阅读以下关于某硬件防火墙相关配置的技术说明,根据要求回答问题1至问题4。【说明】 某单位在部署内部局域网时选用了一款硬件防火墙,该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等4个网络接口,支持Web界面、命令行等多种管理模式。该单位接入Internet部分的相关网络参数和网络拓扑结构如图3-7所示。.jpg)
问答题
根据该单位防火墙与外部网络相关的网络连接参数,请将以下命令行中(1)~(4)空缺处的内容填写完整,以完成对防火墙相应的网络接口进行地址初始化的配置。 FireWall (config) #ip address inside (1) (2) FireWall (config) #ip address outside (3) (4)
【正确答案】正确答案:(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252
【答案解析】解析:这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。 1)从图3-7所示的网络拓扑结构图中可以看出,该防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现物理上将内外网隔开。 2)在图3-7所示时网络拓扑图中,防火墙FireWall分别使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口,分别与外网、内网、DMZ区相连。 3)在对防火墙网络接口进行地址初始化配置时,“ip address inside”中的“inside”表示内部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知,(1)、(2)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。 4)同理,“ip address outside”中的“outside”表示外部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知,(3)、(4)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。
问答题
防火墙的网络地址转换功能工作在TCP/IP协议族的(5)。在图3-7所示的网络拓扑图中,内部网络经由防火墙采用NAT方式与Internet网络进行通信,防火墙的网络地址转换功能的配置界面如图3-8所示。请将图3-8中(6)~(8)空缺处的内容填写完整,以实现整个内部网络段的多个用户共享同一个公网IP地址。.jpg)
【正确答案】正确答案:(5) C,或网络层 (6) D,或any (7) A,或WAN (8) B,或211.156.169.2
【答案解析】解析:这是一道要求读者掌握防火墙设备NAT配置的分析理解题。本题的解答思路是,与路由器一样,防火墙的网络地址转换功能可以实现内部网络共享出口IP地址的任务,它工作在TCP/IP协议族的网络层,即(5)空缺处所填写的内容。 要实现整个内部网络段(192.168.10.0/24)的多个用户共享同一个公网IP地址的功能,且考虑到试题中未对访问权限加以限制(图3-8中“协议”为“any”),因此(6)空缺处的“目的地址”可设置为“any”。 因为是“内部网络段的多个用户共享公网IP地址”,所以图3-8中(7)空缺处的“转换接口”应设置为防火墙FireWall的外网接口,即WAN口。(8)空缺处的“转换后地址”为防火墙FireWall的外网接口的IP地址,即211.156.169.2。
问答题
包过滤规则策略是防火墙实现安全管理的重要手段,通常防火墙包过滤规则的默认策略为拒绝。图 3-9给出了防火墙的包过滤规则的相关配置界面。若要求内部所有主机不能访问外部IP地址段为 202.117.12.0/24的Web服务器,请将图3-9中(9)~(12)空缺处的内容填写完整,以完成相应的配置任务。.jpg)
【正确答案】正确答案:(9) A,或192.168.10.0/24 (10) D,或any (11) B,或TCP (12) C,或LAN→WXN
【答案解析】解析:这是一道要求读者掌握防火墙设备包过滤规则策略配置的分析理解题。本题的解答思路如下。 1)注意到试题中关键信息“要求内部所有主机不能访问外部IP地址段为202.117.12.0/24的Web服务器”的“内部所有主机”,这些主机在图3-7所示的网络拓扑图中对应于区域B的计算机。由于防火墙与区域B相连接的接口IP地址为192.168.10.254/24,其中子网掩码为255.255.255.0,而区域B仅给出了一台交换机,可见区域B就是一个广播域。因此(9)空缺处应填入区域B的网段地址(192.168.10.0/24), (10)空缺处的填写内容应选择“any”。 2)通常Web服务器是使用TCP/IP协议族中的HTTP协议提供服务的,而HTTP协议是一个传输层基于TCP协议的应用层协议,同时注意到防火墙包过滤规则配置界面(见图3-9)的“目的端口”中已给出“80”的数据,因此(11)空缺处的“协议”应选择“TCP”。 3)同理,由试题的关键信息“要求内部所有主机不能访问外部……的Web服务器”可知,该包过滤规则的控制方向是控制内网传输到Internet网的数据包,即从防火墙的“LAN”端口流入,“WAN”端口流出的IP数据包,因此(12)空缺处的“方向”应选择“LAN→WAN”。
问答题
在图3-7所示的网络拓扑图中,要求使计算机PC1仅在访问外部网站(端口号为80)时启动HTTP代理服务(端口号为3128),通过HTTP缓存提高浏览速度。 图3-10给出了主机PC1的“局域网(LAN)设置”的配置界面。请用200字以内的文字简要的说明完成以上配置任务的操作步骤。.jpg)
【正确答案】正确答案:1)选中图3-10中的“自动配置”栏内的“自动检测设置(A)”复选框; 2)先在图3-10中“代理服务器”栏内选中“为LAN使用代理服务器(x)”复选框,“地址”框内填入“192.168.10.254”,“端口”框中填入“3128”,然后选中“对于本地地址不使用代理服务器”复选框
【答案解析】解析:这是一道要求读者掌握工作在TCP/IP协议族应用层的HTTP代理配置的实践操作题。本题的解答思路如下。 1)在图3-10所示的配置界面中,已选中“代理服务器”栏内“为LAN使用代理服务器(X)”复选框,激活了“地址”、“端口”、“对于本地地址不使用代理服务器”栏目参数的设置,即如果没有选中“为 LAN使用代理服务器(X)”这一复选框,那么这3个栏目的参数处于不可设置状态。 2)注意到试题中关键信息“使计算机PCI仅在访问外部网站时启动HTTP代理服务”的“仅”字,说明主机PCI访问区域B中的内部服务器或其他计算机(PC2~PCn)时将不启用HTTP代理服务功能,因此需选中“对于本地地址不使用代理服务器”复选框。同时还要选中图3-10所示的界面中“自动配置”栏内的“自动检测设置(A)”这一复选框,以使PCI的浏览器能自动根据IP地址等信息判断是访问内网服务,还是进行外网的服务访问。 3)在“代理服务器”栏的“地址”框内填入区域B的网关地址“192.168.10.254”,这是由于该防火墙已启动了NAT功能。由试题中已给出的“HTTP代理服务(端口号为3128)”可知,“端口”框中应填入“3128”。