试题一(共20分)

阅读下列说明和图，回答问题1至问题5，将解答填入答题纸的对应栏内。

【说明】

已知某公司网络环境结构主要由三个部分组成，分别是DMZ区、内网办公区和生产区，其拓扑结构如图1-1所示。信息安全部的王工正在按照等级保护2.0的要求对部分业务系统开展安全配置。图1-1当中，网站服务器的IP地址是192.168.70.140，数据库服务器的IP地址是192.168.70.141，信息安全部计算机所在网段为192.168.11.1/24，王工所使用的办公电脑IP地址为192.168.11.2。

（1）80和443

（2）

iptables -t filter -P FORWARD DROP（DROP更改为REJECT也符合题意）

iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 80 -j ACCEPT

iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 443 -j ACCEPT

（3）255.255.255.0

（4）

iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp --dport 22 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2 -p tcp --sport 22 -j ACCEPT

本题主要考察了对网络防火墙配置的理解和应用。根据题目描述，需要实现互联网对网站服务器的访问，同时需要配置防火墙以满足日常运维的需求。

（1）网站服务器提供web服务，使用的默认端口是80和443，因此防火墙1需要允许这两个端口通过。

（2）为了实现互联网只能访问网站服务器的需求，需要在防火墙1上设置iptables过滤规则。首先设置默认策略为拒绝所有数据包进入，然后添加允许端口80和443的TCP数据包通过的规则。

（3）王工电脑的子网掩码可以根据其所在网段的CIDR表示法得出，即/24对应的点分十进制表示。

（4）为了实现远程运维，需要在防火墙2上设置iptables过滤规则，允许SSH协议的数据包在指定的IP地址和端口间通信。