网络面试100问（十）

目录

91、什么是数字证书？

92、 CA 是什么？

93、 什么是 PKI？

94、 什么是 DDOS 攻击？和 DOS 攻击有什么区别？

95、 什么是防火墙？工作原理是什么？

96、 谈谈会话表的如何建立以及作用？

97、 防火墙如何处理FTP协议的防御问题？

98、 描述一下手机上网的过程？

99、 什么是 1G/2G/3G/4G/5G 谈谈你的认识

100、DNS什么时候采用TCP协议？什么时候采用UDP协议？为什么要这么设计？

---

91、什么是数字证书？

数字证书（”digital certificate”或“public key certificate”)是指在互联网通讯中标志通讯各方身份信息的一个数字认证，在网上用它来识别对方的身份。数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。从本质上来说是一种电子文档，证明了某某东西确实是某某东西（A的公钥确实是A的）。

92、 CA 是什么？

CA（ Certificate Authority ）也叫“证书授权中心”。负责发放和管理数字证书的权威机构。一般来说，CA必须是所有行业和所有公众都信任的、认可的，因此它必须具有足够的权威性。作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET（安全电子交易）交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

93、 什么是 PKI？

• PKI（公开密钥体系，Public Key Infrastructure）是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。
• PKI 技术采用证书管理公钥，通过第三方的可信任机构——CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。

PKI：是创建、颁布、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。核心元素是数据证书，核心执行者是CA认证机构。

94、 什么是 DDOS 攻击？和 DOS 攻击有什么区别？

分布式拒绝服务，是基于DOS攻击的一种攻击收发，也叫洪泛攻击，攻击者向服务器发送海量的数据包，耗尽服务器的计算资源与内存，让服务器无法处理正常的业务请求，最终导致网络瘫痪。DDOS攻击与DOS攻击的区别在于，单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击。分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机（僵尸网络），同时向服务器发起攻击性行为。

95、 什么是防火墙？工作原理是什么？

防火墙主要是借助硬件和软件在内部和外部网络的环境间产生一种保护的屏障，用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置。

防火墙的本质是查看会话表

• 报文到达防火墙，先查看是否有会话表匹配。如果有会话表匹配，则匹配会话表转发；如果没有匹配会话表，看是否能够创建会话表（首包创建）。
• 先匹配路由表，再匹配安全策略

防火墙：https://blog.csdn.net/weixin_43997530/article/details/107022680

96、 谈谈会话表的如何建立以及作用？

会话表提出的思想是将网络中的流量按照流去匹配，而不是包。当一个数据流的首包到达防火墙，先查看是否有会话表匹配。如果有会话表匹配，则匹配会话表转发；如果没有匹配会话表，看是否能够创建会话表（只有首包创建）。后续的数据流匹配到会话表时，会直接进行转发，这大大提高了转发的效率，安全性也比较好。

详细的会话表包括：

1. 协议：指明会话的协议
2. VPN：在虚拟防火墙中使用
3. ID，标志唯一的会话
4. ZONE（区域），指明流量的区域走向。
5. TTL，会话的老化时间。
6. Left：会话剩余时间
7. Output-interface：出接口
8. NextHop:下一跳
9. MAC：MAC地址
10. 反向流量统计
11. 正向流量统计
12. 五元组，源地址：源端口–>目的地址：目的端口
13. PolicyName：匹配的策略名称

97、 防火墙如何处理FTP协议的防御问题？

• 由于FTP协议要使用两条通道，一条是控制通道，一条是数据通道，而在建立数据通道时，还存在主动和被动，所以这对于防火墙的防御就出现了一些问题，由于在开启数据通道时，启用的端口号为随机的，而防火墙很有可能没有监听这个端口，所以会造成数据通道连接的中端。如果防火墙上开启了NAT，客户端和服务端的连接出现问题。
• 首先来看NAT对连接的影响，为成功进行FTP数据传输，要求在主动模式下要求客户机前端的防火墙在启用NAT后能对FTP应用进行审查和跟踪，识别并改写PORT指令中的客户端地址信息；被动模式下则要求服务器前端的防火墙能改写服务器响应PASV指令后返回数据包中的服务器地址信息。当然，为保险起见，为保证FTP应用的正常使用，建议两端的防火墙都需要支持对FTP进行识别和内容审查。
• 其次是防火墙问题，为了简化防火墙策略的配置又兼顾安全策略要求，客户机选择被动模式进行数据连接较好，不需要对其前端的防火墙设置特别的访问控制策略，但要求服务器前端的防火墙能动态打开数据连接所需的随机端口；服务器端则选择主动连接较好，为允许客户端的访问，其前端防火墙的访问控制策略仅需要显式对外开放21端口即可，但需要客户机前端的防火墙能动态打开数据连接所需的端口。

参考：https://blog.csdn.net/weixin_33936401/article/details/86301667

98、 描述一下手机上网的过程？

1. 手机开机、扫频：手机开机以后，立刻开始扫描网络，寻找可用的频点；
2. 手机锁频（FCCH）：手机找到可用频点后，通过 FCCH 信道上的“频率校正信号”，锁定该频点频率；
3. 手机同步（SCH）：手机锁定该频点后，通过 SCH 信道上的“同步信号”与该频点的 0 时隙同步；
4. 手机接收系统消息（BCCH）：手机与该频点的0时隙同步后，就可以从该时隙获取该频点所在小区的系统消息。系统消息的内容很多，在这一步，手机主要通过系统消息确定该频点是否为该手机所在网络（移动、联通）的频点，如果是，手机将开始接入过程；如果不是，手机会放弃该频点，继续扫频，寻找其他频点。
5. 手机（MS）向基站（BTS）发送“接入请求”消息（RACH）：手机向基站发出“接入请求”，要求基站给它分配一个SDCCH信道。
6. 基站（BTS）向手机（MS）发送“接入允许”消息（AGCH）：如果基站有信令信道资源，就会向手机发送“接入允许”消息，并在该消息中告知手机所需的 SDCCH 信道号；
7. 手机（MS）向基站（BTS）发送“位置更新请求”消息（SDCCH）：在“位置更新请求”消息中，手机会将其 IMSI 号码上报给 BTS，由 BTS 上报给 BSC－>MSC－>HLR，以检验手机用户的合法性；
8. 基站（BTS）向手机（MS）发送“位置更新接受”消息（SDCCH）：如果通过检测，发现用户的 IMSI 是合法的，基站就会向手机发送“位置更新接受”消息； 如果发现用户的IMSI是非法的，基站就会向手机发送“位置更新拒绝”消息，并说明拒绝的原因；
9. 手机显示网标，上网成功。（某些型号的手机，在“位置更新接受”消息下发之前，就把网标显示出来了，这时手机实际并未上网，即所谓的“假上网”）

其他信道的作用如下：

• PCH（寻呼信道）用于手机做被叫，寻呼该手机的消息，通过该信道发送；
• ACCH（随路控制信道，包括 SACCH 和 FACCH）用于手机在通话期间传送必要的信令消息，如切换。所谓的随路，就是在“话路”中传送信令消息，区别于只用于传送信令的 SDCCH信道。

99、 什么是 1G/2G/3G/4G/5G 谈谈你的认识

1G：第一代移动通信技术（1G）是指最初的模拟、仅限语音的蜂窝电话标准，制定于上世纪80年代。Nordic移动电话（NMT）就是这样一种标准。1G模拟通信，抗干扰性能差；同时简单的使用FDMA技术使得频率复用度和系统容量都不高。模拟蜂窝服务在许多地方正被逐步淘汰。

2G，第二代手机通信技术规格，以数字语音传输技术为核心。一般定义为无法直接传送如电子邮件、软件等信息；只具有通话和一些如时间日期等传送的手机通信技术规格。第二代移动通信技术加入了更多的多址技术，包括TDMA和CDMA

3G是第三代移动通信技术，是指支持高速数据传输的蜂窝移动通讯技术。3G服务能够同时传送声音及数据信息。3G是将无线通信与国际互联网等多媒体通信结合的一代移动通信系统。相对于2G来说主要采用了CDMA技术，扩展了频谱，增加了频谱利用率，提升了速率，更加利于Internet业务，同时3G的演进技术将多种多址方式进行了结合，使用了更高阶的调制技术和编码技术，还采用了包括多载波捆绑、MIMO等新技术，使得速率进一步提升。

4G通信技术是第四代的移动信息系统，是在3G技术上的一次更好的改良，其相较于3G通信技术来说一个更大的优势，是将WLAN技术和3G通信技术进行了很好的结合，使图像的传输速度更快，网络结构也改成基站直连核心网，整个网络更加扁平化，降低时延。核心网方面抛弃了电路域，核心网迈向全IP化。空中接口的关键技术也抛弃3G的CDMA而改成OFDM，其在大带宽上比CDMA更加具备可行性和适应性，大规模使用MIMO技术提升了频率复用度，跨载波聚合能获得更大的频谱带宽从而提升速率，

第五代移动通信技术（英语：5th generation mobile networks或5th generation wireless systems、5th-Generation，简称5G或5G技术）是最新一代蜂窝移动通信技术，也是即4G（LTE-A、WiMax）、3G（UMTS、LTE）和2G（GSM）系统之后的延伸。5G的性能目标是高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接

100、DNS什么时候采用TCP协议？什么时候采用UDP协议？为什么要这么设计？

DNS主备服务器之间通信，使用的是TCP协议，客户端与服务器之间通信使用的是UDP协议。TCP和UDP协议最大的区别是，TCP协议有确认、重传、流控、排序，来保证数据的完整和准确，而UDP不需要验证，速度比TCP快。DNS主备服务器之间要保证数据的准确和完整，所以选择TCP协议，而客户端与服务器之间，需要的是速度，所以使用UDP协议。