信息安全工程師案例分析當天每日一練試題地址：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/6/21）在線測試：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2020/6/21

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內(nèi)容（2020/6/21）

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應欄內(nèi)。
【說明】
防火墻是一種廣泛應用的網(wǎng)絡安全防御技術，它阻擋對網(wǎng)絡的非法訪問和不安全的數(shù)據(jù)傳遞，保護本地系統(tǒng)和網(wǎng)絡免于受到安全威脅。
圖3-1給出了一種防火墻的體系結構。

【問題1】（6分）
防火墻的體系結構主要有：
（1）雙重宿主主機體系結構；
（2）（被）屏蔽主機體系結構；
（3）（被）屏蔽子網(wǎng)體系結構；
請簡要說明這三種體系結構的特點。
【問題2】（5分）
（1）圖3-1描述的是哪一種防火墻的體系結構？
（2）其中內(nèi)部包過濾器和外部包過濾器的作用分別是什么？
【問題3】（8分）
設圖3-1中外部包過濾器的外部IP地址為10.20.100.1，內(nèi)部IP地址為10.20.100.2，內(nèi)部包過濾器的外部IP地址為10.20.100.3，內(nèi)部IP地址為192.168.0.1，DMZ中Web服務器IP為10.20.100.6，SMTP服務器IP為10.20.100.8.
關于包過濾器，要求實現(xiàn)以下功能，不允許內(nèi)部網(wǎng)絡用戶訪問外網(wǎng)和DMZ，外部網(wǎng)絡用戶只允許訪問DMZ中的Web服務器和SMTP服務器。內(nèi)部包過濾器規(guī)則如表3-1所示。請完成外部包過濾器規(guī)則表3-2，將對應空缺表項的答案填入答題紙對應欄內(nèi)。

信管網(wǎng)a1：
1.雙重宿主機：以一臺雙重宿主機作為防火墻的主體，執(zhí)行分離外部網(wǎng)絡和內(nèi)部網(wǎng)絡的任務。 2.被屏蔽主機體系結構：通過一個單獨的路由器和內(nèi)部網(wǎng)絡上的堡壘主機共同構成防火墻，通過數(shù)據(jù)包過濾實現(xiàn)內(nèi)外網(wǎng)絡的隔離和內(nèi)網(wǎng)的保護 3.被屏蔽子網(wǎng)體系結構：由一個兩臺路由器包圍起來的周邊網(wǎng)絡，將容易受到的攻擊的堡壘主機都置于這個周邊網(wǎng)絡之中。 被屏蔽子網(wǎng)體系結構 外部路由器保護周邊網(wǎng)絡和內(nèi)部網(wǎng)絡，是屏蔽子系統(tǒng)的第一道屏障 內(nèi)部路由器用于隔離周邊網(wǎng)路和內(nèi)部網(wǎng)絡，是第二道屏障

信管網(wǎng)denggh：
1.雙宿主主機體系結構：以一臺雙重宿主主機作為防火墻系統(tǒng)的主體，分離內(nèi)外網(wǎng) 被屏蔽主機體系結構：一個單獨的路由器和內(nèi)部網(wǎng)絡上的堡壘主機共同構成防火墻，通過數(shù)據(jù)包過濾實現(xiàn)內(nèi)外網(wǎng)隔離和內(nèi)網(wǎng)的保護 被屏蔽子網(wǎng)體系結構：一個由兩臺路由器包圍起來的周邊網(wǎng)絡，并且將容易受到攻擊的堡壘主機都置于這個周邊網(wǎng)絡中。主要由四個部件組成：周邊網(wǎng)絡、外部路由器以及堡壘主機 2.（1）被屏蔽子網(wǎng)體系結構 （2）內(nèi)部路由器：用于隔離周邊網(wǎng)絡和內(nèi)部網(wǎng)絡，是屏蔽子網(wǎng)體系結構的第二道屏障，主要針對內(nèi)部用戶 外部路由器：保護周邊網(wǎng)絡和內(nèi)部網(wǎng)絡，是屏蔽子網(wǎng)的第一道屏障，主要針對外網(wǎng)用戶 3.（1）＊ （2）10.20.100.8 （3）10.20.100.8 （4）＊ （5）udp （6）10.20.100.3 （7）udp （8）10.20.100.3

信管網(wǎng)ccl103600753：
【1】（1）以一臺主機作為防火墻主體隔離內(nèi)外網(wǎng)（2）由路由器和堡壘機組成的防火墻系統(tǒng)，通過包過濾方式實現(xiàn)隔離（2）由dmz網(wǎng)絡、堡壘機、外部路由器、內(nèi)部路由器構成的防火墻系統(tǒng)，外部路由器保護dmz和內(nèi)網(wǎng)、內(nèi)部路由器隔離dmz和內(nèi)網(wǎng) 【2】屏蔽子網(wǎng)的體系結構、外部包過濾器檢查數(shù)據(jù)是否符合進入防火墻的條件，內(nèi)部包過濾器檢查進入了防火墻的數(shù)據(jù)是否符合進入內(nèi)網(wǎng)的條件 【3】（1）10.20.100.1（2）10.2.100.6（3）10.20.100.8（4）10.20.100.1（5）ip（6）10.20.100.2（7）ip（8）10.20.100.3

信管網(wǎng)nahaya：
1. （1）雙重宿主主機體系結構：通過單一主機進行網(wǎng)絡的控制 （2）被屏蔽主機體系結構：采用堡壘主機+路由器的結合進行控制 （3）被屏蔽子網(wǎng)體系結構：采用堡壘主機+路由器+dmz區(qū)進行網(wǎng)絡隔離控制 2. （1）被屏蔽子網(wǎng)體系結構 （2）外部包過濾是對外部網(wǎng)絡訪問dmz區(qū)進行策略限制， 內(nèi)部包過濾是對dmz和內(nèi)網(wǎng)網(wǎng)絡進行策略限制 3.（1）＊ （2）10.20.100.8 （3）10.20.100.8 （4）＊ （5）udp （6）＊ （7）udp （8）＊