单选题Cisco PIX525防火墙用于指定外部IP地址范围的配置命令是（　　）。A routeB fixupC conduitD global

正确答案：B

正确答案：A
解析：路由器上配置DHCP Server的第一步是建立一个地址池。建立地址池的方法是：使用“ip dhcp poolname＞”命令为地址池赋予一个名称，可以是一组字符串或数字。

正确答案：(1) 定义一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。 (2)　建立内部IPDMZ区地址172.30.98.56 211.156.169.5 与外部IP地址 172.32.65.98 211.156.169.2之间的静态映射。 (3)　禁止icmp消息任意方向通过防火墙。 (4)　启用HTTP协议并指定HTTP的端口号为8080
(1) 定义一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。 (2)　建立内部IPDMZ区地址172.30.98.56 211.156.169.5 与外部IP地址 172.32.65.98 211.156.169.2之间的静态映射。 (3)　禁止icmp消息任意方向通过防火墙。 (4)　启用HTTP协议，并指定HTTP的端口号为8080 解析：(1)在配置模式下命令“route”用于设置指向内网和外网的静态路由。其语法格式如下：
routeif_name＞0 0 gateway_ip[metric]
其中，“if_name”是接口名字，例如inside、outside；“gateway_ip”是网关路由器的IP地址；“metric”是到gateway_ip的跳数，其默认值为1。
配置语句route outside 0 0 211.156.169.1表示一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。
(2)在配置模式下，命令“static”用于配置静态NAT功能。如果从外网发起一个会话，会话的目的地址是一个内网的IP地址，“static”命令就把内部地址翻译成一个指定的全局地址，允许这个会话建立。其命令格式如下：
static(internal_if_name.external_if_name)outside_ip_address inside_ip_address
其中，“internal if name”是内部网络接口名字，如inside等；“extemal_if_name”是外部网络接口名字，如outside等；“outside中address”是外部IP地址；“inside_ip_address”是内部IP地址。
配置语句static(inside,outside)211.156.169.2211.156.169.5用于建立DMZ区地址211.156.169.5与外部 IP地址211.156.169.2之间的静态映射。
(3)管道命令(conduit)用于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从Internet网到DMZ(或内部接口)方向的会话。“conduit”命令的配置语法如下：
conduit permit | deny global_ip port-port＞ protocolforeign_ip
其中，“permit”为允许访问策略，“deny”为拒绝访问策略；“global_ip”是指由“global”或“static”命令定义的全局IP地址，如果“global_ip”为0，可用any来代替0，如果“global_ip”为某台主机，则需使用host命令参数；“port”是指服务所作用的端口，可以通过服务名称或端口数字来指定端口；“protocol”是指连接协议，例如TCP、UDP、ICMP等；“foreign_ip”表示可访问“global_ip”的外部IP地址，对于任意主机，可以用any表示，如果“foreign_ip”是一台主机，则需使用host命令参数。
配置语句conduit deny icmp any any表示禁止icmp消息(如ping的回声请求/响应消息)的任意方向通过防火墙。
(4)“fixup”命令用于启用、禁止、改变一个服务或协议通过PIX防火墙。由“fixup”命令指定的端口是PIX防火墙要侦听的服务。配置语句fix up protocol http 8080表示，启用HTTP协议，并指定HTTP的端口号为8080。

正确答案：A
A【解析】CiscoPIX525的常用命令有：nameif、interface、ipaddress、nat、global、route、static等。其中static命令的作用是配置静态IP地址翻译，使内部地址与外部地址一一对应；nat命令的作用是地址转换命令，将内网的私有IP转换为外网公网IP；global命令的作用是指定公网地址范围、定义地址池；fixup命令的作用是启用或禁止一个服务或协议，通过指定端口设置PIX防火墙要侦听listen服务的端口。能实现题中要求的命令是A选项。因此选择A选项。

正确答案：(11) 192.168.10.254 (12) 255.255.255.0 (13) 211.156.169.2 (14) 255.255.255.252
(11) 192.168.10.254 (12) 255.255.255.0 (13) 211.156.169.2 (14) 255.255.255.252 解析：这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。
在图7-9网络拓扑中，防火墙FireWall是基于访问控制策略而设立在内外网之间的一道安全保护机制，实现内外网的物理分隔。它使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/2A)、“DMZ” (211.156.169.2/28)等3个接口，分别与外网、内网、DMZ区相连。
在对防火墙网络接口进行地址初始化配置时，“ip address inside”中的“inside”表示内部网卡，因此根据图7-9所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知，(11)、 (12)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。
同理，“ip address outside”中的“outside”表示外部网卡，因此根据图7-9所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知，(13)、(14)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。

正确答案：(2)192.168.46.1 (3)202.134.135.98 (4)10.0.0.1
(2)192.168.46.1 (3)202.134.135.98 (4)10.0.0.1 解析：本题考查的是。
根据配置可知，该防火墙外网IP地址为202.134.135.98，内网IP地址为192.168.46.1， DMZ区的IP地址为10.0.0.1。
从本题的示意图可知，防火墙e0口连接内部工作站，为内网接口；防火墙e1口连接Internet，为外网接口；防火墙e2口连接内部服务器，为DMZ接口。所以：
e0：192.168.46.1
e1：202.134.135.98
e2：10.0.0.1

正确答案：192.168.0.1 255.255.255.0 202.117.12.37 255.255.255.252
192.168.0.1 255.255.255.0 202.117.12.37 255.255.255.252

正确答案：C
解析：Cisco PIX 525防火墙提供非特权模式、特权模式、配置模式和监视模式4种管理访问模式。在监视模式monitor＞下，可以进行操作系统映像更新、口令恢复等操作。
  PIX防火墙开机自检后，即处于非特权模式pixfirewall＞。接着输入命令“enable”，进入特权模式“pixfirewall#”。在特权模式下输入命令“configure terminal”，可以进入配置模式“pixfirewall(config)#”。