为了保障网络安全,某公司安装了一款防火墙,对内部网络、Web服务器以及外部网络进行逻辑隔离,其网络结构如图2-1所示。
图2-1
【问题1】(4分)
包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为1-99的ACL根据IP报文的源地址域进行过滤,称为(1);编号为100-199的ACL根据IP报文中的更过域对数据包进行控制,称为(2)。
【问题2】(3分)
依据图2-1,防火墙的三个端口连接的网络分别称为(3)、(4)和(5)。
【问题3】(7分)
防火墙配置要求如下:
●公司内部局域网用户可以访问Web Server和Internet;
●Internet用户可以访问Web Server;
●Internet上特定主机202.110.1.100可以通过Telnet访问Web Server;
●Internet用户不能访问公司内部局域网。
请按照防火墙的最小特权原则补充完成表2-1。
表2-1
【问题4】(6分)
由于防火墙出现故障,现将网络拓扑进行调整,增加一台包过滤路由器R2,与Proxy Server和路由器R1共同组成一个屏蔽子网防火墙,结构如图2-2所示。为了实现与表2-1相同的过滤功能,补充路由器R1上的ACL规则。
R1>…
R1>(config)#access-list 101 permit(13)//允许Internet用户访问WebServer
R1>(config)#access-list 101 permit(14)//允许主机202.110.1.100 Telenet到WebServer
R1>(config)#access-list 101(15)//禁止所有IP包
R1(config)#interface S0
R1>(config-if)#ip access-group 101 in//应用101规则到S0的入口方向
R1>…
R1>(config)#access-list 102 permit ip any any
R1(config)#interface ethernet1
R1>(config-if)#ip access-group 102 out
正确答案及解析
正确答案
解析
【问题1】(共4分,每空2分)
(1)标准ACL
(2)扩展ACL
【问题2】(3分,每空1分)
(3)内部网络或inside
(4)外部网络或outside
(5)非军事化区域或隔离区或dmz
【问题3】(7分,每空1分)
(6)201.10.1.10
(7)80
(8)any
(9)any
(10)201.10.1.10
(11)23
(12)拒绝或禁止
【问题4】(6分,每空2分)
(13)tcp any host 201.10.1.10 eq 80
(14)tcp host 202.110.1.100 host 201.10.1.10 eq 23
(15)deny ip any any
【问题1】
考查ACL分类。目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议ACL、IPv6 ACL等。
标准的ACL使用1~99之间的数字作为表号,扩展的ACL使用100~199之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
【问题2】
考查防火墙部署架构。图中方案涉及到设置具备三个网络适配器的防火墙架构,此架构称为三向外围防火墙网络模板,该架构中一个网络适配器连接到Internet(外部网络通常称为outside),该区域安全级别最低。一个连接到内部网络(通常称为inside),该网络区域安全级别最高。第三个连接到服务器区域,该区域安全级别介于内部网络与外部网络之间,通常该区域放置公司内部的公共服务器,如web,以响应外网用户的请求,该区域通常称为非军事化区域(或DMZ)。
【问题3】
根据问题3的题干描述,可以内部用户和外部用户都可以访问公司Web Server,很快得出题目中(6)和(7)所分别对应的目的地址和目的端口分别是201.10.1.10(Web服务器公网IP地址)和80(WWW协议对应TCP 80端口)。
同时题干指出内网(192.168.1.0/24)可以访问Internet,并未涉及到某个具体的协议和端口号,很快得出题目中(8)和(9)所分别对应的目的地址和目的端口分别是any和any。
题干第三处描述允许Internet上特定主机202.110.1.100通过Telnet访问Web Server,很快得出题目中(10)和(11)所分别对应的目的地址和目的端口分别是201.10.1.10(Web服务器公网IP地址)和23(Telent协议对应TCP 23端口)。
题干最后描述语句Internet用户不能访问公司内部局域网很快得出题目中(12)的访问规则是拒绝。
【问题4】
此问考查的是ACL的书写规则。
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL,标准ACL书写格式:
access-list ACL号[permit|deny][定义过滤源主机范围]。
使用ACL标号100到199来创建扩展ACL,其书写格式:
access-list ACL号[permit|deny][协议][定义过滤源主机范围][定义过滤源端口][定义过滤目的主机访问][定义过滤目的端口]。
包含此试题的试卷
你可能感兴趣的试题
Advancements in ( )have contributed to the growth of the automotive industry through the creation and evolution of self-driving vehicles.
-
- A.Artificial Intelligence
- B.Cloud Computing
- C.Internet of Things
- D.Big Data
- 查看答案
In project human resource management , ( )is not a source of power for the project manager.
-
- A.referent power
- B.expert power
- C.reward power
- D.audit power
- 查看答案
At the project establishment stage , the feasibility study mainly includes techinical feasibility analysis , ( ), operation environment feasibility analysis and other aspects of feasibility analysis.
-
- A.detail feasibility analysis
- B.opportunity analysis
- C.economic feasibility analysis
- D.risk analysis
- 查看答案
( )is a grid that shows the project resources assigned to each work package.
-
- A.Stakeholder engagement assessment matrix
- B.Requirements traceability matrix
- C.Probability and impact matrix
- D.Responsibility assignment matrix
- 查看答案
Xinhua News Agency reported in January 2022,Chian will further promote the developmet of a digital economy during the 14th Five-Year Plan eriod(2021-2025). The plan also emphasized industrial ( )transformation.
-
- A.digital
- B.networking
- C.intelligentize
- D.informatization
- 查看答案