违法和不良信息举报 联系客服
免费注册 登录

如图4-1所示,要求在防火墙上配置ACL允许所有Internet主机访问DMZ中的 Web服务器,请补充完成ACL规

题目

如图4-1所示,要求在防火墙上配置ACL允许所有Internet主机访问DMZ中的 Web服务器,请补充完成ACL规则300。

access-list 300 permit tcp (11) host 10.0.0.10 eq (12)

如果没有搜索结果或未解决您的问题,请直接 联系老师 获取答案。
相似问题和答案

第1题:

阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】 某公司的网络拓扑结构图如图3-1所示为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻 辑隔离,其网络结构如图2-1所示。 包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为( 1 )的ACL根据IP报文 的( 2 )域进行过滤,称为( 3 );编号为( 4 )的ACL根据IP报文中的更多域对数据包进行 控制,称为( 5 )。
A.标准访问控制列 B.扩展访问控制列表
C.基于时间的访问控制列表 D.1-99E.0-99 F.100-199 G.目的的IP地址H.源IP地址 I.源端口 J.目的端口



如图2-1所示,防头墙的三个端口,端口⑥是( )、端口⑦是( ) 、端口⑧是( )。从下列选项中选择。A.外部网络 B.内部网络 C.非军事区
公司内部IP地址分配如下



1.为保护内网安全,防火墙的安全配置要求如下
(1)内外网用户均可访问 Web服务器,特定主机200.120.100.1可以通过Telnet访问Web服务器。(2)禁止外网用户访问财务服务器,禁止财务部门访问Internet,允许生产部门和行政部门访问Internet。根据以上需求,请按照防火墙的最小特权原则补充完成表2-2:



2.若调换上面配置中的第 3条和第4条规则的顺序,则( )A.安全规则不发生变化 B.财务服务器将受到安全威胁 C.Web服务器将受到安全威胁D.内网用户将无法访问Intemet
3.在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则?


答案:
解析:
(1)D (2)H (3)A (4)F (5)B
(6)A (7)C (8)B
1.(9)10.10.200.1 (10)80 (11)200.120.100.1(12)23(13)192.168.10.0/23 (14)允许(15)拒绝 2. D 3 . 实现了禁止外网用户访问服务器的规则

第2题:

某组网拓扑如图 1-1 所示,网络接口规划如表 1-1 所示,vlan 规划如 表 1-2 所示,网络部分需求如下: 1.交换机 SwitchA,作为有线终端的网关,同时作为 DHCP Server,为 无线终端和有线终端分配 IP 地址,同时配置 ACL 控制不同用户的访 问权限,控制摄像头(camera 区域)只能跟 DMZ 区域服务器互访, 无线访客禁止访问业务服务器区和员工有线网络。 2.各接入交换机的接口加入 VLAN,流量进行二层转发。 3.出口防火墙上配置 NAT 功能,用于公网和私网地址转换:配置安全 策略,控制 Internet 的访问,例如摄像头流量无需访问外网,但可以 和 DMZ 区域的服务器互访:配置 NATServer 使 DMZ 区的 WEB 服务器 开放给公网访问。



问题:1.1 (4 分)
补充防火墙数据规划表 1-3 内容中的空缺项

补防火墙区域说明:防火墙 GE1/0/2 接口连接 dmz 区,防火墙 GE1/0/1 接口连接非安全区域,防火墙 GE1/0/0 接口连接安全区域:srcip 表示 内网区域。
问题:1.2 补充 SwichA 数据规划表 1-4 内容中的空缺项。


答案:
解析:
1、10.106.1.0/24
2、any 或-或 0.0.0.0/0
3、10.101.1.0/0.0.0.255
4、10.103.1.0/0.0.0.255
5、允许
6、10.104.1.0/0.0.0.255
7、10.101.1.0 255.255.255.0
8、10.104.1.1 255.255255.0
9、10.107.1.2
10、10.100.1.1

第3题:

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。 【说明】 某企业的网络结构如图2-1所示。 该企业通过一台路由器接入到互联网,企业内部按照功能的不同分为6个VLAN。分别是网络设备与网管(VLAN1)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6)。



【问题1】(7分) 1.访问控制列表ACL是控制网络访问的基本手段,它可以限制网络流量,提高网络性能。 ACL使用(1) 技术来达到访问控制目的。 ACL分为标准ACL和扩展ACL两种,标准访问控制列表的编号为(2)和1300-1999之间的数字,标准访问控制列表只使用(3)进行过滤,扩展的ACL的编号使用(4)以及2000~2699之间的数字。 2.每一个正确的访问列表都至少应该有一条 (5)语句,具有严格限制条件的语句应放在访问列表所有语句的最上面,在靠近(6)的网络接口上设置扩展ACL,在靠近(7)的网络接口上设置标准ACL。



【问题2】(5分) 网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其它用户都不允许进 行telnet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。



【问题3】(4分) 该企业要求在上班时间内(9:00-18:00)禁止内部员工浏览网页(TCP80和TCP 443端口),禁止使用QQ(TCP/UDP 8000)端口以及(UDP 4000)和MSN (TCP 1863端口)。另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除过上述限制外。在任何时间都允许以其它方式访问Internet为了防止利用代理服务访问外网, 要求对常用的代理服务端口TCP 8080、TCP3128和TCP1080也进行限制。按照要求补充完成(或解释)以下配置命令。



【问题4】(4分) 企业要求市场和研发部门不能访问财务部VLan中的数据库,但是财务部门做为公司的核心管理部门,又必须能访问到市场和研发部门Vlan内的数据。按照要求补充完成(或解释)以下配置命




答案:
解析:
答案:1.包过滤,2.1-99,3.数据报源地址,4.100-199 5.允许或者permit 6.源 7.目标
(8)10.1.6.66 ( 9)vty ( 10)in ( 11)10.1.6.33 ( 12)10.1.6.0
答案:13:9:00 to 18:00 14:禁止10.1.0.0 的主机在工作
日9:00-18:00浏览网页,15:禁止员工工作时间使用MSN
答案:17:vlan 4 18: 10.1.4.0 0.0.0.255 19: vlan 6 20:vlan 5 (19-20可交换)

第4题:

阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。

【说明】

某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。

防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。

【问题1】(6分,每空1分)

防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。

如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)

【问题2】(3分,每空1分)

如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。

(注:表4-4策略在表4-2之前生效)

问题3】(4分,每空1分)

如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充

完成表4-5的策略。(注:表4-5策略在表4-2之前生效)

【问题4】(2分,每空1分)

如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)


答案:
解析:
【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP
【解析】




解析:

【问题1】 (6分)

正如题干所描述的,防火墙默认配置允许内网访外网和DMZ,但不允许外网访问内网和DMZ,这样的配置从安全角度来说无可厚非,但从应用角度来说就不合适了。DMZ中的web、mail服务器是需要发布到出去的,换言之是要允许外网的用户访问的,所以为了实现这一点,我们需要额外添加访问规则允许外网访问DMZ中web和mail服务器,而且添加的规则一定要在防火墙默认规则之前生效,基于这一点,我们在表4-3中添加的规则就比较容易了。允许外网访问
web和mail服务器,那么其流量源就是外部地址,用any来表示,那么流量目的地就是DMZ区域的web和mail服务器地址,其流量的方向是E2--->E1,对应的ip地址分别是192.168.2.2、192.168.2.3,对应的目的端口分别是TCP 80、TCP 25,对应的协议分别是HTTP、SMTP,给予的工作都是允许,故(1)~(6)的答案是:
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
要禁止内网访问internet上202.10.20.30的FTP服务,其流量方向为E0-->E2,源地址192.168.1.0/24,源端口是随机端口,所以是any,给予的动作是禁止,目的地址为202.10.20.30,目的端口是21,所以(7)~(9)答案为:
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,在添加规则的时候一定是先处理特权流量,再处理范围流量。根据题意,是允许
PC1访问219.16.17.18的web服务,但拒绝192.168.1.0/24网络其他主机访问219.16.17.18的web服务。所以在写规则的时候先要添加针对于PC1访问219.16.17.18的web服务给予允许规则,在添加对于192.168.1.0/24访问219.16.17.18的web服务给予禁止规则,由此得到(10)~(13)的答案是:
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
结合前面几个问题的分析和解答,不难得出这道题的答案为:
(14) 192.168.2.2
(15) ICMP

第5题:

试题四(15分)

阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。

【说明】

某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。

防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。

【问题1】(6分,每空1分)

防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。

如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)

【问题2】(3分,每空1分)

如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。

(注:表4-4策略在表4-2之前生效)

【问题3】(4分,每空1分)

如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充

完成表4-5的策略。(注:表4-5策略在表4-2之前生效)

【问题4】(2分,每空1分)

如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)


正确答案:

【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP

第6题:

试题四(共15分)

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。

【说明】

某公司通过 PIX 防火墙接入 Internet,网络拓扑如图4-1所示。

在防火墙上利用show命令查询当前配置信息如下:

PIXshow config

nameif eth0 outside security0

nameif eth1 inside security100

nameif eth2 dmz security40

fixup protocol ftp 21 (1)

fixup protocol http 80

ip address outside 61.144.51.42 255.255.255.248

ip address inside 192.168.0.1 255.255.255.0

ip address dmz 10.10.0.1 255.255.255.0

global (outside) 1 61.144.51.46

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 (2)

【问题1】(4分)

解释(1) 、(2)处画线语句的含义。

【问题2】(6分)

根据配置信息,填写表4-1。

【问题3】(2分)

根据所显示的配置信息,由 inside 域发往 Internet 的 IP 分组,在到达路由器 R1 时

的源IP地址是 (7) 。

【问题4】(3分)

如果需要在dmz 域的服务器(IP地址为 10.10.0.100)对Internet用户提供 Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。

PIX(config)static (dmz, outside) (8) (9)

PIX(config)conduit permit tcp host (10) eq www any


正确答案:
试题四分析该试题考查PIX防火墙的配置。【问题1】~【问题3】使用showconfig命令得到的配置信息解释如下:nameifeth0outsidesecurity0//eth0接口的名称为outside,安全级别为0nameifeth1insidesecurity100//eth1接口的名称为inside,安全级别为100nameifeth2dmzsecurity40//eth2接口的名称为dmz,安全级别为40…fixupprotocolftp21//启用ftp协议并使用21端日fixupprotocolhttp80//启用http协议并使用80端口…ipaddressoutside61.144.51.42255.255.255.248//outside接口的IP为61.144.51.42,子网掩码为255.255.25.248ipaddressinside192.168.0.1255.255.255.0//inside接口的IP为192.168.0.1,子网掩码为255.255.255.0ipaddressdmz10.10.0.1255.255.255.0//dmz接口的IP为10.10.0.1,子网掩码为255.255.255.0…global(outside)161.144.51.46//发往outside的数据包IP为61.144.51.46nat(inside)10.0.0.00.0.0.000//inside所有IP都可以访问outsiderouteoutside0.0.0.00.0.0.061.144.51.451//outside默认路由指向61.144.51.45【问题4】static命令的语法如下:static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address根据static命令的语法,空(8)应该填对outside公开的IP地址61.144.51.43,空(9)应该填dmz域服务器的IP地址10.10.0.100。conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口conduit命令的语法如下:condultpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]根据conduit命令的语法,空(10)应该填Web服务对外公开的IP地址61.144.51.43。试题四参考答案(共15分)【问题1】(4分)(1)启用ftp服务(2分)(2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1(2分)【问题2】(6分)(3)192.168.0.1(1.5分)(4)255.255.255.248(1.5分)(5)eth2(1.5分)(6)10.10.0.1(1.5分)【问题3】(2分)(7)61.144.51.46【问题4】(3分)(8)61.144.51.43(1分)(9)10.10.0.100(1分)(10)61.144.51.43(1分)

第7题:

如图4-1所示,要求在防火墙上通过ACL配置,允许在inside区域除工作站PC1外的所有主机都能访问Internet,请补充完成ACL规则200。

access-list 200 (9) host 192.168.46.10 any

access-list 200 (10) 192.168.46.0 0.0.0.255 any


正确答案:deny permit
deny permit 解析:两条ACL语句应该为允许192.168.46.0子网的所有数据包通过,但拒绝192.168.46.10的数据包,所以(9)为deny,(10)为permit。

第8题:

如果需要在dmz域的服务器(IP地址为l0.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。PIX(config)static(dmz,outside)(8)(9)PIX(config)conduit permit tcp host(10)eq WWW any


正确答案:(8)61.144.51.43 (9)l0.10.0.100 (10)61.144.51.43
(8)61.144.51.43 (9)l0.10.0.100 (10)61.144.51.43 解析:static命令配置语法:static(internal_if_name,external_if_name)outside_ip_address inside_ip_address,其中internal_if_name表示内部网络接口,安全级别较高,如in-side。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址,inside_ip_address为内部网络的本地ip地址。
conduit permit I deny global_ip port<-port>protocol foreign_ippermit I deny允许I拒绝访问global_ip指的是先前由global或static命令定义的全局IP地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。port指的是服务所作用的端口,例如WWW使用80,smtp使用25等,我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议,比如TCP、uDP、ICMP等。foreign_jp表示可访问global_ip的外部IP。对于任意主机,可以用any表示。如。foreign_ip是一台主机,就用host命令参数。

第9题:

【问题4】(3分)

如果需要在dmz 域的服务器(IP地址为10.10.0.100)对Internet用户提供 Web服务(对外公开 IP地址为61.144.51.43),请补充完成下列配置命令。

PIX(config)#static (dmz, outside) (8) (9)

PIX(config)#conduit permit tcp host (10) eq www any


正确答案:
(8)61.144.51.43       (1分)
(9)10.10.0.100        (1分)
(10)61.144.51.43       (1分)

相关内容