A.通常DMZ包含允许来自互联网的通信可进入的设备，如Web服务器.FTP服务器.SMTP服务器和DNS服务器等
B.内部网络可以无限制地访问外部网络以及DMZ
C.DMZ可以访问内部网络
D.有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作，而内部防火墙采用透明模式工作以减少内部网络结构的复杂程度

A.在创建防火墙策略以前，不需要对企业那些必不可少的应用软件执行风险分析
B.防火墙安全策略一旦设定，就不能在再作任何改变
C.防火墙处理人站通信的缺省策略应该是阻止所有的包和连接，除了被指出的允许通过的通信类型和连接
D.防火墙规则集与防火墙平台体系结构无关

A.NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机，无需内部主机拥有注册的（已经越采越缺乏的）全局互联网地址
B.静态NAT是设置起来最简单和最容易实现的一种地址转换方式，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
C.动态NAT主要应用于拨号和频繁的远程连接，当远程用户连接上之后，动态NAT就会分配给用户一个IP地址，当用户断开时，这个IP地址就会被释放而留待以后使用
D.动态NAT又叫做网络地址端口转换NAPT

A.基于软件的应用代理网关工作在OSI网络参考模型的网络层上，它采用应用协议代理服务的工作方式实施安全策略
B.一种服务需要一种代理模块，扩展服务较难
C.和包过滤防火墙相比，应用代理网关防火墙的处理速度更快
D.不支持对用户身份进行高级认证机制。一般只能依据包头信息，因此很容易受到“地址欺骗型”攻击

A.包过滤防火墙通常根据数据包源地址.目的地址.端口号和协议类型等标志设置访问控制列表实施对数据包的过滤
B.包过滤防火墙不检查OSI网络参考模型中网络层以上的数据，因此可以很快地执行
C.包过滤防火墙可以有效防止利用应用程序漏洞进行的攻击
D.由于要求逻辑的一致性.封堵端口的有效性和规则集的正确性，给过滤规则的制定和配置带来了复杂性，一般操作人员难以胜任管理，容易出现错误

A.网关模式
B.透明模式
C.混合模式
D.旁路接入模式

A.iptables-FINPUT-d192.168.0.2-ptcp--dport22-jACCEPT
B.iptables-AINPUT-d192.168.0.2-ptcp--dport23-jACCEPT
C.iptables-AFORWARD-d192.168.0.2-ptcp--dport22-jACCEPT
D.iptables-AFORWARD-d192.168.0.2-ptcp--dport23-jACCEPT

A.物理层
B.数据链路层
C.网络层
D.应用层

A.filter
B.firewall
C.nat
D.mangle

A.字符串匹配
B.访问控制技术
C.入侵检测技术
D.防病毒技术