单选题
为防止服务器遭攻击,通常设置一个DMZ。有关外网、DMZ、内网三者之间的关系,应满足______。如果在DMZ中没有______,则访问规则可更简单。
单选题
A.外网可访问DMZ,不能访问内网;DMZ可访问内网和外网;内网可访问外网和DMZ
B.外网可访问DMZ,可有条件地访问内网;DMZ可访问内网;不能访问外网,内网可访问DMZ,不能访问外网
C.外网可访问DMZ,不能访问内网;DMZ可访问外网,不能访问内网;内网可访问DMZ和外网
D.外网可访问DMZ,不能访问内网;DMZ不能访问内网和外网;内网可有条件地访问DMZ和外网
B.外网可访问DMZ,可有条件地访问内网;DMZ可访问内网;不能访问外网,内网可访问DMZ,不能访问外网
C.外网可访问DMZ,不能访问内网;DMZ可访问外网,不能访问内网;内网可访问DMZ和外网
D.外网可访问DMZ,不能访问内网;DMZ不能访问内网和外网;内网可有条件地访问DMZ和外网
【正确答案】
C
【答案解析】本题考查网络隔离与DMZ方面的基本知识。
从体系结构角度考虑,防火墙主要包括双宿/多宿主机模式、屏蔽主机模式和屏蔽子网模式。
双宿/多宿主机模式(Dual-Homed/Multi-Homed Host Firewall)是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,如下图所示。通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连,一般采用代理服务的办法,必须禁止网络层的路由功能。
屏蔽主机防火墙(Screened Host Firewall)由包过滤路由器和堡垒主机组成,其工作如下图所示。
屏蔽主机模式的主要特点是:在防火墙中堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全,因而比单独的包过滤或应用网关代理更安全。在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网完全暴露。
屏蔽子网模式(Screened Subnet Mode)采用两个包过滤路由器和一个堡垒主机,在内、外网络之间建立了一个被隔离的子网,定义为DMZ网络,有时也称做周边网(PerimeterNetwork),如下图所示。
从体系结构角度考虑,防火墙主要包括双宿/多宿主机模式、屏蔽主机模式和屏蔽子网模式。
双宿/多宿主机模式(Dual-Homed/Multi-Homed Host Firewall)是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,如下图所示。通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连,一般采用代理服务的办法,必须禁止网络层的路由功能。
屏蔽主机防火墙(Screened Host Firewall)由包过滤路由器和堡垒主机组成,其工作如下图所示。
屏蔽主机模式的主要特点是:在防火墙中堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全,因而比单独的包过滤或应用网关代理更安全。在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网完全暴露。
屏蔽子网模式(Screened Subnet Mode)采用两个包过滤路由器和一个堡垒主机,在内、外网络之间建立了一个被隔离的子网,定义为DMZ网络,有时也称做周边网(PerimeterNetwork),如下图所示。
单选题
A.邮件服务器B.Web服务器 C.DNS服务器 D.数据库服务器
【正确答案】
A
【答案解析】