阅读下列技术说明,根据要求回答问题。[说明]为了保障内部网络的安全,某公司在Internet的连接处安装了CiscoPIX525防火墙。该防火墙带有3个网络接口,其网络拓扑如图4-13所示。在网络工程规划与设计过程中,选择防火墙之前应该考虑的因素有哪些?请用300字以内的文字简要回答。

题目

阅读下列技术说明,根据要求回答问题。

[说明]

为了保障内部网络的安全,某公司在Internet的连接处安装了CiscoPIX525防火墙。该防火墙带有3个网络接口,其网络拓扑如图4-13所示。

在网络工程规划与设计过程中,选择防火墙之前应该考虑的因素有哪些?请用300字以内的文字简要回答。

相似考题

1.请认真阅读下列有关计算机网络防火墙的说明信息,回答问题1~5。[说明]某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。完成下列命令行,对网络接口进行地址初始化的配置:firewall(config)ip address inside(1)(2)fnrewall(config)ip address outside(3)(4)

2.为了提高该公司业务数据的安全性,降低系统风险,张总工程师决定建设一个网络数据备份系统。在网络工程规划与设计过程中,在数据备份与恢复方面应考虑解决哪些主要问题?请用300字以内的文字简要说明。

3.阅读以下关于硬件防火墙配置的技术说明,根据要求回答问题1~问题5。【说明】某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有3个网络接口,其网络拓扑如图7-9所示。防火墙包过滤规则的默认策略为拒绝,图7-10给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为图7-10中(1)~(4)空缺处选择正确答案。(1) A.允许 B.拒绝(2) A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24(3) A.TCP B.UDP C.ICMP(4) A.E3→E2 B.E1→E3 C.E1→E2

4.根据防火墙的安全控制基本准则,说明防火墙在网络安全方面所起的作用。

参考答案和解析
正确答案:

①预算方面的考虑。网络环境中的每个防火墙应该在保持经济、有效的同时提供尽可能高级别的服务,但是如果防火墙过分受成本限制,则可能会对企业造成潜在的损失。例如,考虑网络服务因遭受拒绝服务攻击而被中断时的停机时间成本。
②现有设备的考察。主要考虑企事业单位中是否有可利用的现有设备。例如,是否有可以重新利用的防火墙,是否有可以安装防火墙功能模块的路由器。
⑧可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用、如何减少防火墙的故障修复时间、是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。
④可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口。当企事业单位网络需要增加新的网络出口时,防火墙是否能通过增加模块来支持更多的接口;当网络流量快速增长时,防火墙会不会成为网络的瓶颈。此类利于未来发展的需求也应纳入可扩展性的考虑范畴。
⑤所需功能的考虑。主要是指需要哪一种具体的防火墙功能。例如,是否支持防御DoS/DDoS,是否支持VPN,是否支持SNMPv3,能否保护特定主机的特定服务等。

更多“阅读下列技术说明,根据要求回答问题。[说明]为了保障内部网络的安全,某公司在Internet的连接处安装了CiscoPIX525防火墙。该防火墙带有3个网络接口,其网络拓扑如图4-13所示。在网络工程规划与设计过程中,选择防火墙之前应该考虑的因素有哪些?请用300字以内的文字简要回答。”相关问题

  • 第1题:

    阅读以下关于网络应用系统数据备份/恢复方案、网络安全策略的技术说明,根据要求回答问题

    【说明】

    随着不同的网络应用系统在网络工程的深入应用,网络数据安全性越来越重要。网络系统的数据备份策略、数据恢复方案、网络安全策略的作用也日益突显。一个实用的网络工程项目的应用系统设计中必须有网络数据备份、恢复手段和灾难恢复计划及相应的网络安全策略。

    对一个大型校园网工程进行网络备份系统设计时,应考虑解决哪些主要的问题?请用150字以内的文字简要说明。


    正确答案:

    ①选择备份系统(或磁盘、光盘、磁带等存储介质) ②选择备份程序 ③建立备份制度④确立备份执行者(或备份执行人) 解析:这是一道要求读者掌握网络备份系统方案设计要点的基本常识题。本题的解答思路如下。
    1)网络备份系统的目的在于最大限度降低系统风险,保护网络的数据资源,在系统发生灾难后,能提供一种简捷、有效的手段来恢复整个网络(不仅仅包含数据,而且包含系统参数,环境参数等)。
    2)网络备份系统与普通数据备份的不同在于它不仅备份系统中的数据,还备份网络中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速恢复整个网络。
    3)基于以上分析可知,对一个大型校园网工程进行网络备份系统设计时,应考虑解决①选择备份系统(或磁盘、光盘、磁带等存储介质)、②选择备份程序、③建立备份制度、④确立备份执行者(或备份执行人)等问题。
    4)在审查一个网络备份系统的实际效果时,需要重点考查的两个主要问题是:①一旦系统遭到破坏,需要用多长时间恢复系统;②怎样备份才可能在恢复系统时使得数据损失最少。

  • 第2题:

    [说明]

    某公司为保护内网安全,采用防火墙接入Internet,网络结构如图4-1所示。

    防火墙支持三种工作模式:透明网桥模式、路由模式和混杂模式。在______模式下,防火墙各个网口设备的IP地址都位于不同的网段。


    正确答案:路由
    路由

  • 第3题:

    认真阅读下列关于计算机网络防火墙的说明信息,回答问题1~5。将答案填入对应的解答栏内。

    [说明] 某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    firewall(config)ip address inside (1) (2)

    firewall(config)ip address outside (3) (4)

    (1)


    正确答案:192.168.0.1
    192.168.0.1

  • 第4题:

    阅读以下网络测试与网络协议分析方面的技术说明,根据要求回答问题1~问题4。

    [说明]

    网络测试能获得第一手网络运行数据,为合理规划、建设网络及有效管理、维护网络奠定了基础。如图6-19所示为在某园区网出口处用Sniffer软件捕捉的部分数据包。

    网络测试工具主要有哪些类型?请简要说明各类型网络测试工具的功能。


    正确答案:线缆测试仪:用于检测线缆质量可以直接判断线路的通断状况 网络协议分析仪:用于网络的被动测试分析仪捕获网络上的数据包和数据帧通过分析捕获的数据帧以迅速检查网络问题 网络测试仪:是专用的软硬件结合的测试设备用于网络的主动测试能对网缩设备、网络系统及网络应用进行综合测试
    线缆测试仪:用于检测线缆质量,可以直接判断线路的通断状况 网络协议分析仪:用于网络的被动测试,分析仪捕获网络上的数据包和数据帧,通过分析捕获的数据帧以迅速检查网络问题 网络测试仪:是专用的软硬件结合的测试设备,用于网络的主动测试,能对网缩设备、网络系统及网络应用进行综合测试 解析:合理的网络测试是网络正常运行的基础,通过测试还能对网络日后的扩容提供参考数据,避免在网络建设、维护、使用方面重复投资,这有利于降低管理成本、提高效益,同时通过测试能够加快网络部署的速度,迅速发现网络中的问题,确保网络中的各项服务。
    网络测试工具主要有线缆测试仪、网络协议分析仪和网络测试仪。线缆测试仪用于检测线缆质量,可以直接判断线路的通断状况。网络协议分析仪多用于网络的被动测试,分析仪捕获网络上的数据包和数据帧,通过分析捕获的数据帧以迅速检查网络问题。网络测试仪是专用的软硬件结合的测试设备,具有特殊的测试板卡和测试软件。它多用于网络的主动测试,能对网络设备、网络系统及网络应用进行综合测试,具备典型的3大功能:数据报捕获、负载产生和智能分析等。

  • 第5题:

    为了保障内部网络安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图12-6所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    Firewall(config)ip address ins.ide ______ ______

    Firewall(config)ip address outside ______ ______

    阅读以下防火墙配置命令,为命令选择正确的解释。

    Firewall(config)global(outside)1 61.144.51.46 ______

    Firewall(config)nat(inside)1 0.0.0.0 0.0.0.0

    Firewall(config)static(inside,outside) 192.168.0.1 61.144.51.42


    正确答案:192.168.0.1 255.255.255.0 61.144.51.42 255.255.255.248 A
    192.168.0.1 255.255.255.0 61.144.51.42 255.255.255.248 A 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address inside192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址,192.168.0.1为内网地址。
    ip address outside61.144.51.42.255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。
    global指定公网地址范围、定义地址池,表示当内网的地址访问外网时,地址统一映射为ip_address-ip_address地址段的地址。
    语法:global(if_name)nat_id ip_address-ip_address[netmakglobal_mask]
    (if_name):表示外网接口名称,一般为outside。
    nat_id:建立的地址池标识(nat要引用)
    ip_address-ip_address:表示一段IP地址范围。
    [netmakglobal_mask]:表示全局IP地址的网络掩码。

  • 第6题:

    阅读以下技术说明,根据要求回答问题。

    [说明]

    某公司采用100Mbps宽带接入Internet,公司内部有15台PC,要求都能够上网。另外有两台服务器对外分别提供Web和E-mail服务,采用防火墙接入Internet网,其网络拓扑结构如图7-9所示。

    防火墙的网络地址转换(NAT)功能工作在TCP/IP协议族的(1)。

    A.应用层 B.传输层 C.网络层 D.服务层


    正确答案:C
    C 解析:与路由器一样,防火墙的网络地址转换(NAT)功能可以实现内部网络共享出口IP地址的任务,它工作在TCP/IP协议族的网络层,即(1)空缺处应选择选项C。

  • 第7题:

    [说明]某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如图5-1所示。

    完成下列命令行,对网络接口进行地址初始化的配置:

    firewall(config)ip address inside (1) (2)

    firewali(config)ip address outside (3) (4)


    正确答案:192.168.0.1 255.255.255.0 202.117.12.37 255.255.255.252
    192.168.0.1 255.255.255.0 202.117.12.37 255.255.255.252

  • 第8题:

    阅读以下说明,回答问题1-5,将答案填入答题纸对应的解答栏内。

    [说明]

    某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如下图所示。

    防火墙包过滤规则的默认策略为拒绝,下表中给出了防火墙的包过滤规则。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在答题纸的相应位置。

    (1)

    A.允许 B.拒绝


    正确答案:A
    A

  • 第9题:

    阅读以下HFC宽带接入Internet的技术说明,根据要求回答问题。

    [说明]

    某小区采用HFC接入Internet的解决方案进行网络设计,网络结构如图2-27所示。

    请为图2-27拓扑结构中,(1)~(5)空缺处选择对应的设备名称。

    备选设备为:CMTS、以太网交换机、光收发器、光电转换节点、Cable Modem。


    正确答案:以太网交换机 CMTS 光收发器 光电转换节点 Cable Modem
    以太网交换机 CMTS 光收发器 光电转换节点 Cable Modem

  • 第10题:

    阅读下列有关网络防火墙的说明,回答问题1至问题5,将答案填入答题纸对应的解答栏内。

    【说明】

    为了保障网络安全,某公司安装了一款防火墙,将内部网络、Web服务器以及外部网络进行逻辑隔离,其网络结构如图4-1所示。

    【问题1】

    该款防火墙的三个端口EO、El和E2命名为Trusted、Untrusted和DMZ,分别用于连接信任网络、不信任网络和非军事区,则从图4-1可以判断出:①处对应端口(1),②处对应端口 (2),③处对应端口 (3)。

    【问题2】

    表4-1是防火墙对三个端口EO、E1和E2之间包过滤规则的四种缺省设置,请指出设置最为合理的是哪种,并说明理由。

    【问题3】

    在防火墙缺省配置的基础上,增加下面一条规则,请问该规则的功能是什么?

    【问题4】

    如果要禁止内网主机192.168.1.2访问公网上202.117.112.3提供的SMTP服务,请补充完成下列配置。

    【问题5】

    如果内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务,请补充完成下面的配置。


    正确答案:

    【问题1】
    (1) E0
    (2) E1
    (3) E2
    【问题2】 (a)最合理,设置依据是Trusted可以访问DMZ和Untrusted, DMZ可以访问Untrusted, Untrusted默认没有访问Trusted和DMZ的权限。
    【问题3】
    允许任何用户访问Web服务
    【问题4】 (4) 192.168.1.2
    (5) 202.117.112.3
    (6) 25
    (7)禁止
    【问题5】
    (8) 201.10,1.10
    (9) 192.168.1.3
    (10) 8888

  • 第11题:

    阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。

    【说明】

    某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。

    防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。

    【问题1】(6分,每空1分)

    防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。

    如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)

    【问题2】(3分,每空1分)

    如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。

    (注:表4-4策略在表4-2之前生效)

    问题3】(4分,每空1分)

    如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充

    完成表4-5的策略。(注:表4-5策略在表4-2之前生效)

    【问题4】(2分,每空1分)

    如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)


    答案:
    解析:
    【问题1】 (6分)
    (1) 192.168.2.2
    (2) 80
    (3)允许
    (4) 192.168.2.3
    (5) SMTP
    (6)允许
    【问题2】(3分)
    (7) EO-> E2
    (8) Any
    (9)禁止
    【问题3】(4分)
    (10) 192.168.1.1
    (11)允许
    (12) Any或192.168.1.0/24
    (13)禁止
    【问题4】(2分)
    (14) 192.168.2.2
    (15) ICMP
    【解析】




    解析:

    【问题1】 (6分)

    正如题干所描述的,防火墙默认配置允许内网访外网和DMZ,但不允许外网访问内网和DMZ,这样的配置从安全角度来说无可厚非,但从应用角度来说就不合适了。DMZ中的web、mail服务器是需要发布到出去的,换言之是要允许外网的用户访问的,所以为了实现这一点,我们需要额外添加访问规则允许外网访问DMZ中web和mail服务器,而且添加的规则一定要在防火墙默认规则之前生效,基于这一点,我们在表4-3中添加的规则就比较容易了。允许外网访问
    web和mail服务器,那么其流量源就是外部地址,用any来表示,那么流量目的地就是DMZ区域的web和mail服务器地址,其流量的方向是E2--->E1,对应的ip地址分别是192.168.2.2、192.168.2.3,对应的目的端口分别是TCP 80、TCP 25,对应的协议分别是HTTP、SMTP,给予的工作都是允许,故(1)~(6)的答案是:
    (1) 192.168.2.2
    (2) 80
    (3)允许
    (4) 192.168.2.3
    (5) SMTP
    (6)允许
    【问题2】(3分)
    要禁止内网访问internet上202.10.20.30的FTP服务,其流量方向为E0-->E2,源地址192.168.1.0/24,源端口是随机端口,所以是any,给予的动作是禁止,目的地址为202.10.20.30,目的端口是21,所以(7)~(9)答案为:
    (7) EO-> E2
    (8) Any
    (9)禁止
    【问题3】(4分)
    要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,在添加规则的时候一定是先处理特权流量,再处理范围流量。根据题意,是允许
    PC1访问219.16.17.18的web服务,但拒绝192.168.1.0/24网络其他主机访问219.16.17.18的web服务。所以在写规则的时候先要添加针对于PC1访问219.16.17.18的web服务给予允许规则,在添加对于192.168.1.0/24访问219.16.17.18的web服务给予禁止规则,由此得到(10)~(13)的答案是:
    (10) 192.168.1.1
    (11)允许
    (12) Any或192.168.1.0/24
    (13)禁止
    【问题4】(2分)
    结合前面几个问题的分析和解答,不难得出这道题的答案为:
    (14) 192.168.2.2
    (15) ICMP

  • 第12题:

    阅读以下说明,回答问题1至问题6,将解答填入答题纸对应的解答栏内。   【说明】
    某企业的行政部、技术部和生产部分布在三个区域,随着企业对信息化需求的提高,现拟将网络出口链路由单链路升级为双链路,提升ERP系统服务能力以及加强员工上网行为管控。网络管理员依据企业现有网络和新的网络需求设计了该企业网络拓扑图1-1,并对网络地址重新进行了规划,其中防火墙设备集成了传统防火墙与路由功能。



    【问题1】(4分)   在图1-1的防火墙设备中,配置双出口链路有提高总带宽、(1)、链路负载均衡作用。通过配置链路聚合来提高总带宽,通过配置(2)来实现链路负载均衡。
    【问题2】(4分)防火墙工作模式有路由模式、透明模式、混合模式,若该防火墙接口均配有IP地址,则防火墙工作在(3)模式,该模式下,ERP服务器部署在防火墙的(4)区域。
    【问题3】(4分)
    若地址规划如表1-1所示,从IP规划方案看该地址的配置可能有哪些方面的考虑



    【问题4】(3分) 该网络拓扑中,上网行为管理设备的位置是否合适 请说明理由。
    【问题5】(3分)
    该网络中有无线节的接入,在安全管理方面应采取哪些措施 【问题6】(2分)
    该网络中视频监控系统与数据业务共用网络带宽,存在哪些弊端


    答案:
    解析:
    (1)可靠性(2)策略路由(3)路由模式 (4)内部/DMZ区
    【问题3】(4分)若地址规划如表1-1所示,从IP规划方案看该地址的配置可能有哪些方面的考虑 给单位的子网预留了比较多的IP地址,可能是考虑将来公司规模扩大,子网中主机会有较大的增加。(或者其他合理的理由都可)【问题4】(3分) 不合适,不应该部署在核心交换机上作为旁路的形式,虽然可以监控用户的上网行为,但是不能控制用户连接外部网络。而应该采用跨接/串联的方式接入。
    【问题5】(3分)

    接入认证、无线加密,IP与Mac捆绑,隐藏SSID等方式【问题6】(2分)
    视频监控系统业务流量持续,并且流量较大,会占有较多的网络带宽,会影响数据业务的通信速率。

  • 第13题:

    为了保障内部网络安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图13-6所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    Firewall(config)ip address inside [11] [12]

    Firewall(config)ip address outside [13] [14]


    正确答案:[11]192.168.0.1 [12]255.255.255.0 [13]261.144.51.42 [14]255.255.255.248
    [11]192.168.0.1 [12]255.255.255.0 [13]261.144.51.42 [14]255.255.255.248 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address inside 192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址,192.168.0.1为内网地址。
    ip address outside 61.144.51.42.255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。
    global指定公网地址范围,

  • 第14题:

    阅读以下说明,回答问题1至问题5。

    [说明]

    某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑结构如下图所示。

    防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址为202.117.118.23的Web服务器,为图中(1)~(4)空缺处选择正确答案。

    (1)A.允许 B.拒绝

    (2)A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24

    (3)A.TCP B.UDP C.ICMP

    (4)A.E3→E2 B.E1→E3 C.E1→E2


    正确答案:(1)A(或允许)(2)A(或192.168.1.0/24) (3)A(或TCP)(4)C(或E1→E2)
    (1)A(或允许)(2)A(或192.168.1.0/24) (3)A(或TCP)(4)C(或E1→E2) 解析:本题考查的是目前通过部署防火墙来进行网路边界防护的技术。通常情况下,防火墙把网络分割为内网、外网和DMZ三个网络区域,其中DMZ区主要部署对外提供服务的服务器。防火墙基于内部的安全规则来经由它的流量进行控制,典型的,有包过滤规则和NAT规则。
    防火墙往往支持应用代理,最常用的是HTTP代理,提供WWW缓存功能。
    NAT和HTTP代理两种技术的区别可以从协议层次上进行把握,NAT基于网络层实现,而HTTP代理工作在应用层。

  • 第15题:

    为了保障内部网络的安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    fu'ewall(config)ip address inside (1) (2)

    firewall(config)ip address outside (3) (4)

    阅读以下防火墙配置命令,为命令选择正确的解释。

    firewall(config)global(outside)1 61.144.51.46 (5)

    firewall(config)nat(inside)1 0.0.0.0 0.O.0.0

    firewall(config)static(inside,outside)192.168.0.1 61.144.51.42 。

    (5)A)当内网的主机访问外网时,将地址统一映射为61.144.51.46B)当外网的主机访问内网时,将地址统一映射为61.144.51.46C)设定防火墙的全局地址为61.144.51.46D)设定交换机的全局地址为61.144.51.46


    正确答案:(1)192.168.0.1 (2)255.255.255.0 (3)61.144.51.42 (4)255.255.255.248 (5)A
    (1)192.168.0.1 (2)255.255.255.0 (3)61.144.51.42 (4)255.255.255.248 (5)A 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address in-side 192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址。192.168.0.1为内网地址。ip address outside 61.144.51.42 255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。global指定公网地址范围、定义地址池,表示当内网的地址访问外网时,地址统一映射为ip—address—ip—address地址段的地址。语法:global(if_name)nat_id ip—address—ip—address[netmarkglobal—mask](if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat要引用)。ip_address—ip—address:表示一段IP地址范围。[netmarkglobal—mask]:表示全局IP地址的网络掩码。

  • 第16题:

    阅读下列说明,回答问题1至问题5,将解答填入对应栏内。

    【说明】

    希赛IT教育研发中心在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如图3-1所示。

    防火墙包过滤规则的默认策略为拒绝,表3-1给出防火墙的包过滤规则配置。若要。求内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在相应位置。

    (1)备选答案:A.允许 B.拒绝

    (2)备选答案:A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24

    (3)备选答案:A.TCP B.UDP C.ICMP

    (4)备选答案:A.E3→E2 B.E1→E3 C E1→E2


    正确答案:(1)A (2)A (3)A (4)C
    (1)A (2)A (3)A (4)C 解析:由于防火墙包过滤规则的默认策略为拒绝,因此就需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则,即(1)应该选择答案A(允许)。
    根据题意,要使“内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器”,并设置好了目的地址和目的端口。其中内部所有主机显然是指区域C中的所有主机,因此是192.168.1.0网络,即(2)应该选择答案A(192.168.1.0/24):而访问Web服务器将使用HTTP协议,HTTP协议是基于TCP的,因此(3)应该选择答案A(TCP),而方向的源端显然是E1,而根据目标IP地址可知,它应该位于区域A,因此目标端应该是E2,因此(4)应该选择答案C(E1→E2)。

  • 第17题:

    阅读以下关于某硬件防火墙相关配置的技术说明,根据要求回答问题1至问题4。

    【说明】

    某单位在部署内部局域网时选用了一款硬件防火墙,该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等4个网络接口,支持Web界面、命令行等多种管理模式。该单位接入Internet部分的相关网络参数和网络拓扑结构如图3-7所示。

    根据该单位防火墙与外部网络相关的网络连接参数,请将以下命令行中(1)~(4)空缺处的内容填写完整,以完成对防火墙相应的网络接口进行地址初始化的配置。

    FireWall (config) ip address inside (1) (2)

    FireWall (config) ip address outside (3) (4)


    正确答案:(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252
    (1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252 解析:这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。
    1)从图3-7所示的网络拓扑结构图中可以看出,该防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现物理上将内外网隔开。
    2)在图3-7所示时网络拓扑图中,防火墙FireWall分别使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口,分别与外网、内网、DMZ区相连。
    3)在对防火墙网络接口进行地址初始化配置时,“ip address inside”中的“inside”表示内部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知,(1)、(2)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。
    4)同理,“ip address outside”中的“outside”表示外部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知,(3)、(4)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。

  • 第18题:

    阅读以下说明,回答问题1至问题4。

    【说明】

    某小公司的网络拓扑如图1.1所示。其中路由器具有ISDN模块,公司网络通过ISDN连接到ISP。

    在应用服务器关机的情况下,公司员工能连接上Internet吗?简要解释。


    正确答案:在应用服务器关机的情况下员工仍能上Internet。员工的PC机通过hub经由路由器的ISDN接口连接ISDN最后到达ISP。
    在应用服务器关机的情况下,员工仍能上Internet。员工的PC机通过hub,经由路由器的ISDN接口连接ISDN,最后到达ISP。

  • 第19题:

    阅读以下说明,回答下面问题。

    【说明】

    某小公司的网络拓扑如图1.6所示。其中路由器具有ISDN模块,公司网络通过ISDN连接到ISP。

    ISDN相对传统电信网有哪些优点?


    正确答案:ISDN相对传统电信网有很多的优点: 1)业务的综合:不同的业务可以通过相同的物理电路进行连接增加新业务方便。 2)由于采用了公共信道信令(CCS:Common Channel Signal)不同业务的呼叫建立互相独立且快速方便更有效的利用了链路资源;支持话音和各种非话增值业务如主叫识别、呼叫转移、可视电话、会议电话等。 3)采用了统一的标准用户网络接口UNI。
    ISDN相对传统电信网有很多的优点: 1)业务的综合:不同的业务可以通过相同的物理电路进行连接,增加新业务方便。 2)由于采用了公共信道信令(CCS:Common Channel Signal),不同业务的呼叫建立互相独立,且快速方便,更有效的利用了链路资源;支持话音和各种非话增值业务,如主叫识别、呼叫转移、可视电话、会议电话等。 3)采用了统一的标准用户网络接口UNI。

  • 第20题:

    阅读以下说明,回答问题1~3,将解答填入对应栏内。

    【说明】

    某小公司的网络拓扑结构如图1-3所示。其中路由器具有ISDN模块,公司网络通过ISDN连接到ISP。

    在应用服务器关机的情况下,公司员工能连接上Internet吗?简要解释其原因。


    正确答案:在应用服务器关机的情况下告诉员工仍能上Internet。员工的PC通过HUB经由路由器的ISDN接口连接ISDN最后到达ISP。
    在应用服务器关机的情况下,告诉员工仍能上Internet。员工的PC通过HUB,经由路由器的ISDN接口连接ISDN,最后到达ISP。

  • 第21题:

    阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。

    说明】

    某公司为保护内网安全,采用防火墙接入Internet,网络结构如图4-1所示。

    【问题 1】(2分)

    防火墙支持三种工作模式:透明网桥模式、路由模式和混杂模式。在 (1) 模式下,防火墙各个网口设备的IP地址都位于不同的网段。


    正确答案:

    1)路由

  • 第22题:

    阅读以下说明,回答问题1至问题5。

    【说明】

    某企业的网络安装防火墙后其拓扑结构如图4-1所示。

    为图4-1中(1)处选择合适的名称。 A.服务区 B.DMZ区 C.堡垒区 D.安全区


    正确答案:(1)B或DMZ区
    (1)B或DMZ区 解析:本问题考查的是防火墙的类型和基本结构。

    在防火墙的设计和实施中目前使用最多的是屏蔽子网类防火墙。屏蔽子网系统是在内部网络与外部网络之间建立一个被隔离的子网,也称为非军事区(DMZ),用两台分组过滤路由器将这一子网分别与内部和外部网络分开。该系统进一步实现内部主机的安全性,内部网路和外部网路均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。因此,WWW和FTP等服务器一般放置于DMZ中。

  • 第23题:

    关于防火墙的功能,下列叙述中错误的是__( )__。

    A.防火墙可以检查进出内部网络的通信量
    B.防火墙可以使用过滤技术在网络层对数据包进行选择
    C.防火墙可以阻止来自网络内部的攻击
    D.防火墙可以工作在网络层,也可以工作在应用层

    答案:C
    解析:
    防火墙(Firewall)是指在本地网络与外界网络之间的一道防御系统,是这一类防范措施总称。防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许“被同意”的人和数据进入你的网络,同时将“不被同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。互联网上的防火墙是一种非常有效的网络安全模型,通过它可以使企业内部局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访,从而达到保护内部网络目的。

相关内容