（）负责主机、存储设备、PC服务器、数据库和中间件的维护和管理。

正确答案：网段B中放置Web服务器、邮件服务器、电子商务系统、应用网关。内网中放置存储有商业机密的数据库服务器、存储资源代码的PC和存储私人信息的PC。DMZ是放置公共信息的最佳位置用户、潜在用户和外部访问者无须通过内网就可以直接获得他们所需要的关于公司的一些信息。带有机密的、私人的信息可以安全地存放入在内网中即DMZ区的后面。DMZ中服务器不应包含任何商业机密、盗源代码或是私人信息
网段B中放置Web服务器、邮件服务器、电子商务系统、应用网关。内网中放置存储有商业机密的数据库服务器、存储资源代码的PC和存储私人信息的PC。DMZ是放置公共信息的最佳位置，用户、潜在用户和外部访问者无须通过内网就可以直接获得他们所需要的关于公司的一些信息。带有机密的、私人的信息可以安全地存放入在内网中，即DMZ区的后面。DMZ中服务器不应包含任何商业机密、盗源代码或是私人信息 解析：这是一道要求读者掌握防火墙中DMZ区功能的综合理解题。本题的解答思路如下。
在图3-13拓扑结构图中，该电子商务公司总部网中网段A是其内部局域网，网段B是其防火墙A的 DMZ区(或称为非军事区)。
防火墙的DMZ区允许Internet网的用户有限度地使用其中的资源，即DMZ区是放置公共信息的最佳位置，用户、潜在用户和外部访问者不用通过该电子商务公司的内部局域网就可以直接获得他们所需要的一些信息。通常，DMZ区的安全规则如下：允许外部网络用户使用DMZ区的应用服务(如Web、FTP、 E-mail等)；允许DMZ区内的应用服务器及工作站访问Internet；禁止DMZ区的应用服务器访问内部网络；禁止外部网络非法用户访问内部网络和DMZ区内应用服务器；禁止外部网络ping DMZ区等。
根据以上分析可知，要保证公司的商业机密信息，就要避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所以存储有商业机密的数据库服务器、存储资源代码的PC和存储私人信息的 PC均应部署在公司总部内部局域网中，即图3-13的网段A中。
对于Web服务器、邮件服务器、电子商务系统、应用网关等，这些既要求内外主机对其均可访问，又要保障其安全性的系统则需要将它们部署在防火墙的DMZ区，即图3-13的网段B中。而放置在DMZ区的服务器中不应包含任何商业机密、资源代码或是私人信息，以确保这些数据资源的安全性。

正确答案：出于对数据安全性的考虑有商业机密的数据库服务器存储资源代码的PC机和存储私人信息的PC机等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的可以不要经过防火墙的防护并且这样可以保证在公司内部的员工可以高速的访问应用服务器效率较高。外部没有授权的用户因为有防火墙的防护无法直接访问确保商业机密数据的安全。 邮件服务器、电子商务系统、应用网关等设备所存储的数据的安全要求没有数据库的要求高要能保证公司的员工在公司内部和公司外部都能访问而且公司的客户也要能使用电子商务系统在公司外部能访问所以它们可以放在DMZ区。
出于对数据安全性的考虑，有商业机密的数据库服务器，存储资源代码的PC机和存储私人信息的PC机等应该放在内部网络中。因为内部网络的用户对防火墙而言是值得信任的，可以不要经过防火墙的防护，并且这样可以保证在公司内部的员工可以高速的访问应用服务器，效率较高。外部没有授权的用户因为有防火墙的防护，无法直接访问，确保商业机密数据的安全。 邮件服务器、电子商务系统、应用网关等设备所存储的数据的安全要求没有数据库的要求高，要能保证公司的员工在公司内部和公司外部都能访问，而且公司的客户也要能使用电子商务系统，在公司外部能访问，所以它们可以放在DMZ区。 解析：自从Netscape公司首先把因特网技术应用到其企业内部网，Intranet技术则如雨后春笋般迅猛发展起来。作为企业内部的网结，它的突出优点是使用非常方便，并且可与支持Web浏览器的任何硬件平台进行通信。
防火墙技术的分类。
(1)包过滤技术(IP filtering or packet filtering)
这种技术的原理在于监视并过滤网络上流入和流出的IP包，拒绝发送可疑的包，用户可在路由表中设定需要屏蔽或需要保护的源/目的主机的IP地址或端口号，在外来数据包进入企业的内部网络之前，路由器先检测源宿主机地址，如地址不符，则将该包滤除。这种防火墙又称为过滤式路由器。路由器作用在IP层，只在企业网络与因特网采用直接 IP连接的情况下才采用。因为它只检测数据包的IP地址，一旦破坏者突破此防线便可为所欲为，所以在安全性要求较高的场合，通常还需要配合其他技术来加强安全性。
(2)应用网关技术(application gateway)
该技术又称为双主机技术(dual homed host)，采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁，是内外联系的惟一途径，起着网关的作用，也被称为Bastion Host(堡垒主机)。在应用网关上运行应用代理程序(application proxy)，一方面代替原服务器程序与客户程序建立连接，另一方面代替客户程序与原服务器建立连接，使合法用户可以通过应用网关安全地使用因特网，而对非法用户不予理睬。常用的代理程序有 WWW proxy，E-mail proxy等。与包过滤技术相比，应用网关技术更加灵活。由于作用在用户层，因此能执行更细致的检查工作。但软件开销大，管理和维护比较复杂。
其他常用的安全机制还有身份验证(authentication)、访问控制(access control)、加密 (encryption)、日志(log)、报警(alert)等。
目前市面上的防火墙都会具备3种不同的工作模式，路由模式、NAT模式还有透明模式。
(1)透明模式下时，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第二层)交换机或桥接器。在透明模式下，接口的IP地址被设置为 0.0.0.0，防火墙对于用户来说是可视或“透明”的。
(2)网络地址转换(NAT)模式下时，防火墙的作用与Layer 3(第三层)交换机(或路由器)相似，将绑定到外网区段的IP封包包头中的2个组件进行转换：其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外，它用另一个防火墙生成的任意端口号替换源端口号。
(3)路由模式时，防火墙在不同区段间转发信息流时不执行NAT，即当信息流穿过防火墙时，IP封包包头中的源地址和端口号保持不变。与NAT不同，不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同，内网区段中的接口和外网区段中的接口在不同的子网中。
防火墙可以设置DMZ(demilitarized zone，也称为非军事区)，内部局域网的资源不允许外部网的用户使用。不设防区(又称非军事区)可以作为内部或外部局域网，其中的资源允许外部网的用户有限度地使用。可以使外部用户访问非军事区(DMZ区)的Web服务器。
一般来说，设置的安全规则如下：
(1)禁止外部网络ping内部网络；
(2)禁止外部网络的非法用户访问内部网络和DMZ应用服务器；
(3)禁止外部网络的用户对内部网络HTTP、FTP、Telnet、TRACERO UTE、 RLOGIN等端口访问；
(4)禁止DMZ的应用服务器访问内部网络；
(5)允许外部网络用户使用DMZ的应用服务：HTTP，HTTPS和POP3；
(6)允许DMZ内的工作站与应用服务器访问因特网；
根据上述讨论，可知：要保证公司的商业机密就要避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所以有商业机密的数据库服务器应该放在内部网络中，确保安全。那些存储资源代码的PC机和存储私人信息的PC机等也要放在内网。邮件服务器、电子商务系统、应用网关等是既要内部主机可以访问，又要外部网络的用户可以访问的，并且要保证安全，所以它们可以放在DMZ。

正确答案：D

参考答案：A, B, C

正确答案：数据库定义
数据库定义 解析：本题考查数据库管理系统的基本概念，参见4.1.3节。

正确答案：(6)BDF (7)ACE
(6)BDF (7)ACE 解析：该公司的防火墙的结构应当属于屏蔽子网结构。在这个结构中，DMZ(非军事区)是周边防御网段，它受到安全威胁不会影响到内部网络，是放置公共信息的最佳位置，通常把WWW、FTP、电子邮件等服务器都存放在该区域。
要保证公司的商业机密避免外部网络的用户直接访问，同时避免内部网络未经授权的用户访问，所有有商业机密的数据库服务应该放在内部网络中，确保安全。同样的道理，那些存储代码的PC机和存储私人信息的PC机也要放在内部网络中。而邮件服务器、电子商务系统、应用网关等，既要内部主机可以访问，又要外部网络的用户可以访问，并且要保证安全，所以它们可以放在DMZ。

正确答案：输入设备 输出设备