参考答案：

【问题1】（1）B

【问题2】（2）、（3）源端口、目的端口（顺序可交换）

【问题3】（4）过滤所有数据包（或禁止所有数据包通过防火墙）（5）允许任意主机访问222.134.135.99的FTP服务

【问题4】（6）192.168.46.1（7）222.134.135.98（8）dmz

【问题5】（9）deny（10）permit

【问题6】（11）any（12）www或80

解析：

【问题1】考查防火墙安全区域的概念，防火墙一般分为Trust区域、Untrust区域和DMZ区域三个安全区域，Trust区域是指位于防火墙之内的可信网络，是防火墙要保护的目标；Untrust区域是位于防火墙之外的公共开放网络，一般指因特网；DMZ也称周边网络，安全敏感度和保护强度较低，一般用来放置提供公共网络服务的设备。

一般把可信度高的主机放置于Trust区域，把因特网隔离于Untrust区域，DMZ区域用于放置可信度介于内部主机和因特网的各类服务器。所以从图4-1可以看出，可信度的顺序应该是inside>dmz>outside，答案应该为B。

【问题2】考查防火墙的工作原理。根据防火墙的实现原理，可以把防火墙分为包过滤防火墙、应用层网关防火墙和状态监测防火墙等。包过滤防火墙在网络的入口对通过的数据包进行选择，只有满足条件的数据包才能通过，否则被抛弃。

经过防火墙的每个IP包的字段都会被检查，检查的内容包括IP包的源地址、目的地址、源端口、目的端口和协议等，防火墙将给予这些信息应用过滤规则，与规则不匹配的包就被丢弃。所以（2）、（3）空的答案为源端口和目的端口。

【问题3】考查访问控制列表（ACL），ACL根据源地址、目标地址、源端口或目标端口等协议信息对数据包进行过滤，从而达到访问控制的目的。ACL分为标准和扩展两种类型：标准ACL只能根据分组中的IP源地址进行过滤，扩张ACL不但可以根据源地址或目标地址进行过滤，还可以根据不同的上层协议和协议信息进行过滤。

标准ACL的语法格式为：

扩展ACL的语法格式为：

access-listldenyany是一条标准ACL语句，deny表明禁止，any匹配任何地址。所以这条语句的含义是禁止所有IP数据包通过。

access-list100permittcpanyhost222.134.135.99eqftp是一条扩展ACL语句，permit表示允许，协议为tcp，any匹配任何地址，host222.134.134.99匹配主机地址222.134.134.99，eqftp表示协议端口号与FTP服务端口号相同。所以这条语句的含义是允许任意主机访问222.134.135.99的FTP服务。

【问题4】考查防火墙IP地址配置命令。根据图4-1所示安全区域划分和IP地址的分配即可得出（6）为eth0地址192.168.46.1，（7）为eth2地址222.134.135.98，（8）为ethl对应的安全区域dmz。

【问题5】两条ACL语句应该为允许192.168.46.0子网的所有数据包通过，但拒绝192.168.46.10的数据包，所以（9）为deny，（10）为permit。

【问题6】要求配置ACL允许所有Internet主机访问DMZ中的Web服务器，根据扩展ACL语法（11）应为any，（12）可以是服务名称www或服务端口号80。