某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有3个以太网络接口,其网络拓扑如下图所示。(1)防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中【1】~【4】选择正确答案。【1】备选答案:A)允许 B)拒绝【2】备选答案:A)192.168.1.0/24 B)211.156.169.6/30 C)202.177.118.23/24【3】备选答案:A) TCP B)UDP C)I

题目

某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有3个以太网络接口,其网络拓扑如下图所示。

(1)防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。若要求

内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中

【1】~【4】选择正确答案。

【1】备选答案:A)允许 B)拒绝

【2】备选答案:A)192.168.1.0/24 B)211.156.169.6/30 C)202.177.118.23/24

【3】备选答案:A) TCP B)UDP C)ICMP

【4】备选答案:A)E3->E2 B)El->E3 C)El->E2

相似考题

1.【问题1】(4分)该网络中,区域 1 是防火墙的 (1) 。为使该企业网能够接入 Internet,路由器的接口1可以使用的IP地址是 (2) 。备选答案:(1)A. DMZ B. Trust区域 C. Untrust区域(2)A. 10.1.1.1 B. 61.11.52.101 C. 172.30.1.1 D. 192.168.1.1

2.阅读以下关于硬件防火墙配置的技术说明,根据要求回答问题1~问题5。【说明】某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有3个网络接口,其网络拓扑如图7-9所示。防火墙包过滤规则的默认策略为拒绝,图7-10给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为图7-10中(1)~(4)空缺处选择正确答案。(1) A.允许 B.拒绝(2) A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24(3) A.TCP B.UDP C.ICMP(4) A.E3→E2 B.E1→E3 C.E1→E2

3.内部网络经由防火墙采用NAT方式与外部网络通信,为表中【5】~【7】空缺处选择正确答案。【5】备选答案:A) 192.168.1.0/24 B)any C)202.117.118.23/24【6】备选答案:A)El B)E2 C)E3【7】备选答案:A) 192.168.1.1 B)210.156.169.6 C)211.156.169.6(3)图中【8】适合设置为DMZ【8】备选答案:A)区域A B)区域B C)区域C

4.内部网络经由防火墙采用NAT方式与外部网络通信,为下表中(5)~(7)空缺处选择正确答案,填写在答题纸的相应位置。(5)A.192.168.1.0/24B.anyC.202.117.118.23/24

参考答案和解析
正确答案:

(1)【1】A)【2】A) 【3】A) 【4】C)
【解析】包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。要求所有主机访问外部,所以策略位“允许”;主机处于局域网,局域网转换接口 E1:192.168.1.1/24的起始地址为192.168.1.0/24;局域网中的主机访问外网的方向为El到E2,利用IE浏览器访问Web浏览器,所用协议应为TCP。
更多“某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有3个以太网络接口,其网络拓扑如下图所示。(1)防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中【1】~【4】选择正确答案。【1】备选答案:A)允许 B)拒绝【2】备选答案:A)192.168.1.0/24 B)211.156.169.6/30 C)202.177.118.23/24【3】备选答案:A) TCP B)UDP C)I”相关问题

  • 第1题:

    阅读以下说明,回答问题1至问题5。

    [说明]

    某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑结构如下图所示。

    防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。若要求内部所有主机能使用IE浏览器访问外部IP地址为202.117.118.23的Web服务器,为图中(1)~(4)空缺处选择正确答案。

    (1)A.允许 B.拒绝

    (2)A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24

    (3)A.TCP B.UDP C.ICMP

    (4)A.E3→E2 B.E1→E3 C.E1→E2


    正确答案:(1)A(或允许)(2)A(或192.168.1.0/24) (3)A(或TCP)(4)C(或E1→E2)
    (1)A(或允许)(2)A(或192.168.1.0/24) (3)A(或TCP)(4)C(或E1→E2) 解析:本题考查的是目前通过部署防火墙来进行网路边界防护的技术。通常情况下,防火墙把网络分割为内网、外网和DMZ三个网络区域,其中DMZ区主要部署对外提供服务的服务器。防火墙基于内部的安全规则来经由它的流量进行控制,典型的,有包过滤规则和NAT规则。
    防火墙往往支持应用代理,最常用的是HTTP代理,提供WWW缓存功能。
    NAT和HTTP代理两种技术的区别可以从协议层次上进行把握,NAT基于网络层实现,而HTTP代理工作在应用层。

  • 第2题:

    内部网络经由防火墙采用NAT方式与外部网络通信,表3-2中(5)-(7)空缺处选择正确答案,填写在相应位置。 (5)备选答案:A.192.168.1.0/24 B.any C.202.117.118.23/24

    (6)备选答案: A.E1 B.E2 C.E3

    (7)备选答案: A.192.168.1.1 B.210.156.169.6 C.211.156.169.6


    正确答案:(5)B (6)B (7)C
    (5)B (6)B (7)C 解析:根据题意,内部网络(即192.168.1.0/24网络)经由防火墙采用NAT方式与外部网络通信。因此在访问任何外部主机时都需要进行NAT转换,即(5)应该选择B(any);而NAT转换都是在与外部连接的端口上进行的,即E2,因此(6)应该选择B;这一转换显然是将源IP地址替换成防火墙E2端口的IP地址,因此(7)应该选择C,即 211.156.169.6。

  • 第3题:

    阅读下列说明,回答问题1至问题5,将解答填入对应栏内。

    【说明】

    希赛IT教育研发中心在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如图3-1所示。

    防火墙包过滤规则的默认策略为拒绝,表3-1给出防火墙的包过滤规则配置。若要。求内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在相应位置。

    (1)备选答案:A.允许 B.拒绝

    (2)备选答案:A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24

    (3)备选答案:A.TCP B.UDP C.ICMP

    (4)备选答案:A.E3→E2 B.E1→E3 C E1→E2


    正确答案:(1)A (2)A (3)A (4)C
    (1)A (2)A (3)A (4)C 解析:由于防火墙包过滤规则的默认策略为拒绝,因此就需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则,即(1)应该选择答案A(允许)。
    根据题意,要使“内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器”,并设置好了目的地址和目的端口。其中内部所有主机显然是指区域C中的所有主机,因此是192.168.1.0网络,即(2)应该选择答案A(192.168.1.0/24):而访问Web服务器将使用HTTP协议,HTTP协议是基于TCP的,因此(3)应该选择答案A(TCP),而方向的源端显然是E1,而根据目标IP地址可知,它应该位于区域A,因此目标端应该是E2,因此(4)应该选择答案C(E1→E2)。

  • 第4题:

    阅读以下关于某硬件防火墙相关配置的技术说明,根据要求回答问题1至问题4。

    【说明】

    某单位在部署内部局域网时选用了一款硬件防火墙,该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等4个网络接口,支持Web界面、命令行等多种管理模式。该单位接入Internet部分的相关网络参数和网络拓扑结构如图3-7所示。

    根据该单位防火墙与外部网络相关的网络连接参数,请将以下命令行中(1)~(4)空缺处的内容填写完整,以完成对防火墙相应的网络接口进行地址初始化的配置。

    FireWall (config) ip address inside (1) (2)

    FireWall (config) ip address outside (3) (4)


    正确答案:(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252
    (1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252 解析:这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。
    1)从图3-7所示的网络拓扑结构图中可以看出,该防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现物理上将内外网隔开。
    2)在图3-7所示时网络拓扑图中,防火墙FireWall分别使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口,分别与外网、内网、DMZ区相连。
    3)在对防火墙网络接口进行地址初始化配置时,“ip address inside”中的“inside”表示内部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知,(1)、(2)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。
    4)同理,“ip address outside”中的“outside”表示外部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知,(3)、(4)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。

  • 第5题:

    阅读以下说明,回答问题1-5,将答案填入答题纸对应的解答栏内。

    [说明]

    某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如下图所示。

    防火墙包过滤规则的默认策略为拒绝,下表中给出了防火墙的包过滤规则。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在答题纸的相应位置。

    (1)

    A.允许 B.拒绝


    正确答案:A
    A

  • 第6题:

    阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。

    【说明】

    防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保护本地系统和网络免于受到安全威胁。

    图3-1改出了一种防火墙的体系结构。

    【问题1】

    防火墙的体系结构主要有:

    (1)双重宿主主机体系结构;

    (2)(被)屏蔽主机体系结构;

    (3)(被)屏蔽子网体系结构;

    请简要说明这三种体系结构的特点。

    【问题2】

    (1)图3-1描述的是哪一种防火墙的体系结构?

    (2)其中内部包过滤器和外部包过滤器的作用分别是什么?

    【问题3】

    设图3-1中外部包过滤器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2,内部包过滤器的外部IP地址为10.20.100.3,内部IP地址为192.168.0.1,DMZ中Web服务器IP为10.20.100.6,SMTP服务器IP为10.20.100.8.

    关于包过滤器,要求实现以下功能,不允许内部网络用户访问外网和DMZ,外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2,将对应空缺表项的答案填入答题纸对应栏内。


    正确答案:
    【问题一】双重宿主主机体系结构:双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。被屏蔽主机体系结构:被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。被屏蔽子网体系结构:被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成,分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题二】(1)屏蔽子网体系结构。(2)内部路由器:内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划,对内部用户访问周边网络和外部网络进行限制。外部路由器:外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。【问题三】(1)*(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.3(7)UDP(8)10.20.100.3

  • 第7题:

    试题三(共15分)

    阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。

    【说明】

    某单位通过路由器实现 NAT转换,网络拓扑结构如图3-1所示。其中所有服务器和客户机都使用私网地址,FTP服务器可对外提供服务。

    【问题1】(4分)

    该网络中,区域 1 是防火墙的 (1) 。为使该企业网能够接入 Internet,路由器的

    接口1可以使用的IP地址是 (2) 。

    备选答案:

    (1)A. DMZ B. Trust区域 C. Untrust区域

    (2)A. 10.1.1.1 B. 61.11.52.101

    C. 172.30.1.1 D. 192.168.1.1

    【问题2】(4分)

    若需要架设一台Web服务器对外提供服务,域名为www.test.com,外网 IP地址为

    61.11.52.98,内网IP地址为192.168.1.4,则Web 服务器应该放置在 (3) 。若内网用

    户可以通过域名正常访问该Web服务器,而外网用户无法访问该服务器。经检查,Web

    服务器的DNS记录配置正确,则可能的原因是 (4) 。

    备选答案:

    (3)A. 区域1 B. 区域2

    (4)A. 路由器上NAT表项配置错误 B. DHCP服务器配置错误

    C. Web服务器未启动

    【问题3】(3分)

    若区域 2 中的计算机接入 Internet 时,网络连接时断时续,网络管理员利用 Sniffer抓包工具分析区域 2 中的分组,发现大量 arp 应答数据包占用了网络带宽,则可能的故障原因是 (5) 。为了排除故障,网络管理员应采取的措施为 (6) 。

    (5)备选答案:

    A. 网络线路出现故障 B. 网络中出现了arp病毒

    C. DNS服务器配置错误 D. 防火墙配置错误

    【问题4】(2分)

    某Windows客户端开机后无法上网,其他计算机均能正常上网。经过检查,该机网络协议相关配置均正确。使用ping命令测试127.0.0.1及 FTP服务器连接,结果如图3-2和图3-3所示,则可能的故障原因是 (7) 。

    (7)备选答案:

    A. Web服务器未启动 B. DNS服务器未启动

    C. 客户端机器网络线路故障 D. 客户端机器网卡故障

    【问题5】(2分)

    若某客户机使用 IE 可以正常访问网站,而 QQ 软件不能联网,可能的原因是 (8) 。

    (8)备选答案:

    A. DNS服务器配置错误 B. QQ软件代理配置错误

    C. 客户端机器网络线路故障 D. 客户端机器网卡故障


    正确答案:
    试题三分析本题考查网络安全区域划分、NAT技术等基本概念以及简单的网络故障分析和判断。【问题1】从题目给出的网络拓扑结构图可以得知,区域1中放置有FTP服务器、E-mail服务器以及DNS服务器,同时从题干得知FTP服务器对外提供服务。由于DMZ区域主要放置对外提供的公共服务,因此区域1应为DMZ区域。路由器接口1的IP地址必须为公网正式IP地址,因此使用排除法可知,只能使用61.11.52.101作为接口1的地址。【问题2】由题干可知Web服务器需对外提供服务,因此Web服务器必须放置在DMZ区域,即区域1。内网用户可以通过域名正常访问该Web服务器,则说明DNS服务器能够正常工作,并且Web服务器已经启动,因此可能存在的问题是路由器上有关Web服务器的NAT表项配置错误。【问题3】从题干可以知道,线路故障主要是由于arp数据包占用了大量的带宽,因此可能的故障是区域2内部有机器向外大量发送arp数据包,因此可能的故障是网络中出现了arp病毒。采取的措施是查出中了arp病毒的机器,并将其从网络中断开,或者对区域2中所有的机器安装arp防火墙,从而清除arp病毒。【问题4】从题干可以知道,除该客户端外,其他计算机均能正常上网,因此故障的可能原因是该客户端自身的问题,该客户端相关的协议都配置正确,并且通过PING命令可排除自身的网卡故障,因此原因可能为客户端机器的网络线路故障。【问题5】从题干可以知道,该客户端使用IE正常,因此可以使用排除法将答案A、C和D排除,因此可能的原因是QQ软件代理配置错误。试题三(共15分)【问题1】(4分)(1)A或DMZ(2分)(2)B或61.11.52.101(2分)【问题2】(4分)(3)A或区域1(2分)(4)A或路由器上NAT表项配置错误(2分)【问题3】(3分)(5)B或网络中出现了arp病毒(2分)(6)查出受病毒感染的机器,将其从网络中断开(1分)(或区域2中所有计算机都安装ARP防火墙)【问题4】(2分)(7)C或客户端机器网络线路故障(2分)【问题5】(2分)(8)B或QQ软件代理配置设置错误(2分)

  • 第8题:

    阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
    【说明】某公司的网络结构如图3-1所示,所有PC机共享公网IP地址202.134.115.5接入Internet,公司对外提供WWW和邮件服务。

    【问题1】(每空1分,共5分)防火墙可以工作在三种模式下,分别是:路由模式、(1)和混杂模式,根据图3-1所示,防火墙的工作模式为(2)。管理员为防火墙的三个接口分别命名为Trusted、Untrusted和DMZ,分别用于连接可信网络、不可信网络和DMZ网络。其中F0接口对应于(3),F1接口对应于(4),F2接口对应于(5)。【问题2】(每空1分,共4分)请根据图3-1所示,将如表3-1所示的公司网络IP地址规划表补充完整。

    (6)——(9)备选答案:A.202.134.115.5B.10.10.1.1C.10.10.1.255D.192.168.10.1E.255.255.255.0F.255.255.255.248G.192.168.10.0H.202.134.115.8I.255.255.255.224【问题4】(每空1分,共6分)如表3-3所示是防火墙上的过滤规则,规则自上而下顺序匹配。为了确保网络服务正常工作,并保证公司内部网络的安全性,请将下表补充完整【问题3】(每空1分,共5分)为使互联网用户能够正常访问公司WWW和邮件服务,以及公司内网可以访问互联网。公司通过防火墙分别为Webserver和MailServer分配了静态的公网地址202.134.115.2和202.134.115.3。如表3-2所示是防火墙上的地址转换规则,请将下表补充完整。

    【问题4】(每空1分,共6分)如表3-3所示是防火墙上的过滤规则,规则自上而下顺序匹配。为了确保网络服务正常工作,并保证公司内部网络的安全性,请将下表补充完整


    答案:
    解析:
    【问题1】答案:(1) 透明模式 (2)路由模式 (3)Untrusted (4) DMZ (5) Trusted
    【问题2】答案:(6)A (7)255.255.255.248 (8)B (9)D
    【问题3】答案:(10)公网地址1 (11)10.10.1.2 (12)10.10.1.3(13)202.134.115.5 (14)公网地址3
    【问题4】答案:(15) F0-> F1 (16)SMTP (17)25 (18)允许 (19)110 (20)禁止或者拒绝

  • 第9题:

    阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。

    【说明】
    某企业采用PIX防火墙保护公司网络安全,网络结构如图4-1所示。

    【问题1】(4分)
    防火墙一般把网络区域划分为内部区域(trust区域)、外部区域(untrust区域)以及(1),其中在这个网络区域内可以放置一些公开的服务器,下列(2)服务器不适合放在该区域。
    空(2)的备选答案:
    A.Web
    B.FTP
    C.邮件
    D.办公自动化(OA)

    【问题2】(2分)
    衡量防火墙性能的主要参数有并发连接数、用户数限制、吞吐量等,其中最重要的参数是(3),它反映出防火墙对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
    空(3)的备选答案:
    A.并发连接数
    B.用户数限制
    C.吞吐量
    D.安全过滤带宽

    【问题3】(4分)
    设置防火墙接口名称,并指定安全级别,安全级别取值范围为0~100,数字越大安全级别越高。要求设置:ethemet0命名为外部接口outside,安全级别是0;ethernet1命名为内部接口inside,安全级别是100;ethernet2命名为中间接口dmz,安全级别为50。
    请完成下面的命令。

    PLX#config terminal
    PLX (config)#nameif ethemet0 (4) security0
    PLX (config)#nameif ethernet1 inside (5)
    PLX (config)#nameif ethemet2 (6) (7)



    【问题4】(5分)
    编写表4-1中的规则,设置防火墙的安全规则,允许外网主机133.20.10.10访问内网的数据库服务器10.66.1.101,同时允许内网和外网访问DMZ区的WWW服务器10.65.1.101。


    答案:
    解析:
    答案:

    【问题1】
    (1)DMZ区(隔离区或非军事区)
    (2)D.办公自动化(OA)
    【问题2】
    (3)A.并发连接数
    【问题3】
    (4) outside
    (5) securityl00
    (6) dmz
    (7) security50
    【问题4】
    (8) 133.20.10.10
    (9) 10.66.1.101
    (10)允许
    (11) 10.66.1.0/24
    (12) Any


    分析:

    【问题1】
    图示可以看到此公司防火墙结构是三向外围结构,亦即三个网络连接分别对应外网(untrust)、内网(turst)、非军事化区域(DMZ)。DMZ网络区域内可以放置一些公开的服务器,常见的如web、FTP、e-mai服务器。至于公司内部数据库、OA系统通常是放置在内部网络中。
    【问题2】
    概念题,但需要加以适当的理解。题干中描述的功能就是“并发连接数”,此为防火墙最为关键的一个参数。
    【问题3】
    PIX#config terminal
    PIX (config)#nameif ethemet0 outside security 0
    e0接口命名为outside,其安全级别是0

    PIX (config)#nameif ethernet1 inside security 100
    e1接口命名为inside,其安全级别是100

    PIX (config)#nameif ethemet2 DMZ security 50
    e2接口命名为dmz,其安全级别是50
    【问题4】
    允许外网主机133.20.10.10访问内网的数据库服务器10.66.1.101,表中第一条规则中源地址为133.20.10.10,目的地址为10.66.1.101,此流量为允许通过。同时允许内网和外网访问DMZ区的WWW服务器10.65.1.101,则对于内网的访问其源地址用10.66.1.0/24表示,而对于外网应该用any表示。

  • 第10题:

    阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。 ?【说明】 防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保护本地系统和网络免于受到安全威胁。 图3-1给出了一种防火墙的体系结构。



    【问题1】(6分) 防火墙的体系结构主要有:?请简要说明这三种体系结构的特点。
    【问题2】(5分) 图3-1描述的是哪一种防火墙的体系结构? ? (2)其中内部包过滤器和外部包过滤器的作用分别是什么? 【问题3】(8分) 设图3-1中外部包过滤器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2;内部包过滤器的外部IP地址为10.20.100.3,内部IP地址为192.168.0.1,DMZ中Web服务器IP为10.20.100.6,SMTP服务器IP为10.20.100.8。? 关于包过滤器,要求实现以下功能:不允许内部网络用户访问外网和DMZ,外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2,将对应空缺表项的答案填入答题纸对应栏内。



    答案:
    解析:
    【问题1】(1)双重宿主主机体系结构; ? (2)(被)屏蔽主机体系结构; ?(3)(被)屏蔽子网体系结构;
    双重宿主主机体系结构:以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。
    被屏蔽主机体系结构:通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。屏蔽子网体系结构:由两台路由器包围起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成,分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题2】(1)屏蔽子网体系结构。
    (2)内部包过滤器:内部包过滤器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规则,规则主要对内部用户访问周边网络和外部网络进行限制。外部包过滤器:外部包过滤器用于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,规则主要针对外网用户。【问题3】(1)*
    (2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.8(7)UDP(8)10.20.100.8

  • 第11题:

    阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
    【说明】 某公司的网络拓扑结构图如图3-1所示为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻 辑隔离,其网络结构如图2-1所示。 包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为( 1 )的ACL根据IP报文 的( 2 )域进行过滤,称为( 3 );编号为( 4 )的ACL根据IP报文中的更多域对数据包进行 控制,称为( 5 )。
    A.标准访问控制列 B.扩展访问控制列表
    C.基于时间的访问控制列表 D.1-99E.0-99 F.100-199 G.目的的IP地址H.源IP地址 I.源端口 J.目的端口



    如图2-1所示,防头墙的三个端口,端口⑥是( )、端口⑦是( ) 、端口⑧是( )。从下列选项中选择。A.外部网络 B.内部网络 C.非军事区
    公司内部IP地址分配如下



    1.为保护内网安全,防火墙的安全配置要求如下
    (1)内外网用户均可访问 Web服务器,特定主机200.120.100.1可以通过Telnet访问Web服务器。(2)禁止外网用户访问财务服务器,禁止财务部门访问Internet,允许生产部门和行政部门访问Internet。根据以上需求,请按照防火墙的最小特权原则补充完成表2-2:



    2.若调换上面配置中的第 3条和第4条规则的顺序,则( )A.安全规则不发生变化 B.财务服务器将受到安全威胁 C.Web服务器将受到安全威胁D.内网用户将无法访问Intemet
    3.在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则?


    答案:
    解析:
    (1)D (2)H (3)A (4)F (5)B
    (6)A (7)C (8)B
    1.(9)10.10.200.1 (10)80 (11)200.120.100.1(12)23(13)192.168.10.0/23 (14)允许(15)拒绝 2. D 3 . 实现了禁止外网用户访问服务器的规则

  • 第12题:

    防火墙直接获得数据包的源IP地址、目的IP地址、源TCP/UDP端口和目的TCP/UDP端口和协议号等,并根据定义的特定规则过滤数据包,这种防火墙我们称之为()

    • A、包过滤防火墙
    • B、代理防火墙
    • C、状态检测防火墙

    正确答案:A

  • 第13题:

    内部网络经由防火墙采用NAT方式与外部网络通信,为图中(5)~(7)空缺处选择正确答案。

    (5)A.192.168.1.0/24 B.any C.202.117.118.23/24

    (6)A.E1 B.E2 C.E3

    (7)A.192.168.1.1 B.210.156.169.6 C.211.156.169.6


    正确答案:(5)B(或any)(6)B(或E2)(7)C(或211.156.169.6)
    (5)B(或any)(6)B(或E2)(7)C(或211.156.169.6)

  • 第14题:

    认真阅读下列关于计算机网络防火墙的说明信息,回答问题1~5。将答案填入对应的解答栏内。

    [说明] 某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。

    完成下列命令行,对网络接口进行地址初始化配置:

    firewall(config)ip address inside (1) (2)

    firewall(config)ip address outside (3) (4)

    (1)


    正确答案:192.168.0.1
    192.168.0.1

  • 第15题:

    内部网络经由防火墙采用NAT方式与外部网络通信,为图7-11中(5)~(7)空缺处选择正确答案。

    (5) A.192.168.1.0/24 B.any C.202.117.118.23/24

    (6) A.E1 B.E2 C.E3

    (7) A.192.168.1.1 B.210.156.169.6 C.211.156.169.6


    正确答案:(5) B或any (6)B或E2 (7) C或211.156.169.6
    (5) B,或any (6)B,或E2 (7) C,或211.156.169.6 解析:这是一道要求读者掌握防火墙设备NAT配置的分析理解题。本题的解答思路如下。
    网络地址转换(NAT,Network Address Translation)是一个Internet工程任务组(IETF)标准,用于将内部私有网络地址(或某个IP地址)翻译成合法公网IP地址的技术。NAT有静态NAT、动态地址NAT、网络地址端口转换NAPT等3种类型。其中,静态NAT将内部网络中的每个主机的IP地址都永久映射成外部网络中的某个合法的地址。动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射给内部网络使用。NAPT则是把内部地址映射到外部网络的同一个IP地址的不同TCP/UDP端口号上。
    试题中给出的关键信息“内部网络经由防火墙采用NAT方式与外部网络通信”在本案例中可理解为,要实现整个内部网络段(192.168.1.0/24)的多个客户共享同一个公网IP地址(211.156.169.6)访问Internet网。由于试题只说明“外部网络”而没有特别指出是哪个IP地址段,因此(5)空缺处的“目的地址”应设置为“any”。
    因为是“内部网络段的多个用户共享公网IP地址”,所以在图7-11中(6)空缺处的“转换接口”应设置为防火墙的外网接口,,即选项B的“E2”口。(7)空缺处的“转换后地址”为防火墙外网接口的IP地址,即选项C的“211.156.169.6”。

  • 第16题:

    防火墙的网络地址转换功能工作在TCP/IP协议族的(5)。在图3-7所示的网络拓扑图中,内部网络经由防火墙采用NAT方式与Internet网络进行通信,防火墙的网络地址转换功能的配置界面如图3-8所示。请将图3-8中(6)~(8)空缺处的内容填写完整,以实现整个内部网络段的多个用户共享同一个公网IP地址。

    【供选择的答案】

    (5) A.应用层 B.传输层

    C.网络层 D.服务层

    (6) A.211.156.169.0/30 B.211.156.169.6/28

    C.192.168.10.0/24 D.any

    (7) A.WAN B.LAN

    C.DMZ D.FUN

    (8) A.211.156.169.1 B.211.156.169.2

    C.192.168.10.254 D.211.156.169.6


    正确答案:(5) C或网络层 (6) D或any (7) A或WAN (8) B或211.156.169.2
    (5) C,或网络层 (6) D,或any (7) A,或WAN (8) B,或211.156.169.2 解析:这是一道要求读者掌握防火墙设备NAT配置的分析理解题。本题的解答思路是,与路由器一样,防火墙的网络地址转换功能可以实现内部网络共享出口IP地址的任务,它工作在TCP/IP协议族的网络层,即(5)空缺处所填写的内容。
    要实现整个内部网络段(192.168.10.0/24)的多个用户共享同一个公网IP地址的功能,且考虑到试题中未对访问权限加以限制(图3-8中“协议”为“any”),因此(6)空缺处的“目的地址”可设置为“any”。
    因为是“内部网络段的多个用户共享公网IP地址”,所以图3-8中(7)空缺处的“转换接口”应设置为防火墙FireWall的外网接口,即WAN口。(8)空缺处的“转换后地址”为防火墙FireWall的外网接口的IP地址,即211.156.169.2。

  • 第17题:

    包过滤规则策略是防火墙实现安全管理的重要手段,通常防火墙包过滤规则的默认策略为拒绝。图 3-9给出了防火墙的包过滤规则的相关配置界面。若要求内部所有主机不能访问外部IP地址段为 202.117.12.0/24的Web服务器,请将图3-9中(9)~(12)空缺处的内容填写完整,以完成相应的配置任务。

    【供选择的答案】

    (9) A.192.168.10.0/24 B.211.156.169.6/28

    C.211.156.169.0/30 D.any

    (10) A.80 B.8080

    C.53 D.any

    (11) A.HTTP B.TCP

    C.UDP D.IP

    (12) A.LAN→DMZ B.DMZ→WAN

    C.LAN→WAN D.DMZ→LAN


    正确答案:(9) A或192.168.10.0/24 (10) D或any (11) B或TCP (12) C或LAN→WXN
    (9) A,或192.168.10.0/24 (10) D,或any (11) B,或TCP (12) C,或LAN→WXN 解析:这是一道要求读者掌握防火墙设备包过滤规则策略配置的分析理解题。本题的解答思路如下。
    1)注意到试题中关键信息“要求内部所有主机不能访问外部IP地址段为202.117.12.0/24的Web服务器”的“内部所有主机”,这些主机在图3-7所示的网络拓扑图中对应于区域B的计算机。由于防火墙与区域B相连接的接口IP地址为192.168.10.254/24,其中子网掩码为255.255.255.0,而区域B仅给出了一台交换机,可见区域B就是一个广播域。因此(9)空缺处应填入区域B的网段地址(192.168.10.0/24), (10)空缺处的填写内容应选择“any”。
    2)通常Web服务器是使用TCP/IP协议族中的HTTP协议提供服务的,而HTTP协议是一个传输层基于TCP协议的应用层协议,同时注意到防火墙包过滤规则配置界面(见图3-9)的“目的端口”中已给出“80”的数据,因此(11)空缺处的“协议”应选择“TCP”。
    3)同理,由试题的关键信息“要求内部所有主机不能访问外部……的Web服务器”可知,该包过滤规则的控制方向是控制内网传输到Internet网的数据包,即从防火墙的“LAN”端口流入,“WAN”端口流出的IP数据包,因此(12)空缺处的“方向”应选择“LAN→WAN”。

  • 第18题:

    阅读下列说明,回答问题 1至问题 3,将解答填入答题纸的对应栏内。 【说明】 某公司的网络拓扑结构图如图2-1所示

    【问题1】(共5分) 为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻辑隔离,其网络结构如图2-1所示。 包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为(1)的ACL根据IP报文的(2)域进行过滤,称为(3);编号为(4)的ACL根据IP报文中的更多域对数据包进行控制,称为(5). (1)~(5) 备选项: A. 标准访问控制列表 B. 扩展访问控制列表 C. 基于时间的访问控制列表 D.,1&39;"99 E. 0-99 F. 100-199 G.目的的IP地址 H.源IP地址 . I.源端口 J.目的端口 【问题2 】(共6分) 如图2-1所示,防头墙的三个端口,端口⑥是(6)、端口⑦是 (7) 、端口⑧是(8)。 (6)~(8) 是备选项 A. 外部网络 B. 内部网络 C. 非军事区 【问题3 】(共9分) 公司内部E地址分配如下 表2-1 部门/服务器 IP地址段 财务部门 192.168.9.0/24 生产部门 192.168.10.0/24 行政部门 192.168.11.0/24 财务服务器 192.168.100.1/24 Web服务器 10.10.200.1/24 1.为保护内网安全,防火墙的安全配置要求如下 (1)内外网用户均可访问 Web 服务器,特定主机 200.120.100.1 可以通过 Telnet访问 Web 服务器。 (2)禁止外网用户访问财务服务器,禁止财务部门访问 Intemet ,允许生 产部门和行政部门访问Intemet 。 根据以上需求,请按照防火墙的最小特权原则补充完成表 2-2: 表2-2 序号 源地址 源端口 目的地址 目的端口 协议 规则 1 Any Any (9) (10) WWW 允许 2 (11) Any 10.10.200.1 (12) telnet 允许 3 (13) Any Any Any Any (14) 4 Any Any Any Any Any (15) 2.若调换上面配置中的第 3条和第4条规则的顺序,则(16) (16)备选项: A. 安全规则不发生变化 B. 财务服务器将受到安全威胁 C. Web服务器将受到安全威胁 D. 内网用户将无法访问Intemet 3. 在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则?


    正确答案:问题一:
    (1)D
    (2)H
    (3)A
    (4)F
    (5)B
    问题二:
    (6)A
    (7)C
    (8)B
    问题三:
    (9)10.10.200.1
    (10)80
    (11)200.120.100.1
    (12)23
    (13)192.168.10.0
    (14)允许
    (15)拒绝
    (16)D
    (17)已经实现,除开允许的,其余均已经禁止

  • 第19题:

    【问题 2】(6分)

    为了支持NAT,防火墙采用混杂模式(E2与 E1之间,E2与 E3 之间采用路由模式,E3与E1之间采用透明网桥模式,请为防火墙的接口E1、E2、E3配置合适的 IP地址和子网掩码(表4-1)。

    (2)~(4)备选答案:

    A. 192.168.1.1 B. 210.156.169.8 C. 192.168.1.2 D. 210.156.169.6

    E. 211.156.169.6 F. 210.156.169.1 G. 255.255.255.0 H.255.255.255.255

    I. 255.255.255.248


    正确答案:

    2D. 210.156.169.6

    3A. 192.168.1.1

    4I. 255.255.255.248

    【问题2

    本题考查防火墙工作模式的配置应用。

    由题意:E2E1之间,E2E3之间采用路由模式,E3E1之间采用透明网桥模式,可知E3E1处于同一网段,再根据e1WWW服务器等的地址知道E1所处的网段为210.156.169.1/29,选项中只有DF位于该网段,而F选项的210.156.168.1已经配置到了e1端口,所以E1IP地址只能选D

    E2与内网PC处于同一网段192.168.1.1/28,选项中只有AC位于该网段,而C选项的IP地址192.168.1.2已经被PC占用,所以E2IP地址只能选A

    由于E3E1处于同一网段,所以E3的子网掩码应该与E1子网掩码一致,选项为I

  • 第20题:

    阅读下列说明,回答问题1至问题5,将解答填入答题纸的对应栏内。 【说明】 攻克要塞教育中心在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如图3-1所示。

    【问题1】(8分)
    防火墙包过滤规则的默认策略为拒绝,表3-1给出防火墙的包过滤规则配置。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在答题纸相应位置。(1)备选答案:A.允许     B.拒绝(2)备选答案:A.192.168.1.0/24   B.211.156.169.6/30 C.202.117.118.23/24(3)备选答案:A.TCP    B.UDP     C.ICMP(4)备选答案:A.E3E2   B.E1E3    C.E1E2

    【问题2】(6分)
    内部网络经由防火墙采用NAT方式与外部网络通信,表3-2中(5)~(7)空缺处选择正确答案,填写在答题纸相应位置。(5) 备选答案:A.192.168.1.0/24    B.anyC.202.117.118.23/24(6)备选答案: A.E1     B.E2     C.E3(7)备选答案: A.192.168.1.1      B.210.156.169.6C.211.156.169.6

    【问题3】(2分)
    图3-1中 (8)适合设置为DMZ区。(8)备选答案:A.区域A    B.区域B   C.区域C【问题4】(4分)防火墙上的配置信息如图3-2所示。要求启动HTTP代理服务,通过HTTP缓存提高浏览速度,代理服务端口为3128,要使主机PC1使用HTTP代理服务,其中“地址”栏中的内容应填写为 (9) ,“端口”栏中内容应填写为 (10) 。

    【问题5】(4分)
    NAT和HTTP代理分别工作在 (11) 和 (12) 。(11)备选答案:A.网络层   B.应用层   C.服务层(12)备选答案:A.网络层   B.应用层   C.服务层


    答案:
    解析:
    【问题1】

    由于防火墙包过滤规则的默认策略为拒绝,因此就需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则,即(1)应该选择答案A(允许)。

    根据题意,要使“内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器”,并设置好了目的地址和目的端口。其中内部所有主机显然是指区域C中的所有主机,因此是192.168.1.0网络,即(2)应该选择答案A(192.168.1.0/24);而访问Web服务器将使用HTTP协议,HTTP协议是基于TCP的,因此(3)应该选择答案A(TCP),而方向的源端显然是E1,而根据目标IP地址可知,它应该位于区域A,因此目标端应该是E2,因此(4)应该选择答案C(E1àE2)。

    【问题2】

    根据题意,内部网络(即192.168.1.0/24网络)经由防火墙采用NAT方式与外部网络通信。因此在访问任何外部主机时都需要进行NAT转换,即(5)应该选择B(any);而NAT转换都是在与外部连接的端口上进行的,即E2,因此(6)应该选择B;这一转换显然是将源IP地址替换成防火墙E2端口的IP地址,因此(7)应该选择C,即211.156.169.6。

    【问题3】

    DMZ网络通常较小,处于Internet和内部网络之间,一般情况下,配置成使用Internet和内部网络系统对其访问会受限制的系统,例如堡垒主机、信息服务器、Modem组以及其他公用服务器。

    而对于图3-1所示的网络而言,区域A显然是Internet网络,区域C是内部网络,因此适合设置为DMZ区的就是区域B。

    【问题4】

    对于代理服务器设置而言,IP地址就是代理服务器的IP地址,在本例中就是防火墙的IP地址,即192.168.1.1,而其端口号就是题意指定的代理服务端口3128。

    【问题5】

    NAT,网络地址转换,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请合法IP地址。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。

    NAT的应用场景主要是两种:一是从安全角度考虑,不想让外部网络用户了解自己的网络结构和内部网络地址;二是从IP地址资源角度考虑,当内部网络人数太多时,可以通过NAT实现多台共用一个合法IP访问Internet。

    在图3-1中展现了静态NAT的工作原理,从中不难看出它是对IP包进行操作,因此是工作在网络层。

    而代理服务器的功能就是代理网络用户去获取网络信息。形象地说:它是网络信息的中转站。代理服务器能够让没有公网IP地址的电脑使用其代理功能高速、安全地访问互联网资源。当代理服务器客户端发出一个对外的资源访问请求时,该请求先被代理服务器识别并由代理服务器代为向外请求资源。由于一般代理服务器拥有较大的带宽、较高的性能,并且能够智能地缓存已浏览或未浏览的网站内容,因此在一定情况下,客户端通过代理服务器能够更快速地访问网络资源。从上面的描述中也不难发现,它是工作在应用层的。

  • 第21题:

    阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】某单位现有网络拓扑结构如图1-1所示,实现用户上网的功能。该网络使用的交换机均为三层设备,用户地址分配为手动指定。

    【问题1】(2分)路由器AR2200的GE0/0/1接口地址为内网地址,为确保内部用户访问Internet,需要在该设备配置(1)。【问题2】(10分)网络中增加三个摄像头,分别接入SwitchA、SwitchB、SwitchC。在调试时,测试网络线路可以使用(2)。(2)备选答案:A.数字万用表 B.测线器如果将计算机PC 3用于视频监控管理,并且视频监控系统与内网的其他计算机逻辑隔离,需要在内网交换机上配置(3)。内网用户的网关在交换机SwitchA上,网关地址需要设置在(4),最少需要配置(5)个网关地址。在不增加专用存储设备的情况下,可以将视频资料存储在(6)。(4)备选答案:A.物理接口上 B.逻辑接口上【问题3】(2分)若将内网用户IP地址的分配方式改为自动分配,在设备SwitchA上启用DHCP功能,首先配置的命令是(7)。(7)备选答案:A.dhcp select relay B.dhcp enable【问题4】(6分)为防止网络攻击,需要增加安全设备,配置安全策略,进行网络边界防护等,需在(8)部署(9),且在该设备上配置(10)策略。(8)备选答案:A.AR2200与SwitchA之间 B.SwitchA与服务器之间(9)备选答案:A.FW(防火墙) B.IDS(入侵检测系统)


    答案:
    解析:
    【问题一】(2分)1、NAT【问题二】(10分)2、B3、VLAN4、B5、26、PC3【问题三】(2分)7、B【问题四】(6分)8、A9、A10、ACL

  • 第22题:

    阅读下列说明和表,回答问题1至问题4,将解答填入解答纸的对应框内。【说明】防火墙类似于我国古代的护城河,可以挡敌人的进攻。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络,防火墙通过使用各种安全规则来实现网络的安全策略。防火墙的安全规则由匹配条件和处理方式两个部分共同构成,网络流量通过防火墙时,根据数据包中的某些特定字段进行计算以后如果满足匹配条件,就必须采用规则中的处理方式进行处理。【问题1】(6分)假设某企业内部网(202.114.63.0/24)需要通过防火墙与外部网络互连,其防火墙的过滤规则案例如表4.1所示。表4.1

    表中“*”表示通配符,任意服务端口都有两条规则请补充表4.1中的内容(1)和(2)根据上述规则表给出该企业对应的安全需求。【问题2】(4分)一般来说,安全规则无法覆盖所有的网络流量,因此防火增都有一条缺省(默认)规则,该规则能覆盖事先无法预料的网络流量,请问缺省规则的两种选择是什么?【问题3】(6分)请给出防火墙规则中的三种数据包处理方式。【问题4】(4分)防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面的内容:服务控制、方向控制、用户控制和行为控制。请问表4.1中,规则A涉及访问控制的哪几个方面的内容?


    答案:
    解析:
    【问题1】(1)53 (2)Drop企业对应的安全需求有:(1)允许内部用户访问外部网络的网页服务器;(2)允许外部用户访问内部网络的网页服务器(202.114.64.125);(3)除1和2外,禁止其他任何网络流量通过防火墙。【问题2】两种缺省选择是,默认拒绝或者默认允许。【问题3】Accept、Reject、Drop【问题4】服务控制、方向控制和用户控制。

  • 第23题:

    Linux内核通过netfilter/iptables实现的防火墙功能属于包过滤防火墙,可以实现以下功能:作为主机防火墙实现外部网络与主机之间的访问控制;作为网络防火墙实现外部网络与内部网络的访问控制;作为网关服务器实现网络地址转换(NAT)功能,实现内部网络通过网关主机共享()。


    正确答案:访问外部网络

相关内容