Skip to content

D.简答

各类防火墙简介

包过滤技术

基本思想是对IP数据报进行检测,根据IP数据报的源地址、目的地址、源端口、目的端口以及协议状态等信息进行选择,确定是否允许某个IP数据报通过防火墙。

对IP数据报进行选择的依据被称为 过滤逻辑,防火墙中保存的过滤逻辑集合被称为 访问控制列表 ACL

  • 优点:透明,用户感知不到
  • 缺点:只能识别网络层 IP首部和传输层的部分信息,不能识别具体应用程序

代理服务技术

所谓代理服务器,是指代表客户端处理连接请求的某种程序。代理服务器得到一个客户端的连接意图时,他将核实客户端的请求,用特定的代理程序来处理连接请求,并将处理后的连接请求发送给真实的服务器。真实服务器响应后,代理程序收到应答,并在经过处理后传递给客户端。

使用代理服务技术的防火墙可以分为:应用层网关防火墙电路层网关防火墙

应用层防火墙: 基于软件的防火墙产品,通常安装在专用的工作站上,针对应用层协议制定过滤逻辑。内部网络的客户端发出请求连接时,先阻塞连接,分析、登记和统计。如果符合预先设定的过滤逻辑中允许连接的要求,则会建立一个在客户端和服务端的逻辑连接,保证其通信,否则会阻止通信的建立

  • 优点:安全性能比较高
  • 缺点:处理较慢、对用户不透明

状态检测技术

采用状态检测技术的防火墙也被称为 动态包过滤防火墙。基本思想是在连接内网好外网的网关处设置一个执行网络安全策略的专门软件,称为检测引擎。检测引擎在不影响网络的正常运行的前提下,通过抽取通过的数据的方法对网络通信的各个层次进行检测,并且将抽取的状态信息动态地保存起来作为执行安全策略的参考。

状态检测和包过滤的不同在于:包过滤只针对某个独立数据报进行检测判断,不关心前后的情况,每个包的通过和拒绝只取决于自身。状态监测将同属于一个连接的所有数据报作为一个整体的数据流看待,形成连接状态表,通过过滤逻辑和状态表共同配合.

NAT 技术

NAT技术是将内部私有的IP地址转换成合法的公用IP地址,从而是内部使用IP地址的用户能够访问Internet的一种技术。

个人防火墙功能

  • IP数据报过滤功能
  • 安全规定的设定
  • 对网络攻击的拦截功能
  • 网络访问控制功能
  • 日志记录功能
  • 网络快速切断、恢复功能
  • 更新升级

简述杀毒软件的基本工作原理

  • 杀毒软件设计者分析各种病毒程序,从中提取特征代码形成 病毒特征数据库,作为查找病毒的依据
  • 用户安装杀毒软件后,可以对个人计算机系统中的内存和磁盘进行扫描,对系统中的文件逐一与病毒特征代码进行比较,从而发现并清除感染病毒的文件
  • 由于病毒不断地变化和更新, 杀毒软件的病毒特征数据库也需要及时进行更新和升级

网络管理系统需要解决的三个方面的问题

  • 网络设备的多样性使得网络管理变得更加复杂
  • 网络在工作和生活中的重要性对网络的管理提出了更高的要求
  • 网络管理系统的不断完善和发展也是网络本身发展的必然结果。
  • 由于万维网使用的 HTTP 是一种无状态的协议,一旦数据交换完毕,客户端和服务器端的连接就会关闭, 再次进行数据交换需要建立新的连接,这就意味着服务器端无法跟踪用户的会话。
  • 为了解决这些问题,万维网引入了 Cookie 机制和 Session 机制,以实现会话的跟踪。
  • Session 与 Cookie 的最根本不同是: Cookie 机制中的用户信息文件被保存在客户端,而 Session 是在服务器端将用户信息进行保存的。
  • Session 的基本工作原理:当用户使用浏览器首次访问某个网站时,服务器会为该用户创建一个唯一的 Session 标识 Session ID ,并以 Session ID 为索引开辟一块数据存储空间,用于保存该用户的访问信息。 服务器将 Session ID 通过 HTTP 响应报文返回给用户。以后用户每次访问该网站时,请求报文都包含有 Session ID, 服务器收到后根据 Session ID 检索服务器端所保存的 Session 。
  • 准确统计网站的事迹访问人数,新访问者,和重复访问者的人数对比,以及访问者的访问频率等数据
  • 限制某些特定用户的访问
  • 存储用户访问过程中的一些操作习惯和偏好,对不同的用户呈现不同的内容
  • 记录用户登录网站使用的用户名、密码等信息,用户多次登录时,不必每次都从键盘输入
  • 电子商务网站可以使用 Cookie 实现购物车功能

差错控制

  • 差错控制是通过信道编码技术实现对信息传输差错的检测,并基于某种机制进行差错纠正或处理
  • 检错重发:发送端进行差错编码,接收端检测,出错接收端请求重发,所以也叫 ARQ 自动请求重传
  • 前向纠错:接收端可以定位到错误并直接纠正
  • 反馈校验:接收端返回接收到的数据,发送端比对
  • 检错丢弃:不纠错,直接丢弃

计算机网络的性能指标

建立计算机网络的性能指标是为了:评价网络运行的好坏,便于研究和使用计算机网络

定量的性能指标

  • 速率:速率描述的是计算机网络中数字信息传递的快慢情况,可以分为发送速率和传输速率
    • 发送速率:在终端或者网络的中间节点,计算机设备每秒向网络中发送多少比特数据,反映的主要是网络设备的性能
    • 传输速率:数据信号在传输线路上每秒能过传播多少千米,单位为千米每秒,反映的主要是信号及信道的性能
  • 带宽
    • 模拟通信系统的带宽:包括信道带宽和信号传输带宽
    • 数字通信系统的带宽:表示通信线路能传输数据的能力,即单位时间内从网络的一点到另一点所能通过的最高数据量,单位为 比特每秒
  • 端到端延迟:简称延迟,表示一个数据分组从网络的一个端点到达另一个端点所花费的时间;包括发送延迟、传播延迟、处理延迟、排队延迟
  • 吞吐量:单位时间内通过某个网络(或信道、接口)的数据量

非定量的性能指标

  • Qos服务质量、可靠性、可扩展性、安全性、标准化、成本
  • Qos:服务质量,指的是一个网络能过利用各种基础技术,为指定的网络通信提供更好的服务能力,是网络自身预防拥塞和从拥塞中恢复的一种安全机制

防火墙的功能

  • 过滤进出网络的数据
  • 管理进出网络的行为
  • 记录进出网络的信息和动作
  • 封堵需要禁止的业务
  • 对网络攻击进行检测和警告