如图4-1所示,要求在防火墙上通过ACL配置,允许在inside区域除工作站PC1外的所有主机都能访问Internet,请补充完成ACL规则200。access-list 200 (9) host 192.168.46.10 anyaccess-list 200 (10) 192.168.46.0 0.0.0.255 any
题目
如图4-1所示,要求在防火墙上通过ACL配置,允许在inside区域除工作站PC1外的所有主机都能访问Internet,请补充完成ACL规则200。
access-list 200 (9) host 192.168.46.10 any
access-list 200 (10) 192.168.46.0 0.0.0.255 any
相似考题
参考答案和解析
deny permit 解析:两条ACL语句应该为允许192.168.46.0子网的所有数据包通过,但拒绝192.168.46.10的数据包,所以(9)为deny,(10)为permit。
更多“如图4-1所示,要求在防火墙上通过ACL配置,允许在inside区域除工作站PC1外的所有主机都能访问Inter ”相关问题
-
第1题:
为了保障内部网络的安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图所示。
完成下列命令行,对网络接口进行地址初始化配置:
fu'ewall(config)ip address inside (1) (2)
firewall(config)ip address outside (3) (4)
阅读以下防火墙配置命令,为命令选择正确的解释。
firewall(config)global(outside)1 61.144.51.46 (5)
firewall(config)nat(inside)1 0.0.0.0 0.O.0.0
firewall(config)static(inside,outside)192.168.0.1 61.144.51.42 。
(5)A)当内网的主机访问外网时,将地址统一映射为61.144.51.46B)当外网的主机访问内网时,将地址统一映射为61.144.51.46C)设定防火墙的全局地址为61.144.51.46D)设定交换机的全局地址为61.144.51.46
正确答案:(1)192.168.0.1 (2)255.255.255.0 (3)61.144.51.42 (4)255.255.255.248 (5)A
(1)192.168.0.1 (2)255.255.255.0 (3)61.144.51.42 (4)255.255.255.248 (5)A 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address in-side 192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址。192.168.0.1为内网地址。ip address outside 61.144.51.42 255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。global指定公网地址范围、定义地址池,表示当内网的地址访问外网时,地址统一映射为ip—address—ip—address地址段的地址。语法:global(if_name)nat_id ip—address—ip—address[netmarkglobal—mask](if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat要引用)。ip_address—ip—address:表示一段IP地址范围。[netmarkglobal—mask]:表示全局IP地址的网络掩码。 -
第2题:
试题四(共15分)
阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。
【说明】
图4-1是某企业网络拓扑结构。
【问题1】(2分)
防火墙的规则配置如表4-1所示,请解释该配置的含义。
【问题2】 (5分)
编写表4-2中规则1,禁止内网主机pc1访问Internet上的FTP服务。
【问题3】(2分)
能否在不增加规则的前提下,通过修改表4-2中的规则1,限制内网主机pc1仅能访问Internet上的FTP服务,请说明理由。
【问题4】 (5分)
编写表4-3中的规则,允许外网主机访问内网的DNS服务。
【问题5】(1分)
请说明表4-3中的规则应该插入到表4-2中的何处才能生效。
正确答案:
试题四(共15分)
【问题1】 (2分)
允许内网访问外网,不允许外网访问内网。
【问题2】 (5分)
(1) 10.1.1.6
(2) Any
(3) El->EO
(4) FTP
(5)拒绝
【问题3】 (2分)
不能,因为规则10允许所有内网对外网的访问,而规则1只能禁止pc1访问某一种服务。
【问题4】 (5分)
(6) Any (7) 10.1.1.5 (8) EO->E1 (9) DNS (10)允许
【问题5】(1分)
插入到规则20前面任意位置即可。 -
第3题:
阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。
(注:表4-4策略在表4-2之前生效)
问题3】(4分,每空1分)
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充
完成表4-5的策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)
答案:解析:【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP
【解析】
解析:
【问题1】 (6分)
正如题干所描述的,防火墙默认配置允许内网访外网和DMZ,但不允许外网访问内网和DMZ,这样的配置从安全角度来说无可厚非,但从应用角度来说就不合适了。DMZ中的web、mail服务器是需要发布到出去的,换言之是要允许外网的用户访问的,所以为了实现这一点,我们需要额外添加访问规则允许外网访问DMZ中web和mail服务器,而且添加的规则一定要在防火墙默认规则之前生效,基于这一点,我们在表4-3中添加的规则就比较容易了。允许外网访问
web和mail服务器,那么其流量源就是外部地址,用any来表示,那么流量目的地就是DMZ区域的web和mail服务器地址,其流量的方向是E2--->E1,对应的ip地址分别是192.168.2.2、192.168.2.3,对应的目的端口分别是TCP 80、TCP 25,对应的协议分别是HTTP、SMTP,给予的工作都是允许,故(1)~(6)的答案是:
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
要禁止内网访问internet上202.10.20.30的FTP服务,其流量方向为E0-->E2,源地址192.168.1.0/24,源端口是随机端口,所以是any,给予的动作是禁止,目的地址为202.10.20.30,目的端口是21,所以(7)~(9)答案为:
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,在添加规则的时候一定是先处理特权流量,再处理范围流量。根据题意,是允许
PC1访问219.16.17.18的web服务,但拒绝192.168.1.0/24网络其他主机访问219.16.17.18的web服务。所以在写规则的时候先要添加针对于PC1访问219.16.17.18的web服务给予允许规则,在添加对于192.168.1.0/24访问219.16.17.18的web服务给予禁止规则,由此得到(10)~(13)的答案是:
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
结合前面几个问题的分析和解答,不难得出这道题的答案为:
(14) 192.168.2.2
(15) ICMP -
第4题:
某网络结构如下图所示。除了PC1 外其它 PC 机都能访问服务器 Server1,造成PC1 不能正常访问 Server1 的原因可能是 (39) 。
正确答案:D
-
第5题:
试题四(15分)
阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。
(注:表4-4策略在表4-2之前生效)
【问题3】(4分,每空1分)
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充
完成表4-5的策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)
正确答案:【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP