【正确答案】正确答案：①预算方面的考虑，应在保持经济、有效的同时提供尽可能高级别的服务，避免因成本限制而对网络服务造成的潜在损失。 ②现有设备的考察。例如，是否有可以安装防火墙功能模块的路由器等。 ③可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用?是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。 ④可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口，避免因网络流量快速增长而成为网络的瓶颈等。 ⑤所需功能的考虑。例如，是否支持防御DoS/DDoS，是否支持VPN，能否保护特定主机的特定服务等

【答案解析】解析：在选择防火墙之前应该考虑的因素包括预算、现有设备、可用性、可扩展性和所需的功能等。 ①预算方面的考虑。网络环境中的每个防火墙应该在保持经济、有效的同时提供尽可能高级别的服务，但是如果防火墙过分受成本限制，则可能会对企业造成潜在的损失。例如，考虑网络服务因遭受拒绝服务攻击而被中断时的停机时间成本。 ②现有设备的考察。主要考虑企事业单位中是否有可利用的现有设备。例如，是否有可以重新利用的防火墙，是否有可以安装防火墙功能模块的路由器。 ⑧可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用、如何减少防火墙的故障修复时间、是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。 ④可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口。当企事业单位网络需要增加新的网络出口时，防火墙是否能通过增加模块来支持更多的接口；当网络流量快速增长时，防火墙会不会成为网络的瓶颈。此类利于未来发展的需求也应纳入可扩展性的考虑范畴。 ⑤所需功能的考虑。主要是指需要哪一种具体的防火墙功能。例如，是否支持防御DoS/DDoS，是否支持VPN，是否支持SNMPv3，能否保护特定主机的特定服务等。

【正确答案】正确答案：Pix525(config)#nameif ethernet0 E1 security100 Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#nameif ethernet2 E2 security0 Pix525(config)#ip addressE3 210.156.169.6 255.255.255.240 Pix525(config)#ip addressE1 192.168.10.1 255.255.255.0 Pix525(config)#ip addressE2 211.156.169.2 255.255.255.252

【答案解析】解析：在如图4-13所示的网络拓扑中，PIX 525防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制，实现内外网的物理分隔。它使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口，分别与外网、内网、DMZ区相连。DMZ区是放置公共信息的最佳位置，它对外网或内网用户来说是开放的、透明的。公司客户、潜在客户及外部访问者不用通过内网就可以直接获得他们所需要的信息。在图4，13中防火墙的DMZ区就是区域B的服务器群网段。 公司中机密的、私人的信息则需安全地存放在内部局域网中，即DMZ的后面。DMZ中服务器不应包含任何商业机密、资源代码或私人信息。内部局域网的安全级别最高，DMZ区域次之，Internet网的安全级别最低。 PIX 525防火墙的基本配置命令nameif用于配置防火墙接口的名字，并指定安全级别。安全级别取值范围为1～99，数字越大安全级别越高。根据如图4-13所示的网络拓扑，结合试题中己给出的配置信息可得，PIX防火墙的ethernet0端口被命名为E1，安全级别为100；ethernet1端口被命名为E3，安全级别为 60：ethernet2端口被命名为E2，安全级别为0。相比之下，E1端口安全级别最高，适合作为内部接口： E2端口安全级别最低，适合作为外部接口；E3端口适合作为DMZ接口。 PIX 525防火墙配置接口名字，并指定安全级别的相关配置语句示例如下： Pix525(config)#nameif ethernet0 E1 security100 (配置接口名字，并指定安全级别) Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#nameif ethernet2 E2 security0 对PIX防火墙网络接口进行地址初始化配置时，需要指明网络接口的名字、IP地址和子网掩码等参数。根据如图4-13所示的网络结构中防火墙各网络接口的名字和IP地址配置信息可得如下相关配置语句： Pix525(config)#ip address E3 210.156.169.6 255.255.255.240 (为DMZ接口进行IP地址配置) Pix525(config)#ip address E1 192.168.10.1 255.255.255.0 (为内网口E1进行IP地址配置) Pix525(config)#ip address E2 211.156.169.2 255.255.255.252 (为外网口E2进行IP地址配置)

【正确答案】正确答案：Pix525(config)#global(outside)1 211.156.169.2 Pix525(config)#nat(inside)1 192.168.1.0 255.255.255.192

【答案解析】解析：Cisco PIX 525防火墙的“nat”命令用于指定要进行转换的内部地址，“global”命令用于指定外部IP地址范围(地址池)。“nat”命令总是与“global”命令—起使用，因为“nat”命令可以指定一台主机或一段IP地址范围的主机访问外网，访问外网时需要利用“global”所指定的地址池进行对外访问。 “nat”命令格式如下： nat(if_name) nat_id local_ip[netmask] 其中，“if_name”是内网接口名字，例如inside；“nat_id”是全局地址池标识，使它与其相应的“global”命令相匹配；“local_ip”是内网被分配的IP地址；“netmask”是内网IP地址的子网掩码。 “global”命令格式如下： global (if_name) nat_id ip_address-ip_address [netmask global_mask] 其中，“if name”是外网接口名字，例如outside：“nat_id”是全局地址池标识；“ip_address-ip address”是NAT转换后的单个IP地址或某段IP地址范围；“netmaskglobal mask”是全局IP地址的子网掩码。 若某公司允许内部网段192.168.1.0/26的所有主机对外访问Internet，则在其网络边界防火墙Cisco PIX525可能执行的配置语句示例如下： Pix525(config)# global(outside)1 211.156.169.2 Pix525(eonfig)# nat(inside) 1 192.168.1.0 255.255.255.192

【正确答案】正确答案：(1) 定义一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。 (2) 建立内部IPDMZ区地址172.30.98.56 211.156.169.5 与外部IP地址 172.32.65.98 211.156.169.2之间的静态映射。 (3) 禁止icmp消息任意方向通过防火墙。 (4) 启用HTTP协议，并指定HTTP的端口号为8080

【答案解析】解析：(1)在配置模式下命令“route”用于设置指向内网和外网的静态路由。其语法格式如下： route＜if_name＞0 0 gateway_ip[metric] 其中，“if_name”是接口名字，例如inside、outside；“gateway_ip”是网关路由器的IP地址；“metric”是到gateway_ip的跳数，其默认值为1。 配置语句route outside 0 0 211.156.169.1表示一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。 (2)在配置模式下，命令“static”用于配置静态NAT功能。如果从外网发起一个会话，会话的目的地址是一个内网的IP地址，“static”命令就把内部地址翻译成一个指定的全局地址，允许这个会话建立。其命令格式如下： static(internal_if_name.external_if_name)outside_ip_address inside_ip_address 其中，“internal if name”是内部网络接口名字，如inside等；“extemal_if_name”是外部网络接口名字，如outside等；“outside中address”是外部IP地址；“inside_ip_address”是内部IP地址。 配置语句static(inside,outside)211.156.169.2211.156.169.5用于建立DMZ区地址211.156.169.5与外部 IP地址211.156.169.2之间的静态映射。 (3)管道命令(conduit)用于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从Internet网到DMZ(或内部接口)方向的会话。“conduit”命令的配置语法如下： conduit permit | deny global_ip port＜-port＞ protocol foreign_ip 其中，“permit”为允许访问策略，“deny”为拒绝访问策略；“global_ip”是指由“global”或“static”命令定义的全局IP地址，如果“global_ip”为0，可用any来代替0，如果“global_ip”为某台主机，则需使用host命令参数；“port”是指服务所作用的端口，可以通过服务名称或端口数字来指定端口；“protocol”是指连接协议，例如TCP、UDP、ICMP等；“foreign_ip”表示可访问“global_ip”的外部IP地址，对于任意主机，可以用any表示，如果“foreign_ip”是一台主机，则需使用host命令参数。 配置语句conduit deny icmp any any表示禁止icmp消息(如ping的回声请求/响应消息)的任意方向通过防火墙。 (4)“fixup”命令用于启用、禁止、改变一个服务或协议通过PIX防火墙。由“fixup”命令指定的端口是PIX防火墙要侦听的服务。配置语句fix up protocol http 8080表示，启用HTTP协议，并指定HTTP的端口号为8080。

【正确答案】正确答案：(5) B

【答案解析】解析：访问控制列表(ACL)用于过滤流入和流出路由器接口的数据包。它是一种基于接口的控制列表，可根据网络管理员制定的访问控制准则来控制接口对数据包的接收和拒绝，从而提高网络的安全性。 IP访问控制列表是一个连续的列表，至少由一个“permit(允许)”语句和一个或多个“deny(拒绝)”语句组成。ACL列表用名字(name)或表号(number)标识和引用。配置IP访问控制列表的首要任务就是使用命令“access-list”定义一个访问控制列表。在配置过滤规则时，需要注意的是ACL语句的顺序。因为路由器接口执行哪一条ACL是按照配置的访问控制列表中的条件语句(准则)，从第1条开始按顺序执行的。数据包只有在跟前一个判断条件不匹配时，才能跟交给ACL的下一个条件语句进行比较。可见，ACL语句的先后顺序非常重要。例如，只封禁一台地址为192.168.1.230的主机的access-list正确配置示例如下： access-list 110 deny ip host 192.168.1.230 any access-list 110 deny ip any host 192.168.1.230 access-list 110 permit ip any any 如果将“access-list 110 permit ip any any”放在ACL规则的最前面(见选项A)，则其后两条deny语句将不起作用，即不能按照预期的应用需求正确地控制数据包的接收与拒绝。 选项C的ACL规则中，缺少“permit(允许)”语句，它将封禁全网所有的通信。 选项D的ACL规则将封禁地址为192.168.1.230的主机对外的单向通信，允许其他主机或路由器访问 192.168.1.230的主机。