阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。【说明】某公司的网络结构如图4-1所示,所有PC机共享公网IP地址211.156.168.5接入Internet,另外有2台服务器提供Web服务和FTP服务,服务器的内网和公网地址如表4-1所示。
【问题1】
参照图4-1中各个设备的IP地址,完成表4-2中防火墙各个端口的IP地址和掩码设置。
(1)~(3)备选答案:
A.192.168.1.1
B.10.1.1.1
C.210.156.169.1
D.211.156.168.8
E.255.255.255.0
F.255.255.255.248
【问题2】
完成表4-3所示防火墙上的NAT转换规则,以满足防火墙部署要求。
【问题3】
表4-4所示为防火墙中定义的过滤规则,过滤规则的优先级由规则编号决定,规则编号越小优先级越高。请定义规则4,使得来自Internet的请求能访问FTP服务并尽可能少地带来入侵风险。
参考答案:
【问题1】(1)A(2)F(3)B
【问题2】(4)211.156.168.5(5)10.1.1.2(6)10.1.1.3
【问题3】(7)e1→e2(8)FTP(9)允许
解析:
本题考查防火墙配置操作。
【问题1】由图4-1可以看出防火墙的三个网络接口e0、e1和e2分别处于192.168.1.1/24、211.156.168.1/29和10.1.1.1/24网段。在备选答案(1)~(3)中,属于192.168.1.1/24网段的IP地址只有192.168.1.1(选项A),属于10.1.1.1/24网段的IP地址只有10.1.1.1(选项B),10.1.1.1/24网段的子网掩码是255.255.255.248(选项F)。所以(1)~(3)答案为A、F和B。
【问题2】题干要求所有PC机共享公网IP地址211.156.168.5接入Internet,所以NAT必须将所有来自内网192.168.1.1/24的IP包的源地址转换成共享的公网IP地址211.156.168.5。由表4-1得知Web服务器和FTP服务器在内网的IP地址和对外服务的公网IP地址,所以以211.156.168.2为目标地址的包会被发送到10.1.1.2,以211.156.168.3为目标地址的包会被发送到10.1.1.3。
【问题3】
表4-5中的规则解读如下:规则1表示允许防火墙从接口e0到e1、e2的任意数据包通过。
规则2表示允许防火墙从接口e2到e1、e0的任意数据包通过。
规则3表示允许防火墙从接口e1到e2的WWW协议数据包通过,即允许公网利用WWW协议访问IP地址为10.1.1.2的Web服务器。
规则5表示拒绝其他任何从e1到e0、e2的数据包。
为了使得来自Internet的请求能访问FTP服务并尽可能少地带来入侵风险,可以完善规则4,使得允许公网利用FTP协议访问IP地址为10.1.1.3的FTP服务器,参照规则3可知(7)、(8)、(9)分别应该填"e1→e2"、"FTP"和"允许"。