请认真阅读下列有关计算机网络防火墙的说明信息，回答问题1～5。 [说明] 某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。

admin2008-01-15 79

问题请认真阅读下列有关计算机网络防火墙的说明信息，回答问题1～5。
[说明]
某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如下图所示。

选项

答案(1)192.168.0.1(2)255.255.255.0 (3)202.117.12.37(4)255.255.255.252

解析本题测试防火墙有关参数及安全规则配置的知识。
从原题给出的网络连接图可以看出，这里的防火墙是基于访问控制策略而设立在内外网络之间的一种安全保护机制，在防火墙上装有两块配置不同网络IP地址的网卡，位于内外网络之间，并分别与内外网络相连，实现了在物理．上将内外网络隔开。此处的防火墙系统就是一个多端口的IP路由器，实现内外两个网络的跨网段访问。同时它还能够拦截和检查所有出站和进站的数据，它首先打开IP包，取出包头，根据包头的信息(如 IP源地址，IP目标地址)确定该包是否符合包过滤规则(如对包头进行语法分析，阻止或允许包传输或接收)，并进行记录。对于符合规则的包，则进行转发，否则应报警并丢弃该包。
防火墙还实现了NAT (NetworkAddressTranslation)网络地址转换功能，利用NAT技术，可以使内部局域网中多台计算机通过共享一个出口IP地址访问外部网络。通常情况下，是将内部的一个子网内的IP地址段通过配置命令进行地址转换，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。在配置防火墙的IP地址转换规则时，如果要求转换所有IP地址则使用如下的命令语句：
firewall(config)#nat (outside) 1 0.0.0.0 0.0.0.0
随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施：三是限定用户访问特殊站点；四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，大量的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严、安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。
在防火墙上制定的访问安全控制规则可以是基于某个特定协议的，如FTP，HTTP等。防火墙根据事先设定的访问控制规则来监控进出网络的数据信息，只允许那些符合安全规则的信息出入。这些功能都是通过ACL(access-control-list)访问控制列表实现的。ACL是应用于IP地址和上层IP协议的允许和拒绝条件的一个有序集合。
标准IP访问控制列表语法：
access-list access-list-number {permit|deny} source destination [log]
其中默认的源和目的为IP地址，如果要具体到端口号，则需指明关键字“tcp”。另外源和目的还可以使用通配符，如“any”表示“所有的”或“任意的”。如：
ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80
定义了一个编号为101，协议类型为TCP，源地址为“任意”，端口号等于80，访问目的地址为10.0.0.0/24的网络的数据包允许通过的访问控制列表。
下面是上一个访问控制列表的反向访问控制列表：
ip access-list 102 permit tcp 10.0.0.0 255.255.255.0 any eq 80

转载请注明原文地址:https://www.kaotiyun.com/show/RTPZ777K

本试题收录于：网络工程师下午应用技术考试题库软考中级分类