某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。
图4-1
在防火墙上利用show命令杳询当前配置信息如下:
PIX#show config
…
nameif eth0 outside security0
nameif eth1 inside security100
nameif eth2 dmz security40
…
fixup protocal ftp 21(1)
fixup protocol http 80…
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1?255.255.255.0
ip address dmz 10.10.0.1?255.255.255.0
…
global(outside)1 61.144.51.46
nat(inside)1 0.0.0.0?0.0.0.000
…
route outside 0.0.0.0 0.0.0.0 61.144.51.45 1(2)
…
【问题1】(4分)
解释(1)、(2)处画线语句的含义。
【问题2】(6分)
根据配置信息,填写表4-1。
【问题3】(2分)
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是(7)。
【问题4】(3分)
如果需要在dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
PIX(config)#static(dmz,outside)(8)(9)
PIX(config)#conduit?permit?tcp?host(10)eq?www?any
【问题1】(4分)
(1)启用ftp服务(2分)
(2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1(2分)
【问题2】(6分)
(3)192.168.0.1(1.5分)
(4)255.255.255.248(1.5分)
(5)eth2(1.5分)
(6)10.10.0.1(1.5分)
【问题3】(2分)
(7)61.144.51.46
【问题4】(3分)
(8)61.144.51.43(1分)
(9)10.10.0.100(1分)
(10)61.144.51.43(1分)
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是PIX防火墙要侦听的服务。见下面例子:
例:Pix525(config)#fixup?protocol?ftp?21
启用FTP协议,并指定FTP的端口号为21。
设置指向内网和外网的静态路由采用route命令:
定义一条静态路由。route命令配置语法:
route(if_name)0?0?gateway_ip[metric]
其中参数解释如下:
if_name表示接口名字,例如inside,outside;
Gateway_ip表示网关路由器的ip地址;
[metric]表示到gateway_ip的跳数,通常缺省是1。
例:Pix525(config)#route?outside?0?0?61.144.51.168?1
设置eth0口的默认路由,指向61.144.51.168,且跳步数为1。
防火墙通常具有一般有3个接口,使用防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网)。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
非军事区(DMZ,又称停火区)。是一个隔离的网络,或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许它们访问企业内部网络。
由配置信息,ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0
ip address dmz 10.10.0.1 255.255.255.0
可知eth1的IP地址为192.168.0.1,eth0的IP地址为61.144.51.42,子网掩码为255.255.255.248,dmz接口的名称为eth2,IP地址为10.10.0.1。
Global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。
Global命令的配置语法:
global(if_name)nat_id?ip_address-ip_address[netmark?global_mask]
其中参数解释如下:
if_name表示外网接口名字,例如outside;
Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配;
ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围;
[netmark?global_mask]表示全局ip地址的网络掩码。
由配置命令:
global(outside)1 61.144.51.46
nat(inside)1 0.0.0.0 0.0.0.000
可以看出由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是61.144.51.46。
配置静态IP地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
static命令配置语法:
static(internal_if_nameexternal_if_name)outside_ip_address?inside_ip_address
其中参数解释如下:
internal_if_name表示内部网络接口,安全级别较高。如inside;
external_if_name为外部网络接口,安全级别较低。如outside等;
outside_ip_address为正在访问的较低安全级别的接口上的ip地址;
inside_ip_address为内部网络的本地ip地址。
例:Pix525(config)#static(inside,outside)61.144.51.62?192.168.0.8
表示IP地址为192.168.0.8的主机,对于通过PIX防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部IP地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
管道命令(conduit用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:
conduit?permit|deny?global_ip?port[-port]protocol?foreign_ip[netmask]
【参数说明】
permit|deny:允许|拒绝访问。
global_ip指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
一台主机的IP地址为202.123.25.36,掩码为255.255.254.0。如果该主机需要在该网络进行直接广播,那么它应该使用的目的地址为( )
在计算机系统的日常维护工作中,应当注意硬盘工作时不能__(2)__。另外,需要防范病毒,而__(3)__是不会被病毒感觉的。
有 4 个 IP 地址:201.117.15.254、201.117.17.01、201.117.24.5 和 201.117.29.3,如果子网掩码为 255.255.248.0,则这 4 个地址分别属于3个子网;其中属于同一个子网的是()
在异步通信中,每个字符包含1位起始位、7位数据位、1位奇偶位和1位终止位,每秒钟传送200个字符,采用4相位调制,则码元速率为()。
在 Windows 中,运行( )命令得到下图所示结果。以下关于该结果的叙述中,错误的是( )。
Pinging 59.74.111.8 with 32 bytes of data:
Reply from 59.74.111.8: bytes=32 time=3ms TTL=60
Reply from 59.74.111.8: bytes=32 time=5ms TTL=60
Reply from 59.74.111.8: bytes=32 time=3ms TTL=60
Reply from 59.74.111.8: bytes=32 time=5ms TTL=60
Ping statistics for 59.74.111.8:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 5ms, Average = 4ms
在ISO OSF/RM参考模型中,七层协议中的__(1)__利用通信子网提供的服务实现两个用户进程之间端到端的通信。在这个模型中,如果A用户需要通过网络向B用户传送数据,则首先将数据送入应用层,在该层给它附加控制信息后送入表示层;在表示层对数据进行必要的变换并加头标后送入会话层;在会话层加头标送入传输层;在传输层将数据分解为__(本题)__后送至网络层;在网络层将数据封装成__(3)__后送至数据链路层;在数据链路层将数据加上头标和尾标封装成__(4)__后发送到物理层;在物理层数据以__(5)__形式发送到物理线路。B用户所在的系统接收到数据后,层层剥去控制信息,把原数据传送给B用户。
在OSI/RM中,解释应用数据语义的协议层是()。
在TCP/IP协议栈中,ARP协议的作用是(),RARP协议的作用是(请作答此空)。
在地址 http://www.dailynews.com.cn/channel/welcome.htm 中,www.dailynews.com.cn 表示( ),welcome.htm 表示(请作答此空)。
在电子表格软件Excel中,假设A1单元格的值为15,若在A2单元格输入“=AND(15<A1,A1<100)”,则A2单元格显示的值为 ()
