试题一(共20分)

阅读下列说明和图，回答问题1至问题5，将解答填入答题纸的对应栏内。

【说明】

已知某公司网络环境结构主要由三个部分组成，分别是DMZ区、内网办公区和生产区，其拓扑结构如图1-1所示。信息安全部的王工正在按照等级保护2.0的要求对部分业务系统开展安全配置。图1-1当中，网站服务器的IP地址是192.168.70.140，数据库服务器的IP地址是192.168.70.141，信息安全部计算机所在网段为192.168.11.1/24，王工所使用的办公电脑IP地址为192.168.11.2。

（1）黑名单

（2）Filter

（3）iptables -P FORWARD DROP或者iptables -t filter -P FORWARD DROP

（DROP更改为REJECT也符合题意）

(1)根据提供的图示和信息，防火墙的默认策略是ACCEPT，这意味着只有当数据包匹配规则中的特定条件时才会被允许通过，未匹配的数据包将被接受。这种策略是黑名单安全策略，因为它默认拒绝未知来源的数据包。

(2)在iptables中，图1-2显示的是filter表的信息。filter表是iptables默认的规则表，包含input、forward和output三个规则链，用于数据包过滤。

(3)为了设置iptables防火墙默认不允许任何数据包进入，需要修改FORWARD规则链的默认策略为DROP或REJECT。命令为“iptables -P FORWARD DROP”或“iptables -t filter -P FORWARD DROP”均可实现这一设置。DROP表示直接丢弃数据包，而REJECT会在丢弃数据包的同时发送拒绝报文给发送方。因此，将DROP更改为REJECT也符合题意。