阅读下列有关网络防火墙的说明,回答问题1至问题5,将答案填入答题纸对应的解答栏内。【说明】为了保障网络安全,某公司安装了一款防火墙,将内部网络、Web服务器以及外部网络进行逻辑隔离,其网络结构如图4-1所示。
【问题1】
该款防火墙的三个端口E0、E1和E2命名为Trusted、Untrusted和DMZ,分别用于连接信任网络、不信任网络和非军事区,则从图4-1可以判断出:①处对应端口(1),②处对应端口(2),③处对应端口(3)。
【问题2】
表4-1是防火墙对三个端口E0、E1和E2之间包过滤规则的四种缺省设置,请指出设置最为合理的是哪种,并说明理由。
【问题3】
在防火墙缺省配置的基础上,增加下面一条规则,请问该规则的功能是什么?
【问题4】
如果要禁止内网主机192.168.1.2访问公网上202.117.112.3提供的SMTP服务,请补充完成下列配置。
【问题5】
如果内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务,请补充完成下面的配置。
参考答案:
【问题1】(1)E0(2)E1(3)E2
【问题2】A.最合理,设置依据是Trusted可以访问DMZ和Untrusted,DMZ可以访问Untrusted,Untrusted默认没有访问Trusted和DMZ的权限。
【问题3】允许任何用户访问Web服务。
【问题4】(4)192.168.1.2(5)202.117.112.3(6)25(7)禁止
【问题5】(8)201.10.1.10(9)192.168.1.3(10)8888
解析:
本题考查防火墙配置操作。
【问题1】由图4-1可以看出防火墙的三个网络接口分别连接内网、外网和服务器子网,从防火墙的基本配置方式来看,内网应该属于信任网络、外网属于不信任网络,而服务器应该位于DMZ区。所以①处对应端口E0,②处对应端口E1,⑨处对应端口E2。
【问题2】从防火墙的缺省配置来看,三个端口E0、E1和E2对应的Trusted、Untrusted和DMZ区域的安全级别为:Trusted>DMZ>Untrusted。从访问权限来看,安全级别高的区域可以访问安全级别低的区域,安全级别低的区域不能访问安全级别高的区域。所以正确答案是(a)。
【问题3】IP地址201.10.1.10对应的是DMZ区的Web服务器,因此该规则的功能是允许任意网络的主机访问DMZ中的Web服务。
【问题4】要禁止内网主机192.168.1.2访问公网上202.117.112.3提供的SMTP服务,源地址是192.168.1.2,目的地址是202.117.112.3,SMTP对应的端口是25,规则是禁止。
【问题5】如果内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务,则需要增加Web服务器201.10.1.10到内网主机192.168.1.3在端口8888上的访问权限。