某公司的网络拓扑结构图如图2-1所示 【问题1】(共5分) 为了保障网络

资格题库2022-08-02  41

问题 某公司的网络拓扑结构图如图2-1所示【问题1】(共5分)为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻辑隔离,其网络结构如图2-1所示。包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为(1)的ACL根据IP报文的(2)域进行过滤,称为(3);编号为(4)的ACL根据IP报文中的更多域对数据包进行控制,称为(5)。(1)~(5)备选项:A.标准访问控制列表B.扩展访问控制列表C.基于时间的访问控制列表D.1-99E.0-99?F.100-199G.目的的IP地址H.源IP地址I.源端口J.目的端口【问题2】(共6分)如图2-1所示,防头墙的三个端口,端口⑥是(6)、端口⑦是(7)、端口⑧是(8)。(6)~(8)是备选项A.外部网络B.内部网络C.非军事区【问题3】(共9分)公司内部IP地址分配如下表2-11.为保护内网安全,防火墙的安全配置要求如下(1)内外网用户均可访问Web服务器,特定主机200.120.100.1可以通过Telnet访问Web服务器。(2)禁止外网用户访问财务服务器,禁止财务部门访问Internet,允许生产部门和行政部门访问Internet。根据以上需求,请按照防火墙的最小特权原则补充完成表2-2:表2-22.若调换上面配置中的第3条和第4条规则的顺序,则(16)(16)备选项:A.安全规则不发生变化B.财务服务器将受到安全威胁C.Web服务器将受到安全威胁D.内网用户将无法访问Intrnet3.在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则?

选项

答案

解析 【问题1】
(1)D
(2)H
(3)A
(4)F
(5)B
【问题2】
(6)A
(7)C
(8)B
【问题3】
(9)10.10.200.1
(10)80
(11)200.120.100.1
(12)23
(13)192.168.10.0/23
(14)允许
(15)拒绝
(16)D
(17)已经实现,除开允许的,其余均已经禁止
【问题1】
访问控制列表用来限制使用者或设备,达到控制网络流量,解决拥塞,提高安全性等。在IP网络中,可以使用的访问列表有标准访问列表(值为1~99、1300-1999)、扩展访问列表(标号为100~199、2000-2699)两种。
标准访问列表:基于源IP地址进行判定是否允许或拒绝数据包通过。
扩展的访问列表是在标准访问列表的基础上增加更高层次的控制,它能够基于目的地址、端口号码、协议来控制数据包。
【问题2】
防火墙通常具有至少3个接口,使用防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网)。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
非军事区(DMZ,又称停火区)。是一个隔离的网络,或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许它们访问企业内部网络。
【问题3】
配置略,请查看答案。
访问控制列表就是用来在路由技术的网络中,决定这些数据流量是应该被转发还是被丢弃的技术。同时访问控制列表成为实现防火墙实现的重要手段。
设置ACL的一些规则:
1,按顺序进行比较,先比较第一行,再比较第二行,直到最后一行;
2,从第一行起,直到找到1个符号条件的行;符合之后,其余的行就可以不用继续比较下去;
3,默认在每个ACL中最后一行都隐藏有拒绝所有,如果之前没找到一条允许(permit)语句,意味着包将会被丢弃,所以每个ACL必须至少有一行Permit语句,除非用户想把所有的数据包丢弃。
如果3、4条规则顺序交换,会导致内网用户无法访问互联网。
另外禁止外网访问财务服务器已经实现,因为配置中除开允许的,其余均已经禁止
转载请注明原文地址:https://tihaiku.com/congyezige/2406463.html

最新回复(0)