試題一(20分)
已知某公司網絡環(huán)境結構主要由三個部分組成，分別是DMZ區(qū)、內網辦公區(qū)和生產區(qū)，其拓撲結構如圖1-1所示。信息安全部的王工正在按照等級保護2.0的要求對部分業(yè)務系統(tǒng)開展安全配置。圖1-1當中，網站服務器的IP地址是192.168.70.140，數據庫服務器的IP地址是192.168.70.141，信息安全部計算機所在網段為192.168.11.1/24，王所使用的辦公電腦IP地址為192.168.11.2.

【問題1】 (2分)
為了防止生產網受到外部的網絡安全威脅，安全策略要求生產網和其他網之間部署安全隔離裝置，隔離強度達到接近物理隔離。請問圖中X最有可能代表的安全設備是什么?
【問題2】(2分)
防火墻是網絡安全區(qū)域邊界保護的重要技術，防火墻防御體系結構主要有基于雙宿主主機防火墻、基于代理型防火墻和基于屏蔽子網的防火墻。圖1-1拓撲圖中的防火墻布局屬于哪種體系結構類型?
【問題3】(2分)
通常網絡安全需要建立四道防線，第一道是保護，阻止網絡入侵，第二道是監(jiān)測，及時發(fā)現入侵和破壞，第三道是響應，攻擊發(fā)生時確保網絡打不垮，第四道是恢復，使網絡在遭受攻擊時能以最快速度起死回生。請問拓撲圖1-1中防火墻1屬于第幾道防線?
【問題4】(6分)
圖1-1中防火墻1和防火墻2都采用Ubuntu系統(tǒng)自帶的iptables防火墻，其默認的過濾規(guī)則如圖1-2所示
Chain INPUT(policy ACCEPT)
Target    prot opt source   destination

Chain FORWARD (policy ACCEPT)
Target  prot opt source destination

Chain OUTPUT (policy ACCEPT)
Target prot opt source destination
（1）請說明上述防火墻采取的是白名單還是黑名單安全策略
（2）圖1-2顯示的是iptables 哪個表的信息，請寫出表名。
（3）如果要設置 iptables 防火墻默認不允許任何數據包進入，請寫出相應命令
【問題5】(8分)
DMZ 區(qū)的網站服務器是允許互聯網進行訪問的，為了實現這個目標，王工需要對防火墻進行有效配置。同時王工還需要通過防火墻2對網站服務器和數據庫服務器進行日常運維
1)防火墻1應該允許哪些端口通過?
2)請編寫防火墻1上實現互聯網只能訪問網站服務器的iptables 過濾規(guī)則
3)請寫出王工電腦的子網掩碼
4)為了使王工能通過SSH協議遠程運維DMZ區(qū)中的服務器請編寫防火墻2的iptables濾規(guī)則。