1、【问题1】(每空1分)下面是防火墙的部分配置,请完善配置。<FW> (1)[FW] interface GigabitEthernet 1/0/1[FW-GigabitEthernet1/0/1] ip address 192.168.10.254 24[FW-GigabitEthernet1/0/1] quit[FW] interface GigabitEthernet 1/0/2[FW-GigabitEthernet1/0/2] ip address (2)[FW-GigabitEthernet1/0/2] quit[FW] interface GigabitEthernet 1/0/3[FW-GigabitEthernet1/0/3] ip address 201.23.36.89 29[FW-GigabitEthernet1/0/3] quit[FW] firewall zone dmz[FW-zone-dmz] add interface GigabitEthernet 1/0/1[FW-zone-dmz] quit[FW] firewall zone trust[FW-zone-trust] add interface GigabitEthernet 1/0/2[FW-zone-trust] quit[FW] firewall zone untrust[FW-zone-untrust] add interface (3)[FW-zone-untrust] quit# 配置名称为server_deny的地址集,将几个不允许访问服务器的IP地址加入地址集。[FW] ip address-set server_deny type object[FW-object-address-set-server_deny] address (4)[FW-object-address-set-server_deny] quit# 配置名称为time_deny的时间段,指定PC不允许访问服务器的时间。[FW] time-range[FW-time-range-time_deny] period-range (5)[FW-time-range-time_deny] quit# 分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。[FW] ip service-set server1_port type object[FW-object-service-set-server1_port] service protocol (6) source-port 0 to 65535 destination-port (7)[FW-object-service-set-server1_port] quit# 限制一般用户规定时间使用Server1对外提供的服务的安全策略[FW] security-policy[FW-policy-security] rule name policy_sec_deny1[FW-policy-security-rule-policy_sec_deny1] source-zone trust[FW-policy-security-rule-policy_sec_deny1] destination-zone dmz[FW-policy-security-rule-policy_sec_deny1] destination-address address-set (8)[FW-policy-security-rule-policy_sec_deny1] source-address range (9)[FW-policy-security-rule-policy_sec_deny1] service (10)[FW-policy-security-rule-policy_sec_deny1] time-range (11)[FW-policy-security-rule-policy_sec_deny1] action (12)[FW-policy-security-rule-policy_sec_deny1] quit# 允许一般用户使用Server1对外提供的服务的安全策略[FW-policy-security] rule name policy_sec_permit[FW-policy-security-rule-policy_sec_permit] source-zone trust[FW-policy-security-rule-policy_sec_permit] destination-zone dmz[FW-policy-security-rule-policy_sec_permit] service server1_port[FW-policy-security-rule-policy_sec_permit] action (13)[FW-policy-security-rule-policy_sec_permit] quit
答案:
问题1:
(1) system-view
(2) 192.168.99.90 30
(3) GigabitEthernet 1/0/3
(4) 192.168.10.1 mask 32
(5) 08:00:00 to 17:00:00 working-day
(6) tcp
(7) 8888
(8) server_deny
(9) 192.168.40.1 192.168.41.253
(10) server1_port
(11) time_deny
(12) deny
(13) permit
答题解析:
第一问可以从上下文中获得因此第一空的答案是sister view。
第二问可以从防火墙数据规划表中获得其IP地址是192.168.99.30,对应的掩码是30位。
第三问同样可以从防火墙数据规划表中获得GE1/0/3对应的接口就是untrust接口。
第4问,根据配字的解释“配置名称为server_deny的地址集,将几个不允许访问服务器的IP地址加入地址集。”可以知道这里的地址应该就是服务器server1对应的IP地址.
第五问根据题干所给出的时间范围是从工作日的早8点到晚5点,在我们直播课的作业中专门要求大家掌握华为的time range对应的周期性时间。
第六问是对server1端口的配置,显然题干给出的是TCP协议对应的端口因此第6空的协议是TCP,而第七问对应的端口就是题干给出的TCP 8888。
第八空要根据上下文,找到对应的地址集,地址集的名字是server-deny。
第9个只是对应的地址范围从表中得出是192.168.4 0.0/23,这里需要把这个地址段用首地址和末地址的形式写出来,因此需要进行简单的IP地址计算.
第十问只是指定对应的端口也就是前面定义的server1_port
第11问非常简单,直接写上对应的时间范围的名字: time_deny
第12问的action也就是对应的动作从题目给出的意思是要拒绝因此使用deny
第13问的动作是允许所以对应的操作是permit.
问题二
从表中可以知道,vLAN 20所使用的地址192.168.20.0/24,要访问的服务器对应的财务服务器地址是192.168.20.1.
接下来的动作当然对应的就是允许
第17问对应的动作时拒绝所有的通讯因此它对应的就是deny.
第18空需要填写的就是目的地址, 不能,因为解析的结果是出接口地址,当请求方发送请求包的目的地址是出接口地址,但是接收web服务器的回复数据包的源地址却不是出接口地址,请求方将丢弃该回复包。
查看完整试题>>>
