niusouti.com
PIX防火墙的基本配置命令中用于启用、禁止、改变一个服务或协议通过PIX防火墙的命令是( )。A) netB) interfaceC) conduitD) fixup
题目
PIX防火墙的基本配置命令中用于启用、禁止、改变一个服务或协议通过PIX防火墙的命令是( )。
A) net
B) interface
C) conduit
D) fixup
相似考题
更多“PIX防火墙的基本配置命令中用于启用、禁止、改变一个服务或协议通过PIX防火墙的命令是( )。A) ”相关问题
-
第1题:
在图4-13拓扑结构中PIX 525防火墙有如下配置语句,请写出每条配置语句的功能注释。
Pix525(config) route outside 0 0 211.156.169.1 (1)
Pix525(config) static(inside,outside) 211.156.169.2 211.156.169.5 (2)
Pix525(config) conduit deny icmp any any (3)
Pix525(config) fixup protocol http 8080 (4)
正确答案:(1) 定义一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。 (2) 建立内部IPDMZ区地址172.30.98.56 211.156.169.5 与外部IP地址 172.32.65.98 211.156.169.2之间的静态映射。 (3) 禁止icmp消息任意方向通过防火墙。 (4) 启用HTTP协议并指定HTTP的端口号为8080
(1) 定义一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。 (2) 建立内部IPDMZ区地址172.30.98.56 211.156.169.5 与外部IP地址 172.32.65.98 211.156.169.2之间的静态映射。 (3) 禁止icmp消息任意方向通过防火墙。 (4) 启用HTTP协议,并指定HTTP的端口号为8080 解析:(1)在配置模式下命令“route”用于设置指向内网和外网的静态路由。其语法格式如下:
routeif_name>0 0 gateway_ip[metric]
其中,“if_name”是接口名字,例如inside、outside;“gateway_ip”是网关路由器的IP地址;“metric”是到gateway_ip的跳数,其默认值为1。
配置语句route outside 0 0 211.156.169.1表示一条指向边界路由器(或下一跳IP地址为211.156.169.1的路由器)的默认路由。
(2)在配置模式下,命令“static”用于配置静态NAT功能。如果从外网发起一个会话,会话的目的地址是一个内网的IP地址,“static”命令就把内部地址翻译成一个指定的全局地址,允许这个会话建立。其命令格式如下:
static(internal_if_name.external_if_name)outside_ip_address inside_ip_address
其中,“internal if name”是内部网络接口名字,如inside等;“extemal_if_name”是外部网络接口名字,如outside等;“outside中address”是外部IP地址;“inside_ip_address”是内部IP地址。
配置语句static(inside,outside)211.156.169.2211.156.169.5用于建立DMZ区地址211.156.169.5与外部 IP地址211.156.169.2之间的静态映射。
(3)管道命令(conduit)用于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从Internet网到DMZ(或内部接口)方向的会话。“conduit”命令的配置语法如下:
conduit permit | deny global_ip port-port> protocolforeign_ip
其中,“permit”为允许访问策略,“deny”为拒绝访问策略;“global_ip”是指由“global”或“static”命令定义的全局IP地址,如果“global_ip”为0,可用any来代替0,如果“global_ip”为某台主机,则需使用host命令参数;“port”是指服务所作用的端口,可以通过服务名称或端口数字来指定端口;“protocol”是指连接协议,例如TCP、UDP、ICMP等;“foreign_ip”表示可访问“global_ip”的外部IP地址,对于任意主机,可以用any表示,如果“foreign_ip”是一台主机,则需使用host命令参数。
配置语句conduit deny icmp any any表示禁止icmp消息(如ping的回声请求/响应消息)的任意方向通过防火墙。
(4)“fixup”命令用于启用、禁止、改变一个服务或协议通过PIX防火墙。由“fixup”命令指定的端口是PIX防火墙要侦听的服务。配置语句fix up protocol http 8080表示,启用HTTP协议,并指定HTTP的端口号为8080。 -
第2题:
为了保障内部网络安全,某公司在Internet的连接处安装了PIX防火墙,其网络结构如图12-6所示。
完成下列命令行,对网络接口进行地址初始化配置:
Firewall(config)ip address ins.ide ______ ______
Firewall(config)ip address outside ______ ______
阅读以下防火墙配置命令,为命令选择正确的解释。
Firewall(config)global(outside)1 61.144.51.46 ______
Firewall(config)nat(inside)1 0.0.0.0 0.0.0.0
Firewall(config)static(inside,outside) 192.168.0.1 61.144.51.42
正确答案:192.168.0.1 255.255.255.0 61.144.51.42 255.255.255.248 A
192.168.0.1 255.255.255.0 61.144.51.42 255.255.255.248 A 解析:ip address inside和ip address outside命令用来完成内网和外网的配置。根据图中的ip address inside192.168.0.1 255.255.255.0表示配置掩码为255.255.255.0的IP地址,192.168.0.1为内网地址。
ip address outside61.144.51.42.255.255.255.248表示配置掩码为255.255.255.248的IP地址,61.144.51.42为外网地址。
global指定公网地址范围、定义地址池,表示当内网的地址访问外网时,地址统一映射为ip_address-ip_address地址段的地址。
语法:global(if_name)nat_id ip_address-ip_address[netmakglobal_mask]
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)
ip_address-ip_address:表示一段IP地址范围。
[netmakglobal_mask]:表示全局IP地址的网络掩码。
-
第3题:
下列协议不能用于访问pix防火墙并对防火墙进行配置、维护的是()。A.Telnet
B.SSH
C.HTTP
D.Rlogin
参考答案:D
-
第4题:
如果需要在dmz域的服务器(IP地址为l0.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。PIX(config)static(dmz,outside)(8)(9)PIX(config)conduit permit tcp host(10)eq WWW any
正确答案:(8)61.144.51.43 (9)l0.10.0.100 (10)61.144.51.43
(8)61.144.51.43 (9)l0.10.0.100 (10)61.144.51.43 解析:static命令配置语法:static(internal_if_name,external_if_name)outside_ip_address inside_ip_address,其中internal_if_name表示内部网络接口,安全级别较高,如in-side。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址,inside_ip_address为内部网络的本地ip地址。
conduit permit I deny global_ip port<-port>protocol foreign_ippermit I deny允许I拒绝访问global_ip指的是先前由global或static命令定义的全局IP地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。port指的是服务所作用的端口,例如WWW使用80,smtp使用25等,我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议,比如TCP、uDP、ICMP等。foreign_jp表示可访问global_ip的外部IP。对于任意主机,可以用any表示。如。foreign_ip是一台主机,就用host命令参数。
-
第5题:
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司网络拓扑结构如图3-1所示。公司采用光纤专线接入Internet,要求公司内部PC全部能够访问Internet,同时还有两台服务器对外分别提供Web和E-mail服务。公司采用PIX防火墙接入互联网。图3-1中两台交换机为普通二层交换机,路由器R1是与该公司互联的第一个ISP路由器。
【问题1】(2分)
防火墙是一种位于内部网络与外部网络之间的网络安全设备。它有三种工作模式,分别为(1),(2)和混合模式。
【问题2】(9分)
请阅读以下防火墙的配置操作,按照题目要求,请补充完成(或解释)下列空白的配置命令或参数。
……
Pix(3)
Pix(config)enable password cisco encry (4)
Pix(config)interface eth0 auto
Pix(config)interface eth1 auto
Pix(config)interface eth2 auto
Pix(config)nameif e0 (5) security 100
Pix(config)nameif e1 (6) security 0
Pix(config)nameif e2 (7) security50
Pix(config)ip add inside 192.168.1.1 255.255.255.0
Pix(config)ip add outside 202.117.112.98 255.255.255.252
Pix(config)ip add dmz 10.10.10.1 255.255.255.0
Pix(config)nat (inside) 1 0 0 //(8)
Pix(config)global(outside)1 (9)
Pix(config)static(dmz,outside) (10) 202.117.112.98 80 10.10.10.2 80 netmask 255.255.255.255 0 0
Pix(config)static(dmz,outside) tcp 202.117.112.98 443 10.10.10.2 443 netmask 255.255.255.255 0 0
Pix(config)conduit permit tcp host 202.117.112.98 eq 80 any
Pix(config)conduit permit tcp host 202.117.112.98 eq 443 any // (11)
……
【问题3】(5分)
1.对图3-1中主机PC1可分配的IP地址区间为 (12),子网掩码为 (13) ,默认网关为(14)。
2.PC1主机的操作系统为windows,在其命令行窗口输入netstat–an ,返回信息如下图3-2所示,根据返回信息,PC1正在请求的Internet服务为(15),该服务与PC1 进入通信时,PC1所使用的源端口号的可能 取值范围为(16)。
【问题4】(4分)
图3-1中路由器R1的接口IP地址为(17),子网掩码为(18)。
正确答案:
【问题1】(2分)
(1)路由模式
(2)透明模式
【问题2】(9分)
(3)configterminal
(4)设置防火墙密码
(5)inside
(6)outside
(7)dmz
(8)表示启用nat,应用于全局地址池1,内网的所有主机都可以访问外网,用0可以代表0.0.0.0。
(9)202.117.112.98
(10)tcp
(11)允许任何外部IP地址对全局地址为202.117.112.98的主机进行HTTPS访问。
【问题3】(5分)
(12)192.168.1.2-192.168.1.254
(13)255.255.255.0
(14)192.168.1.1
(15)访问WEB网站
(16)1024-65535
【问题4】(4分)
(17)202.117.112.98
(18)255.255.255.252