问答题试题四(15分) 阅读下列有关网络防火墙的说明，解答栏内。[说明]回答问题1至问题4，将答案填入答题纸对应的解答栏内。【说明】某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全，安装了一款防火墙，其网络结构如图4-1所示，防火墙上配置NAT转换规则如表4-1所示。防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过，禁止其他数据包通过)，请根据题意回答以下问题。

问答题

【正确答案】(1) 192．168．2．2 (2) 80 (3) 允许 (4) 192．168．2．3 (5) SMTP (6) 允许

【答案解析】 根据题意，Internet主机默认是不能访问WebServer的Web服务以及MailServer的邮件服务，如果要给Internet主机开放WebServer的Web服务以及MailServer的邮件服务，表4-3中“规则”列必须是允许，协议分别是HTTP和SMTP，HTTP的协议端口为80，WebServer的IP地址是192．168．2．2，MailServer的IP地址是192．168．2．3。

问答题

【正确答案】(7)E0->E2 (8)Any (9)禁止

【答案解析】 如果要禁止内网用户访问Internet上202．10．20．30的FTP服务，方向应该是从内网到Internet，源端口无法指定，规则是禁止。

问答题

【正确答案】(10) 192．168．1．1 (11) 允许 (12) Any或192．168．1．0/24 (13) 禁止

【答案解析】 如果要禁止除PC1以外的所有内网用户访问Internet上219．16．17．18的Web服务，只能通过两条规则来实现：第一条规则允许特定主机PC1访问Web服务，第二条规则禁止所有主机访问Web服务。

问答题

【正确答案】(14) 192．168．2．2 (15) ICMP

【答案解析】 因为Ping程序采用的是ICMP协议，如果要允许Internet用户通过Ping程序对WebServer的连通性进行测试，则应该允许Internet到WebServer对应IP地址的ICMP消息。