试题一（共15分）

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

某企业的网络拓扑图如图1-1所示，分别由DMZ区、内网办公区组成。图中，网站服务器的IP地址是192.168.70.140，邮件服务器的IP地址是192.168.70.141。从运营商获取固定地址202.114.58.22。李工是该企业的信息安全管理员。

（1）iptables -L

（2）Filter

（3）黑名单策略

（4）iptables -P FORWARD DROP

（5）

iptables -a input -s 192.168.12.0/24 -d 192.168.70.140 -dport 80 -j ACCEPT

iptables -a input -s 192.168.70.140  -d 192.168.12.0/24 -sport 80 -j ACCEPT

（1）查看iptables的过滤规则可以使用“iptables -L”命令，这个命令会列出所有的过滤规则。
（2）图1-2中显示的是filter表的信息，因为filter表是用来进行数据包过滤的处理动作，通常的基本规则都建立在此规则表中。
（3）根据图1-2中的默认策略是ACCEPT，以及规则中的动作大部分是DENY，可以判断防火墙采取的是黑名单安全策略。
（4）要设置iptables防火墙默认不允许任何数据包转发，需要改变FORWARD链的默认策略为DROP，命令为“iptables -P FORWARD DROP”。
（5）为了允许人事部的用户访问web服务器，需要设置特定的规则。假设人事部的IP地址为192.168.12.0/24，web服务器的IP地址为192.168.70.140，HTTP服务的端口号为80，那么可以设置如下规则：一条允许从人事部的IP地址访问web服务器的HTTP服务的规则（iptables -a input -s 192.168.12.0/24 -d 192.168.70.140 -dport 80 -j ACCEPT），以及一条允许web服务器回应来自人事部的HTTP请求的规则（iptables -a input -s 192.168.70.140 -d 192.168.12.0/24 -sport 80 -j ACCEPT）。