2. 从业资格
  3. 某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。 图4

某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。 图4

admin2022-08-02  48
问题 某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。图4-1在防火墙上利用show命令杳询当前配置信息如下:PIX#show config…nameif eth0 outside security0nameif eth1 inside security100nameif eth2 dmz security40…fixup protocal ftp 21(1)fixup protocol http 80…ip address outside 61.144.51.42 255.255.255.248ip address inside 192.168.0.1?255.255.255.0ip address dmz 10.10.0.1?255.255.255.0…global(outside)1 61.144.51.46nat(inside)1 0.0.0.0?0.0.0.000…route outside 0.0.0.0 0.0.0.0 61.144.51.45 1(2)…【问题1】(4分)解释(1)、(2)处画线语句的含义。【问题2】(6分)根据配置信息,填写表4-1。【问题3】(2分)根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是(7)。【问题4】(3分)如果需要在dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。PIX(config)#static(dmz,outside)(8)(9)PIX(config)#conduit?permit?tcp?host(10)eq?www?any
选项
答案
解析 【问题1】(4分)
(1)启用ftp服务(2分)
(2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1(2分)
【问题2】(6分)
(3)192.168.0.1(1.5分)
(4)255.255.255.248(1.5分)
(5)eth2(1.5分)
(6)10.10.0.1(1.5分)
【问题3】(2分)
(7)61.144.51.46
【问题4】(3分)
(8)61.144.51.43(1分)
(9)10.10.0.100(1分)
(10)61.144.51.43(1分)
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是PIX防火墙要侦听的服务。见下面例子:
例:Pix525(config)#fixup?protocol?ftp?21
启用FTP协议,并指定FTP的端口号为21。
设置指向内网和外网的静态路由采用route命令:
定义一条静态路由。route命令配置语法:
route(if_name)0?0?gateway_ip[metric]
其中参数解释如下:
if_name表示接口名字,例如inside,outside;
Gateway_ip表示网关路由器的ip地址;
[metric]表示到gateway_ip的跳数,通常缺省是1。
例:Pix525(config)#route?outside?0?0?61.144.51.168?1
设置eth0口的默认路由,指向61.144.51.168,且跳步数为1。

防火墙通常具有一般有3个接口,使用防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网)。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
非军事区(DMZ,又称停火区)。是一个隔离的网络,或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许它们访问企业内部网络。
由配置信息,ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip address dmz 10.10.0.1 255.255.255.0
可知eth1的IP地址为192.168.0.1,eth0的IP地址为61.144.51.42,子网掩码为255.255.255.248,dmz接口的名称为eth2,IP地址为10.10.0.1。

Global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。
Global命令的配置语法:
global(if_name)nat_id?ip_address-ip_address[netmark?global_mask]
其中参数解释如下:
if_name表示外网接口名字,例如outside;
Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配;
ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围;
[netmark?global_mask]表示全局ip地址的网络掩码。
由配置命令:
global(outside)1 61.144.51.46
nat(inside)1 0.0.0.0 0.0.0.000
可以看出由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是61.144.51.46。

配置静态IP地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
static命令配置语法:
static(internal_if_nameexternal_if_name)outside_ip_address?inside_ip_address
其中参数解释如下:
internal_if_name表示内部网络接口,安全级别较高。如inside;
external_if_name为外部网络接口,安全级别较低。如outside等;
outside_ip_address为正在访问的较低安全级别的接口上的ip地址;
inside_ip_address为内部网络的本地ip地址。
例:Pix525(config)#static(inside,outside)61.144.51.62?192.168.0.8
表示IP地址为192.168.0.8的主机,对于通过PIX防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部IP地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
管道命令(conduit用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:
conduit?permit|deny?global_ip?port[-port]protocol?foreign_ip[netmask]
【参数说明】
permit|deny:允许|拒绝访问。
global_ip指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
转载请注明原文地址:https://tihaiku.com/congyezige/2406182.html
本试题收录于: 中级 网络工程师题库软件水平考试初中高级分类

中级 网络工程师

软件水平考试初中高级

相关试题推荐
随机试题
最新回复(0)