【正确答案】整个网络分为三个不同级别的安全区域： 1．内部网络：安全级别最高，是可信的、重点保护的区域。包括所有内部办公计算机，内部数据库服务器和内部FTP服务器。 2．外部网络：安全级别最低，是不可信的、要防备的区域。包括外部因特网用户主机和设备。 3．DMZ区域(非军事化区)：安全级别中等，因为需要对外开放某些特定的服务和应用，受一定的保护，是安全级别较低的区域。包括对外提供WWW访问的Web服务器和邮件服务器。

【答案解析】[解析] 本题涉及网络安全区域的划分、防火墙和入侵检测等的内容。 要保障一个网络系统的安全，首先应该分析该网络系统的特点和安全需求，分析对外需要提供的服务，评估需要保护的数据的安全级别和面临的风险，划分不同的安全区域，然后再制定系统安全策略，决定实现时采用何种方式和手段。 本题所述机构的网络中有内部数据库服务和内部文件传输(FTP)服务器各一台，内部办公计算机若干台。服务器上存储的数据信息量大，且是内部数据，安全级别要求最高，内部办公计算机处理的数据也是内部数据，不对外公开，其安全级别也可定位最高。因此这些机器应该统一划分在同一个安全区域，以便采用统一的安全策略来实施重点保护。 本题所述机构的网络中有网页(Web)服务器和邮件服务器各一台。由于要求能对外提供万维网(WWW)访问服务和邮件服务，则这两台服务器对本机构网络外部的设备是可见的，外部设备会访问这两台服务器，可能会受到外网不安全因素的威胁，其安全级别会降低。因此不能同内部服务器等放在同一区域，以免在遭受攻击时影响内部网络。因此这两台服务器应该统一划分在同一个安全区域，以便采用统一的安全策略来统一实施保护，以保证能对外提供正常的服务。 本机构网络之外的因特网设备和主机，能访问该机构网络中有网页(Web)服务器和邮件服务器，这部分设备和主机是不可信的、要防备的区域，安全级别最低，可划分为同一个安全区域。

【正确答案】配置策略： 外部屏蔽路由区的访问策略：允许外部网络客户访问DMZ区的WWW服务器提供的WWW服务和邮件服务器提供的邮件服务，其他禁止； 内部屏蔽路由器的访问策略：允许内部网客户访问外部网络，不允许外部网络客户访问内部网；允许内部网客户访问DMZ区，不允许DMZ区网络客户访问内部网。 [*]

【答案解析】[解析] 防火墙的典型体系结构(部署方式)有三种形式：双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构，具体部署时需根据网络的特点和具体的安全需求、安全策略来决定。 防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络和内部网络的任务。一个典型的双宿主主机防火墙如图3-1所示，它使用一个双宿主主机完成防火墙功能。该主机至少有两个网络接口，一个是内部网络接口，一个是因特网接口，故称为双宿主主机。 [*] 防火墙的屏蔽主机体系结构如图3-2所示，通过屏蔽路由器和堡垒主机结合的方式来构造防火墙。其中屏蔽路由器是一个单独的路由器，采用包过滤方式来实现内、外部网络的隔离和对内网的保护，而堡垒主机是因特网中的主机能够访问的唯一的内部网中的主机，内部网中的其他主机对外都是不可见的，故称为屏蔽主机防火墙。 堡垒主机通常是安全管理员标识的作为网络安全中关键点的系统，这类系统健壮安全，能抗攻击，故称为堡垒主机。在屏蔽主机防火墙中，堡垒主机用于对外提供一定的服务，如WWW服务，而且任何外部的主机只有通过这台主机才能得到内部系统的服务(在外部主机看来，没有内部网络，只有堡垒主机)。由于堡垒主机暴露在因特网中，故堡垒主机需保持较高的安全等级，具有一定的抗攻击能力。 防火墙的屏蔽子网体系结构的最简单形式如图3-3所示，防火墙由外部屏蔽路由器、内部屏蔽路由器和堡垒主机共同组成。与前两种防火墙体系结构有明显区别的是，在外/内部屏蔽路由器间有一个称为非军事化区的子网，进一步将内部网络同因特网隔离开来，起到屏蔽内部网络的作用，提供更进一步的安全性，故称为屏蔽子网防火墙。 [*] [*] 非军事化区即DMZ：De-Militarized Zone，原指古代战场上交战双方的开火区及后方保护区之间的隔离地带，在该隔离地带中，会有一些冲突和一定的危险，但危害性不大且容易控制，而且在大规模战争爆发前能及时告警。此概念用于网络安全中是指额外的安全保护子网，信任度较低、易受攻击的对外提供服务的服务器和堡垒主机都放置在该子网中，远离内部网络。DMZ概念的出现源于用户对防火墙使用中的需求，早期简单的防火墙提供的是内部网与外部网之间的边界保护，而内部网中对外提供服务的服务器(如邮件服务器)比其他的内部网的机器遭到入侵的可能性要高很多，且这些服务器一旦被入侵，将被用来做为跳板攻击整个内部网。有了非军事化区后，一旦入侵者侵入非军事化区，最坏会损坏其中的服务器和堡垒主机，但不会损伤到内部网的完整性，而且通过在周边网络上隔离对外提供服务的服务器和堡垒主机，还减少了网络安全对堡垒主机的依赖。非军事化区中的主机主要通过主机安全来保证其安全性。 屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了网络的安全性。但两个屏蔽路由器的规则设置的侧重点不同。 配置防火墙的访问策略时，一般按服务来配置规则。首先要分析网络的特点及网络对外提供的服务，弄清各服务的工作原理及正常的工作流程，然后再分析各服务在防火墙环境下如何工作，并对服务配置。

【正确答案】(1)应该配置入侵检测系统(IDS系统)。 (2)拓扑图为： [*]

【答案解析】[解析] 防火墙和操作系统加固技术等传统安全技术都是静态安全防御技术，不能提供足够的安全性；入侵检测系统能使系统对入侵事件和过程做出实时响应，提供系统的动态安全性。 入侵检测系统是通过从计算机网络和系统的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定措施的技术。 入侵检测系统包括三部分内容：信息收集、信息分析和响应。其中收集信息的可靠性和正确性在很大程度上决定了入侵检测系统的有效性和准确性。需要在合适的位置上放置，以保证采集信息的准确性和充足性。