信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/5/26）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2020/5/26

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2020/5/26）

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
防火墻是一種廣泛應(yīng)用的網(wǎng)絡(luò)安全防御技術(shù)，它阻擋對網(wǎng)絡(luò)的非法訪問和不安全的數(shù)據(jù)傳遞，保護(hù)本地系統(tǒng)和網(wǎng)絡(luò)免于受到安全威脅。
圖3-1給出了一種防火墻的體系結(jié)構(gòu)。

【問題1】（6分）
防火墻的體系結(jié)構(gòu)主要有：
（1）雙重宿主主機(jī)體系結(jié)構(gòu)；
（2）（被）屏蔽主機(jī)體系結(jié)構(gòu)；
（3）（被）屏蔽子網(wǎng)體系結(jié)構(gòu)；
請簡要說明這三種體系結(jié)構(gòu)的特點(diǎn)。
【問題2】（5分）
（1）圖3-1描述的是哪一種防火墻的體系結(jié)構(gòu)？
（2）其中內(nèi)部包過濾器和外部包過濾器的作用分別是什么？
【問題3】（8分）
設(shè)圖3-1中外部包過濾器的外部IP地址為10.20.100.1，內(nèi)部IP地址為10.20.100.2，內(nèi)部包過濾器的外部IP地址為10.20.100.3，內(nèi)部IP地址為192.168.0.1，DMZ中Web服務(wù)器IP為10.20.100.6，SMTP服務(wù)器IP為10.20.100.8.
關(guān)于包過濾器，要求實(shí)現(xiàn)以下功能，不允許內(nèi)部網(wǎng)絡(luò)用戶訪問外網(wǎng)和DMZ，外部網(wǎng)絡(luò)用戶只允許訪問DMZ中的Web服務(wù)器和SMTP服務(wù)器。內(nèi)部包過濾器規(guī)則如表3-1所示。請完成外部包過濾器規(guī)則表3-2，將對應(yīng)空缺表項(xiàng)的答案填入答題紙對應(yīng)欄內(nèi)。

信管網(wǎng)a1：
1.雙重宿主機(jī)：以一臺雙重宿主機(jī)作為防火墻的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。 2.被屏蔽主機(jī)體系結(jié)構(gòu)：通過一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，通過數(shù)據(jù)包過濾實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的隔離和內(nèi)網(wǎng)的保護(hù) 3.被屏蔽子網(wǎng)體系結(jié)構(gòu)：由一個(gè)兩臺路由器包圍起來的周邊網(wǎng)絡(luò)，將容易受到的攻擊的堡壘主機(jī)都置于這個(gè)周邊網(wǎng)絡(luò)之中。 被屏蔽子網(wǎng)體系結(jié)構(gòu) 外部路由器保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子系統(tǒng)的第一道屏障 內(nèi)部路由器用于隔離周邊網(wǎng)路和內(nèi)部網(wǎng)絡(luò)，是第二道屏障

信管網(wǎng)denggh：
1.雙宿主主機(jī)體系結(jié)構(gòu)：以一臺雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，分離內(nèi)外網(wǎng) 被屏蔽主機(jī)體系結(jié)構(gòu)：一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，通過數(shù)據(jù)包過濾實(shí)現(xiàn)內(nèi)外網(wǎng)隔離和內(nèi)網(wǎng)的保護(hù) 被屏蔽子網(wǎng)體系結(jié)構(gòu)：一個(gè)由兩臺路由器包圍起來的周邊網(wǎng)絡(luò)，并且將容易受到攻擊的堡壘主機(jī)都置于這個(gè)周邊網(wǎng)絡(luò)中。主要由四個(gè)部件組成：周邊網(wǎng)絡(luò)、外部路由器以及堡壘主機(jī) 2.（1）被屏蔽子網(wǎng)體系結(jié)構(gòu) （2）內(nèi)部路由器：用于隔離周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第二道屏障，主要針對內(nèi)部用戶 外部路由器：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)的第一道屏障，主要針對外網(wǎng)用戶 3.（1）＊ （2）10.20.100.8 （3）10.20.100.8 （4）＊ （5）udp （6）10.20.100.3 （7）udp （8）10.20.100.3

信管網(wǎng)ccl103600753：
【1】（1）以一臺主機(jī)作為防火墻主體隔離內(nèi)外網(wǎng)（2）由路由器和堡壘機(jī)組成的防火墻系統(tǒng)，通過包過濾方式實(shí)現(xiàn)隔離（2）由dmz網(wǎng)絡(luò)、堡壘機(jī)、外部路由器、內(nèi)部路由器構(gòu)成的防火墻系統(tǒng)，外部路由器保護(hù)dmz和內(nèi)網(wǎng)、內(nèi)部路由器隔離dmz和內(nèi)網(wǎng) 【2】屏蔽子網(wǎng)的體系結(jié)構(gòu)、外部包過濾器檢查數(shù)據(jù)是否符合進(jìn)入防火墻的條件，內(nèi)部包過濾器檢查進(jìn)入了防火墻的數(shù)據(jù)是否符合進(jìn)入內(nèi)網(wǎng)的條件 【3】（1）10.20.100.1（2）10.2.100.6（3）10.20.100.8（4）10.20.100.1（5）ip（6）10.20.100.2（7）ip（8）10.20.100.3

信管網(wǎng)nahaya：
1. （1）雙重宿主主機(jī)體系結(jié)構(gòu)：通過單一主機(jī)進(jìn)行網(wǎng)絡(luò)的控制 （2）被屏蔽主機(jī)體系結(jié)構(gòu)：采用堡壘主機(jī)+路由器的結(jié)合進(jìn)行控制 （3）被屏蔽子網(wǎng)體系結(jié)構(gòu)：采用堡壘主機(jī)+路由器+dmz區(qū)進(jìn)行網(wǎng)絡(luò)隔離控制 2. （1）被屏蔽子網(wǎng)體系結(jié)構(gòu) （2）外部包過濾是對外部網(wǎng)絡(luò)訪問dmz區(qū)進(jìn)行策略限制， 內(nèi)部包過濾是對dmz和內(nèi)網(wǎng)網(wǎng)絡(luò)進(jìn)行策略限制 3.（1）＊ （2）10.20.100.8 （3）10.20.100.8 （4）＊ （5）udp （6）＊ （7）udp （8）＊

信管網(wǎng)菜鳥小白：
1、（被）屏蔽子網(wǎng)體系結(jié)構(gòu) 2、內(nèi)部包過濾器是 隔離周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的路由器，屏蔽子網(wǎng)體系的第二道屏障，對內(nèi)部用戶訪問周邊網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行限制 外部包過濾器是 用于保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系的第一道屏障 ＊ 10.20.100.8 10.20.100.8 ＊ udp