【答案解析】(1) A，或允许 (2) A，或192.168.1.0/2.4 (3) A，或TCP (4) C，或E1→E2 这是一道要求读者掌握防火墙包过滤规则策略配置的分析理解题。本题的解答步骤如下。 ①由试题中给出的关键信息“要求内部所有主机能……访问外部IP地址202.117.118.23的Web服务器”中，“能……访问”说明序号为1的包过滤规则策略为“允许”，即(1)空缺处的正确答案是选项A。 ②试题中给出的关键信息“要求内部所有主机能……访问外部Ⅲ地址202.117.118.23的Web服务器”中的“内部所有主机”是指图7-9拓扑图中对应于区域C的计算机。由于防火墙与区域C相连接的接口 IP地址为192.168.1.1/24，其中“/24”表示子网掩码为255.255.255.0。因此区域C的网络组成的网段地址为192.168.1.0/24，即(2)空缺处应填入区域C的网段地址(192.168.1.0/24)。 ③通常Web服务器是使用TCP/IP协议簇中的HTTP协议提供服务的，而HTTP协议是一个传输层基于TCP协议的应用层协议，因此(3)空缺处的“协议”应选择“TCP”。 ④同理，由试题的关键信息“要求内部所有主机能……访问外部IP地址202.117.118.23的Web服务器”可知，该包过滤规则的控制方向是控制内部局域网传输给Internet网的IP包，即从防火墙的“E1”端口流入、“E2”端口流出的D数据包，因此(4)空缺处的“方向”应选择“E1→E2”。

【答案解析】(5) B，或any (6)B，或E2 (7) C，或211.156.169.6 这是一道要求读者掌握防火墙设备NAT配置的分析理解题。本题的解答思路如下。 网络地址转换(NAT，Network Address Translation)是一个Internet工程任务组(IETF)标准，用于将内部私有网络地址(或某个IP地址)翻译成合法公网IP地址的技术。NAT有静态NAT、动态地址NAT、网络地址端口转换NAPT等3种类型。其中，静态NAT将内部网络中的每个主机的IP地址都永久映射成外部网络中的某个合法的地址。动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射给内部网络使用。NAPT则是把内部地址映射到外部网络的同一个IP地址的不同TCP/UDP端口号上。 试题中给出的关键信息“内部网络经由防火墙采用NAT方式与外部网络通信”在本案例中可理解为，要实现整个内部网络段(192.168.1.0/24)的多个客户共享同一个公网IP地址(211.156.169.6)访问Internet网。由于试题只说明“外部网络”而没有特别指出是哪个IP地址段，因此(5)空缺处的“目的地址”应设置为“any”。 因为是“内部网络段的多个用户共享公网IP地址”，所以在图7-11中(6)空缺处的“转换接口”应设置为防火墙的外网接口，，即选项B的“E2”口。(7)空缺处的“转换后地址”为防火墙外网接口的IP地址，即选项C的“211.156.169.6”。

【答案解析】B，或区域B 这是一道要求读者掌握防火墙DMZ区作用的分析理解题。本题的解答思路如下。 DMZ区是放置公共信息的最佳位置，它对外网或内网用户来说是开放的、透明的。公司客户、潜在客户及外部访问者不用通过内网就可以直接获得他们所需要的信息。 公司中机密的、私人的信息则需安全地存放在内部局域网中，即DMZ的后面。DMZ中服务器不应包含任何商业机密、资源代码或私人信息。 由以上分析可知，在图7-9中防火墙的DMZ区就是区域B的服务器群网段。

【答案解析】(9) 192.168.1.1 (10) 3128 这是一道要求读者掌握客户端IE浏览器的HTTP代理配置的实际操作题。本题的解答思路如下。 在图7-12所示的配置界面中，已选中“代理服务器”栏内“为LAN使用代理服务器(X)”复选框，以激活了“地址”和“端口”栏。勾选“对于本地地址不使用代理服务器”复选框，说明区域C中的内部计算机(PC1～PCn)相互访问时将不启用HTTP代理服务功能。 由于区域C网络中仅给出了一台交换机，交换机具有“共享广播域，隔离冲突域”的特性，因此区域C的网络是一个广播域。在图7-12的“地址”栏内应填入区域C的网关地址，即防火墙E1端口的IP地址“192.168.1.1”。 由试题中已给出的关键信息“代理服务端口为3128”可知，在图7-12的“端口”栏中应填入“3128”。