计算机网络习题解答.ppt

1、计算机网络习题解答 -KEY,郭联志 2009-9-19,第一章 1-10,电路交换 电路建立时间+数据发送时间+电路传播时间 T1=S+X/b+kd 分组交换 数据发送时间+分组转发时间(处理时延)+电路传播时间 T2=X/b+(k-1)P/b+kd 假设xp，数据传输时间近似x/b；如果XP，也要装一个P，这时x的传输时间等于P/bx/b。 由T2T1（分组的延迟比电路交换时间小） S（k-1）P/b,1-17，1-24,1-17 距离相等，传播延迟不变；帧发送延迟与帧长成正比，与发送速率成反比。 100s，5ms；1s，5ms. 1-24 在学习计算机网络的原理时往往采取折中的办法。即综

2、合OSI和TCP/IP的优点，采用的一种只有五层协议的体系结构。,1-24 五层协议各层的主要功能,物理层的任务就是透明地传送比特流。 注意：传递信息的物理媒体，如双绞线、同轴电缆、光缆等，是在物理层的下面，当做第0 层。物理层还要确定连接电缆插头的定义及连接法。（机械、电气、功能、过程特性，还要完成并行到串行传输的变换等） 数据链路层的任务是在两个相邻结点间的线路上无差错地传送以帧（frame）为单位的数据。每一帧包括数据和必要的控制信息。,1-24 五层协议各层的主要功能,网络层的任务就是要选择合适的路由，使 发送站的运输层所传下来的分组能够正确无误地按照地址找到目的站，并交付给目的站的运

3、输层。（源结点到目的结点） 运输层的任务是向上一层的进行通信的两个进程之间提供一个可靠的端到端服务，使它们看不见运输层以下的数据通信的细节。（主机到主机） 应用层直接为用户的应用进程提供服务。,1-26,协议三要素：语义、语法、同步。 协议栈：协议套件又称为协议栈，因为它由一系列的子层组成，各层之间的关系好像一个栈。 协议数据单元：对等层之间传送的数据单位 服务数据单元：层与层之间交换的数据单位 服务原语：上层使用下层提供的服务必须通过与下层交换的命令。一共4个：请求、指示、响应、证实。,1-26,对等层：是指在计算机网络协议层次中，将协议数据单元直接（逻辑上）传递给对方的任何两个同样的层次。

4、 对等层通信：任何两个同样的层次（例如在两个系统的第4 层）之间，将数据（即数据单元加上控制信息）通过水平虚线传递给对方。这就是所谓的“对等层”（peer layers）之间的通信。 协议是水平的，服务是垂直的。服务是由下层向上层通过层间接口提供的。,1-26,服务访问点（SAP）：是相邻两层实体进行交互的地方，实际上是一个逻辑接口。 客户是服务请求方，服务器是被服务提供方。 客户-服务器方式：描述是的是两个进程之间服务和被服务的关系。 实体：任何可发送或接受信息的硬件或软件进程。,服务原语模型,处理时延(Latency),处理时延是指从交换机接收到数据帧到开始向目的端口发送数据帧之间的时间间

5、隔。有许多因素会影响延时大小，比如转发技术等。采用直通转发技术的交换机有固定的延时。 因为直通式交换机不管数据帧的整体大小，而只根据目的地址来决定转发方向。所以，它的延时是固定的，取决于交换机解读数据帧前6Byte中目的地址的解读速率。 采用存储转发技术的交换机由于必须要接收完完整的数据帧才开始转发数据帧，所以它的延时与数据帧大小有关，数据帧大则延时大，数据帧小则延时小。,第二章 2-04,数据：是运送消息的实体。 信号：是数据的电气的或电磁的表现。 模拟数据：模拟数据也称为模拟量，相对于数字量而言，指的是取值范围是连续的变量或者数值。 模拟信号：代表消息的参数的取值是连续的。 基带信号：来自

6、信源的信号。 带通信号：经过调制后的信号称为带通信号 数字数据：数字数据也称为数字量，相对于模拟量而言，指的是取值范围是离散的变量或者数值.,第二章 2-04,数字信号：代表消息的参数的取值是连续的。 码元：代表不同离散数值的基本波型称为码元。 单工通信：只有一个方向的通信。 半双工通信：通信的双方都可以发送信息，但双方不能同时发送和接收。 全双工通信：通信的双方可以同时发送和接收信息。 串行传输：数据的传输在一条信号线路上按位进行的传输方式。 并行传输：并行传输是在传输中有多个数据位同时在设备之间进行的传输.,2-05,物理层的接口有哪几个方面的特性？各包含些什么内容？ 答：物理层的接口有机

7、械特性、电气特性、功能特性、过程特性。 （1）机械特性说明接口所用接线器的形状和尺寸、引线数目和排列、固定和锁定装置等等。 （2）电气特性说明在接口电缆的哪条线上出现的电压应为什么范围。即什么样的电压表示1 或0。 （3）功能特性说明某条线上出现的某一电平的电压表示何种意义。 （4）过程特性说明对于不同功能的各种可能事件的出现顺序。,2-08,C1=H log2(1+S/N) 64000=3000*log2(1+S/N) 64000/3000=log2(1+S/N) 264000/3000=1+S/N S/N=264000/3000-1264000/3000=221.3 10lg S/N= 1

8、0 lg 221.3=10X6.41=64.1dB,2-09 信息速率增加60%，S/N增大到多少倍？,C=H log2(1+S/N) C/H=log2(1+S/N) 2C/H=1+S/N K=S/N=2C/H-1 （1） K1=S1/N1=21.6C/H-1 218.065 （2） K1/K20.6C/H=20.6*35000/3100=26.77=109,2-09,C=H log2(1+S/N) 35000=3100log2(1+S1/N1) 35000/3100=log2(1+S1/N1) 235000/3100=1+S1/N1 S1/N1=235000/3100-1=2503 3500

9、0*1.6/3100=log2(1+S2/N2) S2/N2=21.6*35000/3100-1=273275 (S2/N2)/(S1/N1)=109,2-09信噪比再增大到10倍,C=H log2(1+S/N) C2=3100log2(1+10S1/N1) =3100log2(1+10K1) =3100log2(1+10 218.065 ) =31006.44/0.301 =66290 350001.61.2=6720066290,算法2：信噪比再增大到10倍,2N(C/H) =1+10K1 K1=S1/N1=21.6C/H-1 21.6C/H 令:2N(C/H)=1+10（21.6C/H）

10、 2N(C/H) 1021.6C/H 2 (N-1.6)(C/H) =10 (N-1.6)(C/H)=log210 N-1.6=log210/(C/H) N-1.6=3.32/11.29=0.29 N=1.89 1.89/1.61.18,K2=10*S1/N1=2N(C/H)-1 （3） K1=S1/N1=21.6C/H-1 K2/K1=10=2 N-1.6(C/N),2-16,有4 个站进行码分复用CDMA 通信。4 个站的码片序列为： A：（1 1 1 1 1 1 1 1） B：（1 1 1 1 1 1 1 1） C：（1 1 1 1 1 1 1 1） D：（1 1 1 1 1 1 1 1

11、） 现收到这样的码片序列：（1 1 3 1 1 3 1 1）。问哪个站发送数据了？发送的代码是什么？,2-16,答：只须计算4 个常规的内积： （1 1 3 1 1 3 1 1）（1 1 1 1 1 1 1 1）/8=1 （1 1 3 1 1 3 1 1）（1 1 1 1 1 1 1 1）/8=1 （1 1 3 1 1 3 1 1）（1 1 1 1 1 1 1 1）/8=0 （1 1 3 1 1 3 1 1）（1 1 1 1 1 1 1 1）/8=1 结果是A 和D 发送比特1，B 发送比特0，而C 未发送数据。,第三章作业,3-04 帧是具有一定长度和格式的信息块。一般由一些字段和标志组成。

12、把比特流分成帧，标志帧的起始和结束（帧定界）。以利于进行差错控制。 当数据在传输中出现差错时，帧定界符的作用更明显。当尚未发送完的某个帧突然出故障，中断发送，但随后又恢复正常，于是重新从头开始发原来未发送完的帧。由于使用了定界符，接收端知道前面收到的数据是个不完整的帧。,透明传输 不管所传输的数据是什么样的比特组合，都应当能够在链路上传送。当所传送数据中的比特组合恰巧与某个控制信息完全一样时，必须采取一定的措施加以解决。如插入删除转义符、0比特插入删除法等。 差错检测 为了保证数据传输的可靠性，在计算机网络传输数据时，必须采用各种差错检测措施。目前数据链路层广泛使用循环冗余检验CRC检错技术。

13、,3-08冗余码的计算,已知：101110，P(x)=x3+1 现在 k = 6, M = 1011100。 除数 P = 1001， n = 3 被除数是 2nM = 101110000。 模 2 运算的结果是：商 Q = 101011，余数R=011。 余数 R 作为冗余码添加在数据 M 的后面发送出去。 发送的数据是：2nM + R 。即：101110011，共 (k + n) 位。,101011 Q (商) P (除数) 1001 101110000 2nM (被除数) 1001 0101 0000 1010 1001 0110 0000 1100 1001 1010 1001 011

14、 R (余数)，作为 FCS,循环冗余检验的计算,09,3-09 数据部分 7E：7D 5E 7D：7D 5D 7D 5E FE 27 7D 5D 7D 5D 65 7D 5E 7E FE 27 7D 7D 65 7E,3-20,争用期：2=1*2/200 000=10-5s 最短帧长 1Gb/s10-5s=10910-5=104b 3-27 本地80%，其余20% 集线器，每个端口的平均速率是一样，所以去因特网的带宽有限。 本地20%，其余80% 交换机，去因特网的带宽理论上可达线速。,08081201,当本局域网和因特网之间的通信量占主要成份时，形成集中面向路由器的数据流，使用集线器冲突较

15、大，采用交换机能得到改善。当本局域网内通信量占主要成份时，采用交换机改善对外流量不明显。,3-28,1）10Mb/s10=1Mb/s 2）100M/s 10=10Mb/s 3）10Mb/s,3-32,怒发冲冠，凭阑处、潇潇雨歇。抬望眼，仰天长啸，壮怀激烈。三十功名尘与土，八千里路云和月。莫等闲、白了少年头，空悲切。 靖康耻，犹未雪；臣子恨，何时灭？驾长车、踏破贺兰山缺。壮志饥餐胡虏肉，笑谈渴饮匈奴血。待从头、收拾旧山河，朝天阙。,1970年7月，国营第三一三厂四车间因酒精起火发生火警，工人、共产党员翁玉兰为抢救国家财产，奋不顾身扑灭火险，身负重伤，他的先进事迹被先后登载于福建日报和人民日报，福

16、建省军区给其荣记一等功，中共福建省委授予他优秀共产党员的称号。,4-03、09、17、20、22、28、30、43,03答： 1）转发器、网桥、路由器、和网关所在的层次不同。 转发器是物理层的中继系统。 网桥是数据链路层的中继系统。 路由器是网络层的中继系统。 在网络层以上的中继系统为网关。 2）当中继系统是转发器或网桥时，一般并不称之为网络互连，因为仍然是一个网络。 路由器其实是一台专用计算机，用来在互连网中进行路由选择。一般讨论的互连网都是指用路由器进行互连的互连网络。,4-09答：,（1）可以代表C 类地址对应的子网掩码默认值；也能表示A 类和B 类地址的掩码,前24 位决定网络号和子网

17、号，后8 位决定主机号.（用24bit 表示网络部分地址，包括网络号和子网号） （2）48 化成二进制序列为：11111111 11111111 11111111 11111000，根据掩码的定义，后三位是主机号，一共可以表示8 个主机号，除掉全0 和全1 的两个，该网络能够接6 个主机. （3）子网掩码的形式是一样的，都是 ；但是子网的数目不一样，前者为65534，后者为254. (4)=/20,主机数据212-2=4094 (5)子网掩码由一连串的 1 和一连串的 0 组成，1 代表网络号和子网号，0 对应主机号

18、.55 变成二进制形式是：11111111 11111111 00000000 11111111.可见，是一个有效的子网掩码，但是,不是一个方便使用的解决办法.,6）C2.2F.14.81 =1100 0010.0010 1111.0001 0100.1000 0001 =29 7）C 类网络使用子网掩码有无实际意义？为什么？ 答：有，可以提高网络利用率。 注：实际环境中可能存在将C 类网网络地址进一步划分为子网的情况，需要掩码说明子网号的划分。C 类网参加互连网的路由，也应该使用子网掩码进行统一的IP 路由运算。C 类网的子网掩码是255.255.

19、255.0。,4-17答,答：进入本机IP 层时报文长度为3200+160（20B）=3360bit； 在第二个局域网，报文要进行分片，已知最长数据帧的数据部分只有1200bit， 1200-160=1040 3360/1040=4 所以共分成4片，故第二个局域网向上传送3840bit 3360+160*3=3840,4-22,4-20答,（1）接口m0 最佳匹配/25 （2）R2 最佳匹配/25 （3）R4 （4）R3 最佳匹配/26 （5）R4,4-22,答：3 片； 第一片：数据字段长度1480、片偏移是0，MF 是 1(

20、后面还有分片)； 第二片：数据字段长度1480、片偏移是185(1480/8)，MF 是 1； 第三片：数据字段长度1020、片偏移是370 和MF 是 0；,4-28见P380,4/26,/16,130.5.8/24,/16,/16,Internet,,,,m1,m2,m0,R1,4-30,本地: 左边: LAN1: 50+1=51, 64-2, /26 LAN2: 10+1=11, 16-2, /28 LAN3: 30+1=31, 64-2, /26

21、LAN4: 10+1=11, 16-2, /28 中间: LAN5: 4+2=6, 8-2, /29 远地 右边 LAN6: 20+1=21, 32-2, /27 LAN7: 20+1=21, 32-2, /27 LAN8: 25+2=26, 32-2, /27,左边:160 中间:8 右边:96 合计:264个IP. WAN1=2 WAN2=2 WAN3=2,4-43 IGMP 协议的要点是什么？隧道技术是怎样使用的？,答：要点有： 1、IGMP 是用来进行多播的，采用多播协议可以明显地减轻网络中各种资源的消耗，IP 多播实际上只是硬件多播的一种抽象； 2、IGMP 只有两种分组，即询问分组

22、和响应分组。IGMP 使用IP 数据报传递其报文，但它也向IP 提供服务； 3、IGMP 属于整个网际协议IP 的一个组成部分，IGMP 也是TCP/IP 的一个标准。,4-43 IGMP 协议的要点是什么？隧道技术是怎样使用的？,隧道技术使用：当多播数据报在传输过程中，若遇到不运行多播路由器或网络，路由器就对多播数据报进行再次封装（即加上一个普通数据报的首部，使之成为一个向单一目的站发送的单播数据报），通过了隧道以后，再由路由器剥去其首部，使它又恢复成原来的多播数据报，继续向多个目的站转发。,4-45,1。NAT是一种将私有地址转化为合法IP地址的技术，它被广泛应用于各种Internet接入

23、方式和各种类型网络 NAPT将内部地址映射到外部网络中的一个单独的IP地址，同时在该IP地址加上一个由NAT设备选定的TCP端口号。 NAPT的操作没有严格按照层次的关系。,优点 节省公有IP地址 处理地址交叉 增加灵活性 安全性（对单位是安全的，对个人是不安全的） 缺点 延迟增大 配置和维护的复杂性 不支持某些应用（如源地址加密）,第5次作业:5-08,09,14,30,38,UDP是面向报文的:UDP对应用层交下来的报文,即不合并,也不拆分,而是保留这些报文的边界.即一次发送一个报文. TCP是面向字节流的:TCP中的”流”是指流入到进程或从进程流出的字节流出的字节序列.虽然应用进程和TC

24、P的交互是一次一个数据块(大小不等),但TCP把应用程序交下来的数据看成仅仅是一连串的无结构的字节流.也就是接收方交给上层应用的数据块数可以小于发送方上层交给TCP处理的数据块少. TCP 可把太长的数据块划分短一些再传送。TCP 也可等待积累有足够多的字节后再构成报文段发送出去。,5-09,端口的作用是什么? 为了使运行不同操作系统的计算机的应用进程能够互相通信，就必须用统一的方法对 TCP/IP 体系的应用进程进行标志. 是应用层的各种协议进程与运输实体进行层间交互的一种地址. 一个东西要发送到你的电脑上,但你电脑上同时运行了很多程序,比如一个QQ 或一个IE,如果只靠IP的话 ,那那个发

25、送的东西只知道发送到这个机器,但不知道到了机器上要给哪个程序来接受解释他 这就是为什么要有端口。 服务器端使用的端口 熟悉端口号：01023（指派给重要的应用进程） 登记端口号：102449151（指派应用进程） 客户户端口号 短暂/自由端口号：4915265535,5-14,06 32 00 45 00 1C E2 17 UDP源端口、目的端口、长度、检验和 源端口：06 32=0000 0110 00110010 =6*256+50=1586 目的端口：00 45=0000000 01000101 =69TFTP端口 所以是客户机发出的UDP包 长度：00 1C=00000000 0001

26、1100=28字节 数据部分=长度-头部长度=28-8=20字节 检验和：E2 17=11100010 00010111=57879,5-15,UDP不保证可靠交付，不适用于数据文件的传输，容易造成数据差错或丢失。但UDP比TCP的开销要小得多。因此只要应用程序接受这样的服务质量就可以使用UDP。 如果话音数据不是实时播放（边接收边播放）就可以使用TCP，因为TCP传输可靠。接收端用TCP将话音数据接收完毕后，可以在以后的任何时间进行播放，但假定是实时传输，则必须使用UDP。,5-30,每20ms 可发送一个窗口，每秒可以送 1s / 2010-3s = 50 已知最大窗口为65 535 65

27、 535850=26.2Mb/s,5-35,T=链路传播延迟+卫星传播延迟+传输延迟+节点存储转发延迟 t1+t2+t3+t4+t5+t6+t7+t8+t9+t10 =3*t1+2*t3+5*t6 =3*1500/150000+2*0.25+5*960/48000 =3*0.01+0.5+0.1=0.63S=630ms,5-38,拥塞窗口 8次： 前四次是慢开始：1，2，4，8， 后四次是拥塞避免：9，10，11，12， 当在第八次出现拥塞时，ssthreth变为6 7次： 前四次是慢开始：1，2，4，6， 后3次是拥塞避免：7，8，9。,拥塞窗口,慢启动,ssthreth,网络拥塞,6-03

28、、05、08、14、46,举例说明域名转换的过程。域名服务器中的高速缓存的作用是什么？ 答： 域名系统DNS是因特网使用的命名系统，用来把便于人们使用的机器名字转换为IP地址。当一个应用进程需要把主机名解释为IP地址时，该应用进程就调用解析程序，并成为DNS的一个客户，把待解释的域名放在DNS请求报文中，以UDP用户数据报方式发给本地域名服务器。本地域名服务器在查找域名后，把对应的IP地址放在回答报文中返回，应用进程获得目的主机的IP地址后即可以进行通信。若本地域名服务器不能回答请求，则此域名服务器就暂时成为DNS是的另一个客户并向其它域名服务器发出查询请求。这种过程直到能够回答该请求的域名服

29、务器为止。 域名服务器中的高速缓存用于保存刚解析的域名，以便提高下一次相同域名的解析。,6-05,文件传送协议 FTP 的主要工作过程是怎样的？为什么说FTP是带外传送控制信息？主进程和从属进程各起什么作用？ 答：在FTP 的客户机和服务器之间建立两个连接：控制连接和数据连接。首先客户机发出的传送请求通过控制连接发送给控制进程（21 号端口），然后用“数据连接”（ 20 号端口）传输文件； 由于FTP使用一个分离的控制连接，因此FTP的控制信息是带外（out of band）传送的。 主进程，负责接受新的请求；从属进程，负责处理单个请求。,6-08,WWW（world wide web） 万维

30、网是一个大规模的、联机式的信息储藏所，英文简称为Web. URL( Uniform resource locator) 统一资源定位符 HTTP（hypertext transfer Protocol） 超文本传送协议 HTML（Hypertext Markup language) 超文本标记语言 CGI（Common Gateway Interface） 通用网关接口CGI 浏览器browser,6-08,超文本(Hypertext) 包含指向其它文档的链接文本 超媒体(Hypermedia) 比超文本还包含图形、图像、声音、动画，视频等。 超链link 万维网页的文档的链接。当鼠标箭头变成

31、一只手的形状，表明有个链接 页面（Page） 在一个客户程序主窗口上显示出的万维网文档称为页面。 活动文档（active document） 提供屏幕连续更新的技术 搜索引擎（search engine） 在万维网中用来进行搜索的工具。,6-14,当使用鼠标点取一个万维网文档时，若 该文档除了有文本外，还 有一个本地 .gif 图像和两个远地 .gif 图像。试问；需要使用哪个应用程序，以及需要建立几次 UDP 连接和几次 TCP 连接？ 答：需要使用浏览器，对于HTTP1.0，需要建立0 次 UDP 连接和4 次 TCP 连接。,6-46,1)简单讨论一下为什么有的应用层协议要使用TCP而有

32、的却要使用UDP？ 答：TCP是提供可靠的，面向连接的运输服务。因此对于差错率要求很小的应用层协议，如HTTP、SMTP、BGP等协议要使用TCP协议。 UDP不提供可靠交付，但在某些情况下UDP却是一种最有效的工作方式。适合实时但又对差错率要求低的应用协议，如RIP、DHCP、DNS等。,2）为什么MIME画在SMTP之上？ SMTP限于传送7位的ASCII码。MIME是将用户的非ASCII码转换成7位的ASCII码，然后利用SMTP协议进行传输。,3）为什么路由选择协议RIP放在应用层上？ 答： RIP协议利用UDP的520端口进行传输。 OSPF协议使用IP分组格式的89号协议。 BGP

33、协议使用TCP的179号端口。,7-02、09、10、21,02 重放攻击 例如，入侵者可以从网络上截获A发给B的报文。C并不需要破译这个报文（因为可能花很多时间），而可以直接把这个由A加密的报文发给B，使B误认为C就是A。然后B就向伪装是A的C发送许多本来应当发给A的报文。这就叫重放攻击。 拒绝服务 指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常的服务，这种攻击被称为拒绝服务DOS，也称为网络带宽攻击或连通性攻击。 Ping t x.x.x.x,7-02、09、10、21,访问控制 又称为存取控制或接入控制。必须对接入网络的权限加以控制，并规定每个用户的接入权限。

34、 流量分析 属于被动攻击，攻击者只观察和分析某一个协议数据单元PDU而不干扰信息流。通过观察PDU的协议控制信息部分，了解正在通信协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的某种性质。 恶意程序 属于一种特殊地主动攻击。主要有：计算机病毒，计算机蠕虫，特洛伊木马，逻辑炸弹。,7-10,答：数字签名是指通信双方在网上交换信息时，用公钥密码防止伪造和欺骗的一种身份 证。 数字签名必须保证以下三点: (1) 接收者能够核实发送者对报文的签名； (2) 发送者事后不能抵赖对报文的签名； (3) 接收者不能伪造对报文的签名。 有多种实现数字签名的方法，采用公开密钥算法比常规

35、密钥算法更容易实现。,7-09,发送者 A 用接收方给定的公钥PKB 通过E运算对明文 X 进行加密，得于密文Y，发送给B。 B 用自己和私钥SKB 通过D运算进行解密，恢复出明文X。 虽然在计算机上可以容易产生成对的PKB和SKB。但从已知的PKB实际上不可能推导出SKB，即从PKB到SKB是“计算上不可能的”，所以公开了对安全性没有影响。 如果不公开对安全性也不会提高，因为任何加密方法取决于密码的长度，以及攻破密文所需的计算量。,7-10,采用公开密钥算法的数字签名算法如下: 发送者 A 用其秘密解密密钥 SKA 对报文 X 进行D运算，将结果 DSKA(K) 传送给接收B。B 用已知的

36、A 的公开加密密钥得出 EPKA(DSKA(X)=X。因为除 A 外没有别人能具A 的解密密钥 SKA，所以除 A 外没有别人能产生密文 DSKA(X)。这样，报文 X 就被签名了如图所示。,7-10,如果 A 要抵赖曾发送报文给 B，B 可以将 X 及 DSKA(X) 出示给第三者。第三者很容易用 PKA 去证实 A 确实发送消息 X 给 B。 反之，若 B 将 X 伪造成 X，则 B 不能 在第三者前出示 DSKA(X)。这样就证明了 B 伪造了报文。可见实现数字签名也同时实现了对报文来源的鉴别。,7-21,试述防火墙的工作原理和所提供的功能。什么叫做网络级防火墙和应用级防火墙？ 防火墙是一种特殊编程的路由器。防火墙技术是在内部网与外部网之间实施安全防范的最佳选择，目的是实现实施访问控制策略。 一是阻止：阻止某种类型的流量通过防火墙。 二是允许；与阻止相反。 访问级防火墙：主要是防止整个网络出现外来非法的入侵。（访问控制：限制他人进入内部网络，过滤掉不安全服务和非法用户：抗攻击：限定人们访问特殊站点；） 应用级防火墙：从应用程序来进行访问控制。例如只允许通过访问万维网的应用，而阻止FTP应用的通过。,7-21,防火墙是网络安全的重要一环，防火墙技术是在内部网与外部网之间实施安全防范的最佳选择，防火墙能防以下内容： （1）访问控制：限制他