Oracle程序員面試分類模擬31簡答題1.

OSI七層模型是什么?正確答案：OSI(OpenSystemlnterconnection，開放系統(tǒng)互連)七層網絡模型稱為開放式網絡互聯參考模型。它是（江南博哥）國際標準組織制定的一個指導信息互聯、互通和協作的網絡規(guī)范。開放是指只要遵循OSI標準，位于世界上任何地方的任何系統(tǒng)之間都可以進行通信，開放系統(tǒng)是指遵循互聯協議的實際系統(tǒng)，如電話系統(tǒng)。從邏輯上可以將其劃分為七層模型，由下至上分別為物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。其中，上三層稱為高層，用于定義應用程序之間的通信和人機界面；下四層稱為底層，用于定義數據如何進行端到端的傳輸(end-to-end)，物理規(guī)范以及數據與光電信號間的轉換。下圖所示為其分層示例圖。

分層示例圖

具體而言，從上往下每一層的功能如下：

(1)應用層應用層也稱為應用實體，一般是指應用程序，該層主要負責確定通信對象，并確保有足夠的資源用于通信。常見的應用層協議有FTP、HTTP、SNMP等。

(2)表示層表示層一般負責數據的編碼以及轉化，確保應用層能夠正常工作。該層是界面與二進制代碼間互相轉化的地方，同時該層負責進行數據的壓縮、解壓、加密、解密等，該層也可以根據不同的應用目的將數據處理為不同的格式，表現出來就是各種各樣的文件擴展名。

(3)會話層會話層主要負責在網絡中的兩個節(jié)點之間建立、維護、控制會話，區(qū)分不同的會話，以及提供單工(Simplex)、半雙工(Halfduplex)、全雙工(Fullduplex)3種通信模式的服務。NFS、RPC、XWindows等都工作在該層。

(4)傳輸層傳輸層是OSI模型中最重要的一層，它主要負責分割、組合數據，實現端到端的邏輯連接。數據在上三層是整體的，到了這一層開始被分割，這一層分割后的數據被稱為段(Segment)。三次握手(Three-wayhandshake)、面向連接(Connection-Oriented)或非面向連接(Connectionless-Oriented)的服務、流量控制(Flowcontrol)等都發(fā)生在這一層。工作在傳輸層的一種服務是TCP/IP中的TCP(傳輸控制協議)，另一項傳輸層服務是IPX/SPX協議集的SPX(序列包交換)。常見的傳輸層協議有TCP、UDP、SPX等。

(5)網絡層網絡層是將網絡地址翻譯為物理地址，并決定將數據從發(fā)送方路由到接收方，主要負責管理網絡地址、定位設備、決定路由，路由器就工作在該層。上層的數據段在這一層被分割，封裝后稱為包(Packet)。包有兩種：一種為用戶數據包(Datapackets)，是上層傳下來的用戶數據：另一種為路由更新包(Routeupdatepackets)，是直接由路由器發(fā)出來的，用來和其他路由器進行路由信息的交換。常見的網絡層協議有IP、RIP、OSPF等。

(6)數據鏈路層數據鏈路層為OSI模型的第二層，控制物理層與網絡層之間的通信，主要負責物理傳輸的準備，包括物理地址尋址、CRC校驗、錯誤通知、網絡拓撲、流量控制、重發(fā)等。MAC地址和交換機都工作在這一層。上層傳下來的包在這一層被分割封裝后稱為幀(Frame)。常見的數據鏈路層協議有SDLC、STP、幀中繼、HDLC等。

(7)物理層物理層是實實在在的物理鏈路，它規(guī)定了激活、維持、關閉通信端點之間的機械特性、電氣特性、功能特性以及過程特性。它為上層協議提供了一個傳輸數據的物理媒體，負責將數據以比特流的方式發(fā)送、接收。常見的物理媒體有雙絞線、同軸電纜等。屬于物理層相關的規(guī)范有EINTIARS-232、EIA/TIARS-449、RJ-45等。

2.

TCP/IP模型是什么?正確答案：TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協議/因特網互聯協議)是最基本的Internet協議，由網絡層的IP與傳輸層的TCP構成。現在人們常提到的TCP/IP并不一定是指TCP和IP兩個具體的協議，而是指的TCP/IP協議簇。

TCP/IP定義了電子設備如何連入Internet，以及數據如何在它們之間傳輸的標準。它基于四層參考模型，分別是網絡接口層、網際層、傳輸層、應用層，每一層都呼叫它的下一層所提供的網絡來完成自己的需求。

其中網絡接口層負責底層的傳輸，常見的協議有Ethernet802.3、TokenRing802.5、X.25、HDLC、PPPATM等。網絡層負責不同計算機之間的通信，一般包括IP、ICMP等內容。傳輸層提供應用程序間的通信，主要包括格式化信息流、提供可靠傳輸等。應用層用于向用戶提供應用服務，如電子郵件、遠程登錄等。應用層協議一般有FTP、TELNET、SMTP等。屬于TCP/IP協議簇的所有協議都位于該模型的上面三層。

TCP佃并不完全符合OSI七層模型，它的每一層都對應于OSI七層模型中的一層或多層，下圖所示是TCP/IP四層模型和OSI七層模型對應圖。

TCP/IP四層模型和OSI七層模型對應圖

3.

B/S與C/S有什么區(qū)別?正確答案：C/S是Client/Server(客戶端朋艮務器)的縮寫，在C/S架構中，服務器通常采用高性能的PC、工作站或者小型機，而且采用大型數據庫系統(tǒng)，如SQLServer、DB2、Oracle或Sybase等。客戶端需要安裝專用的客戶端軟件。

B/S是Brower/Server(瀏覽器/服務器)的縮寫，客戶端通常只需要安裝一個瀏覽器(Browser)，如Firefox、IE、Chrome等即可，服務器安裝SQLServer、DB2、Oracle或Sybase等數據庫。在B/S架構中，用戶界面完全通過瀏覽器實現，一部分事務邏輯在前端實現，主要事務邏輯在服務器端實現。瀏覽器通過Web服務器同數據庫進行數據交互。

具體而言，兩種設計結構存在以下幾個方面的區(qū)別：

(1)硬件要求不同C/S一般建立在專用的網絡上，是小范圍的網絡環(huán)境；而B/S一般構建于廣域網之上，不需要專門的網絡硬件環(huán)境，只要能接入網絡即可。在B/S架構的應用中，客戶端只需要能夠運行瀏覽器就可以了。

(2)架構要求不同C/S程序更加注重流程，需要對權限多層次校驗，對系統(tǒng)運行速度可以較少考慮。而B/S對安全以及訪問速度需要多重的考慮，建立在需要更加優(yōu)化的基礎之上，比C/S有更高的要求。

(3)安全要求不同C/S一般面向相對固定的用戶群，對信息安全的控制能力很強。一般高度機密的信息系統(tǒng)適宜采用C/S結構，可以通過B/S發(fā)布部分可以公開的信息。B/S構建在廣域網之上，對安全的控制能力相對弱，可能面向不可知的用戶。

(4)系統(tǒng)維護不同C/S程序由于整體性導致升級比較困難，可能需要重做一個全新的系統(tǒng)，而B/S基于構件組成，只需要進行構建局部的更換就可以實現系統(tǒng)的無縫升級，將系統(tǒng)維護開銷減到最小，用戶從網上自己下載安裝就可以實現升級。

(5)軟件的重用性不同因為整體性考慮，C/S程序中構件的重用性不如在B/S架構下的構件的重用性好。因為B/S的多重結構，要求構件相對獨立的功能，能夠相對較好的重用，而C/S則很難做到這一點。

(6)用戶接口不同C/S多是建立在操作系統(tǒng)平臺上，表現方法有限，而B/S建立在瀏覽器上，有更加豐富和生動的表現方式與用戶交流，并且大部分難度小，成本低。

4.

交換機與路由器有什么區(qū)別?正確答案：交換機是一種基于MAC(網卡的硬件地址)識別，能完成封裝轉發(fā)數據包功能的網絡設備。它具有流量控制能力，主要用于組建局域網。例如，搭建一個公司網絡，一般會使用交換機。常見的交換機種類有以太網交換機、光纖交換機等。路由器是連接Internet中各局域網、廣域網的網絡設備。它是網絡的樞紐，是組成廣域網的一個重要部分，用于為數據包找到最合適的到達路徑。

具體而言，交換機與路由器的區(qū)別主要表現在以下幾個方面：

1)工作層次不同。交換機一般工作在OSI模型的數據鏈路層，而路由器工作在OSI模型的網絡層。由于交換機工作在OSI模型的數據鏈路層，所以它的工作原理比較簡單，而路由器工作在OSI模型的網絡層，可以得到更多的協議信息，路由器可以做出更加智能的轉發(fā)決策。

2)數據轉發(fā)所依據的對象不同。交換機是利用物理地址來確定轉發(fā)數據的目的地址，而路由器則是利用IP地址來確定數據轉發(fā)的地址。IP地址是在軟件中實現的，描述的是設備所在的網絡，物理地址一般是指MAC地址，它通常是硬件自帶的，由網卡生產商來分配的，而且已經固化到了網卡中去，一般來說是不可更改的(可以通過工具來修改機器的MAC地址)；而IP地址則通常由網絡管理員或系統(tǒng)自動分配。

3)傳統(tǒng)的交換機只能分割沖突域，不能分割廣播域；而路由器可以分割廣播域。由交換機連接的網段仍屬于同一個廣播域，廣播數據包會在交換機連接的所有網段上傳播，在某些情況下會導致通信擁塞以及產生安全漏洞。連接到路由器上的網段會被分配成不同的廣播域，廣播數據不會穿過路由器。雖然第三層以上交換機具有VLAN功能，也可以分割廣播域，但是各子廣播域之間是不能通信交流的，它們之間的交流仍然需要路由器。

4)交換機負責同一網段的通信，路由器負責不同網段的通信。路由器提供了防火墻的服務，它僅能轉發(fā)特定地址的數據包，不傳送不支持路由協議的數據包，也不傳送未知目標網絡數據包，從而可以防止廣播風暴。

5.

路由表的功能有哪些?正確答案：路由表是指路由器或者其他互聯網網絡設備上存儲的表，它決定如何將包從一個子網傳遞到另一個子網。該表中存有到達特定網絡終端的路徑，在某些情況下，還有一些與路徑相關的度量。路由器的主要工作就是為經過路由器的每個數據幀尋找一條最佳傳輸路徑，并將該數據有效地傳送到目的站點。

路由表既可以是由系統(tǒng)管理員固定設置好的，也可以由系統(tǒng)動態(tài)修改，還可以由路由器自動調整，也可以由主機控制。

靜態(tài)路由是指由網絡管理員手工配置的路由信息。當網絡的拓撲結構或鏈路的狀態(tài)發(fā)生變化時，網絡管理員需要手工去修改動態(tài)路由表中相關的靜態(tài)路由信息。靜態(tài)路由信息在默認情況下是私有的，不會傳遞給其他的路由器。當然，網管員也可以通過對路由器進行設置使之成為共享的。靜態(tài)路由一般適用于比較簡單的網絡環(huán)境，在這樣的環(huán)境中，網絡管理員易于清楚地了解網絡的拓撲結構，便于設置正確的路由信息。

由系統(tǒng)管理員事先設置好固定的路由表稱為靜態(tài)路由表，一般是在系統(tǒng)安裝時就根據網絡的配置情況預先設定的，它不會隨著未來網絡結構的改變而改變。

動態(tài)路由是指路由器能夠自動地建立自己的動態(tài)路由表，并且能夠根據實際情況的變化適時地進行調整。動態(tài)路由機制的運作依賴路由器的兩個基本功能：對路由表的維護，路由器之間適時的路由信息交換。

動態(tài)路由表是路由器根據網絡系統(tǒng)的運行情況而自動調整的路由表。路由器根據路由選擇協議提供的功能，自動學習和記憶網絡運行情況，在需要時自動計算數據傳輸的最佳路徑。路由器通常依靠所建立及維護的動態(tài)路由表來決定如何轉發(fā)。動態(tài)路由表能力是指路由表內所容納路由表項數量的極限。由于Internet上執(zhí)行BGP的路由器通常擁有數十萬條路由表項，所以該項目也是路由器能力的重要體現。

6.

TCP和UDP的區(qū)別有哪些?正確答案：傳輸層協議主要有TCP與UDP。UDP(UserDatagramProtocol)提供無連接的通信，不能保證數據包被發(fā)送到目標地址，典型的即時傳輸少量數據的應用程序通常使用UDP。TCP(TransmissionControlProtocol)是一種面向連接(連接導向)的、可靠的、基于字節(jié)流的通信協議，它為傳輸大量數據或為需要接收數據許可的應用程序提供連接定向和可靠的通信。

TCP連接就像打電話，用戶撥特定的號碼，對方在線并拿起電話，然后雙方進行通話，通話完畢之后再掛斷，整個過程是一個相互聯系、缺一不可的過程。而UDP連接就像發(fā)短信，用戶短信發(fā)送給對方，對方有沒有收到信息，發(fā)送者根本不知道，而且對方是否回答也不知道，接收方對信息發(fā)送者發(fā)送消息也是一樣處于不可知的狀態(tài)。

TCP與UDP都是一種常用的通信方式，在特定的條件下發(fā)揮不同的作用。具體而言，TCP和UDP的區(qū)別主要表現為以下幾個方面：

1)TCP是面向連接的傳輸控制協議，而UDP提供的是無連接的數據包服務。

2)TCP具有高可靠性，確保傳輸數據的正確性，不出現丟失或亂序；UDP在傳輸數據前不建立連接，不對數據報進行檢查與修改，無需等待對方的應答，所以會出現分組丟失、重復、亂序，應用程序需要負責傳輸可靠性方面的所有工作。

3)TCP對系統(tǒng)資源要求較多，UDP對系統(tǒng)資源要求較少。

4)UDP具有較好的實時性，工作效率較TCP高。

5)UDP的段結構比TCP的段結構簡單，因此網絡開銷也小。

UDP比TCP的效率要高，為什么TCP還能夠保留呢?其實，TCP和UDP各有所長、各有所短，適用于不同要求的通信環(huán)境，有些環(huán)境采用UDP確實高效，而有些環(huán)境需要可靠的連接，此時采用TCP則更好。在提及TCP的時候，一般也提及IP。IP協議是一種網絡層協議，它規(guī)定每個互聯網上的計算機都有一個唯一的IP地址，這樣數據包就可以通過路由器的轉發(fā)到達指定的計算機，但IP并不保證數據傳輸的可靠性。

7.

什么是ARP/RARP?正確答案：ARP(AddressResolutionProtocol，地址解析協議)是一個位于TCP/IP協議棧中的低層協議，它用于映射計算機的物理地址與網絡IP地址。在Internet分布式環(huán)境中，每個主機都被分配了一個32位的網絡地址，此時就存在將計算機的IP地址與物理地址之間的轉換問題。ARP所要做的工作就是在主機發(fā)送幀前，根據目標IP地址獲取MAC地址，以保證通信過程的順暢。

其具體過程如下：首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個ARP列表，用于存儲IP地址與MAC地址的對應關系。然后當源主機需要將一個數據包發(fā)送到目標主機時，會先檢查自己的ARP列表是否存在該IP地址對應的MAC地址。如果存在則直接將數據包發(fā)送到該MAC地址；如果不存在，就向本地網段發(fā)起一個ARP請求的廣播包，用于查詢目標主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、硬件地址以及目標主機的IP地址等。網絡中所有的主機收到這個ARP請求之后，會檢查數據包中的目的IP是否與自己的IP地址一致，如果不同就忽略此數據包；如果相同，該主機會將發(fā)送端的MAC地址與IP地址添加到自己的ARP列表中。如果ARP列表中已經存在該IP地址的相關信息，則將其覆蓋掉，接著給源主機發(fā)送一個ARP響應包，告訴對方自己是它所需要查找的MAC地址。最后源主機收到這個ARP響應包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數據的傳輸。如果源主機一直沒有收到ARP響應包，則表示ARP查詢失敗。

RARP與ARP工作方式相反。RARP發(fā)出要反向解析的物理地址并希望返回其對應的IP地址，應答包括由能夠提供所需信息的RARP服務器發(fā)出的IP地址。RARP獲取IP地址的過程如下：首先需要知道自己IP地址的機器向另一臺機器上的服務器發(fā)送請求，并等待服務器發(fā)出響應，開始不知道服務器的物理地址，所以通過廣播。一旦通過廣播對地址的請求，就必須唯一標識自己的硬件標識(如CPU序列號)，這個標識能讓可執(zhí)行程序容易獲得。源主機收到從RARP服務器的響應消息后，就可以利用得到的IP地址進行通信。

8.

IPPhone的原理是什么?都用了哪些協議?正確答案：IP電話(又稱IPPhone)是通過互聯網或其他使用IP技術的網絡來實現電話通信的。它是一種全新的通信技術，建立在IP技術上的分組化、數字化傳輸技術基礎之上。其原理是通過語音壓縮算法對語音數據進行壓縮編碼處理，然后把這些語音數據按IP等相關協議進行打包，經過IP網絡把數據包傳輸到接收方，再把這些語音數據包串起來，經過解碼解壓處理后，恢復成原來的語音信號，從而達到由IP網絡傳送語音的目的。Voip(VoiceoverInternetProtocol)使用的協議有H.323協議簇、SIP、Skype協議、H.248和MGCP。

9.

Ping命令是什么?正確答案：Ping(PacketInternetGrope，因特網包探索器)是一個用于測試網絡連接量的程序。它使用的是ICMP，Ping發(fā)送一個ICMP(InternetControlandMessageProtocal，因特網控制報文協議)請求消息給目的地并報告是否收到所希望的ICMP應答。

ICMP是TCP/IP協議簇的一個子協議，用于在IP主機、路由器之間傳遞控制消息。它是用來檢查網絡是否通暢或者網絡連接速度的命令。

由于網絡上的機器都有唯一確定的IP地址，當給目標IP地址發(fā)送一個數據包(包括對方的IP地址和自己的地址以及序列數)時，對方就要返回一個同樣大小的數據包(包括雙方地址)，根據返回的數據包可以確定目標主機的存在，可以初步判斷目標主機的操作系統(tǒng)等。

例如，當執(zhí)行命令“”，通常是通過DNS服務器，如果這里出現故障，則表示DNS服務器的IP地址配置不正確或DNS服務器有故障。也可以利用該命令實現域名對IP地址的轉換功能。例如，Ping某一網絡地址，出現：“Replyfrom09:bytes=32time=31msTTL=48”則表示本地與該網絡地址之間的線路是暢通的；如果出現“Requesttimedout”，則表示此時發(fā)送的小數據包不能到達目的地，此種情況可能有兩種原因導致，第一種是網絡不通，第二種是網絡連通狀況不佳。此時可以使用帶參數的Ping來確定是哪一種情況。例如，ping-t-w3000不斷地向目的主機發(fā)送數據，并且響應時間增大到3000ms，此時如果都是顯示“Requesttimedout”，則表示網絡之間確實不通；如果不是全部顯示“Requesttimedout”則表示此網站還是通的，只是響應時間長或通信狀況不佳。

由于Ping使用的是ICMP，有些防火墻軟件會屏蔽掉ICMP，所以有時候Ping的結果只能作為參考，Ping不通并不能就一定說明對方IP不存在。但一般而言，在通過Ping進行網絡故障判斷時，如果Ping運行正確，大體上就可以排除網絡訪問層、網卡、Modem的輸入輸出線路、電纜和路由器等存在的故障，從而減小了問題的范圍。

10.

基本的HTTP流程有哪些?正確答案：HTTP是HyperTextTransferProtocol(超文本傳輸協議)的縮寫，其主要負責服務器與瀏覽器之間的通信。HTTP把客戶端瀏覽器的請求發(fā)送到服務器，并把響應的網頁內容由服務器返回到客戶端瀏覽器。

一次完整的HTTP流程一般包括以下幾個步驟：

1)打開HTTP連接。因為HTTP是一種無狀態(tài)協議，所以每一個請求都需要建立一個新的連接。

2)初始化方法請求。包含一些類型的方法指示符，它們用來描述調用什么方法和需要什么參數。

3)設置HTTP請求頭。包含要傳輸的數據類型和數據長度。

4)發(fā)送請求。即將二進制流寫入服務器。

5)讀取請求。調用目標servlet程序，并接受HTTP請求數據。如果該次請求為客戶端第一次請求，則需要創(chuàng)建一個新的服務器對象實例。

6)調用方法。提供了服務器端調用對象的方法。

7)初始化響應方法。如果調用的方法出現異常，客戶將會收到出錯信息；否則，發(fā)送返回類型。

8)設置HTTP響應頭。響應頭中設置待發(fā)送的數據類型與長度。

9)發(fā)送響應。服務器端發(fā)送二進制數據流給客戶端作為響應。

10)關閉連接。當響應結束后，與服務器必須斷開連接，以保證其他請求能夠與服務器建立連接。

11.

常用的網絡安全防護措施有哪些?正確答案：計算機網絡由于分布式特性，使得它容易受到來自網絡的攻擊。網絡安全是指“在一個網絡環(huán)境里，為數據處理系統(tǒng)建立和采取的技術與管理的安全保護，利用網絡管理控制和技術措施保護計算機軟件、硬件數據不因為偶然或惡意的原因而遭到破壞、更改和泄露”。常見的網絡安全防護措施有加密技術、驗證碼技術、認證技術、訪問控制技術、防火墻技術、網絡隔離技術、入侵檢測技術、防病毒技術、數據備份與恢復技術、VPN技術、安全脆弱性掃描技術、網絡數據存儲、備份及容災規(guī)劃等。

(1)加密技術數據在傳輸過程中有可能因攻擊者或入侵者的竊聽而失去保密性。加密技術是最常用的保密安全手段之一，它對需要進行偽裝的機密信息進行變換，得到另外一種看起來似乎與原有信息不相關的表示。合法用戶可以從這些信息中還原出原來的機密信息，而非法用戶如果試圖從這些偽裝后的信息中分析出原有的機密信息，要么這種分析過程根本是不可能實現的，要么代價過于巨大，以至于無法進行。

(2)驗證碼技術普遍的客戶端交互，如留言本、會員注冊等僅是按照要求輸入內容，但網絡上有很多非法應用軟件，如注冊機，可以通過瀏覽Internet，掃描表單，然后在系統(tǒng)上頻繁注冊，頻繁發(fā)送不良信息，造成不良的影響，或者通過軟件不斷地嘗試，盜取用戶密碼。而通過使用驗證碼技術，使客戶端輸入的信息都必須經過驗證，從而可以有效解決別有用心的用戶利用機器人(或惡意軟件)自動注冊、自動登錄、惡意增加數據庫訪問、用特定程序暴力破解密碼等問題。

所謂驗證碼是指將一串隨機產生的數字或符號生成一幅圖片，圖片里加上一些干擾像素，由用戶肉眼極易識別其中的驗證碼信息，輸入表單提交網絡應用程序驗證，驗證成功后才能使用某項功能。放在會員注冊、留言本等所有客戶端提交信息的頁面，要提交信息，必須要輸入正確的驗證碼，從而可以防止不法用戶用軟件頻繁注冊、頻繁發(fā)送不良信息等。

使用驗證碼技術必須保證所有客戶端交互部分都輸入驗證碼，測試提交信息時不輸入驗證碼，或者故意輸入錯誤的驗證碼，如果信息都不能交，說明驗證碼有效，同時在驗證碼輸入正確下提交信息，如果能提交，說明驗證碼功能已完善。

(3)認證技術認證技術是信息安全的一項重要內容，很多情況下，用戶并不要求信息保密，只要確認網絡服務器或在線用戶不是假冒的，自己與他們交換的信息未被第三方修改或偽造，且網上通信是安全的。

認證是指核實真實身份的過程，是防止主動攻擊的重要技術之一，是一種可靠地證實被認證對象(包括人和事)是否名副其實或者是否有效的過程，因此也稱為鑒別或驗證。認證技術的作用主要是通過一定的手段在網絡上弄清楚對象是誰，具有什么樣的特征(特征具有唯一性)。認證可以是某個個人、某個機構代理、某個軟件(如股票交易系統(tǒng))，這樣可以確定對象的真實性，防止假冒、篡改等行為。

(4)訪問控制技術網絡中擁有各種資源，通?？梢允潜徽{用的程序、進程，要存取的數據、信息，要訪問的文件、系統(tǒng)，或者是各種各樣的網絡設備，如打印機、硬盤等。網絡中的用戶必須根據自己的權限范圍來訪問網絡資源，從而保證網絡資源受控地、合法地使用。

訪問控制是在身份認證的基礎上針對越權使用資源的防范(控制)措施，是網絡安全防范和保護的主要策略。其主要任務是防止網絡資源被非法使用、非法訪問和不慎操作所造成破壞。它也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。

實現訪問控制的關鍵是采用何種訪問控制策略。目前主要有3種不同類型的訪問控制策略：自主訪問控制(DAC)、強制訪問控制(MAC)和基于角色的訪問控制(RBAC)。目前DAC應用最多，主要采用訪問控制表(ACL)實現，如ApacheWeb服務器、JDK開發(fā)平臺都支持ACL