【网络课】网络安全技术期末复习题总结（★）

第一篇：【网络课】网络安全技术期末复习题总结

【网络课】网络安全技术期末复习题

一、选择题第一章

(B)1.由于来自于系统外部或内部的攻击者冒充为网络的合法用户获得访问权限的攻击方法是下列哪一项？

A.黑客攻击

B.社会工程学攻击

C.操作系统攻击

D.恶意代码攻击

（A）

2.在信息安全性中，用于提供追溯服务信息或服务源头的是哪一项？

A.不可否认性

B.认证性

C.可用性

D.完整性

第二章

（A）

1.密码技术的哪一个目标不能被对称密码技术实现？

A.完整性

B.保密性

C.不可否认性

D.认证性

（C）2.A想要使用非对称密码系统向B发送秘密消息。A应该使用哪个密钥来加密消息？

A.A的公钥

B.A的私钥

C.B的公钥

D.B的私钥

（A）

3.DES的有效密钥长度是多少？

A.56比特

B.112比特

C.128比特

D.168比特

（C）

4.下面哪种情况最适合使用非对称密码系统？

A.公司电子邮件系统

B.点到点的VPN系统 C.证书认证机构

D.Web站点认证

（D）

5.下面哪个哈希函数最适合8位处理器？

A.SHA-256

B.SHA-512

C.MD4

D.MD2（C）

6.Grace想要使用数字签名技术向Joe发送一则消息，为了获得数字签名，她应该对哪种信息进行签名？

A.明文消息

B.密文消息

C.明文消息摘要

D.密文消息摘要

（C）

7.Joe收由Grace签了名的信息，请问Joe该使用哪个密钥来验证签名？

A.Joe的公钥

B.Joe的私钥

C.Grace的公钥

D.Grace的私钥

第三章

（C）

1.下面哪项不属于口令认证？

A.可重用口令认证

B.一次性口令认证

C.安全套接层认证

D.挑战应答口令认证

（C）2.公钥认证不包括下列哪一项？

A.SSL认证

B.Kerberos认证

C.安全RPC认证

D.MD5认证

第四章

（C）

1.在TCP/IP协议安全中，下列哪一项属于应用层安全？

（C）

2.IPSec中有三个主要的协议用来对传输中的系统提供安全服务，不包括下列哪一项？ A.SA

B.AH A.VPNs

B.PPP C.Kerberos

D.SSL

C.CA

D.ESP 第五章

（C）

1.以下哪一项不属于恶意代码？

A.病毒

B.特洛伊木马

C.系统漏洞

D.蠕虫

（D）2.使授权用户泄露安全数据或允许非授权访问的攻击方式称作

A.拒绝服务攻击

B.中间人攻击

C.社会工程学

D.后门攻击

第六章

（B）

1.以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击？

A.欺骗攻击

B.暴力攻击

C.穷举攻击

D.字典攻击

（A）

2.以下哪个模型通常用来模拟现实的实体以及实体之间状态的转移？

A.状态机模型

B.Bell-LaPadula模型

C.Clark-Wilson 模型

D.Noninterference 模型

第七章

（B）

1.以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击？

A.欺骗攻击

B.暴力攻击

C.穷举攻击

D.字典攻击

（D）

2.常见类型的防火墙拓扑结构以下哪一项？

A.屏蔽主机防火墙

B.屏蔽子网防火墙

C.双重防火墙

D.硬件防火墙

第八章

（B）

1.对于一个入侵，下列最合适的描述是：

A.与安全事故类似

B.各种试图超越权限设置的恶意使用

C.任何侵犯或试图侵犯你的安全策略的行为

D.任何使用或试图使用系统资源用于犯罪目的的行为（A）

2.下列哪种安全策略可用于最小特权原则的理念：

A.白名单

B.严格禁止

C.宽松的控制

D.黑名单

(A)3.如果一个IDS上报了一个异常行为，但该行为是正常的，那么IDS犯了什么错误

A.误报

B.漏报

C.混合式错误

D.版本出错

(B)4.哪种入侵者是最危险的，为什么？

A.外部入侵者，因为他们在攻击之前会大量的收集目标系统的信息。

B.内部入侵者，因为他们掌握更多关于系统的信息。

C.外部入侵者，因为大部分入侵者都在外部。

D.内部入侵者，因为很多外部入侵者都是新手。

(A)5.对于有特征的入侵行为，哪种类型的入侵检测更适用：

A.误用检测

B.异常检测

C.恶意检测

D.外部检测

A.告诉IDS检测那些端口

B.限制系统行为，如果违反了，就触发警报

C.告诉IDS那些包需要被监测，并在包中检测什么内容

D.告诉防火墙哪些数据包可以穿过IDS(C)7.什么软件可以阅读其所在网络的数据：

A.特征数据库

B.包嗅探器

C.数据包分析引擎

D.网络扫描

(A)8.哪种IDS可以检测特定网段的所有流量：

A.基于网络的IDS

B.基于特征的IDS

C.基于主机的IDS

D.基于知识的IDS(C)9.哪种类型的IDS可以用来标识外来攻击的？

A.在DMZ区的HIDS

B.在防火墙与内部网络之间的NIDS

C.在外部网络与防火墙之间的NIDS

D.在DMZ区的NIDS(ABCD)10.当选择IDS时，哪些因素是你要考虑的（多选）：

A.价格

B.配置与维护IDS所需要的知识与人力

C.互联网类型

D.你所在的组织的安全策略

第九章

(D)1.Telnet命令的默认端口号是什么？

A.80

B.8080

C.21

D.23(B)2.在Windows操作系统中，端口号9提供什么服务？

A.给出当前日期

B.丢弃收到的所有东西

C.对受到的所有通信进行响应

D.提供系统日期和时间

第十章

A.应用层和物理层

B.应用层和链路层

C.应用层和网络层

D.链路层和网络层

(D)2.病毒感染计算机系统并进行传播的方式有多种，下列哪项不属于？

A.引导扇区

B.宏渗透

C.寄生虫

D.移动磁盘

第十一章

(B)1.可以导致软件运行故障的因素不包括下列哪一项？

A.复杂性

B.健壮性

C.测试困难

D.软件升级

(B)2.信息安全威胁分析法中，通过使用一种什么样的模型来进行风险分析的计算？

A.MD5

B.Schneier

C.Hash

D.Security Assessment 第十二章

A.病毒攻击

B.长时间的停电

C.服务出错

D.服务器故障

(A)2.以下哪一项不属于系统灾难恢复的准备工作？

A.Internet信息服务

B.风险评估

C.备份介质数据

D.应付灾难准备

第十三章

A.与案件有关的材料

B.案件材料的合法性

C.案件材料的逻辑性

D.线索材料

(D)2.通过对校验和进行加密来判断数据是否有更改的检验方法叫做？

A.AHSH算法

B.SHAH算法

C.SHHA算法

D.HASH算法第十四章

A.主存储器

B.二级存储器

C.三级存储器

D.处理器

(A)2.一个系统使用击键监视器的原因不包括下列哪一项？

A.系统备份

B.恶意攻击

C.证据收集

D.测试和质量保证

第十五章

(A)1.注册表中，阻止访问特定驱动器内容的键值是下列哪一项？

A.NoViewOnDrive

B.RestrictRun

C.DisableRegistryTools

D.NoClose(D)2.以下Windows用户系统常见服务中，哪项是不能关闭的？

A.Internet信息服务

B.远程登录

C.远程注册

D.注册表访问

第十六章

(B)1.目前Web 服务安全的关键技术有WS-Security规范、XML签名规范、XML加密规范以及下列哪一项？

A.SAML

B.SOAP

C.XKMS

D.OASIS(A)2.以下哪个方面不是检验表的主要用途？

A.远程检验表

B.漏洞检验表

C.设置检验表

D.审计检验表

第十七章

(B)1.目前Web 服务安全的关键技术有WS-Security规范、XML签名规范、XML加密规范以及下列哪一项？

A.SAML

B.SOAP

C.XKMS

D.OASIS(C)2.Web服务架构的3 个基本操作不包括下列哪一项？

A.发布(publish)

B.绑定(bind)

C.请求(request)

D.查找(find)第十八章

(D)1.常见的通用安全原则为特权分离原则，最小特权原则，深度防御原则以

及下列哪一项？

A.物理安全策略

B.人员安全策略

C.区域安全策略

D.模糊安全策略

A.最长保管时间

B.最短保管时间

C.数据安全

D.数据类型

第十九章

(B)1.常见的DRP检测类型有清单检查，软件测试，硬件测试以及下列哪一

项？

A.前期培训

B.桌面练习

C.初始训练

D.复习训练

(C)

2.灾难恢复的三种主要替换处理设施不包括下列哪一项？

A.热门地点

B.冷门地点

C.安全地点

D.一般地点

71.关于信息安全，下列说法中正确的是_C__。信息安全等同于网络安全信息安全由技术措施实现信息安全应当技术与管理并重管理措施在信息安全中不重要

70.编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码是__A__。计算机病毒计算机系统计算机游戏算机程序

69.系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速__A__。恢复整个系统恢复所有数据恢复全部程序恢复网络设置

68.在目前的信息网络中，__C__病毒是最主要的病毒类型。

67.对日志数据进行审计检查，属于_B___类控制措施。

66.口令机制通常用于_A___。

65.安全评估技术采用__A__这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。

64.身份认证的含义是_C___。

注册一个用户标识一个用户验证一个用户授权一个用户安全扫描器安全扫描仪自动扫描器自动扫描仪认证标识注册授权预防检测威慑修正引导型文件型网络蠕虫木马型 63.安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于_B___措施。

62.入侵检测技术可以分为误用检测和_C___两大类。

61.下列__C__机制不属于应用层安全。

60.信息安全管理中，_B__负责保证安全管理策略与制度符合更高层法律、法规的要求，不发生矛盾和冲突。

59.防火墙最主要被部署在_A___位置。

58.人们设计了__D__，以改善口令认证自身安全性不足的问题。

57.下列关于风险的说法，__B__是正确的56.不是计算机病毒所具有的特点__D__。传染性可以采取适当措施，完全清除风险任何措施都无法完全清除风险风险是对安全事件的确定描述风险是固有的，无法被控制统一身份管理指纹认证数字证书认证动态口令认证机制网络边界骨干线路重要服务器桌面终端组织管理合规性管理人员管理制度管理数字签名应用代理主机入侵检测应用审计应用审计详细检测异常检测漏洞检测保护检测响应恢复

破坏性

潜伏性可预见性

55.传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了__A__等重要网络资源。

54.下列不属于网络蠕虫病毒的是__C__。

53.对网络层数据包进行过滤和控制的信息安全技术机制是__A__。

52.信息安全经历了三个发展阶段，以下__B__不属于这三个发展阶段

51.公安部网络违法案件举报网站的网址是__C__。

50.下列关于信息的说法 __D__是错误的49.防火墙用于将Internet和内部网络隔离，（B）是防止Internet火灾的硬件设施信息是人类社会发展的重要支柱

信息本身是无形的信息具有价值，需要保护信息可以以独立形态存在 www.teniu.cc www.teniu.cc

http://www.teniu.cc

www.teniu.cc 通信保密阶段

加密机阶段信息安全阶段安全保障阶段防火墙

IDS Sniffer IPSec 冲击波 SQLSLAMMER CIH 振荡波网络带宽数据包

防火墙

LINUX

是网络安全和信息安全的软件和硬件设施是保护线路不受破坏的软件和硬件设施是起抗电磁干扰作用的硬件设施

48..以下（D）不是包过滤防火墙主要过滤的信息

47.对动态网络地址交换（NAT），不正确的说法是（B）

46.对非军事DMZ而言，正确的解释是（D）

45.为了降低风险，不建议使用的Internet服务是（D）

44.包过滤型防火墙原理上是基于（C）进行分析的技术

43.一般而言，Internet防火墙建立在一个网络的（C）

内部子网之间传送信息的中枢每个子网的内部

内部网络与外部网络的交叉点部分内部网络与外部网络的结合处物理层数据链路层网络层应用层 Web服务外部访问内部系统内部访问Internet FTP服务.DMZ是一个真正可信的网络部分

DMZ网络访问控制策略决定允许或禁止进入DMZ通信允许外部用户访问DMZ系统上合适的服务以上3项都是将很多内部地址映射到单个真实地址外部网络地址和内部地址一对一的映射最多可有64000个同时的动态NAT连接每个连接使用一个端口源IP地址目的IP地址

TCP源端口和目的端口时间 42.计算机病毒是计算机系统中一类隐藏在（C）上蓄意破坏的捣乱程序

41.目前，VPN使用了（A）技术保证了通信的安全性

40.不属于VPN的核心技术是（C）

39.不属于隧道协议的是（C）

38.PPTP、L2TP和L2F隧道协议属于（B）协议

37.将公司与外部供应商、客户及其他利益相关群体相连接的是（B）

内联网VPN

36.VPN的加密手段为（C）

具有加密功能的防火墙具有加密功能的路由器

VPN内的各台主机对各自的信息进行相应的加密单独的加密设备外联网VPN 远程接入VPN 无线VPN 第一层隧道第二层隧道第三层隧道第四层隧道 PPTP L2TP TCP/IP IPSec 隧道技术身份认证日志记录访问控制隧道协议、身份认证和数据加密身份认证、数据加密隧道协议、身份认证隧道协议、数据加密内存软盘存储介质网络

35.GRE协议的乘客协议是（D)

34.属于第二层的VPN隧道协议有（B）

33.通常所说的移动VPN是指（A）

27.传输层保护的网络采用的主要技术是建立在（）基础上的（A）

26.属于Web中使用的安全协议(C)

25.SSL产生会话密钥的方式是（C）。

24.为了简化管理，通常对访问者（A），以避免访问控制表过于庞大。

分类组织成组严格限制数量

按访问时间排序，删除长期没有访问的用户从密钥管理数据库中请求获得每一台客户机分配一个密钥的方式随机由客户机产生并加密后通知服务器 PEM、SSL S-HTTP、S/MIME SSL、S-HTTP S/MIME、SSL 可靠的传输服务，安全套接字层SSL协议不可靠的传输服务，S-HTTP协议可靠的传输服务，S-HTTP协议

不可靠的传输服务，安全套接字层SSL协议 Access VPN Intranet VPN Extranet VPN 以上皆不是 IPSec PPTP GRE 以上皆不是 IP IPX AppleTalk 上述皆可 23.下列对访问控制影响不大的是（D。

主体身份

22.访问控制是指确定（A）以及实施访问权限的过程。

21.可以被数据完整性机制防止的攻击方式是（D）。

20.数据保密性安全服务的基础是（D。

19.用于实现身份鉴别的安全机制是（A）。

18.网络安全是在分布网络环境中对（D）提供安全保护。

17.攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为（D）。

中间人攻击

口令猜测器和字典攻击信息载体信息的处理、传输信息的存储、访问上面3项都是加密机制和数字签名机制加密机制和访问控制机制数字签名机制和路由控制机制访问控制机制和路由控制机制数据完整性机制数字签名机制访问控制机制加密机制假冒源地址或用户的地址欺骗攻击抵赖做过信息的递交行为数据中途被攻击者窃听获取数据在途中被攻击者篡改或破坏用户权限

可给予哪些主体访问权利可被用户访问的资源系统是否遭受入侵客体身份访问类型主体与客体的类型

强力攻击回放攻击

16.攻击者用传输数据来冲击网络接口，使服务器过于繁忙以至于不能应答请求的攻击方式是（A）。

15.最新的研究和统计表明，安全攻击主要来自（B）。

14.机密性服务提供信息的保密，机密性服务包括（D）。

13.拒绝服务攻击的后果是（E）

12.窃听是一种（A）攻击，攻击者（A）将自己的系统插入到发送站和接收站之间。截获是一种（A）攻击，攻击者（A）将自己的系统插入到发送站和接受站之间。

11.从攻击方式区分攻击类型，可分为被动攻击和主动攻击。被动攻击难以（），然而（）这些攻击是可行的；主动攻击难以（C），然而（）这些攻击是可行的。

阻止,检测,阻止,检测检测,阻止,检测,阻止检测,阻止,阻止,检测被动,无须,主动,必须主动,必须,被动,无须主动,无须,被动,必须被动,必须,主动,无须信息不可用应用程序不可用系统宕机阻止通信上面几项都是文件机密性信息传输机密性通信流的机密性以上3项都是接入网企业内部网公用IP网个人网拒绝服务攻击地址欺骗攻击会话劫持

信号包探测程序攻击

上面3项都不是

10.从安全属性对各种网络攻击进行分类，截获攻击是针对（A）的攻击。

9.从安全属性对各种网络攻击进行分类，阻断攻击是针对（B）的攻击。

8.对攻击可能性的分析在很大程度上带有（B）

7.“会话侦听和劫持技术”是属于（B）的技术。

6.信息安全的基本属性是（D）。

5.“公开密钥密码体制”的含义是（C）

4.网络安全最终是一个折衷的方案，即安全强度和安全操作代价的折衷，除增加安全设施投资外，还应考虑（D）。用户的方便性将所有密钥公开

将私有密钥公开，公开密钥保密将公开密钥公开，私有密钥保密两个密钥相同机密性可用性完整性上面3项都是密码分析还原协议漏洞渗透应用漏洞分析与渗透 DOS攻击客观性主观性盲目性上面3项都不是机密性可用性完整性真实性机密性可用性完整性真实性

管理的复杂性

对现有系统的影响及对不同平台的支持上面3项都是

3.假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于（A）。

2.密码学的目的是（C）。

1.计算机网络是地理上分散的多台（C）遵循约定的通信协议，通过软硬件互联的系统

二、问答题

1.解释身份认证的基本概念。

身份认证是指用户必须提供他是谁的证明，这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源，它是其他安全机制的基础。

身份认证是安全系统中的第一道关卡，识别身份后，由访问监视器根据用户的身份和授权数据库决定是否能够访问某个资源。一旦身份认证系统被攻破，系统的所有安全措施将形同虚设，黑客攻击的目标往往就是身份认证系统。

2.单机状态下验证用户身份的三种因素是什么？（1）用户所知道的东西：如口令、密码。（2）用户所拥有的东西：如智能卡、身份证。

（3）用户所具有的生物特征：如指纹、声音、视网膜扫描、DNA等。

3.解释访问控制的基本概念。

访问控制是建立在身份认证基础上的，通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。

访问控制的目的：限制主体对访问客体的访问权限（安全访问策略），从而使计算机系统在合法范围内使用。

4.电子邮件存在哪些安全性问题？

答：1）垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。垃圾邮件会增加网络负荷，影响网络传输速度，占用邮件服务器的空间。计算机主从计算机自主计算机数字设备研究数据加密研究数据解密研究数据保密研究信息安全对称加密技术分组密码技术公钥加密技术单向函数密码技术 2）诈骗邮件通常指那些带有恶意的欺诈性邮件。利用电子邮件的快速、便宜，发信人能迅速让大量受害者上当。3）邮件炸弹指在短时间内向同一信箱发送大量电子邮件的行为，信箱不能承受时就会崩溃。

4）通过电子邮件传播的病毒通常用VBScript编写，且大多数采用附件的形式夹带在电子邮件中。当收信人打开附件后，病毒会查询他的通讯簿，给其上所有或部分人发信，并将自身放入附件中，以此方式继续传播扩散。

5.在服务器端和用户端各有哪些方式防范垃圾邮件？

在服务器端，应该设置发信人身份认证，以防止自己的邮件服务器被选做垃圾邮件的传递者。现在包括不少国内知名电子邮件提供者在内的诸多邮件服务器被国外的拒绝垃圾邮件组织列为垃圾邮件来源。结果是：所有来自该服务器的邮件全部被拒收!

在用户端，防范垃圾邮件有如下方式：

1）不随便公开自己的电子邮件地址，防止其被收入垃圾邮件的发送地址列表。因为有很多软件可以自动收集这些新闻组文章或者论坛中出现过的电子邮件地址。一旦被收入这些

垃圾邮件的地址列表中，一些不怀好意的收集者将出售这些电子邮件地址牟利，然后，很不幸地，这个地址将可能源源不断地收到各种垃圾邮件。

2）尽量采用转发的方式收信，避免直接使用ISP提供的信箱。申请一个转发信箱地址，结合垃圾邮件过滤，然后再转发到自己的真实信箱。实践证明，这的确是一个非常有效的方法。只有结合使用地址过滤和字符串特征过滤才能取得最好的过滤效果。不要回复垃圾邮件，这是一个诱人进一步上当的花招。

6.什么是防火墙，为什么需要有防火墙？

答：防火墙是一种装置，它是由软件/硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之，一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。

如果没有防火墙，则整个内部网络的安全性完全依赖于每个主机，因此，所有的主机都必须达到一致的高度安全水平，这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备，没有其他的服务，因此也就意味着相对少一些缺陷和安全漏洞，这就使得安全管理变得更为方便，易于控制，也会使内部网络更加安全。

防火墙所遵循的原则是在保证网络畅通的情况下，尽可能保证内部网络的安全。它是一种被动的技术，是一种静态安全部件。

7.防火墙应满足的基本条件是什么？

答：作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件如下：(1)内部网络和外部网络之间的所有数据流必须经过防火墙。(2)只有符合安全策略的数据流才能通过防火墙。

(3)防火墙自身具有高可靠性，应对渗透(Penetration)免疫，即它本身是不可被侵入的。

8.简述常见的黑客攻击过程。答：（1）目标探测和信息攫取

先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息，然后根据各系统的安全性强弱确定最后的目标。

a.踩点（Footprinting）

黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息，DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。b.扫描（Scanning）

在扫描阶段，我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务)，甚至更进一步地获知它们运行的是什么操作系统。c.查点（Enumeration）

从系统中抽取有效账号或导出资源名的过程称为查点，这些信息很可能成为目标系统的祸根。比如说，一旦查点查出一个有效用户名或共享资源，攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的，因此要求使用前面步骤汇集的信息。（2）

获得访问权（Gaining Access）

通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。（3）

特权提升（Escalating Privilege）

在获得一般账户后，黑客经常会试图获得更高的权限，比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。（4）

窃取（Stealing）

对敏感数据进行篡改、添加、删除及复制（如Windows系统的注册表、UNIX的rhost文件等）。（5）

掩盖踪迹（Covering Tracks）

此时最重要就隐藏自己踪迹，以防被管理员发觉，比如清除日志记录、使用rootkits等工具。（6）

创建后门（Creating Bookdoor）

在系统的不同部分布置陷阱和后门，以便入侵者在以后仍能从容获得特权访问。入侵检测与安全审计

9.什么是IDS，它有哪些基本功能？

答：入侵检测系统IDS，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。1）监测并分析用户和系统的活动，查找非法用户和合法用户的越权操作； 2）核查系统配置和漏洞并提示管理员修补漏洞； 3）评估系统关键资源和数据文件的完整性； 4）识别已知的攻击行为，统计分析异常行为；

5）操作系统日志管理，并识别违反安全策略的用户活动等。

10．什么是病毒的特征代码？它有什么作用？

答：病毒的特征代码是病毒程序编制者用来识别自己编写程序的唯一代码串。因此检测病毒程序可利用病毒的特征代码来检测病毒，以防止病毒程序感染。

11．什么是网络蠕虫？它的传播途径是什么？

答：网络蠕虫是一种可以通过网络（永久连接网络或拨号网络）进行自身复制的病毒程序。一旦在系统中激活，蠕虫可以表现得象计算机病毒或细菌。可以向系统注入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬件或文件系统中繁殖，而典型的蠕虫程序会在内存中维持一个活动副本。蠕虫是一个独立运行的程序，自身不改变其他的程序，但可以携带一个改变其他程序功能的病毒。

12.列举防火墙的几个基本功能？

答：(1)隔离不同的网络，限制安全问题的扩散，对安全集中管理，简化了安全管理的复杂程度。(2)防火墙可以方便地记录网络上的各种非法活动，监视网络的安全性，遇到紧急情况报警。

(3)防火墙可以作为部署NAT的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。

(4)防火墙是审计和记录Internet使用费用的一个最佳地点。(5)防火墙也可以作为IPSec的平台。

(6)内容控制功能。根据数据内容进行控制，比如防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。

13.试述RAID 0、RAID

1、RAID

3、RAID 5方案

答：（1）RAID0：无冗余、无校验的磁盘阵列。RAID0至少使用两个磁盘驱动器，并将数据分成从512字节到数兆节的若干块（数据条带），这些数据块被交替写到磁盘中。RAID0不适用于对可靠性要求高的关键任务环境，但却非常适合于对性能要求较高的视频或图像编辑。

（2）RAID1：镜像磁盘阵列。每一个磁盘驱动器都有一个镜像磁盘驱动器，镜像磁盘驱动器随时保持与原磁盘驱动器的内容一致。RAID1具有较高的安全性，但只有一半的磁盘空间被用来存储数据。为了实时保护镜像磁盘数据的一致性，RAID1磁盘控制器的负载相当大，在此性能上没有提高。RAID1主要用于在对数据安全性要求很高，而且要求能够快速恢复损坏的数据的场合。

（3）RAID3：带奇偶校验码的并行传送。RAID3使用一个专门的磁盘存放所有的校验数据，而在剩余的磁盘中创建带区集分散数据的读写操作。RAID3适合用于数据密集型环境或单一用户环境，尤其有益于要访问较长的连续记录，例如数据库和Web服务器等。

（4）RAID5：无独立校验盘的奇偶校验磁盘阵列。RAID5把校验块分散到所有的数据盘中。RAID5使用了一种特殊的算法，可以计算出任何一个带区校验块的存放位置，这样就可以确保任何对校验块进行的读写操作都会在所有的RAID磁盘中进行均衡，从而消除了产生瓶颈的可能。RAID5能提供较完美的性能，因而也是被广泛应用的一种磁盘阵列方案。它适合于I/O密集、高读/写比率的应用程序，如事务处理等。为了具有RAID5级的冗余度，我们至少需要三个磁盘组成的磁盘阵列。RAID5可以通过磁盘阵列控制器硬件实现，也可以通过某些网络操作系统软件实现。

14.信息安全有哪些常见的威胁？信息安全的实现有哪些主要技术措施？

答：常见威胁有非授权访问、信息泄露、破坏数据完整性，拒绝服务攻击，恶意代码。信息安全的实现可以通过物理安全技术，系统安全技术，网络安全技术，应用安全技术，数据加密技术，认证授权技术，访问控制技术，审计跟踪技术，防病毒技术，灾难恢复和备份技术

15.防火墙的实现技术有哪两类？防火墙存在的局限性又有哪些？

防火墙的实现从层次上可以分为两类：数据包过滤和应用层网关，前者工作在网络层，而后者工作在应用层。防火墙存在的局限性主要有以下七个方面:(1)网络上有些攻击可以绕过防火墙（如拨号）。(2)防火墙不能防范来自内部网络的攻击。(3)防火墙不能对被病毒感染的程序和文件的传输提供保护。(4)防火墙不能防范全新的网络威胁。(5)当使用端到端的加密时，防火墙的作用会受到很大的限制。(6)防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。(7)防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机上，一旦被执行就形成攻击

16.TCP/IP协议的网络安全体系结构的基础框架是什么？

答：由于OSI参考模型与TCP/IP参考模型之间存在对应关系，因此可根据GB/T 9387.2-1995的安全体系框架，将各种安全机制和安全服务映射到TCP/IP的协议集中，从而形成一个基于TCP/IP协议层次的网络安全体系结构。

17.什么是IDS，它有哪些基本功能。

答：入侵检测系统IDS，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。

它的基本功能是：（1）监测并分析用户和系统的活动，查找非法用户和合法用户的越权操作；（2）核查系统配置和漏洞并提示管理员修补漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为，统计分析异常行为；（5）操作系统日志管理，并识别违反安全策略的用户活动等。

18.主动攻击与被动攻击的特点是什么？主动攻击与被动攻击的现象。

答：主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性、完整性及系统服务的可用性，即通过中断、伪造、篡改和重排信息内容造成信息破坏，使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息，使信息保密性遭到破坏，信息泄露而无法察觉，给用户带来巨大的损失。

19.什么是MD5？答：MD5即报文—摘要算法，它是一种基于哈希函数的密码算法，以任意长度的消息作为输入，生成128位的消息摘要作为输出，输入消息是按512位的分组处理的。它的最大作用在于，将不同格式的大容量文件信息在用数字签名软件来签署私人密钥前“压缩”成一种保密格式，关键在于这种“压缩”是不可逆的。

第二篇：关于针对网络协议层次和网络安全技术

HR Planning System Integration and Upgrading Research of

A Suzhou Institution

网络协议层次和网络安全技术

中国联通乐山分公司邱东昕

摘要：本文首先介绍了网络安全的形势，然后推出了开放系统互联（OSI）参考模型网络层次结构，分析了各层的功能。在此基础上依不同的网络层次，介绍了各种网络安全技术。关键词：网络，协议，安全技术。

一、随着互联网的快速发展，各种安全技术应运而生。

INTERNET是世界上最大的互联网，它是全球最大的信息超级市场，目前Internet正成为人们不可缺少的工具。INTERNET已遍及全世界，为一亿以上的用户提供了多样化的网络与信息服务。在INTERNET上，EMAIL、新闻论坛等文本信息广为传播，网上电话、网上传真、静态及视频等通信技术也在不断地发展与完善。在信息化社会中，网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。

当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入Internet，以政府上网为标志的数字政府使国家机关与Internet互联。通过Internet 实现包括个人、企业与政府的全社会信息共享已逐步成为现实。随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增。无论政府、商务，还是金融、媒体的网站都在不同程度上受到入侵与破坏。

“五一”期间，中美之间爆发了有史以来规模最大的“网络战争”，数以万计的中美黑客相互攻击对方的网站，数千家中美网站被黑或拒绝服务。根据国家计算机网络与信息安全管理办公室（以下简称“国信安办”）的统计，“五一”中美黑客交手期间，中国被黑网站中，．ｇｏｖ的网站占３６．７％。

当然，自Internet问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，随着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出，各种安全技术也应运而生，加密技术、防火墙技术、代理技术、认证技术等等，多少让人有些无所适从。下面我们将从网络协议的层次来谈一下这些安全技术，以利于用户正确、合理地应用各种安全技术。

二、网络的协议层次。

国际标准化组织建立了一个通信系统的标准化框架，称为开放系统互联（OSI）参考模型。OSI体系结构将通信过程定义为七个层面的组合，每层均有其自身的以及与其他层相关的特定功能。每一层均覆盖下一层的处理过程，并有效地将其与高层功能隔离。通过这种方

法，每层都提供一组必要的功能，并为其上的一层提供一组服务。

各层之间的隔离使得当给定的某层做了改动后，只要其支持的服务保持不变。模型的其他层就不受影响。这种分层结构的主要好处之一是允许用户混合使用符合OSI模型的通信产品，并剪裁其通信系统以满足特定的网络需求。

OSI参考模型如下图：

物理层(Physical Layer)物理层的任务就是为它的上一层提供一个物理连接，以及它们的机械、电气、功能和过程特性。如规定使用电缆和接头的类型，传送信号的电压等。在这一层，数据还没有被组织，仅作为原始的位流或电气电压处理，单位是比特。

数据链路层(Data Link Layer)

数据链路层负责在两个相邻结点间的线路上，无差错的传送以帧为单位的数据。每一帧包括一定数量的数据和一些必要的控制信息。和物理层相似，数据链路层要负责建立、维持和释放数据链路的连接。在传送数据时，如果接收点检测到所传数据中有差错，就要通知发方重发这一帧。

网络层(Network Layer)

在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路，也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换结点，确保数据及时传送。网络层将数据链路层提供的帧组成数据包，包中封装有网络层包头，其中含有逻辑地址信息— —源站点和目的站点地址的网络地址。

传输层(Transport Layer)

该层的任务时根据通信子网的特性最佳的利用网络资源，并以可靠和经济的方式，为两个端系统（也就是源站和目的站）的会话层之间，提供建立、维护和取消传输连接的功能，负责可靠地传输数据。在这一层，信息的传送单位是报文。

会话层(Session Layer)

这一层也可以称为会晤层或对话层，在会话层及以上的高层次中，数据传送的单位不再另外命名，统称为报文。会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。

表示层(Presentation Layer)

这一层主要解决拥护信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象语法，转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。

应用层(Application Layer)

应用层确定进程之间通信的性质以满足用户需要以及提供网络与用户应用软件之间的接口服务。

以上各层中，网络层最流行的协议是网际协议（IP），其报文格式如下：

流行的传输层协议是传输控制协议（TCP），用户数据报协议（UDP），其中TCP的报文格式如下：

之所以介绍以上两种报文格式，是因为这两种报文是黑客经常攻击的对象，所以也是网络安全非常重要的环节。

三、由网络的开放系统互联（OSI）参考模型层次看网络的安全技术。

物理层的安全技术主要可以从以下几个方面来考虑。

．供配电系统：数据中心的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断，做到无单点失效和平稳可靠，这就要求两路以上的市电供应，Ｎ＋１冗余的自备发电机系统，还有能保证足够时间供电的ＵＰＳ系统。

．防雷接地系统：为了保证数据中心机房的各种设备安全，要求机房设有四种接地形式，即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。

．消防报警及自动灭火系统：为实现火灾自动灭火功能，在数据中心的各个地方，还应该设计火灾自动监测及报警系统，以便能自动监测火灾的发生，并且启动自动灭火系统和报警系统。

．门禁系统：对于大型数据中心，安全易用的门禁系统可以保证数据中心的物理安全，同时也可提高管理的效率，其中需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合。

．保安监控系统：数据中心的保安监控包括几个系统的监控：闭路监视系统、通道报警系统和人工监控系统。

数据链路层相关的安全技术的一个例子是基于MAC地址的VLAN。

人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了LAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。基于MAC地址的VLAN，要求交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时，根据需要将其划归至某一个VLAN。不论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需对网络地址重新配置。

网络及传输层相关的安全技术的一个例子是包过滤技术。

包过滤技术：通常安装在路由器上（网络层），对数据进行选择，它以IP包信息为基础，对IP源地址，IP目标地址、封装协议（TCP/UDP/ICMP/IPtunnel）、端口号等进行筛选，在OSI协议的网络层进行。最常用的防火墙技术之一就是包过滤技术。

会话层相关的安全技术是信息确认技术。

安全系统的建立都依赖于系统用户之间存在的各种信任关系，目前在安全解决方案中，多采用二种确认方式。一种是第三方信任，另一种是直接信任，以防止信息被非法窃取或伪造，可靠的信息确认技术应具有：具有合法身份的用户可以校验所接收的信息是否真实可靠，并且十分清楚发送方是谁；发送信息者必须是合法身份用户，任何人不可能冒名顶替伪造信息；出现异常时，可由认证系统进行处理。目前，信息确认技术已较成熟，如信息认证，用户认证和密钥认证，数字签名等，为信息安全提供了可靠保障。

表示层相关的安全技术是加密技术。

网络安全中，加密技术种类繁多，它是保障信息安全最关键和最基本的技术手段和理论基础，常用的加密技术分为软件加密和硬件加密。1999年国家颁布了《商用密码使用条例》，信息加密的方法有对称密钥加密和非对称加密，二种方法各有其之所长。

* 对称密钥加密，在此方法中加密和解密使用同样的密钥，目前广泛采用的密钥加密标准是DES算法，DES的优势在于加密解密速度快、算法易实现、安全性好，缺点是密钥长度短、密码空间小，“穷举”方式进攻的代价小，它们机制就是采取初始置换、密钥生成、乘积变换、逆初始置换等几个环节。

* 非对称密钥加密，在此方法中加密和解密使用不同密钥，即公开密钥和秘密密钥，公开密钥用于机密性信息的加密；秘密密钥用于对加密信息的解密。一般采用RSA算法，优点在于易实现密钥管理，便于数字签名。不足是算法较复杂，加密解密花费时间长。

应用层相关的安全技术是代理服务技术。

代理服务技术：通常由二部分构成，服务端程序和客户端程序、客户端程序与中间节点（Proxy Server）连接，中间节点与要访问的外部服务器实际连接，与包过滤防火墙不同之处在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。

由于代理服务程序工作在应用层，对外屏蔽了网络层的IP地址，所以以代理服务技术对付黑客攻击是非常行之有效的。

以上由网络协议的层次讨论了当前的主要安全技术，主要目的是方便大家在网络应用中

综合考虑安全方案，正确、合理、高效地应用各种安全技术。

第三篇：光纤通信技术期末复习题

光纤通信技术期末复习题

一.选择题。

1.光纤包层需要满足的基本要求是（A）A.为了产生全反射，包层折射率必须必纤芯低 B.包层不能透光，防止光的泄露 C.必须是塑料，使得光纤柔软 D.包层折射率必须必空气地 2.在激光器中，光的放大是通过（A）

A.粒子数反转分布的激活物质来实现的 B.光学谐振腔来实现的 D.泵浦光源来实现的 D.外加直流来实现的 3.STM-64信号的码速率为（D）

A.155.520Mb/s B.622.080Mb/s C.2488.320Mb/s D.9953.280Mb/s 4.以下哪个是掺铒光纤放大器的功率源（C）

A.通过光纤的电流 B.EDFA不需要功率源 C.在980nm或1480nm发光的泵浦激光器 D.从光信号中提取的功率 5.数字光接收机的灵敏度Pr=100微瓦，则为（A）dbm A.-10 B.10 C.-20 D.-30 6.为了使雪崩光电二极管能正常工作，需在其两端加上（B）A.高正向电压 B.高反向电压 C.低反向电压 D.低正向电压 7.光纤的数值孔径与（C）有关。

A.纤芯的直径 B.包层的直径 C.相对折射率指数差 D.光的工作波长 8.光缆的规格代号中用两位数字来表示光纤的损耗常数，比如02表示光纤的损耗系数不大于（B）

A.2dB/Km B.0.2dB/Km C.20dB/Km D.无具体含义 9.光缆的规格代号中用一位数字来表示光纤的适用波长，比如3表示的波长是（C）A.0.85um B.1.31um C.1.55um D.1.51um 10.PIN光电二极管，因雪崩倍加作用，因此其雪崩倍加因子为（C）A.G＞1 B.G＜1 C.G=1 D.=0 11.光接收机中将升余弦频谱脉冲信号恢复为“0”和“1”码信号的模块为（B）A.均衡器 B.判决器和时钟恢复电路 C.放大器 D.光电检测器 12.EDFA中将光信号和泵浦光混合起来送入掺铒光纤中的器件是（B）A.光滤波器 B.光耦合器 C.光环形器 D.光隔离器 13.STM-1的帧结构中，AU指针区域的位置是在（D）

A.第4列，1～3行 B.第4列，1～9行 C.1～3列，第4行 C.1～9列，第4行 14掺铒光纤放大器的工作波长所处范围是（D）

A.0.85um～0.87um B.1.31um～1.35um C.1.45um～1.55um D.1.53um～1.56um 15.光缆的规格代号中用字母来表示附加导线的材料，如铜导线则附加字母是（D）A.Cu B.L C.T D.没有字母

16.光时域反射仪（OTDR）是利用光在光纤中传输时的瑞利散射所产生的背向散射而制成的精密仪表，它不可以用作（D）的测量。

A.光线的长度 B.光纤的传输衰减 C.故障定位 D.光线的色散

第1页（共 5 页）

系数

17.下列哪一个不是SDH网的特点（D）

A.具有全世界统一的接口标准 B.大量运用软件运系统配置的管理 C.复用映射结构灵活D.指针调整技术降低了设备复杂性 18.光隔离器的作用是（B）

A.调节光信号的功率大小 B.保证光信号只能正向传输

C.分离同向传输的各路光信号D.将光纤中传输的监控信号隔离开 19.注入光纤的光功率为10mW，经过10Km的传输过后输出的光功率为1mW，则这段光线的损耗系数为（B）

A.0.1Db/Km B.1Db/Km C.10Db/Km D.100Db/Km 20.光纤数字通信系统中不能传输HDB3码的原因是（A）

A.光源不能产生负信号光 B.将出现长连“1”或长连“0” C.编码器它复杂 D.码率冗余度太大二.填空题。

1.1966年，在英国标准电信实验室工作的华裔科学家（高锟）首先提出用石英玻璃纤维作为光纤通信的媒质，为现代光纤通信奠定了理论基础。

2.光纤传输是以（激光光波）作为信号载体，以（光纤）作为传输媒质的传输方式。

3.光纤通常由（纤芯）、（包层）、（涂覆层）三部分组成的。

4.据光纤横截面上折射率分布的不同将光纤分类为（阶跃折射率型）和（渐变折射率型）。

5.光纤色散主要包括材料色散、（模式色散）、（波导色散）和偏振模色散。6.光纤通信的最低损耗波长是（1.55μm），零色散波长是（1.31μm）。7.数值孔径表示光纤的集光能力，其公式为（）。8.阶跃光纤的相对折射率差公式为（）。9.光纤通信中常用的低损耗窗口为（850nm）、1310nm、（1550nm）。10.V是光纤中的重要结构参量，称为归一化频率，其定义式为（）。

11.（HE11）模式是任何光纤中都能存在、永不截止的模式，称为基模或主模。

12.阶跃折射率光纤单模传输条件为（V<2.405）。

13.电子在两能级之间跃迁主要有3个过程，分别为（自发发射）、（受激辐射）和受激吸收。

14.光纤通信中最常用的光源为（半导体激光器）和（发光二极管）。15.光调制可分为（直接调制）和（间接调制）两大类。

16.光纤通信中最常用的光电检测器是（光电二极管）和（雪崩光电二极管）。

17.掺铒光纤放大器EDFA采用的泵浦源工作波长为1480nm和（980nm）。

18.STM-1是SDH中的基本同步传输模块，其标准速率为（155.520Mbit/s）。

19.单信道光纤通信系统功率预算和色散预算的设计方法有两种：统计设计法和（最坏值设计法）。

20.光纤通信是以（光波）为载频，以（光纤）为传输介质的通信方式。

第2页（共 5 页）

21.光纤单模传输时，其归一化频率应小于等于（2.405）。22.数值孔径表示光纤的集光能力，其公式为（）。

23.所谓模式是指能在光纤中独立存在的一种（电磁场）分布形式。24.传统的O/E/O式再生器具有3R功能，即在（再整形）、（再定时）和再生功能。

25.按射线理论，阶跃型光纤中光射线主要有子午光纤和（斜射线）两类。26.光纤中的传输信号由于受到光线的损耗和（色散）的影响，使得信号的幅度受到衰减，波形出现失真。

27.半导体材料的能级结构不是分立的单值能级，而是有一定宽度的带状结构，称为（能带）。

28.半导体P-N结上外加负偏压产生的电场方向与（内电场）方向一致，这有利于耗尽层的加宽。

29.采用渐变型光纤可以减小光纤中的（模式）色散。

30.SDH网中，为了便于网络的运行、管理等，在SDH帧结构中设置了（开销比特（或管理比特））。

31.SDH的STM-N是块状帧结构，有9行，（270×N）列。

32.处于粒子数反转分布状态的工作物质称为（激活物质（或增益物质））。33.EDFA的泵浦结构方式有：a、（同向泵浦）结构；b、（反向泵浦）结构；c、双向泵浦结构。

34.（灵敏度）和动态范围是光接收机的恋歌重要特性指标。35.随着激光器温度的上升，其输出光功率会（减少）。

36.目前，通信用光纤的纤芯和包层绝大多数是由（石英）材料构成的。37.在阶跃型（弱导波）光纤中，导波的基模为（LP01）。38.根据光纤的传输模式数量分类，光纤可分为（多模光纤）和（单模光纤）。39.LD是一种阈值器件，它通过（受激）发射发光，而LED通过（自发）发射发光。

40.光纤色散组要包括（模式色散）、（波导色散）、材料色散和偏振模色散，41.常见的光线路码型大体可以归纳为3类：扰码二进制、（字变换码）和插入型码。

42.在一根光纤中同时传播多个不同波长的光载波信号称为（光波分复用）。

43.允许单模传输的最小波长称为（截止波长）。

44.在1.3um波段进行光放大通常采用掺（镨）光纤放大器，1.55um波段通常采用掺（铒）光纤放大器。

45.导模的传输常数的取值范围为（）。

46.量子效率是用来衡量激光器的转换效率的高低，其主要分为内量子效率和（外量子效率和外微分量子效率）。47.典型的光电瞬态响应有：光电延迟、（张弛振荡）和（自脉动）。48.掺铒光纤放大器EDFA采用的泵浦源工作波长为1480nm和（980nm）.49.自愈环结构可以分为两大类：（通道倒换环）和（复用段倒换环）。50.光缆，是以一根或多根光纤或光纤束制成符合光学、机械和环境特性的结构，它由（加强芯）、护层和（光纤）组成。

51.光衰减器按其衰减量的变化方式不同分（固定）衰减器和（可变）

第3页（共 5 页）

衰减器两种。

52.光电检测器的噪声主要包括（暗电流）、（量子）、热噪声和放大器噪声等。

53.光与物质作用时有受激吸收、（自发辐射）和（受激辐射）三个物理过程。

54.半导体激光器工作时温度会上升，这时会导致阈值电流（升高），输出光功率会（减小）。55.WDM系统可以分为集成式系统和（开放式系统）两大类，其中开放式系统要求终端具有标准的光波长和满足距离传输的光源。

56.对于SDH的复用映射单元中的容器，我过采用了三种分别是：（c-12）、C3和（c-4）。57.数字光纤传输系统的两种传输体制为（PDH）和（SDH）.58.光纤通信中最常用的光电检测器是（PIN光敏二极管）和（雪崩光敏二极管）。三.名词解释。1.受激辐射

处于高能级的电子，在受到外来能量为hf=（E2－E1）的光子激发的

情况下，跃迁到低能级，从而发射出一个和激发光子相同的光子的过程称为受激幅射。

2.网络自愈

指在网络发生故障时，无需人为干预，网络自动的在极短的时间内，使业务自动从故障中恢复传输

3.直接调制和间接调制

将激光器LD或发光二极管LED的驱动电流用叠加在偏置电流上的电信号进行调制，由此实现对LD或LED输出的光强度进行调制的方式

称为直接调制。使LD或LED在一定的驱动电流下输出固定强度的光，再通过光调制器使输出光的信息随电信号而变化，将这种调制方式成为间接调制。

4.阈值电流

当LD注入电流达到将产生激光时的电流值。

5.雪崩光电二极管

是利用PN结在高反向电压下产生雪崩效应来工作的一种二极管，利用光载流子在强大电场内的定向运动产生雪崩效应，以获得光电流的增益的一种具有内增益的二极管

第4页（共 5 页）

6.单模光纤

纤芯较细（一般为9或10微米的），只能传输单个模式光的光纤

四.简述题。

1按照纤芯剖面折射率分布不同，光纤可分为哪几种形式？

阶跃折射率光纤和渐变型多模光纤。

阶跃折射率光纤中，纤芯和包层折射率沿光纤半径方向分布都是均匀的，而在纤芯和包层的交界面上，折射率呈阶梯形突变。渐变型多模光纤中，纤芯的折射率不是均匀常数，而是随纤芯半径方向坐标增加而逐渐减少，一直变到等于包层折射率的值。

2.简述SDH网络中常用的组网结构，并画出结构图。

3.画出终端复用器、分/插复用器、数字交叉连接设备和再生中继器。

4.画出SDH帧结构图。

5.光纤通信发展至今经历了哪些里程碑？

（1）20世纪60年代初期，光纤通信发展史上迎来了第一个里程碑，世界上第一台相干振荡光源红白事激光器问世，给光通信带来了新的希望；（2）1966年华裔科学家C.K.Kao博士和G.A.Hockham，对光纤传输的前景发表了具有重大历史意义的论文，1970年，美国康宁玻璃公司的Kapron博士等人研制出传输损耗仅为20dB/km的光纤，这是光纤通信发展历史上的一个里程碑。（3）1985年，南安普顿大学的Mears等人制成了掺铒光纤放大器（EDFA）（4）1993年K.Hill等人提出了使用相位掩膜法制造光纤光栅，使得全光器件的研制和集成成为可能，光纤光栅、全光纤光子器件、平面波导器件及其集成的出现是光纤通信史上的又一个里程碑。

第5页（共 5 页）

6.应用于光纤通信系统的光源应该具备什么条件？

光纤通信系统均采用半导体发光二极管（LED）和激光二极管（LD）作为光源。这类光源具有尺寸小、耦合效率高、发射波长在光纤中低损耗传输，响应速度快、波长和尺寸与光纤适配，并且可在高速条件下直接调制等优点

7.由P-I曲线知，半导体激光器是阈值型器件，简述激光器随着注入电流的不同而经历的几个典型阶段。

半导体激光器是一个阈值器件，它的工作状态随注入电流的不同而不同。当注入电流较小时，有源区里不能实现粒子数反转，自发发射占主导地位，激光器发射普通的荧光，其工作状态类似于一般的发光二极管。随着注入电流的加大，有源区里实现了粒子数反转，受激辐射占主导地位，但当注入电流小于阈值电流时，谐振腔里的增益还不足以克服损耗，不能在腔内建立起一定模式的振荡，激光器发射的仅仅是较强的荧光，这种状态称之为“超辐射”状态。只有注入电流达到阈值以后，才能发射谱线尖锐。模式明确的激光。

8.光纤中产生损耗的主要因素是什么？光纤中有哪些损耗？

由于吸收和散射的原因使光纤发生损耗。光纤中发生损耗的原因，有来自光纤本身的损耗，也有光纤与光源的耦合损耗以及光纤之间的连接损耗，如熔接损耗，弯曲损耗，端面损耗，光学损耗等。光纤本身的损耗有吸收损耗（本征吸收、杂质吸收）和散射损耗（瑞利散射、结构缺陷散射）。本征损耗是光纤基础材料固有的吸收，并不是杂质或者缺陷所引起的。本征损耗特点是确定了某一种材料吸收损耗的下限，与波长有关。

9.简述雪崩光电二极管的工作原理。

当在光电二极管上加反向电压，使其耗尽区内的电场强度大于105V/cm时，光生载流子在强电场作用下高速通过耗尽区向两级移动。在移动过程中，由于碰撞游离而产生更多的新载流子，形成雪崩现象，从而使流过二极管的光电流成百倍地增加。利用光生载流子雪崩效应工作的PN结光电二极管就是APD。

第6页（共 5 页）

五.计算题。

已知阶跃折射率光纤中n1=1.52，n2=1.49。（开方、反三角函数计算困难时，必须列出最后的表达式。）1.光纤浸没在水中（n0=1.33），求光从水中入射到光纤输入端面的光纤最大接收角；

2.光纤放置在空气中，求数值孔径。

第7页（共 5 页）

第四篇：材料现代测试技术期末复习题

1.X射线管主要由，和

2.X射线透过物质时产生的物理效应有：

3.德拜照相法中的底片安装方法有：正装，反装，和偏装三种。

4.X射线物相分析方法分：定性分析和定量分析两种。

5.透射电子显微镜的分辨率主要受衍射效应和像差两因素影响。

7.电子探针包括波谱仪和能谱仪成分分析仪器。

8.扫描电子显微镜常用的信号是二次电子和背散射电子。

9.人眼的分辨率本领大约是：0.2mm

10.扫描电镜用于成像的信号：二次电子和背散射电子，原理：光栅扫描，逐点成像。

11.TEM的功能是：物相分析和组织分析（物相分析利用电子和晶体物质作用可发生衍射的特点；组织分析；利用电子波遵循阿贝成像原理）

12.DTA：定性分析（或半定量分析），测温范围大。DSC：定量分析，测温范围常在800℃以下。

13.放大倍数（扫描电镜）：M=b/B（b：显像管电子束在荧光屏上的扫描幅度，通常固定不变；B：入射电子束在样品上的扫描幅度，通常以改变B来改变M）

14.X射线衍射分析方法中，应用最广泛、最普通的是衍射仪法。

15.透射电镜室应用透射电子来成像。

16.TEM无机非金属材料大多数以多相、多组分的非导电材料，直到60年代初产生了离子轰击减薄法后，才使无机非金属材料的薄膜制备成为可能。

17.适合透射电镜观察的试样厚度小于200nm的对电子束“透明”的试样。

18.扫描电镜是用不同信号成像时分辨率不同，分辨率最高的是二次电子成像。

19.在电子与固体物质相互作用中，从试样表面射出的电子有背散射电子，二次电子，俄歇电子。

20.影响红外光谱图中谱带位置的因素有诱导效应，键应力，氢键，物质状态。

1.电离能：在激发光源作用下，原子获得足够的能量就发生电离，电离所必须的能量称为电离能。

2.原子光谱分析技术：是利用原子在气体状态下发射或吸收特种辐射所产生的光谱进行元素定性和定量分析的一种分析技术。

3.X射线光电效应：当X射线的波长足够短时，其光子的能量就很大，以至能把原子中处于某一能级上的电子打出来，而它本身则被吸收，它的能量就传递给电子了，使之成为具有一定能量的光电子，并使原子处于高能的激发态。这种过程称为光电吸收或光电效应。

4.5.衍射角：入射线与衍射线的夹角。背散射电子：电子射入试样后，受到原子的弹性和非弹性散射，有一部分电子的总散射角大于90℃，重新从试样表面逸出，成为背散射电子。

6.7.磁透镜：产生旋转对称磁场的线圈装置称为磁透镜。俄歇电子：当外层电子跃入内层空位时，其多余的能量也可以不以X射线的形式放出，而是传递给其他外层电子，使之脱离原子，这样的电子称为俄歇电子。

8.热重法：把试样置于程序控制的加热或冷却环境中，测定试样的质量变化对温度 1

活时间作图的方法。

9.相干散射：X 射线光子与原子内的紧束缚电子相碰撞时，光子的能量可以认为不受损失，而只改变方向。因此这种散射的波长与入射线相同，并且有一定的位相关系，它们可以相互干涉，形成衍射图样，称为相干散射。

10.质厚衬度：对于无定形或非晶体试样，电子图像的衬度是由于试样各部分的密度ρ（或原子序数Z）和厚度t不同形成的，这种衬度称为质量厚度（Pt）衬度，简称质厚衬度。

11.景深：指透镜高低不平的样品各部位能同时聚焦成像的一个能力范围，这个范围用一段距离来表示。

12.复型法：用对电子束透明的薄膜把材料表面或断口的形貌复制下来的方法叫复型法，次薄膜即为复型。

13.差热分析：在程序控制温度下测定物质和参比物之间的温度差随时间或温度变化的一种分析技术。

14.质谱分析：是通过对样品离子的质量和强度的测定来进行成分和结构分析的一种方法。

15.分辨率：两个埃利斑中心间距等于埃利斑半径Ro时，平面上相应的两物点的间距△ro为透镜能分辨最小间距。

1.X射线衍射仪法中对粉末多晶样品的要求？

要求粉末粒度要大小适中，在1um-5um之间，粉末不能有应力和织构，样品有一个最佳厚度。

2.透射电子显微镜的主要组成部分，功能，应用？

组成部分：电子光学系统，真空系统和电源与控制系统。功能：观察材料内部组织形貌和进行电子衍射以了解选区的晶体结构。应用：可以进行材料组织形貌观察，研究材料的相变的规律，探索晶体缺陷对材料性能的影响，分析材料失效原因，剖析材料成分，组成及经过的加工工艺等。

3.TEM与 SEM的原理，结构，用途不同？

TEM透射电镜:原理：阿贝成像原理，平行入射波受到有周期性特征物体的散射作用在物镜的后焦面上形成衍射谱，各级衍射波通过干涉重新在像平面上形成反映物的特征像。结构：由电子光学系统，真空系统及电源与控制系统组成。用途：微区物相分析。

SEM扫描电镜：原理：即光栅扫描，逐点成像，电子束受到扫描系统的控制在样品表面上做逐行扫描。结构：由电子光学系统，扫描系统，信号检测盒放大系统，图像显示与记录系统，真空系统和电源系统组成。用途：物体表面形貌分析。

6.TEM式样的制备方法？

1块体材料制备薄膜试样（离子减薄，电解双喷减薄）利用超薄砂轮片，金属丝锯等方法从试样切取0.7mm左右的薄片，利用机械研磨，化学抛光等方法将薄片试样减薄至100-150um，离子减薄仪或双喷装置对薄片试样进行最后减薄直至试样穿孔。

2粉末试样，通常将粉末颗粒放入蒸馏水或其他合适的溶液中，形成悬浮液，最好将悬浮液放在超声波搅拌器中搅拌，使得颗粒尽可能的分散，然后用滴管将悬浮液滴在支持膜上，待其干燥后再蒸上一局碳膜，成为观察用的粉末样品。

3复型法

4超薄切片法

7.DSC与DTA测量原理不同点？

DSC是在控制温度变化情况下，以温度或时间为横坐标，以样品与参比物温差为零所需供给的热量为纵坐标所得的扫描曲线，为差示扫描量热曲线或DSC曲线，DAT是测量△T-T的关系，而DSC是保持△T=0，测定△H-T的关系。两者最大的差别是DTA只能定性或半定量，而DSC的结果可用于定量分析。

8.原子发射与原子吸收原理？

原子发射：元素受到热或电击发时，由基态跃迁到激发态，在返回基态时，发射出特征光谱。原子吸收：基态原子吸收其共振辐射，外层电子由基态跃迁到激发态而产生原子吸收光谱。

9.差热分析DTA的基本原理？

将样品和参比物同时升温，由于样品在加热或冷却过程中产生的热变化而导致样品盒参比物间产生温度差，这个温度差通过差热电偶测出，温差的大小主要决定于样品本身的热特性，通过信号放大系统和记录仪记下的差热曲线，便能如实的反映出样品本身的特性，通过对差热曲线的分析，可以实现物相鉴定的目的。

10.扫描电镜图像的忖度？

1形貌忖度——由于样品表面形貌差别而形成的忖度（二次电子）。

2成分忖度——由于样品表面化学成分差别而形成的忖度（背散射电子像）。

3电压忖度——样品表面电位差别而形成的忖度。

11.影响差热曲线的因素？

1样品方面：热容量和热导率变化，样品的用量，样品的颗粒度和装填情况，样品的结晶度和纯度，参照物。2仪器方面3实验条件：升温速率，气氛，压力。

12.光源：

1X射线衍射仪——X射线。

2光学显微镜——电子束。

3透射电子显微镜——高速电子束。

4扫描电子显微镜——高速电子束。

13.综合热分析的优点？

利用多种热分析方法联用形成的综合热分析，可以获取更多的热分析信息，同时，多种热分析技术集中在一个仪器上，实验条件相同，使用方便，实验误差小，可对物理或化学进行简单的判断。

14.原子吸收光谱仪由光源，原子化系统，单色器，检测器等部分组成（重点：光源的原理，雾化器的作用及原理）

光源的原理：光源的作用是发射被测元素的共振辐射，对光源的要求：锐线光源，辐射强度大，稳定性高，背景小等。

雾化器的作用及原理：使气溶胶的雾粒更小，更均匀并与燃烧和助燃气混合均匀后进入燃烧器。

15.分析紫外——可见吸收光谱，可以得到的结论？

1同一种物质对不同波长光的吸光度不同，吸光度最大处对应的波长称为最大吸收波长。2不同浓度的同种物质，吸收曲线形状相似，而最大吸收波长不变，而对于不同物质，它们的吸收曲线形状和最大吸收波长则不同。

3吸收曲线可以提供物质的结构信息，并作为物质定性分析的依据之一。

4不同浓度的同种物质，在某一定波长下吸光度A有差异，在最大吸收波长处吸光度A的差异最大，此特性可作为物质定量分析的依据。

5在最大吸收波长处吸光度随浓度变化的幅度最大，所以测定灵敏度最高，吸收曲线是定量分析中选择入射光波长的重要依据。

16.红外吸收光谱产生的条件？

1辐射应具有刚好能满足物质跃迁时所需的能量。2辐射与物质之间有相互作用。

17.关于对峰位，峰数与峰强的理解？

峰位:化学键的力常数K越大，原子折合质量越小，键的振动频率越大，吸收峰将出现在高频率区(短波长区），反之出现在低频率区（高波长区)。

峰数：峰数与分子自由度有关，无瞬间偶极矩变化时，无红外吸收。

峰强：瞬间偶极矩变化大，吸收峰强，键两端原子电负性相差越大，吸收峰越强，由基态跃迁到第一激发态，产生一个强的吸收峰位基频峰，由基态直接跃迁到第二激发态，产生一个弱的吸收峰称为倍频峰。

18.色谱分析技术？

一类相关分离方法的总称，利用不同组分在两相间物化性质的差别，通过两相不断的相对运动，是使各组分以不同的速率移动，从而达到将各组分分离检测的目的的技术。

19.差热分析中，参比物的要求？常用什么物质作为参比物？

要求：1在整个测温范围内无热效应2比热和导热性能与试样接近3粒度与试样相近（50-150um）

物质：α-Al2O3（1720K煅烧过的高纯Al2O3粉）。

20.二次电子是怎样产生的？主要特点？

产生：单电子激发过程中被入射电子轰击出的试样原子核外电子，二次电子像主要反映试样表面的形貌特征。特点：1二次电子的能量小于50ev，主要反映试样表面10nm层内的状态，成像分辨率高。

2二次电子发射系数与入射束的能量有关，在入射束能量大于一定值后，随入射束能量的增加，二次电子的发射系数减小。

3二次电子发射系数和试样表面倾角q有关。

4二次电子在试样上方的角分布，在电子束垂直试样表面入射时，服从余弦定律。

21.提高显微镜的分辨率的方法?

选择更短的波长，采用折射率n较高的介质，增大显微镜的孔径角α。

第五篇：网络安全技术期末论文

计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

浅谈网络安全技术

姓名:陆麒班级：D计算机081

【摘要】:网络安全保护是一个过程。就像战争一样,这个阶段漫长而枯燥,其间还要担惊受怕。作为信息时代的主角，信息已经成为人类最宝贵的资源之一，经济的发展、社会的进步、国家的安全都越来越依赖于对信息资源的占有和保护。

防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流量，以保护内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。文献主要论述了防火墙安全技术发展过程、分类及其主要技术特征,通过图例分析了各种防火墙的工作原理；并对各类防火墙进行了优缺性的比较，最后介绍了防火墙未来的发展趋势。

【关键词】:防火墙；包过滤技术；复合型；状态检测

network security technology Abstract : Network security is a process.Like wars, long and boring at this stage, during which even fear.As the protagonist of the information age, information has become one of mankind's most precious resources, economic development, social progress, national security is increasingly dependent on the possession of information resources and protection.And as the representative of the Internet has become the bearer network, the major media to disseminate information.Firewall is the present network safe field equipment used extensively, its major purpose is to restrict illegal rate of flow in order to protect internal son net.From disposition location, firewall is often located in network export , is the only passageway between internal net and external net , therefore raises the performance of firewall , avoid it to become bottleneck , become firewall product whether a successful key problem.This literature mainly discusses the firewall security technology development, classification and main technical characteristics;through the illustrations analyzes various firewall principle of work;and makes a comparison of the advantages and disadvantages of various types of firewall.Finally, introduces the future development trend of the firewall.Firewall；Packct Filtering；Inter-disciplinary；Stateful Inspection Key words：计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

引言

近年来，随着网络的迅速发展，网络安全已经成为人们日益关心的问题。当前，网络面临的安全威胁大体上分为两种：一种是对网络数据的威胁；另一种是对网络设备的威胁。其中，来自外部或内部人员的恶意攻击和入侵是当前因特网所面临的最大威胁，是电子商务、政府上网工程等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。目前解决网络安全问题的最有效办法是采用防火墙。因特网的迅速发展为人们提供了发布信息和检索信息的场所，但也带来了信息被污染或被破坏的危险，人们为了保护其数据和资源安全，发明了防火墙。防火墙从本质上说是一种保护装置，它主要用于保护数据、资源和用户的声誉。从部署位置来看，防火墙往往又位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。

1、概述

随着INTERNET的发展, 网络已经走进千家万户。因而, 网络安全成为了人们最为关注的问题。而且由于网络的开放性, 网络安全防护的方式发生了根本变化, 使得安全问题更为突出。在此情形下, 防火墙技术应运而生。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型, 但总体来讲可分为以下几类。第一代防火墙, 又称包过滤防火墙, 主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过, 对其进行转发, 但这种防火墙很难抵御地址欺骗等攻击, 而且审计功能很差。第二代防火墙, 也称代理服务器,它用来提供网络服务级的控制, 起到外部网络向被保护的内部网络申请服务时中间转接作用, 这种方法可以有效地防止对内部网络的直接攻击, 安全性较高。第三代防火墙有效地提高了防火墙的安全性, 称为状态监控功能防火墙, 它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展, 新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴, 已经演变成一个全方位的安全技术集成系统, 我们称之为第四代防火墙, 它可以抵御目前常见的网络攻击手段, 如地址欺骗、特洛伊木马攻击、玩蠕虫、口令探寻攻击、邮件攻击等等。第五代防火墙，主要指的是复合型防火墙，指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。

2、防火墙的定义

“防火墙” 这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙, 用来隔离不同的公司或房间, 尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而, 多数防火墙里都有一个重要的门, 允许人们进人或离开大楼。因此, 虽然防火墙保护了人们的安全, 但这个门在提供增强安全性的同时允许必要的访问。计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

在计算机网络中, 一个网络防火墙扮演着防备潜的作用。在简单来说, 今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙, 需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

3、防火墙技术

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。

4、防火墙工作原理

4.1、包过滤防火墙

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

4.2、应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

4.3、状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

4.4、复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用网4大功能模块。以防火墙功能为基础平台，以其他的安全模块为多层次应用环境，构筑了一套完整的立体的网络安全解决方案。

5、防火墙的优缺性

5.1、反防火墙的优点

（1）防火墙能强化安全策略。

（2）防火墙能有效地记录Internet上的活动。

（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

5.2、防火墙的脆弱性

防火墙只能提供网络的安全性，不能保证网络的绝对安全，它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN 内部的攻击，若是内部的人和外部的人联合起来，即使防火墙再强，也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展，还有一些破解的方法也使得防火墙造成一定隐患。计算机工程学院10-11-2《网络安全原理与技术》期末课程考核论文

6、防火墙的未来发展趋势

未来的防火墙的发展趋势是向高速、多功能化、更安全的方向发展。

目前防火墙一个很大的局限性是速度不够。要实现高速防火墙, 算法是一个关键, 因为网络处理器中集成了很多硬件协处理单元, 因此比较容易实现高速, 对于采用纯CPU的防火墙, 就必须有算法支撑, 例如ACL算法。

多功能也是防火墙的发展方向之一, 鉴于目前路由器和防火器价格都比较高, 组网环境也越来越复杂, 一般用户总希望防火墙可以支持更多的功能, 满足组网和节省投资的需要。

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展, 防火墙会更多地参与应用层分析, 为应用提供更安全的保障。

结论

计算机的诞生为人类的生产和生活带来了极大的便利和乐趣,计算机技术在各行业的广泛运用已不容忽视。然后伴随着科技发展的同时,计算机病毒也慢慢的走进人们的视野,给计算机系统的安全和人民的生产和生活安全带来了巨大的潜在危害,并呈现了愈演愈烈的趋势,如何趋利避害,发挥计算机技术的最佳作用, 避免风险,从而确保计算机网络的安全和畅通，是我们要解决的主要问题。

参考文献:

[1] 步山岳、张有东，计算机安全技术，高等教育出版社，2008年10月 [2] 谢希仁，计算机网络（第五版），电子工业出版社，2008年1月 [3] 冯登国，网络安全原理与技术，科技出版社，2007年9月 [4] 计算机网络安全，戴红、王海泉、黄坚编著，2004年，9月 [5] 王新宇.防火墙技术浅析[M].宁夏：宁夏机械出版社,2004 [6] 周启辉.防火墙的现状与发展趋势分析[J].涟钢科技与管理,2003,(06)