安全网关的DMZ中的服务器可能出现（）。

正确答案：B
解析：DMZ是由两个包过滤路由器和一个应用网关(堡垒主机)组成一个网络区域，包过滤路由器分别连接内外2个网络，在DMZ区中放置一些对外提供公共服务的服务器，内外网均可访问这些公共服务器，但内网用户不能直接通过外网的路由器访问外网，要通过堡垒主机代理，外网也不能通过连接内网的路由器访问内网。

正确答案：B
本题考查防火墙的基础知识。DMZ是指非军事化区，也称周边网络，可以位于防火墙之外也可以位于防火墙之内。非军事化区一般用来放置提供公共网络服务的设备，这些设备由于必须被公共网络访问，所以无法提供与内部网络主机相等的安全性。分析四个各选答案，Web服务器是为一种为公共网络提供Web访问的服务器：网络管理服务器和入侵检测服务器是管理企业内部网和对企业内部网络中的数据流进行分析的专用设备，一般不对外提供访问；而财务服务器是一种仅针对财务部门内部访问和提供服务的设备，不提供对外的公共眼务。

正确答案：B

正确答案：C,A
试题（61）、（62）分析
本题考查网络隔离与DMZ方面的基本知识。
DMZ通常是内网服务器的一个代理，用于替代内网服务器供外网用户访问，使得内网服务器不暴露给外网用户。一旦DMZ中的服务器被攻击导致失效，可利用内网服务器快速恢复。
邮件服务器是内外网用户都要访问的服务器，当DMZ中没有邮件服务器时，可以完全限制DMZ与内网之间的联系，只允许内网到DMZ的单向访问，内网安全性进一步提高。
参考答案
（61）C     （62）A

正确答案：[解答要点] (1)B或DMZ区 (2)出于对数据安全性的考虑有商业机密的数据库服务器存储资源代码的PC和存储私人信息的PC等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的可以不经过防火墙的防护并且这样可以保证在公司内部的员工可以高速地访问应用服务器效率较高。而外部没有授权的用户因为有防火墙的防护无法直接访问因此确保了商业机密数据的安全。 邮件服务器、电子商务系统和应用网关等设备所存储的数据的安全要求没有数据库的要求高要能保证公司的员工在公司内部和公司外部都能访问而且公司的客户也要能使用电子商务系统在公司外部能访问。所以它们可以放在DMZ区。
[解答要点] (1)B或DMZ区 (2)出于对数据安全性的考虑，有商业机密的数据库服务器，存储资源代码的PC和存储私人信息的PC等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的，可以不经过防火墙的防护，并且这样可以保证在公司内部的员工可以高速地访问应用服务器，效率较高。而外部没有授权的用户因为有防火墙的防护，无法直接访问，因此确保了商业机密数据的安全。 邮件服务器、电子商务系统和应用网关等设备所存储的数据的安全要求没有数据库的要求高，要能保证公司的员工在公司内部和公司外部都能访问，而且公司的客户也要能使用电子商务系统，在公司外部能访问。所以它们可以放在DMZ区。 解析：(1)图5-1中区域A是DMZ区。DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。网络结构如下图所示。

DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、MODEM池以及所有的公共服务器，但要注意的是，电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。
(2)出于对数据安全性的考虑，有商业机密的数据库服务器，存储资源代码的PC和存储私人信息的PC等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的，可以不经过防火墙的防护，并且这样可以保证在公司内部的员工可以高速地访问应用服务器，效率较高。而外部没有授权的用户因为有防火墙的防护，无法直接访问，因此确保了商业机密数据的安全。
邮件服务器、电子商务系统和应用网关等设备所存储的数据的安全要求没有数据库的要求高，要能保证公司的员工在公司内部和公司外部都能访问，而且公司的客户也要能使用电子商务系统，在公司外部能访问。所以它们可以放在DMZ区。

正确答案：地址转换或NAT
地址转换或NAT

正确答案：B

正确答案：出于对数据安全性的考虑有商业机密的数据库服务器存储资源代码的PC机和存储私人信息的PC机等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的可以不要经过防火墙的防护并且这样可以保证在公司内部的员工可以高速的访问应用服务器效率较高。外部没有授权的用户因为有防火墙的防护无法直接访问确保商业机密数据的安全。 邮件服务器、电子商务系统、应用网关等设备所存储的数据的安全要求没有数据库的要求高要能保证公司的员工在公司内部和公司外部都能访问而且公司的客户也要能使用电子商务系统在公司外部能访问所以它们可以放在DMZ区。
出于对数据安全性的考虑，有商业机密的数据库服务器，存储资源代码的PC机和存储私人信息的PC机等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的，可以不要经过防火墙的防护，并且这样可以保证在公司内部的员工可以高速的访问应用服务器，效率较高。外部没有授权的用户因为有防火墙的防护，无法直接访问，确保商业机密数据的安全。 邮件服务器、电子商务系统、应用网关等设备所存储的数据的安全要求没有数据库的要求高，要能保证公司的员工在公司内部和公司外部都能访问，而且公司的客户也要能使用电子商务系统，在公司外部能访问，所以它们可以放在DMZ区。 解析：自从Netscape公司首先把因特网技术应用到其企业内部网，Intranet技术则如雨后春笋般迅猛发展起来。作为企业内部的网结，它的突出优点是使用非常方便，并且可与支持Web浏览器的任何硬件平台进行通信。
防火墙技术的分类。
(1)包过滤技术(IP filtering or packet filtering)
这种技术的原理在于监视并过滤网络上流入和流出的IP包，拒绝发送可疑的包，用户可在路由表中设定需要屏蔽或需要保护的源/目的主机的IP地址或端口号，在外来数据包进入企业的内部网络之前，路由器先检测源宿主机地址，如地址不符，则将该包滤除。这种防火墙又称为过滤式路由器。路由器作用在IP层，只在企业网络与因特网采用直接 IP连接的情况下才采用。因为它只检测数据包的IP地址，一旦破坏者突破此防线便可为所欲为，所以在安全性要求较高的场合，通常还需要配合其他技术来加强安全性。
(2)应用网关技术(application gateway)
该技术又称为双主机技术(dual homed host)，采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁，是内外联系的惟一途径，起着网关的作用，也被称为Bastion Host(堡垒主机)。在应用网关上运行应用代理程序(application proxy)，一方面代替原服务器程序与客户程序建立连接，另一方面代替客户程序与原服务器建立连接，使合法用户可以通过应用网关安全地使用因特网，而对非法用户不予理睬。常用的代理程序有 WWW proxy，E-mail proxy等。与包过滤技术相比，应用网关技术更加灵活。由于作用在用户层，因此能执行更细致的检查工作。但软件开销大，管理和维护比较复杂。
其他常用的安全机制还有身份验证(authentication)、访问控制(access control)、加密 (encryption)、日志(log)、报警(alert)等。
目前市面上的防火墙都会具备3种不同的工作模式，路由模式、NAT模式还有透明模式。
(1)透明模式下时，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第二层)交换机或桥接器。在透明模式下，接口的IP地址被设置为 0.0.0.0，防火墙对于用户来说是可视或“透明”的。
(2)网络地址转换(NAT)模式下时，防火墙的作用与Layer 3(第三层)交换机(或路由器)相似，将绑定到外网区段的IP封包包头中的2个组件进行转换：其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外，它用另一个防火墙生成的任意端口号替换源端口号。
(3)路由模式时，防火墙在不同区段间转发信息流时不执行NAT，即当信息流穿过防火墙时，IP封包包头中的源地址和端口号保持不变。与NAT不同，不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同，内网区段中的接口和外网区段中的接口在不同的子网中。
防火墙可以设置DMZ(demilitarized zone，也称为非军事区)，内部局域网的资源不允许外部网的用户使用。不设防区(又称非军事区)可以作为内部或外部局域网，其中的资源允许外部网的用户有限度地使用。可以使外部用户访问非军事区(DMZ区)的Web服务器。
一般来说，设置的安全规则如下：
(1)禁止外部网络ping内部网络；
(2)禁止外部网络的非法用户访问内部网络和DMZ应用服务器；
(3)禁止外部网络的用户对内部网络HTTP、FTP、Telnet、TRACERO UTE、 RLOGIN等端口访问；
(4)禁止DMZ的应用服务器访问内部网络；
(5)允许外部网络用户使用DMZ的应用服务：HTTP，HTTPS和POP3；
(6)允许DMZ内的工作站与应用服务器访问因特网；
根据上述讨论，可知：要保证公司的商业机密就要避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所以有商业机密的数据库服务器应该放在内部网络中，确保安全。那些存储资源代码的PC机和存储私人信息的PC机等也要放在内网。邮件服务器、电子商务系统、应用网关等是既要内部主机可以访问，又要外部网络的用户可以访问的，并且要保证安全，所以它们可以放在DMZ。

正确答案：(6)BDF (7)ACE
(6)BDF (7)ACE 解析：该公司的防火墙的结构应当属于屏蔽子网结构。在这个结构中，DMZ(非军事区)是周边防御网段，它受到安全威胁不会影响到内部网络，是放置公共信息的最佳位置，通常把WWW、FTP、电子邮件等服务器都存放在该区域。
要保证公司的商业机密避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所有有商业机密的数据库服务应该放在内部网络中，确保安全。同样的道理，那些存储代码的PC机和存储私人信息的PC机也要放在内部网络中。而邮件服务器、电子商务系统、应用网关等，既要内部主机可以访问，又要外部网络的用户可以访问，并且要保证安全，所以它们可以放在DMZ。

参考答案：D