防火墙课堂习题(含答案).doc

12 级防火墙期中(类似题) 作者:学良 1. 请问以下访问控制列表是否正确,列表中是否存在有规则冲突,如有,请说明。知识点: :列表 1. :列表 2 规则冲突类型: 无用冲突--- 列表不会经过该路由器,所以列表无效,只会浪费系统资源。屏蔽冲突:列表 2 包含于列表 1. 泛化冲突:列表 1 包含于列表 2. 关联冲突:列表 1 于列表 2 的动作只是相反( permit/deny )。冗余冲突:列表 1 于列表 2 的动作是相同,且都能匹配相同的数据包。解决办法: 列表有子集时候,把子集放前;列表相等时候,去掉其中一条。本题中: 4和 5---------- 屏蔽冲突 1和6;7和 8---------- 泛化冲突 1和 3--------- 关联冲突 2.(1 )请根据以下描述,给出一个防火墙的部署结构,并画出大致的示意图表示。某公司一共有十台主机, IP 地址从 - ,网关地址 , DNS 地址: 。其中 主机被作为企业 , 其余主机被分配给员工使用。要求: ①使企业内部主机可以上网,并且确保安全; ②外网主机只可以访问企业的员工主机。(2 )上述的防火墙结构是否存在有安全隐患,如果有?请举例说明。(3 )如果上述防火墙存在有安全隐患,能否解决这个安全隐患,请给出解决方案。说明原因,并给出大致的示意图。解:( 1) (2 )有。如果路由表项被修改,则代理失效。(3 )可以,建立屏蔽子网防火墙。 3. 下图为屏蔽主机防火墙示意图, 外网 IP: , 请给出它的路由表项,访问控制列表和路由应当如何重定向。?解: 序号源地址源端口目的地址目的端口协议动作方向 1 * ** permit in 2 * - 7 ** Deny (重定向) in 3 * ** permit out 4 -7 * ** Deny (重定向) out 5***** deny * 4 、某公司通过 PIX 防火墙接入 ,网络拓扑如下图所示。在防火墙上利用 show 命令查询当前配置信息如下: PIX# show config … nameif eth0 outside security 0 nameif eth1 inside security 100 nameif eth2 dmz security 40 … fixup protocol ftp 21 (1) 启用 ftp 协议,并指定 ftp 的端口号为 21 fixup protocol http 80 … ip address outside ip address inside ip address dmz … global(outside) 1 nat(inside) 1 … rou