首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
阅读以下关于某机构网络的叙述。 某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务一台,内部文件传输(FTP)服务器一台,网页(Web)服务器一台,邮件服务器一台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机和内部数据
阅读以下关于某机构网络的叙述。 某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务一台,内部文件传输(FTP)服务器一台,网页(Web)服务器一台,邮件服务器一台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机和内部数据
admin
2012-05-19
39
问题
阅读以下关于某机构网络的叙述。
某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务一台,内部文件传输(FTP)服务器一台,网页(Web)服务器一台,邮件服务器一台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机和内部数据库、文件传输(FTP)服务器对外不可见。
为提高安全性,请设计该机构网络的防火墙方案,画出拓扑图,并给出防火墙的相关规则的配置策略。
选项
答案
配置策略: 外部屏蔽路由区的访问策略:允许外部网络客户访问DMZ区的WWW服务器提供的WWW服务和邮件服务器提供的邮件服务,其他禁止; 内部屏蔽路由器的访问策略:允许内部网客户访问外部网络,不允许外部网络客户访问内部网;允许内部网客户访问DMZ区,不允许DMZ区网络客户访问内部网。 [*]
解析
防火墙的典型体系结构(部署方式)有三种形式:双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构,具体部署时需根据网络的特点和具体的安全需求、安全策略来决定。
防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。一个典型的双宿主主机防火墙如图3-1所示,它使用一个双宿主主机完成防火墙功能。该主机至少有两个网络接口,一个是内部网络接口,一个是因特网接口,故称为双宿主主机。
防火墙的屏蔽主机体系结构如图3-2所示,通过屏蔽路由器和堡垒主机结合的方式来构造防火墙。其中屏蔽路由器是一个单独的路由器,采用包过滤方式来实现内、外部网络的隔离和对内网的保护,而堡垒主机是因特网中的主机能够访问的唯一的内部网中的主机,内部网中的其他主机对外都是不可见的,故称为屏蔽主机防火墙。
堡垒主机通常是安全管理员标识的作为网络安全中关键点的系统,这类系统健壮安全,能抗攻击,故称为堡垒主机。在屏蔽主机防火墙中,堡垒主机用于对外提供一定的服务,如WWW服务,而且任何外部的主机只有通过这台主机才能得到内部系统的服务(在外部主机看来,没有内部网络,只有堡垒主机)。由于堡垒主机暴露在因特网中,故堡垒主机需保持较高的安全等级,具有一定的抗攻击能力。
防火墙的屏蔽子网体系结构的最简单形式如图3-3所示,防火墙由外部屏蔽路由器、内部屏蔽路由器和堡垒主机共同组成。与前两种防火墙体系结构有明显区别的是,在外/内部屏蔽路由器间有一个称为非军事化区的子网,进一步将内部网络同因特网隔离开来,起到屏蔽内部网络的作用,提供更进一步的安全性,故称为屏蔽子网防火墙。
非军事化区即DMZ:De-Militarized Zone,原指古代战场上交战双方的开火区及后方保护区之间的隔离地带,在该隔离地带中,会有一些冲突和一定的危险,但危害性不大且容易控制,而且在大规模战争爆发前能及时告警。此概念用于网络安全中是指额外的安全保护子网,信任度较低、易受攻击的对外提供服务的服务器和堡垒主机都放置在该子网中,远离内部网络。DMZ概念的出现源于用户对防火墙使用中的需求,早期简单的防火墙提供的是内部网与外部网之间的边界保护,而内部网中对外提供服务的服务器(如邮件服务器)比其他的内部网的机器遭到入侵的可能性要高很多,且这些服务器一旦被入侵,将被用来做为跳板攻击整个内部网。有了非军事化区后,一旦入侵者侵入非军事化区,最坏会损坏其中的服务器和堡垒主机,但不会损伤到内部网的完整性,而且通过在周边网络上隔离对外提供服务的服务器和堡垒主机,还减少了网络安全对堡垒主机的依赖。非军事化区中的主机主要通过主机安全来保证其安全性。
屏蔽子网防火墙使用了两个屏蔽路由器,消除了内部网络的单一侵入点,增强了网络的安全性。但两个屏蔽路由器的规则设置的侧重点不同。
配置防火墙的访问策略时,一般按服务来配置规则。首先要分析网络的特点及网络对外提供的服务,弄清各服务的工作原理及正常的工作流程,然后再分析各服务在防火墙环境下如何工作,并对服务配置
转载请注明原文地址:https://kaotiyun.com/show/n1QZ777K
本试题收录于:
网络规划设计师下午案例分析考试题库软考高级分类
0
网络规划设计师下午案例分析考试
软考高级
相关试题推荐
求1+2+…+n,要求不能使用乘除法、for、while、if、else、switch、case等关键字以及条件判断语句(A?B:C)。
定义栈的数据结构,要求添加一个min函数,能够得到栈的最小元素。要求函数min、push以及pop的时间复杂度都是O(1)。
八皇后问题(输出所有情况,不过有些结果只是旋转了90度而已)。哈哈:)回溯算法的典型例题
四个工人,四个任务,每个人做不同的任务需要的时间不同,求任务分配的最优方案。(2005年5月29日全国计算机软件资格水平考试——软件设计师的算法题)。
定义字符串的左旋转操作:把字符串前面的若干个字符移动到字符串的尾部。如把字符串abcdef左旋转2位得到字符串cdefab。请实现字符串左旋转的函数。要求时间对长度为n的字符串操作的复杂度为O(n),辅助内存为O(1)。
公司要求开发一个继承System.Windows.Forms.ListView类的组件,要求达到以下的特殊功能:点击ListView各列列头时,能按照点击列的每行值进行重排视图中的所有行(排序的方式如DataGrid相似)。根据您的知识,请简要谈一下您的
什么是ASP.net中的用户控件
存储过程和函数的区别
如果WindowsXP不能够识别网络适配器如何安装网络适配器。
如果利用局域网连接Internt,在Internet选项中进行设置代理服务器HTTP:proxy.pku.edu.cn端口:8080。
随机试题
初产妇,孕37周,近1周体重增加2.0kg,浮肿明显(+++),尿量减少。BPl80/120mmHg,尿蛋白>5.0g/24h,心率110次/分,呼吸20次/分,有腹水征,先露头,胎心,胎位正常。化验检查:BUN、Cr、尿酸、血钾、尿比重均明显升高,尿中有
网织红细胞测定参数不包括
患者,女,48岁。既往肝门静脉高压症病史,此次因发生急性大出血,应用三腔二囊管压迫止血。护士为该患者采取的护理措施不包括
A、油管B、油室C、油细胞D、树脂道E、乳管川芎组织中有()
会计核算的基本前提是指对会计领域某些无法正面论证的事物,根据客观、正常的情况和趋势所作的合理推论和假设。( )
()反映的是特定社会对受教育者的基本要求,是确定教育内容、选择教育方法、检查和评价教育效果的依据。
如图,甲、乙、丙、丁四个长方形拼成正方形EFGH,中间阴影为正方形。已知,甲、乙、丙、丁四个长方形面积的和是32平方厘米,四边形ABCD的面积是20平方厘米。问甲、乙、丙、丁四个长方形周长的总和是( )。
意志的自制性
在计算机中,算法是指______。
Whereistheweatherreportfor?
最新回复
(
0
)
