niusouti.com
阅读下列说明和表,回答问题1至问题4,将解答填入解答纸的对应框内。【说明】防火墙类似于我国古代的护城河,可以挡敌人的进攻。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络,防火墙通过使用各种安全规则来实现网络的安全策略。防火墙的安全规则由匹配条件和处理方式两个部分共同构成,网络流量通过防火墙时,根据数据包中的某些特定字段进行计算以后如果满足匹配条件,就必须采用规则中的处理方式进行处理。【问题1】(6分)假设某企业内部网(202.114.63.0/24)需要通过防火墙与外部网络互连,其防火墙的
题目
表中“*”表示通配符,任意服务端口都有两条规则请补充表4.1中的内容(1)和(2)根据上述规则表给出该企业对应的安全需求。【问题2】(4分)一般来说,安全规则无法覆盖所有的网络流量,因此防火增都有一条缺省(默认)规则,该规则能覆盖事先无法预料的网络流量,请问缺省规则的两种选择是什么?【问题3】(6分)请给出防火墙规则中的三种数据包处理方式。【问题4】(4分)防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面的内容:服务控制、方向控制、用户控制和行为控制。请问表4.1中,规则A涉及访问控制的哪几个方面的内容?
相似考题
更多“阅读下列说明和表,回答问题1至问题4,将解答填入解答纸的对应框内。【说明】防火墙类似于我国古代的护城河,可以挡敌人的进攻。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络,防火墙通过使用各种安全规则来实现网络的安全策略。防火墙的安全规则由匹配条件和处理方式两个部分共同构成,网络流量通过防火墙时,根据数据包中的某些特定字段进行计算以后如果满足匹配条件,就必须采用规则中的处理方式进行处”相关问题
-
第1题:
阅读下列技术说明,根据要求回答问题。
[说明]
为了保障内部网络的安全,某公司在Internet的连接处安装了CiscoPIX525防火墙。该防火墙带有3个网络接口,其网络拓扑如图4-13所示。
在网络工程规划与设计过程中,选择防火墙之前应该考虑的因素有哪些?请用300字以内的文字简要回答。
正确答案:①预算方面的考虑。网络环境中的每个防火墙应该在保持经济、有效的同时提供尽可能高级别的服务,但是如果防火墙过分受成本限制,则可能会对企业造成潜在的损失。例如,考虑网络服务因遭受拒绝服务攻击而被中断时的停机时间成本。
②现有设备的考察。主要考虑企事业单位中是否有可利用的现有设备。例如,是否有可以重新利用的防火墙,是否有可以安装防火墙功能模块的路由器。
⑧可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用、如何减少防火墙的故障修复时间、是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。
④可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口。当企事业单位网络需要增加新的网络出口时,防火墙是否能通过增加模块来支持更多的接口;当网络流量快速增长时,防火墙会不会成为网络的瓶颈。此类利于未来发展的需求也应纳入可扩展性的考虑范畴。
⑤所需功能的考虑。主要是指需要哪一种具体的防火墙功能。例如,是否支持防御DoS/DDoS,是否支持VPN,是否支持SNMPv3,能否保护特定主机的特定服务等。 -
第2题:
防火墙安全规则由匹配条件和处理方式两部分组成。
此题为判断题(对,错)。
正确答案:√
-
第3题:
阅读以下说明,回答问题1-5,将答案填入答题纸对应的解答栏内。
[说明]
某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如下图所示。
防火墙包过滤规则的默认策略为拒绝,下表中给出了防火墙的包过滤规则。若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在答题纸的相应位置。
(1)
A.允许 B.拒绝
正确答案:A
A -
第4题:
防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时,就必须采用规则中的处理方式进行处理。其中,拒绝数据包或信息通过,并且通 知信息源该信息被禁止的处理方式是( )。A. Accept
B. Reject
C. Refuse
D. Drop
参考答案:B
-
第5题:
试题四(15分)
阅读下列有关网络防火墙的说明,回答问题1至问题4,将答案填入答题纸对应的解答栏内。
【说明】
某公司网络有200台主机、一台WebServer和一台MailServer。为了保障网络安全,安装了一款防火墙,其网络结构如图4-1所示,防火墙上配置NAT转换规则如表4-1所示。
防火墙的配置遵循最小特权原则(即仅允许需要的数据包通过,禁止其他数据包通过),请根据题意回答以下问题。
【问题1】(6分,每空1分)
防火墙设置的缺省安全策略如表4-2所示,该策略含义为:内网主机可以访问WebServer、MailServer和Internet,Intemet主机无法访问内网主机和WebServer、MailServer。
如果要给Internet主机开放WebServer的Web服务以及MaiIServer的邮件服务,请补充完成表4-3的策略。(注:表4-3策略在表4-2之前生效)
【问题2】(3分,每空1分)
如果要禁止内网用户访问Internet上202.10.20.30的FTP服务,请补充完成表4-4的策略。
(注:表4-4策略在表4-2之前生效)
【问题3】(4分,每空1分)
如果要禁止除PC1以外的所有内网用户访问Internet上219.16.17.18的Web服务,请补充
完成表4-5的策略。(注:表4-5策略在表4-2之前生效)
【问题4】(2分,每空1分)
如果要允许Intemet用户通过Ping程序对WebServer的连通性进行测试,请补充完成表4-6的策略。(注:表4-6策略在表4-2之前生效)
正确答案:【问题1】 (6分)
(1) 192.168.2.2
(2) 80
(3)允许
(4) 192.168.2.3
(5) SMTP
(6)允许
【问题2】(3分)
(7) EO-> E2
(8) Any
(9)禁止
【问题3】(4分)
(10) 192.168.1.1
(11)允许
(12) Any或192.168.1.0/24
(13)禁止
【问题4】(2分)
(14) 192.168.2.2
(15) ICMP -
第6题:
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】某公司的网络结构如图3-1所示,所有PC机共享公网IP地址202.134.115.5接入Internet,公司对外提供WWW和邮件服务。
【问题1】(每空1分,共5分)防火墙可以工作在三种模式下,分别是:路由模式、(1)和混杂模式,根据图3-1所示,防火墙的工作模式为(2)。管理员为防火墙的三个接口分别命名为Trusted、Untrusted和DMZ,分别用于连接可信网络、不可信网络和DMZ网络。其中F0接口对应于(3),F1接口对应于(4),F2接口对应于(5)。【问题2】(每空1分,共4分)请根据图3-1所示,将如表3-1所示的公司网络IP地址规划表补充完整。
(6)——(9)备选答案:A.202.134.115.5B.10.10.1.1C.10.10.1.255D.192.168.10.1E.255.255.255.0F.255.255.255.248G.192.168.10.0H.202.134.115.8I.255.255.255.224【问题4】(每空1分,共6分)如表3-3所示是防火墙上的过滤规则,规则自上而下顺序匹配。为了确保网络服务正常工作,并保证公司内部网络的安全性,请将下表补充完整【问题3】(每空1分,共5分)为使互联网用户能够正常访问公司WWW和邮件服务,以及公司内网可以访问互联网。公司通过防火墙分别为Webserver和MailServer分配了静态的公网地址202.134.115.2和202.134.115.3。如表3-2所示是防火墙上的地址转换规则,请将下表补充完整。
【问题4】(每空1分,共6分)如表3-3所示是防火墙上的过滤规则,规则自上而下顺序匹配。为了确保网络服务正常工作,并保证公司内部网络的安全性,请将下表补充完整
答案:解析:【问题1】答案:(1) 透明模式 (2)路由模式 (3)Untrusted (4) DMZ (5) Trusted
【问题2】答案:(6)A (7)255.255.255.248 (8)B (9)D
【问题3】答案:(10)公网地址1 (11)10.10.1.2 (12)10.10.1.3(13)202.134.115.5 (14)公网地址3
【问题4】答案:(15) F0-> F1 (16)SMTP (17)25 (18)允许 (19)110 (20)禁止或者拒绝 -
第7题:
在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络。某图书馆服务器区网络(202.197.127.0/255.255.255.0)通过防火墙与外部网络互连,其安全需求为:① 允许内部用户访问外部网络的网页服务器;② 允许外部用户访问内部网络的网页服务器(202.197.127.125);③ 除1和2外,禁止其他任何网络流量通过该防火墙。注意:安全规则的动作方式一般为Reject或Drop。填写表1
答案:解析:(1)202.197.127.0/24 (2)80 (3)* (4)80 (5)*(6)accept (7)80 (8)>1024(9)accept(10)202.197.127.0/24(11)UDP (12)accept(13)202.197.127.0/24(14)accept(15) drop
【解析】
规则A和B允许内部用户访问外部网络的网页服务器。规则C和D允许外部用户访问内部网络的网页服务器。规则E和F允许内部用户访问域名服务器。规则G是缺省拒绝的规则。安全规则涉及的服务有网页服务器、域名服务,所以其端口有80、53。
-
第8题:
阅读以下说明,回答问题1至问题6,将解答填入答题纸对应的解答栏内。 【说明】
某企业的行政部、技术部和生产部分布在三个区域,随着企业对信息化需求的提高,现拟将网络出口链路由单链路升级为双链路,提升ERP系统服务能力以及加强员工上网行为管控。网络管理员依据企业现有网络和新的网络需求设计了该企业网络拓扑图1-1,并对网络地址重新进行了规划,其中防火墙设备集成了传统防火墙与路由功能。
【问题1】(4分) 在图1-1的防火墙设备中,配置双出口链路有提高总带宽、(1)、链路负载均衡作用。通过配置链路聚合来提高总带宽,通过配置(2)来实现链路负载均衡。
【问题2】(4分)防火墙工作模式有路由模式、透明模式、混合模式,若该防火墙接口均配有IP地址,则防火墙工作在(3)模式,该模式下,ERP服务器部署在防火墙的(4)区域。
【问题3】(4分)
若地址规划如表1-1所示,从IP规划方案看该地址的配置可能有哪些方面的考虑
【问题4】(3分) 该网络拓扑中,上网行为管理设备的位置是否合适 请说明理由。
【问题5】(3分)
该网络中有无线节的接入,在安全管理方面应采取哪些措施 【问题6】(2分)
该网络中视频监控系统与数据业务共用网络带宽,存在哪些弊端答案:解析:(1)可靠性(2)策略路由(3)路由模式 (4)内部/DMZ区
【问题3】(4分)若地址规划如表1-1所示,从IP规划方案看该地址的配置可能有哪些方面的考虑 给单位的子网预留了比较多的IP地址,可能是考虑将来公司规模扩大,子网中主机会有较大的增加。(或者其他合理的理由都可)【问题4】(3分) 不合适,不应该部署在核心交换机上作为旁路的形式,虽然可以监控用户的上网行为,但是不能控制用户连接外部网络。而应该采用跨接/串联的方式接入。
【问题5】(3分)
接入认证、无线加密,IP与Mac捆绑,隐藏SSID等方式【问题6】(2分)
视频监控系统业务流量持续,并且流量较大,会占有较多的网络带宽,会影响数据业务的通信速率。 -
第9题:
关于防火墙的描述不正确的是()
- A、作为不同网段之间的逻辑隔离设备,防火墙将内部可信区域与外部危险区域有效隔离
- B、防火墙将网络的安全策略制定和信息流动集中管理控制
- C、防火墙规则是一种细颗粒的检查,能对大多数协议的细节做到完全解析
- D、防火墙为网络边界提供保护,是抵御入侵的有效手段之一
正确答案:C -
第10题:
关于防火墙系统,以下说法不正确的是()
- A、防火墙是网络安全的屏障
- B、防火墙可以强化网络安全策略
- C、防火墙可以阻拦外部任何形式的非法入侵
- D、防火墙可以保护脆弱的服务
正确答案:C -
第11题:
单选题下列关于防火墙的错误说法是()。A防火墙工作在网络层
B对IP数据包进行分析和过滤
C防火墙工作在应用层
D部署防火墙,就解决了网络安全问题
正确答案: C解析: 暂无解析 -
第12题:
单选题关于防火墙系统,以下说法不正确的是()A防火墙是网络安全的屏障
B防火墙可以强化网络安全策略
C防火墙可以阻拦外部任何形式的非法入侵
D防火墙可以保护脆弱的服务
正确答案: C解析: 暂无解析 -
第13题:
阅读下列说明,回答问题1至问题5,将解答填入对应栏内。
【说明】
希赛IT教育研发中心在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如图3-1所示。
防火墙包过滤规则的默认策略为拒绝,表3-1给出防火墙的包过滤规则配置。若要。求内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器,为表中(1)~(4)空缺处选择正确答案,填写在相应位置。
(1)备选答案:A.允许 B.拒绝
(2)备选答案:A.192.168.1.0/24 B.211.156.169.6/30 C.202.117.118.23/24
(3)备选答案:A.TCP B.UDP C.ICMP
(4)备选答案:A.E3→E2 B.E1→E3 C E1→E2
正确答案:(1)A (2)A (3)A (4)C
(1)A (2)A (3)A (4)C 解析:由于防火墙包过滤规则的默认策略为拒绝,因此就需要对每个允许的网络通信操作配置一条策略为“允许”的访问规则,即(1)应该选择答案A(允许)。
根据题意,要使“内部所有主机能使用Ⅲ浏览器访问外部IP地址202.117.118.23的Web服务器”,并设置好了目的地址和目的端口。其中内部所有主机显然是指区域C中的所有主机,因此是192.168.1.0网络,即(2)应该选择答案A(192.168.1.0/24):而访问Web服务器将使用HTTP协议,HTTP协议是基于TCP的,因此(3)应该选择答案A(TCP),而方向的源端显然是E1,而根据目标IP地址可知,它应该位于区域A,因此目标端应该是E2,因此(4)应该选择答案C(E1→E2)。 -
第14题:
阅读以下关于某硬件防火墙相关配置的技术说明,根据要求回答问题1至问题4。
【说明】
某单位在部署内部局域网时选用了一款硬件防火墙,该防火墙分别带有“WAN”、“LAN”“DMZ”、“FUN”等4个网络接口,支持Web界面、命令行等多种管理模式。该单位接入Internet部分的相关网络参数和网络拓扑结构如图3-7所示。
根据该单位防火墙与外部网络相关的网络连接参数,请将以下命令行中(1)~(4)空缺处的内容填写完整,以完成对防火墙相应的网络接口进行地址初始化的配置。
FireWall (config) ip address inside (1) (2)
FireWall (config) ip address outside (3) (4)
正确答案:(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252
(1) 192.168.10.254 (2) 255.255.255.0 (3) 211.156.169.2 (4) 255.255.255.252 解析:这是一道要求读者掌握防火墙设备内外网接口地址配置的分析题。本题的解答思路如下。
1)从图3-7所示的网络拓扑结构图中可以看出,该防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制,实现物理上将内外网隔开。
2)在图3-7所示时网络拓扑图中,防火墙FireWall分别使用了“WAN”(211.156.169.2/30)、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等3个接口,分别与外网、内网、DMZ区相连。
3)在对防火墙网络接口进行地址初始化配置时,“ip address inside”中的“inside”表示内部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域B网络的连接参数“192.168.10.254/24”可知,(1)、(2)空缺处的配置参数分别是“192.168.10.254”、“255.255.255.0”。
4)同理,“ip address outside”中的“outside”表示外部网卡,因此根据图3-7所示的网络结构中防火墙内网接口与区域A网络的连接参数“211.156.169.2/30”可知,(3)、(4)空缺处的配置参数分别是“211.156.169.2”、“255.255.255.252”。 -
第15题:
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保护本地系统和网络免于受到安全威胁。
图3-1改出了一种防火墙的体系结构。
【问题1】
防火墙的体系结构主要有:
(1)双重宿主主机体系结构;
(2)(被)屏蔽主机体系结构;
(3)(被)屏蔽子网体系结构;
请简要说明这三种体系结构的特点。
【问题2】
(1)图3-1描述的是哪一种防火墙的体系结构?
(2)其中内部包过滤器和外部包过滤器的作用分别是什么?
【问题3】
设图3-1中外部包过滤器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2,内部包过滤器的外部IP地址为10.20.100.3,内部IP地址为192.168.0.1,DMZ中Web服务器IP为10.20.100.6,SMTP服务器IP为10.20.100.8.
关于包过滤器,要求实现以下功能,不允许内部网络用户访问外网和DMZ,外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2,将对应空缺表项的答案填入答题纸对应栏内。
正确答案:
【问题一】双重宿主主机体系结构:双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。被屏蔽主机体系结构:被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。被屏蔽子网体系结构:被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成,分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题二】(1)屏蔽子网体系结构。(2)内部路由器:内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划,对内部用户访问周边网络和外部网络进行限制。外部路由器:外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。【问题三】(1)*(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.3(7)UDP(8)10.20.100.3 -
第16题:
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
说明】
某公司为保护内网安全,采用防火墙接入Internet,网络结构如图4-1所示。
【问题 1】(2分)
防火墙支持三种工作模式:透明网桥模式、路由模式和混杂模式。在 (1) 模式下,防火墙各个网口设备的IP地址都位于不同的网段。
正确答案:(1)路由
-
第17题:
阅读下列有关网络防火墙的说明,回答问题1至问题5,将答案填入答题纸对应的解答栏内。
【说明】
为了保障网络安全,某公司安装了一款防火墙,将内部网络、Web服务器以及外部网络进行逻辑隔离,其网络结构如图4-1所示。
【问题1】
该款防火墙的三个端口EO、El和E2命名为Trusted、Untrusted和DMZ,分别用于连接信任网络、不信任网络和非军事区,则从图4-1可以判断出:①处对应端口(1),②处对应端口 (2),③处对应端口 (3)。
【问题2】
表4-1是防火墙对三个端口EO、E1和E2之间包过滤规则的四种缺省设置,请指出设置最为合理的是哪种,并说明理由。
【问题3】
在防火墙缺省配置的基础上,增加下面一条规则,请问该规则的功能是什么?
【问题4】
如果要禁止内网主机192.168.1.2访问公网上202.117.112.3提供的SMTP服务,请补充完成下列配置。
【问题5】
如果内网主机192.168.1.3通过8888端口为Web服务器提供用户认证服务,请补充完成下面的配置。
正确答案:【问题1】
(1) E0
(2) E1
(3) E2
【问题2】 (a)最合理,设置依据是Trusted可以访问DMZ和Untrusted, DMZ可以访问Untrusted, Untrusted默认没有访问Trusted和DMZ的权限。
【问题3】
允许任何用户访问Web服务
【问题4】 (4) 192.168.1.2
(5) 202.117.112.3
(6) 25
(7)禁止
【问题5】
(8) 201.10,1.10
(9) 192.168.1.3
(10) 8888 -
第18题:
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。 ?【说明】 防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保护本地系统和网络免于受到安全威胁。 图3-1给出了一种防火墙的体系结构。
【问题1】(6分) 防火墙的体系结构主要有:?请简要说明这三种体系结构的特点。
【问题2】(5分) 图3-1描述的是哪一种防火墙的体系结构? ? (2)其中内部包过滤器和外部包过滤器的作用分别是什么? 【问题3】(8分) 设图3-1中外部包过滤器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2;内部包过滤器的外部IP地址为10.20.100.3,内部IP地址为192.168.0.1,DMZ中Web服务器IP为10.20.100.6,SMTP服务器IP为10.20.100.8。? 关于包过滤器,要求实现以下功能:不允许内部网络用户访问外网和DMZ,外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2,将对应空缺表项的答案填入答题纸对应栏内。
答案:解析:【问题1】(1)双重宿主主机体系结构; ? (2)(被)屏蔽主机体系结构; ?(3)(被)屏蔽子网体系结构;
双重宿主主机体系结构:以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。
被屏蔽主机体系结构:通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。屏蔽子网体系结构:由两台路由器包围起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成,分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题2】(1)屏蔽子网体系结构。
(2)内部包过滤器:内部包过滤器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规则,规则主要对内部用户访问周边网络和外部网络进行限制。外部包过滤器:外部包过滤器用于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,规则主要针对外网用户。【问题3】(1)*
(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.8(7)UDP(8)10.20.100.8 -
第19题:
阅读以下说明,回答问题 1 至问题 4,将解答填入答题纸对应的解答栏内。【说明】某企业组网方案如图 1-1 所示,网络接口规划如表 1-1 所示。公司内部员工和外部访客均可通过无线网络访问企业网络,内部员工无线网络的 SSID 为 Employee,访客无线网络的 SSID为 Visitor。
【问题 1】(6 分)防火墙上配置 NAT 功能,用于公私网地址转换。同时配置安全策略,将内网终端用户所在区域划分为 Trust 区域,外网划分为 Untrust 区域,保护企业内网免受外部网络攻击。补充防火墙数据规划表 1-2 内容中的空缺项。
注意:local表示防火墙本地区域;SRCIP表示源IP【问题 2】(4 分)在点到点的环境下,配置 IPSec VPN 隧道需要明确( )和( )【问题 3】(6 分)在Switch1 上配置 ACL 禁止访客访问内部网络,将 Switch1 数据规划表 1-3 内容中的空缺项补充完整。
【问题 4】(4 分)AP 控制器上部署 WLAN 业务,采用直接转发,AP 跨三层上线。认证方式:无线用户通过预共享密钥方式接入。在 Switch1 上 GEO/O/2 连接 AP 控制器,该接口类型配置为( )模式,所在 VLAN 是( )。答案:解析:答案:【问题1】(1)200.1.1.1/32(2)200.1.1.1/32(3)0.0.0.0/0或者any【问题2】(4)隧道接口IP地址(5)密钥等相关参数【问题3】(6)Vlan104(7)192.168.104.0/0.0.0.255(8)deny或者禁止【问题4】(9)Access(10)Vlan10
【解析】
【问题1】(6分)解析:Local表示的防火墙的本地区域,因此其访问其他区域时,IP数据包源地址会使用出口的IP地址。NAT策略应该是对Internet上的其他所有主机作为目标地址。这里只是规划表,因此表示成相关意思即可。【问题2】(4分)解析:一个隧道最基础的两个信息就是建立隧道的两个设备的接口IP地址信息。以确定隧道。另一个内容就是隧道中需要用到各种安全相关的参数,如加密算法,密钥,身份认证信息等等。【问题3】(6分)实际上这是一道基础概念题,考的ACL的基础概念。通过一个规划表的形式展示出来而已。明显的访客Vlan在图中可以找到,是Vlan104.对应的IP地址范围从表中给出的Vlan104的vlanif接口地址192.168.104.1/24就可以计算出来,是192.168.104.0/24。题目明确的支持是要“禁止访客访问内部网络”,因此这个动作就只能是deny,由于这里是一个规划,因此写上“禁止”之类的也是可以的。【问题4】(4分)解析:AP控制器一般设置在核心交换机上,既可以trunk模式,配合有多个vlan段的无线接入方式,也可以用access模式,由其他三层设备路由。在此处相当于一台服务器,设置的地址是192.168.10.1/24,对应的switch1上设置的IP地址是192.168.10.254/24,并且switch1的GE0/0/2对应的vlan是VLAN10、因此必须使用access模式。 -
第20题:
防火墙按应用部署位置划分,可以分为边界防火墙、个人防火墙和分布式防火墙三大类。边界防火墙是传统的位于内部网络和外部网络边界的防火墙,作用是对内部网络和外部网络进行隔离,实施访问控制策略,从而保护内部网络。
正确答案:正确 -
第21题:
下列关于防火墙的错误说法是()。
- A、防火墙工作在网络层
- B、对IP数据包进行分析和过滤
- C、防火墙工作在应用层
- D、部署防火墙,就解决了网络安全问题
正确答案:D -
第22题:
下列关于防火墙的错误说法是____。
- A、防火墙工作在网络层
- B、对IP数据包进行分析和过滤
- C、重要的边界保护机制
- D、部署防火墙,就解决了网络安全问题
正确答案:D -
第23题:
单选题下列关于不同类型的防火墙的说法,错误的是()A包过滤防火墙对于通过防火墙的每个数据包,都要进行ACL匹配检查
B状态检测防火墙只对没有命中会话的首包进行安全策略检查
C状态检测防火墙需要配置报文的“去”和“回“两个方向的安全策略
D代理防火墙代理内部和外部网络用户之间的业务
正确答案: C解析: 暂无解析