阅读以下说明,根据要求回答下列问题。
[说明]
下图是某企业网络设备连接结构。
[说明]
下图是某企业网络设备连接结构。
问答题
防火墙的规则配置如表1所示,请解释该配置的含义。
【正确答案】只允许内网计算机访问Internet,并禁止其他任意数据包从防火墙的任意接口通过(或只允许内网访问外网,不允许外网访问内网)
【答案解析】依题意,结合图中所示的网络设备连接结构图可知,在表1中,规则编号为“10”的访问过滤规则表示:允许源IP地址为网段10.1.1.0/24中任一地址的任意数据包从防火墙接口E1到接口E0通过,即允许内网计算机访问Internet(或外网)资源。
同理,规则编号为“20”的访问过滤规则表示:禁止目的IP地址为网段10.1.1.0/24中任一地址的任意数据包从防火墙接口E0到接口E1通过,即禁止外网(或Internet)访问内网计算机或资源。
规则编号为“30”的访问过滤规则表示:拒绝其他任何从防火墙接口E1到接口E0、接口E0到接口E1的数据包通过。
综上所述,表1配置的综合含义是:只允许内网计算机访问Internet,并禁止其他任意数据包从防火墙的任意接口通过。
填空题
编写表2中的规则编号“1”,禁止内网主机PC1访问Internet上的FTP服务。
表2 防火墙的访问过滤规则配置2
问答题
能否在不增加规则的前提下,通过修改表2中的规则编号“1”,限制内网主机PC1仅能访问Internet上的FTP服务,请说明理由。
【正确答案】不能,理由:修改该ACL规则最多只能允许内网主机PC1访问Internet上FTP服务的请求数据包通过防火墙,但对于回程的响应数据包是无法从防火墙通过的
【答案解析】依题意,若简单地将表2中规则编号为“1”的访问过滤规则的“行动”配置由原来的“拒绝”更改为“允许”,则该ACL规则起到的作用是:只允许内网主机PC1访问Internet上FTP服务的请求数据包通过防火墙。但是,对于相关FTP服务器给主机PC1响应的数据包是无法从防火墙接口E0通过到接口E1的。对此,若要实现题意的要求——“限制内网主机PC1仅能访问Internet上的FTP服务”,则还需要在表2中规则编号为“20”的访问过滤规则之前(例如,在规则编号“1”之后,或者在规则编号“10”之后)新增一条如下规则:“源”应填入Any;“目的”应填入10.1.1.6/32;“方向”应填入E0→E1;“协议”应填入FTP;“行动”应填入“允许”。
填空题
编写表3中的规则,允许外网主机访问内网的DNS服务。
表3 防火墙的访问过滤规则配置3
问答题
请说明表3中的规则应该插入到表2中的何处才能生效。
【正确答案】应插入到表2中规则编号为“1”的访问控制规则之前(或之后),或者插入到表2规则编号为“10”的访问控制规则之后(或之前),或者插入到规则20前面任意位置即可
【答案解析】依题意,应该将表3的访问控制规则插入到表2中规则编号为“20”的访问控制规则之前才能生效。例如,插入到表2中规则编号为“1”的访问控制规则之前(或之后),或者插入到表2中规则编号为“10”的访问控制规则之后(或之前)。