信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xomuzic.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xomuzic.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/9/21）在線測試：m.xomuzic.com/exam/ExamDayAL.aspx?t1=6&day=2022/9/21

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2022/9/21）

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
防火墻是一種廣泛應(yīng)用的網(wǎng)絡(luò)安全防御技術(shù)，它阻擋對網(wǎng)絡(luò)的非法訪問和不安全的數(shù)據(jù)傳遞，保護本地系統(tǒng)和網(wǎng)絡(luò)免于受到安全威脅。
圖3-1給出了一種防火墻的體系結(jié)構(gòu)。

【問題1】（6分）
防火墻的體系結(jié)構(gòu)主要有：
（1）雙重宿主主機體系結(jié)構(gòu)；
（2）（被）屏蔽主機體系結(jié)構(gòu)；
（3）（被）屏蔽子網(wǎng)體系結(jié)構(gòu)；
請簡要說明這三種體系結(jié)構(gòu)的特點。
【問題2】（5分）
（1）圖3-1描述的是哪一種防火墻的體系結(jié)構(gòu)？
（2）其中內(nèi)部包過濾器和外部包過濾器的作用分別是什么？
【問題3】（8分）
設(shè)圖3-1中外部包過濾器的外部IP地址為10.20.100.1，內(nèi)部IP地址為10.20.100.2，內(nèi)部包過濾器的外部IP地址為10.20.100.3，內(nèi)部IP地址為192.168.0.1，DMZ中Web服務(wù)器IP為10.20.100.6，SMTP服務(wù)器IP為10.20.100.8.
關(guān)于包過濾器，要求實現(xiàn)以下功能，不允許內(nèi)部網(wǎng)絡(luò)用戶訪問外網(wǎng)和DMZ，外部網(wǎng)絡(luò)用戶只允許訪問DMZ中的Web服務(wù)器和SMTP服務(wù)器。內(nèi)部包過濾器規(guī)則如表3-1所示。請完成外部包過濾器規(guī)則表3-2，將對應(yīng)空缺表項的答案填入答題紙對應(yīng)欄內(nèi)。

信管網(wǎng)cnitpm549068742002：
通過雙重宿主主機作為防火墻達成隔離內(nèi)外網(wǎng)的目的 通過一個路由器和內(nèi)部網(wǎng)絡(luò)的堡壘機作為防火墻，使用數(shù)據(jù)包過濾隔離內(nèi)外網(wǎng)和保護內(nèi)網(wǎng)的作用 通過一個兩個路由器包圍起來的周邊網(wǎng)絡(luò)作為防火墻，并把易于攻擊的堡壘機放在周邊網(wǎng)絡(luò)，達成隔離內(nèi)外網(wǎng)的目的 屏蔽子網(wǎng)體系 外部過濾器主要是保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)是屏蔽子網(wǎng)的第一道防線 內(nèi)部過濾器主要是隔離周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)是屏蔽子網(wǎng)的第二道防線 ＊ 10.20.100.8 10.20.100.8 ＊ udp 10.20.100.＊ udp 10.20.100.＊

信管網(wǎng)cnitpm549068742002：
2.被屏蔽子網(wǎng)主機體系 過濾非授權(quán)的網(wǎng)絡(luò)訪問 3.＊ 10.20.100.8 10.20.100.8 ＊

信管網(wǎng)cnitpm562799373551：
答：（1）雙宿主機：主機有兩個網(wǎng)口，一個連接沒網(wǎng)，一個連接外網(wǎng)內(nèi)外網(wǎng)不直接通信，外網(wǎng)數(shù)據(jù)流入語言經(jīng)過主機進行審核后再就去內(nèi)網(wǎng)。＜br＞2、被屏蔽主機體系機構(gòu)：雙宿主機連接過濾路由實現(xiàn)對主機體系的屏蔽＜br＞3、被屏蔽子網(wǎng)體系結(jié)構(gòu)：雙宿主機兩邊連接過濾路由，通過雙重保障實現(xiàn)屏蔽子網(wǎng)，避免單點攻擊。＜br＞＜br＞＜br＞屏蔽子網(wǎng)體系結(jié)構(gòu)＜br＞＜br＞外部包過濾路由對外網(wǎng)到dmz的數(shù)據(jù)進行包過濾，內(nèi)部過濾路由對dmz區(qū)到內(nèi)網(wǎng)的數(shù)據(jù)進行過濾＜br＞＜br＞10.20.100.08

信管網(wǎng)cnitpm480944425705：
問題1： （1）以一臺雙宿主主機作為防火墻系統(tǒng)的主體，隔離內(nèi)外網(wǎng) （2）一臺獨立的路由器和內(nèi)網(wǎng)堡壘主機構(gòu)成防火墻系統(tǒng)，通過包過濾方式實現(xiàn)內(nèi)外網(wǎng)隔離和內(nèi)網(wǎng)防護 （3）由dmz網(wǎng)絡(luò)，外部路由器、內(nèi)部路由器以及堡壘主機構(gòu)成防火墻系統(tǒng)，外部路由器保護dmz和內(nèi)網(wǎng)、內(nèi)部路由器隔離dmz和內(nèi)網(wǎng) 問題2 （1）被屏蔽子網(wǎng)體系結(jié)構(gòu) （2）內(nèi)部包過濾器是防止子網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問，外部包過濾是防止外網(wǎng)對子網(wǎng)的訪問。 問題3 （1）＊ （2）10.20.100.8 （3）10.20.100.8 （4）＊ （5）udp （6）udp （7）10.20.100.＊ （8）10.20.100.＊

信管網(wǎng)cnitpm480944425705：
問題1 （1）以一臺雙宿主主機作為防火墻系統(tǒng)的主體，分離內(nèi)外網(wǎng) （2）一臺獨立的路由器和內(nèi)網(wǎng)堡壘主機構(gòu)成防火墻系統(tǒng)，通過包過濾方式實現(xiàn)內(nèi)外網(wǎng)隔離和內(nèi)網(wǎng)保護 （3）由dmz網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機構(gòu)成防火墻系統(tǒng)，外部路由器保護dmz和內(nèi)網(wǎng)、內(nèi)部路由器隔離dmz和內(nèi)網(wǎng) 問題2 （1）被屏蔽子網(wǎng)體系結(jié)構(gòu) （2）外部包過濾器是過濾外部網(wǎng)絡(luò)對屏蔽子網(wǎng)的訪問，內(nèi)部包過濾器是過濾屏蔽子網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問 問題3 （1）＊ （2）10.20.100.8 （3）10.20.100.8 （4）＊ （5）udp （6）192.168.0.1 （7）udp （8）192.168.0.1