参考答案：

(1)指定外网口IP地址范围为202.134.135.98-202.134.135.100 ；(2)允许任意外网主机访问202.134.135.99提供的WWW服务； (3)允许任意IP数据包进出

解析：

 [试题四分析] 本题考查的是防火墙的配置。 [问题1] 本题考查的是NAT技术的使用。 在使用防火墙时，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换3种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。 如果ISP提供的合法IP地址数量较多，当然可以采用静态地址转换+端口复用动态地址转换技术实现。如果只获得1个合法IP地址，可以采用TCP/UDP端口NAT映射。既然只有一个可用的合法IP地址，当然采用端口复用方式来实现NAT。不过，由于同时有要求网络内部的服务器要被Internet访问到，因此必须采用PAT创建TCP/UDP端口的NAT映射。 所以根据题目要求，该单位至少应有1个公网IP地址。 [问题2] 本题考查的是防火墙结构。 根据配置可知，该防火墙外网IP地址为202.134.135.98，内网IP地址为192.168.46.1， DMZ区的IP地址为10.0.0.1。 从本题的示意图可知，防火墙e0口连接内部工作站，为内网接口；防火墙e1口连接Internet，为外网接口；防火墙e2口连接内部服务器，为DMZ接口。所以： e0：192.168.46.1 e1：202.134.135.98 e2：10.0.0.1 [问题3] 本题考查的是ACL执行原则。 1．ACL默认的执行次序是自上而下，另外ACL在执行时应注意以下原则： (1)最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 (2)最靠近受控对象原则 所有的网层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 (3)默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视 2．ACL在执行时，默认的执行次序是自上而下。另外，在匹配规则时，数据包如果与前面的规则已匹配，就会按照此规则执行，而不再匹配下面与该数据包相关的规则。 要禁止内网中IP地址为192.168.46.8的PC机访问外网。需要先禁止192.168.46.8数据包，再放行192.168.46.0网段数据包，注意次序。 [问题4] 本题考查的ACL规则。各规则解释如下： global (outside) 1 202.134.135.98- 202.134.135.100 //指定外网口IP地址范围为202.134.135.98-202.134.135.100 conduit permit tcp host 202.134.135.99 eq www any //允许任意外网主机访问202.134.135.99提供的WWW服务 access- list 10 permit ip any any //允许任意IP数据包进出