[问题1](2分) 访问控制列表(ACL)对流入/流出路由器各端口的数据包进行过滤。ACL按照其功能分为两
[问题1](2分)
访问控制列表(ACL)对流入/流出路由器各端口的数据包进行过滤。ACL按照其功能分为两类, (1)只能根据数据包的源地址进行过滤, (2)可以根据源地址、目的地址以及端口号进行过滤。
[问题1](2分)
访问控制列表(ACL)对流入/流出路由器各端口的数据包进行过滤。ACL按照其功能分为两类, (1)只能根据数据包的源地址进行过滤, (2)可以根据源地址、目的地址以及端口号进行过滤。
第1题
【问题1】(每空1分,共7分) 常用的 IP 访问控制列表有两种,它们是编号为(1)和 1300~1399 的标准访问控制列表和编为(2)和 2000~2699 的扩展访问控制列表、其中,标准访问控制列表是根据 IP 报的(3)来对 IP 报文进行过滤,扩展访问控制列表是根据 IP 报文的(4)、(5)、上层协议和时间等来对 IP 报文进行过滤。一般地,标准访问控制列表放置在靠近(6)的位置,扩展访问控制列表放置在靠近(7)的位置。 【问题2】(每空1分,共10分) 为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下: (1)家属区不能访问财务服务器,但可以访问互联网; (2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网; (3)办公区可以访问财务服务器和互联网; (4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。 1.使用ACL对财务服务器进行访问控制,请将下面配置补充完整。 R1(config)access-list 1 (8) (9) 0.0.0.255 R1(config)access-Iist 1 deny 172.16.10.0 0.0.0.255 R1(config)access-list 1 deny 172.16.20.0 0.0.0.255 R1(config)access-Iist 1 deny (10) 0.0.0.255 Rl(config)mterface (11) R1(config-if)ip access-group 1 (12) 2.使用ACL对Internt进行访问控制,请将下面配置补充完整。 Route-Switch(config)time-range jxq ∥定义教学区时间范围 Route-Switch(config-tune-range) periodic daily (13) Route-Switch(config)time-range xsssq //定义学生宿舍区时间范围 Route-Switch(config-time-range)periodic (14) 18:00 t0 24:00 Route-Switch(config-time-range)exit Route-Switch(config)access-list 100 permit ip 172.16.10.0 0.0.0.255 any Route-Switch(config)access-list 100 permit ip 172.16.40.0 0.0.0.255 any Route-Switch(config)access-list 100 deny ip (15) 0.0.0.255 time-range jxq Route-Switch(corffig)access-list 100 deny ip (16) 0.0.0.255 time-range xsssq Route-Switch (config)interface (17) Route-Switch(config-if)ip access-group 100out 【问题3】(每空1分,共3分) 网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。 采用自反访问列表实现访问控制,请解释配置代码。 Route-Switch(config)ip access-hst extended infilter Route-Switch(config-ext-nacl)permit ip any 172.16.20.0 0.0.0.255 refiect jsq (18) Route-Switch(config-ext-nacl)exit Route-Switch(config)ip access-list extended outfilter Route-Switch(config-ext-nacl) evaluate jsq (19) Route-Switch(config-ext-nacl)exit Route-Switch(config)interface fastethernet 0/1 Route-Switch(config-if)ip access-group infilter in Route-Switch(config-if)ip access-group outfilter out //(20)
第2题
【问题1】(共5分) 为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻辑隔离,其网络结构如图2-1所示。 包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为(1)的ACL根据IP报文的(2)域进行过滤,称为(3);编号为(4)的ACL根据IP报文中的更多域对数据包进行控制,称为(5). (1)~(5) 备选项: A. 标准访问控制列表 B. 扩展访问控制列表 C. 基于时间的访问控制列表 D.,1&39;"99 E. 0-99 F. 100-199 G.目的的IP地址 H.源IP地址 . I.源端口 J.目的端口 【问题2 】(共6分) 如图2-1所示,防头墙的三个端口,端口⑥是(6)、端口⑦是 (7) 、端口⑧是(8)。 (6)~(8) 是备选项 A. 外部网络 B. 内部网络 C. 非军事区 【问题3 】(共9分) 公司内部E地址分配如下 表2-1 部门/服务器 IP地址段 财务部门 192.168.9.0/24 生产部门 192.168.10.0/24 行政部门 192.168.11.0/24 财务服务器 192.168.100.1/24 Web服务器 10.10.200.1/24 1.为保护内网安全,防火墙的安全配置要求如下 (1)内外网用户均可访问 Web 服务器,特定主机 200.120.100.1 可以通过 Telnet访问 Web 服务器。 (2)禁止外网用户访问财务服务器,禁止财务部门访问 Intemet ,允许生 产部门和行政部门访问Intemet 。 根据以上需求,请按照防火墙的最小特权原则补充完成表 2-2: 表2-2 序号 源地址 源端口 目的地址 目的端口 协议 规则 1 Any Any (9) (10) WWW 允许 2 (11) Any 10.10.200.1 (12) telnet 允许 3 (13) Any Any Any Any (14) 4 Any Any Any Any Any (15) 2.若调换上面配置中的第 3条和第4条规则的顺序,则(16) (16)备选项: A. 安全规则不发生变化 B. 财务服务器将受到安全威胁 C. Web服务器将受到安全威胁 D. 内网用户将无法访问Intemet 3. 在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则?
第4题
A.强制访问控制(MAC)和自主访问控制(DAC)。
B.自主访问控制(DAC)和访问控制列表(ACL)。
C.基于角色的访问控制(RBAC)和强制访问控制(MAC)。
D.基于角色的访问控制(RBAC)和访问控制列表(ACL)。
第6题
每一个访问控制列表(ACL)最后都隐含着一条 (57) 语句。
A.deny any
B.deny all
C.permit any
D.permit all
第8题
A.自主访问控制(DAC)
B.强制访问控制(MAC)
C.基于角色的访问控制(RBAC)
D.访问控制列表方式(ACL)