试题一(共20分)

阅读下列说明和图，回答问题1至问题5，将解答填入答题纸的对应栏内。

【说明】

已知某公司网络环境结构主要由三个部分组成，分别是DMZ区、内网办公区和生产区，其拓扑结构如图1-1所示。信息安全部的王工正在按照等级保护2.0的要求对部分业务系统开展安全配置。图1-1当中，网站服务器的IP地址是192.168.70.140，数据库服务器的IP地址是192.168.70.141，信息安全部计算机所在网段为192.168.11.1/24，王工所使用的办公电脑IP地址为192.168.11.2。

（1）黑名单

（2）Filter

（3）iptables -P FORWARD DROP或者iptables -t filter -P FORWARD DROP

（DROP更改为REJECT也符合题意）

(1) 根据题目中图1-2的默认策略是ACCEPT，而防火墙采取的策略是黑名单策略，即只有匹配到规则的报文才会被拒绝，没有被规则匹配到的报文都会被默认接受。因此，防火墙采取的是黑名单安全策略。

(2) 在iptables中，内建的规则表有三个，分别是nat、mangle和filter。根据题目中图1-2的信息，显示的是filter表的相关信息，因此表名是filter。

(3) 为了设置iptables防火墙默认不允许任何数据包进入，需要修改FORWARD规则链的默认策略为DROP或者REJECT。命令为：iptables -P FORWARD DROP或者iptables -t filter -P FORWARD DROP。其中，“DROP”表示直接丢弃数据包，而“REJECT”表示拒绝数据包并发送错误消息给发送方。