试题一（共25分）

阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

某集团公司在在全国各省均有分公司，由于公司的信息化系统需要升级改造，现管理员决定在总部与分公司之间通过IPSEC VPN建立连接。根据拓扑图1-1，完成下列问题。

(5) security-policy  (6) trust  （7） 192.168.1.0 24

(8) 192.168.2.0 24 ?  (9) permit  

（10）配置Local域与Untrust域的安全策略，允许IKE协商报文能正常通过FIREWALL1

（11）  配置访问控制列表，定义需要保护的数据流。

（12）配置名称为tran1的IPSec安全提议

问题2的答案如下：

(5) security-policy：配置安全策略。

(6) trust：配置Trust域与Untrust域的安全策略，所以此处应填写trust。

(7) 192.168.1.0 24：根据题目描述和常见的网络配置，这里应该是填写源地址的CIDR表示法，允许特定的网段进行通信。

(8) 192.168.2.0 24：同样，这里填写的是目标地址的CIDR表示法。

(9) permit：这条规则允许特定源地址和目标地址之间的IP通信。

(10) 配置Local域与Untrust域的安全策略，允许IKE协商报文能正常通过FIREWALL1。这个策略是为了确保IKE（Internet Key Exchange）协商报文能够顺利地通过防火墙。

(11) 配置访问控制列表，定义需要保护的数据流。访问控制列表（ACL）用于定义哪些数据流需要被保护或者允许通过防火墙。

(12) 配置名称为tran1的IPSec安全提议。这里配置的是IPSec（Internet Protocol Security）的安全提议，包括加密模式、转换、认证算法和加密算法等参数。

以上是对总部防火墙firewall1的部分配置补充完整的解析。