如图4-1所示,要求在防火墙上配置ACL允许所有Internet主机访问DMZ中的 Web服务器,请补充完成ACL规则300。access-list 300 permit tcp (11) host 10.0.0.10 eq (12)
题目
如图4-1所示,要求在防火墙上配置ACL允许所有Internet主机访问DMZ中的 Web服务器,请补充完成ACL规则300。
access-list 300 permit tcp (11) host 10.0.0.10 eq (12)
相似考题
更多“如图4-1所示,要求在防火墙上配置ACL允许所有Internet主机访问DMZ中的 Web服务器,请补充完成ACL规 ”相关问题
-
第1题:
试题四(15分)
阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。
(注:表4-4策略在表4-2之前生效)
【问题3】(4分,每空1分)
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充
完成表4-5的策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)
正确答案:【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP -
第2题:
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。 【说明】 某企业的网络结构如图2-1所示。 该企业通过一台路由器接入到互联网,企业内部按照功能的不同分为6个VLAN。分别是网络设备与网管(VLAN1)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6)。
【问题1】(7分) 1.访问控制列表ACL是控制网络访问的基本手段,它可以限制网络流量,提高网络性能。 ACL使用(1) 技术来达到访问控制目的。 ACL分为标准ACL和扩展ACL两种,标准访问控制列表的编号为(2)和1300-1999之间的数字,标准访问控制列表只使用(3)进行过滤,扩展的ACL的编号使用(4)以及2000~2699之间的数字。 2.每一个正确的访问列表都至少应该有一条 (5)语句,具有严格限制条件的语句应放在访问列表所有语句的最上面,在靠近(6)的网络接口上设置扩展ACL,在靠近(7)的网络接口上设置标准ACL。
【问题2】(5分) 网管要求除了主机10.1.6.66能够进行远程telnet到核心设备外,其它用户都不允许进 行telnet操作。同时只对员工开放Web服务器(10.1.2.20)、FTP服务器(10.1.2.22)和数据库服务器(10.1.2.21:1521),研发部除IP为10.1.6.33的计算机外,都不能访问数据库服务器,按照要求补充完成以下配置命令。
【问题3】(4分) 该企业要求在上班时间内(9:00-18:00)禁止内部员工浏览网页(TCP80和TCP 443端口),禁止使用QQ(TCP/UDP 8000)端口以及(UDP 4000)和MSN (TCP 1863端口)。另外在2015年6月1日到2日的所有时间内都不允许进行上述操作。除过上述限制外。在任何时间都允许以其它方式访问Internet为了防止利用代理服务访问外网, 要求对常用的代理服务端口TCP 8080、TCP3128和TCP1080也进行限制。按照要求补充完成(或解释)以下配置命令。
【问题4】(4分) 企业要求市场和研发部门不能访问财务部VLan中的数据库,但是财务部门做为公司的核心管理部门,又必须能访问到市场和研发部门Vlan内的数据。按照要求补充完成(或解释)以下配置命
答案:解析:答案:1.包过滤,2.1-99,3.数据报源地址,4.100-199 5.允许或者permit 6.源 7.目标
(8)10.1.6.66 ( 9)vty ( 10)in ( 11)10.1.6.33 ( 12)10.1.6.0
答案:13:9:00 to 18:00 14:禁止10.1.0.0 的主机在工作
日9:00-18:00浏览网页,15:禁止员工工作时间使用MSN
答案:17:vlan 4 18: 10.1.4.0 0.0.0.255 19: vlan 6 20:vlan 5 (19-20可交换) -
第3题:
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】 某公司的网络拓扑结构图如图3-1所示为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻 辑隔离,其网络结构如图2-1所示。 包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为( 1 )的ACL根据IP报文 的( 2 )域进行过滤,称为( 3 );编号为( 4 )的ACL根据IP报文中的更多域对数据包进行 控制,称为( 5 )。
A.标准访问控制列 B.扩展访问控制列表
C.基于时间的访问控制列表 D.1-99E.0-99 F.100-199 G.目的的IP地址H.源IP地址 I.源端口 J.目的端口
如图2-1所示,防头墙的三个端口,端口⑥是( )、端口⑦是( ) 、端口⑧是( )。从下列选项中选择。A.外部网络 B.内部网络 C.非军事区
公司内部IP地址分配如下
1.为保护内网安全,防火墙的安全配置要求如下
(1)内外网用户均可访问 Web服务器,特定主机200.120.100.1可以通过Telnet访问Web服务器。(2)禁止外网用户访问财务服务器,禁止财务部门访问Internet,允许生产部门和行政部门访问Internet。根据以上需求,请按照防火墙的最小特权原则补充完成表2-2:
2.若调换上面配置中的第 3条和第4条规则的顺序,则( )A.安全规则不发生变化 B.财务服务器将受到安全威胁 C.Web服务器将受到安全威胁D.内网用户将无法访问Intemet
3.在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则?答案:解析:(1)D (2)H (3)A (4)F (5)B
(6)A (7)C (8)B
1.(9)10.10.200.1 (10)80 (11)200.120.100.1(12)23(13)192.168.10.0/23 (14)允许(15)拒绝 2. D 3 . 实现了禁止外网用户访问服务器的规则
-
第4题:
阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。
(注:表4-4策略在表4-2之前生效)
问题3】(4分,每空1分)
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充
完成表4-5的策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)
答案:解析:【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP
【解析】
解析:
【问题1】 (6分)
正如题干所描述的,防火墙默认配置允许内网访外网和DMZ,但不允许外网访问内网和DMZ,这样的配置从安全角度来说无可厚非,但从应用角度来说就不合适了。DMZ中的web、mail服务器是需要发布到出去的,换言之是要允许外网的用户访问的,所以为了实现这一点,我们需要额外添加访问规则允许外网访问DMZ中web和mail服务器,而且添加的规则一定要在防火墙默认规则之前生效,基于这一点,我们在表4-3中添加的规则就比较容易了。允许外网访问
web和mail服务器,那么其流量源就是外部地址,用any来表示,那么流量目的地就是DMZ区域的web和mail服务器地址,其流量的方向是E2--->E1,对应的ip地址分别是192.168.2.2、192.168.2.3,对应的目的端口分别是TCP 80、TCP 25,对应的协议分别是HTTP、SMTP,给予的工作都是允许,故(1)~(6)的答案是:
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
要禁止内网访问internet上202.10.20.30的FTP服务,其流量方向为E0-->E2,源地址192.168.1.0/24,源端口是随机端口,所以是any,给予的动作是禁止,目的地址为202.10.20.30,目的端口是21,所以(7)~(9)答案为:
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,在添加规则的时候一定是先处理特权流量,再处理范围流量。根据题意,是允许
PC1访问219.16.17.18的web服务,但拒绝192.168.1.0/24网络其他主机访问219.16.17.18的web服务。所以在写规则的时候先要添加针对于PC1访问219.16.17.18的web服务给予允许规则,在添加对于192.168.1.0/24访问219.16.17.18的web服务给予禁止规则,由此得到(10)~(13)的答案是:
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
结合前面几个问题的分析和解答,不难得出这道题的答案为:
(14) 192.168.2.2
(15) ICMP -
第5题:
某组网拓扑如图 1-1 所示,网络接口规划如表 1-1 所示,vlan 规划如 表 1-2 所示,网络部分需求如下: 1.交换机 SwitchA,作为有线终端的网关,同时作为 DHCP Server,为 无线终端和有线终端分配 IP 地址,同时配置 ACL 控制不同用户的访 问权限,控制摄像头(camera 区域)只能跟 DMZ 区域服务器互访, 无线访客禁止访问业务服务器区和员工有线网络。 2.各接入交换机的接口加入 VLAN,流量进行二层转发。 3.出口防火墙上配置 NAT 功能,用于公网和私网地址转换:配置安全 策略,控制 Internet 的访问,例如摄像头流量无需访问外网,但可以 和 DMZ 区域的服务器互访:配置 NATServer 使 DMZ 区的 WEB 服务器 开放给公网访问。
问题:1.1 (4 分)
补充防火墙数据规划表 1-3 内容中的空缺项
补防火墙区域说明:防火墙 GE1/0/2 接口连接 dmz 区,防火墙 GE1/0/1 接口连接非安全区域,防火墙 GE1/0/0 接口连接安全区域:srcip 表示 内网区域。
问题:1.2 补充 SwichA 数据规划表 1-4 内容中的空缺项。
答案:解析:1、10.106.1.0/24
2、any 或-或 0.0.0.0/0
3、10.101.1.0/0.0.0.255
4、10.103.1.0/0.0.0.255
5、允许
6、10.104.1.0/0.0.0.255
7、10.101.1.0 255.255.255.0
8、10.104.1.1 255.255255.0
9、10.107.1.2
10、10.100.1.1