单选题出于安全考虑,网络管理员需要去防止外网主机PING内网,下面哪个协议应该用access control lists限制掉?()A IPB ICMPC TCPD UDP
题目
IP
ICMP
TCP
UDP
相似考题
更多“出于安全考虑,网络管理员需要去防止外网主机PING内网,下面哪个协议应该用access control lists限制掉”相关问题
-
第1题:
因为安全原因,网络管理员需要组织外部主机ping内部网络中的主机。下列哪项协议必须在ACL中被阻塞()。A.IP
B.ICMP
C.TCP
D.UDP
参考答案:B
-
第2题:
Netscreen防火墙的外网口应禁止PING测试,内网口可以不限制。()
答案:错误
-
第3题:
某PIX 525防火墙有如下配置命令,该命令的正确解释是(22)。 firewall (config) #static (inside,outside)61.144.51.43 192.168.0.8
A.地址为61.144.51.43的外网主机访问内网时,地址静态转换为192.168.0.8
B.地址为61.144.51.43的内网主机访问外网时,地址静态转换为192.168.0.8
C.地址为192.168.0.8的外网主机访问外网时,地址静态转换为61.144.51.43
D.地址为192.168.0.8的内网主机访问外网时,地址静态转换为61.144.51.43
正确答案:D
解析:static命令用于配置静态IP地址翻译,即从外网发起一个会话,会话的目的地址是一个内网的IP地址,static语句将把内部地址翻译成一个指定的全局地址,从而允许这个会话建立。该命令的配置语法如下。
static(internal_if_name,external_if_name) outside_ip_address inside_ip_address
其中,intema_if_name表示内部网络接口(例如inside),安全级别较高;external_if_name为外部网络接口(例如outside等),安全级别较低;outside_ip_address为外部网络接口上的IP地址;inside_ip_address为内部网络的本地IP地址。
可见,命令firewall(config)#static(inside,outside) 61.144.51.43 192.168.0.8可解释为:当地址为 192.168.0.8的内网主机访问外网时,地址静态转换为61.144.51.43。也可以理解成static命令创建了外部 IP地址61.144.51.43和内部IP地址192.168.0.8之间的静态映射。 -
第4题:
● 包过滤防火墙不能 (55) 。
(55)
A. 防止感染了病毒的软件或文件的传输
B. 防止企业内网用户访问外网的主机
C. 读取通过防火墙的数据内容
D. 防止企业外网用户访问内网的主机
正确答案:A
-
第5题:
以下关于防火墙的描述,正确的是______。A.防火墙可以限制外网对内网的访问,但不能限制内网对外网的访问
B.防火墙可以防止外网对内网的攻击,但不能防止内网对内网的攻击
C.代理服务防火墙通常直接转发报文,它对用户完全透明,速度较快
D.包过滤防火墙相对于代理服务防火墙有更强的身份验证和日志功能答案:B解析:本题考查防火墙的基本概念。所谓防火墙,就是在内部网与外部网之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,在此进行检查和连接。只有被授权的通信才能通过此保护层,从而保护内部网资源免遭非法入侵。防火墙技术已成为实现网络安全策略的最有效的工具之一。防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:①限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯②限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问防火墙可以防止外网对内网的攻击,但不能防止内网对内网的攻击。防火墙大体上可以划分为两类:一类基于包过滤(Packet Filter),另一类基于代理服务(Proxy Service)。二者的区别在于:基于包过滤的防火墙通常直接转发报文,它对用户完全透明,速度较快;而另一类防火墙是通过代理服务器建立连接,它可以有更强的身份验证和日志功能。 -
第6题:
A. 双主机系统,即使外网被黑客攻击瘫痪也无法影响到内网
B. 可以防止外部主动攻击
C. 采用专用硬件控制技术保证内外网的实时连接
D. .设备对外网的任何响应都是对内网用户请求的回答答案:C解析:网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。 -
第7题:
在配置平台中,同一个业务是否可能存在两个内网IP相同的主机?()
- A、可以,这两个主机需处于不同云区域
- B、可以,这两个主机的外网IP需不同
- C、可以,这两个主机的主机名称需不同
- D、不可以,内网IP是主机的唯一标识
正确答案:A -
第8题:
出于安全考虑,网络管理员需要去防止外网主机PING内网,下面哪个协议应该用access control lists限制掉?()
- A、IP
- B、ICMP
- C、TCP
- D、UDP
正确答案:B -
第9题:
包过滤防火墙不能()。
- A、防止感染了病毒的软件或文件的传输
- B、防止企业内网用户访问外网的主机
- C、读取通过防火墙的数据内容
- D、防止企业外网用户访问内网的主机
正确答案:A -
第10题:
出于安全原因,网络管理员需要阻止外网主机ping核心网络,()协议需要使用ACL来阻止。
- A、IP
- B、ICMP
- C、TCP
- D、UDP
正确答案:B -
第11题:
防火墙截取内网主机与外网通信,由防火墙本身完成与外网主机通信,然后把结果传回给内网主机,这种技术称为()。
- A、内容过滤
- B、地址转换
- C、透明代理
- D、内容中转
正确答案:C -
第12题:
单选题因为安全原因,网络管理员需要组织外部主机ping内部网络中的主机。下列哪项协议必须在ACL中被阻塞()。AIP
BICMP
CTCP
DUDP
正确答案: B解析: 暂无解析 -
第13题:
阅读以下防火墙配置命令,为每条命令选择正确的解释。 firewall(config)global(outside)1 61.144.51.46(5)firewall(config)nat(inside)1 0.0.0.0 0.0.0.0(6)firewall(config)static(inside,outside)192.168.0.861.144.51.43(7)(5)A.当内网的主机访问外网时,将地址统一映射为61.144.51.46 B.当外网的主机访问内网时,将地址统一映射为61.144.51.46 C.设定防火墙的全局地址为61.144.51.46 D.设定交换机的全局地址为61.144.51.46(6)A.启用NAT,设定内网的0.0.0.0主机可访问外网0.0.0.0主机 B.启用NAT,设定内网的所有主机均可访问外网 C.对访问外网的内网主机不作地址转换 D.对访问外网的内网主机进行任意的地址转换(7)A.地址为61.144.51.43的外网主机访问内网时,地址静态转换为192.168.0.8
B.地址为61.144.51.43的内网主机访问外网时,地址静态转换为192.168.0.8
C.地址为192.168.0.8的外网主机访问外网时,地址静态转换为61.144.51.43
D.地址为192.168.0.8的内网主机访问外网时,地址静态转换为61.144.51.43
正确答案:(6)mode trunk(7)vlan all
(6)mode trunk(7)vlan all 解析:本问题考查的是PIX防火墙中配置地址转换、外部地址范围和静态地址翻译的命令
1.指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有IP转换为外网的公有ip.Nat命令总是与 global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name)nat_id local_ip[netmark]。
其中(if name)表示内网接口名字,例如inside.Nat id用来标识全局地址池,使它与其相应的global命令相匹配,local中表示内网被分配的IP地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网IP地址的子网掩码。
例1.Pix525(config)#nat(inside)1 00
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0。
例2.Pix525(config)#nat(inside)1 172.16.5.0255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
2.指定外部地址范围(global)
global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。Global命令的配置语法:global(if_name)nat_id ip_address-ip_address [netmark global_mask]。
其中(if name)表示外网接口名字,例如outside.。Nat id用来标识全局地址池,使它与其相应的nat命令相匹配,ip address-ip address 表示翻译后的单个IP地址或一段 IP地址范围。[natmark global_mask]表示全局IP地址的网络掩码。
例1.Pix525(config)#global(outside)1 61.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61. 144.51.48这段IP地址池为要访问外网的主机分配一个全局IP地址。
例2.Pix525(config)#global(outside)1 61.144.51.42
表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一IP地址。
例3.Pix525(config)#noglobal(outside)1 61.144.51.42
表示删除这个全局表项。
3.配置静态IP地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的IP地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static命令配置语法:static (intemal_if_name,extemal_if name)outside_ip_address inside_ip_address。其中internal_ if name表示内部网络接口,安全级别较高。inside. external if name为外部网络接口,安全级别较低,如outside等。outside中address为正在访问的较低安全级别的接口上的 IP地址。inside ip address为内部网络的本地IP地址。
例1.Pix525(config)#static(inside,outside)61.144.51.62192.168.0.8
表示IP地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部IP地址192.168.0.8和外部IP地址61.144.51.62之间的静态映射。
例2.Pix525(config)#static(inside,outside)192.168.0.210.0.1.3
例3.Pix525(config)#static(dmz,outside)211.48.16.2172.16.10.8
注释同例1。通过以上几个例子说明使用static命令可以让用户为一个特定的内部IP地址设置一个永久的全局IP地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。 -
第14题:
出于安全考虑,网络管理员需要去防止外网主机PING内网,下面哪个协议应该用access control lists限制掉?()A.IP
B.ICMP
C.TCP
D.UDP
参考答案:B
-
第15题:
试题(61)、(62)
为防止服务器遭攻击,通常设置一个DMZ。有关外网、DMZ、内网三者之间的关系,应满足(61) 。如果在DMZ中没有(62) ,则访问规则可更简单。
(61)
A. 外网可访问DMZ,不能访问内网,DMZ可访问内网和外网,内网可访问外网和DMZ
B. 外网可访问DMZ,可有条件访问内网,DMZ可访问内网,不能访问外网,内网可访问DMZ,不能访问外网
C. 外网可访问DMZ,不能访问内网,DMZ可访问外网,不能访问内网,内网可访问DMZ和外网
D. 外网可访问DMZ,不能访问内网,DMZ不能访问内网和外网,内网可有条件地访问DMZ和外网
(62)
A. 邮件服务器
B. Web服务器
C. DNS服务器
D. 数据库服务器
正确答案:C,A
试题(61)、(62)分析
本题考查网络隔离与DMZ方面的基本知识。
DMZ通常是内网服务器的一个代理,用于替代内网服务器供外网用户访问,使得内网服务器不暴露给外网用户。一旦DMZ中的服务器被攻击导致失效,可利用内网服务器快速恢复。
邮件服务器是内外网用户都要访问的服务器,当DMZ中没有邮件服务器时,可以完全限制DMZ与内网之间的联系,只允许内网到DMZ的单向访问,内网安全性进一步提高。
参考答案
(61)C (62)A
-
第16题:
防火墙可以( )。A.清除病毒
B.限制外网对外网的访问
C.限制外网对内网的访问
D.限制内网对内网的访问答案:C解析:本题考查防火墙的基本概念。防火墙是在内部网与外部网之间的界面上构造一个保护层,并强制所有进入内部网络的连接都必须经过此保护层,并在此进行检查和连接,从而保护内网。防火墙限制了外网对内网的访问,但本身并不具有清除病毒的功能。 -
第17题:
为防止服务器遭攻击,通常设置一个DMZ.外网、DMZ,内网三者之间的关系,应满足( )。
A. 外网可访问DMZ,不能访问内网,DMZ可访问内网和外网,内网可访问外网和DMZ
B. 外网可访问DMZ,可有条件访问内网,DMZ可访问内网,不能访问外网,内网可访问DMZ,不能访问外网
C. 外网可访问DMZ,不能访问内网,DMZ可访问外网,不能访问内网,内网可访问DMZ和外网
D .外网可访问DMZ,不能访问内网,DMZ不能访问内网和外网,内网可有条件地访问DMZ和外网答案:C解析:DMZ通常是内网服务器的一个代理,用于替代内网服务器供外网用户访问,使得内网服务器不暴露给外网用户。一旦DMZ中的服务器被攻击导致失效,可利用内网服务器快速恢复。
邮件服务器是内外网用户都要访问的服务器,当DMZ中没有邮件服务器时,可以完全限制DMZ与内网之间的联系,只允许内网到DMZ的单向访问,内网安全性进一步提高。 -
第18题:
在网络规划中,政府内外网之间应该部署网络安全防护设备。在下图中对设备 A 的作用描述错误的是()
A. 双主机系统,即使外网被黑客攻击瘫痪也无法影响到内网
B. 可以防止外部主动攻击
C. 采用专用硬件控制技术保证内外网的实时链接
D. 设备对外网的任何响应都是对内网用户请求的应答答案:C解析:网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。使用安全隔离网闸意义是:(一)当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证,所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,弥补了物理隔离卡和防火墙的不足之处,是最好的选择。(二)对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。(三)安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 -
第19题:
对于连接公司保密内网的计算机,下列说法正确的是()。
- A、不允许连接外网
- B、拨掉内网后可以连接外网
- C、内网与外网可以同时连接在一台计算机上
- D、连接外网的计算机可以用来连接内网
正确答案:A -
第20题:
下面哪一项不属于安全防范及管理考核范围()
- A、安全入侵
- B、无关软件安装
- C、内网PC机未安装安全软件、主机命名不规范及IP/主机名调整不规范的次数或个数
- D、外网PC未安装安全软件
正确答案:D -
第21题:
下面对防火墙说法正确的是()。
- A、防火墙只可以防止外网非法用户访问内网
- B、防火墙只可以防止内网非法用户访问外网
- C、防火墙既可以防止内网非法用户访问外网,也可以防止外网非法用户访问内网
- D、防火墙可以防止内网非法用户访问内网
正确答案:C -
第22题:
下面ACL语句中,表达“禁止外网和内网之间互相ping”的是 () 。
- A、access-list 101 permit any any
- B、access-list 101 permit icmp any any
- C、access-list 101 deny any any
- D、access-list 101 deny icmp any any
正确答案:D -
第23题:
单选题下面对防火墙说法正确的是()。A防火墙只可以防止外网非法用户访问内网
B防火墙只可以防止内网非法用户访问外网
C防火墙既可以防止内网非法用户访问外网,也可以防止外网非法用户访问内网
D防火墙可以防止内网非法用户访问内网
正确答案: A解析: 暂无解析 -
第24题:
单选题下面哪一项不属于安全防范及管理考核范围()A安全入侵
B无关软件安装
C内网PC机未安装安全软件、主机命名不规范及IP/主机名调整不规范的次数或个数
D外网PC未安装安全软件
正确答案: C解析: 暂无解析