机网络已经组成了一个大型的计算机网络，或称为互联网络，也可简称为互联网、互连网。将网络互相连接起来要使用一些中间设备（或中间系统），ISO的术语称之为中继（relay）系统。根据中继系统所在的层次，可以有以下五种中继系统：1.物理层（即常说的第一层、层L1）中继系统，即转发器（repeater）。2.数据链路层（即第二层，层L2），即网桥或桥接器（bridge）。3.网络层（第三层，层L3）中继系统，即路由器（router）。4.网桥和路由器的混合物桥路器（brouter）兼有网桥和路由器的功能。5.在网络层以上的中继系统，即网关（gateway）.当中继系统是转发器时，一般不称之为网络互联，因为这仅仅是把一个网络扩大了，而这仍然是一个网络。高层网关由于比较复杂，目前使用得较少。因此一般讨论网络互连时都是指用交换机和路由器进行互联的网络。本文主要阐述交换机和路由器及其区别。交换机和路由器“交换”是今天网络里出现频率最高的一个词，从桥接到路由到ATM直至电话系统，无论何种场合都可将其套用，搞不清到底什么才是真正的交换。其实交换一词最早出现于电话系统，特指实现两个不同电话机之间话音信号的交换，完成该工作的设备就是电话交换机。所以从本意上来讲，交换只是一种技术概念，即完成信号由设备入口到出口的转发。因此，只要是和符合该定义的所有设备都可被称为交换设备。由此可见，“交换”是一个涵义广泛的词语，当它被用来描述数据网络第二层的设备时，实际指的是一个桥接设备；而当它被用来描述数据网络第三层的设备时，又指的是一个路由设备。我们经常说到的以太网交换机实际是一个基于网桥技术的多端口第二层网络设备，它为数据帧从一个端口到另一个任意端口的转发提供了低时延、低开销的通路。由此可见，交换机内部核心处应该有一个交换矩阵，为任意两端口间的通信提供通路，或是一个快速交换总线，以使由任意端口接收的数据帧从其他端口送出。在实际设备中，交换矩阵的功能往往由专门的芯片（ASIC）完成。另外，以太网交换机在设计思想上有一个重要的假设，即交换核心的速度非常之快，以致通常的大流量数据不会使其产生拥塞，换句话说，交换的能力相对于所传信息量而无穷大（与此相反，ATM交换机在设计上的思路是，认为交换的能力相对所传信息量而言有限）。虽然以太网第二层交换机是基于多端口网桥发展而来，但毕竟交换有其更丰富的特性，使之不但是获得带宽的最好途径，而且还使网络更易管理。而路由器是OSI协议模型的网络层中的分组交换设备（或网络层中继设备），路由器的基本功能是把数据（IP报文）传送到正确的网络，包括：1.IP数据报的转发，包括数据报的寻径和传送；2.子网隔离，抑制广播风暴；3.维护路由表，并与其他路由器交换路由信息，这是IP报文转发的基础。4.IP数据报的差错处理及简单的拥塞控制；5.实现对IP数据报的过滤和记帐。对于不同地规模的网络，路由器的作用的侧重点有所不同。在主干网上，路由器的主要作用是路由选择。主干网上的路由器，必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位－－园区网，同时负责下层网络之间的数据转发。在园区网内部，路由器的主要作用是分隔子网。早期的互连网基层单位是局域网（LAN），其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大，局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中，处个子网在逻辑上独立，而路由器就是唯一能够分隔它们的设备，它负责子网间的报文转发和广播隔离，在边界上的路由器则负责与上层网络的连接。第二层交换机和路由器的区别传统交换机从网桥发展而来，属于OSI第二层即数据链路层设备。它根据MAC地址寻址，通过站表选择路由，站表的建立和维护由交换机自动进行。路由器属于OSI第三层即网络层设备，它根据IP地址进行寻址，通过路由表路由协议产生。交换机最大的好处是快速，由于交换机只须识别帧中MAC地址，直接根据MAC地址产生选择转发端口算法简单，便于ASIC实现，因此转发速度极高。但交换机的工作机制也带来一些问题。1.回路：根据交换机地址学习和站表建立算法，交换机之间不允许存在回路。一旦存在回路，必须启动生成树算法，阻塞掉产生回路的端口。而路由器的路由协议没有这个问题，路由器之间可以有多条通路来平衡负载，提高可靠性。2.负载集中：交换机之间只能有一条通路，使得信息集中在一条通信链路上，不能进行动态分配，以平衡负载。而路由器的路由协议算法可以避免这一点，OSPF路由协议算法不但能产生多条路由，而且能为不同的网络应用选择各自不同的最佳路由。3.广播控制：交换机只能缩小冲突域，而不能缩小广播域。整个交换式网络就是一个大的广播域，广播报文散到整个交换式网络。而路由器可以隔离广播域，广播报文不能通过路由器继续进行广播。4.子网划分：交换机只能识别MAC地址。MAC地址是物理地址，而且采用平坦的地址结构，因此不能根据MAC地址来划分子网。而路由器识别IP地址，IP地址由网络管理员分配，是逻辑地址且IP地址具有层次结构，被划分成网络号和主机号，可以非常方便地用于划分子网，路由器的主要功能就是用于连接不同的网络。5.保密问题：虽说交换机也可以根据帧的源MAC地址、目的MAC地址和其他帧中内容对帧实施过滤，但路由器根据报文的源IP地址、目的IP地址、TCP端口地址等内容对报文实施过滤，更加直观方便。6.介质相关：交换机作为桥接设备也能完成不同链路层和物理层之间的转换，但这种转换过程比较复杂，不适合ASIC实现，势必降低交换机的转发速度。因此目前交换机主要完成相同或相似物理介质和链路协议的网络互连，而不会用来在物理介质和链路层协议相差甚元的网络之间进行互连。而路由器则不同，它主要用于不同网络之间互连，因此能连接不同物理介质、链路层协议和网络层协议的网络。路由器在功能上虽然占据了优势，但价格昂贵，报文转发速度低。近几年，交换机为提高性能做了许多改进，其中最突出的改进是虚拟网络和三层交换。划分子网可以缩小广播域，减少广播风暴对网络的影响。路由器每一接口连接一个子网，广播报文不能经过路由器广播出去，连接在路由器不同接口的子网属于不同子网，子网范围由路由器物理划分。对交换机而言，每一个端口对应一个网段，由于子网由若干网段构成，通过对交换机端口的组合，可以逻辑划分子网。广播报文只能在子网内广播，不能扩散到别的子网内，通过合理划分逻辑子网，达到控制广播的目的。由于逻辑子网由交换机端口任意组合，没有物理上的相关性，因此称为虚拟子网，或叫虚拟网。虚拟网技术不用路由器就解决了广播报文的隔离问题，且虚拟网内网段与其物理位置无关，即相邻网段可以属于不同虚拟网，而相隔甚远的两个网段可能属于不同虚拟网，而相隔甚远的两个网段可能属于同一个虚拟网。不同虚拟网内的终端之间不能相互通信，增强了对网络内数据的访问控制。交换机和路由器是性能和功能的矛盾体，交换机交换速度快，但控制功能弱，路由器控制性能强，但报文转发速度慢。解决这个矛盾的最新技术是三层交换，既有交换机线速转发报文能力，又有路由器良好的控制功能。第三层交换机和路由器的区别在第三层交换技术出现之前，几乎没有必要将路由功能器件和路由器区别开来，他们完全是相同的：提供路由功能正在路由器的工作，然而，现在第三层交换机完全能够执行传统路由器的大多数功能。作为网络互连的设备，第三层交换机具有以下特征：1.转发基于第三层地址的业务流；2.完全交换功能；3.可以完成特殊服务，如报文过滤或认证；4.执行或不执行路由处理。第三层交换机与传统路由器相比有如下优点：1.子网间传输带宽可任意分配：传统路由器每个接口连接一个子网，子网通过路由器进行传输的速率被接口的带宽所限制。而三层交换机则不同，它可以把多个端口定义成一个虚拟网，把多个端口组成的虚拟网作为虚拟网接口，该虚拟网内信息可通过组成虚拟网的端口送给三层交换机，由于端口数可任意指定，子网间传输带宽没有限制。2.合理配置信息资源：由于访问子网内资源速率和访问全局网中资源速率没有区别，子网设置单独服务器的意义不大，通过在全局网中设置服务器群不仅节省费用，更可以合理配置信息资源。3.降低成本：通常的网络设计用交换机构成子网，用路由器进行子网间互连。目前采用三层交换机进行网络设计，既可以进行任意虚拟子网划分，又可以通过交换机三层路由功能完成子网间通信，为此节省了价格昂贵的路由器。4.交换机之间连接灵活：作为交换机，它们之间不允许存在回路，作为路由器，又可有多条通路来提高可靠性、平衡负载。三层交换机用生成树算法阻塞造成回路的端口，但进行路由选择时，依然把阻塞掉的通路作为可选路径参与路由选择。五、结论综上所述，交换机一般用于LAN－WAN的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。路由器用于WAN－WAN之间的连接，可以解决异性网络之间转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线路可能分属于不同的网络，并采用不同协议。相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵，第三层交换机既有交换机线速转发报文能力，又有路由器良好的控制功能，因此得以广播应用。

④ 求去年的计算机2,3级考试的笔试和机试题

我有四份题目
发不过去

2006年9月全国计算机等级考试三级网络技术笔试试卷

一、选择题（每小题 1 分，共 60 分）
下列各题 A）、B）、C）、D）四个选项中，只有一个选项是正确的，请将正确选项涂写
在答题卡相应位置上，答在试卷上不得分。

（1）微处理器已经进入双核和 64 位的时代，当前与 Intel 公司在芯片技术上全面竞争并获得不俗业绩的公司是______。
A）AMD 公司
B）HP 公司
C）SUN 公司
D）IBM 公司

（2）1983 年阿帕网正式采用 TCP/IP 协议，标志着因特网的出现。我国最早与因特网正式连接的时间是______。
A）1984 年
B）1988 年
C）1994 年
D）1998 年

（3）以下关于奔腾处理器体系结构的描述中，哪一个是错误的？
A）哈佛结构是把指令和数据进行混合存储
B）超流水线技术的特点是提高主频、细化流水
C）超标量技术的特点是设置多条流水同 执行多个处理
D）分支预测能动态预测程序分支的转移

（4）以下关于 PCI 局部总线的描述中，哪一个是错误的？
A）PCI 的含义是外围部件接口
B）PCI 的含义是个人电脑接口
C）PCI 比 EISA 有明显的优势
D）PCI 比 VESA 有明显的优势

（5）以下关于主板的描述中，哪一个是错误的？
A）按 CPU 插座分类有 Slot 主板、Socket 主板
B）按主板的规格分类有 TX 主板、DX 主板
C）按数据端口分类为 SCSI 主板、EDO 主板
D）按的展槽分类有 PCI 主板、USB 主板

（6）以下关于应用软件的描述中，哪一个是正确的？
A）微软公司的浏览软件是 Internet Explorer
B）桌面出版软件有 Publisher、Powerpoint
C）电子表格软件有 Excel、Access
D）金山公司的文字处理是 WPS 2000
（7）以下关于计算机网络特征的描述中，哪一个是错误的？
A）计算机网络建立的主要目的是实现计算机资源的共享
B）网络用户可以调用网中多台计算机共同完成某项任务
C）联网计算机既可以联网工作也可以脱网工作
D）联网计算机必须作用统一的操作系统

（8）哪种广域网技术是在 X.25 公用分组交换网的基础上发展起来的？
A）ATM
B）帧中继
C）ADSL
D）光纤分布式数据接口

（9）在实际的计算机网络组建过程中，一般首先应该做什么？
A）网络拓扑结构设计
B）设备选型
C）应用程序结构设计
D）网络协议选型

（10）综合业务数字网 ISDN 设计的目标是：提供一个在世界范围内协调一致的数字通信网络，支持各种通信服务，并在不同的国家采用相同的______。
A）标准
B）结构
C）设备
D）应用

（11）城域网的主干网采用的传输介质主要是______。
A）同轴电缆 B）光纤
C）屏蔽双胶线
D）无线信道

（12）常用的数据传输率单位有 kbps、Mbps、Gips，如果局域网的传输速率 100Mbps，那么发送 1bit 数据需要的时间是______。
A）1×10-6s
B）1×10-7s
C）1×10-8s
D）1×10-9s

（13）误码率是指二进制码元在数据传输系统中被传错的______。
A）比特数
B）字节数
C）概率
D）速度

（14）T1 载波速率为______。
A）1.544Mbps
B)2.048Mbps
C)64kbps
D)128kbps

（15）以下关于 OSI 参考模型的描述中，哪一种说法是错误的？
A）OSI 参考模型定义了开放系统的层次结构
B）OSI 参考模型定义了各层所包括的可能的服务
C）OSI 参考模型定义了各层接口的实现方法
D）OSI 参考模型作为一个框架协调组织各层协议的制定

（16）地址解析协议 ARP 属于 TCP/IP 的哪一层？
A）主机-网络层
B）互联层
C）传输层
D）应用层

（17）IEEE 802.1 标准主要包括哪些内容？
I.局域网体系结构
II.网络互联
III.网络管理
IV.性能测试
A）仅Ⅰ和Ⅱ
B）仅Ⅰ、Ⅱ和Ⅲ
C）仅Ⅱ和Ⅲ
D）全部

（18）IEEE 802.3z 标准定义了千兆介质专用接口 GMI 的目的是分隔 MAC 子层与______。
A）物理层
B）LLC 子层
C）信号编码方式
D）传输介质

（19）Ethernet 交换机实质上是一个多端口的______。
A）中继器
B）集线器
C）网桥
D）路由器

（20）采用直接交换方式的 Ethernet 交换机，其优点是交换延迟时间短，不足之处是缺乏______。
A）并发交换能力
B）差错检测能力
C）路由能力
D）地址解析能力

（21）如果将符合 10BASET 标准的 4 个 HUB 连接起来，那么在这个局域网中相隔最远的两台
计算机之间的最大距离为______。
A）200 米
B）300 米
C）400 米
D）500 米

（22）以下关于 Ethernet 地址的描述，哪个是错误的？
A）Ethernet 地址就是通常所说的 MAC 地址
B）MAC 地址又叫做局域网硬件地址
C）域名解析必然会用到 MAC 地址
D）局域网硬件地址存储在网卡之中

（23） 以下哪个地址是 MAC 地址？
A）0D-01-22-AA
B）00-01-22-0A-AD-01
C）A0.01.00
D)139.216.000.012.002

（24）在一个 Ethernet 中，有 A、B、C、D 四台主机，如果 A 向 B 发送数据，那么______。
A）只有 B 可以接收到数据
B）四台主机都能接收到数据
C）只有 B、C、D 可以接收到数据
D）四台主机都不能接收到数据

（25）以下关于虚拟局域特征的描述中，哪一种说法是错误的？
A）虚拟局域网建立在局域网交换机或 ATM 交换机之上
B）虚拟局域网能将网上的结点按工作性质与需要划分成若干个逻辑工作组
C）虚拟局域网以软件方式实现逻辑工作组的划分与管理
D）同一逻辑工作组的成员必须连接在同一个物理网段上

（26）以下关于操作系统的描述中，哪一种说法是错误的？
A）DOS 是单任务的图形界面操作系统
B）DOS 通过 FAT 文件表示寻找磁盘文件
C）Windows 是多任务的图形界面操作系统
D）Windows 通过虚拟文件表 VFAT 寻找磁盘文件

（27）以下关于网络操作系统的描述中，哪一个说法是错误的？
A）屏蔽本地资源和网络资源之间的差异
B）具有硬件独立特性，支持多平台
C）提供文件服务和打印管理
D）客户和服务器的软件可以互换

（28）以下关于 Windows2000 的描述中，哪一种说法是错误的？
A）服务器的新功能之一是活动目录服务
B）域是基本的管理单位
C）域控制器不再区分主从结构
D）数据中心版适合数字家庭使用

（29）以下关于 NetWare 的描述中，哪一种说法是错误的？
A）强大的文件和打印服务功能
B）不支持 TCP/IP 协议
C）良好的兼容性和系统容错能力
D）完备的安全措施

（30）对于 Linux，以下哪种说法是错误的？
A）Linux 是一种开源的操作系统
B）Linux 提供了强大的应用程序开发环境
C）Linux 可以免费使用
D）Linux 不支持 Sparc 硬件平台

（31）关于 Unix 操作系统的特性，以下哪种说法是错误的？
A）Unix 是一个支持多任务、多用户的操作系统
B）Unix 本身由 Pascal 语言编写、导读、易移植
C）Unix 提供了功能强大的 Shell 编程语言
D）Unix 的树结构文件系统有良好的安全性和可维护性

（32）通信线路的带宽是描述通信线路的______。
A）纠错能力
B）物理尺寸
C）互联能力
D）传输能力

（33）在因特网中，屏蔽各个物理网络的差异主要通过以下哪个协议实现？
A）NETBEIU
B)IP
C)TCP
D)SNMP

（34）以下哪一个是用户仅可以在本地内部网络中使用的专用 IP 地址？
A）192.168.1.1
B)20.10.1.1
C)202.113.1.1
D)203.5.1.1

（35）关于 IP 数据报的报头，以下哪种说法是错误的？
A）版本域表示与该数据报对应的 IP 协议的版本号
B）头部校验和域用于保护 IP 报头的完整性
C）服务类型域说明数据区数据的形式
D）生存周期域表示该数据报可以在因特网中的存活时间

（36）关于静态路由，以下哪种说法是错误的？
A）静态路由通常由管理员手工建立
B）静态路由可以在子网编址的互联网中使用
C）静态路由不能随互联网结构的变化而自动变化
D）静态路由已经过时，目前很少有人使用

（37）在因特网中，路由器必须实现的网络协议为
A）IP
B）IP 和 HTTP
C）IP 和 FTP
D）HTTP 和 FTP

（38）关于因特网的域名系统，以下哪种说法是错误的？
A）域名解析需要借助于一组既独立又协作的域名服务器完成
B）域名服务器逻辑上构成一定的层次结构
C）域名解析总是从根域名服务器开始
D）域名解析包括递归解析和反复解析两种方式

（39）IP 数据报在穿越因特网过程中有可能被分片。在 IP 数据报分片以后，通常由以下哪种设备进行重组？
A）源主机
B）目的主机
C）转发路由器
D）转发交换机

（40）以下哪种软件不同 FTP 的客户端软件？
A）DNS
B）IE
C）CuteFtp
D)NetAnts

（41）以下关于 WWW 服务系统的描述中，哪一个是错误的？
A）WWW 服务系统采用客户/服务器工作模式
B）WWW 服务系统通过 URL 定位系统中的资源
C）WWW 服务系统使用的传输协议为 HTML
D）WWW 服务系统中资源以页面方式存储
（42）如果一个用户通过电话网将自己的主机入因特网，以访问因特网上的 Web 站点，那么用户不需要在这台主机上安装和配置______。
A）调制解调器
B）网卡
C）TCP/IP 协议
D）WWW 浏览器

（43）以下有关网络管理功能的描述中，哪个是错误的？
A）配置管理是掌握和控制网络的配置信息
B）故障管理是对网络中的故障进行定位
C）性能管理监视和调整工作参数，改善网络性能
D）安全管理是使网络性能维持在较好水平

（44）下面哪些操作系统能够达到 C2 安全级别？
Ⅰ. Windows 3.x
Ⅱ.Apple System 7.x
Ⅲ. Windows NT
Ⅳ.NetWare 3.x
A) Ⅰ和Ⅲ
B）Ⅱ和Ⅲ
C）Ⅱ和Ⅳ
D）Ⅲ和Ⅳ

（45）下面哪种攻击方法属于被动攻击？
A）拒绝服务攻击
B）重放攻击
C）通信量分析攻击
D）假冒攻击

（46）下面哪个（些）攻击属于非服务攻击？
Ⅰ.邮件炸弹攻击
Ⅱ.源路由攻击
Ⅲ.地址欺骗攻击
A）仅Ⅰ
B）Ⅰ和Ⅱ
C）Ⅱ和Ⅲ
D）Ⅰ和Ⅲ

（47）端到端加密方式是网络中进行数据加密的一种重要方式，其加密、解密在何处进行？
A）源结点、中间结点
B）中间结点、目的结点
C）中间结点、中间结点
D）源结点、目的结点

（48）DES 是一种常用的对称加密算法，其一般的分组长度为
A）32 位
B）56 位
C）64 位
D）128 位

（49）下面哪个不是 RSA 密码体制的特点？
A）它的安全性基于大整数因子分解问题
B）它是一种公钥密码体制
C）它的加密速度比 DES 快
D）它常用于数字签名、认证

（50）以下哪个方法不能用于计算机病毒检测？
A）自身校验
B）加密可执行程序
C）关键字检测
D）判断文件的长度

（51）以下关于防火墙技术的描述，哪个是错误的？
A）防火墙分为数据包过滤和应用网关两类
B）防火墙可以控制外部用户对内部系统的访问
C）防火墙可以阻止内部人员对外部的攻击
D）防火墙可以分析和统管网络使用情况

（52）下面关于 IPSec 的说法哪个是错误的？
A）它是一套用于网络层安全的协议
B）它可以提供数据源认证服务
C）它可以提供流量保密服务
D）它只能在 Ipv4 环境下使用

（53）关于 SSL 和 SET 协议，以下哪种说法是正确的？
A）SSL 和 SET 都能隔离订单信息和个人账户信息
B）SSL 和 SET 都不能隔离订单信息和个人账户信息
C）SSL 能隔离订单信息和个人账户信息，SET 不能
D）SET 能隔离订单信息和个人账户信息，SSL 不能

（54）EDI 用户通常采用哪种平台完成数据交换？
A）专用的 EDI 交换平台
B）通用的电子邮件交换平台
C）专用的虚拟局域网交换平台
D）通用的电话交换平台

（55）关于电子商务系统结构中安全基础层的描述，以下哪种说法是错误的？
A）安全基础层位于电子商务系统结构的最底层
B）安全基础层用于保证数据传输的安全性
C）安全基础层可以实现交易各方的身份认证
D）安全基础层用于防止交易中抵赖的发生

（56）电子政务应用系统建设包括的三个层面是______。
A）网络建设、信息收集、业务处理
B）信息收集、业务处理、决策支持
C）业务处理、网络建设、决策支持
D）信息收集、决策支持、网络建设

（57）电子政务内网主要包括______。
A）公众服务业务网、非涉密政府办公网和涉密政府办公网
B）因特网、公众服务业务网和非涉密政府办公网
中国最大的 IT 技术/IT 管理/IT 教育/IT 培训/IT 咨询资源站点
C）因特网、公众服务业务网和涉密政府办公网
D）因特网、非涉密政府办公网和涉密政府办公网

（58）下面哪个不是 ATM 技术的主要特征？
A）信元传输
B）面向无连接
C）统计多路复用
D）服务质量保证

（59）以下关于 ADSL 技术的说法，哪个是错误的？
A）ADSL 可以有不同的上下行传输速率
B）ADSL 可以传送数据、视频等信息
C）ADSL 信号可以与语音信号在同一对电话线上传输
D）ADSL 可以为距离 10km 的用户提供 8Mbps 下行信道

（60）无线局域网通常由以下哪些设备组成？
Ⅰ. 无线网卡
Ⅱ. 无线接入点
Ⅲ. 以太网交换机
Ⅳ. 计算机
A）Ⅰ、Ⅱ和Ⅲ
B）Ⅱ、Ⅲ和Ⅳ
C）Ⅰ、Ⅱ和Ⅳ
D）Ⅰ、Ⅲ和Ⅳ

二、填空题（每空 2 分，共 40 分）
请将答案分别写在符合题卡中序号为【1】至【20】的横线上，答在试卷上不得分。

（1）安腾是 【1】 位的芯片。

（2）符合电视质量的视频和音频压缩形式的国际标准是 【2】 。

（3）计算机网络利用通信线路将不同地理位置的多个 【3】 的计算机系统连接起来，以实现资源共享。

（4）计算机网络拓扑反映出网络中各实体之间的 【4】 关系。

（5）阿帕网属于【5】交换网。

（6）在 TCP/IP 协议中,传输层负责为【6】层提供服务。

（7）在网络中，为了将语音信号和数据、文字、图形、图像一同传输，必须利用【7】技术将语音信号数字化。

（8）IEEE 802.11b 定义了使用跳频技术的无线局域网标准，它的最高传输速率可以达到【8】Mbps。

（9）早期的网络操作系统经历了由【9】结构向主从结构的过渡。

（10）下一代互联网的互联层使用的协议为 IPv 【10】。

（11）一台主机的 IP 地址为 10.1.1.100，屏蔽码为 255.0.0.0。现在用户需要配置该主机的默认路由。如果与该主机直接相连的惟一的路由器具有 2 个 IP 地址，一个为10.2.1.100，屏蔽码为 255.0.0.0，另一个为 11.1.1.1，屏蔽码为 255.0.0.0，那么该主机的默认路由应该为【11】。

（12）利用 IIS 建立的 Web 站点的 4 级访问控制为 IP 地址限制、用户验证、【12】权限和 NTFS 权限。

（13）邮件服务器之间传送邮件通常使用【13】协议。

（14）在一般网络管理模型中，一个管理者可以和多个【14】进行信息交换，实现对网
络的管理。

（15）SNMP 是最常用的计算机网络管理协议。SNMPv3 在 SNMPv2 基础上增加、完善了【15】和管理机制。

（16）数字签名最常用的实现方法建立在公钥密码体制和安全单向【16】函数基础之上。

（17）防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登录的【17】。

（18）电子商务应用系统包括 CA 系统、【18】系统、业务应用系统和用户终端系统。

（19）根据国家电子政务的有关规定，涉密网必须与非涉密网进行【19】隔离。

（20）蓝牙技术一般用于【20】米之内的手机、PC、手持终端等设备之间的无线连接。

2006年9月全国计算机等级考试三级网络技术笔试答案

答案：
1-30 ACABB DDBAA BCCAC BBABB DCBAD ADDBD

31-60BDBAC CACBA CBDDC CDCCB CDAAA BABDC

1)64，
2)MPEG，
3)自治，
4)结构，
5)虚拟，
6)应用，
7)调制解调器，
8)11，
9)对等，
10)6
11)10.2.1.100
12)wed访问
13)SMTP
14)代理节点
15)安全
16)散列
17)次数
18)支付网关
19)物理
20)10

⑤ 包过滤防火墙的技术缺点

→一些包过滤网关不支持有效的用户认证。
→规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能 性也会增加。
→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户甚至可能还不知道。
→在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。
→包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。
虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤网关，而是将它和其他设备（如堡垒主机等）联合使用。
包过滤的工作是通过查看数据包的源地址、目的地址或端口来实现的，一般来说，它不保持前后连接信息，过滤决定是根据 当前数据包的内容来做的。管理员可以做一个可接受机和服务的列表，以及一个不可接受机和服务的列表。在主机和网络一级，利用数据包过滤很容易实现允许或禁止访问。
由此不难看出这个层次的防火墙的优点和弱点，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，这是因为防火墙只是去检查数据报的报头，而对数据报所携带的内容没有任何形势的检查，因此速度非常快。与此同时，这种防火墙的缺点也是显而易见的，比较关键的几点如下所述。
（1）由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容
体现这一问题的一个很简单的例子就是：对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被开放，即使通过防火墙的数据报有攻击性，也无法进行控制和阻断。例如在一个简单的Web服务器，而包过滤的防火墙无法对数据报内容进行核查。因此，未打相应补丁的提供Web服务的系统，及时在防火墙的屏蔽之后，也会被攻击着轻易获取超级用户的权限。
（2）由于此种类型的防火墙工作在较低层次，防火墙本身所能接触的信息较少，所以它无法提供描述细致事件的日志系统。
此类防火墙生成的日志常常只是包括数据报捕获的时间、网络层的IP地址、传输层的端口等非常原始的信息。至于这个数据报内容是什么，防火墙不会理会，而这对安全管理员而言恰恰是很关键的。因为及时一个非常优秀的系统管理员，一旦陷入大量的通过/屏蔽的原始数据包信息中，往往也是难以理清头绪，这在发生安全事件时给管理员的安全审计带来很大的困难。
（3）所有可能用到的端口（尤其是大于1024的端口）都必须开放，对外界暴露，从而极大地增加了被攻击的可能性
通常对于网络上所有服务所需要的数据包进出防火墙的二端口都要仔细考虑，否则会产生意想不到的情况。然而我们知道，当被防火墙保护的设备与外界通信时，绝大多数应用要求发出请求的系统本身提供一个端口，用来接收外界返回的数据包，而且这个端口一般是在1024到65536之间不确定的，如果不开放这些端口，通信将无法完成，这样就需要开放1024以上的全部端口，允许这些端口的数据包进出。而这就带来非常大的安全隐患。例如：用户网中有一台UNIX服务器，对内部用户开放了RPC服务，而这个服务是用在高端口的，那么这台服务器非常容易遭到基于RPC应用的攻击。
（4）如果网络结构比较复杂，那么对管理员而言配置访问控制规则将非常困难
当网络发展到一定规模时，在路由器上配置访问控制规则将会非常繁琐，在一个规则甚至一个地址处出现错误都有可能导致整个访问控制列表无法正常使用。

⑥ 包过滤防火墙的基本过程

下面做个简单的叙复述：制
（1）包过滤规则必须被包过滤设备端口存储起来。
（2）当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
（3）包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
（4）若一条规则阻止包传输或接收，则此包便不被允许。
（5）若一条规则允许包传输或接收，则此包便可以被继续处理。
（6）若包不满足任何一条规则，则此包便被阻塞。

⑦ 路由器如何进行数据包过滤

数据包是TCP/IP协议通信传输中的数据单位，局域网中传输的不是“帧”吗?
但是TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的，而帧是工作在第二层(数据链路层)。
上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。
一、数据包过滤有时也称为静态数据包过滤，它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问，当路由器根据过滤规则转发或拒绝数据包时，它便充当了一种数据包过滤器。
当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃。数据包过滤工作在开放式系统互联 (OSI) 模型的网络层，或是 TCP/IP 的 Internet 层。
二、作为第3层设备，数据包过滤路由器根据源和目的 IP 地址、源端口和目的端口以及数据包的协议，利用规则来决定是应该允许还是拒绝流量。这些规则是使用访问控制列表 (ACL) 定义的。
三、相信您还记得，ACL 是一系列 permit 或 deny 语句组成的顺序列表，应用于 IP 地址或上层协议。ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”。
四、简单的说，你上网打开网页，这个简单的动作，就是你先发送数据包给网站，它接收到了之后，根据你发送的数据包的IP地址，返回给你网页的数据包，也就是说，网页的浏览，实际上就是数据包的交换。
1、数据链路层对数据帧的长度都有一个限制，也就是链路层所能承受的最大数据长度，这个值称为最大传输单元，即MTU。以以太网为例，这个值通常是1500字节。
2、对于IP数据包来讲，也有一个长度，在IP包头中，以16位来描述IP包的长度。一个IP包，最长可能是65535字节。
3、结合以上两个概念，第一个重要的结论就出来了，如果IP包的大小，超过了MTU值，那么就需要分片，也就是把一个IP包分为多个。
数据包的结构与我们平常写信非常类似，目的IP地址是说明这个数据包是要发给谁的，相当于收信人地址;
源IP地址是说明这个数据包是发自哪里的，相当于发信人地址，而净载数据相当于信件的内容，正是因为数据包具有这样的结构，安装了TCP/IP协议的计算机之间才能相互通信。
在使用基于TCP/IP协议的网络时，网络中其实传递的就是数据包。

⑧ 包过滤防火墙

1.1 包过滤防火墙的一般概念
1.1.1 什么是包过滤防火墙
包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。
在Linux系统下,包过滤功能是内建于核心的（作为一个核心模块，或者直接内建），同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头以决定包的命运。
包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲，它针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。包过滤是在IP层实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。
包过滤也包括与服务相关的过滤，这是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，为阻断所有进入特定服务的链接，防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。
1.1.2 包过滤防火墙的工作层次
包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。
1.1.3 包过滤防火墙的工作原理
（1）使用过滤器。数据包过滤用在内部主机和外部主机之间， 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。
数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的，主要信息有：
* IP源地址
* IP目标地址
* 协议（TCP包、UDP包和ICMP包）
* TCP或UDP包的源端口
* TCP或UDP包的目标端口
* ICMP消息类型
* TCP包头中的ACK位
* 数据包到达的端口
* 数据包出去的端口
在TCP/IP中，存在着一些标准的服务端口号，例如，HTTP的端口号为80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接，例如，可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。
（2）过滤器的实现。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。
普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。
过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。
路由器的过滤策略主要有：
* 拒绝来自某主机或某网段的所有连接。
* 允许来自某主机或某网段的所有连接。
* 拒绝来自某主机或某网段的指定端口的连接。
* 允许来自某主机或某网段的指定端口的连接。
* 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。
* 允许本地主机或本地网络与其它主机或其它网络的所有连接。
* 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。
* 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。
1.1.4 包过滤器操作的基本过程
下面做个简单的叙述：
（1）包过滤规则必须被包过滤设备端口存储起来。
（2）当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
（3）包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
（4）若一条规则阻止包传输或接收，则此包便不被允许。
（5）若一条规则允许包传输或接收，则此包便可以被继续处理。
（6）若包不满足任何一条规则，则此包便被阻塞。
1.1.5 包过滤技术的优缺点
（1）优点：
→对于一个小型的、不太复杂的站点，包过滤比较容易实现。
→因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。
→过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。
→过滤路由器在价格上一般比代理服务器便宜。
（2）缺点：
→一些包过滤网关不支持有效的用户认证。
→规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能 性也会增加。
→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。
→在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。
→包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。
虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤网关，而是将它和其他设备（如堡垒主机等）联合使用。
包过滤的工作是通过查看数据包的源地址、目的地址或端口来实现的，一般来说，它不保持前后连接信息，过滤决定是根据 当前数据包的内容来做的。管理员可以做一个可接受机和服务的列表，以及一个不可接受机和服务的列表。在主机和网络一级，利用数据包过滤很容易实现允许或禁止访问。
由此不难看出这个层次的防火墙的优点和弱点，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，这是因为防火墙只是去检查数据报的报头，而对数据报所携带的内容没有任何形势的检查，因此速度非常快。与此同时，这种防火墙的缺点也是显而易见的，比较关键的几点如下所述。
（1）由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容
体现这一问题的一个很简单的例子就是：对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被开放，即使通过防火墙的数据报有攻击性，也无法进行控制和阻断。例如在一个简单的Web服务器，而包过滤的防火墙无法对数据报内容进行核查。因此，未打相应补丁的提供Web服务的系统，及时在防火墙的屏蔽之后，也会被攻击着轻易获取超级用户的权限。
（2）由于此种类型的防火墙工作在较低层次，防火墙本身所能接触道德信息较少，所以它无法提供描述细致事件的日志系统。
此类防火墙生成的日志常常只是包括数据报捕获的时间、网络层的IP地址、传输层的端口等非常原始的信息。至于这个数据报内容是什么，防火墙不会理会，而这对安全管理员而言恰恰是很关键的。因为及时一个非常优秀的系统管理员，一旦陷入大量的通过/屏蔽的原始数据包信息中，往往也是难以理清头绪，这在发生安全事件时给管理员的安全审计带来很大的困难。
（3）所有可能用到的端口（尤其是大于1024的端口）都必须开放，对外界暴露，从而极大地增加了被攻击的可能性
通常对于网络上所有服务所需要的数据包进出防火墙的二端口都要仔细考虑，否则会产生意想不到的情况。然而我们知道，当被防火墙保护的设备与外界通信时，绝大多数应用要求发出请求的系统本身提供一个端口，用来接收外界返回的数据包，而且这个端口一般是在1024到65536之间不确定的，如果不开发那个这些端口，通信将无法完成，这样就需要开发那个1024以上的全部端口，允许这些端口的数据包进出。而这就带来非常大的安全隐患。例如：用户网中有一台UNIX服务器，对内部用户开放了RPC服务，而这个服务是共做在高端口的，那么这台服务器非常容易遭到基于RPC应用的攻击。
（4）如果网络结构比较复杂，那么对管理员而言配置访问控制规则将非常困难
当网络发展到一定规模时，在路由器上配置访问控制规则将会非常繁琐，在一个规则甚至一个地址处出现错误都有可能导致整个访问控制列表无法正常使用。

⑨ 实现包过滤的核心技术是（ ）

B、实现包过滤技术是原理是通过对访问者的源地址和端口以及目标地址和端口进行对比，通过规则来实现通过与不能通过，主要解决的是一种访问权问题，是一种一刀切的做法，能和不能，加强版是动态包过滤技术

⑩ 求帮做计算机作业

考试题？