阅读下列有关网络防火墙的说明,根据要求回答下列问题。
[说明]
为了保障网络安全,某公司安装了一款防火墙,将内部网络、Web服务器及外部网络进行逻辑隔离,其网络结构如下图所示。
[说明]
为了保障网络安全,某公司安装了一款防火墙,将内部网络、Web服务器及外部网络进行逻辑隔离,其网络结构如下图所示。
填空题
该款防火墙的3个端口E0、E1和E2命名为Trusted、Untrusted和DMZ,分别用于连接信任网络、不信任网络和非军事区,则从图中可以判断出:①处对应端口______,②处对应端口______,③处对应端口______。
问答题
表1是防火墙对3个端口E0、E1和E2之间包过滤规则的4种默认设置,请指出设置最为合理的是哪种,并说明理由。
【正确答案】表1(a)
其包过滤规则是:允许内网可访问外网和DMZ,禁止外网访问内网和DMZ,允许DMZ访问外网但不能访问内网:比较接近该公司网络的应用需求
【答案解析】结合上题的分析结果可知,端口E0、E1和E2分别是防火墙的内网口、外网口和DMZ口。表1(a)的包过滤规则是:允许内网可访问外网和DMZ,禁止外网访问内网和DMZ,允许DMZ访问外网但不能访问内网;表1(b)的包过滤规则是:允许内网可访问外网和DMZ,允许外网访问内网和DMZ,禁止DMZ访问内网和外网;表1(c)的包过滤规则是:允许3个端口相互访问;表1(d)的包过滤规则是:禁止3个端口相互访问。
通常,防火墙的外网、DMZ和内网三者之间的访问关系应满足:①外网可访问DMZ,不能访问内网;②DMZ可访问外网,不能访问内网;③内网可访问外网和DMZ。表1(a)的包过滤规则最接近这一访问逻辑,比较接近该公司网络的应用需求,因此它是4种默认设置中最为合理的一种。
问答题
在防火墙默认设置的基础上,增加如表2所示的一条规则,请问该规则的功能是什么?
【正确答案】允许任意主机访问DMZ网络中IP地址为202.10.1.10的Web服务器所提供的www服务(或网页服务,或HTTP服务)
【答案解析】结合上题的分析结果可知,在该防火墙默认设置中禁止外网访问内网和DMZ。为了使Internet用户能够访问图5中位于DMZ网络的Web服务器(IP地址为202.10.1.10),则需要定义一条如表2所示的包过滤规则,并将该规则应用于防火墙的端口E1上。
填空题
如果要禁止内网主机192.168.1.2访问公网上202.117.112.3提供的SMTP服务,请补充完成表3中的配置。
表3 防火墙访问规则列表2
填空题
如果内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务,请补充完成表4中的设置。
表4 防火墙访问规则列表3
