2. 计算机
  3. 目前,通过移动电话接人互联网采用的主要技术是什么? 公司网络中的设备或系统(包括存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC机、应用网关、存储私人信息的PC机、电子商务系统)哪些应放在DMZ中,哪些应放在内网中?给予简要说明。

目前,通过移动电话接人互联网采用的主要技术是什么? 公司网络中的设备或系统(包括存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC机、应用网关、存储私人信息的PC机、电子商务系统)哪些应放在DMZ中,哪些应放在内网中?给予简要说明。

admin2005-03-15  41
问题 目前,通过移动电话接人互联网采用的主要技术是什么?
公司网络中的设备或系统(包括存储商业机密的数据库服务器、邮件服务器、存储资源代码的PC机、应用网关、存储私人信息的PC机、电子商务系统)哪些应放在DMZ中,哪些应放在内网中?给予简要说明。
选项
答案出于对数据安全性的考虑,有商业机密的数据库服务器,存储资源代码的PC机和存储私人信息的PC机等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的,可以不要经过防火墙的防护,并且这样可以保证在公司内部的员工可以高速的访问应用服务器,效率较高。外部没有授权的用户因为有防火墙的防护,无法直接访问,确保商业机密数据的安全。 邮件服务器、电子商务系统、应用网关等设备所存储的数据的安全要求没有数据库的要求高,要能保证公司的员工在公司内部和公司外部都能访问,而且公司的客户也要能使用电子商务系统,在公司外部能访问,所以它们可以放在DMZ区。
解析 自从Netscape公司首先把因特网技术应用到其企业内部网,Intranet技术则如雨后春笋般迅猛发展起来。作为企业内部的网结,它的突出优点是使用非常方便,并且可与支持Web浏览器的任何硬件平台进行通信。
   防火墙技术的分类。
   (1)包过滤技术(IP filtering or packet filtering)
   这种技术的原理在于监视并过滤网络上流入和流出的IP包,拒绝发送可疑的包,用户可在路由表中设定需要屏蔽或需要保护的源/目的主机的IP地址或端口号,在外来数据包进入企业的内部网络之前,路由器先检测源宿主机地址,如地址不符,则将该包滤除。这种防火墙又称为过滤式路由器。路由器作用在IP层,只在企业网络与因特网采用直接 IP连接的情况下才采用。因为它只检测数据包的IP地址,一旦破坏者突破此防线便可为所欲为,所以在安全性要求较高的场合,通常还需要配合其他技术来加强安全性。
   (2)应用网关技术(application gateway)
   该技术又称为双主机技术(dual homed host),采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁,是内外联系的惟一途径,起着网关的作用,也被称为Bastion Host(堡垒主机)。在应用网关上运行应用代理程序(application proxy),一方面代替原服务器程序与客户程序建立连接,另一方面代替客户程序与原服务器建立连接,使合法用户可以通过应用网关安全地使用因特网,而对非法用户不予理睬。常用的代理程序有 WWW proxy,E-mail proxy等。与包过滤技术相比,应用网关技术更加灵活。由于作用在用户层,因此能执行更细致的检查工作。但软件开销大,管理和维护比较复杂。
   其他常用的安全机制还有身份验证(authentication)、访问控制(access control)、加密 (encryption)、日志(log)、报警(alert)等。
   目前市面上的防火墙都会具备3种不同的工作模式,路由模式、NAT模式还有透明模式。
   (1)透明模式下时,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为 0.0.0.0,防火墙对于用户来说是可视或“透明”的。
   (2)网络地址转换(NAT)模式下时,防火墙的作用与Layer 3(第三层)交换机(或路由器)相似,将绑定到外网区段的IP封包包头中的2个组件进行转换:其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个防火墙生成的任意端口号替换源端口号。
   (3)路由模式时,防火墙在不同区段间转发信息流时不执行NAT,即当信息流穿过防火墙时,IP封包包头中的源地址和端口号保持不变。与NAT不同,不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同,内网区段中的接口和外网区段中的接口在不同的子网中。
   防火墙可以设置DMZ(demilitarized zone,也称为非军事区),内部局域网的资源不允许外部网的用户使用。不设防区(又称非军事区)可以作为内部或外部局域网,其中的资源允许外部网的用户有限度地使用。可以使外部用户访问非军事区(DMZ区)的Web服务器。
   一般来说,设置的安全规则如下:
   (1)禁止外部网络ping内部网络;
   (2)禁止外部网络的非法用户访问内部网络和DMZ应用服务器;
   (3)禁止外部网络的用户对内部网络HTTP、FTP、Telnet、TRACERO UTE、 RLOGIN等端口访问;
   (4)禁止DMZ的应用服务器访问内部网络;
   (5)允许外部网络用户使用DMZ的应用服务:HTTP,HTTPS和POP3;
   (6)允许DMZ内的工作站与应用服务器访问因特网;
   根据上述讨论,可知:要保证公司的商业机密就要避免外部网络的用户直接访问,同时避免内部网络未经授权的用户访问,所以有商业机密的数据库服务器应该放在内部网络中,确保安全。那些存储资源代码的PC机和存储私人信息的PC机等也要放在内网。邮件服务器、电子商务系统、应用网关等是既要内部主机可以访问,又要外部网络的用户可以访问的,并且要保证安全,所以它们可以放在DMZ。
转载请注明原文地址:https://kaotiyun.com/show/VUPZ777K
本试题收录于: 网络工程师下午应用技术考试题库软考中级分类
0

网络工程师下午应用技术考试

软考中级

相关试题推荐
随机试题
最新回复(0)