免费智能真题库 > 历年试卷 > 系统架构设计师 > 2015年下半年 系统架构设计师 上午试卷 综合知识
  第67题      
  知识点:   防火墙   数据备份   网络规划与设计   备份策略   财务系统   地址映射   交换机   迁移   缺点   虚拟化技术   业务需求   应用服务
  关键词:   备份策略   地址映射   防火墙   服务器   故障   交换机   数据备份   虚拟化   虚拟机   需求   数据        章/节:   数据通信与计算机网络       

 
某高校欲构建财务系统,使得用户可通过校园网访问该系统。根据需求,公司给出如下2套方案。
方案一:
1)出口设备采用一台配置防火墙板卡的核心交换机,并且使用防火墙策略将需要对校园网做应用的服务器进行地址映射
2)采用4台高性能服务器实现整体架构,其中3台作为财务应用服务器、1台作为数据备份管理服务器;
3)通过备份管理软件的备份策略将3台财务应用服务器的数据进行定期备份。
方案二:
1)出口设备采用1台配置防火墙板卡的核心交换机,并且使用防火墙策略将需要对校园网做应用的服务器进行地址映射
2)采用2台高性能服务器实现整体架构,服务器采用虚拟化技术,建多个虚拟机满足财务系统业务需求。当一台服务器出现物理故障时将业务迁移到另外一台物理服务器上。
与方案一相比,方案二的优点是(67)。方案二还有一些缺点,下列不属于其缺点的是(68)。
 
 
  A.  网络的安全性得到保障
 
  B.  数据的安全性得到保障
 
  C.  业务的连续性得到保障
 
  D.  业务的可用性得到保障
 
 
 

 
  第15题    2013年下半年  
   48%
主机PC对某个域名进行查询,最终由该域名的授权域名服务器解析并返回结果,查询过程如下图所示。这种查询方式中不合理的是(15)。..
  第14题    2012年下半年  
   60%
以下关于域名服务器的叙述,错误的是(14)。
  第13题    2018年下半年  
   57%
若信息码字为111000110,生成多项式G(x)=x5+x3+x+1,则计算出的CRC校验码为( )。
   知识点讲解    
   · 防火墙    · 数据备份    · 网络规划与设计    · 备份策略    · 财务系统    · 地址映射    · 交换机    · 迁移    · 缺点    · 虚拟化技术    · 业务需求    · 应用服务
 
       防火墙
        防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制,防火墙适合于相对独立的网络。
        实现防火墙的产品主要两大类:一类是网络级防火墙,另一类是应用级防火墙。
               网络级防火墙
               网络级防火墙也称为过滤型防火墙,事实上是一种具有特殊功能的路由器,采用报文动态过滤技术,能够动态地检查流过的TCP/IP报文或分组头,根据企业所定义的规则,决定禁止某些报文通过或者允许某些报文通过,允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。
               状态检测防火墙又称动态包过滤,是在传统包过滤上的功能扩展。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。
               状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接,当反向应答分组送达时,就认为一个虚拟连接已经建立。
               包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到地址欺骗型攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常和应用网关配合使用,共同组成防火墙系统。
               应用级防火墙
               应用级防火墙也称为应用网关型防火墙,目前已大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装对应于每种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。例如对外部用户(或内部用户)的FTP、TELNET、SMTP等服务请求,检查用户的真实身份、请求合法性和源与目的地IP地址等,从而由网关决定接受或拒绝该服务请求,对于可接受的服务请求由代理服务机制连接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。
               目前常用的应用级防火墙大至上有4种类型,分别适合于不同规模的企业内部网:双穴主机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器。一个共同点是需要有一台主机(称为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。
               (1)双穴主机(dual-homed)网关:由堡垒主机作为应用网关,其中装有两块网卡分别连接外因特网和受保护的内部网,该主机运行防火墙软件,具有两个IP地址,并且能隔离内部主机与外部主机之间的所有可能连接。
               (2)屏蔽主机(screened host)网关:也称甄别主机网关。在外部Internet与被保护的企业内部网之间插入了堡垒主机和路由器,通常是由IP分组过滤路由器去过滤或甄别可能的不安全连接,再把所有授权的应用服务连接转向应用网关的代理服务机制。
               (3)屏蔽子网(screened subnet)网关:也称甄别子网网关,适合于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立子网,例如在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关),内部网与外部网各有一个分组过滤路由器,可根据不同甄别规则接受或拒绝网络通信,子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的唯一系统。
 
       数据备份
        备份(转储)是指DBA定期地将整个数据库复制到磁带或另一个磁盘上保存起来的过程。这些备用的数据文本称为后备副本(后援副本)。当数据库遭到破坏后就可以利用后备副本把数据库恢复,这时,数据库只能恢复到备份时的状态,从那以后的所有更新事务必须重新运行才能恢复到故障时的状态。
        备份可分为静态备份(冷备份)和动态备份(热备份)。静态备份是指备份期间不允许(或不存在)对数据库进行任何存取、修改活动。静态备份简单,但备份必须等待用户事务结束才能进行,同样,新的事务必须等待备份结束才能执行。显然,这会降低数据库的可用性;动态备份是指备份期间允许对数据库进行存取或修改,即备份和用户事务可以并发执行。动态备份可克服静态备份的缺点,但是,备份结束时后援副本上的数据并不能保证正确有效。
        备份还可以分为海量备份和增量备份。海量备份是指每次备份全部数据库。增量备份则指每次只备份上次备份后更新过的数据。如果数据库很大,事务处理又十分频繁,则增量备份方式是很有效的。
 
       网络规划与设计
        我们在网络建设前都要做一个需求分析工作,否则,网络建立起来就带有盲目性,轻则造成网络资源浪费或网络瓶颈,重则使网络瘫痪,损失无法估量的数据资源。网络建设前的需求分析,就是要规划网络建设所要做的工作。根据用户提出的要求,进行网络的设计。可以这么说,网络建设的好坏、快慢、可持续发展性等,都将取决于网络实施前的规划工作。
        (1)网络的功能要求。任何网络都不可能是一个可以进行各种各样工作的“万能网”,因此,必须针对每一个具体的网络,依据使用要求、实现成本、未来发展、总预算投资等因素仔细地反复推敲,尤其是分析出网络系统要完成的所有功能。
        (2)网络的性能要求。根据对网络系统的相应时间、事物,处理的实时性进行研究,确定系统需要的存储量及备用的存储量。根据网络的工作站权限、容错程度、网络安全性方面的要求等,确定采取何种措施及方案。
        (3)网络运行环境的要求。根据整个局域网运行时所需要的环境要求,确定使用哪种网络操作系统、应用系统以及相应的应用软件和共享资源。
        (4)网络的可扩充性和可维护性要求。如何增加工作站、怎样与其他网络联网、对软件/硬件的升级换代有何要求与限制等,都要在网络设计时加以考虑,以保证网络的可扩充性和可维护性。通常新建网络时都会给这个局域网提出一些有关使用寿命、维护代价等的要求。
        在网络设计方面,主要采用层次式方法。层次式网络设计在互联网组件的通信中引入了3个关键层的概念,分别是核心层、汇聚层和接入层。
        通常将网络中直接面向用户连接或访问网络的部分称为接入层,将位于接入层和核心层之间的部分称为分布层或汇聚层。接入层的目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。
        汇聚层交换机是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。汇聚层是核心层和终端用户接入层的分界面,汇聚层完成了网络访问策略控制、数据包处理、过滤、寻址,以及其他数据处理的任务。
        将网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供优化、可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性、性能和吞吐量。核心层为网络提供了骨干组件或高速交换组件,在纯粹的分层设计中,核心层只完成数据交换的特殊任务。
 
       备份策略
        (1)完全备份。
        (2)增量备份。
        (3)差异备份。
        同时,备份应有适当的实体及环境保护,并定期进行测试以保证关键时刻的可用性。备份资料的保存时间及是否永久保存由资料的拥有者来决定。
 
       财务系统
        财务是企业四大职能之一,它实际上包括了两大部分,一部分是会计,一部分是财务。会计主要的任务是记账,使资金的运作不发生差错;而财务则更多关心如何运作好资金,使其产生效益。
               会计信息系统
               会计信息系统的主要任务是保证记账的正确性。手工记账没有不出差错的情况,即使是计算机记账,也不能保证没有差错。防止差错不只是要防止人的疏忽,而且要防止人的有意破坏,如贪污、作弊等,因而要保证手续的严格完善和没有漏洞。复式记账方法已应用一百多年,至今仍然是最有效的方法。目前的会计主要涉及的是历史的数据,根据这些报表产生一些综合数据的报表,如收入表(income statement)和平衡表(balance sheet)。但现代的会计也开始向财务延伸,涉及未来的数据,如获利能力计算,责任会计。所以尽管当代会计系统已经相当成熟,但不意味着它就不要变化,随着信息技术的发展,随着经济全球化,会计制度和会计信息经济系统均会引起变化。
               会计信息系统最成熟的部分和最固定的部分是记账部分,这部分几乎已经定型,各种企业几乎相同。此外还包括订单处理、库存处理、会计应收/应付、工资、总账和财务报告子系统等,其基本结构如下图所示。
               
               会计信息系统
               (1)订单处理子系统。订单处理子系统接受和处理顾客的订单,并产生给顾客的发票和进行销售分析的数据。当顾客送来订单时,订货处理系统可以校核顾客的信誉,即衡量他的付款能力,从而产生接收订货和拒绝订货的决定。
               (2)库存子系统。库存子系统包括采购和库存处理系统两大部分。采购包括选择供应商,得到口头允诺,准备采购文件,关闭采购订单。和采购相联系的就是接收,接收包括处理接收和通知其他系统。库存处理根据库存文件,核对账目状况,填好订单中项目,并给顾客开发票,开好订单通知会计应收子系统,并提供总账数据。
               (3)会计应收/应支子系统。应收子系统的功能是加入新的应收项目,它由开票后的订单出发,一般每日一次批处理;删除已付的项目,从而真实地反映对顾客的业务;准备报表,一般发货后给顾客30天时间付清货款,如30天已过则计算拖欠货款。每个月信用卡公司都要给公司一个拖欠货款的报告,这些报表每行代表一个发票,全表列出未付账目;会计应收也给总账提供数据。会计应支子系统设立会计应付记录,进行向供应商付款,删除付过的支出,提供总账数据。
               (4)总账子系统。总账子系统是综合各子系统的数据提供一个企业运营的全貌。它又包括两个子系统,一是总账更新系统,一是报告准备系统。
               财务信息系统
               财务的总目标是利用资金和剩余资金进行最优投资。财务信息系统就是为协助主管达到以上目标的计算机系统,一般除了会计信息系统外,还包括内部审查子系统、财务情报子系统、输出子系统、预测子系统、资金管理子系统和财务控制子系统。
               (1)内部审查子系统。内部审查子系统实际上也是会计功能。审计包括财务审计和运营审计。财务审计主要看公司的财务记录是否正确,钱账是否一致。而运营审计是审计财务手续是否完备、高效,它往往和信息系统的再设计联系在一起。审计可以请外部审计公司来进行,也可由公司内部组织进行。外部公司审计的最大好处在于客观性和其知识的全面性。内部审计只有在大公司才可能有常设的机构。运营审计一般应有信息系统分析员参加。
               (2)财务情报子系统。财务情报子系统向股票持有者(股东)、财务社团以及政府机构提供信息,帮助了解公司经济环境。公司每年要给股东报告,说明投资效益包括股票的年增长率、与500家大公司平均指数比较,各种产品的赢利比例等,每年还要召开股东大会,大的公司均设有股东联络部掌管这方面工作。他们还负责收集股东的意见和建议,并及时和股东沟通。财务情报子系统还负责从政府报告、期刊、网上数据库收集经济信息,以便分析经济形势。
               (3)输出子系统。输出子系统是财务系统的主要部分,它们能帮助公司进行财务决策。
               (4)预测子系统。预测子系统可以利用数学模型进行短期和长期的预测。短期预测包括一周、一月、最多一年的预测,也有短至一天的预测。长期预测则最短为一年,可能2—3年、5年甚至十几年。短期预测一般使用移动平均数法、指数平滑法模型,而中长期预测则要使用拟合模型、回归模型或系统动力学模型等。
               (5)资金管理子系统。资金管理子系统可以说是财务系统的最重要的子系统。它帮助企业实现两个目标:第一,保证收入流大于消耗支出流;第二,保证这个条件在全年是稳定的。为此要进行现金流分析,信息系统可以进行这种模拟,以达到折衷,使总效益最好。现金和证券管理也是财务管理的重要内容,它应使现金较快流动而不要呆滞。用计算机模拟寻求最佳的现金来源,并处理多余现金的投资问题,确定合理的证券组合、资金组合。
               (6)财务控制子系统。财务控制子系统要控制一些支出和控制一些企业性能的参数。控制的支出包括销售、电话、租金、办公用品等,它可以给出表格以便管理人员发现问题。财务系统往往还会用到电子报表,决策支持系统的“what-if”分析功能等。
 
       地址映射
        如前所述,当一个任务被加载到内存后,它的各个连续的逻辑页面,被分散地存放在若干个不连续的物理页面当中。在这种情形下,为了保证程序能够正确地运行,需要把程序中使用的逻辑地址转换为内存访问时的物理地址,也就是地址映射。
        那么如何将一个逻辑地址映射为相应的物理地址呢?在页式存储管理当中,连续的逻辑地址空间被划分为一个个的逻辑页面,这些逻辑页面被装入到不同的物理页面当中。也就是说,系统是以页面为单位来进行处理的,而不是以一个个的字节为单位。因此,地址映射的基本思路是:
        .逻辑地址分析:对于给定的一个逻辑地址,找到它所在的逻辑页面,以及它在页面内的偏移地址;
        .页表查找:根据逻辑页面号,从页表中找到它所对应的物理页面号;
        .物理地址合成:根据物理页面号及页内偏移地址,确定最终的物理地址。
               逻辑地址分析
               由于页面的大小一般都是2的整数次幂,因此,人们可以很方便地进行逻辑地址的分析。具体来说,对于给定的一个逻辑地址,可以直接把它的高位部分作为逻辑页面号,把它的低位部分作为页内偏移地址。例如,假设页面的大小是4KB,即212,逻辑地址为32位。那么在一个逻辑地址当中,最低的12位就是页内偏移地址,而剩下的20位就是逻辑页面号。
               下图是逻辑地址分析的一个例子,在这个例子中,逻辑地址用十六进制形式表示。假设页面的大小为1KB,逻辑地址为0x3BAD。在这种情形下,首先把这个十六进制的地址展开为二进制的形式。然后,由于页面的大小为1KB,即2的10次方,所以这个逻辑地址的最低10位,就表示页内偏移地址,而剩下的最高6位,就表示逻辑页面号。因此,该地址的逻辑页面号是0x0E,页内偏移地址是0x03AD。
               
               逻辑地址分析的例子
               如果逻辑地址不是用十六进制,而是用十进制的形式来表示,那么有两种做法:一是先把它转换为十六进制的形式,然后重复刚才的步骤。二是采用如下的计算方法:
               逻辑页面号=逻辑地址/页面大小
               页内偏移量=逻辑地址%页面大小
               用页面大小去除逻辑地址,得到的商就是逻辑页面号;得到的余数就是页内偏移地址。例如,假设页面的大小为2KB,现在要计算逻辑地址7145的逻辑页面号和页内偏移地址。用2048去除7145,得到的商是3,余数是1001。所以这个逻辑地址的逻辑页面号是3,页内偏移地址是1001。实际上,这个算法和刚才的十六进制的方法是完全等价的。从二进制运算的角度来看,一个是右移操作,一个是除法操作。把一个整数右移N位等价于把它除以2N
               页表查找
               对于给定的一个逻辑地址,如果知道其逻辑页面号,就可以去查找页表,从中找到相应的物理页面号。
               在具体实现上,页表通常是保存在内核的地址空间中,因为它是操作系统的一个数据结构。另外,为了能够访问页表的内容,在硬件上要增加一对寄存器。一个是页表基地址寄存器,用来指向页表的起始地址;另一个是页表长度寄存器,用来指示页表的大小,即对于当前任务,它总共包含有多少个页面。操作系统在进行任务切换的时候,会去更新这两个寄存器当中的内容。
               物理地址合成
               对于给定的一个逻辑地址,如果已经知道了它所对应的物理页面号和页内偏移地址,可以采用简单的叠加算法,计算出最终的物理地址。假设物理页面号为f,页内偏移地址为offset,每个页面的大小为2n,那么相应的物理地址为:f×2n+offset。
               下图是页式存储管理当中的地址映射机制,也是以上各个步骤的一个综合。假设在程序的运行过程中,需要去访问某个内存单元,因此就给出了这个内存单元的逻辑地址。如前所述,这个逻辑地址由两部分组成,一是逻辑页面号,二是页内偏移地址。这个分析工作是由硬件自动来完成的,对用户是透明的。在页表基地址寄存器当中,存放的是当前任务的页表首地址。将这个首地址与逻辑页面号相加,就找到相应的页表项。里面存放的是这个逻辑页面所对应的物理页面号。将这个物理页面号取出来,与页内偏移地址进行组合,从而得到最终的物理地址。然后就可以用这个物理地址去访问内存。
               
               页式存储管理中的地址映射
               现有的这种地址映射方案,虽然能够实现从逻辑地址到物理地址的转换,但它有一个很大的问题。当程序运行时需要去访问某个内存单元,例如,去读写内存当中的一个数据,或是去内存取一条指令,需要访问2次内存。第一次是去访问页表,取出物理页面号;第二次才是真正去访问数据或指令。也就是说,内存的访问效率只有50%。这样,就会降低获取数据的存取速度,进而影响到整个系统的使用效率。为了解决这个问题,人们又引入了快表的概念。它的基本思路来源于对程序运行过程的一个观察结果。对于绝大多数的程序,它们在运行时倾向于集中地访问一小部分的页面。因此,对于它们的页表来说,在一定时间内,只有一小部分的页表项会被经常地访问,而其他的页表项则很少使用。根据这个观察结果,人们在MMU中增加了一种特殊的快速查找硬件:TLB(Translation Lookaside Buffer),或者叫关联存储器,用来存放那些最常用的页表项。这种硬件设备能够把逻辑页面号直接映射为相应的物理页面号,不需要再去访问内存当中的页表,这样就缩短了页表的查找时间。
               在TLB方式下,地址映射的过程略有不同。当一个逻辑地址到来时,它首先会到TLB当中去查找,看这个逻辑页面号所在的页表项是否包含在TLB当中,这个查找的速度是非常快的,因为它是以并行的方式进行。如果能够找到的话,就直接从TLB中把相应的物理页面号取出来,与页内偏移地址拼接成最终的物理地址。如果在TLB中没有找到该逻辑页面,那只能采用通常的地址映射方法,去访问内存当中的页表。接下来,硬件还会在TLB当中寻找一个空闲单元,如果没有空闲单元,就把某一个页表项驱逐出来,然后把刚刚访问过的这个页表项添加到TLB当中。这样,如果下次再来访问这个页面,就可以在TLB中找到它。
               页式存储管理方案的优点是:
               (1)没有外碎片,而且内碎片的大小不会超过页面的大小。这是因为系统是以页面来作为内存分配的基本单位,每一个页面都能够用上,不会浪费。只是在任务的某一些页面当中,可能没有装满,里面有一些内碎片。
               (2)程序不必连续存放,它可以分散地存放在内存的不同位置,从而提高了内存利用率。
               (3)便于管理。
               页式存储管理方案的缺点主要有:
               (1)程序必须全部装入内存,才能够运行。如果一个程序的规模大于当前的空闲空间的总和,那么它就无法运行。
               (2)操作系统必须为每一个任务都维护一张页表,开销比较大。简单的页表结构已经不能满足要求,必须设计出更为复杂的结构,如多级页表结构、哈希页表结构、反置页表等。
 
       交换机
        交换机是一个具有简化、低价、高性能和高端口密集特点的交换产品,它是按每一个包中的MAC地址相对简单地决策信息转发,而这种转发决策一般不考虑包中隐藏的更深的其他信息。交换机转发数据的延迟很小,操作接近单个局域网性能,远远超过了普通桥接的转发性能。交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。
        交换机的工作过程为:当交换机从某一节点收到一个以太网帧后,将立即在其内存中的地址表(端口号一MAC地址)进行查找,以确认该目的MAC的网卡连接在哪一个节点上,然后将该帧转发至该节点。如果在地址表中没有找到该MAC地址,也就是说,该目的MAC地址是首次出现,交换机就将数据包广播到所有节点。拥有该MAC地址的网卡在接收到该广播帧后,将立即做出应答,从而使交换机将其节点的“MAC地址”添加到MAC地址表中。
        交换机的三种交换技术:端口交换、帧交换和信元交换。
        (1)端口交换技术用于将以太模块的端口在背板的多个网段之间进行分配、平衡。
        (2)帧交换技术对网络帧的处理方式分为直通交换和存储转发。其中,直通交换方式可提供线速处理能力,交换机只读出网络帧的前14个字节,便将网络帧传送到相应的端口上;存储转发方式通过对网络帧的读取进行验错和控制。
        (3)信元交换技术采用长度(53个字节)固定的信元交换,由于长度固定,因而便于用硬件实现。
 
       迁移
        选择一个适当的迁移时间,最好定在单位事务不繁忙的时候(如周末)。事先做好系统软件和数据的备份,然后逐步将原有系统安装部署到新网络中,并做好相关设备的配置。要一边安装一边测试,注意不但要用管理员身份测试,还要用普通用户身份测试,以确保迁移后的系统与原有系统一致。
 
       缺点
        包过滤路由器的缺点:
        (1)配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或错误配置了已有的规则,在防火墙上留下漏洞。然而在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面的配置和更直接的规则定义。
        (2)为特定服务开放的端口存在着危险,可能会被用于其他传输。例如,Web服务器默认端口为80,当计算机上又安装了RealPlayer,软件会自动搜寻可以允许连接到RealAudio服务器的端口,而不管这个端口是否被其他协议所使用,这样无意中RealPlayer就利用了Web服务器的端口。
        (3)可能还有其他方法绕过防火墙进入网络,如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。
        总的来说,包过滤路由器有维护困难、不支持用户鉴别的缺点。
 
       虚拟化技术
        虚拟化或虚拟技术(Virtualization)是一种资源管理技术,是将计算机的各种实体资源(CPU、内存、磁盘空间、网络适配器等)予以抽象、转换后呈现出来,并可供分割、组合为一个或多个电脑配置环境。云计算中的虚拟化往往指的是系统虚拟化。
        系统虚拟化是指将一台物理计算机系统虚拟化为一台或多台虚拟计算机系统。每个虚拟计算机系统(简称虚拟机)都拥有自己的虚拟硬件(如CPU、内存和设备等),来提供一个独立的虚拟机执行环境,被称为虚拟机监控器(Virtual Machine Monitor,VMM)。虚拟机基本结构如下图所示。
        
        虚拟机结构示意图
        当前主流的虚拟化技术实现结构可以分为三类:Hypervisor模型、宿主模型和混合模型。在Hypervisor模型中,VMM可以看作是一个扩充了虚拟化功能的操作系统,对底层硬件提供物理资源的管理功能,对上层的客户机操作系统提供虚拟环境的创建和管理功能。宿主模型中,VMM作为宿主操作系统独立的内核模块。物理资源由宿主机操作系统管理,VMM提供虚拟化管理。宿主模型和Hypervisor模型的优缺点恰好相反。宿主模型的最大优点是可以充分利用现有操作系统的设备驱动程序以及其他功能,缺点是虚拟化效率较低,安全性取决于宿主操作系统。而Hypervisor模型虚拟化效率高、安全,但是需要自行开发设备驱动和其他一些功能。混合模型集成了上述两类模型的优点。混合模型中,VMM让出大部分I/O设备的控制权,将它们交由一个运行在特权虚拟机中的特权操作系统来控制。因此,混合模型下CPU和内存的虚拟化由VMM负责,而I/O虚拟化由VMM和特权操作系统共同合作完成。
 
       业务需求
        网络系统是为一个集体提供服务的,对于该集体内的不同用户,需要收集特定的业务信息,包括以下内容。
        (1)确定结构组织。业务需求的第一步就是获取组织结构图,了解集体中的岗位设置及岗位职责。
        (2)确定关键时间点。对于大型项目,必须制订严格的项目实施计划,确定各个阶段关键的时间点。
        (3)确定网络投资规模。在整个网络的设计和实施中,费用是一个主要考虑的因素。
        (4)确定业务活动。主要通过对业务的分析,形成各类业务的网络需求,主要包括最大用户数、并发用户数、峰值带宽和正常带宽等。
        (5)预测增长率。通过对网络发展趋势的分析,明确网络的伸缩性需求。
        (6)确定网络的可靠性和可用性。网络设计人员在进行需求分析的过程中,首先应获取行业的网络可靠性和可用性标准,并根据标准与用户进行交流,确定特殊的要求。
        (7)确定Web站点和Internet连接。
        (8)确定网络的安全性。
        (9)确定远程接入方式。
 
       应用服务
        电子商务应用是企业利用电子手段展开商务活动的核心,也是电子商务系统组成的核心部分,是通过应用程序来实现的。事实上,企业商务服务的业务逻辑规划是否合理,直接影响到电子商务系统的功能。
   题号导航      2015年下半年 系统架构设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第67题    在手机中做本题