阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某公司的网络结构如图 4-1 所示,所有PC机共享公网IP地址 211.156.168.5 接入Internet,另外有2台服务器提供Web服务和FTP服务,服务器的内网和公网地址如表4-1所示。
【问题 1】(3分)
参照图4-1中各个设备的IP地址,完成表4-2中防火墙各个端口的IP地址和掩码设置。
(1)~(3)备选答案:
A.192.168.1.1
B.10.1.1.1
C.210.156.169.1
D.211.156.168.8
E. 255.255.255.0
F. 255.255.255.248
【问题 2】(6分)
完成表4-3所示防火墙上的NAT转换规则,以满足防火墙部署要求。
【问题 3】(6分)
表4-4所示为防火墙中定义的过滤规则,过滤规则的优先级由规则编号决定,规则编号越优先级越高。请定义规则4,使得来自Internet请求能访问FTP服务并尽可能少的带来入侵风险。
注:*代表任意防火墙的任意一个接口
【问题1】(3分)
(1)A
(2)F
(3)B
【问题2】(6分)
(4)211.156.168.5
(5)10.1.1.2
(6)10.1.1.3
【问题3】(6分)
(7)e1—>e2
(8)ftp
(9)允许
本题考查防火墙配置操作。
【问题1】
由图4-1可以看出防火墙的三个网络接口e0, el和e2分别处于192.168.1.1/24、211.156.168.1/29和10.1.1.1/24网段。在备选答案(1)~(3)中,属于192.168.1.1/24网段的IP地址只有192.168.1.1(选项A),属于10.1.1.1/24网段的IP地址只有10.1.1.1(选项B),10.1.1.1/24网段的子网掩码是255.255.255.248(选项F)。所以(1)~(3)。
【问题2】
题干要求所有PC机共享公网IP地址211.156.168.5接入Internet,所以NAT必须将所有来自内网192.168.1.1/24的IP包的源地址转换成共享的公网IP地址211.156.168.5。
由表4-1得知Web服务器和FTP服务器在内网的IP地址和对外服务的公网IP地址,所以以211.156.168.2为目标地址的包会被发送到10.1.1.2,以211.156.168.3为目标地址的包会被发送到10.1.1.3。
【问题3】
表中的规则解读如下:
规则1表示允许防火墙从接口e0到e1、e2的任意数据包通过。
规则2表不允许防火墙从接口e2到e1、e0的任意数据包通过。
规则3表示允许防火墙从接口e1到e2的WWW协议数据包通过;即允许公网利用WWW协议访问IP地址为10.1.1.2的Web服务器。
规则5表示拒绝其他任何从e1到e0, e2的数据包。
为了使得来自Internet的请求能访问FTP服务并尽可能少地带来入侵风险,可以完善规则4,使得允许公网利用FTP协议访问IP地址为10.1.1.3的FTP服务器,参照规则3 可知(7)、(8)、(9)分别应该填“e1→e2”、“FTP”和“允许”。