【问题3】 (4分)补充完成下面的ACL语句,禁止内网用户192.168.1.254访问公司Web服务器和外网。Router(config)#access-list l deny (6)Router(config)#access-Iist l permit anyRouter(config)#interface ethernet 0/1Router(config-if)#ip access-group 1 (7)
题目
【问题3】 (4分)
补充完成下面的ACL语句,禁止内网用户192.168.1.254访问公司Web服务器和外网。
Router(config)#access-list l deny (6)
Router(config)#access-Iist l permit any
Router(config)#interface ethernet 0/1
Router(config-if)#ip access-group 1 (7)
相似考题
更多“【问题3】 (4分) 补充完成下面的ACL语句,禁止内网用户192.168.1.254访问公司Web服务器和外网。 Rou ”相关问题
-
第1题:
试题(61)、(62)
为防止服务器遭攻击,通常设置一个DMZ。有关外网、DMZ、内网三者之间的关系,应满足(61) 。如果在DMZ中没有(62) ,则访问规则可更简单。
(61)
A. 外网可访问DMZ,不能访问内网,DMZ可访问内网和外网,内网可访问外网和DMZ
B. 外网可访问DMZ,可有条件访问内网,DMZ可访问内网,不能访问外网,内网可访问DMZ,不能访问外网
C. 外网可访问DMZ,不能访问内网,DMZ可访问外网,不能访问内网,内网可访问DMZ和外网
D. 外网可访问DMZ,不能访问内网,DMZ不能访问内网和外网,内网可有条件地访问DMZ和外网
(62)
A. 邮件服务器
B. Web服务器
C. DNS服务器
D. 数据库服务器
正确答案:C,A
试题(61)、(62)分析
本题考查网络隔离与DMZ方面的基本知识。
DMZ通常是内网服务器的一个代理,用于替代内网服务器供外网用户访问,使得内网服务器不暴露给外网用户。一旦DMZ中的服务器被攻击导致失效,可利用内网服务器快速恢复。
邮件服务器是内外网用户都要访问的服务器,当DMZ中没有邮件服务器时,可以完全限制DMZ与内网之间的联系,只允许内网到DMZ的单向访问,内网安全性进一步提高。
参考答案
(61)C (62)A
-
第2题:
为防止服务器遭攻击,通常设置一个DMZ.外网、DMZ,内网三者之间的关系,应满足( )。
A. 外网可访问DMZ,不能访问内网,DMZ可访问内网和外网,内网可访问外网和DMZ
B. 外网可访问DMZ,可有条件访问内网,DMZ可访问内网,不能访问外网,内网可访问DMZ,不能访问外网
C. 外网可访问DMZ,不能访问内网,DMZ可访问外网,不能访问内网,内网可访问DMZ和外网
D .外网可访问DMZ,不能访问内网,DMZ不能访问内网和外网,内网可有条件地访问DMZ和外网答案:C解析:DMZ通常是内网服务器的一个代理,用于替代内网服务器供外网用户访问,使得内网服务器不暴露给外网用户。一旦DMZ中的服务器被攻击导致失效,可利用内网服务器快速恢复。
邮件服务器是内外网用户都要访问的服务器,当DMZ中没有邮件服务器时,可以完全限制DMZ与内网之间的联系,只允许内网到DMZ的单向访问,内网安全性进一步提高。 -
第3题:
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】 某公司的网络拓扑结构图如图3-1所示为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻 辑隔离,其网络结构如图2-1所示。 包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为( 1 )的ACL根据IP报文 的( 2 )域进行过滤,称为( 3 );编号为( 4 )的ACL根据IP报文中的更多域对数据包进行 控制,称为( 5 )。
A.标准访问控制列 B.扩展访问控制列表
C.基于时间的访问控制列表 D.1-99E.0-99 F.100-199 G.目的的IP地址H.源IP地址 I.源端口 J.目的端口
如图2-1所示,防头墙的三个端口,端口⑥是( )、端口⑦是( ) 、端口⑧是( )。从下列选项中选择。A.外部网络 B.内部网络 C.非军事区
公司内部IP地址分配如下
1.为保护内网安全,防火墙的安全配置要求如下
(1)内外网用户均可访问 Web服务器,特定主机200.120.100.1可以通过Telnet访问Web服务器。(2)禁止外网用户访问财务服务器,禁止财务部门访问Internet,允许生产部门和行政部门访问Internet。根据以上需求,请按照防火墙的最小特权原则补充完成表2-2:
2.若调换上面配置中的第 3条和第4条规则的顺序,则( )A.安全规则不发生变化 B.财务服务器将受到安全威胁 C.Web服务器将受到安全威胁D.内网用户将无法访问Intemet
3.在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则?答案:解析:(1)D (2)H (3)A (4)F (5)B
(6)A (7)C (8)B
1.(9)10.10.200.1 (10)80 (11)200.120.100.1(12)23(13)192.168.10.0/23 (14)允许(15)拒绝 2. D 3 . 实现了禁止外网用户访问服务器的规则
-
第4题:
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司上网用户较少(约50台上网机器),因此公司网管申请了公网IP地址(117.112.2.101/30),拟通过NAT方式结合ACL提供公司内部员工上网,公司内网IP地址段为192.168.1.0/24。
该公司的网络拓扑结构如图3-1所示。
【问题4】(3分)
随着公司内部网络的不断扩大,为了公司内网的安全,可利用 (18) 快速实现企业内网的VLAN配置以解决广播风暴的问题,同时可使用 (19) 解决网络中的地址冲突以及地址欺骗等现象。
如果要实现外网用户对公司的Web服务器的访问,可利用 (20) 在R1上实现。随着公司规模的扩大,Web服务器的访问量也会增大,这时也可将该网站托管。答案:解析:18 交换机
19 DHCP
20 端口映射NPAT -
第5题:
下面ACL语句中,表达“禁止外网和内网之间互相ping”的是( )。A.access-list 101 permit any any
B.access-list 101 permit icmp any any
C.access-list 101 deny any any
D.access-list 101 deny icmp any any答案:D解析:访问控制列表(Access Control Lists,ACL)是目前使用最多的访问控制实现技术。访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。访问控制列表可以分为标准访问控制列表和扩展访问控制列表。ACL的默认执行顺序是自上而下,在配置时要遵循最小特权原则、最靠近受控对象原则及默认丢弃原则。
通用扩展访问控制列表配置:
Router> enable
Router # config terminal 准备进入全局配置模式
Router(config)# access-list access-list_num {permit|deny} IP_protocol source_ip source_wildcard_mask destionation_ip destionation_wildcard_mask
access-list_num取值为100~199,permit表示允许,deny表示拒绝
IP_protocol包括IP、ICMP、TCP、GRE、UDP、IGRP、EIGRP、IGMP、NOS、OSPF
source_ip source_wildcard_mask表示源地址及其反掩码
destionation_ip destionation _wildcard_mask表示目的地址及其反掩码
由于题目拒绝外网和内网之间互相ping,ping用的是ICMP的协议,所以access-list 101 deny icmp any any