【问题1】 (6分)

防火墙常用工作模式有透明模式、路由模式、混合模式，图2-1 中的出口防火墙工作于( )模式：防火墙为办公区用户动态分配IP地址，需在防火墙完成开启( )功能: Server2 为WEB服务器，服务端口为TCP 443, 外网用户通过https://100.1.1.9:8443访问，在防火墙上需要配置( ) .

( )备选答案;

A. nat server policy_web protocol tcp global 100.1.1.9 8443 inside 10.2.1.2 443 unr-route

B. nat server policy_web protocol tcp global 10.2.1.2 8443 inside 100.1.1.9 443 unr-route

C. nat server  policy_web protocol tcp global 100.1.1.9 443 inside 10.2.1.2 8443 unr-route

D. nat server policy_web protocol tcp global 10.2.1.2 inside 10.2.1.2 8443 unr-route

【问题2】(14分)

为了使局城网中10.1.1.0/24网段的用户可以正常访问Internet,需要在防火墙上完成NAT、安全策略等配置，请根据需求完善以下配置。

  #将对应接口加入trust或者untrust区域。

  [FW] firewall zone trust

  [FW-zone trust] add interface_ ( ) _

  [FW-zone -trust] quit

  [FW] firewall zone untrust

  [FW-zone untrust] add interface_ ( ) _

  [FW-zone untrust] quit

  #配置安全策略，允许局域网指定网段与Internet进行报文交互。

 [FW] security policy

  [FW-policy-security] rule name policy 1

  #将局域网作为源信任区域，将互联网作为非信任区域

  [FW-policy-security-rule-policy 1]source-zone_ ( )

  [FW-policy-security-rule-policy 1] destination-zone untrust

   #指定局域网办公室的用户访问互联网

  [FW-policy-security-rule-policy 1] source-address( )

   #指定安全策略为允许

   [FW-policy-security-rule-policy 1] action ( ) _

   [FW-policy-security-rule-policy 1] quit

   [FW-policy-security] quit

   配置NAT地址池，配置时开自允许端口地址转换，实现公网地址复用。

    [FW] nat adress-group addressgroup1

    [FW-address-group-addressgroup1] mode pat

    [FW-address-group-addressgroup1]section 0 ( )

    配置源NAT策略，实现局城网指定网段 访问lnternet时自动进行源地址转换

    [FW] nat-policy

    [FW-policy-nat] rule name policy_nat 1

#指定具体哪些区域为信任和非信任区域

    [FW-policy-nat-rule-policy_ nat 1] source-zone trust

    [FW-policy-nat-rule-policy_ nat 1] destination-zone untrust

    #指定局域网源IP地址

    [FW-policy-nat-rule-policy_ nat 1] source-address 10.1.1.0 24

    [FW-policy-nat-rule-policy_ nat 1] action source-nat address-group( )

    [FW-policy-nat-rule-policy_ nat 1] quit

    [FW-policy-nat] quit