问答题
[说明]
阅读以下关于某机构网络的叙述,回答下列问题。
某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务器1台,内部文件传输(FTP)服务器1台,网页(Web)服务器1台,邮件服务器1台。
要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机、内部数据库和文件传输(FTP)服务器对外不可见。
问答题
请划分该机构网络的安全区域和安全级别,说明各机器属于哪个区域和级别。
【正确答案】
【答案解析】整个网络分为3个不同级别的安全区域。
(1)内部网络:安全级别最高,是可信的、重点保护的区域。包括所有内部办公计算机、内部数据库服务器和内部FTP服务器。
(2)外部网络:安全级别最低,是不可信的、要防备的区域。包括外部因特网用户主机和设备。
(3)DMZ区域(非军事化区):安全级别中等,因为需要对外开放某些特定的服务和应用,受一定的保护,是安全级别较低的区域。包括对外提供WWW访问和邮件服务的Web服务器和邮件服务器。
问答题
为提高安全性,请设计该机构网络的防火墙方案,并给出防火墙相关规则的配置策略。
【正确答案】
【答案解析】方案说明中包括DMZ区,外部防火墙、内部防火墙两个防火墙(屏蔽路由器)。
配置策略:
外部防火墙(屏蔽路由器)的访问策略:允许外部网络客户访问DMZ区的WWW服务器提供的WWW服务和邮件服务器提供的邮件服务,其他禁止。
内部防火墙(屏蔽路由器)的访问策略:允许内部网客户访问外部网络,不允许外部网络客户访问内部网;允许内部网客户访问DMZ区,不允许DMZ区网络客户访问内部网。
问答题
如果想要监听、检测内部办公计算机之间的连接和攻击,应该在何位置配置何种设备?
【正确答案】
【答案解析】应配置IDS(入侵检测系统)。
应接在交换机端口上,并在交换上配置镜像端口,以获取内网数据包信息。