试题一（共15分）

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

某企业的网络拓扑图如图1-1所示，分别由DMZ区、内网办公区组成。图中，网站服务器的IP地址是192.168.70.140，邮件服务器的IP地址是192.168.70.141。从运营商获取固定地址202.114.58.22。李工是该企业的信息安全管理员。

(1)

基于双宿主主机防火墙:以一台双重宿主主机作为防火墙系统的主体，分离内外网。

基于代理型防火墙:由一台主机代理内部网和外部网的通信，同时通过路由器过滤，代理服务器和路由器共同构建一个网络安全边界。

基于屏蔽子网的防火墙:由DMZ网络、外部路由器、内部路由器以及堡垒主机构成防火墙系统。外部路由器保护DMZ和内网、内部路由器隔离DMZ和内网

(2)基于屏蔽子网的防火墙

（1）对于三种防火墙体系结构的简要说明：

• 基于双宿主主机防火墙：这种防火墙主要由一台具有双重身份（既连接内网又连接外网）的主机构成，通过这台主机来实现内外网的隔离。其结构相对简单，易于实现。
• 基于代理型防火墙：在这种体系结构中，代理服务器负责内外网的通信，同时配合路由器进行通信过滤。代理服务器和路由器共同构建了一个网络安全边界，提供了更高的安全性。
• 基于屏蔽子网的防火墙：这是最复杂的防火墙体系结构。它包括了DMZ网络、外部路由器、内部路由器以及堡垒主机。其中，DMZ网络用于放置公共服务器，外部路由器保护DMZ和内网，内部路由器则隔离DMZ和内网，堡垒主机作为监控和管理的中心。

（2）对于图1-1所描述的防火墙体系结构：

• 根据图示，该网络拓扑包含了DMZ区、内网办公区，且邮件服务器和网站服务器分别置于DMZ区，这表明它采用了基于屏蔽子网的防火墙体系结构。因为这种体系结构中，DMZ网络是核心部分，用于放置公共服务器，同时内外网络通过路由器和堡垒主机进行隔离和保护。