阅读以下技术说明,根据要求回答问题。 [说明] 某公司采用100Mbps宽带接入Internet,公司内部有15台PC,要求都能够上网。另外有两台服务器对外分别提供Web和E-mail服务,采用防火墙接入Internet网,其网络拓扑结构如图7-9所示。.jpg)
问答题
防火墙的网络地址转换(NAT)功能工作在TCP/IP协议族的(1)。 A.应用层 B.传输层 C.网络层 D.服务层
【正确答案】正确答案:C
【答案解析】解析:与路由器一样,防火墙的网络地址转换(NAT)功能可以实现内部网络共享出口IP地址的任务,它工作在TCP/IP协议族的网络层,即(1)空缺处应选择选项C。
问答题
请阅读以下防火墙的配置信息,并补充(2)~(4)空缺处的配置命令或参数,按题目要求完成防火墙的配置。1.jpg)
【正确答案】正确答案:E、F、D
【答案解析】解析:这是一道要求根据防火墙接口配置命令nameif的理解分析题。本题的解答思路如下。 PIX防火墙基本配置命令nameif,可用于配置防火墙接口的名字,并指定安全级别。安全级别取值越大,则其安全级别越高。由图7-9所示的网络拓扑结构可知,该防火墙的e0端口用于连接该公司的内部网络,通常称为内网(inside)端口,其安全级别为最高(100);e1端口通过一台路由器与Internet连接,通常称之为外网(outside)端口,其安全级别为最低(0);e2端口用于连接该公司对外提供服务(如Web、E-mail服务等)的DMZ网络,通常称为DMZ端口,其安全级别介于inside端口和outside端口之间(60)。
问答题
根据[问题2]中防火墙接口的相关配置,写出图7-9中防火墙各个端口的IP地址。 e0: (5); e1: (6); e2: (7)。
【正确答案】正确答案:192.168.46.1 202.134.135.98 10.0.0.1
【答案解析】解析:这是一道要求根据防火墙接口配置命令,结合网络拓扑结构图写出防火墙各个端口的IP地址的理解题。结合[问题2]的分析思路,再根据配置语句ip address inside 192.168.46.1 255.255.255.0可知,该防火墙e0端口的IP地址为192.168.46.1;由配置语句ip address outside 202.134.135.98 255.255.255.252可知,该防火墙e1端口的IP地址为202.134.135.98;由配置语句ip address dmz 10.0.0.1 255.255.255.0可知,该防火墙e3端口的IP地址为10.0.0.1。
问答题
ACL默认执行顺序是(8),在配置时要遵循(9)原则、最靠近受控对象原则,以及默认丢弃原则。 (8)、(9)备选答案: A.最大特权 B.最小特权 C.随机选取 D.自左到右 E.自上而下 F.自下而上
【正确答案】正确答案:E、B
【答案解析】解析:这是一道要求掌握ACL列表配置原则的基础题。本题所涉及的知识点如下。 访问控制列表(Access Contro1 List,ACL)是路由器接口的指令列表,用来控制进出端口的数据包。ACL默认执行顺序是自上而下。在配置ACL列表时,要遵循最小特权原则、最靠近受控对象原则,以及默认丢弃原则。其中,最小特权原则是指只给受控对象完成任务所需要的最小的权限,即被控制的总规则是各个规则的交集,只满足部分条件是不容许通过规则的。最靠近受控对象原则是对所有的网络层访问权限进行控制,也就是说在检查规则时是采用自上而下并在ACL中一条条检测的,只要发现符合条件的就立刻转发,而不继续检测下面的ACL语句。默认丢弃原则是指在路由交换设备中,默认最后一条ACL语句为DENY ANY ANY,即丢弃所有不符合条件的数据包。
问答题
如果防火墙采用NAPT技术,则该单位至少需要申请(10)个可用的公网地址。
【正确答案】正确答案:1
【答案解析】解析:这是一道要求掌握网络地址端口转换(NAPT)技术需要最少的公网IP地址数量的理解题。本题的解答思路如下。 网络地址转换(Network Address Translation,NAT)是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP地址出现在Internet上。换言之,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。 NAT有三种类型:静态NAT、动态NAT、网络地址端口转换(NAPT)。其中,静态NAT设置起来最为简单,内部网络中的每台主机都被永久映射成外部网络中的某个合法的地址。动态NAT则是在外部网络中定义一系列的合法地址,采用动态分配的方法映射到内部网络。网络地址端口转换(Network Address Port Translation,NAPT)则是把内部地址映射到外部网络的一个"地址的不同端口上。 动态NAT只是转换IP地址,它为每个内部的IP地址分配1个临时的外部IP地址,主要应用于拨号,对于频繁的远程连接也可以采用动态NAT。当远程用户连接上之后,动态地址NAT就会分配给他一个IP地址。当该用户断开网络连接时,该IP地址就会被释放并留待以后使用。 NAPT是人们比较熟悉的一种转换方式,普遍应用于接入设备中。它可以将中小型的网络隐藏在 1个合法的IP地址后面。NAPT与动态NAT不同,它将内部连接映射到外部网络中的1个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。 由以上分析可知,如果防火墙采用NAPT技术,则至少需要向ISP机构申请1个可用的公网地址。
问答题
要禁止内网中IP地址为198.168.46.8的PC访问外网,正确的ACL规则是(11)。 A.access-list 1 permit ip 192.168.46.00.0.0.255 any access-list 1 deny ip host 198.168.46.8 any B.access-list 1 permit ip host 198.168.46.8 any access-list 1 deny ip 192.168.46.00.0.0.255 any C.access-list 1 deny ip 192.168.46.00.0.0.255 any access-list 1 permit ip host 198.168.46.8 any D.access-list 1 deny ip host 198.168.46.8 any access-list 1 permitip 192.168.46.00.0.0.255 any
【正确答案】正确答案:D
【答案解析】解析:这是一道要求掌握标准访问控制列表的具体应用的理解题。本题的解答思路如下。 最简单的访问控制列表就是标准访问控制列表。它是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1~99宋创建相应的ACL。其具体的语法格式如下:2.jpg)
问答题
图7-9所示的防火墙结构属于(12)。 A.双宿主主机结构 B.双DMZ防火墙结构 C.单DMZ防火墙结构 D.屏蔽子网防火墙结构
【正确答案】正确答案:C
【答案解析】解析:防火墙的非军事区(DMZ)用于隔离不同网段,是放置公共信息的最佳位置,所以可在该区域部署本公司对外发布的Web、E-mail服务器,使得外部访问者可以不用通过内网就能直接获得他们所需要的信息。图7-9拓扑结构图采用的是单DMZ网段防火墙结构。