[说明]
希赛IT教育研发中心在部署计算机网络时采用了一款硬件防火墙，该防火墙带有3个以太网络接口，其网络拓扑如图所示。

问答题防火墙包过滤规则的默认策略为拒绝，表1给出了防火墙的包过滤规则配置。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的web服务器，为表中(1)～(4)空缺处选择正确答案，填写在答题纸相应位置。
(1)备选答案：A．允许 B．拒绝
(2)备选答案：A．192.168.1.0/24 B．211.156.169.6/30
C．202.117.118.23/24
(3)备选答案：A．TCP B．LJDP C．ICMP
(4)备选答案：A．E3→E2 B．E1→E3 C．E1→E2

表1 防火墙的包过滤规则
序号	策略	源地址	源端口	目的地址	目的端口	协议	方向
1	(1)	(2)	Any	202.117.118.23	80	(3)	(4)

【正确答案】(1)A (2)A (3)A (4)C

【答案解析】由于防火墙包过滤规则的默认策略为拒绝，因此需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则，即(1)应该选择答案A(允许)。
根据题意，要使“内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器”，并设置好目的地址和目的端口，其中内部所有主机显然是指区域C中的所有主机，因此是192.168.1.0网络，即(2)应该选择答案A(192.168.1.0/24)：而访问Web服务器将使用HTTP协议，HTTP协议是基于TCP的，因此(3)应该选择答案A(TCP)；而方向的源端显然是E1，根据目标IP地址可知，它应该位于区域A，
目标端应该是E2，因此(4)应该选择答案C(E1→E2)。

问答题内部网络经由防火墙采用NAT方式与外部网络通信，表2中(5)～(7)空缺处选择正确答案，填写在答题纸相应位置。
(5)备选答案：A．192.168.1.0/24 B．any
C．202.117.118.23/24
(6)备选答案： A．E1 B．E2 C．E3
(7)备选答案： A．192.168.1.1 B．210.156.169.6
C．211.156.169.6

表2 防火墙的规则
源地址	源端口	目的地址	协议	转换接口	转换后地址
192.168.1.0/24	Any	(5)	80	(6)	(7)

【正确答案】(5)B (6)B (7)C

【答案解析】根据题意，内部网络(即192.168.1.0/24网络)经由防火墙采用NAT方式与外部网络通信，因此在访问任何外部主机时都需要进行NAT转换，即(5)应该选择B(any)；而NAT转换都是在与外部连接的端口上进行的，即E2，因此(6)应该选择B；这一转换显然是将源IP地址替换成防火墙E2端口的IP地址，因此(7)应该选择C，即211.156.169.6。

填空题适合设置为DMZ区。
(8)备选答案：A．区域A B．区域B C．区域C

填空题防火墙上的配置信息如图所示。要求启动HTTP代理服务，通过HTTP缓存提高浏览速度，代理服务端口为3128，要使主机PC1使用HTTP代理服务，其中“地址”栏中的内容应填写为(9)，“端口”栏中内容应填写为(10)。

填空题 NAT和HTTP代理分别工作在(11)和(12)。
(11)备选答案：A．网络层 B．应用层 C．服务层
(12)备选答案：A．网络层 B．应用层 C．服务层