阅读下列有关网络防火墙的说明,回答问题1至问题5,将答案填入答题纸对应的解答栏内。
【说明】
为了保障网络安全,某公司安装了一款防火墙,将内部网络、Web服务器以及外部网络进行逻辑隔离,其网络结构如图4-1所示。
【问题1】(3分)
该款防火墙的三个端口E0、E1和E2命名为Truste、Untrusted和DMZ,分别用于连接信任网络、不信任网络和非军事区,则从图4-1可以判断出:①处对应端口 (1) ,②处对应端口 (2) ,③处对应端口 (3) 。
【问题2】(3分)
表4-1是防火墙对三个端口E0、E1和E2之间包过滤规则的四种缺省设置,请指出设置最为合理的是哪种,并说明理由。
【问题3】(2分)
在防火墙缺省配置的基础上,增加下面一条规则,请问该规则的功能是什么?
【问题4】(4分)
如果要禁止内网主机192.168.1.2访问公网上202.117.112.3提供的SMTP服务,请补充完成下列配置。
【问题5】(3分)
如果内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务,请补充完成下面的配置。
【问题1】(3分,每空1分)
(1) E0
(2) E1
(3) E2
【问题2】(3分)
(a)最合理,设置依据是Trusted可以访问DMZ和Untrusted, DMZ可以访问Untrusted, Untrusted默认没有访问Trusted和DMZ的权限。
【问题3】(2分)
允许任何用户访问Web服务
【问题4】 (4分,每空1分)
(4) 192.168.1.2
(5) 202.117.112.3
(6) 25
(7)禁止
【问题5】(3分,每空1分)
(8) 201.10.1.10
(9) 192.168.1.3
(10) 8888
【问题1】
在拓扑中①处连接的是公司的内部专用网,通常防火墙认为是信任网络,对应端口应该是E0或Trusted,②处连接的是公司外网,防火墙认为是不信任的网络,对应端口应该是E1或Untrusted,③处连接的是公共服务器网络,我们通常把此网络作为防火墙的DMZ区域,对应端口应该是E2或DMZ。
【问题2】
防火墙默认的规则是安全级别高的能访问安全级别低的网络。内部专用网安全级别最高,DMZ次之,外部网络最低。结合此规则,Trusted能够访问Untrusted和DMZ,DMZ能够访问Untrusted,Untrusted不能访问Trusted和DMZ,DMZ不能访问Trusted网络,所以我们选择题目中的(a)选项。至于具体的需求,还需要基于默认策略在添加其他规则。
【问题3】
根据添加的规则,我们很容易的出此规则便是允许所有计算机向WEB服务器201.10.1.10发起的web请求流量通过防火墙。
【问题4】
此题结合(3)的中规则的书写格式,可以很快做出来,但要注意的是SMTP协议对应的是TCP协议的25号端口。
【问题5】
题干中说道内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务,其意思也就是有流量访问web服务器201.10.1.10时,web服务器会先把认证请求发送给Radius服务器192.168.1.2,然后根据是否认证通过再决定是否返回页面。这个认证流量策略其源地址和源端口就是201.10.1.10:any,目的地址和端口就是192.168.1.2:8888,协议就是Radius协议,规则是允许通过。