某机构要新建一个网络，除内部办公、员工邮件等功能外，还要对外提供访问本机构网站（包括动态网页）和 FTP 服务，设计师在设计网络安全策略时，给出的方案是：利用 DMZ 保护内网不受攻击，在 DMZ 和内网之间配一个内部防火墙，在 DMZ 和 Internet 间，较好的策略是（52），在 DMZ 中最可能部署的是（53）。

（52）A.配置一个外部防火墙，其规则为除非允许，都被禁止B.配置一个外部防火墙，其规则为除非禁止，都被允许C.不配置防火墙，自由访问，但在主机上安装杀病毒软件D.不

配置防火墙，只在路由器上设置禁止 PING 操作（53）

A.Web 服务器，FTP 服务器，邮件服务器，相关数据库服务器

B.FTP 服务器，邮件服务器

C.Web 服务器，FTP 服务器

试题（54）～（56）尚大教育-分析

本题考查网络攻击与预防方面的基本知识。DDoS攻击的特点是收到大量源地址各异、用途不明的数据包，导致计算机耗

尽TCP连接数或CPU有效时间或网络带宽等，导致不能响应正常的请求。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，同时使得被攻击者将信息错误地发送到伪造的地址，造成网络中断或中间人攻击。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP地址-MAC地址对应关系，造成网络持续不能正常工作。ARP攻击主要是存在于局域网中，局域网中若有一台计算机感染ARP病毒，则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息，并因此造成网内其他计算机的通信故障。解决方法是在每台计算机上安装ARP防火墙或杀毒软件，发现并杀掉该病毒。

尚大教育-参考答案

（54）B（55）C（56）D

D.FTP 服务器，相关数据库服务器

试题（52）、（53）尚大教育-分析

本题考查DMZ和防火墙应用方面的基本知识。DMZ俗称非军事区，其基本思想是将内网的一些服务器另外配置一套提供给

Internet用户访问，内网服务器不对Internet用户开放。这样，即使DMZ中的服务被攻击或被破坏，也可通过内网的原始服务器快速恢复和重建。

通常，只要Internet需要访问的服务都在DMZ中部署，包括所需要的数据库服务器。

为保证安全，在DMZ与内网之间部署内部防火墙，实行严格的访问限制；在DMZ与外网之间部署外部防火墙，施加较少的访问限制。

尚大教育-参考答案

（52）B（53）A

试题（54）～（56）尚大教育-分析

本题考查网络攻击与预防方面的基本知识。DDoS攻击的特点是收到大量源地址各异、用途不明的数据包，导致计算机耗

尽TCP连接数或CPU有效时间或网络带宽等，导致不能响应正常的请求。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，同时使得被攻击者将信息错误地发送到伪造的地址，造成网络中断或中间人攻击。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP地址-MAC地址对应关系，造成网络持续不能正常工作。ARP攻击主要是存在于局域网中，局域网中若有一台计算机感染ARP病毒，则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息，并因此造成网内其他计算机的通信故障。解决方法是在每台计算机上安装ARP防火墙或杀毒软件，发现并杀掉该病毒。

尚大教育-参考答案

（54）B（55）C（56）D