单选题在包过滤防火墙中，定义数据包过滤规则的是（）。A 路由表B ARPC NATD ACL

正确答案：A
解析：包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，故选A)。

正确答案：B
解析：防火墙总体上分为包过滤、应用级网关等类型，代理服务器也属于应用级网关类型。应用级网关控制着对应用程序的访问，即允许或阻止某些应用程序访问其他应用程序，在应用层上实现协议过滤和转发。同时，还对数据包进行必要的分析和统计。

参考答案：D

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为"第一代静态包过滤"和"第二代动态包过滤"。
①第一代静态包过滤类型防火墙。这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议（TCP、UDP、ICMP等）、TCP/UDP目标端口、ICMP消息类型等。
②第二代动态包过滤类型防火墙。这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。
包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到"地址欺骗型"攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

正确答案：D

答案：ABCD

正确答案：C
解析：通过在包过滤防火墙上设置访问控制规则(ACL)来允许某些IP数据包通过，或禁止某些IP数据包通过。包过滤方式是一种通用、廉价和有效的安全手段。其优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的，过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响；由于缺少上下文关联信息，不能有效地过滤诸如UDP、RPC(远程过程调用)一类的协议。另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。根据网络系统的运行情况，自动调整的动态路由表或手工配置的静态路由表，用于决定所接收的IP数据包的传输路径(即从设备的哪个端口发送出去)。地址转换协议(ARP)表用于记录网络通信环境中，近期常与之通信的网络设备的IP地址和MAC地址的映射关系，以利于数据帧的快速转发。网络地址转换(NAT)表用于记录源IP地址、源端口号和目的IP地址、目的端口号之间的映射关系。

正确答案：D

答案：D

解析：