【问题5】(3分)请在【问题4】的ACL前面添加一条语句,使得内网主机192.168.1.2可以使用telnet对Web服务器进行维护。Router(config)#access-list 101 (8)
题目
【问题5】(3分)
请在【问题4】的ACL前面添加一条语句,使得内网主机192.168.1.2可以使用telnet对Web服务器进行维护。
Router(config)#access-list 101 (8)
相似考题
更多“【问题5】(3分) 请在【问题4】的ACL前面添加一条语句,使得内网主机192.168.1.2可以使用telnet对Web ”相关问题
-
第1题:
阅读下列有关网络防火墙的说明,回答问题1至问题5,将答案填入答题纸对应的解答栏内。
【说明】
为了保障网络安全,某公司安装了一款防火墙,将内部网络、Web服务器以及外部网络进行逻辑隔离,其网络结构如图4-1所示。
【问题1】
该款防火墙的三个端口EO、El和E2命名为Trusted、Untrusted和DMZ,分别用于连接信任网络、不信任网络和非军事区,则从图4-1可以判断出:①处对应端口(1),②处对应端口 (2),③处对应端口 (3)。
【问题2】
表4-1是防火墙对三个端口EO、E1和E2之间包过滤规则的四种缺省设置,请指出设置最为合理的是哪种,并说明理由。
【问题3】
在防火墙缺省配置的基础上,增加下面一条规则,请问该规则的功能是什么?
【问题4】
如果要禁止内网主机192.168.1.2访问公网上202.117.112.3提供的SMTP服务,请补充完成下列配置。
【问题5】
如果内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务,请补充完成下面的配置。
正确答案:【问题1】
(1) E0
(2) E1
(3) E2
【问题2】 (a)最合理,设置依据是Trusted可以访问DMZ和Untrusted, DMZ可以访问Untrusted, Untrusted默认没有访问Trusted和DMZ的权限。
【问题3】
允许任何用户访问Web服务
【问题4】 (4) 192.168.1.2
(5) 202.117.112.3
(6) 25
(7)禁止
【问题5】
(8) 201.10,1.10
(9) 192.168.1.3
(10) 8888 -
第2题:
1、下面哪句话不是命名ACL的特点?()
A.解决ACL号码不足的问题
B.提供有关 ACL 作用的信息
C.适用于在具有较多类似流量的小型网络中定义 ACL 类型
D.可以自由的删除ACL中的一条语句,而不必删除整个ACL
适用于在具有较多类似流量的小型网络中定义 ACL 类型 -
第3题:
4、ACL的最后一条语句都是()。
deny -
第4题:
阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。
(注:表4-4策略在表4-2之前生效)
问题3】(4分,每空1分)
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充
完成表4-5的策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)
答案:解析:【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP
【解析】
解析:
【问题1】 (6分)
正如题干所描述的,防火墙默认配置允许内网访外网和DMZ,但不允许外网访问内网和DMZ,这样的配置从安全角度来说无可厚非,但从应用角度来说就不合适了。DMZ中的web、mail服务器是需要发布到出去的,换言之是要允许外网的用户访问的,所以为了实现这一点,我们需要额外添加访问规则允许外网访问DMZ中web和mail服务器,而且添加的规则一定要在防火墙默认规则之前生效,基于这一点,我们在表4-3中添加的规则就比较容易了。允许外网访问
web和mail服务器,那么其流量源就是外部地址,用any来表示,那么流量目的地就是DMZ区域的web和mail服务器地址,其流量的方向是E2--->E1,对应的ip地址分别是192.168.2.2、192.168.2.3,对应的目的端口分别是TCP 80、TCP 25,对应的协议分别是HTTP、SMTP,给予的工作都是允许,故(1)~(6)的答案是:
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
要禁止内网访问internet上202.10.20.30的FTP服务,其流量方向为E0-->E2,源地址192.168.1.0/24,源端口是随机端口,所以是any,给予的动作是禁止,目的地址为202.10.20.30,目的端口是21,所以(7)~(9)答案为:
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,在添加规则的时候一定是先处理特权流量,再处理范围流量。根据题意,是允许
PC1访问219.16.17.18的web服务,但拒绝192.168.1.0/24网络其他主机访问219.16.17.18的web服务。所以在写规则的时候先要添加针对于PC1访问219.16.17.18的web服务给予允许规则,在添加对于192.168.1.0/24访问219.16.17.18的web服务给予禁止规则,由此得到(10)~(13)的答案是:
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
结合前面几个问题的分析和解答,不难得出这道题的答案为:
(14) 192.168.2.2
(15) ICMP -
第5题:
下面哪些是ACL可以做到的()。
A.允许125.36.0.0/16 网段的主机使用 FTP协议访问主机 129.1.1.1
B.不让任何主机使用Telnet登录
C.拒绝一切数据包通过
D.以上说法都不正确
ABC