试题二（共20分）

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

某企业的网络拓扑架构如图2-1所示。

该企业的部分内部IP地址及VLAN规划如表2-1：

网络的访问需求如下：

1、禁止所有财务终端访问互联网。

2、禁止所有会议终端访问服务器群。

3、禁止IP地址为192.168.10.10的行政终端访问服务器群和互联网。

问题2：

（5）dmz

（6）untrust

（7）192.168.10.0/24、192.168.20.0/24

（8）any

（9）any

（10）any

根据题目给出的网络拓扑架构和内部IP地址及VLAN规划，以及网络的访问需求，我们需要按照防火墙的最小特权原则来补充完成策略规划表。最小特权原则意味着只允许必要的访问，禁止所有其他访问。

1. 禁止所有财务终端访问互联网，这意味着财务终端应该在防火墙的DMZ区域，而互联网访问应该在UNTRUST区域。因此，（5）应该填写DMZ，（6）应该填写UNTRUST。
2. 禁止所有会议终端访问服务器群，这意味着会议终端不能访问服务器群所在的区域。但根据题目需求，行政终端和财务终端需要访问服务器群，所以需要在防火墙策略中允许这两个网段的访问。因此，（7）应该填写允许访问的网段，即192.168.10.0/24和192.168.20.0/24。
3. 禁止IP地址为192.168.10.10的行政终端访问服务器群和互联网。这意味着该IP地址的行政终端只能访问内部网络，不能被允许访问服务器群或互联网。因此，（8）、（9）、（10）应该都填写ANY，表示拒绝所有其他来源的访问请求。这样，防火墙策略就符合最小特权原则的要求。