为了保障网络安全,某公司安装了一款防火墙,对内部网络、Web服务器以及外部网络进

考试题库2022-08-02  33

问题 为了保障网络安全,某公司安装了一款防火墙,对内部网络、Web服务器以及外部网络进行逻辑隔离,其网络结构如图2-1所示。图2-1【问题1】(4分)包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为1-99的ACL根据IP报文的源地址域进行过滤,称为(1);编号为100-199的ACL根据IP报文中的更过域对数据包进行控制,称为(2)。【问题2】(3分)依据图2-1,防火墙的三个端口连接的网络分别称为(3)、(4)和(5)。【问题3】(7分)防火墙配置要求如下:●公司内部局域网用户可以访问Web Server和Internet;●Internet用户可以访问Web Server;●Internet上特定主机202.110.1.100可以通过Telnet访问Web Server;●Internet用户不能访问公司内部局域网。请按照防火墙的最小特权原则补充完成表2-1。表2-1【问题4】(6分)由于防火墙出现故障,现将网络拓扑进行调整,增加一台包过滤路由器R2,与Proxy Server和路由器R1共同组成一个屏蔽子网防火墙,结构如图2-2所示。为了实现与表2-1相同的过滤功能,补充路由器R1上的ACL规则。R1>…R1>(config)#access-list 101 permit(13)//允许Internet用户访问WebServerR1>(config)#access-list 101 permit(14)//允许主机202.110.1.100 Telenet到WebServerR1>(config)#access-list 101(15)//禁止所有IP包R1(config)#interface S0R1>(config-if)#ip access-group 101 in//应用101规则到S0的入口方向R1>…R1>(config)#access-list 102 permit ip any anyR1(config)#interface ethernet1R1>(config-if)#ip access-group 102 out

选项

答案

解析 【问题1】(共4分,每空2分)
(1)标准ACL
(2)扩展ACL
【问题2】(3分,每空1分)
(3)内部网络或inside
(4)外部网络或outside
(5)非军事化区域或隔离区或dmz
【问题3】(7分,每空1分)
(6)201.10.1.10
(7)80
(8)any
(9)any
(10)201.10.1.10
(11)23
(12)拒绝或禁止
【问题4】(6分,每空2分)
(13)tcp any host 201.10.1.10 eq 80
(14)tcp host 202.110.1.100 host 201.10.1.10 eq 23
(15)deny ip any any
【问题1】
考查ACL分类。目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议ACL、IPv6 ACL等。
标准的ACL使用1~99之间的数字作为表号,扩展的ACL使用100~199之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
【问题2】
考查防火墙部署架构。图中方案涉及到设置具备三个网络适配器的防火墙架构,此架构称为三向外围防火墙网络模板,该架构中一个网络适配器连接到Internet(外部网络通常称为outside),该区域安全级别最低。一个连接到内部网络(通常称为inside),该网络区域安全级别最高。第三个连接到服务器区域,该区域安全级别介于内部网络与外部网络之间,通常该区域放置公司内部的公共服务器,如web,以响应外网用户的请求,该区域通常称为非军事化区域(或DMZ)。
【问题3】
根据问题3的题干描述,可以内部用户和外部用户都可以访问公司Web Server,很快得出题目中(6)和(7)所分别对应的目的地址和目的端口分别是201.10.1.10(Web服务器公网IP地址)和80(WWW协议对应TCP 80端口)。
同时题干指出内网(192.168.1.0/24)可以访问Internet,并未涉及到某个具体的协议和端口号,很快得出题目中(8)和(9)所分别对应的目的地址和目的端口分别是any和any。
题干第三处描述允许Internet上特定主机202.110.1.100通过Telnet访问Web Server,很快得出题目中(10)和(11)所分别对应的目的地址和目的端口分别是201.10.1.10(Web服务器公网IP地址)和23(Telent协议对应TCP 23端口)。
题干最后描述语句Internet用户不能访问公司内部局域网很快得出题目中(12)的访问规则是拒绝。
【问题4】
此问考查的是ACL的书写规则。
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL,标准ACL书写格式:
access-list ACL号[permit|deny][定义过滤源主机范围]。
使用ACL标号100到199来创建扩展ACL,其书写格式:
access-list ACL号[permit|deny][协议][定义过滤源主机范围][定义过滤源端口][定义过滤目的主机访问][定义过滤目的端口]。
转载请注明原文地址:https://tihaiku.com/congyezige/2405621.html

最新回复(0)