问答题
.阅读以下说明,回答问题1至问题4。
【说明】
某公司通过PIX防火墙接入Internet,网络拓扑如图所示。
在防火墙上利用show命令查询当前配置信息如下:
PIX#show config
…
nameif ethO outside security 0
nameif eth1 inside security 100
nameif eth2 dmz security 40
…
fixup protocol ftp 21
fixup protocol http 80 ______
…
ip address outside 61.144 51.42255.255.255.248
ip address inside 192.168 0.1 255.255 255.0
ip address dmz 10.10.0.1 255.255 255.0
…
global(outside)1 61.144.51.46
nat(inside)1 0.0.0.0 0.0.0.000
…
route outside0.0.0.0 0.0.0.0 61.144.51.451 ______
…
【说明】
某公司通过PIX防火墙接入Internet,网络拓扑如图所示。
在防火墙上利用show命令查询当前配置信息如下:
PIX#show config
…
nameif ethO outside security 0
nameif eth1 inside security 100
nameif eth2 dmz security 40
…
fixup protocol ftp 21
fixup protocol http 80 ______
…
ip address outside 61.144 51.42255.255.255.248
ip address inside 192.168 0.1 255.255 255.0
ip address dmz 10.10.0.1 255.255 255.0
…
global(outside)1 61.144.51.46
nat(inside)1 0.0.0.0 0.0.0.000
…
route outside0.0.0.0 0.0.0.0 61.144.51.451 ______
…
问答题
1. 【问题1】
解释(1)、(2)处画线语句的含义。
解释(1)、(2)处画线语句的含义。
【正确答案】(1)启用FTP服务
(2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1
(2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1
【答案解析】 fixup命令可以启用或者禁止特定的服务、协议。
题干出现的PIX配置语句含义解释如下:
PIX#show config
…
nameif eth0 outside security 0 //eth0接口命名为outside,安全级别设置为0
nameif eth1 inside security 100 //ethl接口命名为inside,安全级别设置为100
nameif eth2 dmz security 40 //eth2接口命名为dmz,安全级别设置为40
…
fixup protocol ftp 21 //启动FTP协议,允许21端口的数据通过
fixup protocol http 80 //启动HTTP协议,允许80端口的数据通过
…
ip address outside 61.144.51.42 255.255.255.248 //配置outside接口IP地址与掩码
ip address inside 192.168.0.1 255.255.255.0 //配置inside接口 IP地址与掩码
ip address dmz 10.10.0.1 255.255.255.0 //配置dmz接口IP地址与掩码
…
global (outside)1 61.144.51.46
//经outside接口去外网的数据,地址转换为61.144.51.46,全局地址池标志为1。所以由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是61.144.51.46
nat(inside)1 0.0.0.0 0.0.0.000
//所有地址按地址池1定义进行地址转换
…
route outside 0.0.0.0 0.0.0.0 61.144.51.45 1
//设定默认路由,所有数据通过61.144.51.45转发
更详细的PIX配置参见朱小平老师编著的《网络工程师的5天修炼》一书的第23章。使用static命令配置静态地址映射,使得内外部地址一一对应。
Firewall(config)#static(internal_interface_name,external_interface_name) outside_ip_address inside_ip_address
其中internal_interface_name表示内部网络接口,安全级别较高,如inside;
external_interface_name表示外部网络接口,安全级别较低,如outside;
outside_ip_address表示共有IP地址;inside_ip_address表示被转换的IP地址。
如果需要在dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),就需要完成两步工作
①将10.10.0.100和61.144.51.43建立映射关系;
PIX(config)#static(dmz,outside)61.144.51.43 10.10.0.100可以完成这种映射。
②防火墙上放开外网地址61.144.51.43的80端口。
PIX(config)#conduit permit tcp host 61.144.51.43eq www any可以完成端口放开的任务。
题干出现的PIX配置语句含义解释如下:
PIX#show config
…
nameif eth0 outside security 0 //eth0接口命名为outside,安全级别设置为0
nameif eth1 inside security 100 //ethl接口命名为inside,安全级别设置为100
nameif eth2 dmz security 40 //eth2接口命名为dmz,安全级别设置为40
…
fixup protocol ftp 21 //启动FTP协议,允许21端口的数据通过
fixup protocol http 80 //启动HTTP协议,允许80端口的数据通过
…
ip address outside 61.144.51.42 255.255.255.248 //配置outside接口IP地址与掩码
ip address inside 192.168.0.1 255.255.255.0 //配置inside接口 IP地址与掩码
ip address dmz 10.10.0.1 255.255.255.0 //配置dmz接口IP地址与掩码
…
global (outside)1 61.144.51.46
//经outside接口去外网的数据,地址转换为61.144.51.46,全局地址池标志为1。所以由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是61.144.51.46
nat(inside)1 0.0.0.0 0.0.0.000
//所有地址按地址池1定义进行地址转换
…
route outside 0.0.0.0 0.0.0.0 61.144.51.45 1
//设定默认路由,所有数据通过61.144.51.45转发
更详细的PIX配置参见朱小平老师编著的《网络工程师的5天修炼》一书的第23章。使用static命令配置静态地址映射,使得内外部地址一一对应。
Firewall(config)#static(internal_interface_name,external_interface_name) outside_ip_address inside_ip_address
其中internal_interface_name表示内部网络接口,安全级别较高,如inside;
external_interface_name表示外部网络接口,安全级别较低,如outside;
outside_ip_address表示共有IP地址;inside_ip_address表示被转换的IP地址。
如果需要在dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),就需要完成两步工作
①将10.10.0.100和61.144.51.43建立映射关系;
PIX(config)#static(dmz,outside)61.144.51.43 10.10.0.100可以完成这种映射。
②防火墙上放开外网地址61.144.51.43的80端口。
PIX(config)#conduit permit tcp host 61.144.51.43eq www any可以完成端口放开的任务。
问答题
2. 【问题2】
根据配置信息填写下表。
根据配置信息填写下表。
| 配置信息表 | ||||||||||||||||||||||||||||||||||
| 域名称 | 接口名称 | IP地址 | IP地址掩码 | |||||||||||||||||||||||||||||||
| inside | eth1 | ① | 255.255.255.0 | |||||||||||||||||||||||||||||||
| outside | eth2 | 61.144.51.42 | ② | |||||||||||||||||||||||||||||||
| dmz | ③ | ④ | 255.255.255.0 | |||||||||||||||||||||||||||||||
【正确答案】①192.168.0.1
②255.255.255.248
③eth2
④10.10.0.1
②255.255.255.248
③eth2
④10.10.0.1
【答案解析】
问答题
3. 【问题3】
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是______。
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是______。
【正确答案】61.144.51.46
【答案解析】
问答题
4. 【问题4】
如果需要在dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
PIX(config)#static(dmz,outside) ______ ______
PIX(config)#conduit permittcp host ______ eqwww any
如果需要在dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
PIX(config)#static(dmz,outside) ______ ______
PIX(config)#conduit permittcp host ______ eqwww any
【正确答案】61.144.51.43
10.10.0.100
61.144.51.43
10.10.0.100
61.144.51.43
【答案解析】