为控制企业内部对外的访问以及抵御外部对内部网的攻击，最好的选择是（）。

正确答案：C

参考答案：D

参考答案：B

正确答案：C

正确答案：D
网络地址翻译（NetworkAddressTranslation，NAT）技术主要解决IP地址短缺问题，最初提出的建议是在子网内部使用局部地址，而在子网外部使用少量的全局地址，通过路由器进行内部和外部地址的转换。局部地址是在子网内部独立编址的，可以与外部地址重叠。这种想法的基础是假定在任何时候子网中只有少数计算机需要与外部通信，可以让这些计算机共亨少量的全局IP地址。后来根据这种技术又开发出其他一些应用。首先是动态地址翻译（DynamicAddressTranslation）技术。所谓存根域（StubDomain）是内部网络的抽象，任何时候存根域内只有一部分主机要与外界通信，所以整个存根域只需共享少量的全局IP地址。存根域有一个边界路由器，由它来处理域内与外部的通信。我们假定：m：内部地址数。n：全局地址数（NAT地址）。当ml并且mn时，可以把大的地址空间映像到小的地址空间。所有NAT地址放在一个缓冲区中，并在存根域的边界路由器中建立一个内部地址和全局地址的动态映像表，用以把内部地址翻译成全局地址。动态地址翻译的好处是节约了全局IP地址，而且不需要改变子网内部的配置。另外一种特殊的NAT应用是m：1翻译，这种技术也叫做地址伪装（Masquerading），因为用一个全局IP地址就可以把子网中所有主机的IP地址隐藏起来。如果子网中有多个主机要同时通信，那么还要对端口号进行翻译，所以这种技术经常被称为网络地址和端口翻译（NetworkAddressPortTranslation，NAPT）。在很多NAPT实现中专门保留一部分端口号给地址伪装使用，叫做伪装端口号。这种方法有如下特点：出口分组的源地址被路由器的外部IP地址代替，出口分组的源端口号被一个未使用的伪装端口号代替。如果进来的分组的目标地址是本地路由器的IP地址，而目标端口号是路由器的伪装端口号，则NAT路山器就检查是否为伪装会话，并试图通过伪装表对IP地址和端口号进行翻泽。伪装技术可以作为一种安全手段使用，借以限制外部对内部主机的访问。另外还可以用这种技术实现虚拟主机和虚拟路由，以便达到负载均衡和提高可靠性的目的。

正确答案：D
解析：网络地址翻译(Network Address Translation，NAT)技术主要解决IP地址短缺问题，最初提出的建议是在子网内部使用局部地址，而在子网外部使用少量的全局地址，通过路由器进行内部和外部地址的转换。局部地址是在子网内部独立编址的，可以与外部地址重叠。这种想法的基础是假定在任何时候子网中只有少数计算机需要与外部通信，可以让这些计算机共享少量的全局IP地址。后来根据这种技术又开发出其他一些应用。
  首先是动态地址翻译(DynamicAddress Translation)技术。所谓存根域(Stub Domain)是内部网络的抽象，任何时候存根域内只有一部分主机要与外界通信，所以整个存根域只需共享少量的全局lP地址。存根域有一个边界路由器，由它来处理域内与外部的通信。我们假定：
  ·m：内部地址数。
  ·n：全局地址数(NAT地址)。
  当m1并且mn时，可以把大的地址空间映像到小的地址空间。所有NAT地址放在一个缓冲区中，并在存根域的边界路由器中建立一个内部地址和全局地址的动态映像表，用以把内部地址翻译成全局地址。动态地址翻译的好处是节约了全局IP地址，而且不需要改变子网内部的配置。
  另外一种特殊的NAT应用是m:1翻译，这种技术也叫做地址伪装(Masquerading)，因为用一个全局IP地址就可以把子网中所有主机的IP地址隐藏起来。如果子网中有多个主机要同时通信，那么还要对端口号进行翻译，所以这种技术经常被称为网络地址和端口翻译(NetworkAddress Port Translation，NAPT)。在很多NAPT实现中专门保留一部分端口号给地址伪装使用，叫做伪装端口号。这种方法有如下特点：
  ·出口分组的源地址被路由器的外部IP地址代替，出口分组的源端口号被一个未使用的伪装端口号代替。
  ·如果进来的分组的目标地址是本地路由器的IP地址，而目标端口号是路由器的伪装端口号，则NAT路由器就检查是否为伪装会话，并试图通过伪装表对IP地址和端口号进行翻译。伪装技术可以作为一种安全手段使用，借以限制外部对内部主机的访问。另外还可以用这种技术实现虚拟主机和虚拟路由，以便达到负载均衡和提高可靠性的目的。

参考答案：D

参考答案：正确

参考答案：AB

答案：C

解析：