问答题
[说明]
下图是某企业网络拓扑结构。
下图是某企业网络拓扑结构。
问答题
防火墙的规则配置如表1所示,请解释该配置的含义。
| 规则编号 | 源 | 目的 | 方向 | 协议 | 行动 |
| 10 | 10.1.1.0/24 | Any | E1->E0 | Any | 允许 |
| 20 | Any | 10.1.1.0/24 | E0->E1 | Any | 拒绝 |
| 30 | Any | Any | Any | Any | 拒绝 |
【正确答案】允许内网访问外网,不允许外网访问内网。
【答案解析】本题考查防火墙过滤规则的配置。
表1所示防火墙的规则配置中共有三条规则,规则的生效是从上到下顺序生效的。规则10是允许内网到外网的所有访问;规则20是禁止外网到内网的所有访问;规则30是禁止所有的流量通过防火墙。根据防火墙规则的生效顺序,表1的配置含义是允许内网访问外网,不允许外网访问内网。
表1所示防火墙的规则配置中共有三条规则,规则的生效是从上到下顺序生效的。规则10是允许内网到外网的所有访问;规则20是禁止外网到内网的所有访问;规则30是禁止所有的流量通过防火墙。根据防火墙规则的生效顺序,表1的配置含义是允许内网访问外网,不允许外网访问内网。
问答题
编写表2中规则1,禁止内网主机pc1访问Internet上的FTP服务。
| 规则编号 | 源 | 目的 | 方向 | 协议 | 行动 |
| 1 | (1) | (2) | (3) | (4) | (5) |
| 10 | 10.1.1.0/24 | Any | E1->E0 | Any | 允许 |
| 20 | Any | 10.1.1.0/24 | E0->E1 | Any | 拒绝 |
| 30 | Any | Any | Any | Any | 拒绝 |
【正确答案】(1)10.1.1.6 (2)Any (3)E1->E0 (4)FTP (5)拒绝
【答案解析】若要求编写表2中规则1,禁止内网主机pc1访问Internet上的FTP服务,那么参照表4-1中的规则10到30可以知道,源应该是pc1的IP地址,目的可以填写成ANY,代表任意地址,方向是内网到外网方向(E1→E0),协议是FTP,行动是拒绝。
问答题
能否在不增加规则的前提下,通过修改表2中的规则1,限制内网主机pc1仅能访问Internet上的FTP服务,为什么?
【正确答案】不能,因为规则10允许所有内网对外网的访问,而规则1只能禁止pc1访问某一种服务。
【答案解析】若要求限制内网主机pc1仅能访问Internet上的FTP服务,那么仅通过修改规则1的方法是无法实现的,因为把规则1的行动改为“允许”的话,无法限制pc1访问其他服务。
问答题
编写表3中的规则,允许外网主机访问内网的DNS服务。
| 规则编号 | 源 | 目的 | 方向 | 协议 | 行动 |
| (6) | (7) | (8) | (9) | (10) |
【正确答案】(6)Any (7)10.1.1.5 (8)E0->E1 (9)DNS (10)允许
【答案解析】若要求允许外网主机访问内网的DNS服务,那么规则应该定义为“允许任意IP地址从E0到E1的DNS协议数据通过。”,对应着的源是ANY,目的是10.1.1.5,方向是E0→E1,协议是DNS,动作是“允许”。