阅读以下关于某机构网络的叙述。某机构打算新建一个网络，其中有内部办公计算机若干台，内部数据库服务一台，内部文件传输(FTP)服务器一台，网页(Web)服务器一台，邮件服务器一台。要求能对外提供万维网(WWW)访问和邮件服务，内部办公计算机和内部数据

admin2012-05-19 92

问题阅读以下关于某机构网络的叙述。
某机构打算新建一个网络，其中有内部办公计算机若干台，内部数据库服务一台，内部文件传输(FTP)服务器一台，网页(Web)服务器一台，邮件服务器一台。要求能对外提供万维网(WWW)访问和邮件服务，内部办公计算机和内部数据库、文件传输(FTP)服务器对外不可见。
为提高安全性，请设计该机构网络的防火墙方案，画出拓扑图，并给出防火墙的相关规则的配置策略。

选项

答案配置策略：外部屏蔽路由区的访问策略：允许外部网络客户访问DMZ区的WWW服务器提供的WWW服务和邮件服务器提供的邮件服务，其他禁止；内部屏蔽路由器的访问策略：允许内部网客户访问外部网络，不允许外部网络客户访问内部网；允许内部网客户访问DMZ区，不允许DMZ区网络客户访问内部网。 [*]

解析防火墙的典型体系结构(部署方式)有三种形式：双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构，具体部署时需根据网络的特点和具体的安全需求、安全策略来决定。
防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络和内部网络的任务。一个典型的双宿主主机防火墙如图3-1所示，它使用一个双宿主主机完成防火墙功能。该主机至少有两个网络接口，一个是内部网络接口，一个是因特网接口，故称为双宿主主机。

防火墙的屏蔽主机体系结构如图3-2所示，通过屏蔽路由器和堡垒主机结合的方式来构造防火墙。其中屏蔽路由器是一个单独的路由器，采用包过滤方式来实现内、外部网络的隔离和对内网的保护，而堡垒主机是因特网中的主机能够访问的唯一的内部网中的主机，内部网中的其他主机对外都是不可见的，故称为屏蔽主机防火墙。
堡垒主机通常是安全管理员标识的作为网络安全中关键点的系统，这类系统健壮安全，能抗攻击，故称为堡垒主机。在屏蔽主机防火墙中，堡垒主机用于对外提供一定的服务，如WWW服务，而且任何外部的主机只有通过这台主机才能得到内部系统的服务(在外部主机看来，没有内部网络，只有堡垒主机)。由于堡垒主机暴露在因特网中，故堡垒主机需保持较高的安全等级，具有一定的抗攻击能力。
防火墙的屏蔽子网体系结构的最简单形式如图3-3所示，防火墙由外部屏蔽路由器、内部屏蔽路由器和堡垒主机共同组成。与前两种防火墙体系结构有明显区别的是，在外/内部屏蔽路由器间有一个称为非军事化区的子网，进一步将内部网络同因特网隔离开来，起到屏蔽内部网络的作用，提供更进一步的安全性，故称为屏蔽子网防火墙。

非军事化区即DMZ：De-Militarized Zone，原指古代战场上交战双方的开火区及后方保护区之间的隔离地带，在该隔离地带中，会有一些冲突和一定的危险，但危害性不大且容易控制，而且在大规模战争爆发前能及时告警。此概念用于网络安全中是指额外的安全保护子网，信任度较低、易受攻击的对外提供服务的服务器和堡垒主机都放置在该子网中，远离内部网络。DMZ概念的出现源于用户对防火墙使用中的需求，早期简单的防火墙提供的是内部网与外部网之间的边界保护，而内部网中对外提供服务的服务器(如邮件服务器)比其他的内部网的机器遭到入侵的可能性要高很多，且这些服务器一旦被入侵，将被用来做为跳板攻击整个内部网。有了非军事化区后，一旦入侵者侵入非军事化区，最坏会损坏其中的服务器和堡垒主机，但不会损伤到内部网的完整性，而且通过在周边网络上隔离对外提供服务的服务器和堡垒主机，还减少了网络安全对堡垒主机的依赖。非军事化区中的主机主要通过主机安全来保证其安全性。
屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了网络的安全性。但两个屏蔽路由器的规则设置的侧重点不同。
配置防火墙的访问策略时，一般按服务来配置规则。首先要分析网络的特点及网络对外提供的服务，弄清各服务的工作原理及正常的工作流程，然后再分析各服务在防火墙环境下如何工作，并对服务配置

转载请注明原文地址:https://kaotiyun.com/show/n1QZ777K

本试题收录于：网络规划设计师下午案例分析考试题库软考高级分类

网络规划设计师下午案例分析考试

软考高级

相关试题推荐

随机试题

最新回复(0)

网络规划设计师下午案例分析考试

软考高级

输入一棵二元查找树，将该二元查找树转换成一个排序的双向链表。要求不能创建任何新的结点，只调整指针的指向。　　比如将二元查找树10

将一整数逆序后放入一数组中（要求递归实现）

删除字符串中的数字并压缩字符串（神州数码以前笔试题），如字符串”abc123de4fg56”处理后变为”abcdefg”。注意空间和效率。（下面的算法只需要一次遍历，不需要开辟新空间，时间复杂度为O(N)）

把D:下的图片文件夹进行网络共享但是其他网络用户只能读取。

设置TCP/IP属性由DHCP服务器负责分配IP地址。

利用MSN给bob@sina.com发送电子邮件内容“8号晚上到我家一起吃饭”。

设置TCP/IP属性添加第三个DNS服务器202.112.82.133。

设置网络连接，使之在连接后在通知区域显示连接状态，用【自动获取IP地址】的方式获得IP，并查看该连接的IP地址和DNS服务器地址。

试述一项政策问题进入政策议程的条件和障碍。

A．麻醉药品购用印鉴卡B．麻醉药品专用章C．麻醉药品出口准许证D．麻醉药品专用卡E．运输凭照

监理员与监理工程师的区别主要在于监理工程师具有相应岗位责任的(　　)。

教育过程的基本矛盾是______。

有89吨货物要从甲地运往乙地。大卡车的载重量是7吨，小卡车的载重量是4吨，大卡车与小卡车每次耗油量分别是14升、9升，如果使所派车辆运完货物耗油量最小，则最小耗油量是()。

患者，女性，15岁。进行性开口困难8年，8岁时曾发生颏部对冲性损伤，查体见面部明显不对称。该病最可能的诊断是()。

(2011年单选28)下列关于我国县级人民政府的表述，正确的是()。

Thefollowingparagraphsaregiveninawrongorder.ForQuestions1-5,youarerequiredtoreorganizetheseparagraphsintoac

Artincludescreativewriting,painting,theatre,music,danceandmanycrafts,suchaspottery.Bythisdefinitionofart,peop

【B1】【B18】

网络规划设计师下午案例分析考试

软考高级

输入一棵二元查找树，将该二元查找树转换成一个排序的双向链表。要求不能创建任何新的结点，只调整指针的指向。 比如将二元查找树10

将一整数逆序后放入一数组中（要求递归实现）

删除字符串中的数字并压缩字符串（神州数码以前笔试题），如字符串”abc123de4fg56”处理后变为”abcdefg”。注意空间和效率。（下面的算法只需要一次遍历，不需要开辟新空间，时间复杂度为O(N)）

把D:下的图片文件夹进行网络共享但是其他网络用户只能读取。

设置TCP/IP属性由DHCP服务器负责分配IP地址。

利用MSN给bob@sina.com发送电子邮件内容“8号晚上到我家一起吃饭”。

设置TCP/IP属性添加第三个DNS服务器202.112.82.133。

设置网络连接，使之在连接后在通知区域显示连接状态，用【自动获取IP地址】的方式获得IP，并查看该连接的IP地址和DNS服务器地址。

试述一项政策问题进入政策议程的条件和障碍。

A．麻醉药品购用印鉴卡B．麻醉药品专用章C．麻醉药品出口准许证D．麻醉药品专用卡E．运输凭照

监理员与监理工程师的区别主要在于监理工程师具有相应岗位责任的( )。

教育过程的基本矛盾是______。

有89吨货物要从甲地运往乙地。大卡车的载重量是7吨，小卡车的载重量是4吨，大卡车与小卡车每次耗油量分别是14升、9升，如果使所派车辆运完货物耗油量最小，则最小耗油量是()。

患者，女性，15岁。进行性开口困难8年，8岁时曾发生颏部对冲性损伤，查体见面部明显不对称。该病最可能的诊断是()。

(2011年单选28)下列关于我国县级人民政府的表述，正确的是()。

Thefollowingparagraphsaregiveninawrongorder.ForQuestions1-5,youarerequiredtoreorganizetheseparagraphsintoac

Artincludescreativewriting,painting,theatre,music,danceandmanycrafts,suchaspottery.Bythisdefinitionofart,peop

【B1】【B18】

输入一棵二元查找树，将该二元查找树转换成一个排序的双向链表。要求不能创建任何新的结点，只调整指针的指向。　　比如将二元查找树10

监理员与监理工程师的区别主要在于监理工程师具有相应岗位责任的(　　)。