CMS专题
多选题某单位路由器防火墙作了如下配置:firewall enableacl 101rule permit ip source 202.38.0.00.0.0.255 destination 10.10.10.100.0.0.255rule deny tcp source 202.38.0.00.0.0.255 destination 10.10.10.100.0.0.255 destination-portgreater-than 1024rule deny ip source any destinati
题目
外部主机202.38.0.50可以PING通任何内部主机
内部主机10.10.10.5,可任意访问外部网络资源
内部任意主机都可以与外部任意主机建立TCP连接
外部202.38.5.0/24网段主机可以与此内部网主机TCP连接
外部202.38.0.0/24网段主机不可以与此内部同主机建立目标端口号大于1024的TCP连接
相似问题和答案
第1题:
【题目描述】
43、某单位路由器防火墙作了如下配置: firewall enable access-list normal 101 permit ip 202.38.0.0 0.0.0.255 10.10.10.10 0.0.0.255 access-list normal 101 deny tcp 202.38.0.0 0.0.0.255 10.10.10.10 0.0.0.255 gt 1024 access-list normal 101 deny ip any any 端口配置如下 interface Serial0 Enable Ip address 202.38.111.25 255.255.255.0 encapsulation ppp ip access-group 101 out interface Ethernet0 ip address 10.10.10.1 255.255.255.0 内部局域网主机均为10.10.10.0 255.255.255.0网段。以下说法正确的是(本题假设其他网络均没有使用防火墙):A、外部主机202.38.0.50可以ping通任何内部主机; B、内部主机10.10.10.5,可以任意访问外部网络资源; C、外部202.38.5.0 255.255.255.0网段主机可以与此内部网主机建立tcp连接; D、外部202.38.0.0 255.255.255.0网段主机不可以与此内部网主机建立tcp连接 E、内部任意主机都可以与外部任意主机建立tcp连接; F、内部任意主机只可以与外部202.38.0.0 255.255.255.0网段主机建立tcp连接
正确答案:AC
第2题:
认真阅读下列关于计算机网络防火墙的说明信息,回答问题1~5。将答案填入对应的解答栏内。
[说明] 某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。
完成下列命令行,对网络接口进行地址初始化配置:
firewall(config)ip address inside (1) (2)
firewall(config)ip address outside (3) (4)
(1)
192.168.0.1
第3题:
请认真阅读下列有关计算机网络防火墙的说明信息,回答问题1~5。
[说明]
某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。
完成下列命令行,对网络接口进行地址初始化的配置:
firewall(config)ip address inside(1)(2)
fnrewall(config)ip address outside(3)(4)
(1)192.168.0.1(2)255.255.255.0 (3)202.117.12.37(4)255.255.255.252 解析:本题测试防火墙有关参数及安全规则配置的知识。
从原题给出的网络连接图可以看出,这里的防火墙是基于访问控制策略而设立在内外网络之间的一种安全保护机制,在防火墙上装有两块配置不同网络IP地址的网卡,位于内外网络之间,并分别与内外网络相连,实现了在物理.上将内外网络隔开。此处的防火墙系统就是一个多端口的IP路由器,实现内外两个网络的跨网段访问。同时它还能够拦截和检查所有出站和进站的数据,它首先打开IP包,取出包头,根据包头的信息(如 IP源地址,IP目标地址)确定该包是否符合包过滤规则(如对包头进行语法分析,阻止或允许包传输或接收),并进行记录。对于符合规则的包,则进行转发,否则应报警并丢弃该包。
防火墙还实现了NAT (NetworkAddressTranslation)网络地址转换功能,利用NAT技术,可以使内部局域网中多台计算机通过共享一个出口IP地址访问外部网络。通常情况下,是将内部的一个子网内的IP地址段通过配置命令进行地址转换,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。在配置防火墙的IP地址转换规则时,如果要求转换所有IP地址则使用如下的命令语句:
firewall(config)#nat (outside) 1 0.0.0.0 0.0.0.0
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施:三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,大量的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严、安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
在防火墙上制定的访问安全控制规则可以是基于某个特定协议的,如FTP,HTTP等。防火墙根据事先设定的访问控制规则来监控进出网络的数据信息,只允许那些符合安全规则的信息出入。这些功能都是通过ACL(access-control-list)访问控制列表实现的。ACL是应用于IP地址和上层IP协议的允许和拒绝条件的一个有序集合。
标准IP访问控制列表语法:
access-list access-list-number {permit|deny} source destination [log]
其中默认的源和目的为IP地址,如果要具体到端口号,则需指明关键字“tcp”。另外源和目的还可以使用通配符,如“any”表示“所有的”或“任意的”。如:
ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80
定义了一个编号为101,协议类型为TCP,源地址为“任意”,端口号等于80,访问目的地址为10.0.0.0/24的网络的数据包允许通过的访问控制列表。
下面是上一个访问控制列表的反向访问控制列表:
ip access-list 102 permit tcp 10.0.0.0 255.255.255.0 any eq 80
第4题:
[说明]某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如图5-1所示。
完成下列命令行,对网络接口进行地址初始化的配置:
firewall(config)ip address inside (1) (2)
firewali(config)ip address outside (3) (4)
192.168.0.1 255.255.255.0 202.117.12.37 255.255.255.252
第5题:
某单位路由器防火墙作了如下配置: firewall enable access-list normal 101 permit ip 202.38.0.0 0.0.0.255 10.10.10.10 0.0.0.255 access-list normal 101 deny tcp 202.38.0.0 0.0.0.255 10.10.10.10 0.0.0.255 gt 1024 access-list normal 101 deny ip any any 端口配置如下 interface Serial0 Enable Ip address 202.38.111.25 255.255.255.0 encapsulation ppp ip access-group 101 out interface Ethernet0 ip address 10.10.10.1 255.255.255.0 内部局域网主机均为10.10.10.0 255.255.255.0网段。以下说法正确的是(本题假设其他网络均没有使用防火墙):
A、外部主机202.38.0.50可以ping通任何内部主机; B、内部主机10.10.10.5,可以任意访问外部网络资源; C、外部202.38.5.0 255.255.255.0网段主机可以与此内部网主机建立tcp连接; D、外部202.38.0.0 255.255.255.0网段主机不可以与此内部网主机建立tcp连接 E、内部任意主机都可以与外部任意主机建立tcp连接; F、内部任意主机只可以与外部202.38.0.0 255.255.255.0网段主机建立tcp连接
第6题:
下面是某路由器的部分配置信息,解释标有下划线部分的含义,将解答填入对应栏内。
[配置路由器信息]
Current configuration:
!
hostname router1
isdn switch-type basic-net3 第(1)处
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside 第(2)处
!
interface bri0
ip address negotiated 第(3)处
ip nat outside
encapsulation ppp
pppauthentication pap callin 第(4)处
ppp multlink 第(5)处
dialer-group 1
dialer string 2633
ppp pap sent-username 263 password 263 第(6)处
ip route 0.0.0.0 0.0.0.0 bri 0
access-list 2 permit any 第(7)处
dialer-list 1 protocol ip permit 第(8)处
ip nat inside source list 2 interface bri 0 overload 第(9)处
…
End
(1)设置ISDN交换类型为baisie-net3。 (2)指定为内部端口。 (3)ip地址磋商。 (4)使用pap作认证。 (5)启动PPP多连接。 (6)登录用户名为263口令为263。 (7)定义访问表2,允许所有协议。 (8)定义拨号列表1允许ip协议。 (9)设定符合访问列表2的所有源地址被翻译为bn0所拥有的地址。
第7题:
为了保障内部网络安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图12-6所示。
完成下列命令行,对网络接口进行地址初始化配置:
Firewall(config)ip address ins.ide ______ ______
Firewall(config)ip address outside ______ ______
阅读以下防火墙配置命令,为命令选择正确的解释。
Firewall(config)global(outside)1 61.144.51.46 ______
Firewall(config)nat(inside)1 0.0.0.0 0.0.0.0
Firewall(config)static(inside,outside) 192.168.0.1 61.144.51.42
192.168.0.1 255.255.255.0 61.144.51.42 255.255.255.248 A 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address inside192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址,192.168.0.1为内网地址。
ip address outside61.144.51.42.255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。
global指定公网地址范围、定义地址池,表示当内网的地址访问外网时,地址统一映射为ip_address-ip_address地址段的地址。
语法:global(if_name)nat_id ip_address-ip_address[netmakglobal_mask]
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)
ip_address-ip_address:表示一段IP地址范围。
[netmakglobal_mask]:表示全局IP地址的网络掩码。
第8题:
[说明]
下面是某路由器的部分配置信息,解释部分语句的含义。
[配置路由器信息]
Current configuration:
!
hostname router1
isdn switch-type basic-net3 (1)
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside (2)
!
interface bri 0
ip address negotiated (3)
ip nat outside
encapsulation PPP
PPP authentication pap callin (4)
PPP multlink (5)
dialer-group 1
dialer string 2633
PPP pap sent-username 263 password 263 (6)
ip route 0.0.0.0 0.0.0.0 bri 0
access-list 2 permit any (7)
dialer-list 1 protocol ip permit (8)
ip nat inside source list 2 interface bri 0 overload (9)
……
End
设置ISDN交换机类型为baisic-net3 指定E0端口为NAT的内部端口 指定BRI0端口的IP地址是通过自动协商获得的 使用pap作认证 启动PPP多连接功能 设置拨号时登录用户名为263口令为263 定义访问表2,并允许所有协议 定义拨号列表1 允许ip协议 设定符合访问列表2的所有主机在访问Internet时IP地址都被翻译为bri 0所拥有的地址
第9题:
阅读以下关于某硬件防火墙相关配置的技术说明,根据要求回答问题1至问题4。
【说明】
某单位在部署内部局域网时选用了一款硬件防火墙,该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等4个网络接口,支持Web界面、命令行等多种管理模式。该单位接入Internet部分的相关网络参数和网络拓扑结构如图3-7所示。
根据该单位防火墙与外部网络相关的网络连接参数,请将以下命令行中(1)~(4)空缺处的内容填写完整,以完成对防火墙相应的网络接口进行地址初始化的配置。
FireWall (config) ip address inside (1) (2)
FireWall (config) ip address outside (3) (4)
(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252 解析:这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。
1)从图3-7所示的网络拓扑结构图中可以看出,该防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现物理上将内外网隔开。
2)在图3-7所示时网络拓扑图中,防火墙FireWall分别使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口,分别与外网、内网、DMZ区相连。
3)在对防火墙网络接口进行地址初始化配置时,“ip address inside”中的“inside”表示内部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知,(1)、(2)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。
4)同理,“ip address outside”中的“outside”表示外部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知,(3)、(4)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。
第10题:
某台路由器上配置了如下一条访问列表
acl 4
rule deny source 202.38.0.0 0.0.255.255
rule permit source 202.38.160.1. 0.0.0.255
表示: ()
A、只禁止源地址为202.38.0.0 网段的所有访问;
B、只允许目的地址为202.38.0.0 网段的所有访问;
C、检查源IP 地址,禁止202.38.0.0 大网段的主机,但允许其中的202.38.160.0小网段上的主机;
D、检查目的IP 地址,禁止202.38.0.0 大网段的主机,但允许其中的202.38.160.0 小网段的主机;