1、软件水平考试(初级)网络管理员下午(应用技术)-试卷 45及答案解析(总分:68.00,做题时间:90 分钟)一、试题一(总题数:2,分数:20.00)1.试题一()(分数:10.00)_请回答以下关于网站开发和应用的问题 15,把答案填写到对应栏内。(分数:10.00)(1).Web页面的规划有哪些原则?(分数:2.00)_(2).基于 Windows Server的网站建设平台方案是什么?(分数:2.00)_(3).如何设计网站的标准色彩?(分数:2.00)_(4).网站栏目与版块安排要注意哪些方面?(分数:2.00)_(5).常见网页制作工具有 Photoshop、Flash、Firew
2、orks、Dreamweaver,FrontPage,它们在网站开发中各自的功能分别是什么?(分数:2.00)_二、试题二(总题数:2,分数:20.00)2.试题二()(分数:10.00)_请回答以下关于网络安全的问题 15,把答案填写到对应栏内。(分数:10.00)(1).现在,计算机网络主要存在哪些方面的威胁?(分数:2.00)_(2).什么是 DoS攻击?(分数:2.00)_(3).可信计算机系统评估准则(TCSEC)将计算机安全分为哪些级别?(分数:2.00)_(4).防火墙的规则配置包括哪些策略?(分数:2.00)_(5).简述漏洞扫描的基本原理。(分数:2.00)_三、试题三(总题
3、数:2,分数:16.00)3.试题三()(分数:8.00)_计算机病毒无处不在,危害极大,请回答以下关于计算机病毒的问题 14,把答案填写到对应栏内。(分数:8.00)(1).传统意义上的计算机病毒具有哪些特征?(分数:2.00)_(2).计算机病毒可以分为哪几类?(分数:2.00)_(3).网络病毒的传播方式有哪些?(分数:2.00)_(4).实施数据库服务器的病毒防护时,主要需要保护哪些元素?(分数:2.00)_四、试题四(总题数:2,分数:12.00)4.试题四()(分数:6.00)_阅读下列说明,回答问题 1至问题 5,将解答填入对应栏内。 【说明】 建立企业的 Internet时,经
4、常遇到的问题是:IP 地址的申请、网络安全、网站的建立和维护,请就这些问题进行回答。(分数:6.00)(1).当我们申请不到很多合法 IP时,如何分配 IP使得单位对外开放的服务器和内部的 PC 终端能够上网?(分数:2.00)_(2).要使内部网的 PC访问 Internet,请给出两种解决方案。(分数:2.00)_(3).防火墙实现原理有多种不同的技术,请你分析各自的特点。(分数:2.00)_软件水平考试(初级)网络管理员下午(应用技术)-试卷 45答案解析(总分:68.00,做题时间:90 分钟)一、试题一(总题数:2,分数:20.00)1.试题一()(分数:10.00)_解析:请回答以
5、下关于网站开发和应用的问题 15,把答案填写到对应栏内。(分数:10.00)(1).Web页面的规划有哪些原则?(分数:2.00)_正确答案:(正确答案:Web 一个很重要的原则就是要让用户迅速找到他所感兴趣的内容,同时,还要通过图形设计和规划,把信息划分为各个独立单位,使读者在短期记忆内必须记住的内容减到最少;一个好的 Web站点,它的内容必须是符合逻辑和日常习惯的,Web 的设计者也必须保证 Web上的每一个页面在内容上都是独立和完整的;除了内容组织上的逻辑性和独立性之外,还必须注意内容上的先后顺序。 创建一个 Web网站,总是先要对其进行合理的规划:然后再精心设计;最后才是管理与维护工作
6、。可见网站规划是创建 Web网站的第一步,规划不好,创建 Web站点就难以成功。 Web 网站规划的任务就是要确定网站所包含的内容,定位网站服务的对象,并以适当的形式表现出来,以吸引更多的人来访问。一般对于Web页而的规划原则是;要让用户迅速找到他所感兴趣的内容,同时,还要通过图形设计和规划,把信息划分为各个独立单位,使读者在短期记忆内必须记住的内容减到最少:一个好的 Web站点,它的内容必须是符合逻辑和日常习惯的,Web 的设计者也必须保证 Web上的每一个页面在内容上都是独立和完整的:除了内容组织上的逻辑性和独立性之外,还必须注意内容上的先后顺序。)解析:(2).基于 Windows Se
7、rver的网站建设平台方案是什么?(分数:2.00)_正确答案:(正确答案:Windows Server+ IIS+ASP+SQL Server 是常用的基于 Windows Server的网站建设平台方案。 Windows Server 是一个单用户、多任务的操作系统,它的各个版本已被广泛应用于中小型网络系统。 IIS 用于建立 Windows Server系统的 Web服务器,在 Windows Server各个版本中都进行捆绑销售,它与 NT完美集成,提供了 WWW、FTP、SMTP 等各种服务。 ASP 是一种基于 Windows平台的动态页面开发技术,可以用 VBScript或 Ja
8、vaSeript语言来编写,支持 COM/DCOM。 Microsoft SQL Server 易于升级和使用,能够缩放,适应从便携式计算到企业级应用等各种规模;支持自配置和自调整数据库,与NT紧密集成并充分使用其安全机制,还与 OLAP服务器集成。 基于 Windows Server的网站建设平台方案是 Windows Server+ IIS+ASP+SQL Server。 Windows Server 功能强大、操作界面友好、组网简单、便于管理、开发工具及第三方软件丰富。Windows Server 已成为一个优秀的 Web平台,它的各个版本已被广泛应用于中小型网络系统。 IIS 用于建立
9、基于 Windows Server系统的 Web服务器,是在 Windows Server的各个版本中都进行捆绑销售的组件,它与 Windows Server完美集成,提供了 WWW、FTP、 SMTP 等各种服务。 ASP 是基于微软 Windows平台的动态页面开发技术,可以用 VBScript或 JavaScript语言来编写,支持 COM/DCOM,其特点是简单易学、开发效率高。 Microsoft SQL Server 是一个可升级的、可靠的并且易于使用的数据库产品,能够缩放,以适应从便携式计算到企业级应用等各种规模,它们可以使用完全相同的代码,支持自配置和自调整的数据库,与 Win
10、dows Server紧密集成,可充分利用 Windows Server的安全机制,还与 OLAP (On-Line Analytical Process,在线分析处理)服务器集成。)解析:(3).如何设计网站的标准色彩?(分数:2.00)_正确答案:(正确答案:标准色彩是指能体现网站形象和延伸内涵的色彩,应当使来访者感到贴切、和谐。一个网站的标准色彩一般不超过 3种,太多会让来访者眼花缭乱。常用的适合于网页标准色彩的颜色有蓝色、黄/橙色、黑/灰/白色三大系列色。 网站给人的第一印象来自视觉冲击,确定网站的标准色彩是相当重要的一步。不同的色彩搭配产生不同的效果,并可能影响到访问者的情绪。 “标
11、准色彩”是指能体现网站形象和延伸内涵的色彩。如 IBM的深蓝色、肯德基的红色条型、Windows 视窗标志上的红蓝黄绿色块,都使我们觉得很贴切,很和谐。如果将 IBM改用绿色或金黄色,我们会有什么感觉?一个网站的标准色彩一般不超过 3种,太多则让人眼花缭乱。标准色彩要用于网站的标志、标题、主菜单和主色块,给人以整体统一的感觉。常用的适合于网页标准色的颜色有:蓝色、黄/橙色、黑/灰/白色三大系列色。)解析:(4).网站栏目与版块安排要注意哪些方面?(分数:2.00)_正确答案:(正确答案:一般的网站栏目与版块安排要注意以下几个方面。 (1)紧扣主题。 (2)设一个“最近更新”或“网站指南”栏目。
12、 (3)设定一个可以双向交流的栏目。 (4)设一个下载或常见问题回答栏目。 栏目的实质是一个网站的大纲索引,索引应该将网站的主体明确显示出来。在制定栏目的时候,要仔细考虑,合理安排。一般的网站栏目与版块安排要注意以下几方面: (1)紧扣主题。将主题按一定的方法分类并将它们作为网站的主栏目。主题栏目个数在总栏目中要占绝对优势,这样的网站显得更加专业,主题突出,容易给人留下深刻印象。 (2)设一个“最近更新”或“网站指南”栏目。这样做是为了照顾常来的访客,让用户的主页更有个性化。主页内容庞大,层次较多,而又没有站内的搜索引擎时,建议用户设置“本站指南”栏目。可以帮助初访者快速找到他们想要的内容。
13、(3)设定一个可以双向交流的栏目。比如论坛、留言本、邮件列表等,可以让浏览者留下他们的信息。有调查表明,提供双向交流的站点比简单的留一个“Email me”的站点更具有亲和力。 (4)设一个下载或常见问题回答栏目。网络的特点是信息共享。如果用户看到一个站点有大量的优秀的有价值的资料,用户肯定希望能一次性下载,而不是一页一页浏览存盘。另外,如果用户的站点经常收到网友关于某方面的问题来信,用户最好设立一个常见问题回答的栏目,既方便了网友,也可以节约自己更多时间用以学习。)解析:(5).常见网页制作工具有 Photoshop、Flash、Fireworks、Dreamweaver,FrontPage
14、,它们在网站开发中各自的功能分别是什么?(分数:2.00)_正确答案:(正确答案:常见网页制作工具如下: (1)Photoshop。是图像处理软件,在网站制作中用来制作网页效果图,处理网站中的图片等。 (2)Flash。可制作交互式的动画和电影,可以插入到网页中,也可以单独成为动态网页。 (3)Fireworks。专用于 Web图形的制作、处理和发布。 (4)Dreamweaver。用于网页编辑和站点管理。 (5)FrontPage。用于设计和制作网页。 Photoshop 是 Adobe公司推出的功能强大的图像处理软件,是目前最优秀的图像处理软件之一,它深受专业人士和电脑美术爱好者的青睐,在
15、网站制作中常用它来制作网页效果图,处理网站中的图片等。 Flash 是 Macromedia公司开发的集动画制作、网页设计和多媒体应用为一体的优秀应用软件,为原本沉寂的网络世界带来了无限的生机和活力,用Flash可制作交互式的动画和电影,这些动画和电影可以插入到网页中,也可以单独成为动态网页,同时,它还自带了功能强大的 ActionScript编译器,扩展了动画的功能,与网络应用集成得更加紧密。 Fireworks是 Macromedia公司推出的专用于 Web图形的制作、处理和发布,它将 Web 图形处理方面的工作集成到一个统一的环境中,并提供独特的矢量和位图相结合的解决方案,可以使用它创建
16、和编辑位图、矢量图形,还可以非常轻松地做出各种网页设计中常见的效果,比如翻转图像、下拉菜单等,设计完成以后,如果用户要在网页设计中使用,用户可以将它输出为 html文件,还能输出为可以在Photoshop、Illustrator 和 Flash等软件中编辑的格式。 Dreamweaver 能够快速创建极具表现力和动感效果的网页,提供了强大的网页编辑功能和完善的站点管理机制,Dreamweaver、Fireworks、Flash 合称为“网页三剑客”,在网页制作方面各司其职,是网页创作工具的完美组合。)解析:二、试题二(总题数:2,分数:20.00)2.试题二()(分数:10.00)_解析:请回
17、答以下关于网络安全的问题 15,把答案填写到对应栏内。(分数:10.00)(1).现在,计算机网络主要存在哪些方面的威胁?(分数:2.00)_正确答案:(正确答案:现在计算机网络主要存在五个方面的威胁:非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。 当前网络与信息安全问题日益突出,黑客攻击、信息泄密及病毒泛滥所带来的危害引起了世界各国尤其是信息发达国家的高度重视。目前,计算机网络主要存在五个方面的威胁,分别是非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。)解析:(2).什么是 DoS攻击?(分数:2.00)_正确答案:(正确答案:Do
18、S 攻击亦称拒绝服务,其目的是使计算机或网络无法提供正常的服务。最常见的 DoS 攻击有计算机网络带宽攻击和连通性攻击。 DoS 攻击也叫拒绝服务攻击,是使合法的用户也不能使用网络的一种攻击方式。该攻击以多个随机的源主机地址向目的主机发送 SYN包,而在收到目的主机的SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到 ACK就一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。最常见的 DoS攻击有计算机网络带宽攻击和连通性攻击。)解析:(3).可信计算机系统评估准则(TCSEC)将计算机安全分为哪些级别?(分数:2.00)_正确答案:(正
19、确答案:可信计算机系统评估准则(TCSEC)将计算机安全从高到低分为四个等级:A、 B、C、D,七个安全级别:A1、B3、B2、B1、C2、C1、D1。 TCSEC 将计算机安全从高到低分为A、B、C、D 四个安全等级,七个安全级别,即 D、C1、C2、B1、B2、B3、A1。 D 级:安全保护欠缺级,凡经检测,安全性能达不到 C1级的划分为 D级。D 级并非没有安全保护功能。 C1 级:自主安全保护级,可信计算机定义和控制系统中命名用户对命名客体的访问。实施机制允许命名用户和(或)用户组的身份规定并控制客体的共享,并阻止非授权用户读取敏感信息。 C2 级:受控存取保护级,与自主安全保护级相比
20、,本级的可信计算机实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件及隔离资源,使用户能对自己的行为负责。 B1 级:标记安全保护级,本级的可信计算机具有授权存取保护级的所有功能。此外,还可提供有关安全策略模型、数据标记及主体对客体强制访问控制的非形式化描述;具有准确的标记输出信息的能力;可消除通过测试发现的任何错误。 B2 级:结构化保护级,本级的可信计算机建立于一个明确定义的形式化安全策略模型之上,它要求将 B1级系统中的自主和强制访问控制扩展到所有主体与客体。此外还要考虑隐蔽通道。本级的可信计算机必须结构化为关键保护元素和非关键保护元素。可信计算机的接口也必须明确定义,使其
21、设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制,支持系统管理员和操作员的职能,提供可信设施管理,增强了配置管理控制。系统具有相当的抗渗透能力。 B3 级:安全域级,本级的可信计算机满足访问监控器需求。访问监控器是指监控主体与客体之间授权访问关系的部件。访问监控器仲裁主体对客体的全部访问,访问监控器本身是抗篡改的,必须足够小,能够分析和测试。为了满足访问监控器需求,可信计算机在其构造时排除实施对安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最低。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号:提供系统恢复机制。系统具有较高的抗渗透能力。
22、 A1 级:验证设计级,本级的安全功能与 B3级相同,但最明显的不同是本级必须对相同的设计运用数字形式化证明方法加以验证,以证明安全功能的正确性。本级还规定了将安全计算机系统运送到现场安装所必须遵守的程序。)解析:(4).防火墙的规则配置包括哪些策略?(分数:2.00)_正确答案:(正确答案:防火墙的规则配置策略包括四种:禁止(Drop)、允许(Accept)、用户认证(Auth)和自动封禁(Auto)。 防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。防火墙的作用是防止不希望的、未经授权的通信进出被保护的网络,通过边界控制强化内部网络的安全政策。防火墙
23、通常放置在外部网络和内部网络的中间,执行网络边界的过滤封锁机制。防火墙的规则配置策略包括四种,分别是禁止(drop)、允许(accept)、用户认证(auth)和自动封禁(auto)。)解析:(5).简述漏洞扫描的基本原理。(分数:2.00)_正确答案:(正确答案:网络漏洞扫描系统通过远程检测目标主机 TCP/IP不同端口的服务,记录目标给予的回答。在获得目标主机 TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。 漏洞就是系统硬件或软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用户未经授权获得
24、访问权或提高访问权限。为了及时发现并补上漏洞,我们需要用一些软件来扫描发现漏洞,但如何判定是否存在漏洞呢?这需要根据漏洞的扫描原理的判定,它的主要内容是:网络漏洞扫描系统通过远程检测目标主机 TCP/IP 不同端口的服务,记录目标给予的回答。在获得目标主机 TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。)解析:三、试题三(总题数:2,分数:16.00)3.试题三()(分数:8.00)_解析:计算机病毒无处不在,危害极大,请回答以下关于计算机病毒的问题 14,把答案填写到对应栏内。(分数:8.00)(1).传统意义上
25、的计算机病毒具有哪些特征?(分数:2.00)_正确答案:(正确答案:破坏性、隐蔽性、潜伏性、传染性。 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。传统意义上的计算机病毒一般具有以下几个特点: (1)破坏性。任何病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响,凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。轻者会降低计算机工作效串,占用系统资源,重者可导致系统崩溃。 (2)隐蔽性。病毒程序大多夹在正常程序之中,很难被发现,它们通常附在正常程序中或磁盘较隐蔽的地方(也有个别的以隐含文件形
26、式出现),这样做的目的是不让用户发现它的存在。 (3)潜伏性。大部分计算机病毒感染系统之后不会马上发作,可长期隐藏在系统中,只有在满足特定条件时才启动其破坏模块。例如,PETER-2 病毒在每年的 2月 27日会提三个问题,答错后会将硬盘加密。 (4)传染性。是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。)解析:(2).计算机病毒可以分为哪几类?(分数:2.00)_正确答案:(正确答案:文件型病毒、引导扇区病毒、混合型病毒、
27、变形病毒、宏病毒。 通常,计算机病毒可以分为如下几类: (1)文件型病毒。它通过在执行过程中插入指令,把自己依附在可执行文件上。然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自,己的代码来执行,接着又返回到正常的执行指令序列。通常,这个执行过程发生得很快,以至于用户并不知道病毒代码已被执行。 (2)引导扇区病毒。它改变每一个用 DOS格式来格式化磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码,然后再继续 PC的启动进程。大多数情况,在一台染有引导型病毒的计算机上对可读写的软盘进行读写操作时,这块软盘也会被感染该病毒。 (3)混合型病毒。它具有文件型和引导
28、扇区型两类病毒的某些共同特性。当执行一个被感染的文件时,它将感染硬盘的引导扇区或主引导记录,并且感染在机器上使用过的软盘。这种病毒能感染可执行文件,从而能在网络上迅速传播蔓延。 (4)变形病毒。它随着每次复制而发生变化,是一种能变异的病毒,随着感染时间的不同而改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法杀毒软件对这种病毒显得软弱无力。 (5)宏病毒。它是利用宏语言编写的,不受操作平台的约束,能被传播到任何可运行编写宏病毒的应用程序的机器中。它不仅感染可执行文件,还可以感染一般文件,虽然宏病毒不会对计算机系统造成严重的危害,但会影响系统的性能以及用户的工作
29、效率。)解析:(3).网络病毒的传播方式有哪些?(分数:2.00)_正确答案:(正确答案:(1)直接从有盘站复制到服务器中。 (2)病毒先传染工作站,在工作站内存驻留,等运行网络内的程序时再传染给服务器。 (3)病毒先传染工作站,在工作站内存驻留,在运行时直接通过映像路径传染到服务器。 (4)如果远程工作站被病毒侵入,则病毒也可以通过通信中的数据交换进入网络服务器中。 随着网络技术的迅速发展,网络病毒也在一定程度上得到了发展,广泛盛行在网络上,这与它的传播方式有着密切的关系,网络病毒的主要传播方式如下: (1)直接从有盘站复制到服务器中。 (2)病毒先传染工作站,在工作站内存驻留,等运行网络内
30、的程序时再传染给服务器。 (3)病毒先传染工作站,在工作站内存驻留,在运行时直接通过映像路径传染到服务器。 (4)如果远程工作站被病毒侵入,则病毒也可以通过通信中的数据交换进入网络服务器中。)解析:(4).实施数据库服务器的病毒防护时,主要需要保护哪些元素?(分数:2.00)_正确答案:(正确答案:(1)主机。 (2)数据库服务。 (3)数据存储区。 (4)数据通信。 数据库服务器是数据的中心地带。在考虑数据库服务器的病毒防护时,需要保护以下四个主要元素:主机、数据库服务、数据存储区、数据通信。)解析:四、试题四(总题数:2,分数:12.00)4.试题四()(分数:6.00)_解析:阅读下列说
31、明,回答问题 1至问题 5,将解答填入对应栏内。 【说明】 建立企业的 Internet时,经常遇到的问题是:IP 地址的申请、网络安全、网站的建立和维护,请就这些问题进行回答。(分数:6.00)(1).当我们申请不到很多合法 IP时,如何分配 IP使得单位对外开放的服务器和内部的 PC 终端能够上网?(分数:2.00)_正确答案:(正确答案:PC 用内部 IP,对外开放的服务器使用合法的 IP。)解析:(2).要使内部网的 PC访问 Internet,请给出两种解决方案。(分数:2.00)_正确答案:(正确答案:可以用 NAT和代理服务。)解析:解析:网络地址转换(Network Addre
32、ss Traslation,NAT)被广泛应用于各种类型 Internet接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了 IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。虽然 NAT 可以借助于某些代理服务器来实现(常见的代理服务器软件有 WinGate、SyGate、 Cproxy、uperProxy 等),但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。 借助于 NAT,私有(保留)地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的 IP地址,一个局域网只需使用少量 IP地址(甚至是 1个)即可实现私有地址网络
33、内所有计算机与,Internet 的通信需求。具体情况如图 1-11所示。 NAT 的实现方式有三种,即静态转换、动态转换和端口多路复用。 静态转换是指将内部网络的私有 IP地址转换为公有 IP地址,IP 地址对是一对一的,是一成不变的,某个私有 IP地址只转换为某个公有 IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有 IP地址转换为公用IP地址时,IP 地址对是不确定的,而是随机的,所有被授权访问 Internet的私有 IP地址可随机转换为任何指定的合法 IP 地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些
34、合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当 ISP提供的合法 IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。(3).防火墙实现原理有多种不同的技术,请你分析各自的特点。(分数:2.00)_正确答案:(正确答案:有包过滤、应用网关和状态检测的防火墙。包过滤防火墙是一种简单的三层过滤技术,应用网关防火墙是工作在高层的防火墙技术,特定的应用程序必须安装相应的代理程序。状态检测防火墙又称为动态包过滤防火墙,它动态跟踪包的状态。)解析:解析:防火墙根据实现原理可分为包过滤防火墙、应用网关防火墙和状态检测防火墙。 (1)包过滤防火墙。包过滤防火墙一般
35、在路由器上实现,用以过滤用户定义的内容,如 IP地址等,这里的“包”是指 IP包,包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破,如图 1-12所示。 (2)应用网关防火墙。应用网关防火墙也称为应用代理防火墙,它检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式来实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是
36、从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点,如图 1-13所示。 (3)状态检测防火墙。状态检测防火墙也称为线路过滤防火墙,它基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为,如图 1-14所示。
