阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。【说明】某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Internet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MailServer的邮件服务,请补充完成表4-3的策略(注:表4-3的策略在表4-2之前生效)。
【问题2】
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略(注:表4-4的策略在表4-2之前生效)。
【问题3】
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充完成表4-5的策略(注:表4-5的策略在表4-2之前生效)。
【问题4】
如果要允许Internet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略(注:表4-6的策略在表4-2之前生效)。
参考答案:
【问题1】(1)192.168.2.2(2)80(3)允许(4)192.168.2.3(5)SMTP(6)允许
【问题2】(7)E0->E2(8)Any(9)禁止
【问题3】(10)192.168.1.1(11)允许(12)Any或192.168.1.0/24(13)禁止
【问题4】(14)192.168.2.2(15)ICMP
解析:
本题考查防火墙的原理和配置。
【问题1】根据题意,Internet主机默认是不能访问WebServer的Web服务以及MailServer的邮件服务,如果要给Internet主机开放WebServer的Web服务以及MailServer的邮件服务,表4-3中"规则"列必须是允许,协议分别是HTTP和SMTP,HTTP的协议端口为80,WebServer的IP地址是192.168.2.2,MailServer的IP地址是192.168.2.3。
【问题2】如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,方向应该是从内网到Internet,源端口无法指定,规则是禁止。
【问题3】如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,只能通过两条规则来实现:第一条规则允许特定主机PC1访问Web服务,第二条规则禁止所有主机访问Web服务。
【问题4】因为Ping程序采用的是ICMP协议,如果要允许Internet用户通过Ping程序对WebServer的连通性进行测试,则应该允许Internet到WebServer对应IP地址的ICMP消息。