某机构要新建一个网络,除内部办公、员工邮件等功能外,还要对外提供访问本机构网站(包括动态网页)、E-mail服务和FTP服务,设计师在设计网络安全策略时,给出的方案是:利用DMZ保护内网不受攻击,在DMZ和内网之间配一个内部防火墙,在DMZ和Internet间配置一个外部防火墙。内部网络使用地址段10.x.x.x/24进行IP地址规划设计。
为了使该机构的网站、E-mail和FTP服务能被在外出差的员工正常访问,需要进行的设置是__1____。
若WWW服务器提供SSL验证的某项服务,以保证外部访问者的口令等敏感信息以密文方式传输,则___2___。
2()
A.无须任何修改,直接就可以使用
B.需要在防火墙上删除允许HTTP端口80访问WWW服务器的安全访问规则
C.需要在防火墙上增加允许端口号80和110访问WWW服务器的访问规则
D.需要在防火墙上增加允许端口号443访问WWW服务器的安全访问规则
参考答案:B
解析:
由于该机构内部网络使用地址段10.x.x.x/24进行IP地址规划设计,因此有可能为处于DMZ区域的服务器各配置一个内部私有IP地址。例如,WWW服务器分配的IP地址为10.99.1.1/24,E-mail服务器分配的IP地址为10.99.1.2/24,FTP服务器分配的IP地址为10.99.1.3/24等。此类私有IP地址不能直接出现在Internet中,对此需要在外部防火墙上设置网络地址转换(NAT),即建立起对外合法的服务器IP地址与相关内部IP地址之间的映射关系,然后配置允许HTTP、SMTP、POP3、FTP等协议的数据包通过外部防火墙。
安全套接层(SSL)可以为HTTP等协议的数据通信提供数据封装、压缩、加密、身份认证、协商加密算法、交换加密密钥等安全支持。它使用的端口号是TCP 443。因此,依题意,需要在防火墙上增加允许SSL端口号443访问WWW服务器的安全访问规则。