【计算机类职业资格】初级网络管理员下午试题-11及答案解析.doc

1、初级网络管理员下午试题-11 及答案解析(总分：75.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：18.00)1.【说明】 网络管理是指对网络的运行状态进行U (1) /U和U (2) /U，使其能够有效、可靠、安全、经济地提供服务，从这个定义可以看出，网络管理包含两个任务：一是对网络的运行状态进行监控，二是对网络的运行状态进行控制。U (3) /U是网络管理中最基本的功能之一，当网络中的某个组成部分发生故障时，网络管理员必须迅速地找到故障并及时排除。它的主要任务是发现和排除网络故障，包括故障检测、故障隔离和U (4) /U。U (5) /U犬最基本的网络管理功能，负责网络

2、的建立、业务的开展及配置数据的维护。它的主要功能包括资源清单管理、资源开通及业务开通。U (6) /U是记录网络资源的使用，目的是控制和监测网络操作的费用与代价，它可以估算用户使用网络资源可能需要的费用和代价。U (7) /U是维护网络服务质量和网络运营效率，提供性能监测功能、性能分析功能以及性能管理控制功能。U (8) /U是提供信息的隐私、认证和完整性保护机制，使网络中的服务、数据及系统免受侵扰和破坏。在网络管理中，一般采用网络管理者，它包括两个角色即网络管理者和U (9) /U。（分数：18.00）_二、B试题二/B(总题数：1，分数：25.00)阅读下列说明，回答问题 1 至问题 5，

3、将解答填入对应栏内。【说明】在 Windows Server 2008 上完成 IIS 7.0 的安装和相关 Web 网页的发布。（分数：25.00）(1).【问题 1】Windows Server 2008 的主要特点有哪些?（分数：5.00）_(2).【问题 2】IIS 的全称是什么?与以前的版本相比，IIS 7.0 有哪些改进?（分数：5.00）_(3).【问题 3】Windows Server 2008 在默认的情况下并没有安装 IIS 7.0，有两种方式可以完成 IIS 7.0 的安装，这两种方式分别是什么?（分数：5.00）_(4).【问题 4】Web 网站的创建包含哪些步骤?（分

4、数：5.00）_(5).【问题 5】网站上线之后，很重要的问题就是如何来测试它。网站测试的主要内容有哪些呢?（分数：5.00）_三、B试题三/B(总题数：1，分数：17.00)阅读下列说明，回答问题 1 至问题 4，将解答填入对应栏内。【说明】希赛 IT 教育研发中心要建立一个 22 台微机组成的局域网，请你从目前所掌握的技术，回答如下问题。（分数：17.00）(1).【问题 1】从目前所流行的成熟技术角度，宜采用哪种技术组建该网络?还有什么其他技术可以考虑。（分数：4.25）_(2).【问题 2】应该采取什么网络设备组建该网络，有无可备选的，成本和性能如何?（分数：4.25）_(3).【问题

5、 3】一般选用的网络线是什么类型?布线时如何掌握其长度?（分数：4.25）_(4).【问题 4】若以后进行了网络升级，但计算机不变，则应替换下哪些网络设备，替换下的设备能否继续使用?（分数：4.25）_四、B试题四/B(总题数：1，分数：15.00)阅读下列说明，回答问题 1 至问题 5，将解答填入对应栏内。【说明】建立企业的 Internet 时，经常遇到的问题是：IP 地址的申请、网络安全、网站的建立和维护，请就这些问题进行回答。（分数：15.00）(1).【问题 1】当我们申请不到很多合法 IP 时，如何分配 IP 使得单位对外开放的服务器和内部的 PC 终端能够上网?（分数：5.00）

6、_(2).【问题 2】要使内部网的 PC 访问 Internet，请给出两种解决方案。（分数：5.00）_(3).【问题 3】防火墙实现原理有多种不同的技术，请你分析各自的特点。（分数：5.00）_初级网络管理员下午试题-11 答案解析(总分：75.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：18.00)1.【说明】 网络管理是指对网络的运行状态进行U (1) /U和U (2) /U，使其能够有效、可靠、安全、经济地提供服务，从这个定义可以看出，网络管理包含两个任务：一是对网络的运行状态进行监控，二是对网络的运行状态进行控制。U (3) /U是网络管理中最基本的功能之一，当

7、网络中的某个组成部分发生故障时，网络管理员必须迅速地找到故障并及时排除。它的主要任务是发现和排除网络故障，包括故障检测、故障隔离和U (4) /U。U (5) /U犬最基本的网络管理功能，负责网络的建立、业务的开展及配置数据的维护。它的主要功能包括资源清单管理、资源开通及业务开通。U (6) /U是记录网络资源的使用，目的是控制和监测网络操作的费用与代价，它可以估算用户使用网络资源可能需要的费用和代价。U (7) /U是维护网络服务质量和网络运营效率，提供性能监测功能、性能分析功能以及性能管理控制功能。U (8) /U是提供信息的隐私、认证和完整性保护机制，使网络中的服务、数据及系统免受侵扰和

8、破坏。在网络管理中，一般采用网络管理者，它包括两个角色即网络管理者和U (9) /U。（分数：18.00）_正确答案：()解析：(1)监测 (2)控制 (3)故障管理 (4)纠正预防 (5)配置管理 (6)计费管理 (7)性能管理 (8)安全管理 (9)网管代理 分析 网络管理是指对网络的运行状态进行监测和控制，使其能够有效、可靠、安全、经济地提供服务。它包含两个任务：一是对网络的运行状态进行监测，二是对网络的运行状态进行控制。 网络管理包括五大功能，分别是故障管理、配置管理、计费管理、性能管理、安全管理。 (1)故障管理：包括故障检测、故障隔离和纠正故障三方面，包括以下典型功能：维护并检查错

9、误日志，接受错误检测报告并做出响应，跟踪、辨认错误，执行诊断测试，纠正错误。 (2)配置管理：负责网络的建立、业务的展开，以及配置数据的维护，包括资源清单管理、资源开通及业务开通。 (3)计费管理：记录网络资源的使用，目的是控制和监测网络操作的费用和代价。计费管理的目的是计算和收取用户使用网络服务的费用，统计网络资源利用率和核算网络的成本效益。计费管理包括以下功能：计算网络建设及运营成本；统计网络及其所包含资源的利用率；联机收集计费数据；计算用户应支付的网络服务费用、账单管理。 (4)性能管理：维护网络服务质量(QoS)和网络运营效率。因此，要提供性能监测功能、性能分析功能、性能管理控制功能、

10、性能数据库的维护功能。 (5)安全管理：采用信息安全措施保护网络中的系统、数据和业务。安全管理的目的是提供信息的隐私、认证和完整性保护机制，使网络中的服务、数据及系统免受侵扰和破坏。一般的安全管理系统包含以下四项功能：风险分析功能；安全服务功能；告警、日志和报告功能；网络管理系统保护功能。 网络管理中，采用网络管理者一网管代理模型。现代计算机网络管理系统基本上由以下四个要素组成：网络管理者(Network Manager)、网管代理(Managed Agent)、网络管理协议(Network Management Protocol)和管理信息库 MIB(Management Informati

11、on Base)。 (1)网络管理者(管理进程)是管理指令的发出者。网络管理者通过各网管代理对网络内的各种设备、设施和资源实施监视和控制。 (2)网管代理负责管理指令的执行，并且以通知的形式向网络管理者报告被管对象发生的一些重要事件。网管代理具有两个基本功能：一是从 MIB 中读取各种变量值；二是在 MIB 中修改各种变量值。 (3)网络管理协议是最重要的部分，它定义了网络管理者与网管代理间的通信方法，规定了管理信息库的存储结构、信息库中关键词的含义，以及各种事件的处理方法。 (4)MIB 是被管对象结构化组织的一种抽象。它是一个概念上的数据库，由管理对象组成，各个网管代理管理 MIB 中属于

12、本地的管理对象，各管理网管代理控制的管理对象共同构成全网的管理信息库。二、B试题二/B(总题数：1，分数：25.00)阅读下列说明，回答问题 1 至问题 5，将解答填入对应栏内。【说明】在 Windows Server 2008 上完成 IIS 7.0 的安装和相关 Web 网页的发布。（分数：25.00）(1).【问题 1】Windows Server 2008 的主要特点有哪些?（分数：5.00）_正确答案：()解析：可靠性、高效性、实用性和经济性。 分析 Windows Server 2008 的四个主要优点如下： (1)可靠性：它是迄今为止最快、最可靠和最安全的 Windows 服务器

13、操作系统。 Windows Server 2008 用以下方式保证可靠性：提供具有基本价值的 IT 架构，提高的可靠性、实用性和可伸缩性。它包括一个兼具内置的、传统的应用服务器功能和广泛的操作系统功能的应用系统平台，集成了信息工人基础架构，从而保护商业信息的安全，并确保能够访问这些商业信息。 (2)高效性：它提供各种工具，帮助简化部署、管理和使用网络结构以获得最大效率。Windows Server 2008 通过以下方式实现这一目的：提供灵活易用的工具，有助于使用户的设计和部署与组织及网络的要求相匹配：通过加强策略、使任务自动化及简化升级来帮助用户主动管理网络；通过让用户自行处理更多的任务来降

14、低支持开销。 (3)实用性：它为快速构建解决方按提供了可扩展的平台，以便与雇员、合作伙伴、系统和客户保持连接。Windows Server 2008 通过以下方式实现这一目的：提供集成的 Web 服务器和流媒体服务器，帮助用户快速、轻松和安全地创建动态 Intranet 和 Internet Web 站点；提供内置的服务，帮助用户轻松地开发、部署和管理 XML Web 服务：提供多种工具，使用户得以将 XML Web 服务与内部应用程序、供应商和合作伙伴连接起来。 (4)经济性：当同来自 Microsoft 的许多硬件、软件和渠道合作伙伴的产品和服务相结合使用时，Windows Server

15、2008 提供了使用户的基础架构投资获取最大回报的机会。 Windows Server 2008 通过以下方式实现这一目的：为使用户得以快速将技术投入使用的完整解决方案提供简单易用的说明性指南：通过利用最新的硬件、软件和方法来优化服务器部署，从而帮助用户合并各个服务器；降低用户的总拥有成本(TCO)，快速获得投资回报。(2).【问题 2】IIS 的全称是什么?与以前的版本相比，IIS 7.0 有哪些改进?（分数：5.00）_正确答案：()解析：IIS 的全称是 Internet 信息服务。IIS 7.0 的改进增强了可靠性、方便性、安全性、扩展性和兼容性。分析IIS(Internet Info

16、rmation Server，因特网信息服务)是微软公司主推的服务器，截止本书出版时，最新的版本是 Windows Server 2008 里面包含的 IIS 7.0，IIS7.0 和 Windows Server 2008 在网络应用服务器的管理方便性、兼容性、可靠性、安全性与可扩展性等方面提供了许多新的功能。IIS7.0 提供广泛的新特性和技术，如可靠性、可扩展和安全、方便性和兼容性，加强了对开发提供的技术特性支持，具体如表 1-8 所示。B 表 1-8 IIS7.0 的新特性和技术/B 可靠性和扩展性IIS7.0 基于一种新的请求处理体系来提供一个隔绝环境，使个别的 Web应用程序能够在

17、自有的、自我包含的 Web 服务进程内部运行。这一环境可以阻止应用程序或站点终止其他任务，并减少管理员需要重启服务的次数和保证应用程序的健壮性。改进的性能通过使服务器更难停机来提高 IIS 的有效性。可扩展性进一步的改进和支持包括对网络附加存储(NAS)的支持安全性 IIS7.0 完全被默认锁定并且包括一个友好的用户界面来加强应用程序性能方便性IIS6.0 包括可满足不同客户需求的多种管理工具。在改进的 IIS 7.0中提供普遍深入的管理访问功能，强大的管理能力和灵活的配置管理选项，和更易使用的用户界面。在服务运行的同时，管理员可以改变配置和调试应用程序。IIS 7.0 也包括多种新的和增强的

18、命令行工具更强的开发环境Windows Server 2008 改善了开发者的体验，借助集成的 ASP.NET 和IIS 整合。在 IIS7.0 之上构建，增强的平台性能提供给开发者更为高级的功能一一支持快速应用程序开发和广泛的语言多样性选择。使用 Windows Server 2008、ASP.NET 和.NET 框架的增强处理模型整合，最终给用户带来很好的开发体验。IIS 7.0 支持最新的 Web 标准，包括可扩展标记语言 XML、SOAP 和 IPv6应用程序兼容性IIS7.0 更好地兼容已有的应用程序，满足来自于数以千计的客户和解决方案伙伴的应用程序(3).【问题 3】Windows

19、 Server 2008 在默认的情况下并没有安装 IIS 7.0，有两种方式可以完成 IIS 7.0 的安装，这两种方式分别是什么?（分数：5.00）_正确答案：()解析：通过“管理您的服务器”和“添加/删除 Windows 组件”。 分析 Windows Server 2008 默认都不安装 IIS 组件；在 Windows Server 2008 下的 IIS 安装可以有三种方式：传统的“添加或删除程序”的“添加删除 Windows 组件”方式；利用“管理您的服务器”向导和采用无人值守的智能安装。下面介绍前两种安装方式的过程： 第一，使用“配置您的服务器向导”。 (1)从“开始”菜单，单

20、击“管理您的服务器”。 (2)在“管理您的服务器角色”下，单击“添加或删除角色”。 (3)阅读“配置您的服务器向导”中的预备步骤，然后单击“下一步”按钮。 (4)在“服务器角色”下，单击“应用程序服务器(IIS，ASP.NET)”，选择“下一步”按钮。 (5)阅读概要信息，然后单击“下一步”按钮。 (6)单击“完成”按钮。 第二，使用控制面板安装 IIS、添加组件或删除组件。 (1)从“开始”菜单，单击“控制面板”。 (2)双击“添加或删除程序”。 (3)单击“添加/删除 Windows 组件”。 (4)在“组件”列表框中，单击“应用程序服务器”。 (5)单击“详细信息”。 (6)单击“Int

21、ernet 信息服务管理器”。 (7)单击“详细信息”以查看 IIS 可选组件的列表。 (8)选择要安装的所有可选组件。 (9)单击“确定”按钮，直到返回到“Windows 组件向导”。 (10)单击“下一步”按钮，然后完成“Windows 组件向导”。(4).【问题 4】Web 网站的创建包含哪些步骤?（分数：5.00）_正确答案：()解析：组织信息、构建网站框架、建立 Web 服务器、域名注册和 Web 网站的发布。 分析 Web 站点建设包括如下几个步骤。 (1)组织信息。根据网站信息发布的内容范围和目的，要收集所有需要放在网站上的文本资料、图片等。 (2)构建网络框架。确定整个网页系统

22、的整体规划。 (3)建立 Web 服务器。在通常情况下，有以下几种方式可供选择。 虚拟主机方式：所谓虚拟主机是使用特殊的软硬件技术，把每台计算机划分成多台“虚拟”的主机，在外界看来，虚拟主机与真正的主机没有任何区别。 独立的服务器：对于经济实力雄厚且业务量较大的企业，也可以购置自己独立的服务器，但这需要较高的费用及较大的人力、物力投入。 (4)域名注册。要建立一个 Web 网站，就必须要有一个域名，用户是通过域名来访问网站的。 (5)Web 网站发布。在网站开发和制作完毕后，就需要使用 IIS 来发布网站。(5).【问题 5】网站上线之后，很重要的问题就是如何来测试它。网站测试的主要内容有哪些

23、呢?（分数：5.00）_正确答案：()解析：测试浏览器的可变性，测试不同的分辨率，测试链接的有效性。 分析 网站的测试工作需要从如下几个方面着手： (1)测试浏览器的可变性。网页用一种浏览器(例如 IE)来查看时的外观和功能是好的，但是使用另一种浏览器(例如 firefox)的用户就可能会遇到一些问题，不同的浏览器会呈现出显著区别。另外，在当前的浏览器版本中测试没有问题的网页，使用老版本的浏览器来查看时可能会出现一些问题。 (2)测试不同的分辨率。评价网页时，需要在不同的分辨率下进行测试。要这样做就必须在 Windows 中改变显示分辨率，然后再查看此网页。在改变了分辨率之后，再打开浏览器，可

24、能会发现浏览器的窗口不再是完全最大化的“满屏”或者最大化之后页面内容不居中，这些都是要解决的问题。 (3)测试链接的有效性。一是要测试内部链接(本网站的文件之间的链接)，每次对网站做了变动之后，都要重新测试这些链接；二是要测试指向外部的链接(不在本网站服务器上的链接)。要经常检查这些链接，至少一个月检查一次所有的外部链接。三、B试题三/B(总题数：1，分数：17.00)阅读下列说明，回答问题 1 至问题 4，将解答填入对应栏内。【说明】希赛 IT 教育研发中心要建立一个 22 台微机组成的局域网，请你从目前所掌握的技术，回答如下问题。（分数：17.00）(1).【问题 1】从目前所流行的成熟技

25、术角度，宜采用哪种技术组建该网络?还有什么其他技术可以考虑。（分数：4.25）_正确答案：()解析：采用 1000Mbit/s 以太网技术或快速以太网技术。其他还有 10Mbit/s 以太网、ATM 和 FDDI 等。 分析 (1)10Mbit/s 以太网 初始的以太网是以粗同轴电缆作为共享的传输媒体，各站点计算机用收发器电缆经 T 型头连接到这根同轴电缆上，形成了单总线的拓扑结构。粗同轴电缆价格较贵，且施工难度大，不管是粗缆还是细缆，网络的拓扑结构仍然是总线型的。 采用双绞线连接可避免这种情况。引入双绞线后，在星型拓扑结构下，通信媒体不再使用同轴电缆，带来的好处不仅是施工方便，而且，任何一个

26、站点机的连接故障均不会影响全局。当集线器所用的连接媒体均是双绞线时，由于要检测冲突和传输衰减等原因，单段双绞线的最大长度只能为 100m，使局域网的整个覆盖范围减少，最大只能在半径为 100m 的圆周范围内。 (2)快速以太网技术 局域网的日趋重要以及桌面计算设备的日趋复杂，加大了对高性能网络的需求，一些高速 LAN 技术致力于提供更宽的带宽和改善客户/服务器响应时间。快速以太网基于现行的10base-T 技术上进行了平滑升级，由于技术的平滑升级和以太网占统治地位的市场基础，保证了快速以太网解决方案的低成本和高性能。 100Mbit/s 高速以太网是由 IEEE802.3uLAN 委员会制定的

27、新标准，它是 10Mbit/s 以太网技术的延伸，能够以 100Mbiffs 的速率传送和接收数据，并保留对 CSMA/CD 以太网协议的支持。由于 100Mbit/s 快速以太网与其他 10Mbit/s 以太网环境兼容，它可以提供从原有网络的直接升级，保护了公司在硬件、软件及人员培训上的投资。 (3)1000Mbit/s 以太网技术 1000Mbit/s 以太网在速度上比传统以太网快 100 倍，而技术上却与以太网兼容，同样使用 CSMA/CD 和 MAC 协议，使升级费用大大低于向 ATM 升级的费用。 其他可供选择的技术如下： (1)FDDI：基本属于过时技术，支持它的厂商越来越少。 (

28、2)ATM：是面向连接的网络，能够保证突发重负载的网上传输，但需要通过 LANE 仿真技术才能够在局域网中使用，技术难度大、带宽效率低，不适宜作局域网或园区网，仅在对传输要求极高时考虑使用。 (3)100Base-Fx：光介质的快速以太网：端口价格低，非常经济实惠的选择，但网络速度较低。(2).【问题 2】应该采取什么网络设备组建该网络，有无可备选的，成本和性能如何?（分数：4.25）_正确答案：()解析：主干采用高速交换机，若需要划分 VLAN，则需要支持 VLAN 和三层交换的交换机。也可采用普通的交换机，甚至用共享式 Hub。网络划分 VLAN，采用的交换机成本较高，但可以将计算机分组。

29、用普通交换机成本次之，但也可以改善网络通信性能。Hub 成本最低，但整个网络通信性能最差。 分析 (1)网络设备的选型原则：厂商选择原则(尽可能选择同一厂商的产品；选择产品线全、技术认证队伍力量强、市场占有率高的网络设备晶牌)，扩展性考虑(主干要预留扩展，低端够用即可)，根据方案实际需要选型(性能、端口类型、端口密度)，选择性价比高、质量好的设备。 (2)核心交换机选型策略：应具备高性能和高速率、定位准确，便于升级和扩展、高可靠性、强大网络控制能力、良好可管理性等特点。 (3)分布层/接入层交换机选型策略：应具备灵活性，高性能，在满足要求的基础上尽量便宜、易用、简单，具备一定的网络服务质量和控

30、制能力，支持多级别网络管理等特点。 主干采用高速交换机，若需要划分 VLAN，则需要支持 VLAN 和三层交换的交换机。也可采用普通的交换机，甚至用共享式 Hub。网络划分 VLAN，采用的交换机成本较高，但可以将计算机分组。用普通交换机成本次之，但也可以改善网络通信性能。Hub成本最低，但整个网络通信性能最差。(3).【问题 3】一般选用的网络线是什么类型?布线时如何掌握其长度?（分数：4.25）_正确答案：()解析：一般选用 5 类非屏蔽双绞线 UTP，计算机到交换机(或 Hub)的距离在 100m 内。分析以太网比较常用的传输介质包括同轴电缆、双绞线和光纤三种，以 IEEE 802.3

31、委员会习惯用类似于10Base-T 的形式来命名传输介质的选用方案，了解这些常见的方案是十分必要的。具体见表 1-9。B 表 1-9 以太网常用的传输介质/B 名 称 传输介质 最大段长度 每段节点数 优 点10Base5 粗同轴电缆 500m 100 早期电缆，废弃10Base2 细同轴电缆 185m 30 不需集线器10Base-T 非屏蔽双绞线 100m 1024 最便宜的系统10Base-F 光纤 2000m 1024 适合于楼间使用100Base-T4 非屏蔽双绞线 100m 3 类线，4 对100Base-TX 非屏蔽双绞线 100m 5 类线，全双工100Base-FX 光纤 2

32、000m 全双工，长距离1000Base-SX 光纤 550m 多模光纤1000Base-LX 光纤 5000m 单模或多模光纤1000Base-CX 屏蔽双绞线 25m 2 对 STP1000Base-T 非屏蔽双绞线 100m 5 类线，4 对(4).【问题 4】若以后进行了网络升级，但计算机不变，则应替换下哪些网络设备，替换下的设备能否继续使用?（分数：4.25）_正确答案：()解析：可以将主交换机进行升级，替换的交换机或 Hub 可以作为二级或三级设备继续使用。 分析 升级设计具有以下优点： (1)高可扩展性：可以最大程度上实现网络的可缩放性。 (2)易于实现：清晰地将每个功能分配给相

33、应的层，因此更易于实现。 (3)易于排除故障：每一层都经过良好定义，因此容易隔离网络问题，也就更易于发现、分析、排除网络故障。 (4)可预测性：比较容易规划网络的增长。 (5)协议支持：将现有和将来应用或者协议结合在一起非常简单。 (6)易于管理：可以实现有效的网络管理。 可以将主交换机进行升级，替换的交换机或 Hub 可以作为二级或三级设备继续使用。四、B试题四/B(总题数：1，分数：15.00)阅读下列说明，回答问题 1 至问题 5，将解答填入对应栏内。【说明】建立企业的 Internet 时，经常遇到的问题是：IP 地址的申请、网络安全、网站的建立和维护，请就这些问题进行回答。（分数：1

34、5.00）(1).【问题 1】当我们申请不到很多合法 IP 时，如何分配 IP 使得单位对外开放的服务器和内部的 PC 终端能够上网?（分数：5.00）_正确答案：()解析：PC 用内部 IP，对外开放的服务器使用合法的 IP。(2).【问题 2】要使内部网的 PC 访问 Internet，请给出两种解决方案。（分数：5.00）_正确答案：()解析：可以用 NAT 和代理服务。 分析 问题 1问题 2 网络地址转换(Network Address Traslation，NAT)被广泛应用于各种类型 Internet 接入方式和各种类型的网络中。原因很简单，NAT 不仅完美地解决了 IP 地址不

35、足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。虽然 NAT 可以借助于某些代理服务器来实现(常见的代理服务器软件有 WinGate、SyGate、 Cproxy、uperProxy 等)，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。 借助于NAT，私有(保留)地址的内部网络通过路由器发送数据包时，私有地址被转换成合法的 IP 地址，一个局域网只需使用少量 IP 地址(甚至是 1 个)即可实现私有地址网络内所有计算机与，Internet 的通信需求。具体情况如图 1-11 所示。 NAT 的实现方式有三种，即静态转换、动态转换和端口多路复用。 静态

36、转换是指将内部网络的私有 IP 地址转换为公有 IP 地址，IP 地址对是一对一的，是一成不变的，某个私有 IP 地址只转换为某个公有 IP 地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有 IP 地址转换为公用 IP 地址时，IP 地址对是不确定的，而是随机的，所有被授权访问 Internet 的私有 IP 地址可随机转换为任何指定的合法 IP 地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当 ISP 提供的合法 IP 地址略少于网络内

37、部的计算机数量时，可以采用动态转换的方式。 (3).【问题 3】防火墙实现原理有多种不同的技术，请你分析各自的特点。（分数：5.00）_正确答案：()解析：有包过滤、应用网关和状态检测的防火墙。包过滤防火墙是一种简单的三层过滤技术，应用网关防火墙是工作在高层的防火墙技术，特定的应用程序必须安装相应的代理程序。状态检测防火墙又称为动态包过滤防火墙，它动态跟踪包的状态。 分析 防火墙根据实现原理可分为包过滤防火墙、应用网关防火墙和状态检测防火墙。 (1)包过滤防火墙。包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如 IP 地址等，这里的“包”是指 IP 包，包过滤防火墙的工作原理是：系统

38、在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破，如图 1-12 所示。 (2)应用网关防火墙。应用网关防火墙也称为应用代理防火墙，它检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机/服务器模式来实现的。每个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点，如图 1-13 所示。 (3)状态检测防火墙。状态检测防火墙也称为线路过滤防火墙，它基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为，如图 1-14 所示。