免费智能真题库 > 历年试卷 > 网络规划设计师 > 2010年上半年 网络规划设计师 上午试卷 综合知识
  第58题      
  知识点:   ADSL   交换机   路由器   双绞线   net   WiFi   打印机   防火墙   线路
  关键词:   病毒   打印机   防火墙   交换机   接口   路由器   双绞线   网络   硬盘   路由        章/节:   黑客攻击及预防方案       

 
张工组建了一个家庭网络并连接到Internet,其组成是:带ADSL功能、4个RJ45接口交换机和简单防火墙的无线路由器,通过ADSL上联到Internet,家庭内部计算机通过WiFi无线连接,一台打印机通过双绞线电缆连接到无线路由器的RJ45接口供全家共享。某天,张工发现自己的计算机上网速度明显变慢,硬盘指示灯长时间闪烁,进一步检查发现,网络发送和接收的字节数快速增加。张工的计算机出现这种现象的最可能原因是(58),由此最可能导致的结果是(59),除了升级杀病毒软件外,张工当时可采取的有效措施是(60)。做完这些步骤后,张工开始全面查杀病毒。之后,张工最可能做的事是(61)。
 
 
  A.  感染了病毒
 
  B.  受到了木马攻击
 
  C.  硬盘出现故障
 
  D.  网络出现故障
 
 
 

 
  第39题    2020年下半年  
   35%
SYN Flooding攻击的原理是( )。
  第55题    2011年下半年  
   45%
黑客小张一天想尝试入侵某公司网络,窃取机密信息。为提高效率,他需要做的第一步工作通常是(55);第二步通常是(56);在成功入侵..
  第46题    2016年下半年  
   43%
流量分析属于(46)方式。
   知识点讲解    
   · ADSL    · 交换机    · 路由器    · 双绞线    · net    · WiFi    · 打印机    · 防火墙    · 线路
 
       ADSL
        ADSL是一种非对称的宽带接入方式,即用户线的上行速率和下行速率不同。它采用FDM技术和DMT调制技术,在保证不影响正常电话使用的前提下,利用原有的电话双绞线进行高速数据传输。ADSL的优点是可在现有的任意双绞线上传输,误码率低,系投资少。缺点是有选线率问题,带宽速率低。
        ADSL不仅继承了HDSL技术成果,而且在信号调制与编码、相位均衡及回波抵消等方面采用了更加先进的技术,性能更佳。由于ADSL的特点,ADSL主要用于Internet接入、居家购物、远程医疗等。
        从实际的数据组网形式上看,ADSL所起的作用类似于窄带的拨号Modem,担负着数据的传送功能。按照OSI/RM的划分标准,ADSL的功能从理论上应该属于物理层。它主要实现信号的调制及提供接口类型等一系列底层的电气特性。同样,ADSL的宽带接入仍然遵循数据通信的对等通信原则,在用户侧对上层数据进行封装后,在网络侧的同一层上进行开封。因此,要实现ADSL的各种宽带接入,在网络侧也必须有相应的网络设备相结合。
        ADSL的接入模型主要由中央交换局端模块(ATU-C)和远端用户模块(ATU-R)组成。中央交换局端模块包括中心ADSL Modem和接入多路复用系统DSLAM,远端模块由用户ADSL Modem和滤波器组成。
        ADSL能够向终端用户提供1~8Mb/s的下行传输速率和512kb/s~1Mb/s的上行速率,有效传输距离在3~5km左右。
        比较成熟的ADSL标准主要有两种,分别是G.DMT和G. Lite。G. DMT是全速率的ADSL标准,提供支持8Mb/s的下行速率,及1.5Mb/s的上行速率,但G.DMT要求用户端安装POTS(Plain Old Telephone Service,普通老式电话服务)分离器,比较复杂且价格昂贵。GLite是一种速度较慢的ADSL,它不需要在用户端进行线路的分离,而是电话公司的远程用户分离线路。正式称呼为ITU-T标准G-992.2的G. Lite,提供了1.5 Mb/s的下行速率和512 kb/s的上行速率。
        目前,众多ADSL厂商在技术实现上,普遍将先进的ATM服务质量保证技术融入到ADSL设备中,DSLAM(ADSL的用户集中器)的ATM功能的引入,不仅提高了整个ADSL接入的总体性能,为每一用户提供了可靠的接入带宽,为ADSL星形组网方式提供了强有力的支撑,而且完成了与ATM接口的无缝互联,实现了与ATM骨干网的完美结合。
 
       交换机
        机架式交换机是一种插槽式的交换机,这种交换机扩展性较好,可支持不同的网络类型,如以太网、快速以太网、千兆位以太网、ATM、令牌环及FDDI(Fiber Distributed Data Interface,光纤分布式数据接口)等,但价格较贵。固定配置式带扩展槽交换机是一种有固定端口数并带少量扩展槽的交换机,这种交换机在支持固定端口类型网络的基础上,还可以支持其他类型的网络,价格居中。固定配置式不带扩展槽交换机仅支持一种类型的网络,但价格最便宜。
        交换机的性能指标主要有机架插槽数、扩展槽数、最大可堆叠数、最小/最大端口数、支持的网络类型、背板吞吐量、缓冲区大小、最大物理地址表大小、最大电源数、支持协议和标准、支持第3层交换、支持多层(4~7层)交换、支持多协议路由、支持路由缓存、支持网管类型、支持端口镜像、服务质量(Quality of Service,QoS)、支持基于策略的第2层交换、每端口最大优先级队列数、支持最小/最大带宽分配、冗余、热交换组件、负载均衡等。
 
       路由器
        路由器是计算机网络中重要的一个环节,分为模块化和非模块化两种类型。模块化结构的路由器的扩展性好,支持多种端口类型(如以太网接口、快速以太网接口、高速串行口等),并且各种端口的数量一般是可选的,但价格通常比较昂贵。固定配置的路由器扩展性差,只能用于固定类型和数量的端口,但价格低廉。
        在选择路由器产品时,应多从技术角度来考虑,如可延展性、路由协议互操作性、广域数据服务支持、内部ATM支持、SAN集成能力等。另外,选择路由器还应遵循标准化原则、技术简单性原则、环境适应性原则、可管理性原则和容错冗余性原则等。特别是对于高端路由器,还应该更多地考虑是否和如何适应骨干网对网络高可靠性、接口高扩展性以及路由查找和数据转发的高性能要求。高可靠性、高扩展性和高性能的“三高”特性是高端路由器区别于中、低端路由器的关键所在。从技术性能上考察路由器产品,一般要考察路由器的容量、每秒钟能处理多少数据包、能否被集群等性能问题,还要注意路由器是否能够提供增值服务和其他各种服务。另外,在安装、调试、检修、维护或扩展网络的过程中,免不了要给网络中增减设备,也就是说可能会要插拔网络部件。那么路由器能否支持带电插拔,也是路由器产品应该考察的一个重要性能指标。
        总的来说,路由器的主要性能指标有设备吞吐量、端口吞吐量、全双工线速转发能力、背靠背帧数、路由表能力、背板能力、丢包率、时延、时延抖动、虚拟专用网支持能力、内部时钟精度、队列管理机制、端口硬件队列数、分类业务带宽保证、资源预留、区分服务、CIR、冗余、热插拔组件、路由器冗余协议、基于Web的管理、网管类型、带外网管支持、网管粒度、计费能力、分组语音支持方式、协议支持、语音压缩能力、端口密度、信令支持等。
 
       双绞线
        双绞线(Twisted Pair,TP)是目前计算机网络综合布线中最常用的一种传输介质。双绞线由一对一对的带绝缘塑料保护层的铜线组成。每对绝缘的铜导线按一定密度互相绞在一起,可有效地降低信号干扰的程度,每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消。双绞线一般由两根22号、24号、26号绝缘铜导线相互缠绕而成。如果把一对或多对双绞线放在一个绝缘套管中便成了双绞线电缆。在双绞线电缆(也称双扭线电缆)内,不同线对具有不同的扭绞长度,通常情况下,扭绞长度在38.1~14cm内,按逆时针方向扭绞,相临线对的扭绞长度在12.7cm以上。与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制,但价格较为低廉。
        目前,双绞线可分为非屏蔽双绞线(Unshielded Twisted Pair,UTP)和屏蔽双绞线(Shielded Twisted Pair,STP)。
        虽然双绞线主要是用来传输模拟声音信息的,但同样适用于数字信号的传输,特别适用于较短距离的信息传输。在传输期间,信号的衰减比较大,并且产生波形畸变。采用双绞线的局域网的带宽取决于所用的铜质导线的质量、长度及传输技术。只要精心选择双绞线、进行标准化安装,就可以获得较高的传输率,通常100m可以达到155Mb/s。
        因为双绞线传输信息时会向周围辐射,所以信息比较容易窃听。当然这只需要耗费较小的代价即额外增加一层屏蔽层,就可以避免这类情况发生,这就是通常使用的屏蔽双绞线。屏蔽双绞线的外层都是由一层铝箔包裹的,可以有效地减小辐射,当然也不能完全消除辐射。屏蔽双绞线的价格相对非屏蔽双绞线来说高一些,安装也比非屏蔽双绞线难一些。类似于同轴电缆,它必须配有支持屏蔽功能的特殊连结器和相应的安装技术。但它有较高的传输速率,100米内可达到155Mb/s。
        计算机网络综合布线经常使用的4对非屏蔽双绞线的结构如下图所示。
        
        常用的4对非屏蔽双绞线结构示意图
        非屏蔽双绞线电缆具有以下优点:
        (1)无屏蔽外套,直径小,节省所占用的空间。
        (2)重量轻、易弯曲、易安装。
        (3)将串扰减至最小或加以消除。
        (4)具有阻燃性。
        (5)具有独立性和灵活性,适用于结构化综合布线。
               规格型号
               EIA/TIA(Electronic Industries Association/Telecommunications Industry Association,美国电子工业协会/美国电信工业协会)为双绞线电缆定义了多种不同质量的型号。计算机网络综合布线使用第三、四、五、超五、六类。主要的种类型号如下:
               (1)第一类:主要用于传输语音(一类标准主要用于20世纪80年代初之前的电话线缆),不用于数据传输。
               (2)第二类:传输频率为1MHz,用于语音传输和最高传输速率4Mb/s的数据传输,常见于使用4Mb/s规范令牌传递协议的旧的令牌网。
               (3)第三类:指目前在ANSI和EIA/TIA568标准中指定的电缆。该电缆的传输频率为16MHz,用于语音传输及最高传输速率为10Mb/s的数据传输,主要用于10base-T。
               (4)第四类:该类电缆的传输频率为20MHz,用于语音传输和最高传输速率16Mb/s的数据传输,主要用于基于令牌的局域网和10base-T/100base-T。
               (5)第五类:该类电缆增加了绕线密度,外套一种高质量的绝缘材料,传输频率为100MHz,用于语音传输和最高传输速率为100Mb/s的数据传输,主要用于100base-T和10base-T网络,这是最常用的以太网电缆。
               (6)超五类:在五类双绞线的基础上,增加了额外的参数(近端串扰、衰减串扰比)和部分性能的提升,传输速率为100Mb/s。
               (7)第六类:物理上与超五类不同,线与线对之间是分隔的,传输速率为250Mb/s。
               同时又由于双绞线有屏蔽双绞线和非屏蔽双绞线之分,这样双绞线的种类就更多了,具体规格和传输速率如下图所示。
               
               各种规格的双绞线
               性能指标
               对于各种类的双绞线,用户所关心的能够代表其特征的性能指标有衰减、近端串扰、阻抗特性、分布电容、直流电阻等。
               (1)衰减(Attenuation)。衰减是沿链路的信号损失度量。衰减与线缆的长度有关系,随着长度的增加,信号衰减也随之增加。衰减用dB作单位,表示源传送端信号到接收端信号强度的比率。又因为衰减随频率而变化,所以应该测量在应用范围内的全部频率上的衰减。
               (2)近端串扰(Near-End Crosstalk Loss,NEXT)。串扰可分为近端串扰和远端串扰(Far-End Crosstalk Loss,FEXT),测试仪主要是测量NEXT,由于存在线路损耗,因此FEXT的量值的影响较小,在三类、五类线缆中可以忽略不计。近端串扰损耗是测量一条UTP链路中从一对线到另一对线的信号耦合。对于UTP链路,NEXT是一个关键的性能指标,也是最难精确测量的一个指标。随着信号频率的增加,其测量难度将加大。NEXT并不表示在近端点所产生的串扰值,只是表示在近端点所测量到的串扰值。这个量值会随电缆长度不同而变,电缆越长,其值变得越小。同时发送端的信号也会衰减,对其他线对的串扰也相对变小。实验证明,只有在40m内测量得到的NEXT是较真实的。如果另一端是远于40m的信息插座,那么它会产生一定程度的串扰,但测试仪可能无法测量到这个串扰值。因此,最好在两个端点都进行NEXT测量。现在的测试仪都配有相应设备,使得在链路一端就能测量出两端的NEXT值。
               (3)直流电阻。直流环路电阻会消耗一部分信号,并将其转变成热量。它是指一对导线电阻的和,11801规格的双绞线的直流电阻不得大于19.2Ω。每对间的差异不能太大(小于0.1Ω),否则表示接触不良,必须检查连接点。
               (4)特性阻抗。与环路直流电阻不同,特性阻抗包括电阻及频率为1~100MHz的电感阻抗及电容阻抗,它与一对电线之间的距离及绝缘体的电气性能有关。各种电缆有不同的特性阻抗,而双绞线电缆则有100Ω、120Ω及150Ω几种(其中,120Ω的线缆在中国不生产)。
               (5)衰减串扰比(Attenuation-to-Crosstalk Ratio,ACR)。在某些频率范围,串扰与衰减量的比例关系是反映电缆性能的另一个重要参数。ACR有时也以信噪比(Signal-Noise Ratio,SNR)表示,它由最差的衰减量与NEXT量值的相减得到的。ACR值越大,表示抗干扰的能力越强。一般系统要求至少大于10dB。
               双绞线在外观上的文字
               双绞线一般每隔两英尺(foot,1foot=30.48cm)就有一段文字,解释了有关此线缆的相关信息。下面以CSAI公司生产的线缆为例,其文字为:
               CSAI SYSTEMS CABLEE138034 0100
               24AWG(UL)CMR/MPR ORC(UL)PCC
               FT4 VERIFIED ETL CAT5 O44766 FT 0907
               其中的具体含义如下所述:
               (1)CSAI:代表生产该线缆公司的名称为CSAI。
               (2)0100:表示特性阻抗为100Ω。
               (3)24:表示线芯是24号的(线芯有22、24、26三种规格)。
               (4)AWG:表示美国线缆规格标准。
               (5)UL:表示通过认证的标准。
               (6)FT4:表示4对线。
               (7)CAT5:表示五类线。
               (8)044766:表示线缆当前处在的英尺数。
               (9)0807:表示生产日期是2008年7月。
               布线标准
               EIA/TIA的布线标准中规定了两种双绞线的线序,分别是T568A与T568B,这两个标准是最常使用的布线标准,如下图所示。
               
               T568A和T568B针脚示意图
               (1)T568A规定的连接方法是:
               1——白绿(就是白色的外层上有些绿色,表示和绿色的是一对线)。
               2——绿色。
               3——白橙(就是白色的外层上有些橙色,表示和橙色的是一对线)。
               4——蓝色。
               5——白蓝(就是白色的外层上有些蓝色,表示和蓝色的是一对线)。
               6——橙色。
               7——白棕(就是白色的外层上有些棕色,表示和棕色的是一对线)。
               8——棕色。
               (2)T568B规定的连接方法是:
               1——白橙。
               2——橙色。
               3——白绿。
               4——蓝色。
               5——白蓝。
               6——绿色。
               7——白棕(就是白色的外层上有些棕色,表示和棕色的是一对线)。
               8——棕色。
               在通常的工程实践中,T568B使用得较多。不管使用哪一种标准,一根五类线或超五类的两端都必须使用同一种标准。
               直通线与交叉线
               直通线(Straight Cable)是指线缆两端的线序排列完全相同的网线(要么两端全部使用T568A,要么两端全部使用T568B)。
               交叉线(Crossover Cable)是指线缆两端的线序一边是按照T568A标准连接,另一边按照T568B标准连接。
               用户可根据实际需要选用直通线或交叉线,各种使用情况如下表所示。
               
               交叉线和直通线适用范围
               在实际通信中只需要用到双绞线八根铜线中的第1、2、3、6四条铜线。
 
       net
        在网络管理中,最为常用的就是net命令家族。常用的net命令有以下几个。
        .net view命令:显示由指定的计算机共享的域、计算机或资源的列表。
        .net share:用于管理共享资源,使网络用户可以使用某一服务器上的资源。
        .net use命令:用于将计算机与共享的资源相连接或断开,或者显示关于计算机连接的信息。
        .net start命令:用于启动服务,或显示已启动服务的列表。
        .net stop命令:用于停止正在运行的服务。
        .net user命令:可用来添加或修改计算机上的用户账户,或者显示用户账户的信息。
        .net config命令:显示正在运行的可配置服务,或显示和更改服务器服务或工作站服务的设置。
        .net send命令:用于将消息(可以是中文)发送到网络上的其他用户、计算机或者消息名称上。
        .net localgroup命令:用于添加、显示或修改本地组。
        .net accounts命令:可用来更新用户账户数据库、更改密码及所有账户的登录要求。
 
       WiFi
        WiFi全称Wireless Fidelity,又称802.11b标准,它的最大优点就是传输速度较高,可以达到11Mb/s;另外它的有效距离也很长,同时也与已有的各种802.11 DSSS设备兼容。
        WiFi第一个版本发表于1997年,其中定义了介质访问接入控制层(MAC层)和物理层。物理层定义了工作在2.4GHz的ISM频段上的两种无线调频方式和一种红外传输的方式,总数据传输速率设计为2Mb/s。两个设备之间的通信可以自由直接(ad hoc)的方式进行,也可以在基站BS(Base Station)或访问点AP(Access Point)的协调下进行。
        1999年增加了两个补充版本:802.11a定义了在5GHz的ISM频段上的数据传输速率可达54 Mb/s的物理层;802.11b定义了在2.4GHz的ISM频段上但数据传输速率高达11 Mb/s的物理层。2.4GHz的ISM频段为世界上绝大多数国家通用,因此802.11b得到了最为广泛的应用。
        WiFi技术的突出优势在于:
        (1)较广的局域网覆盖范围:WiFi的覆盖半径可达100m左右,相比于蓝牙技术覆盖范围较广,可以覆盖整栋办公大楼。
        (2)传输速度快:WiFi技术传输速度非常快,可以达到11Mb/s(802.11b)或者54Mb/s(802.11a),适合高速数据传输的业务。
        (3)无须布线:WiFi主要的优势在于不需要布线,可以不受布线条件的限制,因此非常适合移动办公用户的需要。在机场、车站、咖啡店、图书馆等人员较密集的地方设置“热点”,并通过高速线路将因特网接入上述场所。
        (4)健康安全:IEEE 802.11规定的发射功率不可超过100mW,实际发射功率约60~70mW,而手机的发射功率约200mW~1W间,手持式对讲机高达5W。与后者相比,WiFi产品的辐射更小。
 
       打印机
        打印机是计算机系统中常用的设备之一。打印机在计算机系统中是可选件。利用打印机可以打印出各种资料、文书、图形和图像等。根据打印机的工作原理,可以将打印机分为激光打印机、喷墨打印机和针式打印机三类,如下图所示。
        
        常见打印机
        激光打印机是一种高速度、高精度、低噪音的非击打式打印机,它是激光扫描技术与电子照相技术相结合的产物。激光打印机具有最高的打印质量和最快的打印速度,可以输出漂亮的文稿,也可以输出直接用于印刷制版的透明胶片。
        喷墨打印机的打印头由几百个细小的喷墨口组成,当打印头横向移动时,喷墨口可以按一定的方式喷射出墨水,打到打印纸上,形成字符、图形等。其主要优点是打印精度高、噪声较低、价格较便宜。主要缺点是打印速度慢、墨水消耗较大、日常费用较高。
        针式打印机利用打印头内的点阵撞针撞击打印色带,在打印纸上产生打印效果,常用的点阵打印机为24针行式打印机。该打印机的主要优点是价格便宜、轻便实用、维护费用低,适合于打印宽幅纸,且便于多份拷贝,还可以打印多联的超长度打印纸。主要缺点是打印速度慢、噪声大,打印质量也差。
 
       防火墙
               防火墙的基本概念
               防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中,防火墙是在内部网与外部网之间构筑的一道保护屏障,是执行访问控制策略的一个或一组系统。通过执行访问控制策略,提供授权通信,保护内部网不受外部非法用户的入侵,控制内部网与外部网之间数据流量。
               防火墙可以是硬件,也可以是软件,或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务,哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过,其本身也必须能够免于渗透,但防火墙不是对网络内的每台计算机分别进行保护,而是让所有外部对内部网计算机的信息访问都通过某个点,防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前,企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。
               防火墙的功能
               防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。
               防火墙具有以下优点:
               (1)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务(如NFS等)。只有预先被允许的服务才能通过防火墙,这样就降低了受到攻击的风险性,大大地提高了网络的安全性。
               (2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被主机禁止。
               (3)集中化的安全管理。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
               (4)对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警,并提供网络是否受到监测和攻击的详细信息。
               防火墙也有一些不能实现的功能:
               (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
               (2)不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
               (3)不能完全防范病毒。因为病毒的类型很多,操作系统各异,编码与压缩二进制文件的方法也各不相同,因此防火墙不能完全防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒。
               防火墙的分类
               从技术角度分类,防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。
                      包过滤防火墙
                      网络传输数据是以“包”为单位进行的,数据被分割成一定大小的数据包,每个数据包中都会含有一些特定的信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查,判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包,防火墙将会拒绝其通过。
                      包过滤防火墙是最简单的防火墙,使用方便,实现成本低。分组过滤在网络层实现,不要求改动应用程序,也不要求用户学习任何新的东西,对用户来讲是透明的,用户基本感觉不到分组过滤器的存在。但也存在一个问题,就是过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
                      包过滤防火墙的工作原理如下图所示。
                      
                      包过滤防火墙
                      代理服务防火墙
                      代理服务防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
                      代理服务防火墙工作原理如下图所示。
                      
                      代理服务防火墙
                      代理服务防火墙也被称为应用网关防火墙,其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。其应用原理是:当代理服务器收到客户对自己代理的某Web站点的访问请求后,就检查该请求是否符合规定;如果规则允许用户访问该站点时,代理服务器代理客户在该站点取回所需信息,再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用,体现了“应用代理”的角色。
                      使用代理服务器技术,所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,彻底隔断了内网与外网的直接通信,从外部网只能看到代理服务器而不能了解内部网的资源信息,如用户的真实IP地址等。代理服务器提供详细的日志和审计功能,应用层的协议会话过程必须符合代理的安全策略要求,访问业务都由“守规矩”的代理服务器代劳。因此,代理服务防火墙的安全性大大提高。
                      代理服务器基于特定的应用,因此需要对每个应用服务(如Telnet、FTP)安装相应的代理服务软件,未被服务器支持的网络服务用户不能使用,因此代理服务防火墙维护量大,使用具有一定的局限性。由于需要代理服务,造成了网络性能下降,网络访问速度变慢。此外,每类应用服务需要使用特殊的客户端软件,并进行一些相关设置,使得代理服务防火墙的透明性较差。
                      复合型防火墙
                      复合型防火墙将前两类防火墙结合起来,形成新的产品,以发挥各自优势,克服各自缺点,满足更高安全性要求。
               防火墙的安全控制模型
               防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
               为网络建立防火墙,首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型,需要确定所有可以被提供的服务以及它们的安全特性,开放这些服务;将所有其他未被列入的服务排除在外,禁止访问。采取第二种安全控制模型,正好相反,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。找出网络所有的漏洞,排除所有的非法服务,一般是很难的。从安全性角度考虑,第一种模型更可取一些,而从灵活性和使用方便性的角度考虑,则第二种模型更合适。
               防火墙与Web服务器的配置方式
               根据需要,防火墙与Web服务器的配置会有所不同,主要有三种:
               (1)Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护,不易被外界攻击,但Web服务器本身也不易被外界所用。
               (2)Web服务器置于防火墙之外。这种方式主要保证了内部网安全,Web服务器不受到保护。需要注意的是,有些防火墙结构不允许将Web服务器设置在防火墙之外。
               (3)Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性,但是如果Web服务器出现问题,整个Web站点和内部网都会处于危险之中。
 
       线路
        在两个结点间承载信息流的信道称为线路(line)。线路可以是采用电话线、电缆、光纤等有线信道,也可以是无线电信道。
   题号导航      2010年上半年 网络规划设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第58题    在手机中做本题