首页
登录
从业资格
为了保障网络安全,某公司安装了一款防火墙,对内部网络、Web服务器以及外部网络进
为了保障网络安全,某公司安装了一款防火墙,对内部网络、Web服务器以及外部网络进
考试题库
2022-08-02
33
问题
为了保障网络安全,某公司安装了一款防火墙,对内部网络、Web服务器以及外部网络进行逻辑隔离,其网络结构如图2-1所示。
图2-1【问题1】(4分)包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为1-99的ACL根据IP报文的源地址域进行过滤,称为(1);编号为100-199的ACL根据IP报文中的更过域对数据包进行控制,称为(2)。【问题2】(3分)依据图2-1,防火墙的三个端口连接的网络分别称为(3)、(4)和(5)。【问题3】(7分)防火墙配置要求如下:●公司内部局域网用户可以访问Web Server和Internet;●Internet用户可以访问Web Server;●Internet上特定主机202.110.1.100可以通过Telnet访问Web Server;●Internet用户不能访问公司内部局域网。请按照防火墙的最小特权原则补充完成表2-1。表2-1
【问题4】(6分)由于防火墙出现故障,现将网络拓扑进行调整,增加一台包过滤路由器R2,与Proxy Server和路由器R1共同组成一个屏蔽子网防火墙,结构如图2-2所示。为了实现与表2-1相同的过滤功能,补充路由器R1上的ACL规则。
R1>…R1>(config)#access-list 101 permit(13)//允许Internet用户访问WebServerR1>(config)#access-list 101 permit(14)//允许主机202.110.1.100 Telenet到WebServerR1>(config)#access-list 101(15)//禁止所有IP包R1(config)#interface S0R1>(config-if)#ip access-group 101 in//应用101规则到S0的入口方向R1>…R1>(config)#access-list 102 permit ip any anyR1(config)#interface ethernet1R1>(config-if)#ip access-group 102 out
选项
答案
解析
【问题1】(共4分,每空2分)
(1)标准ACL
(2)扩展ACL
【问题2】(3分,每空1分)
(3)内部网络或inside
(4)外部网络或outside
(5)非军事化区域或隔离区或dmz
【问题3】(7分,每空1分)
(6)201.10.1.10
(7)80
(8)any
(9)any
(10)201.10.1.10
(11)23
(12)拒绝或禁止
【问题4】(6分,每空2分)
(13)tcp any host 201.10.1.10 eq 80
(14)tcp host 202.110.1.100 host 201.10.1.10 eq 23
(15)deny ip any any
【问题1】
考查ACL分类。目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议ACL、IPv6 ACL等。
标准的ACL使用1~99之间的数字作为表号,扩展的ACL使用100~199之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
【问题2】
考查防火墙部署架构。图中方案涉及到设置具备三个网络适配器的防火墙架构,此架构称为三向外围防火墙网络模板,该架构中一个网络适配器连接到Internet(外部网络通常称为outside),该区域安全级别最低。一个连接到内部网络(通常称为inside),该网络区域安全级别最高。第三个连接到服务器区域,该区域安全级别介于内部网络与外部网络之间,通常该区域放置公司内部的公共服务器,如web,以响应外网用户的请求,该区域通常称为非军事化区域(或DMZ)。
【问题3】
根据问题3的题干描述,可以内部用户和外部用户都可以访问公司Web Server,很快得出题目中(6)和(7)所分别对应的目的地址和目的端口分别是201.10.1.10(Web服务器公网IP地址)和80(WWW协议对应TCP 80端口)。
同时题干指出内网(192.168.1.0/24)可以访问Internet,并未涉及到某个具体的协议和端口号,很快得出题目中(8)和(9)所分别对应的目的地址和目的端口分别是any和any。
题干第三处描述允许Internet上特定主机202.110.1.100通过Telnet访问Web Server,很快得出题目中(10)和(11)所分别对应的目的地址和目的端口分别是201.10.1.10(Web服务器公网IP地址)和23(Telent协议对应TCP 23端口)。
题干最后描述语句Internet用户不能访问公司内部局域网很快得出题目中(12)的访问规则是拒绝。
【问题4】
此问考查的是ACL的书写规则。
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL,标准ACL书写格式:
access-list ACL号[permit|deny][定义过滤源主机范围]。
使用ACL标号100到199来创建扩展ACL,其书写格式:
access-list ACL号[permit|deny][协议][定义过滤源主机范围][定义过滤源端口][定义过滤目的主机访问][定义过滤目的端口]。
转载请注明原文地址:https://tihaiku.com/congyezige/2405621.html
本试题收录于:
中级 网络工程师题库软件水平考试初中高级分类
中级 网络工程师
软件水平考试初中高级
相关试题推荐
对于软件的β测试,下列描述正确的是()。A.β测试就是在软件公司内部展开的测试
某公司采用的软件开发过程通过了CMM2认证,表明该公司()A.开发项目成效
在层次化局域网模型中,以下关于核心层的描述,正确的是()。A.为了保障安全性,
甲公司接受乙公司委托开发了一项应用软件,双方没有订立任何书面合同。在此情形下,(
甲公司接受乙公司委托开发了一项应用软件,双方没有签订任何书面合同。在此情形下(
甲、乙软件公司于2013年9月12日就其财务软件产品分别申请“大堂”和“大唐”商
王某是M国际运输有限公司计算机系统管理员。任职期间,王某根据公司的业务要求开发了
软件设计师王某在其公司的某一综合信息管理系统软件开发工作中承担了大部分程序设计工
分配给某公司网络的地址块是210.115.192.0/20,该网络可以被划分为(
某客户端在采用ping命令检测网络连接故障时,发现可以ping通127.0.0.
随机试题
Writeanessayofbetween180and200wordsinwhichyoudiscussthemoralo
[originaltext]RemnantsofRussia’sMirspacestationplungedintothePacifi
男性患者,30岁,病程4个月,头痛发病,入院前出现左侧肢体无力和呕吐,入院检
伴发甲亢危象时首先给予:A.大剂量碘剂 B.控制感染 C.抗甲状腺药物
胶类、蜜膏类入煎剂宜A.先煎B.包煎C.另煎D.后下E.烊化
A.阿托品 B.硝酸甘油 C.呋塞米 D.双嘧达莫 E.吗啡缓解急性心肌
内源性感染是指()。A.饮食不当引起的感染 B.通过医疗器械引起的感染 C.
特种作业的范围有()。A.电工作业 B.锅炉司炉 C.压力容器操作 D.
肺胀的病理因素,主要责之于A.心肾阳虚,水气凌心 B.肺肾两虚,气失摄纳 C
心力衰竭合并肾衰竭患者利尿药物首选( )。A.阿米洛利 B.氨苯蝶啶 C.
最新回复
(
0
)