某PIX 525防火墙有如下配置命令,该命令的正确解释是(22)。 firewall (config) #static (inside,outside)61.144.51.43 192.168.0.8A.地址为61.144.51.43的外网主机访问内网时,地址静态转换为192.168.0.8B.地址为61.144.51.43的内网主机访问外网时,地址静态转换为192.168.0.8C.地址为192.168.0.8的外网主机访问外网时,地址静态转换为61.144.51.43D.地址为192.168.0.8的

题目

某PIX 525防火墙有如下配置命令,该命令的正确解释是(22)。 firewall (config) #static (inside,outside)61.144.51.43 192.168.0.8

A.地址为61.144.51.43的外网主机访问内网时,地址静态转换为192.168.0.8

B.地址为61.144.51.43的内网主机访问外网时,地址静态转换为192.168.0.8

C.地址为192.168.0.8的外网主机访问外网时,地址静态转换为61.144.51.43

D.地址为192.168.0.8的内网主机访问外网时,地址静态转换为61.144.51.43

相似考题

1.【问题4】(3分)如果需要在dmz 域的服务器(IP地址为10.10.0.100)对Internet用户提供 Web服务(对外公开 IP地址为61.144.51.43),请补充完成下列配置命令。PIX(config)#static (dmz, outside) (8) (9)PIX(config)#conduit permit tcp host (10) eq www any

2.如果一台 Csico PIX525 防火墙有如下配置Pix525(config)#nameeif ethernet0 outside security VAL1Pix525(config)#nameeif ethernet1 inside security VAL2Pix525(config)#nameeif ethernet2 DMZ security VAL3那么通常 VAL1 、 VAL2 、 VAL3 的取值分别是A)0 、 50 、 100B)0 、 100 、 50C)100 、 0 、 50D)100 、 50 、 0

3.34 ) Cisco PIX525 防火墙用于实现内部和外部地址固定映射的配置命令是A ) natB ) staticC ) globalD ) fixup

4.Cisco PIX 525防火墙用于实现内部地址和外部地址吲定映射的配置命令是______。A.natB.staticC.globalD.fixup

更多“某PIX 525防火墙有如下配置命令,该命令的正确解释是(22)。firewall (config) #static (inside,out ”相关问题

  • 第1题:

    如果一台Cisco PIX 525防火墙有如下配置: Pix525(config)#nameif ethernet0 outside seculityVAL1 Pix525(config)#nameif ethernet1 inside securityVAL2 Pix525(Config)#nameif ethernet2 DMZ securityVAL3 那么通常VALl、VAL2、VAL3的取值分别是______。

    A.0、50、100

    B.0、100、50

    C.100、0、50

    D.100、50、0


    正确答案:B
    解析:PIX防火墙基本配置命令nameif用于配置防火墙接口的名字,并指定安全级别。安全级别取值范围为1-99,数字越大安全级别越高。某台CiscoPIX 525防火墙配置如下:
      Pix525(cOnfig)#nameif ethernet0 Outside securityVAL1
      Pix525(COnfig)#nameif ethernet1 inside securityVAL2
      Pix525(cOnfig)#nameif ethernet2 DMZ secur主tyVAL3
      此时,该PIX防火墙的ethernet0端口被命名为outside,可作为Internet接口,其安全级别最低,VAL1值通常为0;ethernetl端口被命名为inside,适合作为内部接口,其安全级别最高,VAL2值通常为100; ethernet2端口被命名为DMZ,适合作为对Internet开放的服务器接口,其安全级别介于outside与inside接口之间,VAL3值通常为50。

  • 第2题:

    请认真阅读下列有关计算机网络防火墙的说明信息,回答问题1~5。

    [说明]

    某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。

    完成下列命令行,对网络接口进行地址初始化的配置:

    firewall(config)ip address inside(1)(2)

    fnrewall(config)ip address outside(3)(4)


    正确答案:(1)192.168.0.1(2)255.255.255.0 (3)202.117.12.37(4)255.255.255.252
    (1)192.168.0.1(2)255.255.255.0 (3)202.117.12.37(4)255.255.255.252 解析:本题测试防火墙有关参数及安全规则配置的知识。
    从原题给出的网络连接图可以看出,这里的防火墙是基于访问控制策略而设立在内外网络之间的一种安全保护机制,在防火墙上装有两块配置不同网络IP地址的网卡,位于内外网络之间,并分别与内外网络相连,实现了在物理.上将内外网络隔开。此处的防火墙系统就是一个多端口的IP路由器,实现内外两个网络的跨网段访问。同时它还能够拦截和检查所有出站和进站的数据,它首先打开IP包,取出包头,根据包头的信息(如 IP源地址,IP目标地址)确定该包是否符合包过滤规则(如对包头进行语法分析,阻止或允许包传输或接收),并进行记录。对于符合规则的包,则进行转发,否则应报警并丢弃该包。
    防火墙还实现了NAT (NetworkAddressTranslation)网络地址转换功能,利用NAT技术,可以使内部局域网中多台计算机通过共享一个出口IP地址访问外部网络。通常情况下,是将内部的一个子网内的IP地址段通过配置命令进行地址转换,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。在配置防火墙的IP地址转换规则时,如果要求转换所有IP地址则使用如下的命令语句:
    firewall(config)#nat (outside) 1 0.0.0.0 0.0.0.0
    随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施:三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,大量的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严、安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
    在防火墙上制定的访问安全控制规则可以是基于某个特定协议的,如FTP,HTTP等。防火墙根据事先设定的访问控制规则来监控进出网络的数据信息,只允许那些符合安全规则的信息出入。这些功能都是通过ACL(access-control-list)访问控制列表实现的。ACL是应用于IP地址和上层IP协议的允许和拒绝条件的一个有序集合。
    标准IP访问控制列表语法:
    access-list access-list-number {permit|deny} source destination [log]
    其中默认的源和目的为IP地址,如果要具体到端口号,则需指明关键字“tcp”。另外源和目的还可以使用通配符,如“any”表示“所有的”或“任意的”。如:
    ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80
    定义了一个编号为101,协议类型为TCP,源地址为“任意”,端口号等于80,访问目的地址为10.0.0.0/24的网络的数据包允许通过的访问控制列表。
    下面是上一个访问控制列表的反向访问控制列表:
    ip access-list 102 permit tcp 10.0.0.0 255.255.255.0 any eq 80

  • 第3题:

    Cisco PIX525防火墙用来允许数据流从具有较低安全级接口流向较高安全级接口的配置命令是______。

    A) fixup

    B) conduit

    C) global

    D) nameif

    A.

    B.

    C.

    D.


    正确答案:B

  • 第4题:

    管道命令的作用是允许数据流从较低安全级别的接口流向较高安全级别的接口。解释或完成以下配置命令。

    firewall(config)conduit permit tcp host 61.144.51.43 eq www any(8)

    firewall(config)(9) 允许icmp消息任意方向通过防火墙


    正确答案:(8)switchport mode access (9)switchport access vlan 10
    (8)switchport mode access (9)switchport access vlan 10 解析:本问题考查的是PIX防火墙中的管道命令(conduit)。
    前面讲过使用static命令可以在一个本地IP地址和一个全局IP地址之间创建一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的进入方向的会话。对于向内部接口的连接, static和conduit命令将一起使用,来指定会话的建立。
    conduit命令配置语法:
    conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
    permit | deny 允许 | 拒绝访问
    global_ip指的是先前由global或static命令定义的全局IP地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
    指的是服务所作用的端口,例如www使用80,smtp使用25等,用户可以通过服务名称或端口数字来指定端口。
    protocol指的是连接协议,如TCP、UDP和ICMP等。
    foreign_ip表示可访问global_ip的外部IP。对于任意主机,可以用any表示。如果 foreign ip是一台主机,就用host命令参数。
    例1.Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
    这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp就是指允许或拒绝只对 ftp的访问。
    例2.Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
    表示不允许外部主机61.144.51.89对任何全局地址进行卸访问。
    例3.Pix525(config)#conduit permit icmp any any
    表示允许icmp消息向内部和外部通过。
    例4.Pix525(confiS)#static(inside,outside)61.144.51.62 192.168.0.3
    Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
    这个例子说明stmic和conduit的关系。192.168.0.3在内网是一台Web服务器,现在希望外网的用户能够通过pix防火墙得到Web服务。所以先做static静态映射:192.168.0.3 ->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

  • 第5题:

    为了保障内部网络安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图13-6所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    Firewall(config)ip address inside [11] [12]

    Firewall(config)ip address outside [13] [14]


    正确答案:[11]192.168.0.1 [12]255.255.255.0 [13]261.144.51.42 [14]255.255.255.248
    [11]192.168.0.1 [12]255.255.255.0 [13]261.144.51.42 [14]255.255.255.248 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address inside 192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址,192.168.0.1为内网地址。
    ip address outside 61.144.51.42.255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。
    global指定公网地址范围,

  • 第6题:

    如果需要在dmz域的服务器(IP地址为l0.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。PIX(config)static(dmz,outside)(8)(9)PIX(config)conduit permit tcp host(10)eq WWW any


    正确答案:(8)61.144.51.43 (9)l0.10.0.100 (10)61.144.51.43
    (8)61.144.51.43 (9)l0.10.0.100 (10)61.144.51.43 解析:static命令配置语法:static(internal_if_name,external_if_name)outside_ip_address inside_ip_address,其中internal_if_name表示内部网络接口,安全级别较高,如in-side。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址,inside_ip_address为内部网络的本地ip地址。
    conduit permit I deny global_ip port<-port>protocol foreign_ippermit I deny允许I拒绝访问global_ip指的是先前由global或static命令定义的全局IP地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。port指的是服务所作用的端口,例如WWW使用80,smtp使用25等,我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议,比如TCP、uDP、ICMP等。foreign_jp表示可访问global_ip的外部IP。对于任意主机,可以用any表示。如。foreign_ip是一台主机,就用host命令参数。

  • 第7题:

    为了保障内部网络的安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    fu'ewall(config)ip address inside (1) (2)

    firewall(config)ip address outside (3) (4)

    阅读以下防火墙配置命令,为命令选择正确的解释。

    firewall(config)global(outside)1 61.144.51.46 (5)

    firewall(config)nat(inside)1 0.0.0.0 0.O.0.0

    firewall(config)static(inside,outside)192.168.0.1 61.144.51.42 。

    (5)A)当内网的主机访问外网时,将地址统一映射为61.144.51.46B)当外网的主机访问内网时,将地址统一映射为61.144.51.46C)设定防火墙的全局地址为61.144.51.46D)设定交换机的全局地址为61.144.51.46


    正确答案:(1)192.168.0.1 (2)255.255.255.0 (3)61.144.51.42 (4)255.255.255.248 (5)A
    (1)192.168.0.1 (2)255.255.255.0 (3)61.144.51.42 (4)255.255.255.248 (5)A 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address in-side 192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址。192.168.0.1为内网地址。ip address outside 61.144.51.42 255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。global指定公网地址范围、定义地址池,表示当内网的地址访问外网时,地址统一映射为ip—address—ip—address地址段的地址。语法:global(if_name)nat_id ip—address—ip—address[netmarkglobal—mask](if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat要引用)。ip_address—ip—address:表示一段IP地址范围。[netmarkglobal—mask]:表示全局IP地址的网络掩码。

  • 第8题:

    阅读以下关于某硬件防火墙相关配置的技术说明,根据要求回答问题1至问题4。

    【说明】

    某单位在部署内部局域网时选用了一款硬件防火墙,该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等4个网络接口,支持Web界面、命令行等多种管理模式。该单位接入Internet部分的相关网络参数和网络拓扑结构如图3-7所示。

    根据该单位防火墙与外部网络相关的网络连接参数,请将以下命令行中(1)~(4)空缺处的内容填写完整,以完成对防火墙相应的网络接口进行地址初始化的配置。

    FireWall (config) ip address inside (1) (2)

    FireWall (config) ip address outside (3) (4)


    正确答案:(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252
    (1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252 解析:这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。
    1)从图3-7所示的网络拓扑结构图中可以看出,该防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现物理上将内外网隔开。
    2)在图3-7所示时网络拓扑图中,防火墙FireWall分别使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口,分别与外网、内网、DMZ区相连。
    3)在对防火墙网络接口进行地址初始化配置时,“ip address inside”中的“inside”表示内部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知,(1)、(2)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。
    4)同理,“ip address outside”中的“outside”表示外部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知,(3)、(4)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。

  • 第9题:

    试题四(共15分)

    阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。

    【说明】

    某公司通过 PIX 防火墙接入 Internet,网络拓扑如图4-1所示。

    在防火墙上利用show命令查询当前配置信息如下:

    PIXshow config

    nameif eth0 outside security0

    nameif eth1 inside security100

    nameif eth2 dmz security40

    fixup protocol ftp 21 (1)

    fixup protocol http 80

    ip address outside 61.144.51.42 255.255.255.248

    ip address inside 192.168.0.1 255.255.255.0

    ip address dmz 10.10.0.1 255.255.255.0

    global (outside) 1 61.144.51.46

    nat (inside) 1 0.0.0.0 0.0.0.0 0 0

    route outside 0.0.0.0 0.0.0.0 61.144.51.45 1 (2)

    【问题1】(4分)

    解释(1) 、(2)处画线语句的含义。

    【问题2】(6分)

    根据配置信息,填写表4-1。

    【问题3】(2分)

    根据所显示的配置信息,由 inside 域发往 Internet 的 IP 分组,在到达路由器 R1 时

    的源IP地址是 (7) 。

    【问题4】(3分)

    如果需要在dmz 域的服务器(IP地址为 10.10.0.100)对Internet用户提供 Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。

    PIX(config)static (dmz, outside) (8) (9)

    PIX(config)conduit permit tcp host (10) eq www any


    正确答案:
    试题四分析该试题考查PIX防火墙的配置。【问题1】~【问题3】使用showconfig命令得到的配置信息解释如下:nameifeth0outsidesecurity0//eth0接口的名称为outside,安全级别为0nameifeth1insidesecurity100//eth1接口的名称为inside,安全级别为100nameifeth2dmzsecurity40//eth2接口的名称为dmz,安全级别为40…fixupprotocolftp21//启用ftp协议并使用21端日fixupprotocolhttp80//启用http协议并使用80端口…ipaddressoutside61.144.51.42255.255.255.248//outside接口的IP为61.144.51.42,子网掩码为255.255.25.248ipaddressinside192.168.0.1255.255.255.0//inside接口的IP为192.168.0.1,子网掩码为255.255.255.0ipaddressdmz10.10.0.1255.255.255.0//dmz接口的IP为10.10.0.1,子网掩码为255.255.255.0…global(outside)161.144.51.46//发往outside的数据包IP为61.144.51.46nat(inside)10.0.0.00.0.0.000//inside所有IP都可以访问outsiderouteoutside0.0.0.00.0.0.061.144.51.451//outside默认路由指向61.144.51.45【问题4】static命令的语法如下:static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address根据static命令的语法,空(8)应该填对outside公开的IP地址61.144.51.43,空(9)应该填dmz域服务器的IP地址10.10.0.100。conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口conduit命令的语法如下:condultpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]根据conduit命令的语法,空(10)应该填Web服务对外公开的IP地址61.144.51.43。试题四参考答案(共15分)【问题1】(4分)(1)启用ftp服务(2分)(2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1(2分)【问题2】(6分)(3)192.168.0.1(1.5分)(4)255.255.255.248(1.5分)(5)eth2(1.5分)(6)10.10.0.1(1.5分)【问题3】(2分)(7)61.144.51.46【问题4】(3分)(8)61.144.51.43(1分)(9)10.10.0.100(1分)(10)61.144.51.43(1分)

  • 第10题:

    默认情况下,ASA防火墙是工作在router模式下,如果需要将防火墙从transparent模式更改为默认的router模式,以下哪条命令可以实现这个目的()

    • A、ciscoasa(config)#no firewal ltransparent
    • B、ciscoasa(config)#firewall router
    • C、ciscoasa(config)#firewall mode router
    • D、ciscoasa(config)#no firewall mode transparent

    正确答案:A

  • 第11题:

    单选题
    cisco公司的ASA防火墙在性能上已经比PIX防火墙有了很大提升,ASA防火墙一般可以工作在两种模式下:router模式和transparent模式。以下哪条命令可以让ASA防火墙工作于transparent模式,直接转发第二层的数据帧()
    A

    ciscoasa(config)# firewall transparent

    B

    ciscoasa(config)# mode transparent

    C

    ciscoasa(config)# firewall mode transparent

    D

    ciscoasa(config)# transparent mode


    正确答案: A
    解析: 暂无解析

  • 第12题:

    单选题
    Cisco PIX 525防火墙用来允许数据流从具有较低安全级接口流向较高安全级接口的配置命令是(  )。
    A

    fixup

    B

    conduit

    C

    global

    D

    nameif


    正确答案: D
    解析:
    fixup功能:启用、禁止、改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的进入方向的会话。对于向内部接口的连接,将联合使用static和conduit命令来指定会话的建立。global功能:指定外部IP地址范围(地址池)。内网的主机通过防火墙要访问外网时,防火墙将使用这段IP地址池为要访问外网的主机分配一个全局IP地址。nameif功能:配置防火墙接口的名字;并指定安全级别。

  • 第13题:

    PIX防火墙的基本配置命令中用于启用、禁止、改变一个服务或协议通过PIX防火墙的命令是( )。

    A) net

    B) interface

    C) conduit

    D) fixup


    正确答案:D
    (33)D) 【解析】PIX防火墙的基本配置中常用命令中的 interface:配置以太接口参数;net:指定要进行转换的内部地址; conduit:允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口;fixup:启用、禁止、改变一个服务或协议通过PIX防火墙。

  • 第14题:

    Cisco PIX 525防火墙用于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口的配置命令是______。

    A.global

    B.conduit

    C.route

    D.nat


    正确答案:B
    解析:在Cisco PIX 525防火墙配置模式pixfirewall(config)#下,命令conduit用于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口;命令global用于指定外部IP地址范围(地址池);命令route用于设置指向内网和外网的静态路由;命令nat用于指定要进行转换的内部地址。

  • 第15题:

    以下命令针对网络服务的端口配置,解释以下配置命令:

    firewall(config)fixup protocol http 8080(10)

    firewall(config)no fixup protocol ftp 21(11)


    正确答案:(10)128 (11)e0/3(答f0/3或端口 3也正确)
    (10)128 (11)e0/3(答f0/3或端口 3也正确) 解析:本问题考查的是PIX防火墙中的配置fixup协议命令。
    fixup命令的作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子。
    例1.Pix525(config)#fixup protocol ftp 21
    启用卸协议,并指定卸的端口号为21。
    例2.Pix525(config)#fixup protocol http 80
    Pix525(config)#fixup protocol http 1080
    为HTTP协议指定80和1080两个端口。
    例 3.Pix525(config)#no fixup protocol smtp 80
    禁用smtp协议。

  • 第16题:

    根据该单位防火墙与外部网络相关的网络连接参数,请将以下命令行中(11)~(14)空缺处的内容填写完整,以完成对防火墙相应的网络接口进行地址初始化的配置。

    FireWall (config) ip address inside (11) (12)

    FireWan (config) ip address outside (13) (14)


    正确答案:(11) 192.168.10.254 (12) 255.255.255.0 (13) 211.156.169.2 (14) 255.255.255.252
    (11) 192.168.10.254 (12) 255.255.255.0 (13) 211.156.169.2 (14) 255.255.255.252 解析:这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。
    在图7-9网络拓扑中,防火墙FireWall是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现内外网的物理分隔。它使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/2A)、“DMZ” (211.156.169.2/28)等3个接口,分别与外网、内网、DMZ区相连。
    在对防火墙网络接口进行地址初始化配置时,“ip address inside”中的“inside”表示内部网卡,因此根据图7-9所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知,(11)、 (12)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。
    同理,“ip address outside”中的“outside”表示外部网卡,因此根据图7-9所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知,(13)、(14)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。

  • 第17题:

    在图4-13拓扑结构中PIX 525防火墙有如下配置语句,请写出每条配置语句的功能注释。

    Pix525(config) route outside 0 0 211.156.169.1 (1)

    Pix525(config) static(inside,outside) 211.156.169.2 211.156.169.5 (2)

    Pix525(config) conduit deny icmp any any (3)

    Pix525(config) fixup protocol http 8080 (4)


    正确答案:(1) 定义一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。 (2) 建立内部IPDMZ区地址172.30.98.56 211.156.169.5 与外部IP地址 172.32.65.98 211.156.169.2之间的静态映射。 (3) 禁止icmp消息任意方向通过防火墙。 (4) 启用HTTP协议并指定HTTP的端口号为8080
    (1) 定义一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。 (2) 建立内部IPDMZ区地址172.30.98.56 211.156.169.5 与外部IP地址 172.32.65.98 211.156.169.2之间的静态映射。 (3) 禁止icmp消息任意方向通过防火墙。 (4) 启用HTTP协议,并指定HTTP的端口号为8080 解析:(1)在配置模式下命令“route”用于设置指向内网和外网的静态路由。其语法格式如下:
    routeif_name>0 0 gateway_ip[metric]
    其中,“if_name”是接口名字,例如inside、outside;“gateway_ip”是网关路由器的IP地址;“metric”是到gateway_ip的跳数,其默认值为1。
    配置语句route outside 0 0 211.156.169.1表示一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。
    (2)在配置模式下,命令“static”用于配置静态NAT功能。如果从外网发起一个会话,会话的目的地址是一个内网的IP地址,“static”命令就把内部地址翻译成一个指定的全局地址,允许这个会话建立。其命令格式如下:
    static(internal_if_name.external_if_name)outside_ip_address inside_ip_address
    其中,“internal if name”是内部网络接口名字,如inside等;“extemal_if_name”是外部网络接口名字,如outside等;“outside中address”是外部IP地址;“inside_ip_address”是内部IP地址。
    配置语句static(inside,outside)211.156.169.2211.156.169.5用于建立DMZ区地址211.156.169.5与外部 IP地址211.156.169.2之间的静态映射。
    (3)管道命令(conduit)用于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从Internet网到DMZ(或内部接口)方向的会话。“conduit”命令的配置语法如下:
    conduit permit | deny global_ip port-port> protocolforeign_ip
    其中,“permit”为允许访问策略,“deny”为拒绝访问策略;“global_ip”是指由“global”或“static”命令定义的全局IP地址,如果“global_ip”为0,可用any来代替0,如果“global_ip”为某台主机,则需使用host命令参数;“port”是指服务所作用的端口,可以通过服务名称或端口数字来指定端口;“protocol”是指连接协议,例如TCP、UDP、ICMP等;“foreign_ip”表示可访问“global_ip”的外部IP地址,对于任意主机,可以用any表示,如果“foreign_ip”是一台主机,则需使用host命令参数。
    配置语句conduit deny icmp any any表示禁止icmp消息(如ping的回声请求/响应消息)的任意方向通过防火墙。
    (4)“fixup”命令用于启用、禁止、改变一个服务或协议通过PIX防火墙。由“fixup”命令指定的端口是PIX防火墙要侦听的服务。配置语句fix up protocol http 8080表示,启用HTTP协议,并指定HTTP的端口号为8080。

  • 第18题:

    认真阅读下列关于计算机网络防火墙的说明信息,回答问题1~5。将答案填入对应的解答栏内。

    [说明] 某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    firewall(config)ip address inside (1) (2)

    firewall(config)ip address outside (3) (4)

    (1)


    正确答案:192.168.0.1
    192.168.0.1

  • 第19题:

    为了保障内部网络安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图12-6所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    Firewall(config)ip address ins.ide ______ ______

    Firewall(config)ip address outside ______ ______

    阅读以下防火墙配置命令,为命令选择正确的解释。

    Firewall(config)global(outside)1 61.144.51.46 ______

    Firewall(config)nat(inside)1 0.0.0.0 0.0.0.0

    Firewall(config)static(inside,outside) 192.168.0.1 61.144.51.42


    正确答案:192.168.0.1 255.255.255.0 61.144.51.42 255.255.255.248 A
    192.168.0.1 255.255.255.0 61.144.51.42 255.255.255.248 A 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address inside192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址,192.168.0.1为内网地址。
    ip address outside61.144.51.42.255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。
    global指定公网地址范围、定义地址池,表示当内网的地址访问外网时,地址统一映射为ip_address-ip_address地址段的地址。
    语法:global(if_name)nat_id ip_address-ip_address[netmakglobal_mask]
    (if_name):表示外网接口名称,一般为outside。
    nat_id:建立的地址池标识(nat要引用)
    ip_address-ip_address:表示一段IP地址范围。
    [netmakglobal_mask]:表示全局IP地址的网络掩码。

  • 第20题:

    [说明]某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如图5-1所示。

    完成下列命令行,对网络接口进行地址初始化的配置:

    firewall(config)ip address inside (1) (2)

    firewali(config)ip address outside (3) (4)


    正确答案:192.168.0.1 255.255.255.0 202.117.12.37 255.255.255.252
    192.168.0.1 255.255.255.0 202.117.12.37 255.255.255.252

  • 第21题:

    请按照图4-1所示,完成防火墙各个网络接口的初始化配置。

    firewall (config) ip address inside (6) 255.255.255.0//配置网口eth0

    firewall (config) ipaddress outside (7) 255.255.255.252//配置网口eth2

    firewall (config) ip address (8) 10.0.0.1 255.255.255.0//配置网口eth1


    正确答案:192.168.46.1 222.134.135.98 dmz
    192.168.46.1 222.134.135.98 dmz 解析:考查防火墙IP地址配置命令。根据图4-1所示安全区域划分和IP地址的分配即可得出(6)为eth0地址192.168.46.1,(7)为eth2地址222.134.135.98,(8)为eth1对应的安全区域dmz。

  • 第22题:

    下列关于ASA防火墙router模式下功能设置的相关命令语法正确的是()。

    • A、ciscoasa(config)# enable password cisco
    • B、ciscoasa(config)# route outside 0 0 192.168.2.1
    • C、ciscoasa(config)# access-list INSIDE、extended permit ip any any
    • D、ciscoasa(config)# nat (inside) 1 10.1.2.0 255.255.255.0
    • E、ciscoasa(config)# static (inside,dmz) 10.1.2.0 192.168.100.0 255.255.255.0

    正确答案:A,B,C,D

  • 第23题:

    单选题
    Cisco PIX525防火墙用于指定外部IP地址范围的配置命令是(  )。
    A

    route

    B

    fixup

    C

    conduit

    D

    global


    正确答案: B
    解析:
    static的功能是配置静态nat。fixup命令的作用是启用、禁止、改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。conduit命令允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口。global命令用于指定外部IP地址范围。

相关内容