列表

详情

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。 
【说明】
某公司采用 100M 宽带接入 Internet,公司内部有 15 台 PC 机,要求都能够上网。另外有 2 台服务器对外分别提供 Web 和 E-mail 服务,采用防火墙接入公网,拓扑结构如图4-1所示。 
 
图 4-1

【问题1】(2分) 
如果防火墙采用NAPT 技术,则该单位至少需要申请(1)个可用的公网地址。 
【问题2】(3分) 
下面是防火墙接口的配置命令: 
fire(config)# ip address outside 202.134.135.98 255.255.255.252   
fire(config)# ip address inside 192.168.46.1 255.255.255.0   
fire(config)# ip address dmz 10.0.0.1 255.255.255.0 
根据以上配置,写出图4-1中防火墙各个端口的IP 地址: 
e0: (2)   
e1: (3)   
e2: (4)   
【问题3】(4分) 
1.ACL 默认执行顺序是 (5) ,在配置时要遵循 (6) 原则、最靠近受控对象原则、以及默认丢弃原则。 
(5)、(6)备选项 
(A)最大特权  (B)最小特权  (C)随机选取   
(D)自左到右  (E)自上而下  (F)自下而上   
2.要禁止内网中IP 地址为198.168.46.8的PC机访问外网,正确的ACL规则是(7)  
(A)access-list 1 permit ip 192.168.46.0 0.0.0.255 any   
access-list 1 deny ip host 198.168.46.8 any   
(B)access-list 1 permit ip host 198.168.46.8 any   
access-list 1 deny ip 192.168.46.0 0.0.0.255 any   
(C)access-list 1 deny ip 192.168.46.0 0.0.0.255 any 
access-list 1 permit ip host 198.168.46.8 any 
(D)access-list 1 deny ip host 198.168.46.8 any   
access-list 1 permit ip 192.168.46.0 0.0.0.255 any 
【问题4】(6分) 
下面是在防火墙中的部分配置命令,请解释其含义: 
global (outside) 1 202.134.135.98-202.134.135.100  (8)   
conduit permit tcp host 202.134.135.99 eq www any  (9) 
access-list 10 permit ip any any(10) 

参考答案:

【问题1】(2分)
(1)1
【问题2】(3分)
(2)192.168.46.1
(3)202.134.135.98
(4)10.0.0.1   
【问题3】(4分)
(5)(E)自上而下
(6)(B)最小特权
(7)(D)access-list 1 deny ip host 198.168.46.8 any 
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
【问题4】(6分)
(8)指定外网口IP地址范围为202.134.135.98-202.134.135.100
(9)允许任意外网主机访问202.134.135.99提供的WWW服务
(10)允许任意IP数据包进出

详细解析:

【问题1】
网络地址和端口翻译(NAPT)是一种特殊的NAT应用,它是M:1的翻译,即用一个公有IP地址将子网中的所有主机的IP地址都隐藏起来。如果子网中有多个主机要同时通信,那么还要对端口号进行翻译,所以也称为网络地址和端口翻译(NAPT)。该方法的特点是:
·出去的数据包源地址被路由器的外部地址代替,而源端口号则被一个还未使用的伪装端口号代替。
·进来的数据包的目标地址是路由器的IP地址,目标地址是其伪装端口号,由路由器进行翻译。
如果防火墙采用NAPT 技术,则该单位至少需要申请1个可用的公网地址即可。
【问题2】
本题考查的比较简单,要求根据配置信息来进行分析。配置防火墙内、外部网卡IP的命令如下:
IP address [inside|outside|dmz] ip-addr netmask
inside代表内部网卡,outside代表外部网卡,dmz代表DMZ区域接口,ip-addr是指IP地址,netmask是子网掩码。由此可推了,防火墙各端口的IP地址分别为:
e0: 192.168.46.1
e1: 202.134.135.98
e2: 10.0.0.1
【问题3】
网络管理最重要的任务之一就是网络安全,实现网络安全的一种方法便是使用路由器提供的基于数据包的过滤功能,即访问控制列表ACL,其能在路由器接口处决定哪种类型的信息流量被转发,,哪种类型的信息流量被拒绝。在Cisco路由器中,每个访问控制列表的执行顺序是“从上到下,顺序判断”,每一条新加的列表项都被安置在访问控制列表的最后面。所以,当一个ACL建好之后,就不能通过行号删除某一指定的列表项。当需要另外增加一列表项时,只能采取删处该ACL,然后再重新建立一个新的带有一系列条件判断语句(列表项)的ACL。
在实施ACL的过程中,应当遵循如下两个基本原则:
·最小特权原则:只给受控对象完成任务所必须的最小的权限;
·最靠近受控对象原则:所有的网络层访问权限控制。
注意:所有的ACL,缺省情况下,从安全角度考虑,最后都会隐含一句deny any(标准ACL)或deny ip any any(扩展IP ACL),即默认丢弃原则。
标准访问列表的配置:
功能说明:基于源IP地址来进行判定是否允许或拒绝数据包通过(或其它操作,例如在NAT中就将是判断是否进行地址转换)。
命令格式:access-list access-list-number {permit | deny}
{source [ source-wildcard] | any }
命令解释:access-list—访问列表命令
access-list-number—访问列表号码,值为1-99
permit—允许
deny—拒绝
source—源IP地址
source-wildcard—源IP地址的通配符
any—任何地址,代表0.0.0.0 255.255.255.255
通配符:source-wildcard省略时,则是使用默认值0.0.0.0。它的作用与子网掩码是不相
同的:当其取值为1时,代表该位不关心;当其取值为0时,代表必需匹配。
禁止内网中IP 地址为198.168.46.8的PC机访问外网,正确的ACL规则:
access-list 1 permit ip 192.168.46.0 0.0.0.255 any  
access-list 1 deny ip host 198.168.46.8 any  

access-list 1 deny ip host 198.168.46.8 any  
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
这两者均是可以的。
【问题4】
防火墙的主要配置项如下表所示:
 

  
题中配置项及其功能描述如下:
global (outside) 1 202.134.135.98-202.134.135.100
# 指定外网口IP地址范围为202.134.135.98-202.134.135.100。
conduit permit tcp host 202.134.135.99 eq www any
# 允许任意外网主机访问202.134.135.99提供的WWW服务。
access-list 10 permit ip any any 
# 允许任意IP数据包进出。

上一题

© 2024 educity.cn