【问题3】(6 分)表 4-4 所示为防火墙中定义的过滤规则,过滤规则的优先级由规则编号决定,规则编号越小优先级越高。请定义规则4,使得来自Internet的请求能访问FTP 服务并尽可能少的带来入侵风险。
题目
【问题3】(6 分)
表 4-4 所示为防火墙中定义的过滤规则,过滤规则的优先级由规则编号决定,规则编号越小优先级越高。请定义规则4,使得来自Internet的请求能访问FTP 服务并尽可能少的带来入侵风险。
相似考题
更多“ 【问题3】(6 分)表 4-4 所示为防火墙中定义的过滤规则,过滤规则的优先级由规则编号决定,规则编号越小优先级越高。请定义规则4,使得来自Internet的请求能访问FTP 服务并尽可能少的带来入侵风险。 ”相关问题
-
第1题:
下列不是包过滤型防火墙的缺点的是()
A.数据包的过滤规则难以准确定义
B.随着过滤规则的增加路由器的吞吐率会下降
C.处理包的速度比代理服务器慢
D.不能防范大多数类型的IP地址欺骗
正确答案:C
-
第2题:
【问题2】(6 分 )
完成表4-3所示防火墙上的NAT 转换规则,以满足防火墙部署要求。
正确答案:
问题2(每空2分,共6分)4,211.156.168.55,10.1.1.26,10.1.1.3 -
第3题:
试题四(共15分)
阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
图4-1是某企业网络拓扑结构。
【问题1】(2分)
防火墙的规则配置如表4-1所示,请解释该配置的含义。
【问题2】 (5分)
编写表4-2中规则1,禁止内网主机pc1访问Internet上的FTP服务。
【问题3】(2分)
能否在不增加规则的前提下,通过修改表4-2中的规则1,限制内网主机pc1仅能访问Internet上的FTP服务,请说明理由。
【问题4】 (5分)
编写表4-3中的规则,允许外网主机访问内网的DNS服务。
【问题5】(1分)
请说明表4-3中的规则应该插入到表4-2中的何处才能生效。
正确答案:
试题四(共15分)
【问题1】 (2分)
允许内网访问外网,不允许外网访问内网。
【问题2】 (5分)
(1) 10.1.1.6
(2) Any
(3) El->EO
(4) FTP
(5)拒绝
【问题3】 (2分)
不能,因为规则10允许所有内网对外网的访问,而规则1只能禁止pc1访问某一种服务。
【问题4】 (5分)
(6) Any (7) 10.1.1.5 (8) EO->E1 (9) DNS (10)允许
【问题5】(1分)
插入到规则20前面任意位置即可。 -
第4题:
【问题 3】(7分)
完成防火墙的别名表(表4-2)和E2端口的过滤规则表(表 4-3),使内网 PC能正常访问www服务和Telnet服务。
正确答案:(5)210.156.169.3
(6)80
(7)内网网段 或 192.168.1.1/28
(8)Telnet服务器 或 210.156.169.3
(9)Telnet 或 23
(10)E2→E3
(11)允许
-
第5题:
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】某公司的网络结构如图3-1所示,所有PC机共享公网IP地址202.134.115.5接入Internet,公司对外提供WWW和邮件服务。
【问题1】(每空1分,共5分)防火墙可以工作在三种模式下,分别是:路由模式、(1)和混杂模式,根据图3-1所示,防火墙的工作模式为(2)。管理员为防火墙的三个接口分别命名为Trusted、Untrusted和DMZ,分别用于连接可信网络、不可信网络和DMZ网络。其中F0接口对应于(3),F1接口对应于(4),F2接口对应于(5)。【问题2】(每空1分,共4分)请根据图3-1所示,将如表3-1所示的公司网络IP地址规划表补充完整。
(6)——(9)备选答案:A.202.134.115.5B.10.10.1.1C.10.10.1.255D.192.168.10.1E.255.255.255.0F.255.255.255.248G.192.168.10.0H.202.134.115.8I.255.255.255.224【问题4】(每空1分,共6分)如表3-3所示是防火墙上的过滤规则,规则自上而下顺序匹配。为了确保网络服务正常工作,并保证公司内部网络的安全性,请将下表补充完整【问题3】(每空1分,共5分)为使互联网用户能够正常访问公司WWW和邮件服务,以及公司内网可以访问互联网。公司通过防火墙分别为Webserver和MailServer分配了静态的公网地址202.134.115.2和202.134.115.3。如表3-2所示是防火墙上的地址转换规则,请将下表补充完整。
【问题4】(每空1分,共6分)如表3-3所示是防火墙上的过滤规则,规则自上而下顺序匹配。为了确保网络服务正常工作,并保证公司内部网络的安全性,请将下表补充完整
答案:解析:【问题1】答案:(1) 透明模式 (2)路由模式 (3)Untrusted (4) DMZ (5) Trusted
【问题2】答案:(6)A (7)255.255.255.248 (8)B (9)D
【问题3】答案:(10)公网地址1 (11)10.10.1.2 (12)10.10.1.3(13)202.134.115.5 (14)公网地址3
【问题4】答案:(15) F0-> F1 (16)SMTP (17)25 (18)允许 (19)110 (20)禁止或者拒绝 -
第6题:
如下说法对的是()?
- A、防火墙的安全规则定义在安全*区域之间
- B、防火墙的安全规则定义在防火墙的接口之间
- C、防火墙的安全规则定义在防火墙所连接的网段之间
- D、防火墙的安全规则定义在防火墙上定义的VLAN之间
正确答案:A -
第7题:
在WindowsServer2003的组策略编辑器中,通常来说,不同的软件限制策略规则之间是有优先级的,下列规则相比较,()优先级最高。
- A、证书规则
- B、路径规则
- C、哈希规则
- D、Internet区域规则
正确答案:C -
第8题:
在软件限制策略中,对某个软件的设置限制时,规则优先级最高的是()。
- A、哈希规则
- B、路径规则
- C、Internet区域规则
- D、证书规则
正确答案:A -
第9题:
防火墙是由哪几部分组成的()。
- A、服务器访问规则
- B、验证工具
- C、包过滤
- D、应用网关
正确答案:A,B,C,D -
第10题:
要允许防火墙内网和外网两个区域互相通信,需要在防火墙上配置的规则是()。
- A、包过滤规则(访问策略)。
- B、地址转换规则
- C、多播规则
- D、IP-MAC绑定规则
正确答案:A -
第11题:
填空题包过滤防火墙通过()定义数据包过滤规则。正确答案: ACL解析: 暂无解析 -
第12题:
单选题在包过滤防火墙中,定义数据包过滤规则的是()。A路由表
BARP
CNAT
DACL
正确答案: D解析: 包过滤防火墙检查每一个传入包,查看包中的源地址、目的地址、TCP/IP端口号、传输协议等,然后将这些信息与设立的规则相比较。在包过滤防火墙中,定义数据包过滤规则的一般是ACL(AccessControlList,访问控制列表)。 -
第13题:
IPS的过滤器规则不能自由定义。( )
正确答案:错误
-
第14题:
试题四(15 分)
阅读以下说明,回答问题 1 至问题 4,将解答填入答题纸对应的解答栏内。
【说明】
图 4-1 是某企业网络拓扑结构。
其中:
?? Router是屏蔽路由器;
?? FireWall 是防火墙,通过其上的缺省 Web 服务端口能够实现对防火墙的配置;
?? Console 是管理员控制台;
?? MailSrv 是邮件服务器;
?? FTPSrv 是 FTP服务器;
?? 区域 IV是企业日常办公网络,定义为 LocalNet。
【问题 1】 (4 分)
该网络中, (1) 是 DMZ。为使该企业网能够接入 Internet,路由器的接口①能够使用的 IP地址是 (2) (1)A. 区域 I B. 区域 II
C. 区域 III D. 区域 IV
(2)A. 10.1.1.1 B. 100.1.1.1
C. 172.30.1.1 D. 192.168.1.1
【问题 2】 (3 分)
对于区域 IV 而言,进入区域 IV 的方向为“向内” ,流出区域 IV 的方向为“向外” 。表 4-1 中防火墙规则表示:防火墙允许 Console 与任何区域 IV 以外的机器收发 POP3 协议数据包,并在此基础上,拒绝所有其它通信。
【问题 3】 (3 分)
如果 FireWall 中有表 4-3 中的过滤规则,则 (6) 。
(6)
A. 区域 IV能访问 FTPSrv 进行文件上传与下载,Internet 只能上传不能下载
B. 区域 IV能访问 FTPSrv 进行文件上传与下载,Internet 只能下载不能上传
C. 区域 IV和 Internet 都能访问 FTPSrv 进行文件上传与下载
D. 只有区域 IV能访问 FTPSrv 进行文件上传与下载
【问题 4】 (5 分)
要求管理员在网络中任何位置都能通过在 MailSrv 上开放的缺省 Telnet 端口登录MailSrv,实现对 MailSrv的配置。因此,需要在防火墙中添加如表 4-4 的规则(*代表 P1、P2、P3 中的任意一个或几个) :
正确答案:
-
第15题:
试题四(15分)
阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。
(注:表4-4策略在表4-2之前生效)
【问题3】(4分,每空1分)
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充
完成表4-5的策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)
正确答案:【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP -
第16题:
阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。
(注:表4-4策略在表4-2之前生效)
问题3】(4分,每空1分)
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充
完成表4-5的策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)
答案:解析:【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP
【解析】
解析:
【问题1】 (6分)
正如题干所描述的,防火墙默认配置允许内网访外网和DMZ,但不允许外网访问内网和DMZ,这样的配置从安全角度来说无可厚非,但从应用角度来说就不合适了。DMZ中的web、mail服务器是需要发布到出去的,换言之是要允许外网的用户访问的,所以为了实现这一点,我们需要额外添加访问规则允许外网访问DMZ中web和mail服务器,而且添加的规则一定要在防火墙默认规则之前生效,基于这一点,我们在表4-3中添加的规则就比较容易了。允许外网访问
web和mail服务器,那么其流量源就是外部地址,用any来表示,那么流量目的地就是DMZ区域的web和mail服务器地址,其流量的方向是E2--->E1,对应的ip地址分别是192.168.2.2、192.168.2.3,对应的目的端口分别是TCP 80、TCP 25,对应的协议分别是HTTP、SMTP,给予的工作都是允许,故(1)~(6)的答案是:
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
要禁止内网访问internet上202.10.20.30的FTP服务,其流量方向为E0-->E2,源地址192.168.1.0/24,源端口是随机端口,所以是any,给予的动作是禁止,目的地址为202.10.20.30,目的端口是21,所以(7)~(9)答案为:
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,在添加规则的时候一定是先处理特权流量,再处理范围流量。根据题意,是允许
PC1访问219.16.17.18的web服务,但拒绝192.168.1.0/24网络其他主机访问219.16.17.18的web服务。所以在写规则的时候先要添加针对于PC1访问219.16.17.18的web服务给予允许规则,在添加对于192.168.1.0/24访问219.16.17.18的web服务给予禁止规则,由此得到(10)~(13)的答案是:
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
结合前面几个问题的分析和解答,不难得出这道题的答案为:
(14) 192.168.2.2
(15) ICMP -
第17题:
阅读下列说明和表,回答问题1至问题4,将解答填入解答纸的对应框内。【说明】防火墙类似于我国古代的护城河,可以挡敌人的进攻。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络,防火墙通过使用各种安全规则来实现网络的安全策略。防火墙的安全规则由匹配条件和处理方式两个部分共同构成,网络流量通过防火墙时,根据数据包中的某些特定字段进行计算以后如果满足匹配条件,就必须采用规则中的处理方式进行处理。【问题1】(6分)假设某企业内部网(202.114.63.0/24)需要通过防火墙与外部网络互连,其防火墙的过滤规则案例如表4.1所示。表4.1
表中“*”表示通配符,任意服务端口都有两条规则请补充表4.1中的内容(1)和(2)根据上述规则表给出该企业对应的安全需求。【问题2】(4分)一般来说,安全规则无法覆盖所有的网络流量,因此防火增都有一条缺省(默认)规则,该规则能覆盖事先无法预料的网络流量,请问缺省规则的两种选择是什么?【问题3】(6分)请给出防火墙规则中的三种数据包处理方式。【问题4】(4分)防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面的内容:服务控制、方向控制、用户控制和行为控制。请问表4.1中,规则A涉及访问控制的哪几个方面的内容?答案:解析:【问题1】(1)53 (2)Drop企业对应的安全需求有:(1)允许内部用户访问外部网络的网页服务器;(2)允许外部用户访问内部网络的网页服务器(202.114.64.125);(3)除1和2外,禁止其他任何网络流量通过防火墙。【问题2】两种缺省选择是,默认拒绝或者默认允许。【问题3】Accept、Reject、Drop【问题4】服务控制、方向控制和用户控制。 -
第18题:
告警规则管理模块可以进行的操作不包括()。
- A、告警原因重定义
- B、告警等级重定义
- C、告警确认
- D、过滤规则配置
正确答案:C -
第19题:
在WindowsServer2003的组策略编辑器中,通常来说,不同的软件限制策略规则之间是有优先级的,请选择出比路径规则优先级高的软件限制策略规则()。
- A、证书规则
- B、握手规则
- C、哈希规则
- D、Internet区域规则
- E、安全规则
正确答案:A,C -
第20题:
关于防火墙中自定义过滤规则描述错误的是()
- A、支持自定义AV特征
- B、支持自定义IPS特征
- C、支持自定义URL过滤规则
- D、支持自定义DPI特征
正确答案:A -
第21题:
包过滤防火墙通过()定义数据包过滤规则。
正确答案:ACL -
第22题:
多选题在WindowsServer2003的组策略编辑器中,通常来说,不同的软件限制策略规则之间是有优先级的,请选择出比路径规则优先级高的软件限制策略规则()。A证书规则
B握手规则
C哈希规则
DInternet区域规则
E安全规则
正确答案: A,C解析: 暂无解析 -
第23题:
单选题PCB设计规则定义时,在相同规则设置中需要利用规则优先级,最高优先级应表示为()。A1
B100
C最大优先级数目
D0
正确答案: D解析: 暂无解析