违法和不良信息举报 联系客服
免费注册 登录

试述禁止权限语句DENY的作用。

题目

试述禁止权限语句DENY的作用。

参考答案和解析
正确答案:禁止权限语句DENY的作用是禁止用户从角色继承指定的权限。
如果没有搜索结果或未解决您的问题,请直接 联系老师 获取答案。
相似问题和答案

第1题:

以下的访问控制列表中,(51)禁止所有Telnet访问子网10.10.1.0/24。

A.access-list 15 deny telnet any 10.10.1.0 0.0.0.255 eq 23

B.access-list 115 deny udp any 10.10.1.0 eq telnet

C.access-list 115 deny top any 10.10.1.0 0.0.0.255 eq 23

D.access-list 15 deny udp any 10.10.1.0 255.255.255.0 eq 23


正确答案:C
解析:根据对数据包的检查过程,ACL分为两种。
  . 标准ACL:只检查网络层协议数据单元,根据源地址来过滤数据包,标准ACL的编号为1~99,执行过程如下图所示。
 
  . 扩展ACL:根据网络层的源地址和目标地址、以及传输层信息(协议,端口号等)检查数据包,比标准ACL更灵活。例如,可以允许FTP访问通过,而不允许Telnet通过。扩展ACL的编号为100~199,其执行过程下图所示。
 
  答案C是一条扩展ACL语句,由于Telnet的UDP端口号是23,按照ACL的语法,这条语句禁止 Telnet 访问子网10.10.1.0/24。注意,在ACL语句中使用了反掩码 255.255.255.0。

第2题:

在图8-5所示的Internet接入拓扑结构中,定义一条规则号为104,禁止内部所有主机访问外部IP地址段为202.117.12.0/24的Web服务器。完成此访问控制规则配置任务的语句是(50)。

A.access-list 104 deny tcp 202.197.12.0 255.255.255.0 any eq www

B.access-list 104 deny tcp 192.168.0.254 255.255.0 202.197.12.0 255.255.255.0 eq 80

C.access-list 104 deny tcp any 202.197.12.0 0.0.0.255 eq www

D.access-list 104 deny tcp 192.168.0.0 0.0.0.255 202.197.12.0 255.255.255.0 eq 80


正确答案:C
解析:这是一道要求完成扩展的IP访问控制列表配置信息的试题,其答题基础是熟练掌握扩展的IP访问控制列表中各个关键字的含义。定义一条规则号为104,禁止内部所有主机不能访问外部IP地址段为202.117.12.0/24的Web服务器的访问控制规则语句是:access-list104denytcpany202.197.12.00.0.0.255eqwww。其中,“access-list”是配置ACL的关键字:“104”是扩展访问控制列表的表号;“deny”关键字表示禁止(不允许);通常Web服务器在TCP/IP协议族的应用层使用HTTP协议,因此“tcp”表示对HTTP协议基于的传输层TCP协议进行控制;“any”关键字表示内部所有主机;“202.197.12.00.0.0.255”表示外部IP地址段202.117.12.0/24,注意目的地址通配符屏蔽码与子网掩码的方式刚好相反;“eq”表示等于的关系;“80”是众所周知的提供Web服务的TCP端口,也可以用“www”表示。

第3题:

以下的访问控制列表中,(37)语句用于禁止所有Telnet访问子网192.168.10.0/24。

A.access-list 15 deny telnet any 192.168.10.0 0.0.0.255 eq 23

B.access-listl 15 deny udp any 192.168.10.0 eq telnet

C.access-list 1 15 deny tcp any 192.168.10.0 0.0.0.255 eq 23

D.access-list 15 deny udp any 192.168.10.0 255.255.255.0 eq 23


正确答案:C
解析:这是一条扩展ACL语句,注意语句中要使用反向掩码。另外telnet使用的是TCP23端口。因此,禁止所有Telnet访问子网192.168.10.0/24的配置命令是access-list115denytcpany192.168.10.00.0.0.255eq23。

第4题:

你对一个文件拥有读权限,你还属于三个组:1组拥有完全控制权限,2组有删除权限,3组有DENY属性。那么你对这个文件的最终权限是()


正确答案:不能访问

第5题:

下面ACL语句中,表达“禁止外网和内网之间互相ping”的是( )。

A.access-list 101 permit any any
B.access-list 101 permit icmp any any
C.access-list 101 deny any any
D.access-list 101 deny icmp any any

答案:D
解析:
访问控制列表(Access Control Lists,ACL)是目前使用最多的访问控制实现技术。访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。访问控制列表可以分为标准访问控制列表和扩展访问控制列表。ACL的默认执行顺序是自上而下,在配置时要遵循最小特权原则、最靠近受控对象原则及默认丢弃原则。

通用扩展访问控制列表配置:

Router> enable

Router # config terminal 准备进入全局配置模式

Router(config)# access-list access-list_num {permit|deny} IP_protocol source_ip source_wildcard_mask destionation_ip destionation_wildcard_mask

access-list_num取值为100~199,permit表示允许,deny表示拒绝

IP_protocol包括IP、ICMP、TCP、GRE、UDP、IGRP、EIGRP、IGMP、NOS、OSPF

source_ip source_wildcard_mask表示源地址及其反掩码

destionation_ip destionation _wildcard_mask表示目的地址及其反掩码

由于题目拒绝外网和内网之间互相ping,ping用的是ICMP的协议,所以access-list 101 deny icmp any any

第6题:

以下的访问控制列表中,(54)语句用于禁止所有对子网192.168.10.0/24的Telnet访问。

A.access-list 15 deny telnet any 192.168.10.00.0.0.255 eq 23

B.access-listl 15 deny udp any 192.168.10.0eq telnet

C.access-list 1 15 deny tcp any 192.168.10.00.0.0.255eq23

D.access-list 15 deny udp any 192.168.10.0255.255.255.0 eq 23


正确答案:C
解析:这是一条扩展ACL语句,注意语句中要使用反向掩码。另外Telnet使用的是TCP23端口。因此,禁止所有对子网192.168.10.0/24的Telnet访问的配置命令是选项C的access-list115denytcpany192.168.10.00.0.0.255eq23。

第7题:

每一个访问控制列表(ACL)最后都隐含着一条 (57) 语句。

A.deny any

B.deny all

C.permit any

D.permit all


正确答案:A
出于安全性考虑,ACL的默认动作是拒绝(ImplicitDeny),即在ACL中没有找到匹配的语句时分组将被拒绝通过,这相当于在列表最后有一个隐含语句拒绝了所有的通信(denyany)。由此引申出的一条规则是:每一个ACL至少要有一条“允许”语句,否则只有“拒绝”语句的ACL将丢弃所有的分组。

第8题:

为了过滤数据包,需要配置访问控制列表(ACL),规定什么样的数据包可以通过,什么样的数据包不能通过。ACL规则由多条permit或deny语句组成,语句的匹配顺序是从上到下。

语句access-list 1 deny any any的含义是(4),该语句一般位于ACL规则的最后。

语句access-list 100 permit tcp any host222.134.135.99eq ftp的含义是(5)。


正确答案:过滤所有数据包(或禁止所有数据包通过防火墙) 允许任意主机访问222.134.135.99的FTP服务
过滤所有数据包(或禁止所有数据包通过防火墙) 允许任意主机访问222.134.135.99的FTP服务 解析:考查访问控制列表(ACL),ACL根据源地址、目标地址、源端口或目标端口等协议信息对数据包进行过滤,从而达到访问控制的目地。ACL分为标准和扩展两种类型:标准ACL只能根据分组中的IP源地址进行过滤,扩张ACL不但可以根据源地址或目标地址进行过滤,还可以根据不同的上层协议和协议信息进行过滤。
标准ACL的语法格式为:
Router (config) #access-list access-list-number {permit | deny} source
[source-wildcard] [log]
扩展ACL的语法格式为:
Router (config) # access-list access-list-number {permit | deny} protocol
[sourc-e source-wildcard destination destination-wildcard] [operator
port] [established] [log]
access-list 1 deny any any是一条标准ACL语句,deny表明禁止,any匹配任何地址。
所以这条语句的含义是禁止所有IP数据包通过。
access-list 100 permit tcp any host222.134.135.99eq ftp是一条扩展ACL语句,permit表示允许,协议为tcp,any匹配任何地址,host 222.134.134.99匹配主机地址222.134.134.99.eq ftp 表示协议端口号与FTP服务端口号相同。所以这条语句的含义是允许任意主机访问222.134.135.99的FTP服务。

第9题:

每一个访问控制列表(ACL)最后都隐含着一条( )语句。

A.deny any
B.deny all
C.permit any
D.permit all

答案:A
解析:

第10题:

试述在REVOKE语句中GRANT OPTION FOR子句和CASCADE子句的作用。


正确答案:GRANT OPTION FOR说明只收回WITH GRANT OPTION权限;CASCADE说明级联收回由于WITH GRANT OPTION授予的所有权限。GRANT OPTION FOR要与CASCADE一同使用,因为要收回WITH GRANT OPTION权限,也应该一同收回由于该子句产生的所有授权。

更多相关问题
相关内容