简述防火墙的设计须遵循的基本原则。答：（1）由内到外和由外到内的业务流必须经过防火墙。（2）只允许本地安全政策认可的业务流必须经过防火墙。（3）尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网。（4）具有足够的透明性，保证正常业务的流通。（5）具有抗穿透性攻击能力，强
f化记录，审计和告警。27，目前防火墙的控制技术可分为：包过滤型，包检验型以及应用层网关型三种。28，防火墙不能解决的问题有哪些？答：（1）如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。（2）防火墙无法防范通过防火墙以外的其他途径的攻击。（3）防火墙不能防止来自内部变节者和不经心的用户带来的威胁。（4）防火墙也不能防止传送已感染病毒的软件或文件。（5）防火墙无法防范数据驱动型的攻击。29，VPN提供哪些功能？答：加密数据：以保证通过公网传输的信息即使被他人截获也不会泄露。信息认证和身份认证：保证信息的完整性，合法性，并能鉴用户的身份。提供访问控制：不同的用户有不同的访问权限。30，简述隧道的基本组成。答：一个隧道启动器，一个路由网络，一个可选的隧道交换机，一个或多个隧道终结器。31，IPSec提供的安全服务包括：私有性（加密），真实性（验证发送者的身份），完整性（防数据篡改）和重传保护（防止未经授权的数据重新发送）等，并制定了密钥管理的方法。32，选择VPN（虚拟专用网）解决方案时需要考虑哪几个要点？答：（1）认证方法；（2）支持的加密算法。（3）支持的认证算法。（4）支持IP压缩算法。（5）易于部署。（6）兼容分布式或个人防火墙的可用性。33，简述VPN的分类。答：按VPN的部署模式分，VPN的部署模式从本质上描述了VPN的通道是如何建立和终止的，一般有三种VPN部署模式：端到端模式；供应商到企业模式；内部供应商模式。按VPN的服务类型分，VPN业务大致可分为三类：i
ter
etVPNAccessVPN和Extra
etVPN34，简述VPN的具体实现即解决方案有哪几种？答：（1）虚拟专用拨号网络，用户利用拨号网络访问企业数据中心，用户从企业数据中心获得一个私有地址，但用户数据可跨公共数据网络传输。（2）虚拟专用路由网络，它是基于路由的VPN接入方式。（3）虚拟租用线路，是基于虚拟专线的一种VPN，它在公网上开出各种隧道，模拟专线来建立VPN（4）虚拟专用LAN子网段，是在公网上用隧道协议仿真出来一个局域网，透明地提供跨越r