列表

详情

(思科PIX防火墙考纲以及删除,建议略过)

阅读下列有关网络防火墙的说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
为了保障内部网络的安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图4-1所示。

 

【问题1】(4分)
完成下列命令行,对网络接口进行地址初始化配置:
firewall(config)# ip address inside  (1)   (2)
firewall(config)# ip address outside  (3)   (4)
【问题2】(3分)
阅读以下防火墙配置命令,为每条命令选择正确的解释。
firewall(config)# global(outside) 1 61.144.51.46    (5)   
firewall(config)# nat(inside) 1 0.0.0.0  0.0.0.0    (6)   
firewall(config)# static(inside, outside) 61.144.51.43 192.168.0.8          (7)   
(5)
A当内网的主机访问外网时,将地址统一映射为61.144.51.46
B.当外网的主机访问内网时,将地址统一映射为61.144.51.46
C.设定防火墙的全局地址为61.144.51.46
D.设定交换机的全局地址为61.144.51.46
(6)
A.启用NAT,设定内网的0.0.0.0主机可访问外网0.0.0.0主机
B.启用NAT,设定内网的所有主机均可访问外网
C.对访问外网的内网主机不作地址转换
D.对访问外网的内网主机进行任意的地址转换
(7)
A.地址为61.144.51.43的外网主机访问内网时,地址静态转换为192.168.0.8
B.地址为61.144.51.43的内网主机访问外网时,地址静态转换为192.168.0.8
C.地址为192.168.0.8的外网主机访问外网时,地址静态转换为61.144.51.43
D.地址为192.168.0.8的内网主机访问外网时,地址静态转换为61.144.51.43
【问题3】(4分)
管道命令的作用是允许数据流从较低安全级别的接口流向较高安全级别的接口。解释或完成以下配置命令。
firewall(config)# conduit permit tcp 61.144.51.43 eq www any       (8)   
firewall(config)#    (9)     允许icmp消息任意方向通过防火墙
【问题4】(4分)
以下命令针对网络服务的端口配置,解释以下配置命令:
firewall(config)# fixup protocol http 8080       (10)   
firewall(config)# no fixup protocol ftp 21       (11)

参考答案:

【问题1】(4分)
(1)192.168.0.1
(2)255.255.255.0
(3)61.144.51.42
(4)255.255.255.248
【问题2】(3分)
(5)A. 当内网的主机访问外网时,将地址统一映射为61.144.51.46。
(6)B. 启用NAT,设定内网的所有主机均可访问外网。
(7)D. 地址为192.168.0.8 的内网主机访问外网时,地址静态转换为61.144.51.43。
【问题3】(4分)
(8)用IP地址61.144.51.43提供Web服务,允许所有外网用户访问。
(9)conduit permit icmp any any
【问题4】(4分)
(10)启用Http协议,指定端口号为8080。
(11)禁用Ftp协议

详细解析:

【问题1】
网络防火墙配置命令:
firewall(config)#ip address inside|outside  ip-addr netmask
【问题2】
firewall(config)#global (outside) 1 global-ip   
 //  内网的主机访问外网时,地址统一映射为指定IP
firewall(config)#nat (inside)  ip-addr netmask
//  启用NAT,设定哪些主机访问外网时进行地址转换(访问策略)
firewall(config)#static (inside, outside)  in-addr  out-addr
 //  设置内网主机访问外网时的静态地址转换策略
【问题3】
conduit命令配置语法:
conduit  permit | deny global_ip port[-port] protocol foreign_ip [netmask] 
permit | deny //允许 | 拒绝访问 
global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP等。 
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
【问题4】
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。
启用:irewall(config)#fixup protocol  portocol-name  port-num 
禁用:firewall(config)#no fixup protocol  portocol-name  port-num  

上一题

© 2024 educity.cn