【正确答案】整个网络分为3个不同级别的安全区域。 (1)内部网络：安全级别最高，是可信的、重点保护的区域。包括所有内部办公计算机、内部数据库服务器和内部FTP服务器。 (2)外部网络：安全级别最低，是不可信的、要防备的区域。包括外部因特网用户主机和设备。 (3)DMZ区域(非军事化区)：安全级别中等，因为需要对外开放某些特定的服务和应用，受一定的保护，是安全级别较低的区域。包括对外提供WWW访问和邮件服务的Web服务器和邮件服务器。

【答案解析】本题涉及网络安全区域的划分、防火墙和入侵检测等方面的内容。 要保障一个网络系统的安全，首先，应该分析该网络系统的特点和安全需求，分析对外需提供的服务，评估需要保护数据的安全级别和面临的风险，划分不同的安全区域；然后，再制定系统安全策略，决定实现时采用何种方式和手段。 本题所述机构的网络中有内部数据库服务和内部文件传输服务器各1台，内部办公计算机若干台。服务器上存储的数据信息量大，且是内部数据，安全级别要求最高，内部办公计算机处理的数据也是内部数据，不对外公开，其安全级别也可定位最高。因此，这些机器应该统一划分在同一个安全区域，以便采用统一的安全策略来实施重点保护。 本题所述机构的网络中有网页(Web)服务器和邮件服务器各1台。由于要求能对外提供万维网(WWW)访问服务和邮件服务，则这两台服务器对本机构网络外部的设备是可见的，外部设备会访问这两台服务器，从而受到外网不安全因素的威胁，其安全级别会降低。因此不能同内部服务器等放在同一区域，以免在遭受攻击时影响内部网络。这两台服务器应该统一划分在同一个安全区域，以便采用统一的安全策略来统一实施保护，以保证能对外提供正常的服务。 本机构网络之外的因特网设备和主机，能访问该机构网络中的Web服务器和邮件服务器，这部分设备和主机是不可信的、要防备的区域，安全级别最低，可划分为同一个安全区域。

【正确答案】方案说明中包括DMZ区，外部防火墙、内部防火墙两个防火墙(屏蔽路由器)。 配置策略： ·外部防火墙(屏蔽路由器)的访问策略：允许外部网络客户访问DMZ区的WWW服务器提供的WWW服务和邮件服务器提供的邮件服务，其他禁止。 ·内部防火墙(屏蔽路由器)的访问策略：允许内部网客户访问外部网络，不允许外部网络客户访问内部网；允许内部网客户访问DMZ区，不允许DMZ区网络客户访问内部网。

【答案解析】防火墙体系结构有以下4种。 (1)屏蔽路由器(Screening Router)。这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。 单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户。 (2)双宿主机网关(Dual Homed Gateway)。任何拥有多个接口卡的系统都被称为多宿的，双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件，可以转发应用程序，提供服务等。 双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件备份日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。 双宿主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。 (3)被屏蔽主机网关(Screened Host Gateway)。屏蔽主机网关易于实现，也很安全，因此应用广泛。例如：一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。 如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么，内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。 (4)被屏蔽子网(Screened Subnet)。这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网机及所有连接内网、主外网和屏蔽子网的路由器。 如果攻击者试图完全破坏防火墙，他必须重新配置连接3个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这科，情况下，攻击者先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，整个过程中不能引发警报。

【正确答案】·应配置IDS(入侵检测系统)。 ·应接在交换机端口上，并在交换上配置镜像端口，以获取内网数据包信息。

【答案解析】防火墙和操作系统加固技术等传统安全技术都是静态安全防御技术，不能提供足够的安全性；入侵检测系统能使系统对入侵事件和过程做出实时响应，提供系统的动态安全性。 入侵检测系统是通过从计算机网络和系统的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定措施的技术。 入侵检测系统包括3部分内容：信息收集、信息分析和响应。其中收集信息的可靠性和正确性在很大程度上决定了入侵检测系统的有效性和准确性。需要在合适的位置上旋转，以保证采集信息的准确性和充足性。