【计算机类职业资格】网络管理员-网络安全与管理(一)及答案解析.doc

1、网络管理员-网络安全与管理(一)及答案解析(总分：80.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：12.00)阅读下列有关网络防火墙的说明，根据要求回答下列问题。说明为了保障网络安全，某公司安装了一款防火墙，将内部网络、Web 服务器及外部网络进行逻辑隔离，其网络结构如下图所示。（分数：12.00）(1).该款防火墙的 3 个端口 E0、E1 和 E2 命名为 Trusted、Untrusted 和 DMZ，分别用于连接信任网络、不信任网络和非军事区，则从图中可以判断出：处对应端口_，处对应端口_，处对应端口_。（分数：2.40）填空项 1:_(2).表 1 是防火墙对

2、3 个端口 E0、E1 和 E2 之间包过滤规则的 4 种默认设置，请指出设置最为合理的是哪种，并说明理由。 （分数：2.40）_(3).在防火墙默认设置的基础上，增加如表 2 所示的一条规则，请问该规则的功能是什么? （分数：2.40）_(4).如果要禁止内网主机 192.168.1.2 访问公网上 202.117.112.3 提供的 SMTP 服务，请补充完成表 3 中的配置。表 3 防火墙访问规则列表 2（分数：2.40）填空项 1:_(5).如果内网主机 192.168.1.3 通过 8888 端口为 Web 服务器提供用户认证服务，请补充完成表 4 中的设置。表 4 防火墙访问规则列

3、表 3（分数：2.40）填空项 1:_二、B试题二/B(总题数：1，分数：8.00)阅读以下说明，根据要求回答下列问题。说明下图是某企业网络设备连接结构。（分数：8.00）(1).防火墙的规则配置如表 1 所示，请解释该配置的含义。 （分数：1.60）_(2).编写表 2 中的规则编号“1”，禁止内网主机 PC1 访问 Internet 上的 FTP 服务。表 2 防火墙的访问过滤规则配置 2（分数：1.60）填空项 1:_(3).能否在不增加规则的前提下，通过修改表 2 中的规则编号“1”，限制内网主机 PC1 仅能访问Internet 上的 FTP 服务，请说明理由。 （分数：1.60）_

4、(4).编写表 3 中的规则，允许外网主机访问内网的 DNS 服务。表 3 防火墙的访问过滤规则配置 3（分数：1.60）填空项 1:_(5).请说明表 3 中的规则应该插入到表 2 中的何处才能生效。 （分数：1.60）_三、B试题三/B(总题数：1，分数：9.00)阅读以下说明，根据要求回答下列问题。说明某公司为保护内网安全，采用防火墙接入 Internet，网络结构如下图所示。（分数：9.00）(1).防火墙支持 3 种工作模式：透明网桥模式、路由模式和混杂模式。在_模式下，防火墙各个网口设备的 IP 地址都位于不同的网段。 （分数：3.00）填空项 1:_(2).为了支持 NAT，防火

5、墙采用混杂模式(E2 与 E1 之间，E2 与 E3 之间采用路由模式；E3 与 E1 之间采用透明网桥模式)，请为防火墙的接口 E1、E2 和 E3 配置合适的 IP 地址和子网掩码，如表 1 所示。表 1 防火墙的接口配置配置信息（分数：3.00）填空项 1:_(3).完成防火墙的别名表(见表 2)和 E2 端口的过滤规则表(见表 3)，使内网 PC 能正常访问 WWW 服务器和Telnet 服务器。表 2 防火墙的别名表表 3 防火墙 E2 端口的过滤规则表（分数：3.00）填空项 1:_四、B试题四/B(总题数：1，分数：9.00)阅读以下说明，根据要求回答下列问题。说明某公司的网络结

6、构如下图所示，所有 PC 共享公网 IP 地址 211.156.168.5 接入Internet，另外有两台服务器提供 Web 服务和 FTP 服务，服务器的内网和公网地址如表 1 所示。表 1 服务器的内网和公网地址（分数：9.00）(1).参照图中各个设备的 IP 地址，完成表 2 中防火墙各个端口的 IP 地址和子网掩码设置。表 2 防火墙各端口地址参数（分数：3.00）填空项 1:_(2).完成表 3 中防火墙上的 NAT 转换规则，以满足防火墙部署要求。表 3 防火墙的 NAT 转换规则（分数：3.00）填空项 1:_(3).表 4 所示为防火墙中定义的过滤规则，过滤规则的优先级由规

7、则编号决定，规则编号越小优先级越高。请定义规则 4，使得来自 Internet 的请求能访问 FTP 服务并尽可能少地带来入侵风险。表 4 防火墙的过滤规则（分数：3.00）填空项 1:_五、B试题五/B(总题数：1，分数：15.00)阅读以下说明，根据要求回答下列问题。说明某单位通过路由器实现 NAT 转换，网络拓扑结构如图 1 所示。其中所有服务器和客户机都使用私网地址，FTP 服务器可对外提供服务。图 1 某单位网络拓扑结构图路由器 NAT 映射地址及对应域名如下表所示。（分数：15.00）(1).该网络中，区域 1 是防火墙的U /U。为使该企业网能够接入 Internet，路由器的接

8、口 1可以使用的 IP 地址是U /U。 ADMZ BTrust 区域 CUntrust 区域 A10.1.1.1 B61.11.52.101 C172.30.1.1 D192.168.1.1（分数：3.00）填空项 1:_(2).若需要架设一台 Web 服务器对外提供服务，域名为 ，外网 IP 地址为 61.11.52.98，内网 IP 地址为 192.168.1.4，则 Web 服务器应该放置在U /U。若内网用户可以通过域名正常访问该 Web 服务器，而外网用户无法访问该服务器。经检查，Web 服务器的 DNS 记录配置正确，则可能的原因是U /U。 A区域 1 B区域 2 A路由器上

9、NAT 表项配置错误 BDHCP 服务器配置错误 CWeb 服务器未启动（分数：3.00）填空项 1:_(3).若区域 2 中的计算机接入 Internet 时，网络连接时断时续，网络管理员利用 Sniffer 抓包工具分析区域 2 中的分组，发现大量 ARP 应答数据包占用了网络带宽，则可能的故障原因是_。为了排除故障，网络管理员应采取的措施为_。 A.网络线路出现故障 B.网络中出现了 ARP 病毒 C.DNS 服务器配置错误 D.防火墙配置错误（分数：3.00）A.B.C.D.(4).某 Windows 客户端开机后无法上网，其他计算机均能正常上网。经过检查，发现该计算机网络协议相关配置

10、均正确。使用 ping 命令测试 127.0.0.1 及 FTP 服务器连接，结果分别如图 2 和图 3 所示，则可能的故障原因是_。AWeb 服务器未启动 BDNS 服务器未启动C客户端机器网络线路故障 D客户端机器网卡故障图 2 ping 命令系统返回信息 1（分数：3.00）A.B.C.D.(5).若某客户机使用 IE 可以正常访问网站，而 QQ 软件不能联网，可能的原因是_。 A.DNS 服务器配置错误 B.QQ 软件代理配置错误 C.客户端机器网络线路故障 D.客户端机器网卡故障（分数：3.00）A.B.C.D.六、B试题六/B(总题数：1，分数：27.00)阅读以下说明，根据要求回

11、答问题。说明某企业的网络拓扑结构如下图所示。（分数：27.00）(1).防火墙使用安全区域的概念来表示与其相连接的网络。图中 inside、outside 和 DMZ 区域分别对应Trust 区域、Untrust 区域和 DMZ 区域，不同区域代表了不同的可信度，默认的可信度由高到低的顺序为_。 A.inside、outside、DMZ B.inside、DMZ、outside C.outside、DMZ、inside D.outside、inside、DMZ（分数：4.50）A.B.C.D.(2).包过滤防火墙利用数据包的源地址、目的地址、_、_和所承载的上层协议，把防火墙的数据包与设定的规

12、则进行比较，根据比较的结果对数据包进行转发或者丢弃。（分数：4.50）填空项 1:_(3).为了过滤数据包，需要配置访问控制列表(ACL)，规定什么样的数据包可以通过，什么样的数据包不能通过。ACL 规则由多条 permit 或 deny 语句组成，语句的匹配顺序是从上到下。 语句 access-list 1 deny any any 的含义是_，该语句一般位于 ACL 规则的最后。 语句 access-list 100 permit tcp any host 222.134.135.99 eq tip 的含义是_。（分数：4.50）填空项 1:_(4).请按照上图所示，完成防火墙各个网络接口

13、的初始化配置。 firewall(config) # ip address inside _ 255.255.255.0 /配置网口 eth1 firewall(config) # ip address outside _ 255.255.255.252 /配置网口 eth2 firewall(config) # ip address _ 10.0.0.1 255.255.255.0 /配置网口 eth1（分数：4.50）填空项 1:_(5).如上图所示，要求在防火墙上通过配置 ACL，允许在 inside 区域除工作站 PC1 以外的所有主机都能访问 Internet，请补充完成 ACL 规

14、则 200。 access-list 200 _ host 192.168.46.10 any access-list 200 _ 192.168.46.0 0.0.0.255 any（分数：4.50）填空项 1:_(6).如上图所示，要求在防火墙通过上配置 ACL，允许所有 Internet 主机访问 DMZ 中的 Web 服务器，请补充完成 ACL 规则 300。 access-list 300 permit tcp _ host 10.0.0.10 eq _（分数：4.50）填空项 1:_网络管理员-网络安全与管理(一)答案解析(总分：80.00，做题时间：90 分钟)一、B试题一/B(

15、总题数：1，分数：12.00)阅读下列有关网络防火墙的说明，根据要求回答下列问题。说明为了保障网络安全，某公司安装了一款防火墙，将内部网络、Web 服务器及外部网络进行逻辑隔离，其网络结构如下图所示。（分数：12.00）(1).该款防火墙的 3 个端口 E0、E1 和 E2 命名为 Trusted、Untrusted 和 DMZ，分别用于连接信任网络、不信任网络和非军事区，则从图中可以判断出：处对应端口_，处对应端口_，处对应端口_。（分数：2.40）填空项 1:_ （正确答案：E0 E1 E2）解析：防火墙使用安全区域的概念来表示与其相连接的网络。通常，它将所连接的网络划分为以下 3 个不同

16、安全级别的安全区域。 (1)内部网络区域：安全级别最高，是可信的(Trusted)、重点保护的区域。该区域用于部署对外不可见的所有的内部办公计算机、内部服务器等。 (2)外部网络区域：安全级别最低，是不可信的(Untrusted)、要防备的区域。Internet 上的用户主机、服务器和公用设备等归属于该区域。 (3)DMZ 区域(非军事化区)：安全级别中等，因为需要对外开放某些特定的服务和应用，是受一定的保护的区域。该区域用于部署对外提供万维网(WWW)服务的 Web 服务器，提供电子邮件服务的 E-mail 服务器，提供域名解析的 DNS 服务器等。 依题意，结合图所示网络结构的设备连接情况

17、，处对应于防火墙的端口 E0，属于信任网络的范畴；处对应端口 E1，属于不信任网络的范畴；处对应端口 E2，属于非军事区的范畴。(2).表 1 是防火墙对 3 个端口 E0、E1 和 E2 之间包过滤规则的 4 种默认设置，请指出设置最为合理的是哪种，并说明理由。 （分数：2.40）_正确答案：(表 1(a) 其包过滤规则是：允许内网可访问外网和 DMZ，禁止外网访问内网和 DMZ，允许 DMZ访问外网但不能访问内网：比较接近该公司网络的应用需求)解析：结合上题的分析结果可知，端口 E0、E1 和 E2 分别是防火墙的内网口、外网口和 DMZ 口。表 1(a)的包过滤规则是：允许内网可访问外网

18、和 DMZ，禁止外网访问内网和 DMZ，允许 DMZ 访问外网但不能访问内网；表 1(b)的包过滤规则是：允许内网可访问外网和 DMZ，允许外网访问内网和 DMZ，禁止 DMZ 访问内网和外网；表 1(c)的包过滤规则是：允许 3 个端口相互访问；表 1(d)的包过滤规则是：禁止 3 个端口相互访问。 通常，防火墙的外网、DMZ 和内网三者之间的访问关系应满足：外网可访问 DMZ，不能访问内网；DMZ 可访问外网，不能访问内网；内网可访问外网和 DMZ。表 1(a)的包过滤规则最接近这一访问逻辑，比较接近该公司网络的应用需求，因此它是 4 种默认设置中最为合理的一种。(3).在防火墙默认设置的

19、基础上，增加如表 2 所示的一条规则，请问该规则的功能是什么? （分数：2.40）_正确答案：(允许任意主机访问 DMZ 网络中 IP 地址为 202.10.1.10 的 Web 服务器所提供的 www 服务(或网页服务，或 HTTP 服务)解析：结合上题的分析结果可知，在该防火墙默认设置中禁止外网访问内网和 DMZ。为了使 Internet 用户能够访问图 5 中位于 DMZ 网络的 Web 服务器(IP 地址为 202.10.1.10)，则需要定义一条如表 2 所示的包过滤规则，并将该规则应用于防火墙的端口 E1 上。(4).如果要禁止内网主机 192.168.1.2 访问公网上 202.

20、117.112.3 提供的 SMTP 服务，请补充完成表 3 中的配置。表 3 防火墙访问规则列表 2（分数：2.40）填空项 1:_ （正确答案：192.168.1.2 202.117.112.3 25 禁止）解析：简单邮件传送协议(SMTP)是一种应用层协议，其默认使用的 TCP 端口号为 25。依题意，若要求“禁止内网主机 192.168.1.2 访问公网上 202.117.112.3 提供的 SMTP 服务”，则在表 3 所示的该包过滤规则中：源地址为 192.168.1.2，源端口为 Any(即 165535 的所有端口号)，目的地址为202.117.112.3，目的端口为 25，协

21、议为 SMTP，规则为“禁止”。(5).如果内网主机 192.168.1.3 通过 8888 端口为 Web 服务器提供用户认证服务，请补充完成表 4 中的设置。表 4 防火墙访问规则列表 3（分数：2.40）填空项 1:_ （正确答案：192.168.1.3 202.10.1.10 8888）解析：依题意，若要求“内网主机 192.168.1.3 通过 8888 端口为 Web 服务器提供用户认证服务”，则表4 所示的该包过滤规则中：源地址为 192.168.1.3，源端口为 Any(即 165535 的所有端口号)，目的地址为 202.10.1.10，目的端口为 8888，协议为 Radi

22、us，规则为“允许”。二、B试题二/B(总题数：1，分数：8.00)阅读以下说明，根据要求回答下列问题。说明下图是某企业网络设备连接结构。（分数：8.00）(1).防火墙的规则配置如表 1 所示，请解释该配置的含义。 （分数：1.60）_正确答案：(只允许内网计算机访问 Internet，并禁止其他任意数据包从防火墙的任意接口通过(或只允许内网访问外网，不允许外网访问内网)解析：依题意，结合图中所示的网络设备连接结构图可知，在表 1 中，规则编号为“10”的访问过滤规则表示：允许源 IP 地址为网段 10.1.1.0/24 中任一地址的任意数据包从防火墙接口 E1 到接口 E0 通过，即允许内

23、网计算机访问 Internet(或外网)资源。 同理，规则编号为“20”的访问过滤规则表示：禁止目的IP 地址为网段 10.1.1.0/24 中任一地址的任意数据包从防火墙接口 E0 到接口 E1 通过，即禁止外网(或Internet)访问内网计算机或资源。 规则编号为“30”的访问过滤规则表示：拒绝其他任何从防火墙接口E1 到接口 E0、接口 E0 到接口 E1 的数据包通过。 综上所述，表 1 配置的综合含义是：只允许内网计算机访问 Internet，并禁止其他任意数据包从防火墙的任意接口通过。(2).编写表 2 中的规则编号“1”，禁止内网主机 PC1 访问 Internet 上的 FT

24、P 服务。表 2 防火墙的访问过滤规则配置 2（分数：1.60）填空项 1:_ （正确答案：10.1.1.6/32(或 10.1.1.6) Any E1E0 FTP 拒绝）解析：在如图中所示的网络设备连接结构图中，主机 PC1 所配置的 IP 地址为 10.1.1.6/24。结合表 2(或表 1)中已给出的其他规则配置，为了实现“禁止内网主机 PC1 访问 Internet 上的 FTP 服务”这一安全需求，则规则编号为“1”的访问过滤规则的配置如下：空缺处的“源”应填入 10.1.1.6/32，其中“/32”是子网掩码 255.255.255.255 的简化缩写形式，以表示该 ACL 只对一

25、台主机起作用；空缺处的“目的”应填入 Any；空缺处的“方向”应填入 E1E0；空缺处的“协议”应填入 FTP；空缺处的“行动”应填入“拒绝”。(3).能否在不增加规则的前提下，通过修改表 2 中的规则编号“1”，限制内网主机 PC1 仅能访问Internet 上的 FTP 服务，请说明理由。 （分数：1.60）_正确答案：(不能，理由：修改该 ACL 规则最多只能允许内网主机 PC1 访问 Internet 上 FTP 服务的请求数据包通过防火墙，但对于回程的响应数据包是无法从防火墙通过的)解析：依题意，若简单地将表 2 中规则编号为“1”的访问过滤规则的“行动”配置由原来的“拒绝”更改为“

26、允许”，则该 ACL 规则起到的作用是：只允许内网主机 PC1 访问 Internet 上 FTP 服务的请求数据包通过防火墙。但是，对于相关 FTP 服务器给主机 PC1 响应的数据包是无法从防火墙接口 E0 通过到接口E1 的。对此，若要实现题意的要求“限制内网主机 PC1 仅能访问 Internet 上的 FTP 服务”，则还需要在表 2 中规则编号为“20”的访问过滤规则之前(例如，在规则编号“1”之后，或者在规则编号“10”之后)新增一条如下规则：“源”应填入 Any；“目的”应填入 10.1.1.6/32；“方向”应填入E0E1；“协议”应填入 FTP；“行动”应填入“允许”。(4

27、).编写表 3 中的规则，允许外网主机访问内网的 DNS 服务。表 3 防火墙的访问过滤规则配置 3（分数：1.60）填空项 1:_ （正确答案：Any 10.1.1.5/32(或 10.1.1.5) E0E1 DNS 允许）解析：依题意，若要实现“允许外网主机访问内网的 DNS 服务”这一安全需求，在图中所示的该公司内网设备连接图中 IP 地址为 10.1.1.5/24 的 DNS 服务器提供域名解析服务，则需要在表 3 中新增如下两条过滤访问规则，如表 4 所示。表 4 防火墙的访问过滤规则配置 4*规则编号“5”：“源”应填入 Any；“目的”应填入 10.1.1.5/32；“方向”应填

28、入 E0E1；“协议”应填入 DNS；“行动”应填入“允许”。其功能是：允许外网任意主机访问内网 DNS 服务器的域名查询请求数据包通过防火墙。规则编号“6”：“源”应填入 10.1.1.5/32；“目的”应填入 Any；“方向”应填入 E1E0；“协议”应填入 DNS；“行动”应填入“允许”。其功能是：内网 DNS 服务器发送给外网任意主机的域名查询响应数据包通过防火墙。(5).请说明表 3 中的规则应该插入到表 2 中的何处才能生效。 （分数：1.60）_正确答案：(应插入到表 2 中规则编号为“1”的访问控制规则之前(或之后)，或者插入到表 2 规则编号为“10”的访问控制规则之后(或之

29、前)，或者插入到规则 20 前面任意位置即可)解析：依题意，应该将表 3 的访问控制规则插入到表 2 中规则编号为“20”的访问控制规则之前才能生效。例如，插入到表 2 中规则编号为“1”的访问控制规则之前(或之后)，或者插入到表 2 中规则编号为“10”的访问控制规则之后(或之前)。三、B试题三/B(总题数：1，分数：9.00)阅读以下说明，根据要求回答下列问题。说明某公司为保护内网安全，采用防火墙接入 Internet，网络结构如下图所示。（分数：9.00）(1).防火墙支持 3 种工作模式：透明网桥模式、路由模式和混杂模式。在_模式下，防火墙各个网口设备的 IP 地址都位于不同的网段。

30、（分数：3.00）填空项 1:_ （正确答案：路由）解析：防火墙支持 3 种工作模式：路由模式、透明网桥模式和混杂模式。 (1)路由模式：是防火墙的基本工作模式。在该模式下，防火墙的各个网口设备的 IP 地址都位于不同的网段。 (2)透明网桥模式：若用户不想改变原有的网络拓扑结构和设置，可以将防火墙设置成桥模式。在桥模式下，防火墙的各个网口所连接的网络相互之间的访问是透明的，所有网口设备将构成一个网桥。 (3)混杂模式：指防火墙部分网口在路由模式下工作，部分网口在透明桥模式下工作，即某些子网之间以路由方式通信，而某些子网可以透明通信。(2).为了支持 NAT，防火墙采用混杂模式(E2 与 E1

31、 之间，E2 与 E3 之间采用路由模式；E3 与 E1 之间采用透明网桥模式)，请为防火墙的接口 E1、E2 和 E3 配置合适的 IP 地址和子网掩码，如表 1 所示。表 1 防火墙的接口配置配置信息（分数：3.00）填空项 1:_ （正确答案：D A I）解析：在如图所示的网络拓扑结构中，防火墙 E2 端口连接的是该公司内部局域网，并结合该公司内部局域网计算机所配置的 IP 地址 192.168.1.2 和 192.168.1.3 等信息，可得防火墙内网口(即 E2 端口)应配置网段 192.168.1.0/24 中的某个私网 IP 地址。在空缺处备选答案中，选项 A 的“192.168

32、.1.1”是一个 C类私网专用 IP 地址，可作为防火墙 E2 端口的 IP 地址。而选项 C 的“192.168.1.2”已分配给该公司内部局域网的某台计算机(见图)，因此该 IP 地址不能再次分配给防火墙 E2 端口，否则会出现 IP 地址冲突的现象。 防火墙的 E1 端口连接的是路由器 R1 的 E1 端口，而 R1 是一台连接 Internet 的边界路由器。结合路由器 R1 的 E1 端口所配置的 IP 地址 210.156.169.1 可知，防火墙外网口(即 E1 端口)应配置网段210.156.169.0/24 中的某个公网 IP 地址。 由表 1 中所给出 E1 端口的子网掩码

33、 255.255.255.248 可知，E1 端口所在网段采用了可变长子网掩码(VLSM)技术，它是在 C 类 IP 地址标准子网掩码 255.255.255.0 的基础上扩展了 5 比特，形成了 32 个子网。而地址 210.156.169.1 所处的子网的子网地址为210.156.169.0/29，该子网的 IP 地址范围为 210.156.169.0210.156.169.7，而该子网中可实际分配的IP 地址数量只有 6 个(即地址 210.156.169.1210.156.169.6)，地址 210.156.169.7 为该子网210.156.169.0/29 的直接广播地址。由图所给

34、出的设备 IP 地址配置信息可知，地址210.156.169.1、210.156.169.2、210.156.169.3 和 210.156.169.4 已经依次分配给 R1 的 E1 端口、WWW服务器、Telnet 服务器和 Proxy 服务器。由表 1 可知，地址 210.156.169.5 已分配给防火墙的 E3 端口。因此只能将剩余的 IP 地址 210.156.169.6 分配给防火墙的 E1 端口。 为了支持 NAT，防火墙采用混杂模式(即 E2 与 E1 之间，E2 与 E3 之间采用路由模式；E3 与 E1 之间采用透明网桥模式)。防火墙 E3 端口连接的是该公司服务器网段，

35、是一个非军事区网口(即 DMZ 口)。由于端口 E3 与 E1 之间采用透明网桥模式，以及以上 E1 端口所配置口地址的分析过程可知，防火墙 E3 端口所配置的子网掩码也应为255.255.255.248。(3).完成防火墙的别名表(见表 2)和 E2 端口的过滤规则表(见表 3)，使内网 PC 能正常访问 WWW 服务器和Telnet 服务器。表 2 防火墙的别名表表 3 防火墙 E2 端口的过滤规则表（分数：3.00）填空项 1:_ （正确答案：210.156.169.3 80 内网网段或 192.168.1.1/28 Telnet 服务器或 210.156.169.3 Telnet 或

36、23 (10)E2E3 允许）解析：在如图所示的网络拓扑结构中，Telnet 服务器所配置的 IP 地址为 210.156.169.3，根据表 2 中别名“WWW 服务器”等配置规则可得，别名“Telnet 服务器”的别名值为 210.156.169.3。 通常，浏览器与 WWW 服务器之间传送信息的协议是 HTTP(超文本传输协议)。HTTP 基于 TCP 80 端口号传输信息。因此在表 2 中别名“Telnet”等端口配置规则可得，别名“WWW”的别名值为 80。 为了使该公司内网 PC 能够正常访问 WWW 服务和 Telnet 服务，根据表 3 中“访问 WWW 服务”所配置的过滤规则

37、，并结合表 2 中所定义的别名信息可得，“访问 Telnet 服务”过滤规则的源 IP 地址为表 2 中“别名”列的“内网网段”为192.168.1.1/28，目的 IP 地址为“Telnet 服务器”(即 210.156.169.3)，目的端口为“Telnet”(即 23)，方向为“E2E3”，协议为“TCP”，策略为“允许”。四、B试题四/B(总题数：1，分数：9.00)阅读以下说明，根据要求回答下列问题。说明某公司的网络结构如下图所示，所有 PC 共享公网 IP 地址 211.156.168.5 接入Internet，另外有两台服务器提供 Web 服务和 FTP 服务，服务器的内网和公网

38、地址如表 1 所示。表 1 服务器的内网和公网地址（分数：9.00）(1).参照图中各个设备的 IP 地址，完成表 2 中防火墙各个端口的 IP 地址和子网掩码设置。表 2 防火墙各端口地址参数（分数：3.00）填空项 1:_ （正确答案：A F B）解析：在如图所示的网络结构中，防火墙 E0 接口连接的是该公司内网的交换机，是一个内网口。从内网计算机所配置的 IP 地址 192.168.1.10 和 192.168.1.100 可知，E0 接口所配置的 IP 地址应处于192.168.1.0/24 网段。在备选答案中，只有选项 A 的 192.168.1.1 属于 192.168.1.0/2

39、4 网段的 IP 地址，因此空缺处 E0 接口所配置的 IP 地址为 192.168.1.1，子网掩码为 255.255.255.0。 同理，防火墙 E1接口通过一台边界路由器连接 Internet，是一个外网口。从边界路由器所配置的 IP 地址211.156.168.1/29 可知，“/29”是子网掩码 255.255.255.248 的简化缩写形式。地址 211.156.168.1/29所处网段的可实际分配 IP 地址范围为 211.156.168.1211.156.168.6，而表 2 中 E1 接口所配置的 IP 地址为 211.156.168.5，属于该网段的某个 IP 地址。因此空

40、缺处 E1 接口所配置的子网掩码也应为255.255.255.248。 防火墙 E2 接口连接的是 DMZ 区域的接入交换机，是一个 DMZ 口。从图中服务器群所配置的 IP 地址 10.1.1.2 和 10.1.1.3 可知，E2 接口所配置的 IP 地址应处于 10.1.1.0/24 网段。在备选答案中，只有选项 B 的 10.1.1.1 属于 10.1.1.0/24 网段的 IP 地址，因此空缺处 E2 接口所配置的 IP 地址为 10.1.1.1，子网掩码为 255.255.255.0。(2).完成表 3 中防火墙上的 NAT 转换规则，以满足防火墙部署要求。表 3 防火墙的 NAT

41、转换规则（分数：3.00）填空项 1:_ （正确答案：211.156.168.5 10.1.1.2 10.1.1.3）解析：由题干关键信息“所有 PC 共享公网 IP 地址 211.156.168.5 接入 Internet”，在配置防火墙上的NAT 转换规则时，IP 地址 192.168.1.10 的内网计算机所发出的数据包经 NAT 转换后，源 IP 地址应转换为公网 IP 地址 211.156.168.5，而数据包中的目的地址保持不变。 当防火墙收到来自 Internet 客户端(数据包中源 IP 地址为 Internet 地址)访问该公司 Web 服务器(数据包中目标 IP 地址为 2

42、11.156.168.2)的数据包时，根据表 1 中 Web 服务器内网 IP 地址与其公网 IP 地址的对应关系，该数据包中目的地址211.156.168.2 应转换为 10.1.1.2，以便路由进入防火墙 DMZ 区域的网络。 同理，当防火墙收到来自Internet 客户端访问该公司 FTP 服务器(数据包中目标 IP 地址为 211.156.168.3)的数据包时，根据表 1中 FTP 服务器内网 IP 地址与其公网 IP 地址的对应关系，该数据包中目的地址 211.156.168.3 应转换为10.1.1.3，以便路由进入防火墙 DMZ 区域的网络。(3).表 4 所示为防火墙中定义的

43、过滤规则，过滤规则的优先级由规则编号决定，规则编号越小优先级越高。请定义规则 4，使得来自 Internet 的请求能访问 FTP 服务并尽可能少地带来入侵风险。表 4 防火墙的过滤规则（分数：3.00）填空项 1:_ （正确答案：E1E2 FTP 允许）解析：通常，防火墙中所定义的过滤规则的优先级由规则编号决定，规则编号越小优先级越高。在表 4 中，规则编号为“1”的过滤规则表示：允许防火墙从接口 E0 到接口 E1、接口 E0 到接口 E2 的任意数据包通过，即允许内网计算机访问 Internet 和 DMZ 区域的服务器。 规则编号为“2”的过滤规则表示：允许防火墙从接口 E2 到接口

44、E1、接口 E2 到接口 E0 的任意数据包通过，即允许 DMZ 区域的服务器与 Internet和内网计算机进行数据通信。 规则编号为“3”的过滤规则表示：允许防火墙从接口 E1 到接口 E2 基于WWW 协议的数据包通过，即允许 Internet 客户机访问 DMZ 区域中 IP 地址为 10.1.1.2 的 Web 服务器。 规则编号为“5”的过滤规则表示：拒绝其他任何从接口 E1 到接口 E0、接口 E1 到接口 E2 的数据包通过。 依题意要求，规则编号为“4”的过滤规则的配置任务是：“使得来自 Internet 的请求能访问 FTP 服务并尽可能少的带来入侵风险”。参照编号为“3”的过滤规则，在编号为“4”的过滤规则中，行动为“允许”；方向为“E1E2”，以允许从接口 E1 到