列表

详情

(思科的PIX防火墙内容已经删除,建议略过此题)

请认证阅读下列关于计算机网络防火墙的说明信息,回答问题1-5。将答案填入答题纸对应的解答栏内。
【说明】
某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如图4-1所示。

【问题1】(4分)
完成下列命令行,对网络接口进行地址初始化的配置:
firewall (config )#ip address inside  (1)    (2)
firewall (config )#ip address outside  (3)    (4)
【问题2】(4分)
与路由器一样,防火墙的网络地址转换功能可以实现内部网络共享出口IP地址。根据网络连接示意图4-1提供的网络参数,完成下列命令行的配置内容,以实现整个内部网络段的多个用户共享一个IP地址。
firewall(config)# global(outside)  (5)  netmask  (6)
firewall(config)#nat(outside) (7)  (8)
【问题3】(2分)
如果允许内部任意IP地址都可以转换出去,则:
firewall (config )# nat (outside) (9) (10)
【问题4】(2分)
访问控制表是防火墙实现安全管理的重要手段。完成下列访问控制列表(access-control-list)的配置内容,使内部所有主机不能访问外部IP地址段为 202.117.12.0/24的Web服务器。
Firewall(config)#access-list 100 deny tcp  (11)  202.197.12.0 255.255.255.0  eq  (12)
【问题5】(3分)
如果使外部所有主机不能访问内部IP地址为192.168.0.10的FTP服务器,仿照上一个访问控制列表的命令行格式,给出访问控制表的命令行。

参考答案:

【问题1】(4分)
(1)192.168.0.1
(2)255.255.255.0
(3)202.117.12.37   
(4)255.255.255.252
【问题2】(4分)
(5)202.117.12.37   
(6)255.255.255.252
(7)192.168.0.0
(8)255.255.255.0
【问题3】(2分)
(9)0.0.0.0 
(10)0.0.0.0
【问题4】(2分)
(11)any(all也给分)  
(12)www(或80)
【问题5】(3分)
firewall(config)#access-list 101 deny tcp any 192.168.0.10  255.255.255.255  eq 21(或ftp)

详细解析:

配置PIX防火墙有6个基本命令:nameif、interface、ip address、nat、global、route。 
(1) 配置防火墙接口的名字,并指定安全级别(nameif)
Pix525(config)# nameif ethernet0 outside security 1 
注意:在缺省配置中,Ethernet0端口被命名为外部接口(outside),安全级别是0;Ethernet1端口被命名为内部接口(inside),安全级别是100。安全级别取值范围为1~100,数字越大安全级别越高。若添加新的接口,命令如下:
Pix525(config)# nameif pix/intf3 security 40   # 安全级别取值范围在1~100
(2)配置以太口参数(interface)
Pix525(config)# interface ethernet0 auto  # auto选项表明系统自适应网卡类型
(3)配置内外网卡的IP地址(ip address)
Pix525(config)# ip address outside 61.144.51.42 255.255.255.248
网络地址翻译(NAT)作用是将内网的私有ip转换为外网的公有ip。nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
(1)指定要进行转换的内部地址(nat)
nat命令配置语法:
nat (if_name) nat_id local_ip [netmark]
其中参数解释如下:
if_name表示内网接口名字,例如inside;
Nat_id用来标识全局地址池,使它与其相应的global命令相匹配;
local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问;
[netmark]表示内网ip地址的子网掩码。
(2)指定外部地址范围(global)
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中参数解释如下:
if_name表示外网接口名字,例如outside;
Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配;
ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围;
[netmark global_mask]表示全局ip地址的网络掩码。
(3)设置指向内网和外网的静态路由(route)
定义一条静态路由。route命令配置语法:
route (if_name) 0 0 gateway_ip [metric]
其中参数解释如下:
if_name表示接口名字,例如inside,outside;
Gateway_ip表示网关路由器的ip地址;
[metric]表示到gateway_ip的跳数,通常缺省是1。
例:Pix525(config)# route outside 0 0 61.144.51.168 1
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
(4)配置静态IP地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。

static命令配置语法:static (internal_if_nameexternal_if_name) outside_ip_address inside_ ip_address 
其中参数解释如下:
internal_if_name表示内部网络接口,安全级别较高。如inside;
external_if_name为外部网络接口,安全级别较低。如outside等;
outside_ip_address为正在访问的较低安全级别的接口上的ip地址;
inside_ ip_address为内部网络的本地ip地址。 
4.访问控制技术
(1)firewall default命令
firewall default用于配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。在防火墙开启的情况下,报文被缺省允许通过。
该命令在全局配置模式下配置,命令格式为:
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
例:设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
(2)ip access-group命令
使用此命令将规则应用到接口上,使用此命令的no形式来删除相应的设置,与之相关的命令如前面提到过的access-list。在缺省情况,没有规则应用于接口。
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
该命令在接口配置模式下配置,命令格式为:
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
(3)settr 命令
Settr:设定或取消特殊时间段。使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔),设置的时间应该是24小时制。系统缺省没有设置时间段,即认为全部为普通时间段。
该命令在全局配置模式下配置,命令格式为:
settr begin-time end-time
no settr
【参数说明】
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
(4)show access-list命令
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。
该命令在特权用户配置模式下使用,命令格式为:
show access-list [ all | listnumber | interface interface-name ]
【参数说明】
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
(5)管道命令(conduit) 
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。 
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask] 
【参数说明】
permit | deny :允许 | 拒绝访问 。
global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。 
(7)设置telnet
Telnet有一个版本的变化。在Pix OS 5.0之前,只能从内部网络上的主机通过telnet访问pix。在其后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。
telnet配置语法:
telnet local_ip [netmask] 
【参数说明】
local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。 

上一题

© 2025 educity.cn