包过滤型防火墙通过()来确定数据包是否能通过。A.路由表B.ARP表C.NAT表D.过滤规则

正确答案：D
解析：通过在包过滤防火墙上设置访问控制规则(ACL)来允许某些IP数据包通过，或禁止某些IP数据包通过。根据网络系统的运行情况而自动调整的动态路由表或手工配置的静态路由表，用于决定所接收的IP数据包的传输路径(即从设备的哪个端口发送出去)。地址转换协议(ARP)表用于记录网络通信环境中近期常与之通信的网络设备的p地址和MAC地址的映射关系，以利于数据帧的快速转发。网络地址转换(NAT)表用于记录源IP地址、源端口号和目的IP地址、目的端口号之间的映射关系。

正确答案：D
解析：通过在包过滤防火墙上设置访问控制规则(ACL)来允许某些IP数据包通过，或禁止某些IP数据包通过。根据网络系统的运行情况而自动调整的动态路由表或手工配置的静态路由表，用于决定所接收的IP数据包的传输路径(即从设备的哪个端口发送出去)。地址转换协议(ARP)表用于记录网络通信环境中近期常与之通信的网络设备的IP地址和MAC地址的映射关系，以利于数据帧的快速转发。网络地址转换(NAT)表用于记录源IP地址、源端口号和目的IP地址、目的端口号之间的映射关系。

正确答案：D

正确答案：C
解析：通过在包过滤防火墙上设置访问控制规则(ACL)来允许某些IP数据包通过，或禁止某些IP数据包通过。包过滤方式是一种通用、廉价和有效的安全手段。其优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的，过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响；由于缺少上下文关联信息，不能有效地过滤诸如UDP、RPC(远程过程调用)一类的协议。另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。根据网络系统的运行情况，自动调整的动态路由表或手工配置的静态路由表，用于决定所接收的IP数据包的传输路径(即从设备的哪个端口发送出去)。地址转换协议(ARP)表用于记录网络通信环境中，近期常与之通信的网络设备的IP地址和MAC地址的映射关系，以利于数据帧的快速转发。网络地址转换(NAT)表用于记录源IP地址、源端口号和目的IP地址、目的端口号之间的映射关系。

正确答案：D
解析：包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。
  包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它在很大程度上满足了绝大多数企业的安全要求。
  在整个防火墙技术的发展过程中，包过滤技术出现了两种不同的版本，称为“第一代静态包过滤”和“第二代动态包过滤”。
  第一代静态包过滤类型防火墙
  这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(如TCP、UDP和ICMP等)、 TCP/UDP目标端口和ICMP消息类型等。
  第二代动态包过滤类型防火墙
  这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。
  包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足：在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC(远程过程调用)一类的协议。另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。