【计算机类职业资格】网络管理员-网络安全(五)及答案解析.doc

1、网络管理员-网络安全(五)及答案解析(总分：75.00，做题时间：90 分钟)一、试题一(总题数：1，分数：15.00)说明某公司为保护内网安全，采用防火墙接入 Internet，网络结构如下图所示。（分数：15.00）(1).防火墙支持 3 种工作模式：透明网桥模式、路由模式和混杂模式。在_模式下，防火墙各个网口设备的 IP 地址都位于不同的网段。（分数：5.00）填空项 1:_(2).为了支持 NAT，防火墙采用混杂模式(E2 与 E1 之间，E2 与 E3 之间采用路由模式，E3 与 E1 之间采用透明网桥模式)，请为防火墙的接口 E1、E2、E3 配置合适的 IP 地址和子网掩码，如下

2、表所示。表 IP 地址与子网掩码表名称 IP 地址 子网掩码E1 _ 255.255.255.248E2 _ 255.255.255.240E3 210.156.169.5_A192.168.1.1 B210.156.169.8 C192.168.1.2D210.156.169.6 E211.156.169.6 F210.156.169.1G255.255.255.0 H255.255.255.255 I255.255.255.248（分数：5.00）填空项 1:_(3).完成防火墙的别名表(见表 1)和 E2 端口的过滤规划表(见表 2)，使内网 PC 能正常访问 WWW 服务和Telnet

3、 服务。表 1 防火墙的别名表别 名 类型 别名值WWW 服务器 单个 IP210.156.169.2Telnet 服务器 单个 IP_内网网段 网段 192.168.1.1/28DMZ 网段 网段 210.156.169.1/29WWW 端口 _Telnet 端口 23表 2 E2 端口的过滤规划表规则描述 源 IP 地址 目的 IP 地址 目的端口 方向 协议 策略访问 WWW 服务器 内网网段 WWW 服务务器 WWW E2E3 TCP 允许访问 Telnet 服务器 _ _ _ _TCP _（分数：5.00）填空项 1:_二、试题二(总题数：1，分数：15.00)说明某公司的网络结构如

4、下图所示，所有 PC 共享公网 IP 地址 211.156.168.5 接入 Internet，另外有两台服务器提供 Web 服务和 FTP 服务，服务器的内网和公网地址如表 1 所示。（分数：15.00）(1).参照上图中各个设备的 IP 地址，完成表 2 中防火墙各个端口的 IP 地址和掩码设置。表 2网口名称 IP 地址 子网掩码e0 _ 255.255.255.0e1 211.156.68.5_e2 _ 255.255.255.0A192.168.1.1 B10.1.1.1C210.156.169.1 D211.156.168.8E255.255.255.0 F255.255.255.

5、248（分数：5.00）填空项 1:_(2).完成表 3 所示的防火墙的 NAT 转换规则，以满足防火墙的部署要求。表 3源地址 转换后的源地址 目标地址 转换后的目标地址192.168.1.10 _ Internet 不变Internet 地址 不变 211.156.168.2_Internet 地址 不变 211.156.168.3_（分数：5.00）填空项 1:_(3).表 4 所示为防火墙中定义的过滤规则，过滤规则的优先级由规则编号决定，规则编号越小优先级越高。请定义规则 4，使得来自 Internet 的请求能访问 FTP 服务并尽可能少地带来入侵风险。表 4规划编号 源 目的 方向

6、 协议 行动1 AnyAny e0* Any 允许2 AnyAny e2* Any 允许3 Any10.1.12 e1e2 WWW 允许4 Any10.1.1.1_5 AnyAny e1* Any 拒绝注：*代表任意防火墙的任意一个接口。（分数：5.00）填空项 1:_三、试题三(总题数：1，分数：15.00)说明某公司通过服务器 S1 中的“路由和远程访问”服务接入 Internet，其拓扑结构如下图所示。其中，服务器 S1 的操作系统为 Windows Server 2003，公司从 ISP 处租用的公网 IP 地址是 202.134.135.88/29。（分数：15.00）(1).对服务

7、器 S1 进行配置时，打开 NAT/基本防火墙配置对话框，在下图(a)、(b)、(c)中，配置 Lan 接口的是_，配置 Wan 接口的是_。图 NAT/基本防火墙配置对话框（分数：5.00）填空项 1:_(2).为保证内网 PC 可以访问 Internet，在图 1 所示的 Wan 接口的地址池中，起始地址为_，结束地址为_。如果内网中 Web 服务器对外提供服务的 IP 地址是 202.134.135.92，则需要在图 2 中“保留此公用 IP 地址”文本框中填入_，“为专用网络上的计算机”文本框中填入_。图 1 添加地址池图 2 “地址保留”对话框（分数：5.00）填空项 1:_(3).

8、为保证 Web 服务器能正常对外提供服务，还需要在图 3 所示的“服务和端口”选项卡中选中_复选框。如果要让来自 Internet 的 ping 消息通过 S1，在图 4 中至少要选中_复选框。图 3 “服务和端口”选项卡图 4 ICMP 选项卡（分数：5.00）填空项 1:_四、试题四(总题数：1，分数：30.00)说明某企业的网络拓扑结构如下图所示。（分数：30.00）(1).防火墙使用安全区域的概念来表示与其相连接的网络。上图中的 inside、outside 和 dmz 区域分别对应于 Trust 区域、Untrust 区域和 DMZ，不同区域代表了不同的可信度，默认的可信度由高到低的

9、顺序为_。（分数：5.00）A.inside、outside、dmzB.inside、dmz、outsideC.outside、dmz、insideD.outside、inside、dmz(2).包过滤防火墙利用数据包的源地址、目的地址、_、_和所承载的上层协议，把防火墙的数据包与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。（分数：5.00）填空项 1:_(3).为了过滤数据包，需要配置访问控制列表(ACL)，规定什么样的数据包可以通过，什么样的数据包不能通过。ACL 规则由多条 permit 或 deny 语句组成，语句的匹配顺序是从上到下。语句 access-list 1

10、deny any any 的含义是_，该语句一般位于 ACL 规则的最后。语句 access-list 100 permit tcp anyhost 222.134.135.99 eq ftp 的含义是_。（分数：5.00）填空项 1:_(4).请按照上图所示，完成防火墙各个网络接口的初始化配置。firewall(config)# ip address inside _ 255.255.255.0 /配置网口 eth0firewall(config)# ip address outside _ 255.255.255.250 /配置网口 eth2firewall(config)# ip add

11、ress _ 10.0.0.1 255.255.255.0 /配置网口 eth1（分数：5.00）填空项 1:_(5).如上图所示，要求在防火墙上通过 ACL 配置，允许在 inside 区域除工作站 PC1 外的所有主机都能访问 Internet，请补充完成 ACL 规则 200。access-list 200 _ host 192.168.46.10 anyaccess-list 200 _ 192.198.46.0 0.0.0.255 any（分数：5.00）填空项 1:_(6).如上图所示，要求在防火墙上配置 ACL，允许所有 Internet 主机访问 DMZ 中的 Web 服务器，

12、请补充完成 ACL 规则 300。access-list 300 permit tcp _ host 10.0.0.10 eq _。（分数：5.00）填空项 1:_网络管理员-网络安全(五)答案解析(总分：75.00，做题时间：90 分钟)一、试题一(总题数：1，分数：15.00)说明某公司为保护内网安全，采用防火墙接入 Internet，网络结构如下图所示。（分数：15.00）(1).防火墙支持 3 种工作模式：透明网桥模式、路由模式和混杂模式。在_模式下，防火墙各个网口设备的 IP 地址都位于不同的网段。（分数：5.00）填空项 1:_ （正确答案：路由）解析：防火墙支持三种模式：路由模式

13、、透明网桥模式、混杂模式。路由模式：当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及 DMZ 三个区域相连的接口分别配置成不同网段的 IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。透明网桥模式：只需在网络中像放置网桥一样插入防火墙设备即可，无须修改任何已有的配置。混杂模式：防火墙既存在工作在路由模式的接口(接口具有 IP 地址)，又存在工作在透明模式的接口(接口无 IP 地址)。混合模式主要用于透明模式作双机备份的情况，此时启动 vrrp 功能的接口需要配置 IP 地址，其他接口不配置 IP 地址。(2).为了支持 NAT，防火墙采用混杂模式(E2 与 E

14、1 之间，E2 与 E3 之间采用路由模式，E3 与 E1 之间采用透明网桥模式)，请为防火墙的接口 E1、E2、E3 配置合适的 IP 地址和子网掩码，如下表所示。表 IP 地址与子网掩码表名称 IP 地址 子网掩码E1 _ 255.255.255.248E2 _ 255.255.255.240E3 210.156.169.5_A192.168.1.1 B210.156.169.8 C192.168.1.2D210.156.169.6 E211.156.169.6 F210.156.169.1G255.255.255.0 H255.255.255.255 I255.255.255.248（分

15、数：5.00）填空项 1:_ （正确答案：DAI）解析：根据题目描述可知，E1、E3 工作在同一网段，该网段用到 6 个 IP 地址，因此主机位只需要 3 位即可满足，可知网络地址为 210.156.169.1/29，子网掩码为 255.255.255.248。该网段中 E2 工作在网段192.168.1.1/28，192.168.1.2 已经分配给主机，E2 的 IP 地址只能选 192.168.1.1。(3).完成防火墙的别名表(见表 1)和 E2 端口的过滤规划表(见表 2)，使内网 PC 能正常访问 WWW 服务和Telnet 服务。表 1 防火墙的别名表别 名 类型 别名值WWW 服

16、务器 单个 IP210.156.169.2Telnet 服务器 单个 IP_内网网段 网段 192.168.1.1/28DMZ 网段 网段 210.156.169.1/29WWW 端口 _Telnet 端口 23表 2 E2 端口的过滤规划表规则描述 源 IP 地址 目的 IP 地址 目的端口 方向 协议 策略访问 WWW 服务器 内网网段 WWW 服务务器 WWW E2E3 TCP 允许访问 Telnet 服务器 _ _ _ _TCP _（分数：5.00）填空项 1:_ （正确答案：210.156.169.380内网网段Telnet 服务器TelnetE2E3允许）解析：参考表 1 可知，第

17、 1 空处应填入 Telnet 服务器的 IP 地址，为 210.1 56.169.3；第 2 空处应填入WWW 服务的端口号，为 80。参考表 2，内网 PC 访问 Telnet 服务器与访问 WWW 服务器的规则类似，源地址为内网地址，目的 IP 地址为 Telnet 服务器地址，目的端口为 Telnet，方向为 E2E3，策略为允许。二、试题二(总题数：1，分数：15.00)说明某公司的网络结构如下图所示，所有 PC 共享公网 IP 地址 211.156.168.5 接入 Internet，另外有两台服务器提供 Web 服务和 FTP 服务，服务器的内网和公网地址如表 1 所示。（分数：

18、15.00）(1).参照上图中各个设备的 IP 地址，完成表 2 中防火墙各个端口的 IP 地址和掩码设置。表 2网口名称 IP 地址 子网掩码e0 _ 255.255.255.0e1 211.156.68.5_e2 _ 255.255.255.0A192.168.1.1 B10.1.1.1C210.156.169.1 D211.156.168.8E255.255.255.0 F255.255.255.248（分数：5.00）填空项 1:_ （正确答案：路由）解析：防火墙支持三种模式：路由模式、透明网桥模式、混杂模式。路由模式：当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部

19、网络以及 DMZ 三个区域相连的接口分别配置成不同网段的 IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。透明网桥模式：只需在网络中像放置网桥一样插入防火墙设备即可，无须修改任何已有的配置。混杂模式：防火墙既存在工作在路由模式的接口(接口具有 IP 地址)，又存在工作在透明模式的接口(接口无 IP 地址)。混合模式主要用于透明模式作双机备份的情况，此时启动 vrrp 功能的接口需要配置 IP 地址，其他接口不配置 IP 地址。(2).完成表 3 所示的防火墙的 NAT 转换规则，以满足防火墙的部署要求。表 3源地址 转换后的源地址 目标地址 转换后的目标地址192.168.1.10

20、_ Internet 不变Internet 地址 不变 211.156.168.2_Internet 地址 不变 211.156.168.3_（分数：5.00）填空项 1:_ （正确答案：DAI）解析：根据题目描述可知，E1、E3 工作在同一网段，该网段用到 6 个 IP 地址，因此主机位只需要 3 位即可满足，可知网络地址为 210.156.169.1/29，子网掩码为 255.255.255.248。该网段中 E2 工作在网段192.168.1.1/28，192.168.1.2 已经分配给主机，E2 的 IP 地址只能选 192.168.1.1。(3).表 4 所示为防火墙中定义的过滤规则

21、，过滤规则的优先级由规则编号决定，规则编号越小优先级越高。请定义规则 4，使得来自 Internet 的请求能访问 FTP 服务并尽可能少地带来入侵风险。表 4规划编号源 目的 方向 协议 行动1AnyAnye0*Any允许2AnyAnye2*Any允许3Any10.1.12e1e2WWW允许4Any10.1.1.1_5AnyAnye1*Any拒绝注：*代表任意防火墙的任意一个接口。（分数：5.00）填空项 1:_ （正确答案：210.156.169.380内网网段Telnet 服务器TelnetE2E3允许）解析：参考表 1 可知，第 1 空处应填入 Telnet 服务器的 IP 地址，为

22、210.1 56.169.3；第 2 空处应填入WWW 服务的端口号，为 80。参考表 2，内网 PC 访问 Telnet 服务器与访问 WWW 服务器的规则类似，源地址为内网地址，目的 IP 地址为 Telnet 服务器地址，目的端口为 Telnet，方向为 E2E3，策略为允许。三、试题三(总题数：1，分数：15.00)说明某公司通过服务器 S1 中的“路由和远程访问”服务接入 Internet，其拓扑结构如下图所示。其中，服务器 S1 的操作系统为 Windows Server 2003，公司从 ISP 处租用的公网 IP 地址是 202.134.135.88/29。（分数：15.00）

23、(1).对服务器 S1 进行配置时，打开 NAT/基本防火墙配置对话框，在下图(a)、(b)、(c)中，配置 Lan 接口的是_，配置 Wan 接口的是_。图 NAT/基本防火墙配置对话框（分数：5.00）填空项 1:_ （正确答案：AFB）解析：防火墙的 3 个网络接口分别处在 3 个网段。接口 e0 处在网段 192.168.1.1/24，所以 IP 地址应为192.168.1.1；接口 e1 处在网段 211.156.168.1/29，所以 IP 子网掩码应为 255.255.255.248；接口 2 处在网段 10.1.1.1/24，所以 IP 地址应为 10.1.1.1。(2).为保

24、证内网 PC 可以访问 Internet，在图 1 所示的 Wan 接口的地址池中，起始地址为_，结束地址为_。如果内网中 Web 服务器对外提供服务的 IP 地址是 202.134.135.92，则需要在图 2 中“保留此公用 IP 地址”文本框中填入_，“为专用网络上的计算机”文本框中填入_。图 1 添加地址池图 2 “地址保留”对话框（分数：5.00）填空项 1:_ （正确答案：211.156.168.510.1.1.210.1.1.3）解析：因为“所有 PC 共享公网 IP 地址 211.156.168.5 接入 Internet”，所以 NAT 必须将内网地址192.168.1.10

25、 转换成共享的公网 IP 地址，所以第 3 空处的答案应为 211.156.168.5。由表 2 可知，211.156.168.2 和 211.156.168.3 分别是 Web 服务器和 FTP 服务器的公网 IP 地址。当外界访问服务器时，NAT 要将服务器的公网 IP 地址转换为内网 IP 地址，分别对应于 10.1.1.2 和 10.1.1.3。(3).为保证 Web 服务器能正常对外提供服务，还需要在图 3 所示的“服务和端口”选项卡中选中_复选框。如果要让来自 Internet 的 ping 消息通过 S1，在图 4 中至少要选中_复选框。图 3 “服务和端口”选项卡图 4 ICM

26、P 选项卡（分数：5.00）填空项 1:_ （正确答案：e1e2ftp允许）解析：要使得来自 Internet 的请求能访问 FTP 服务，规则 4 应允许防火墙让从接口 e1 到接口 e2 的 FTP数据包通过，参考规则 3，可知第 13 空处应分别填入 e1e2、ftp、允许。四、试题四(总题数：1，分数：30.00)说明某企业的网络拓扑结构如下图所示。（分数：30.00）(1).防火墙使用安全区域的概念来表示与其相连接的网络。上图中的 inside、outside 和 dmz 区域分别对应于 Trust 区域、Untrust 区域和 DMZ，不同区域代表了不同的可信度，默认的可信度由高到

27、低的顺序为_。（分数：5.00）A.inside、outside、dmzB.inside、dmz、outside C.outside、dmz、insideD.outside、inside、dmz解析：inside 区域(内网)是指位于防火墙之内的可信网络，是防火墙要保护的目标。DMZ 区域(非军事化区)是一个隔离的网络，可以位于防火墙之外，也可位于防火墙之内，安全敏感度和保护强度较低，一般用开放式方法提供公共网络服务的设备。对于外部用户，DMZ 区域通常是可以访问的，这样就允许外部用户访问企业的公开信息，但不允许他们访问企业的内部网络。而 outside 区域(外网)是指处于防火墙之外的公共开

28、放网络，是不被信任的区域。(2).包过滤防火墙利用数据包的源地址、目的地址、_、_和所承载的上层协议，把防火墙的数据包与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。（分数：5.00）填空项 1:_ （正确答案：源端口号目的端口号）解析：包过滤防火墙在网络的入口对通过的数据包进行检查，每个 IP 包的字段都会被检查，包括源地址、目的地址、源端口号、目的端口号、协议等，然后将这些信息与设立的过滤规则相比较，与规则不匹配的包就会被丢弃，否则按规则来处理。(3).为了过滤数据包，需要配置访问控制列表(ACL)，规定什么样的数据包可以通过，什么样的数据包不能通过。ACL 规则由多条 pe

29、rmit 或 deny 语句组成，语句的匹配顺序是从上到下。语句 access-list 1 deny any any 的含义是_，该语句一般位于 ACL 规则的最后。语句 access-list 100 permit tcp anyhost 222.134.135.99 eq ftp 的含义是_。（分数：5.00）填空项 1:_ （正确答案：过滤所有数据包(或禁止所有 IP 数据包通过防火墙)允许所有主机访问 222.134.135.99 的 FTP 服务）解析：使用 access-list 命令配置访问控制列表 ACL 的格式为：access-list access-list-number

30、 permit | deny protocol sourcewildcard-mask destination wiidcard-mask operator operand其中，permit 表示允许数据包通过；而 deny 则表示拒绝数据包通过。wildcard-mask 为通配符掩码，是子网掩码的反码；operator 表示操作，包括：lt(小于)、gt(大于)、eq(等于)、neq(不等于)；operand表示操作数，指的是端口值。语句 access-list 1 deny any any 将禁止所有 IP 数据包通过防火墙。语句 access-list 100 permit tcp a

31、nyhost 222.134.135.99 eq fip 会允许所有主机访问222.134.135.99 的 FTP 服务。(4).请按照上图所示，完成防火墙各个网络接口的初始化配置。firewall(config)# ip address inside _ 255.255.255.0 /配置网口 eth0firewall(config)# ip address outside _ 255.255.255.250 /配置网口 eth2firewall(config)# ip address _ 10.0.0.1 255.255.255.0 /配置网口 eth1（分数：5.00）填空项 1:_

32、（正确答案：192.168.46.1222.134.135.98DMZ）解析：防火墙使用 ip address 命令配置网卡的 IP 地址。其命令格式为：ip address outside | inside | dmz ip-address mask网口 eth0 连接内网、网口 eth1 连接 dinz 区域、网口 eth2 连接外网。防火墙在内网的 IP 地址是192.168.46.1，在 dmz 区域的 IP 地址是 10.0.0.1，在外网的 IP 地址是 222.134.135.98。因此，配置相应网口的命令如下。配置网口 eth0 的命令为：ip address inside 1

33、92.168.46.1255.255.255.0。配置网口 eth1 的命令为：ip address dmz 10.0.0.1255.255.255.0。配置网口 eth2 的命令为：ip address outside 222.134.135.98255.255.255.252。(5).如上图所示，要求在防火墙上通过 ACL 配置，允许在 inside 区域除工作站 PC1 外的所有主机都能访问 Internet，请补充完成 ACL 规则 200。access-list 200 _ host 192.168.46.10 anyaccess-list 200 _ 192.198.46.0 0.

34、0.0.255 any（分数：5.00）填空项 1:_ （正确答案：denypermit）解析：要允许在 inside 区域除工作站 PCI 外的所有主机都能访问 Internet，则首先应配置拒绝工作站PCI 访问 Internet 的控制语句，为：access-list 200 deny host 192.168.46.10any。然后再配置允许内网其他所有主机访问 Internet 的控制语句，内网的网络地址为 192.198.46.0，子网掩码为255.255.255.0，通配符掩码为 0.0.0.255，因此配置语句为 access-list 200permit 192.198.46

35、.0 0.0.0.255 any。(6).如上图所示，要求在防火墙上配置 ACL，允许所有 Internet 主机访问 DMZ 中的 Web 服务器，请补充完成 ACL 规则 300。access-list 300 permit tcp _ host 10.0.0.10 eq _。（分数：5.00）填空项 1:_ （正确答案：anyWWW(或 80)）解析：DMZ 中的 Web 服务器的 IP 地址为 10.0.0.10，端口为 80，允许所有 Internet 主机访问 DMZ 中的Web 服务器，则配置语句为 access-list 300 permit tcp any host 10.0.0.10 eq 80。