2012软件水平考试软件设计师试题分析6

会计考友

试题（9）
某公司使用包过滤防火墙控制进出公司局域网的数据，在不考虑使用代理服务器的情况下，下面描述错误的是“该防火墙能够  （9）  ”。
（9）A．使公司员工只能访问Internet上与其有业务联系的公司的IP地址
. r( m2 g% G1 @3 q% S        B．仅允许HTTP协议通过
$ Q" {$ R* |7 ^. K* O        C．使员工不能直接访问FTP服务端口号为21的FTP服务
$ s% m) R+ L: p& E) |$ L3 B        D．仅允许公司中具有某些特定IP地址的计算机可以访问外部网络
试题（9）分析
( k: N. A9 ]7 P! F8 |9 c考点：考查包过滤防火墙的基础知识，尤其是它所工作的协议栈层次。
包过滤防火墙通常直接转发报文，它对用户完全透明，速度较快。包过滤防火墙一般有一个包检查模块（通常称为包过滤器），数据包过滤可以根据数据包中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在传输层和网络层。无论是源IP地址还是目的IP地址，都是网络层的IP地址，都在包过滤防火墙的控制范围内，因此，通过配置目的IP和源IP，可以实现A和D。默认情况下，FTP协议开放的端口号是21，它是传输层的TCP协议的端口号。因此，虽然FTP是应用层协议，但是通过包过滤防火墙限制TCP端口号，可以实现C。HTTP协议是超文本传输协议，它是应用层协议，包过滤防火墙无法实现对应用层协议的限制，所以无法实现B。
参考答案
$ R/ }1 x+ {0 D3 Q3 J（9）B