问答题
试题二
阅读以下说明,根据要求回答下面问题。
[说明]
为了保障网络安全,某公司安装了一款防火墙,对内部网络、Web服务器及外部网络进行逻辑隔离,其网络结构如下图所示。
问答题
包过滤防火墙使用AcL实现过滤功能,常用的ACL分为两种:编号为1~99的ACL根据IP报文的源地址域进行过滤,称为______;编号为100~199的ACL根据IP报文中的更多域对数据包进行控制,称为______。
【正确答案】 标准访问控制列表或标准ACL
扩展访问控制列表或扩展ACL
【答案解析】 访问控制列表(ACL)主要有标准访问控制列表和扩展访问控制列表两种类型。标准ACL只能检查数据包的源地址,根据源网络、子网或主机的IP地址来决定对数据包的过滤。它的表号范围是1~99和1300~1999。
扩展ACL可以检查数据包的源IP地址、目的IP地址、指定的协议和端口号等来决定对数据包的过滤。它的表号范围是100~199和2000~2699。
问答题
根据如图所示,防火墙的三个端口连接的网络分别称为______、______和______。
【正确答案】 内部接口或Inside 外部接口或Outside DMZ接口或非军事区域接口
【答案解析】 防火墙是一种用来加强网络之间访问的控制,防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源,保护内部网络操作环境的网络安全设备。根据如图所示的网络拓扑结构图,防火墙连接被信任网络区域(或内部局域网,或Intranet)的端口称为内部接口(Inside),其安全级别为100;连接Internet或不被信任网络区域的端口称为外部接口(Outside),其安全级别为0;连接周边网络(也称为非军事区域(DMZ))的端口称为DMZ接口,其安全级别可为1~99中的某一个数字。
问答题
防火墙配置要求如下:
?公司内部局域网用户可以访问Web Server和Internet;
?Internet用户可以访问Web Server;
?Internet上特定主机202.110.1.100可以通过Telnet访问Web Server;
?Internet用户不能访问公司内部局域网。
请按照防火墙的最小特权原则补充完成下表。
【正确答案】 1.10 80
Any Any
201.10.1.10 23
禁止
【答案解析】 依题意,基于如图所示的网络拓扑结构,按照防火墙的最小特权原则,若要完成“公司内部局域网用户可以访问Web Server”和“Internet用户可以访问Web Server”的配置要求,则需要配置一条允许任意源IP地址、任意源端口号的数据包访问目的IP地址为202.110.1.10(即Web Server所配置的IP地址)、目的端口号为80、协议为WWW的访问控制规则,方向为Inside→DMZ、Outside→DMZ。
若要完成“公司内部局域网用户可以访问Internet”的配置要求,则需要配置一条允许源地址为192.168.1.0/24、任意源端口号的数据包访问任意目的IP地址、任意目的端口号、任意协议的访问控制规则,方向为Inside→Outside。
若要完成“Internet上特定主机202.110.1.100可以通过Telnet访问Web Server”的配置要求,则需要配置一条允许源IP地址为202.110.1.100、任意源端口号的数据包访问目的IP地址为202.110.1.10(即Web Server所配置的IP地址)、目的端口号为23、协议为Telnet的访问控制规则,方向为Outside→DMZ。
若要完成“Internet用户不能访问公司内部局域网”的配置要求,则需要配置一条禁止任意源IP地址、任意源端口号的数据包访问任意目的IP地址、任意目的端口号、任意协议的访问控制规则,方向为Outside→Inside。
问答题
由于防火墙出现故障,现将网络拓扑进行调整,增加一台包过滤路由器R2,与Proxy Server和路由器R1共同组成一个屏蔽子网防火墙,结构如下图所示。为了实现与表相同的过滤功能,补充路由器R1上的ACL规则。
【正确答案】 tcp any201.10.1.10 0.0.0.0 eq 80(或tcp anyhost 201.10.1.10 eq 80,或tcp any host201.10.1.10 eq WWW,或其他等价表示形式)
tcp 202.110.1.100 0.0.0.0 201.10.1.10 0.0.0.0 eq 23(或tcp host 202.110.1.100 host 201.10.1.10 eq 23,或tcp host 202.110.1.100 host 201.10.1.10 eqTELNET,或其他等价表示形式)
deny ip any any(或deny any any,或其他等价表示形式)
【答案解析】 在路由器上配置访问控制列表(ACL)的一般操作步骤是:①定义一个标准(或扩展)的ACL;②为ACL配置包过滤的准则;③配置ACL的应用接口。在路由器全局配置模式下,配置扩展ACL的命令是access-list access-list-number{permit|deny}protocol source wildcard-mask destination wildcard-mask[operator][operand]。其中,operator(操作)指的是It(小于)、gt(大于)、eq(等于)和neq(不等于);operand(操作数)指的是端口号。
若要完成“允许Internet用户访问Web Server”的配置要求,则其对应的ACL定义语句为access-list 101 permit tcp any 201.10.1.10 0.0.0.0 eq 80(或access-list 101 permit tcp any host 201.10.1.10 eq 80)等。
若要完成“允许主机202.110.1.100 Telnet到Web Server”的配置要求,则其对应的ACL定义语句为access-list 101 permit tcp 202.110.1.100 0.0.0.0 201.10.1.10 0.0.0.0 eq 23(或access-list 101 permit tcp host 202.110.1.100 host 201.10.1.10 eq 23)等。
若要完成“禁止所有IP包”的配置要求,则其对应的ACL定义语句为access-list 101 denyip any any(或access-list 101 deny any any)。