阅读以下说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。

【说明】

某企业的网络拓扑结构如图4-1所示。

【问题1】（2 分）

防火墙使用安全区域的概念来表示与其相连接的网络。图 4-1 中 inside、outside 和dmz区域对应Trust区域、Untrust区域和dmz区域，不同区域代表了不同的可信度，默认的可信度由高到低的顺序为（1）。

（1）备选答案：

A．inside、outside、dmz

B．inside、dmz、outside

C．outside、dmz、inside

D．outside、inside、dmz

【问题2】（2 分）

包过滤防火墙利用数据包的源地址、目的地址、（2）、（3）和所承载的上层协议，把防火墙的数据包与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。

【问题3】（4 分）

为了过滤数据包，需要配置访问控制列表（ACL），规定什么样的数据包可以通过，什么样的数据包不能通过。ACL规则由多条permit或deny语句组成，语句的匹配顺序是从上到下。

语句access-list 1 deny any any的含义是（4），该语句一般位于ACL规则的最后。

语句access-list 100 permit tcp any host 222.134.135.99 eq ftp的含义是（5）。

【问题4】（3 分）

请按照图4-1所示，完成防火墙各个网络接口的初始化配置。

firewall(config)# ip address inside（6）255.255.255.0 //配置网口eth0

firewall (config)# ip address outside（7）255.255.255.252 //配置网口eth2

firewall (config)# ip address（8）10.0.0.1 255.255.255.0 //配置网口eth1

【问题5】（2 分）

如图 4-1 所示，要求在防火墙上通过 ACL 配置，允许在 inside 区域除工作站 PC1外的所有主机都能访问Internet，请补充完成ACL规则200。

access-list 200（9）host 192.168.46.10 any

access-list 200（10）192.168.46.0 0.0. 0. 255 any

【问题6】（2 分）

如图 4-1 所示，要求在防火墙上配置 ACL 允许所有 Internet 主机访问 DMZ 中的Web服务器，请补充完成ACL规则300。

access-list 300 permit tcp（11）host 10.0.0.10 eq（12）

答案：

本题解析：

【问题1】（2分）

（1）B

【问题2】（2分，各1分）

（2）、（3）源端口、目的端口 （顺序可交换）

【问题3】（4分，各2分）

（1）过滤所有数据包（或：禁止所有数据包通过防火墙）

（2）允许任意主机访问222.134.135.99的FTP服务

【问题4】（3分，各1分）

（6）192.168.46.1

（7）222.134.135.98

（8）dmz

【问题5】（2分，各1分）

（8）deny

（9）permit

【问题6】（2分，各1分）

（10）any

（11）www或80

【问题1】

防火墙通常一般有3个接口，就产生了3个网络，描述如下：

内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。

外部区域（外网）：外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

停火区（DMZ）：停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。

其默认可信度由高到低位inside、dmz、outside。

【问题2】

包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。

【问题3】

禁止所有数据包通过防火墙

允许任意主机访问222.134.135.99的FTP服务。

【问题4】

明确防火墙的内外接口，其中inside对应的内部接口，其地址为192.168.46.1，outside对应的外部接口，其地址为222.134.135.98，地址为10.0.0.1为dmz接口。

【问题5】

（9）deny 表示不允许。

（10）permit表示允许。

【问题6】

允许所有 Internet 主机用any表示

Web服务器对应的为www或80

更新时间：2022-10-25 16:06

纠错

你可能感兴趣的试题

单选题

• A.V(S2)和P(S4)
• B.P(S2)和V(S4)
• C.P(S2)和P(S4)
• D.V(S2)和V(S4)

查看答案

单选题

• A.V（S1）P（S2）和V（S3）
• B.P（S1）V（S2）和V（S3）
• C.V（S1）V（S2）和V（S3）
• D.P（S1）P（S2）和V（S3）

查看答案

单选题

• A.P（S4）和V（S4）V（S5）
• B.V（S5）和P（S4）P（S5）
• C.V（S3）和V（S4）V（S5）
• D.P（S3）和P（S4）V（P5）

查看答案

单选题

• A.P(S3)和V(S4)V(S5)
• B.V(S3)和P(S4)P(S5)
• C.P(S3)和P(S4)P(S5)
• D.V(S3)和V(S4)V(S5)

查看答案

单选题

• A.P（S2）和P（S4）
• B.P（S2）和V（S4）
• C.V（S2）和P（S4）
• D.V（S2）和V（S4）

查看答案

单选题

• A.V(S1)、P(S1)和V(S2)V(S3)
• B.P(S1)、V (S1)和V(S2)V(S3)
• C.V(S1)、V(S2)和P(S1)V(S3)
• D.P(S1)、V(S2)和V(S1)V(S3)

查看答案

单选题

• A.序列图
• B.状态图
• C.通信图
• D.活动图

查看答案

单选题

• A.合并分叉
• B.分支
• C.合并汇合
• D.流

查看答案

单选题

• A.产甲2套，乙3套
• B.生产甲1套，乙4套
• C.生产甲3套，乙4套
• D.生产甲4套，乙2套

查看答案

单选题

• A.见图A
• B.见图B
• C.见图C
• D.见图D

查看答案