【答案解析】(1)A (2)A (3)A (4)C [分析] 由于防火墙包过滤规则的默认策略为拒绝，因此就需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则，即(1)应该选择答案A(允许)。 根据题意，要使“内部所有主机能使用Ⅲ浏览器访问外部IP地址202．117．118．23的Web服务器”，并设置好了目的地址和目的端口。其中内部所有主机显然是指区域C中的所有主机，因此是192．168．1．0网络，即(2)应该选择答案A(192．168．1．0/24)：而访问Web服务器将使用HTTP协议，HTTP协议是基于TCP的，因此(3)应该选择答案A(TCP)，而方向的源端显然是E1，而根据目标IP地址可知，它应该位于区域A，因此目标端应该是E2，因此(4)应该选择答案C(E1→E2)。

【答案解析】(5)B (6)B (7)C [分析] 根据题意，内部网络(即192．168．1．0/24网络)经由防火墙采用NAT方式与外部网络通信。因此在访问任何外部主机时都需要进行NAT转换，即(5)应该选择B(any)；而NAT转换都是在与外部连接的端口上进行的，即E2，因此(6)应该选择B；这一转换显然是将源IP地址替换成防火墙E2端口的IP地址，因此(7)应该选择C，即 211．156．169．6。

【答案解析】(8)B [分析] DMZ网络通常较小，处于Internet和内部网络之间，一般情况下，配置成使用Internet和内部网络系统对其访问会受限制的系统，例如堡垒主机、信息服务器、Modem组以及其他公用服务器。 而对于图3-1所示的网络而言，区域A显然是Internet网络，区域C是内部网络，因此适合设置为DMZ区的就是区域B。

【答案解析】(9)192．168．1．1 (10)3128 [分析] 对于代理服务器设置而言，IP地址就是代理服务器的IP地址，在本例中就是防火墙的IP地址，即192．168．1．1，而其端口号就是题意指定的代理服务端口3128。

【答案解析】(11)A (12)B [分析] NAT，网络地址转换，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请合法IP地址。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备(比如：路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 NAT的应用场景主要是两种：一是从安全角度考虑，不想让外部网络用户了解自己的网络结构和内部网络地址；二是从IP地址资源角度考虑，当内部网络人数太多时，可以通过NAT实现多台共用一个合法IP访问Internet。 在图3-9中展现了静态NAT的工作原理，从中不难看出它是对IP包进行操作，因此是工作在网络层。 而代理服务器的功能就是代理网络用户去获取网络信息。形象地说：它是网络信息的中转站。代理服务器能够让没有公网IP地址的电脑使用其代理功能高速、安全地访问互联网资源。当代理服务器客户端发出一个对外的资源访问请求时，该请求先被代理服务器识别并由代理服务器代为向外请求资源。由于一般代理服务器拥有较大的带宽、较高的性能，并且能够智能地缓存已浏览或未浏览的网站内容，因此在一定情况下，客户端通过代理服务器能够更快速地访问网络资源。从上面的描述中也不难发现，它是工作在应用层的。