违法和不良信息举报 联系客服
免费注册 登录

阅读以下关于某硬件防火墙相关配置的技术说明,根据要求回答问题1至问题4。【说明】某单位在部署内部局域网时选用了一款硬件防火墙,该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等4个网络接口,支持Web

题目

阅读以下关于某硬件防火墙相关配置的技术说明,根据要求回答问题1至问题4。

【说明】

某单位在部署内部局域网时选用了一款硬件防火墙,该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等4个网络接口,支持Web界面、命令行等多种管理模式。该单位接入Internet部分的相关网络参数和网络拓扑结构如图3-7所示。

根据该单位防火墙与外部网络相关的网络连接参数,请将以下命令行中(1)~(4)空缺处的内容填写完整,以完成对防火墙相应的网络接口进行地址初始化的配置。

FireWall (config) ip address inside (1) (2)

FireWall (config) ip address outside (3) (4)

参考答案和解析
正确答案:(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252
(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252 解析:这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。
1)从图3-7所示的网络拓扑结构图中可以看出,该防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现物理上将内外网隔开。
2)在图3-7所示时网络拓扑图中,防火墙FireWall分别使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口,分别与外网、内网、DMZ区相连。
3)在对防火墙网络接口进行地址初始化配置时,“ip address inside”中的“inside”表示内部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知,(1)、(2)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。
4)同理,“ip address outside”中的“outside”表示外部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知,(3)、(4)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。
如果没有搜索结果或未解决您的问题,请直接 联系老师 获取答案。
相似问题和答案

第1题:

阅读以下说明,回答问题1至问题5。

【说明】

某企业的网络安装防火墙后其拓扑结构如图4-1所示。

为图4-1中(1)处选择合适的名称。 A.服务区 B.DMZ区 C.堡垒区 D.安全区


正确答案:(1)B或DMZ区
(1)B或DMZ区 解析:本问题考查的是防火墙的类型和基本结构。

在防火墙的设计和实施中目前使用最多的是屏蔽子网类防火墙。屏蔽子网系统是在内部网络与外部网络之间建立一个被隔离的子网,也称为非军事区(DMZ),用两台分组过滤路由器将这一子网分别与内部和外部网络分开。该系统进一步实现内部主机的安全性,内部网路和外部网路均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。因此,WWW和FTP等服务器一般放置于DMZ中。

第2题:

阅读以下说明,回答问题1-5,将答案填入答题纸对应的解答栏内。

[说明]

某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如下图所示。

防火墙包过滤规则的默认策略为拒绝,下表中给出了防火墙的包过滤规则。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在答题纸的相应位置。

(1)

A.允许 B.拒绝


正确答案:A
A

第3题:

阅读下列说明,回答问题1至问题5,将解答填入对应栏内。

【说明】

希赛IT教育研发中心在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如图3-1所示。

防火墙包过滤规则的默认策略为拒绝,表3-1给出防火墙的包过滤规则配置。若要。求内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在相应位置。

(1)备选答案:A.允许 B.拒绝

(2)备选答案:A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24

(3)备选答案:A.TCP B.UDP C.ICMP

(4)备选答案:A.E3→E2 B.E1→E3 C E1→E2


正确答案:(1)A (2)A (3)A (4)C
(1)A (2)A (3)A (4)C 解析:由于防火墙包过滤规则的默认策略为拒绝,因此就需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则,即(1)应该选择答案A(允许)。
根据题意,要使“内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器”,并设置好了目的地址和目的端口。其中内部所有主机显然是指区域C中的所有主机,因此是192.168.1.0网络,即(2)应该选择答案A(192.168.1.0/24):而访问Web服务器将使用HTTP协议,HTTP协议是基于TCP的,因此(3)应该选择答案A(TCP),而方向的源端显然是E1,而根据目标IP地址可知,它应该位于区域A,因此目标端应该是E2,因此(4)应该选择答案C(E1→E2)。

第4题:

阅读下列技术说明,根据要求回答问题。

[说明]

为了保障内部网络的安全,某公司在Internet的连接处安装了CiscoPIX525防火墙。该防火墙带有3个网络接口,其网络拓扑如图4-13所示。

在网络工程规划与设计过程中,选择防火墙之前应该考虑的因素有哪些?请用300字以内的文字简要回答。


正确答案:

①预算方面的考虑。网络环境中的每个防火墙应该在保持经济、有效的同时提供尽可能高级别的服务,但是如果防火墙过分受成本限制,则可能会对企业造成潜在的损失。例如,考虑网络服务因遭受拒绝服务攻击而被中断时的停机时间成本。
②现有设备的考察。主要考虑企事业单位中是否有可利用的现有设备。例如,是否有可以重新利用的防火墙,是否有可以安装防火墙功能模块的路由器。
⑧可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用、如何减少防火墙的故障修复时间、是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。
④可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口。当企事业单位网络需要增加新的网络出口时,防火墙是否能通过增加模块来支持更多的接口;当网络流量快速增长时,防火墙会不会成为网络的瓶颈。此类利于未来发展的需求也应纳入可扩展性的考虑范畴。
⑤所需功能的考虑。主要是指需要哪一种具体的防火墙功能。例如,是否支持防御DoS/DDoS,是否支持VPN,是否支持SNMPv3,能否保护特定主机的特定服务等。

第5题:

认真阅读下列关于计算机网络防火墙的说明信息,回答问题1~5。将答案填入对应的解答栏内。

[说明] 某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。

完成下列命令行,对网络接口进行地址初始化配置:

firewall(config)ip address inside (1) (2)

firewall(config)ip address outside (3) (4)

(1)


正确答案:192.168.0.1
192.168.0.1

第6题:

阅读以下说明,回答问题1至问题5。

[说明]

某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑结构如下图所示。

防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址为202.117.118.23的Web服务器,为图中(1)~(4)空缺处选择正确答案。

(1)A.允许 B.拒绝

(2)A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24

(3)A.TCP B.UDP C.ICMP

(4)A.E3→E2 B.E1→E3 C.E1→E2


正确答案:(1)A(或允许)(2)A(或192.168.1.0/24) (3)A(或TCP)(4)C(或E1→E2)
(1)A(或允许)(2)A(或192.168.1.0/24) (3)A(或TCP)(4)C(或E1→E2) 解析:本题考查的是目前通过部署防火墙来进行网路边界防护的技术。通常情况下,防火墙把网络分割为内网、外网和DMZ三个网络区域,其中DMZ区主要部署对外提供服务的服务器。防火墙基于内部的安全规则来经由它的流量进行控制,典型的,有包过滤规则和NAT规则。
防火墙往往支持应用代理,最常用的是HTTP代理,提供WWW缓存功能。
NAT和HTTP代理两种技术的区别可以从协议层次上进行把握,NAT基于网络层实现,而HTTP代理工作在应用层。

第7题:

某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有3个以太网络接口,其网络拓扑如下图所示。

(1)防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。若要求

内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中

【1】~【4】选择正确答案。

【1】备选答案:A)允许 B)拒绝

【2】备选答案:A)192.168.1.0/24 B)211.156.169.6/30 C)202.177.118.23/24

【3】备选答案:A) TCP B)UDP C)ICMP

【4】备选答案:A)E3->E2 B)El->E3 C)El->E2


正确答案:

(1)【1】A)【2】A) 【3】A) 【4】C)
【解析】包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。要求所有主机访问外部,所以策略位“允许”;主机处于局域网,局域网转换接口 E1:192.168.1.1/24的起始地址为192.168.1.0/24;局域网中的主机访问外网的方向为El到E2,利用IE浏览器访问Web浏览器,所用协议应为TCP。

第8题:

阅读以下关于硬件防火墙配置的技术说明,根据要求回答问题1~问题5。

【说明】

某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有3个网络接口,其网络拓扑如图7-9所示。

防火墙包过滤规则的默认策略为拒绝,图7-10给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为图7-10中(1)~(4)空缺处选择正确答案。

(1) A.允许 B.拒绝

(2) A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24

(3) A.TCP B.UDP C.ICMP

(4) A.E3→E2 B.E1→E3 C.E1→E2


正确答案:(1) A或允许 (2) A或192.168.1.0/2.4 (3) A或TCP (4) C或E1→E2
(1) A,或允许 (2) A,或192.168.1.0/2.4 (3) A,或TCP (4) C,或E1→E2 解析:这是一道要求读者掌握防火墙包过滤规则策略配置的分析理解题。本题的解答步骤如下。
①由试题中给出的关键信息“要求内部所有主机能……访问外部IP地址202.117.118.23的Web服务器”中,“能……访问”说明序号为1的包过滤规则策略为“允许”,即(1)空缺处的正确答案是选项A。
②试题中给出的关键信息“要求内部所有主机能……访问外部Ⅲ地址202.117.118.23的Web服务器”中的“内部所有主机”是指图7-9拓扑图中对应于区域C的计算机。由于防火墙与区域C相连接的接口 IP地址为192.168.1.1/24,其中“/24”表示子网掩码为255.255.255.0。因此区域C的网络组成的网段地址为192.168.1.0/24,即(2)空缺处应填入区域C的网段地址(192.168.1.0/24)。
③通常Web服务器是使用TCP/IP协议簇中的HTTP协议提供服务的,而HTTP协议是一个传输层基于TCP协议的应用层协议,因此(3)空缺处的“协议”应选择“TCP”。
④同理,由试题的关键信息“要求内部所有主机能……访问外部IP地址202.117.118.23的Web服务器”可知,该包过滤规则的控制方向是控制内部局域网传输给Internet网的IP包,即从防火墙的“E1”端口流入、“E2”端口流出的D数据包,因此(4)空缺处的“方向”应选择“E1→E2”。

第9题:

请认真阅读下列有关计算机网络防火墙的说明信息,回答问题1~5。

[说明]

某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。

完成下列命令行,对网络接口进行地址初始化的配置:

firewall(config)ip address inside(1)(2)

fnrewall(config)ip address outside(3)(4)


正确答案:(1)192.168.0.1(2)255.255.255.0 (3)202.117.12.37(4)255.255.255.252
(1)192.168.0.1(2)255.255.255.0 (3)202.117.12.37(4)255.255.255.252 解析:本题测试防火墙有关参数及安全规则配置的知识。
从原题给出的网络连接图可以看出,这里的防火墙是基于访问控制策略而设立在内外网络之间的一种安全保护机制,在防火墙上装有两块配置不同网络IP地址的网卡,位于内外网络之间,并分别与内外网络相连,实现了在物理.上将内外网络隔开。此处的防火墙系统就是一个多端口的IP路由器,实现内外两个网络的跨网段访问。同时它还能够拦截和检查所有出站和进站的数据,它首先打开IP包,取出包头,根据包头的信息(如 IP源地址,IP目标地址)确定该包是否符合包过滤规则(如对包头进行语法分析,阻止或允许包传输或接收),并进行记录。对于符合规则的包,则进行转发,否则应报警并丢弃该包。
防火墙还实现了NAT (NetworkAddressTranslation)网络地址转换功能,利用NAT技术,可以使内部局域网中多台计算机通过共享一个出口IP地址访问外部网络。通常情况下,是将内部的一个子网内的IP地址段通过配置命令进行地址转换,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。在配置防火墙的IP地址转换规则时,如果要求转换所有IP地址则使用如下的命令语句:
firewall(config)#nat (outside) 1 0.0.0.0 0.0.0.0
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施:三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,大量的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严、安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
在防火墙上制定的访问安全控制规则可以是基于某个特定协议的,如FTP,HTTP等。防火墙根据事先设定的访问控制规则来监控进出网络的数据信息,只允许那些符合安全规则的信息出入。这些功能都是通过ACL(access-control-list)访问控制列表实现的。ACL是应用于IP地址和上层IP协议的允许和拒绝条件的一个有序集合。
标准IP访问控制列表语法:
access-list access-list-number {permit|deny} source destination [log]
其中默认的源和目的为IP地址,如果要具体到端口号,则需指明关键字“tcp”。另外源和目的还可以使用通配符,如“any”表示“所有的”或“任意的”。如:
ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80
定义了一个编号为101,协议类型为TCP,源地址为“任意”,端口号等于80,访问目的地址为10.0.0.0/24的网络的数据包允许通过的访问控制列表。
下面是上一个访问控制列表的反向访问控制列表:
ip access-list 102 permit tcp 10.0.0.0 255.255.255.0 any eq 80

相关内容