Cisco PIX 525防火墙用于实现内部地址和外部地址吲定映射的配置命令是______。A．natB．staticC．globalD．fixup

正确答案：Pix525(config)#nameif ethernet0 E1 security100 Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#nameif ethernet2 E2 security0 Pix525(config)#ip addressE3 210.156.169.6 255.255.255.240 Pix525(config)#ip addressE1 192.168.10.1 255.255.255.0 Pix525(config)#ip addressE2 211.156.169.2 255.255.255.252
Pix525(config)#nameif ethernet0 E1 security100 Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#nameif ethernet2 E2 security0 Pix525(config)#ip addressE3 210.156.169.6 255.255.255.240 Pix525(config)#ip addressE1 192.168.10.1 255.255.255.0 Pix525(config)#ip addressE2 211.156.169.2 255.255.255.252 解析：在如图4-13所示的网络拓扑中，PIX 525防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制，实现内外网的物理分隔。它使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口，分别与外网、内网、DMZ区相连。DMZ区是放置公共信息的最佳位置，它对外网或内网用户来说是开放的、透明的。公司客户、潜在客户及外部访问者不用通过内网就可以直接获得他们所需要的信息。在图4，13中防火墙的DMZ区就是区域B的服务器群网段。
公司中机密的、私人的信息则需安全地存放在内部局域网中，即DMZ的后面。DMZ中服务器不应包含任何商业机密、资源代码或私人信息。内部局域网的安全级别最高，DMZ区域次之，Internet网的安全级别最低。
PIX 525防火墙的基本配置命令nameif用于配置防火墙接口的名字，并指定安全级别。安全级别取值范围为1～99，数字越大安全级别越高。根据如图4-13所示的网络拓扑，结合试题中己给出的配置信息可得，PIX防火墙的ethernet0端口被命名为E1，安全级别为100；ethernet1端口被命名为E3，安全级别为 60：ethernet2端口被命名为E2，安全级别为0。相比之下，E1端口安全级别最高，适合作为内部接口： E2端口安全级别最低，适合作为外部接口；E3端口适合作为DMZ接口。
PIX 525防火墙配置接口名字，并指定安全级别的相关配置语句示例如下：
Pix525(config)#nameif ethernet0 E1 security100(配置接口名字，并指定安全级别)
Pix525(config)#nameif ethernet1E3security60
Pix525(config)#nameif ethernet2E2security0
对PIX防火墙网络接口进行地址初始化配置时，需要指明网络接口的名字、IP地址和子网掩码等参数。根据如图4-13所示的网络结构中防火墙各网络接口的名字和IP地址配置信息可得如下相关配置语句：
Pix525(config)#ip address E3 210.156.169.6 255.255.255.240(为DMZ接口进行IP地址配置)
Pix525(config)#ip address E1 192.168.10.1 255.255.255.0(为内网口E1进行IP地址配置)
Pix525(config)#ip address E2 211.156.169.2255.255.255.252(为外网口E2进行IP地址配置)

正确答案：C
网络地址翻译（NetworkAddressTranslation，NAT）技术主要解决IP地址短缺问题，最初提出的建议是在子网内部使用局部地址，而在子网外部使用少量的全局地址，通过路由器进行内部和外部地址的转换。局部地址是在子网内部独立编址的，可以与外部地址重叠。这种想法的基础是假定在任何时候子网中只有少数计算机需要与外部通信，可以让这些计算机共亨少量的全局IP地址。后来根据这种技术又开发出其他一些应用。首先是动态地址翻译（DynamicAddressTranslation）技术。所谓存根域（StubDomain）是内部网络的抽象，任何时候存根域内只有一部分主机要与外界通信，所以整个存根域只需共享少量的全局IP地址。存根域有一个边界路由器，由它来处理域内与外部的通信。我们假定：m：内部地址数。n：全局地址数（NAT地址）。当ml并且mn时，可以把大的地址空间映像到小的地址空间。所有NAT地址放在一个缓冲区中，并在存根域的边界路由器中建立一个内部地址和全局地址的动态映像表，用以把内部地址翻译成全局地址。动态地址翻译的好处是节约了全局IP地址，而且不需要改变子网内部的配置。另外一种特殊的NAT应用是m：1翻译，这种技术也叫做地址伪装（Masquerading），因为用一个全局IP地址就可以把子网中所有主机的IP地址隐藏起来。如果子网中有多个主机要同时通信，那么还要对端口号进行翻译，所以这种技术经常被称为网络地址和端口翻译（NetworkAddressPortTranslation，NAPT）。在很多NAPT实现中专门保留一部分端口号给地址伪装使用，叫做伪装端口号。这种方法有如下特点：出口分组的源地址被路由器的外部IP地址代替，出口分组的源端口号被一个未使用的伪装端口号代替。如果进来的分组的目标地址是本地路由器的IP地址，而目标端口号是路由器的伪装端口号，则NAT路山器就检查是否为伪装会话，并试图通过伪装表对IP地址和端口号进行翻泽。伪装技术可以作为一种安全手段使用，借以限制外部对内部主机的访问。另外还可以用这种技术实现虚拟主机和虚拟路由，以便达到负载均衡和提高可靠性的目的。

正确答案：B
P312

正确答案：C

正确答案：A
A【解析】CiscoPIX525的常用命令有：nameif、interface、ipaddress、nat、global、route、static等。其中static命令的作用是配置静态IP地址翻译，使内部地址与外部地址一一对应；nat命令的作用是地址转换命令，将内网的私有IP转换为外网公网IP；global命令的作用是指定公网地址范围、定义地址池；fixup命令的作用是启用或禁止一个服务或协议，通过指定端口设置PIX防火墙要侦听listen服务的端口。能实现题中要求的命令是A选项。因此选择A选项。