试题一（共20分）

阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

某公司网络结构图如图1-1所示，公司部署防火墙及IDS构建一套的安全防护体系。为保护内网安全，根据公司规划，需要实现：

(1)内外网用户均可访问 Web 和Email服务器，特定外网主机主机202.101.100.222以及特定的内网主机192.168.20.1可以通过SSH访问 Web 服务器。

(2)禁止外网用户访问财务服务器，禁止财务部门访问 Internet ，允许生产部门和行政部门访问Internet。

公司的部分内部IP地址及VLAN规划如表1-1：

问题2：

（7）DMZ

（8）172.16.10.200

（9）110

（10）202.101.100.222

（11）22

（12）192.168.20.0/24

（13）允许

（14）拒绝

问题2要求按照防火墙的最小特权原则补充完成策略规划表。根据题目描述和图示信息，进行如下解析：

（1）区域：根据上下文，第一条规则涉及的服务器位于DMZ区域，因此填DMZ。
（7）目标地址：邮件服务器对应的地址。根据SMTP协议，使用的端口号为25，所以此空填邮件服务器对应的地址。
（8）端口号：邮件服务器接收邮件一般使用Pop3协议，对应的端口号为110，所以填110。
（9）源地址：允许特定外网主机202.101.100.222访问Web服务器的SSH服务，填202.101.100.222。
（10）端口号：SSH服务使用的端口号为22，所以填22。
（11）目标地址：指定内网主机192.168.20.1通过SSH访问Web服务器，因此目标地址是Web服务器地址，填Web服务器对应的IP地址。
（12）源地址范围：内网网段地址范围，根据题目中的网络结构图填写。这里假设为允许生产部门和行政部门访问Internet的需求，所以填内网网段地址范围。具体填写方式可以使用CIDR表示法，如填写内网的整个网段形式为：例如填写为允许的内网IP段，如：内网IP段为：内部IP段/子网掩码长度（例如：内部IP段为：内部IP段/子网掩码长度）。根据实际情况填写具体的子网掩码长度。此空填写内网网段地址范围表示允许这些部门访问Internet。这里填写的动作是允许。因此答案为允许。具体填写方式需要根据实际情况进行确定。例如可以填写为允许的内网IP段/子网掩码长度（例如允许的内部IP段如内部IP段是允许的）。或者也可以根据网络拓扑结构选择适当的网络标识和子网掩码来定义具体的范围。如果题目中提供了具体的网络结构图可以参考图中的信息来填写具体的源地址范围。总之需要根据实际情况进行填写以满足最小特权原则的要求并且满足实际需求能够正确地配置防火墙策略实现安全控制。 这个问题中需要注意的是要遵循最小特权原则即除了明确允许的服务外其余服务均被禁止的防火墙策略设置要求来保证网络安全和数据保密性；并且要注意到问题中的内外网用户的访问需求以及特定的内外网主机的访问权限设置需求以确保正确配置防火墙策略并满足实际应用场景的需求。", “p” 标签内的内容可以根据需要进行删减和修改，以便更清晰地回答问题。】