参考答案：

【问题1】（1）DMZ区（隔离区或非军事区）（2）D.办公自动化（OA.

【问题2】（3）A.并发连接数

【问题3】（4）outside（5）security100（6）dmz（7）security50

【问题4】（8）133.20.10.10（9）10.66.1.101（10）允许（11）10.66.1.0/24（12）Any

解析：

本题考查防火墙的基本概念和相关配置操作。

【问题1】本问题考查防火墙的基本概念。

防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为ZONE），制定出不同区域之间的访问控制策略来控制不同程度区域间传送的数据流。如互联网是不可信任的区域，而内部网络是高度信任的区域，以避免安全策略中禁止的一些通信。

它有控制信息基本的任务在不同信任的区域。防火墙一般把网络区域划分为内部区域（一个高信任区域）、外部区域（一个没有信任的区域）以及DMZ区，DMZ区也称隔离区或非军事区，就是在不信任的外部网络和可信任的内部网络之间建立一个面向外部网络的物理或逻辑子网，该子网能安放用于对外部网络的服务器主机。

由题意可知，办公自动化（OA）服务器一般面向内部网络提供服务，不适合放在DMZ区。

【问题2】本问题考查影响防火墙性能的主要技术指标。

并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。

防火墙的用户数限制分为固定限制用户数和无用户数限制两种。前者比如SOHO型防火墙一般支持几十到几百个用户不等，而无用户数限制大多用于大的部门或公司。要注意的是，用户数和并发连接数是完全不同的两个概念，并发连接数是指防火墙的最大会话数（或进程），每个用户可以在一个时间里产生很多的连接。

网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。

安全过滤带宽是指防火墙在某种加密算法标准下，如DES（56位）或3DES（168位）下的整体过滤性能。它是相对于明文带宽提出的。一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高。

【问题3】本问题考查防火墙基本配置命令。

常用命令有：nameif、interface、ipaddress、nat、global、route、static等。

nameif命令是设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。题目要求设置：

ethernet0命名为外部接口outside，安全级别是0。

ethemet1命名为内部接口inside，安全级别是100。

ethernet2命名为中间接口dmz，安装级别为50。

使用命令：

PIX（config）#nameif ethemet0 outside security0

PIX（config）#nameif ethernet1 inside security100

PIX（config）#nameif ethernet2 dmz security50

【问题4】本问题考查防火墙规则配置。

表4-1的规则解读如下：

规则1表示允许防火墙从接口Outside到Inside的端口号为TCP1433的数据包通过；规则2表示允许防火墙从接口Inside到DMZ的端口号为TCP80的数据包通过，即允许内网客户机访问DMZ的Web服务器10.65.1.101。

规则3表示允许防火墙从接口Outside到DMZ的端口号为TCP80的数据包通过，即允许外网用户访问DMZ的Web服务器10.65.1.101。

根据题目要求允许外网主机133.20.10.10访问内网的数据库服务器10.66.1.101，同时允许内网和外网访问DMZ区的WWW服务器10.65.1.101。参照规则解读可知（8）～（12）分别填写133.20.10.10、10.66.1.101、允许、10.66.1.0/24以及Any。