【正确答案】建议将该机构网络划分为3个不同安全级别的安全区域： ①内部网络：安全级别最高，是可信的、重点保护的区域，用于部署内部办公计算机、内部数据库服务器和内部文件传输(FTP)服务器； ②外部网络：安全级别最低，是不可信的、要防备的区域，Internet上的用户主机和公用设备等属于该区域； ③DMZ区域(非军事化区)：安全级别中等，是受一定的保护的区域，用于部署网页(Web)服务器和电子邮件服务器

【答案解析】这是一道要求读者掌握逻辑网络设计之网络安全设计的综合分析题。本题解答思路是： 依题意，可以将该机构网络划分为3个不同安全级别的安全区域： ①内部网络区域：安全级别最高，是可信的(Trust)、重点保护的区域。该区域用于部署对外不可见的所有的内部办公计算机、内部数据库服务器和内部文件传输(FTP)服务器。 ②外部网络区域：安全级别最低，是不可信的(Untrust)、要防备的区域。Internet上的用户主机、服务器和公用设备等归属于该区域。 ③DMZ区域(非军事化区)：安全级别中等，因为需要对外开放某些特定的服务和应用，受一定保护的区域。该区域用于部署对外提供万维网(WWW)服务的Web服务器，以及提供电子邮件服务的E-mail服务器等。

【正确答案】建议选用被屏蔽子网体系结构防火墙方案，如解析图所示。 防火墙相关规则的配置策略 外部屏蔽路由器的访问策略：允许外部网络用户访问DMZ区Web服务器提供的WWW服务、电子邮件服务器提供的邮件服务，其他禁止； 内部屏蔽路由器的访问策略：允许内部网络用户访问外部网络，不允许外部网络用户访问内部网络；允许内部网络用户访问DMZ网络，不允许DMZ网络用户访问内部网络

【答案解析】这是一道要求读者掌握防火墙方案设计及其ACL策略配置的综合分析题。本题的解答思路如下。
防火墙是一种逻辑隔离的网络安全设备，其最基本的功能就是控制在计算机网络中，不同信任程度区域之间传送的数据流，以避免安全策略中禁止的一些通信。防火墙的经典体系结构主要有3种形式：①双重宿主主机体系结构；②被屏蔽主机体系结构；③被屏蔽子网体系结构。根据该机构的具体网络需求，建议选用被屏蔽子网体系结构防火墙方案，如图所示。


在上图所示的防火墙方案中，外部屏蔽路由器主要用于保护DMZ网络和内部网络，是本防火墙体系结构的第1道屏障。在其上设置了对DMZ网络和内部网络进行访问的过滤规则，该规则主要针对外网用户。例如：限制外网用户只能访问DMZ网络的Web服务、电子邮件服务而不能访问内部网络。内部屏蔽路由器用于隔离DMZ网络和内部网络，是本防火墙体系结构的第2道屏障。在其上设置了针对内部用户的访问过滤规则，对内部用户访问DMZ网络和外部网络进行限制。例如，允许内部网络用户访问外部网络(即Internet)，不允许外部网络用户访问内部网络；允许内部网络用户访问DMZ网络，不允许DMZ网络用户访问内部网络。DMZ网络允许对外部用户提供WWW、E-mail等应用服务，并接受来自外部网络用户的服务资源访问请求。简而言之，外网、DMZ、内网三者之间的访问关系，应满足：①外网可访问DMZ，不能访问内网；②DMZ可访问外网，不能访问内网；③内网可访问外网和DMZ。

【正确答案】配置一台基于网络的入侵检测系统(NIDS)(或IDS)，部署在与被监控的内部办公计算机的同一VLAN的交换机端口中(或者部署在内网核心交换机的某个端口中)

【答案解析】这是一道要求读者掌握入侵检测系统的功能及其部署的综合分析题。本题解答思路是： 入侵检测系统(IDS)是一种主动保护自己的网络安全技术，它能依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，并根据监视结果进行警报等响应，以保证网络系统资源的机密性、完整性和可用性。因此，若想要监听、检测内部办公计算机之间的连接和攻击，则可以在内部网络核心交换机的某个端口中连接一台基于网络的IDS(NIDS)(见上图)，或者将NIDS部署在被监控的内部办公计算机的同一VLAN中。NIDS将网卡设置成“混杂模式”，以便收集网络中出现的数据帧。NIDS担负着保护整个网段的任务。它不停地监视网段中的各种数据包，对每一个可疑的数据包进行特征分析：若数据包与内置的某些规则吻合，则发出警报甚至直接切断网络连接。