首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
目前,通过移动电话接人互联网采用的主要技术是什么? 公司网络中的设备或系统(包括存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC机、应用网关、存储私人信息的PC机、电子商务系统)哪些应放在DMZ中,哪些应放在内网中?给予简要说明。
目前,通过移动电话接人互联网采用的主要技术是什么? 公司网络中的设备或系统(包括存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC机、应用网关、存储私人信息的PC机、电子商务系统)哪些应放在DMZ中,哪些应放在内网中?给予简要说明。
admin
2005-03-15
69
问题
目前,通过移动电话接人互联网采用的主要技术是什么?
公司网络中的设备或系统(包括存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC机、应用网关、存储私人信息的PC机、电子商务系统)哪些应放在DMZ中,哪些应放在内网中?给予简要说明。
选项
答案
出于对数据安全性的考虑,有商业机密的数据库服务器,存储资源代码的PC机和存储私人信息的PC机等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的,可以不要经过防火墙的防护,并且这样可以保证在公司内部的员工可以高速的访问应用服务器,效率较高。外部没有授权的用户因为有防火墙的防护,无法直接访问,确保商业机密数据的安全。 邮件服务器、电子商务系统、应用网关等设备所存储的数据的安全要求没有数据库的要求高,要能保证公司的员工在公司内部和公司外部都能访问,而且公司的客户也要能使用电子商务系统,在公司外部能访问,所以它们可以放在DMZ区。
解析
自从Netscape公司首先把因特网技术应用到其企业内部网,Intranet技术则如雨后春笋般迅猛发展起来。作为企业内部的网结,它的突出优点是使用非常方便,并且可与支持Web浏览器的任何硬件平台进行通信。
防火墙技术的分类。
(1)包过滤技术(IP filtering or packet filtering)
这种技术的原理在于监视并过滤网络上流入和流出的IP包,拒绝发送可疑的包,用户可在路由表中设定需要屏蔽或需要保护的源/目的主机的IP地址或端口号,在外来数据包进入企业的内部网络之前,路由器先检测源宿主机地址,如地址不符,则将该包滤除。这种防火墙又称为过滤式路由器。路由器作用在IP层,只在企业网络与因特网采用直接 IP连接的情况下才采用。因为它只检测数据包的IP地址,一旦破坏者突破此防线便可为所欲为,所以在安全性要求较高的场合,通常还需要配合其他技术来加强安全性。
(2)应用网关技术(application gateway)
该技术又称为双主机技术(dual homed host),采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁,是内外联系的惟一途径,起着网关的作用,也被称为Bastion Host(堡垒主机)。在应用网关上运行应用代理程序(application proxy),一方面代替原服务器程序与客户程序建立连接,另一方面代替客户程序与原服务器建立连接,使合法用户可以通过应用网关安全地使用因特网,而对非法用户不予理睬。常用的代理程序有 WWW proxy,E-mail proxy等。与包过滤技术相比,应用网关技术更加灵活。由于作用在用户层,因此能执行更细致的检查工作。但软件开销大,管理和维护比较复杂。
其他常用的安全机制还有身份验证(authentication)、访问控制(access control)、加密 (encryption)、日志(log)、报警(alert)等。
目前市面上的防火墙都会具备3种不同的工作模式,路由模式、NAT模式还有透明模式。
(1)透明模式下时,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为 0.0.0.0,防火墙对于用户来说是可视或“透明”的。
(2)网络地址转换(NAT)模式下时,防火墙的作用与Layer 3(第三层)交换机(或路由器)相似,将绑定到外网区段的IP封包包头中的2个组件进行转换:其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个防火墙生成的任意端口号替换源端口号。
(3)路由模式时,防火墙在不同区段间转发信息流时不执行NAT,即当信息流穿过防火墙时,IP封包包头中的源地址和端口号保持不变。与NAT不同,不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同,内网区段中的接口和外网区段中的接口在不同的子网中。
防火墙可以设置DMZ(demilitarized zone,也称为非军事区),内部局域网的资源不允许外部网的用户使用。不设防区(又称非军事区)可以作为内部或外部局域网,其中的资源允许外部网的用户有限度地使用。可以使外部用户访问非军事区(DMZ区)的Web服务器。
一般来说,设置的安全规则如下:
(1)禁止外部网络ping内部网络;
(2)禁止外部网络的非法用户访问内部网络和DMZ应用服务器;
(3)禁止外部网络的用户对内部网络HTTP、FTP、Telnet、TRACERO UTE、 RLOGIN等端口访问;
(4)禁止DMZ的应用服务器访问内部网络;
(5)允许外部网络用户使用DMZ的应用服务:HTTP,HTTPS和POP3;
(6)允许DMZ内的工作站与应用服务器访问因特网;
根据上述讨论,可知:要保证公司的商业机密就要避免外部网络的用户直接访问,同时避免内部网络未经授权的用户访问,所以有商业机密的数据库服务器应该放在内部网络中,确保安全。那些存储资源代码的PC机和存储私人信息的PC机等也要放在内网。邮件服务器、电子商务系统、应用网关等是既要内部主机可以访问,又要外部网络的用户可以访问的,并且要保证安全,所以它们可以放在DMZ。
转载请注明原文地址:https://kaotiyun.com/show/VUPZ777K
本试题收录于:
网络工程师下午应用技术考试题库软考中级分类
0
网络工程师下午应用技术考试
软考中级
相关试题推荐
(2010年上半年)某系统集成公司选定李某作为系统集成项目A的项目经理。李某针对A项目制定了WBS,将整个项目分为10个任务,这10个任务的单项预算如下表。到了第四个月月底的时候,按计划应该完成的任务是:1、2、3、4、6、7
(2010年上半年)某系统集成公司选定李某作为系统集成项目A的项目经理。李某针对A项目制定了WBS,将整个项目分为10个任务,这10个任务的单项预算如下表。到了第四个月月底的时候,按计划应该完成的任务是:1、2、3、4、6、7
(2009年下半年)系统集成A公司承担了某企业的业务管理系统的开发建设工作,A公司任命张工为项目经理。张工在担任此新项目的项目经理的同时,所负责的原项目尚处在收尾阶段。张工在进行了认真分析后,认为新项目刚刚开始,处于需求分析阶段,而原项目尚有某
(2012年上半年)A公司近期成功中标当地政府机构某信息中心的信息安全系统开发项目。公司任命小李为项目经理,配备了信息安全专家张工,负责项目的质量保证和关键技术。小李为项目制定了整体进度计划,将项目分为需求、设计、实施和上线试运行四个阶段。项
(2010年上半年)有多年开发经验的赵工被任命为某应用软件开发项目的项目经理,客户要求10个月完成项目。项目组包括开发、测试人员共10人,赵工兼任配置管理员的工作。按照客户的初步需求,赵工估算了工作量,发现工期很紧。因此,赵工在了解客户的部分需
(2013年上半年)项目经理在为某项目制定进度计划时绘制了如下所示的前导图。图中活动E和活动B之间为结束-结束关系,即活动E结束后活动B才能结束,其他活动之间的关系为结束-开始关系,即前一个活动结束,后一个活动才能开始。针对问题2所
(2011年下半年)某系统集成项目的建设方要求必须按合同规定的期限交付系统,承建方项目经理李某决定严格执行项目进度管理,以保证项目按期完成。他决定使用关键路径法来编制项目进度网络图。在对工作分解结构进行认真分析后,李某得到一张包含了活动先后关系
阅读下列说明,回答问题,将解答填入对应栏内。【说明】A公司中标某客户数据中心建设项目,该项目涉及数据中心基础设施、网络、硬件、软件、信息安全建设等方面工作。经高层批准,任命小李担任项目经理。小李从相应的技术服务部门(网络服务部、硬件服务部、软件服务部、
随机试题
DeathValleyisoneofthemostfamousdesertsintheUnitedStates,coveringawideareawithitsalkalisand.Almost20percen
沙眼的后遗症和并发症不包括
心电图检查不能反映的是
构成比之和为
等渗性脱水时补钾每小时尿量必须超过
六味安消散适用于()。
围堰初步设计阶段勘察,当其地基为基岩时,钻孔深度宜为()。
A、 B、 C、 D、 B前两行图形中,第三个图形包含前两个图形中的所有构成元素,考虑叠加。每行的第一个图形顺时针旋转45。和第二个图形叠加得到第三个图形.由此可得本题答案为B。
下面关于为基本表选择合适的文件结构的原则错误的是______。A)如果数据库中的一个基本表中的数据量很少、操作频繁,该基本表可以采用堆文件组织方式B)顺序文件支持基于查找码的顺序访问,也支持快速的二分查找C)如果用户查询是基于散列域值的等位匹配
以下程序段完全正确的是
最新回复
(
0
)