【題目描述】

(7)不屬于將入侵檢測系統(tǒng)部署在DMZ中的優(yōu)點。A．可以查看受保護區(qū)域主機被攻擊的狀態(tài)

B．可以檢測防火墻系統(tǒng)的策略配置是否合理

C．可以檢測DMZ被黑客攻擊的重點

D．可以審計來自Internet上對受保護網(wǎng)絡(luò)的攻擊類型

【我提交的答案】： B【參考答案與解析】：

正確答案：D答案分析：

解析：本題考查的是入侵檢測系統(tǒng)的配置方面的知識。入侵檢測系統(tǒng)可以配置在防火墻非軍事區(qū)(DMZ)內(nèi)也可以部署在其外。如果入侵檢測系統(tǒng)部署在DMZ外，那么它將不能訪問受保護區(qū)域主機，也就無法審計來自Internet上的網(wǎng)絡(luò)攻擊。而將入侵檢測系統(tǒng)部署在DMZ內(nèi)那么入侵檢測系統(tǒng)既可以審計來自　Internet上的網(wǎng)絡(luò)攻擊，同時還可以檢查DMZ內(nèi)設(shè)備的狀態(tài)信息。

將入侵檢測系統(tǒng)部署在DMZ中的優(yōu)點不就是能審計來自Internet上的網(wǎng)絡(luò)攻擊嗎？

答案解析：[解析] DMZ是一個隔離的網(wǎng)絡(luò)，可以在這個網(wǎng)絡(luò)中放置Web服務(wù)器或是E-mail服務(wù)器等，外網(wǎng)的用戶可以訪問DMZ，它可以查看受保護區(qū)域主機被攻擊的狀態(tài)；可以檢測防火墻系統(tǒng)的策略配置是否合理；可以檢測DMZ被黑客攻擊的重點；但只有將入侵檢測系統(tǒng)放置于路由器和邊界防火墻之間時，它才可審計來自Internet上對受保護網(wǎng)絡(luò)的攻擊類型。