计算机网络实用技术附录-习题答案.doc

21 附录 各章习题参考答案附录 各章习题参考答案第1章 习题参考答案1. 答：参见表1-1。2. 答：TCP/IP是Internet的基本协议，是Transmission Control Protocol/Internet Protocol的简称。TCP/IP协议定义了网络通信的过程，定义了数据单元应该采用什么样的外观以及它应该包含什么信息，使得接收端的计算机能够正确地翻译对方发送来的信息，TCP/IP协议还定义了如何在支持TCP/IP协议的网络上处理、发送和接收数据。至于网络通信的具体实现，是由TCP/IP协议软件的软件组件来实现的。TCP/IP分层模型，主要由构筑在硬件层上的4个概念性层次构成，即应用层、传输层、网络层和数据链路层，(1) 应用层应用层处于分层模型的最高层，用户调用应用程序来访问TCP/IP互联网络，使用网络提供的各种服务。应用程序负责向传输层发送信息和处理从传输层接收到的信息。每个应用程序可以选择所需要的传输服务类型，例如，IE、NetScape只发送和接收HTTP的数据；WS-FTP只发送和接收FTP的数据等。SMTP、FTP、HTTP等协议属于应用层。(2) 传输层传输层的基本任务是提供应用程序之间的通信服务。传输层既要系统地管理数据信息的流动，又要提供可靠的传输服务以确保数据无差错的、无乱序的到达目的地。因此，传输层的协议软件需要进行协商：让接收方回送确认信息以及让发送方重发丢失的分组。传输层所要提供的这些功能由两个重要的协议传输控制协议TCP(Transmission Control Protocol)和用户数据报协议UDP(User Datagram Protocol)进行规范和定义。(3) 网络层网络层，又称IP层，主要用于处理机器之间的通信问题。Internet层接收传输层请求，传送具有目的地址信息的分组；选择下一个数据报发送的目标机；把数据报交给下面的链路层中相应的网络接口模块。Internet层还要处理接收到的数据，检验其正确性；决定是在本地处理接收到的数据，还是继续向前发送接收到的数据。如果数据的目标机处于本机所在的网络，该层软件就把数据报的报头剥去，然后选择适当的传输层协议软件进行处理。在IP层定义的协议有ICMP、ARP和RARP等，这些协议定义了网络通信中不可缺少的一系列服务标准。(4) 链路层链路层是TCP/IP协议的最底层，它定义了对网络硬件和传输媒体等进行访问的有关标准。它负责接收IP数据报和把数据报通过选定的网络发送出去。由于物理网络的复杂性和多样性，TCP/IP不可能提供一个在链路层上的完整的协议，它必须与TCP/IP之外的物理层的协议相结合，才能实现数据信息在底层网络的通信。例如，由TCP/IP定义的SLIP协议和PPP协议，就没有涉及到与其他计算机相连的网络物理连接。3. 答：参见1.3.5内容4. 答：为了确保Internet上的每一个网络地址始终是惟一的，国际网络信息中心组织(InterNIC)根据公司网络的大小给他们分配了一系列的IP地址。在Ipv4中，IP地址由4个八位域(叫作Octets)组成。Octets被点号分开代表在0到255范围内的十进制数字。用二进制格式时共有32位组成，为了方便记忆，用点号每八位一分割，称为点分十进制。因为TCP/IP网络是为大规模的互联网络设计的，所以不能用全部的32位来表示网络上主机的地址。事实上是用IP地址的一部分来标识网络，剩下的部分标识其中的网络设备。IP地址中用来标识设备所在网络的部分叫做网络ID，标识网络设备的部分叫做主机ID，这些ID包含在同一个IP地址之中。Internet组织定义了5种IP地址类，以容纳不同大小的网络。(1) A类地址用于主机数目非常多的超大型网络(2) B类地址用于中型到大型的网络(3) C类地址用于小型本地网络(4) D类地址用于多重广播组(5) E类是一个通常不用的实验性地址5. 答：1. 吞吐量吞吐量是指单位时间内介质能传输的数据量。吞吐量也被称为容量或传输速率，这种传输介质的物理性质决定了它的潜在吞吐量。吞吐量通常用每秒兆或Mbps进行度量。我们知道，介质的带宽限制了它的最大传输速率(吞吐量)，带宽越高，吞吐量就越高。而与传输介质相关的噪声和设备能进一步限制吞吐量。实际上，带宽这个术语常常与吞吐量交换使用。 2. 成本传输介质的成本主要包括介质的购买成本、安装成本、维护和升级成本等。不过介质的购买成本差别很大，如双绞线比光纤要便宜得多。安装成本需要考虑施工安装时的管道铺设、安装的难易程度。维护成本是指网络日常管理的成本中与介质有关的成本，例如，以前用同轴电缆中的50欧姆细缆建设的网络常常出现网络故障，因此维护成本很高。升级成本是指网络升级时部分或全部更换介质的成本。若你几年前选择的介质能与新的连接硬件兼容或能够满足新的带宽要求，那么升级成本就很小。3. 可扩展性可扩展性是指网络介质允许的三种物理规格：最大段长度、每段的最大节点数以及最大网络长度。一个信号在传输一定的距离之后，可能因信号衰减而无法被正确解释，因此需要使用中继器进行重发和放大信号。一个信号能够传输并仍能被正确解释的最大距离即为最大段长度。若超过这个长度，可能会发生数据损失。每段最大节点数也与衰减有关，对一个网络段每增加一个设备都将略微增加信号的衰减，故为了保证一个清晰的强信号，必须限制一个网络段中的节点数。另外，一个信号从它的发送到它的最后接收之间存在一个延迟，称为时延。当连接多个网络段时，将增加网络上的时延。每种类型的介质都标定一个最大的连接段数。4. 连接性连接性是指介质与网络设备的连接特性。网络设备可以是一个文件服务器、工作站、交换机或打印机。每种网络介质都对应一种特定类型的连接器。所使用的连接器的种类将影响网络安装和维护的成本、网络升级的难易度。5. 抗噪性正如前面提到的，噪声会导致数据信号变形，会影响数据传输。这里，噪声常指电磁干扰(EMI)和射频干扰(BR)。不同的介质受噪声的影响不同。通常可以远离强大的电磁源进行布线，以减少噪声的影响。如果环境仍然使网络易受影响，应选择一种抗噪性好的电线，如光缆。6. 答：(1) 转发方式(2) 延时(3) 管理功能(4) MAC地址数(5) 背板带宽(6) 交换机的协议功能(7) 端口(8) 光纤解决方案7. 答：路由器是一种用于连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使路由器之间能够相互“读懂”对方的数据，从而相连成一个更大的网络。路由器与交换机不同，它不是应用于同一网段的设备，而是应用于不同网段或不同网络之间的设备，属于网际设备。路由器之所以能在不同网络之间起到“翻译”的作用，是因为它不是一个纯硬件设备，而是具有相当丰富的路由协议的软、硬结构设备，例如RIP协议、OSPF协议、EIGRP和IPV6协议等。8. 答：1. 同轴电缆同轴电缆可分为粗缆和细缆两类，这种电缆在实际应用中很广，比如有线电视网，就是使用同轴电缆。不论是粗缆还是细缆，其中央都是一根铜线，外面包有绝缘层。同轴电缆由内部导体环绕绝缘层以及绝缘层外的金属屏蔽网和最外层的护套组成，这种结构的金属屏蔽网可防止中心导体向外辐射电磁场，也可用来防止外界电磁场干扰中心导体的信号。2. 双绞线非屏蔽双绞线电缆具有以下优点：a) 无屏蔽外套，直径小，节省所占用的空间。b) 重量轻、易弯曲、易安装。c) 将串扰减至最小或加以消除。d) 具有阻燃性。e) 具有独立性和灵活性，适用于结构化综合布线。3. 光缆吞吐量光缆可以以每秒1兆的速度可靠地传输数据，将来进一步改进后有可能超过这一限制。光缆惊人的吞吐量与光在玻璃纤维上传输的物理特性有关。与电脉冲通过铜线不同，光实际上不会遇到阻抗，因此能以比电脉冲更快的速度可靠传输。实际上，纯的玻璃纤维束每秒可接收高达1亿个激光脉冲。成本光缆是一种层昂贵的电缆。将光缆连接到每个台式机上的成本在目前几乎是负担不起的，因此，光缆一般仅用于长距离传翰或必须负担非常大量的通信业务的网络主干中。不仅光缆本身比金属电缆贵，而且它的网络接口卡和集线器的价格也比普通的网络接口卡和集线器贵。除此之外，光缆安装比双绞线电缆安装花费要多。连接性光缆有三种连接方式。首先可以使用许多不同类型的连接器进行连接。通过连接器连接要损失近20的光。第二种是用机械方法连接，将两根切割好的光纤放在一个套管中，然后钳起来。这种方法大约损失10的光。第三种方法是焊接，将两根光纤融合在一起。这种方法光的损失最小。抗噪性光缆不受外界噪声的影响。可扩展性由光缆组成的网络的网段长度根据所使用的光缆类型的不同而不同。对于多模光缆，网段长度应限制为2km；对单根光缆，网段长度为30km。9. 答：局域网(Local Area Network，简称LAN)是一种传输距离有限，传输速度较高，以共享网络资源为目的的网络系统。局域网一般应用在办公楼群和校园网中，一个局域网可以容纳几台至几千台计算机，还被广泛应用于工厂及企事业单位的个人计算机和工作站的组网方面。除了文件共享和打印机共享服务之外，局域网通常还包括与Internet有关的应用，例如Web页、Web浏览器、文件传输、网址、电子邮件及新闻组等。局域网区别于其他网络类型的特点主要体现如下：l 数据传输率高，一般在0.11000Mb/s。l 地理分布范围小，站点数目有限，为企业、单位、部门甚至家庭所拥有。其连线距离有限，一般为0.125km。l 数据误码率低，一般数据误码率在1011108。l 一般为广播式通信。l 各站点之间为平等关系。l 资源共享简单、方便，组网费用低。l 系统升级、扩展、调整比较容易，组网灵活性好。l 响应快，可靠性高。局域网通常可分为对等网和基于服务器的网络，两种网络除了对网络用户数量要求不同以外，更重要的是提供的服务功能不同。 对等网对等网是最基本的网络类型，由于没有服务器的存在，连接入网的计算机互相之间的地位是对等的。在对等网中，计算机之间只能一些简单的文件共享和硬件设备共享等，网络安全性也不及有服务器支持时强大。几乎所有的流行操作系统都提供对它的支持。 基于服务器的网络这种网络使用的标准有以太网、FDDI(光纤分布式数据接口)和令牌环等。基于服务器的网络就是在网络中配置功能比较强大的服务器用以控制和管理网络并提供特殊的服务。10. 答：网络拓扑指网络中各个节点相互联接的方法和形式，主要有总线拓扑、星型拓扑、环型拓扑、树型拓扑和网状拓扑几大类。具体参见1.6.4节内容。第2章 网络服务器的配置和管理1. 答：请参考本章DNS服务器的配置与管理有关描述。2. 答：请参考本章DHCP服务器的配置与管理有关描述。3. 答：请参考本章Web服务器的配置有关描述。4. 答：请参考本章FTP服务器的配置与管理有关描述。5. 答：请参考本章电子邮件服务器的配置与管理有关描述。6. 略。第3章 交换机的相关配置1. 答：交换机的工作原理是存储转发，当交换机从某一节点收到一个帧时（广播帧除外），将对地址表执行两个动作，一是检查该帧的源MAC地址是否已在地址表中，如果没有，则将该MAC地址加到地址表中，这样以后就知道该MAC地址在哪一个节点；二是检查该帧的目的MAC地址是否已在地址表中，如果该MAC地址已在地址表中，则将该帧发送到对应的节点即可，如果该MAC地址不在地址表中，则将该帧发送到所有其他节点（源节点除外），相当于该帧是一个广播帧。2. 答：交换机有本地配置和远程配置方式。其中远程配置方式主要有SSH/Telnet、Web浏览器和网络管理软件等方式。3. 答：除了通过控制端口外，对交换机的配置与管理还可以通过远程配置方式。对于一台新交换机必须先对其进行本地配置，一般是先配置好IP地址和用户账号，然后再用远程配置方式对其进行配置。4. 答：交换机包括6种不同的命令状态：用户命令状态（User Exec）、特权命令状态（Privileged Exec）、虚拟网配置状态（VLAN dataBase）、全局配置状态（Global configuration）、接口配置状态（Interface configuration）和局部配置状态（Line configuration）。其中用户命令状态（User Exec）的访问方法是开始一个进程，用途是改变终端设置执行基本测试并显示系统信息。特权命令状态（Privileged Exec）的访问方法是在User Exec状态中输入enable命令，用途是校验输入的命令，该状态有密码保护。虚拟网配置状态（VLAN dataBase）的访问方法是在Privileged Exec状态中输入vlan database命令，用途是配置VLAN参数。全局配置状态（Global configuration）的访问方法是在privileged Exec状态中输入configure命令，用途是将配置的参数应用于整个交换机中。接口配置状态（Interface configuration）的访问方法是在Global Configuration状态中，输入interface命令，用途是为相应端口配置参数。局部配置状态（Line configuration）的访问方法是在Global Configuration状态，输入相应的局部配置命令，用途是配置相应局部参数。5. 虚拟局域网VLAN的优越性体现在：增加了网络连接的灵活性，控制网络上的广播和增加了网络的安全性。6. 虚拟局域网VLAN的划分方法有基于端口划分的VLAN，基于MAC地址划分VLAN，基于网络层协议划分VLAN，根据IP组播划分VLAN，按策略划分VLAN和按用户定义、非用户授权划分VLAN。7. VLAN Trunk是用于在交换机之间或者在交换机与路由器之间进行VLAN信息传输的通道。为了在VLAN Trunk上识别不同的VLAN帧，采用了相应的VLAN帧标记技术。在Cisco的Catalyst交换机上，有两种标记封装格式可供选择，一种基于Cisco的专用协议ISL，另一种基于IEEE所提供的开放标准IEEE 802.1Q。当不同厂商的设备实验Trunk连接时，必须使用IEEE 802.1Q标准。8. 交换机的Trunk连接使用UTP交叉线缆，在单台交换机上实现VLAN时不需要Trunk。9. 略。10. 略。第4章 习题参考答案1. 答：局域网与广域网不同之处在于：（1）作用范围局域网的网络通常分布在一座办公大楼、实验室或者宿舍大楼中，为一个部门所有，涉及范围一般在几公里以内。广域网的网络分布通常在一个地区、一个国家甚至全球的范围。（2）结构 局域网的结构简单，局域网中计算机数量少，一般是规则的结构，可控性、可管理性以及安全性都比较好。广域网由众多异构、不同协议的局域网连接而成，包括众多各种类型的计算机，以及上面运行的种类繁多的业务。因此广域网的结构往往是不规则的，且管理和控制复杂，安全性也比较难于保证。（3）通信方式 局域网多数采用广播式的通信方式，采用数字基带传输。广域网通常采用分组点到点的通信方式，无论是在电话线传输、借助卫星的微波通信以及光纤通信采用的都是模拟传输方式。（4）通信管理局域网信息传输的时延小、抖动也小，传输的带宽比较宽，线路的稳定性比较好，因此通信管理比较简单。在广域网中，由于传输的时延大、抖动大，线路稳定性比较差，同时，通信设备多种多样，通信协议也种类繁多，因此通信管理非常复杂。（5）通信速率局域网的信息传输速率比较高，一般能达到100Mbps、1000Mbps，甚至能够达到万兆。传输误码率比较低。而在广域网中，传输的带宽与多种因素相关。同时，由于经过了多个中间链路和中间节点，传输的误码率也比局域网高。（6）工作层次广域网是由结点交换机以及连接这些交换机的链路组成。结点交换机执行分组存储转发的功能。结点之间都是点到点的连接。从层次上看，局域网和广域网主要区别是：局域网使用的协议主要在数据链路层，广域网技术主要体现在OSI参考模型的下3层：物理层、数据链路层和网络层，重点在于在网络层。2. 答：（1）对称DSL技术,对称DSL技术主要HDSL、SDSL、MVL及IDSL等几种。 （2）非对称DSL技术适用于对双向带宽要求不一致的应用，诸如Web浏览、多媒体点播及信息发布等，非对称DSL技术主要有ADSL、RADSL及VDSL等。 3. 答：（1）RJ-45端口（2）高速同步串口（SERIAL）（3）异步串口（4）ISDN BRI端口（5）FDDI端口（6） 光纤端口4. 答： （1） 综合业务数字网（ISDN ）（2） ATM网 （3） 帧中继网 （4） 数据数据网DDN （5） 卫星通信系统 （6） 数字用户线路（DSL）5. 答：（1）通过Internet实现远程用户访问 （2）通过Internet实现网络互连 （3）使用专线连接分支机构和企业局域网。 （4）使用拨号线路连接分支机构和企业局域网。 （5）连接企业内部网络计算机。第5章 习题参考答案1. 答：工作在OSI模型第三层网络层。2. 答：（1）处理器：和计算机拥有CPU一样，路由器也包含了一个“中央处理器(CPU)”。不同系列和型号的路由器，CPU也不尽相同。路由器的处理器负责执行处理数据包所需的工作，比如维护路由和桥接所需的各种表格以及作出路由决定等等。路由器处理数据包的速度在很大程度上取决于处理器的类型。（2）内存 ：所有计算机都安装丁某些形式的内存。路由器主要采用了四种类型： RAM是会在路由器启动或供电间隙时丢失其内容的唯一一种内存； 在下面的介绍中，我们将简单说明路由器的每种内存的主要用途。 ROM保存着路由器的引导(启动)软件。这是路由器开始运行时候运行的第一个软件，负责引导程序让路由器进入正常工作状态。功能有些类似与计算机的CMOS RAM存储芯片。有些路由器将一套完整的IOS保存在ROM中，以便在另个IOS不能使用时。作救急之用。ROM通常做在一个或多个芯片上，焊接在路由器的主机板上。FLASH的主要用途是保存IOS软件，维持路由器的正常工作。功能有些类似与计算机存放操作系统和其他配置信息的硬盘。若路由器安装了闪存，它便是用来引导路由器的10S软件的默认位置。只要闪存容量足够，使可保存多个IOS映像，以提供多重启动选项。闪存要么做在主机板的SIMM上，要么做成一张PCMCIA卡。 RAM的作用很广泛，在此不可能一一列出。功能有些类似与计算机的内存。但有两样东西值得一提，即IOS系统表与缓冲。IOS通过RAM满足其所有的常规存储需要。 NVRAM的主要作用是保存IOS在路由器启动时读入的配置数据。这种配置称为“启动配置”。 我们对路由器所做出的配置信息，若保存则就放在路由器的NVRAM上，下次路由器启动是自动读取这些配置信息。（3）接口 ：所有路由器都有“接口”(Interface)。控制台接口、辅助接口、以太网接口、广域网接口等。3. 答：静态路由优先级高。4. 答：缺省路由是一种特殊的路由。简单地说，缺省路由就是在没有找到匹配的路由表入口项时才使用的路由。即只有当没有合适的路由时，缺省路由才被使用。在路由表中，缺省路由以到网络（掩码为）的路由形式出现。如果报文的目的地址不能与路由表的任何入口项相匹配，那么该报文将选取缺省路由。如果没有缺省路由且报文的目的地不在路由表中，那么该报文被丢弃的同时，将向源端返回一个ICMP报文报告该目的地址或网络不可达。5. 答：（1）ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 （2）ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 （3）ACL是提供网络安全访问的基本手段。如图1所示，ACL允许主机A访问人力资源网络，而拒绝主机B访问。 （4）ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。6. 答：(1)路由信息协议（RIP）是一个真正的距离适矢量路由选择协议。它每隔30秒钟就送出自己完整的路由表到所有激活接口。RIP只使用跳数来决定到达远程网络的最佳方式。并且在默认时它所允许的最大跳计数为15跳。也就是说16跳的距离将认为是不可达的。在小型的网络中，RIP会运转良好，但是对于使用慢速WAN链接的大型网络或者对于安装有大量路由器的网络来说，它的效率就很低了。 (2)开放最短路径优行（OSPF）是一个开放标准的路由选择协议。它被各种网络开发商所广泛使用，其中包括CISCO。OSPF是通过使用Dijkstra算法来工作的。首先，要构建一个最短路径树，然后使用最佳路径的计算结果来组建路由表。OSPF会聚很快，并且它也支持到达相同目标的多个等开销路由。OSPF是被设计用于分层的结构中，使用OSPF你可以将大型的互联网络分割成一些小的被称为地区的小互联网络。第6章 习题参考答案1. 答：参见6.1、6.2节内容。2. 答：一般入侵检测的主要方法如下：1. 静态配置分析2. 异常性检测方法3. 基于行为的检测方法4. 搭建一个基于网络的IDS3. 答：1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要的防护措施有两类：一类是对传导发射的防护，主要是对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，这类防护措施又可分为两种，一是采用各种电磁屏蔽措施，例如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离，二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射，以掩盖计算机系统的工作频率和信息特征。2.访问控制策略访问控制是网络安全防范和保护的主要策略，它的主要任务是避免网络资源被非法使用和非常访问，它也是维护网络系统安全和保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，其中，访问控制可以说是保证网络安全最重要的核心策略之一。以下将分别叙述各种访问控制策略。(1) 入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户可以登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为3个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。3道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时，首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，再继续验证用户输入的口令；否则，用户将被拒绝在网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏幕上，口令长度不应少于6个字符，口令字符最好是数字、字母和其他字符的组合，用户口令必须经过加密。用户还可采用一次性用户口令，也可以使用便携式验证器(如智能卡)来验证用户的身份。网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户名或用户账号是所有计算机系统中最基本的安全形式。用户账号只有系统管理员才能建立。用户口令则是每个用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但是系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后，再进一步履行用户账号的默认限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应当能对用户的账号加以限制，用户此时将无法进入网络访问网络资源。网络应对所有的用户访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应当给出报警信息。(2) 网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为它的两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。3.信息加密策略信息加密的目的是保护网内的数据、文件、口令、控制信息和网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据进行保护；节点加密的目的是对源节点到目的节点之间的传输链路进行保护。用户可以根据网络情况需求酌情选择上述加密方式。4.防病毒技术随着计算机技术的不断发展，计算机病毒也变得越来越复杂和高级，对整个计算机系统造成了非常大的威胁。加强防病毒的工作能够有利于保证本地或者网络的安全。防病毒软件从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机器上，对整个PC机器起到了清楚病毒、分析扫描等作用。而网络防病毒软件则能够保护整个网络，避免遭到病毒的攻击。5.防火墙技术防火墙技术是网络安全防范的有效方法之一，配置防火墙是达到实现网络安全最基本、最经济、最有效的安全措施之一。防火墙可以有硬件和软件两种，它对内部网络访问及管理内部用户访问外界网络的权限进行了规范。防火墙技术能够极大提高一个网络的安全性，降低网络崩溃的危险系数。6.网络入侵检测技术入侵检测是从多种计算机系统及网络中收集信息，再通过这些信息分析入侵特征。它被称为是防火墙后的第二道门，可以使得入侵在入侵攻击之前被检测出来，并通过报警与防护系统将入侵拒绝，从而尽量减少被攻击。入侵技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。7.网络安全管理策略在网络安全中，除了采用上述安全技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。4. 答：电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256256（65536）个端口，这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分，它们又可以分为以下两大类：1.系统保留端口（从0到1023）这些端口不允许你使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如80端口就代表Web服务。21对应着FTP，25对应着SMTP、110对应着POP3等。2.动态端口（从1024到65535）当你需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端口未关闭，再需要端口时就会分配1025端口供你使用，依此类推。但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口（远程终端服务）。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。5. 答：根据防火墙所采用技术的不同，可以将防火墙分为包过滤防火墙、代理防火墙、NAT和检测型防火墙4种。(1) 包过滤防火墙包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先，应该建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头包含有数据包源IP地址、目的IP地址、传输协议类型(例如：TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。防火墙通过读取数据包中的地址信息来判断这些数据包是否来自可信任的安全站点，系统管理员也可以根据实际情况来灵活制定判断规则。当一个数据包满足过滤表中的规则时，则允许数据包通过防火墙，否则禁止通过防火墙。这种防火墙可以用于禁止外部的不合法用户对内部进行访问，也可以用于禁止访问某些服务类型。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证网络系统的安全。 但是包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，无法实施对应用层协议的处理，也无法处理UDP、RPC和动态的协议，例如，恶意的Java小程序和电子邮件中附带的病毒等。有经验的黑客能轻易地伪造IP地址，通过包过滤型防火墙。(2) 代理防火墙代理防火墙又被称为应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前比较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联，并对数据进行严格选择，然后将已筛选的数据传送到代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要用于控制哪些用户可以访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。目前较为流行的代理服务器软件是WinGate和Proxy Server。代理型防火墙的优点是安全性较高，可以针对应用层进行检测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且，代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，增加了系统管理的复杂性。(3) 网络地址转换 NAT 网络地址转换用于将IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中的每一台机器取得注册的IP地址。 NAT的工作过程为：在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，使这个伪装的地址和端口通过非安全网卡与外部网络连接，对外隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。NAT防火墙根据预先定义好的映射规则来判断这个访问是否安全。当访问符合规则时，防火墙认为该访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当访问不符合规则时，防火墙则认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行任何设置，用户只需进行常规的操作即可。(4) 监测型防火墙监测型防火墙是新一代的产品，该技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断各层中的非法侵入，同时，检测型防火墙一般还附带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时，对来自内部的恶意破坏也有着极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部，因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。 6. 答：网络病毒的防治是一个系统性的工程，它既包括技术方面的措施，又包括管理方面的措施。1. 选择有效的防毒/杀毒软件在网络环境中，计算机中的资源是可以被互相访问的，网络中的所有计算机构成了一个完整的系统。对于同一种杀毒软件，版本越新杀毒能力越强，版本越老杀毒能力越弱。如果在网络中杀毒软件版本不一致，就意味着在网络中至少有一台计算机，它的杀毒软件版本较老，以致于无法防范某些已知病毒。单机版杀毒产品由于没有考虑到网络环境的特殊性，它无法确保整网中各节点的杀毒软件同步升级。比如说，某客户端计算机和服务器计算机上都安装了单机版杀毒软件，但是由于该客户端计算机没有及时得到升级，感染了某种新型病毒并且已发作，病毒发出将服务器上的文件删除的命令，虽然服务器上的单机版软件已及时得到升级，但是也无法阻止文件被删除(它只能阻止服务器上的文件被感染)。一个防毒严密的网络版软件必须做到：(1)主动同步自动升级，即一台计算机中的杀毒软件升级后，网络版控制系统将自动通知所有计算机中的杀毒软件立即升级，保证整个网络内的杀毒软件版本的一致性，确保所有计算