① 計算機網路基礎知識試題及答案
1、運算器和控制器屬於計算機的(C ) A、外部設備B、內存C、CPUD、系統軟體2、數據傳輸速率是Modem的重要技術指標,單位為( A )A、b/sB、Bytes/SC、KB/SD、MB/S3、計算機的核心部分是( C )A、操作系統B、硬碟XC、CPUD、內存4、Intranet採用的協議為( A)A、TCP/IPB、PX/SPXC、SET/SSLD、X.255、顯示器和列印機屬於計算機系統中的( C )A、輔助存儲器B、輸入設備C、輸出設備D、軟體系統6、( D)是隨機存取存儲器。A、CPUB、內存C、ROMD、RAM7、按照計算機軟體系統的分類,SQL2000屬於(D )A、通用軟體B、操作系統C、語言處理系統D、資料庫管理系統8、( B)的實際名稱叫非易失隨機訪問存儲器(NVRAM),特點是斷電後數據不消失,因此可以作為外部存儲器使用。A、快閃記憶體B、內存C、ROMD、硬碟9、大多數區域網採用以中央結點為中心與各結點連接的方式,按拓撲結構分,這屬於( B )結構。A、環型B、星型C、匯流排型D、多邊型10、一條實際的傳輸介質,如雙絞線可包含( D )信道。A、1個B、2個C、3個D、多個1 (多選) (B )和(C )統稱為外部設備。P1
A.存儲器 B.外存儲器 C.輸入輸出設備 D.外圍設備
2 (多選) 微型計算機的主要組成部分有( ABC)和其它外圍設備等。P1
A.存儲器 B.輸入輸出設備 C.CPU D.掃描儀
3 (單選) (C)是指組成計算機的任何機械的、磁性的、電子的裝置或部件。 P1
A.計算機軟體 B.計算機軟體系統 C.計算機硬體 D.計算機硬體系統
5 (多選) 不論大型計算機、小型計算機還是微型計算機,都是由( A)和(B )兩大部分組成。 P1
A.計算機硬體系統 B.計算機軟體系統 C.計算機系統 D.計算機輔助工具
6 (多選) 微型計算機的內存根據其工作方式的不同,可分為(A )和( D) P3
A.RAM B.DVD C.CD-ROM D.ROM
7 (單選) CPU的主要技術指標之一是主頻,主頻越(B ),表明CPU的運算速度越快,當然性能也越好。 P2
A.低 B.高 C.中等 D.一般
8 (單選) (B )的主要功能是完成對數據的算術運算、邏輯運算和邏輯判斷等操作。 P2
A.控制器 B.運算器 C.計算器 D.存儲器
9 (多選) 中央處理器稱為CPU,它主要由( C)和( A)組成,是計算機的核心部件。P1
A.控制器 B.計算器 C.運算器 D.數據機
10 (多選) 文字處理軟體按功能分,大致有以下幾大類( BAC)。 P8
A.具有較完備功能的文字處理軟體 B.簡單的文本編輯程序
C.專業印刷排版系統 D.表格處理軟體
11 (多選) 根據開發方式和適用范圍,應用軟體又可分為(B )和(C)。 P8
A.文字處理軟體 B.通用應用軟體 C.定製應用軟體 D.管理系統軟體
12 (單選) 在整個計算機系統中,( C)具有特殊的地位,它能對計算機的硬體、軟體資源和數據資源進行有效的管理。 P7
A.語言處理系統 B.資料庫管理系統 C.操作系統 D.常用服務程序
13 (單選) ( B)包括操作系統、語言處理系統、資料庫管理系統和常用服務程序等。 P7
A.應用軟體 B.系統軟體 C.定製軟體 D.輔助開發軟體
14 (單選) 在Internet上所有主機都有一個」名字-地址」及」地址-名字」的映射,完成這一映射的系統叫做域名系統。那麼,完成」名字-地址」映射的過程叫( D)。 P16
A.反向解析 B.逆向解析 C.順向解析 D.正向解析
15 (單選) 每個IP地址由網路地址和 ( B)兩部分組成。 P15
A.伺服器地址 B.主機地址 C.客戶機地址 D.域名地址
16 (單選) 區域網作用范圍小,分布在一個房間、一個建築物或一個企事業單位。地理范圍在10m~1km。傳輸速率在( C)以上。P10
A.1.5Mbps B.2Mbps C.1Mbps D.10Mbps
17 (多選) 決定區域網 特性的主要技術要素有:(ABC )。 P12
A.網路拓撲 B.傳輸介質 C.介質訪問控制方法 D.區域網傳輸協議
18 (多選) 計算機網路按分布距離可分為(ACD )。P10
A.區域網 B.互聯網 C.廣域網 D.城域網
19 (多選) 常用的數據交換技術有:(ABD )。P20
A.線路交換 B.報文交換 C.端到端交換 D.分組交換
20 (單選) 數據通信系統是指以計算機為中心,用通信線路與數據終端設備連接起來,執行( A)的系統。P16
A.數據通信 B.線路通信 C.單工通信 D.雙工通信
21 (單選) (C )是將組成字元的各個比特按順序逐位地在信道上傳輸。 P18
A.並行傳輸 B.基帶傳輸 C.串列傳輸 D.頻帶傳輸
22 (多選) 通信的目的是信息傳輸。那麼,通信的三要素是( ABC)。 P16
A.信源 B.載體 C.信宿 D. 信道
② 計算機網路考試題的簡答題
展開全部
DNS伺服器解析出問題了
要是運行商的
就可以自動獲取
要是學校的
可以檢查別的機器
然後改過來
按WINDOWS鍵+R
打開運行界面
輸入:CMD
輸入:ipconfig
查看ip地址
DNS地址
等
③ 計算機網路試題
1.
SMTP(Simple Mail Transfer Protocol)即簡單郵件傳輸協議,它是一組用於由源地址到目的地址傳送郵件的規則,由它來控制信件的中轉方式。SMTP協議屬於TCP/IP協議簇,它幫助每台計算機在發送或中轉信件時找到下一個目的地。通過SMTP協議所指定的伺服器,就可以把E-mail寄到收信人的伺服器上了,整個過程只要幾分鍾。SMTP伺服器則是遵循SMTP協議的發送郵件伺服器,用來發送或中轉發出的電子郵件。
它使用由TCP提供的可靠的數據傳輸服務把郵件消息從發信人的郵件伺服器傳送到收信人的郵件伺服器。跟大多數應用層協議一樣,SMTP也存在兩個 端:在發信人的郵件伺服器上執行的客戶端和在收信人的郵件伺服器上執行的伺服器端。SMTP的客戶端和伺服器端同時運行在每個郵件伺服器上。當一個郵件服 務器在向其他郵件伺服器發送郵件消息時,它是作為SMTP客戶在運行。
SMTP協議與人們用於面對面交互的禮儀之間有許多相似之處。首先,運行在發送端郵件伺服器主機上的SMTP客戶,發起建立一個到運行在接收端郵件服務 器主機上的SMTP伺服器埠號25之間的TCP連接。如果接收郵件伺服器當前不在工作,SMTP客戶就等待一段時間後再嘗試建立該連接。SMTP客戶和伺服器先執行一些應用層握手操作。就像人們在轉手東西之前往往先自我介紹那樣,SMTP客戶和伺服器也在傳送信息之前先自我介紹一下。 在這個SMTP握手階段,SMTP客戶向伺服器分別指出發信人和收信人的電子郵件地址。彼此自我介紹完畢之後,客戶發出郵件消息。
2.TCP(Transmission Control Protocol 傳輸控制協議)是一種面向連接的、可靠的、基於位元組流的傳輸層通信協議,由IETF的RFC 793定義。在簡化的計算機網路OSI模型中,它完成第四層傳輸層所指定的功能,用戶數據報協議(UDP)是同一層內[1] 另一個重要的傳輸協議。在網際網路協議族(Internet protocol suite)中,TCP層是位於IP層之上,應用層之下的中間層。不同主機的應用層之間經常需要可靠的、像管道一樣的連接,但是IP層不提供這樣的流機制,而是提供不可靠的包交換。[1]
應用層向TCP層發送用於網間傳輸的、用8位位元組表示的數據流,然後TCP把數據流分區成適當長度的報文段(通常受該計算機連接的網路的數據鏈路層的最大傳輸單元([1] MTU)的限制)。之後TCP把結果包傳給IP層,由它來通過網路將包傳送給接收端實體[1] 的TCP層。TCP為了保證不發生丟包,就給每個包一個序號,同時序號也保證了傳送到接收端實體的包的按序接收。然後接收端實體對已成功收到的包發回一個相應的確認(ACK);如果發送端實體在合理的往返時延(RTT)內未收到確認,那麼對應的數據包就被假設為已丟失將會被進行重傳。TCP用一個校驗和函數來檢驗數據是否有錯誤;在發送和接收時都要計算校驗和。
3.文件傳輸服務。 Internet 的入網用戶可以利用「文件傳輸服務( FTP )」命令系統進行計算機之間的文件傳輸,使用 FTP 幾乎可以傳送任何類型的多媒體文件,如圖像、聲音、數據壓縮文件等。FTP服務是由TCP/IP的文件傳輸協議支持的,是一種實時的聯機服務。
4.遠程訪問服務提供的是一種全面的遠程系統管理解決方案,可用於配備了 遠程訪問卡 (DRAC) III、DRAC III/XT、Dell 嵌入式遠程訪問 (ERA) 控制器或 ERA 選件 (ERA/O) 卡並裝有 SNMP 和 CIM 的系統。這些硬體和軟體解決方案統稱為遠程訪問控制器 (RAC)。遠程訪問服務使您可以遠程訪問未運行的系統,使其盡快啟動並運行。遠程訪問服務還可在系統停機時提供警報通知,並允許您遠程重新啟動系統。此外,遠程訪問服務還將記錄系統崩潰的可能原因並保存最近一次的崩潰屏幕。
5.信號傳輸速率是指單位時間內所傳輸的數據量多少。為了能夠統一度量,可以採用兩種方法作為傳輸速率的單位。
一種是碼元速率,單位時間內傳輸的碼元個數,單位為波特(baud),所以也稱波特率。一個數字脈沖為一個碼元。若碼元的寬度為T秒,則B=1/T。
另一種是數據傳輸速率,每秒鍾內傳輸的信息量,單位為比特/秒(b/s或bps),所以也稱比特率。若碼元可取的離散值的個數為M,則T=Ts*㏒M,R=Rs/㏒M,其中Ts為發一個二進制符號所需要的時間。
④ 計算機網路試題1
OSI 七層模型稱為開放式系統互聯參考模型 OSI 七層模型是一種框架性的設計方法
OSI 七層模型通過七個層次化的結構模型使不同的系統不同的網路之間實現可靠的通訊,因此其最主
要的功能使就是幫助不同類型的主機實現數據傳輸
物理層 : O S I 模型的最低層或第一層,該層包括物理連網媒介,如電纜連線連接器。物理層的協議產生並檢測電壓以便發送和接收攜帶數據的信號。在你的桌面P C 上插入網路介面卡,你就建立了計算機連網的基礎。換言之,你提供了一個物理層。盡管物理層不提供糾錯服務,但它能夠設定數據傳輸速率並監測數據出錯率。網路物理問題,如電線斷開,將影響物理層。
數據鏈路層: O S I 模型的第二層,它控制網路層與物理層之間的通信。它的主要功能是如何在不可靠的物理線路上進行數據的可靠傳遞。為了保證傳輸,從網路層接收到的數據被分割成特定的可被物理層傳輸的幀。幀是用來移動數據的結構包,它不僅包括原始數據,還包括發送方和接收方的網路地址以及糾錯和控制信息。其中的地址確定了幀將發送到何處,而糾錯和控制信息則確保幀無差錯到達。
數據鏈路層的功能獨立於網路和它的節點和所採用的物理層類型,它也不關心是否正在運行 Wo r d 、E x c e l 或使用I n t e r n e t 。有一些連接設備,如交換機,由於它們要對幀解碼並使用幀信息將數據發送到正確的接收方,所以它們是工作在數據鏈路層的。
網路層: O S I 模型的第三層,其主要功能是將網路地址翻譯成對應的物理地址,並決定如何將數據從發送方路由到接收方。
網路層通過綜合考慮發送優先權、網路擁塞程度、服務質量以及可選路由的花費來決定從一個網路中節點A 到另一個網路中節點B 的最佳路徑。由於網路層處理路由,而路由器因為即連接網路各段,並智能指導數據傳送,屬於網路層。在網路中,「路由」是基於編址方案、使用模式以及可達性來指引數據的發送。
傳輸層: O S I 模型中最重要的一層。傳輸協議同時進行流量控制或是基於接收方可接收數據的快慢程度規定適當的發送速率。除此之外,傳輸層按照網路能處理的最大尺寸將較長的數據包進行強制分割。例如,乙太網無法接收大於1 5 0 0 位元組的數據包。發送方節點的傳輸層將數據分割成較小的數據片,同時對每一數據片安排一序列號,以便數據到達接收方節點的傳輸層時,能以正確的順序重組。該過程即被稱為排序。
工作在傳輸層的一種服務是 T C P / I P 協議套中的T C P (傳輸控制協議),另一項傳輸層服務是I P X / S P X 協議集的S P X (序列包交換)。
會話層: 負責在網路中的兩節點之間建立和維持通信。 會話層的功能包括:建立通信鏈接,保持會話過程通信鏈接的暢通,同步兩個節點之間的對 話,決定通信是否被中斷以及通信中斷時決定從何處重新發送。
你可能常常聽到有人把會話層稱作網路通信的「交通警察」。當通過撥號向你的 I S P (網際網路服務提供商)請求連接到網際網路時,I S P 伺服器上的會話層向你與你的P C 客戶機上的會話層進行協商連接。若你的電話線偶然從牆上插孔脫落時,你終端機上的會話層將檢測到連接中斷並重新發起連接。會話層通過決定節點通信的優先順序和通信時間的長短來設置通信期限
表示層: 應用程序和網路之間的翻譯官,在表示層,數據將按照網路能理解的方案進行格式化;這種格式化也因所使用網路的類型不同而不同。
表示層管理數據的解密與加密,如系統口令的處理。例如:在 Internet上查詢你銀行賬戶,使用的即是一種安全連接。你的賬戶數據在發送前被加密,在網路的另一端,表示層將對接收到的數據解密。除此之外,表示層協議還對圖片和文件格式信息進行解碼和編碼。
應用層: 負責對軟體提供介面以使程序能使用網路服務。術語「應用層」並不是指運行在網路上的某個特別應用程序 ,應用層提供的服務包括文件傳輸、文件管理以及電子郵件的信息處理。
⑤ 計算機網路基礎試卷
1、同軸電纜、光纖、雙絞線
2、軟體共享、用戶間信息交換
3、報文交換、數據報、虛電路
4、數據包、存儲轉發
5、共享型、沖突
6、TCP、UDP
7、非屏蔽、屏蔽
8、星形、環形、網狀
9、單模、多模
10、區域網、廣域網、城域網
11、IGMP、ARP、RARP
12、分組、建立階段
13、網路拓撲、傳輸介質、介質訪問控制方法
14、計算機技術、通信技術
15、通信控制處理機、 通信線路
16、移頻鍵控、移相鍵控、振幅鍵控
17、通信技術、計算機技術
18、通信控制處理機、通信線路
19、頻分多路、波分多路、時分多路
20、單模、多模
21、區域網,廣域網,城域網
22、B、 128.11.0.0、 0.0.3.31
23、OSI
24、語義、時序
25、主機-網路層、互聯層、表示層、應用層
26、 32
10、為上層網路層屏蔽下層細節,並利用差錯控制和流量控制的方法將一條有差錯的物理線路變成無差錯的數據鏈路,傳輸單位為幀。
11、四個階段:面向終端的遠程聯機系統、分組交換技術、網路體系與網路協議標准化階段、互聯網階段
12、協議就是一組控制數據通信的規則,協議由語法、語義、時序組成
13、自己畫吧,呵呵!課本上應該有!
以上答案僅供參考!
⑥ 計算機網路的考題
1.解釋TCP服務和UDP服務的差別
2.乙太網是CSMA / CD協議方案,解釋他們的工作原理
3.區域網是由下圖所示開關和多台電腦了。開關表也顯示如下。現在將區域網段B和thenb會回答:解釋如何開關和電腦的工作
4.解釋回退N步協議 和選擇重傳協議的區別
1.TCP:面向連接、傳輸可靠(保證數據正確性,保證數據順序)、用於傳輸大量數據(流模式)、速度慢,建立連接需要開銷較多(時間,系統資源)。
UDP:面向非連接、傳輸不可靠、用於傳輸少量數據(數據包模式)、速度快。
2.
CSMA/CD的工作原理可以用以下幾句話來概括:
這里的"聽"即監聽、檢測之意;"說"即發送數據之意。具體的檢測原理描述如下:
(1)當一個站點想要發送數據的時候,它檢測網路查看是否有其他站點正在傳輸,即偵聽信道是否空閑。
(2)如果信道忙,則等待,直到信道空閑;如果信道空閑,站點就准備好要發送的數據。
(3)在發送數據的同時,站點繼續偵聽網路,確信沒有其他站點在同時傳輸數據才繼續傳輸數據。因為有可能兩個或多個站點都同時檢測到網路空閑然後幾乎在同一時刻開始傳輸數據。如果兩個或多個站點同時發送數據,就會產生沖突。若無沖突則繼續發送,直到發完全部數據。
(4)若有沖突,則立即停止發送數據,但是要發送一個加強沖突的JAM(阻塞)信號,以便使網路上所有工作站都知道網上發生了沖突,然後,等待一個預定的隨機時間,且在匯流排為空閑時,再重新發送未發完的數據。
CSMA/CD控制方式的優點是:原理比較簡單,技術上易實現,網路中各工作站處於平等地位,不需集中控制,不提供優先順序控制。但在網路負載增大時,發送時間增長,發送效率急劇下降。
4,回退N步協議和選擇性重傳協議
⑦ 計算機網路復習題
1.
一個IP分為網路號和主機號,網路號是IP的前若干位。
究竟是幾位呢? 這就需要子網掩碼來標示。
子網掩碼的前n位為1後面全0時,標示相對應的IP地址網路號有n位。
所以255.255.255.0表示的意思是它所標示的IP地址 網路號 有8×3 = 24位,後8位是主機號。
(十進制255就是二進制11111111 八位)
255.255.255.248 是 11111111 11111111 11111111 11111000
所以它的主機號有3位,主機號全0(即000)和全1(即111)不能用來表示主機。
主機號全0表示子網本身,主機號全1表示廣播地址。
那麼可以用來分配主機的 只有 2^3 (數學上的排列,3位可表示8個狀態) -2 = 6 台
6台主機。
2.
三次握手發生在TCP/IP協議中 面向連接 時的建立連接的方式。
A向B發出SYN(請求通訊) 這個請求通訊是A請求B
B向A發出ACK(應答)和SYN(請求通訊) 這個請求通訊是B請求A
A向B發出ACK(應答)
3.
IP協議是網路層的協議,
從數據鏈路層傳過來的幀 取下幀頭 就是網路層中的數據包 分為IP頭和內容
發送信息時它把上層要傳送的內容再加上一個IP頭成為數據包
然後交給數據鏈路層去加幀頭-再通過物理介質去傳送。
接受信息時,它把網路層接受到的IP數據包去掉IP頭(剩下內容) 上交高層。
給樓主補充一點,IP數據包的內容、IP數據包、IP數據報都稱為分組或包。
IP數據包是就面向無連接的通訊說的,IP數據報是就面向連接的通訊說的。
--------------------------------------------------------------------------------------
ARP協議是在數據鏈路層的地址解析協議 它能根據IP地址翻譯出MAC物理地址
為了正確地向目的主機傳送報文,必須把目的主機的32位IP地址轉換成為48位MAC物理地址
(IP是網路層使用 MAC是數據鏈路層使用 IP只管路由 MAC才要精確到機器、交換機)
為什麼在網路層不使用MAC? 因為它長唄,麻煩。而且IP只要實現路由就好,不必精確到機器。
--------------------------------------------------------------------------------------------------------------------
RARP剛好相反,是把MAC轉成IP 在網路層和之上,就是用IP了。不再使用MAC。
------------------------------------------------------------------------------------------------------
ICMP協議是TCP/IP協議族 網路層 上的 報文控制協議
主要用於在主機與路由器之間傳遞控制信息,包括報告錯誤、交換受限控制和狀態信息等。當遇到IP數據無法訪問目標、IP路由器無法按當前的傳輸速率轉發數據包等情況時,會自動發送ICMP消息。
補充一點給樓主,ICMP在面向連接和面向無連接都會用到,網上有流傳
ICMP只用於面向連接,這是不對的。
在面向無連接時,他們通過發送抑制報文控制流量。
4.
由於ARP對於任何IP都會進行翻譯成MAC
所以ARP攻擊是偽造一對IP地址和MAC地址實現ARP欺騙
首先它會產生大量的ARP通信量使網路阻塞
而且發出偽造的ARP響應包就能更改目標主機ARP緩存中的原本正確IP-MAC條目
造成網路中斷或信息錯計。
5.
地址聚合的意思是讓他們盡可能多的聚合在同一個子網中。
第一題中已經說過:網路號 = IP類 + 子網號
IP類就是A、B、C、D、E類IP,他們是對IP最大的劃分。
他們全部是202.193開頭 所以這些先不去管,只分析後面兩個數
最小的數字是96.0: 01100000 00000000
97.0: 01100001 00000000
98.0: 01100010 00000000
99.0: 01100011 00000000
103.0: 01100111 00000000
所以可以看出 只要取到01100就可以 後面搞成主機號就行
即子網掩碼是 11111111 11111111 11111000 00000000
教樓主一個方法: IP聚合類問題 原來這幾個IP相同的部分
是聚合後的網路號
因為你可以把網路范圍擴大(網路范圍擴大表示網路號位要少),這樣主機數才增多。
但你不能用容納主機數最小的(網路范圍最小)網路來容納其他IP。他容納最小嘛。
只能容納自己這點東西。
個人意見,樓主斟酌
⑧ 計算機網路基礎試題
1、D 2、不會 3、通信子網、資源子網 4、25 5、答:應用層: 文件傳輸、文件管理以及電子郵件的信息處理。表示層:這一層處理數據格式化問題,由於不同的軟體應用程序經常使用不同的數據格式化方案, 所以數據格式化是必需的。在某種意義上,表示層有些像語法檢查器。它可以確保數字和文本以接收結點的表示層可以閱讀的格式發送。例如,從IBM大型機上發送的數據可能使用的是EBC DIC字元格式化,要使運行Windows 95或Windows 98的工作站可以讀取信息,就必須將其解釋為ASCII字元格式。
表示層還負責數據的加密。加密是將數據編碼,讓未授權的用戶不能截取或閱讀的過程。例如,計算機的帳戶密碼可以在LAN上加密,或者信用卡號可以通過加密套接字協議層 (Secure Sockets Layer,SSL )在WAN上加密。
表示層的另一功能是數據壓縮。當數據格式化後,在文本和數字中間可能會有空格也格式化了。數據壓縮將這些空格刪除並壓緊數據,減小其大小以便發送。數據傳輸後,由接收結點的表示層來解壓縮。會話層:會話層是指用戶與用戶的鏈接,他通過在兩台計算機間建立、管理和終止通信來完成對話 負責在網路中的兩節點之間建立和維持通信。 會話層的功能包括:建立通信鏈接,保持會話過程通信鏈接的暢通,同步兩個節點之間的對 話,決定通信是否被中斷以及通信中斷時決定從何處重新發送。
你可能常常聽到有人把會話層稱作網路通信的「交通警察」。當通過撥號向你的 I S P (網際網路服務提供商)請求連接到網際網路時,I S P 伺服器上的會話層向你與你的P C 客戶機上的會話層進行協商連接。若你的電話線偶然從牆上插孔脫落時,你終端機上的會話層將檢測到連接中斷並重新發起連接。會話層通過決定節點通信的優先順序和通信時間的長短來設置通信期限傳輸層:這一層負責節點間可靠的網路傳輸。傳輸層通過相應機制建立,維持和終結虛電路,傳輸差錯檢查和恢復,以及信息溢出控制。網路層:路由功能數據鏈路層:保證數據到達的順序和發送時的順序一致 6、答:各類防火牆的優缺點
(1).包過濾防火牆
使用包過濾防火牆的優點包括:
防火牆對每條傳入和傳出網路的包實行低水平控制。
每個IP包的欄位都被檢查,例如源地址、目的地址、協議、埠等。防火牆將基於這些信息應用過濾規則。
防火牆可以識別和丟棄帶欺騙性源IP地址的包。
包過濾防火牆是兩個網路之間訪問的唯一來源。因為所有的通信必須通過防火牆,繞過是困難的。
包過濾通常被包含在路由器數據包中,所以不必額外的系統來處理這個特徵。
使用包過濾防火牆的缺點包括:
配置困難。因為包過濾防火牆很復雜,人們經常會忽略建立一些必要的規則,或者錯誤配置了已有的規則,在防火牆上留下漏洞。然而,在市場上,許多新版本的防火牆對這個缺點正在作改進,如開發者實現了基於圖形化用戶界面(GUI)的配置和更直接的規則定義。
為特定服務開放的埠存在著危險,可能會被用於其他傳輸。例如,Web伺服器默認埠為80,而計算機上又安裝了RealPlayer,那麼它會搜尋可以允許連接到RealAudio伺服器的埠,而不管這個埠是否被其他協議所使用,RealPlayer正好是使用80埠而搜尋的。就這樣無意中,RealPlayer就利用了Web伺服器的埠。
可能還有其他方法繞過防火牆進入網路,例如撥入連接。但這個並不是防火牆自身的缺點,而是不應該在網路安全上單純依賴防火牆的原因。
2.狀態/動態檢測防火牆
狀態/動態檢測防火牆的優點有:
檢查IP包的每個欄位的能力,並遵從基於包中信息的過濾規則。
識別帶有欺騙性源IP地址包的能力。
包過濾防火牆是兩個網路之間訪問的唯一來源。因為所有的通信必須通過防火牆,繞過是困難的。
基於應用程序信息驗證一個包的狀態的能力, 例如基於一個已經建立的FTP連接,允許返回的FTP包通過。
基於應用程序信息驗證一個包狀態的能力,例如允許一個先前認證過的連接繼續與被授予的服務通信。
記錄有關通過的每個包的詳細信息的能力。基本上,防火牆用來確定包狀態的所有信息都可以被記錄,包括應用程序對包的請求,連接的持續時間,內部和外部系統所做的連接請求等。
狀態/動態檢測防火牆的缺點:
狀態/動態檢測防火牆唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網路連接的某種遲滯,特別是在同時有許多連接激活的時候,或者是有大量的過濾網路通信的規則存在時。可是,硬體速度越快,這個問題就越不易察覺,而且防火牆的製造商一直致力於提高他們產品的速度。
3.應用程序代理防火牆
使用應用程序代理防火牆的優點有:
指定對連接的控制,例如允許或拒絕基於伺服器IP地址的訪問,或者是允許或拒絕基於用戶所請求連接的IP地址的訪問。
通過限制某些協議的傳出請求,來減少網路中不必要的服務。
大多數代理防火牆能夠記錄所有的連接,包括地址和持續時間。這些信息對追蹤攻擊和發生的未授權訪問的事件事很有用的。
使用應用程序代理防火牆的缺點有:
必須在一定范圍內定製用戶的系統,這取決於所用的應用程序。
一些應用程序可能根本不支持代理連接。
4.NAT
使用NAT的優點有:
所有內部的IP地址對外面的人來說是隱蔽的。因為這個原因,網路之外沒有人可以通過指定IP地址的方式直接對網路內的任何一台特定的計算機發起攻擊。
如果因為某種原因公共IP地址資源比較短缺的話,NAT可以使整個內部網路共享一個IP地址。
可以啟用基本的包過濾防火牆安全機制,因為所有傳入的包如果沒有專門指定配置到NAT,那麼就會被丟棄。內部網路的計算機就不可能直接訪問外部網路。
使用NAT的缺點:
NAT的缺點和包過濾防火牆的缺點是一樣的。雖然可以保障內部網路的安全,但它也是一些類似的局限。而且內網可以利用現流傳比較廣泛的木馬程序可以通過NAT做外部連接,就像它可以穿過包過濾防火牆一樣的容易。
注意:現在有很多廠商開發的防火牆,特別是狀態/動態檢測防火牆,除了它們應該具有的功能之外也提供了NAT的功能。
5.個人防火牆
個人防火牆的優點有:
增加了保護級別,不需要額外的硬體資源。
個人防火牆除了可以抵擋外來攻擊的同時,還可以抵擋內部的攻擊。
個人防火牆是對公共網路中的單個系統提供了保護。例如一個家庭用戶使用的是Modem或ISDN/ADSL上網,可能一個硬體防火牆對於他來說實在是太昂貴了,或者說是太麻煩了。而個人防火牆已經能夠為用戶隱蔽暴露在網路上的信息,比如IP地址之類的信息等。
個人防火牆的缺點:
個人防火牆主要的缺點就是對公共網路只有一個物理介面。要記住,真正的防火牆應當監視並控制兩
個或更多的網路介面之間的通信。這樣一來的話,個人防火牆本身可能會容易受到威脅,或者說是具有這樣一個弱點,網路通信可以繞過防火牆的規則。