第十章NAT与基本防火墙.doc

第十章NAT与基本防火墙 试题一 在下图中以局域网内计算机用户B，要通过NAT服务器连接外部的网站为例，请分析NAT的工作过程(要求填写NAT过程中的四个步骤中来源IP地址、来源端口、目的IP地址和目的端口的对照表。假设计算机B的浏览器端口为2222，网站的端口默认为80，NAT服务器的端口为3333) 过程1: 来源IP 来源端口 目的IP 目的端口 过程2: 来源IP 来源端口 目的IP 目的端口 NAT Table 来源IP 来源端口 变更后的来源IP 变更后的来源端口 过程3: 来源IP 来源端口 目的IP 目的端口 过程4: 来源IP 来源端口 目的IP 目的端口 答案： 过程1 来源IP 来源端口 目的IP 目的端口 0 2222 4 80 过程2: 来源IP 来源端口 目的IP 目的端口 3 3333 4 80 NAT Table 来源IP 来源端口 变更后的来源IP 变更后的来源端口 0 2222 3 3333 过程3: 来源IP 来源端口 目的IP 目的端口 4 80 3 3333 过程4: 来源IP 来源端口 目的IP 目的端口 4 80 0 2222 试题二 请认真阅读下列关于计算机网络防火墙的说明信息，回答问题1－5。　　外部WAN7/30防火墙交换机FTP服务器0/24计算机计算机……/24内部LAN/24【说明】　　某单位的内部局域网通过防火墙与外部网络的连接方式及相关的网络参数如图－1所示。 图－1 【问题1】　　完成下列命令行，对网络接口进行地址初始化的配置：　　firewall (config )#ip address inside___(1)___ ___(2)___　　firewall (config )#ip address outside ___(3)___ ___(4)___【问题2】　　与路由器一样，防火墙的网络地址转换功能可以实现内部网络共享出口IP地址。根据网络连接示意图－1提供的网络参数，完成下列命令行的配置内容，以实现整个内部网络段的多个用户共享一个IP地址。　　firewall(config)# global(outside)___(5)___ netmask ___(6)___　　firewall(config)＃nat(outside) ___(7)___ ___(8)___【问题3】　　如果允许内部任意IP地址都可以转换出去，则：　　firewall (config )# nat （outside）___(9)___ ___(10)___【问题4】　　访问控制表是防火墙实现安全管理的重要手段。完成下列访问控制列表（access－control－list）的配置内容，使内部所有主机不能访问外部IP地址段为 /24的Web服务器。　　Firewall(config)#access-list 100 deny tcp ___(11)___ eq ___(12)___【问题5】　　如果使外部所有主机不能访问内部IP地址为0的FTP服务器，仿照上一个访问控制列表的命令行格式，给出访问控制表的命令行。[问题1]　　（1）　　（2）　　（3）7　　（4）52[问题2]　　（5）7　　（6）52　　（7）　　（8）[问题3]　　（9）　　（10）[问题4]　　（11）any　　（12）www[问题5]　　firewall(config)#access-list 101 deny tcp 0 any eq 21（或FTP） 协议 内部局部地址及端口号 内部全局IP地址及端口号 外部全局IP地址及端口号 TCP 10．1．1．1：80 10．1．1．127：80 172．20．7.3：3058 TCP 10．1．1．2：80 10．1．1．127：80 172．20．7．3：4371 TCP 10．1．1．3：80 10．1．1．127：80 172．20．7．3：3062 答案： 主要步骤如下： 外部主机B（172．20．7．3）发出请求，建立B到虚拟主机（10．1．1．127）的连接。 边界路由器接到这个连接请求后，查询NAT表，建立一个新的地址转换映射。如：为10．1．1．127分配真实主机地址10．1．1．1。 边界路由器用所选真实地址替换目的地址，转发该数据包。内部主机10．1．1．1接收到该数据包，并作应答。 边界路由器接到应答包后，根据内部地址及端口号和外部地址及端口号，从NAT映射表中查找对应的内部虚拟主机地址及