- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ACL配置技术
阅读以下关于访问控制列表ACL的技术说明,结合网络拓扑图回答问题1~6。(15分)
【说明】
某电子商务公司为适应市场的发展组建了一个企业网,其网络拓扑结构如图3-6所示。该网络逻辑结构上分成核心层和接入层,核心层使用了一台三层交换机。网管员按照各部门的职能将公司内部网络分成了8个VLAN,分别是公司网络设备及网管机VLAN1(/24)、内网服务器VLAN2(/24)、非军事区DMZ VLAN3(/24)、财务部VLAN4(/24)、市场部VLAN5(/24)、研发部VLAN6(/24)、接待室VLAN(/24)。每个网段的缺省网关地址由从高位向下分配,其他节点地址均从低位向上分配;例如,接待室VLAN中每一台客户机的网关地址为54,客户机1的IP地址为,客户机2的IP地址为。
【问题1】(2分)
通常路由器都支持两种类型的访问控制列表:基本访问控制列表和扩展访问控制列表。请用120字以内的文字说明这两种访问列表之间的区别。
【问题2】(2分)
该商务公司有多台游戏服务器用于提供各种在线游戏,保护这些服务器内部数据的安全性是公司网管员第一工作要责。该公司还有一台专门为用户提供在线购买游戏币服务的Web服务器(以下简称为游戏币Web服务器),用户可使用游戏币购买各种游戏装备。从访问控制列表技术角度考虑,应将这些游戏服务器和游戏币Web服务器部署在网络拓扑的哪些位置?
【问题3】(2分)
访问控制表是实现安全管理的重要手段。如果在三层交换机的VLAN1接口上进行如下ACL配置,那么这些配置语句将完成哪些安全任务?
access-list 11 permit host 6
access-list 11 deny any
int vlan 1
ip access-group 11 out
【问题4】(2分)
请将以下访问规则控制列表中(1)、(2)空缺处填写完整,以完成不允许市场部所有主机访问外部IP地址段为/24的WEB服务器的配置。
access-list 102 (1) tcp (2) 55 eq 80
【问题5】(3分)
在三层交换机的内网服务器VLAN2接口上,要求完成以下安全规则:
允许公司研发部全体员工通过FTP方式访问放置资源代码的服务器(IP地址为),而其他内部员工及外网所有主机均不能以FTP方式访问该服务器。
请写出相应的访问控制列表的命令行。
【问题6】(4分)
在IP访问控制列表的语法中,关键字option有一个常用的“log”选项,主要用于对那些能够匹配访问表中的permit和deny语句的报文进行日志记录;另一个常用的选项是“established”,只对TCP协议有效且只在一个方向上来响应由另一端发起的会话。要在三层交换机上实现内网服务器免受来自市场部网段病毒攻击的任务,结合option选项,写出相应的访问控制列表ACL命令行。
??? 要点解析
【问题1】(2分):这是一道要求在熟悉访问控制列表ACL的基本原理、功能及分类的基础上,将两种类型的访问控制列表的不同之处进行综述的试题。访问控制列表ACL的基本原理可以归纳如下:在路由器、防火墙或三层交换机等具有数据包控制能力的设备上,读取TCP/IP第3层分组头的源IP地址、目的IP地址或第4层报文头中源端口、目的端口等信息,再根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。它一方面可以保护资源节点,阻止非法用户对资源节点的访问;另一方面可以限制特定用户所具有的访问权限。
通常路由器都支持两种类型的访问控制列表:基本访问控制列表和扩展访问控制列表。其中,基本访问表仅控制基于网络地址的信息流,且只允许过滤源IP地址;而扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源IP地址、目的IP地址和上层应用数据。
【问题2】(2分):这是一道要求考虑具体应用服务,结合访问控制列表ACL的优缺点进行网络设备部置的综合的试题。
考虑到访问控制列表ACL技术是使用包过滤技术来实现的,它对第3层分组头的源IP地址、目的IP地址或第4层报文头中源端口、目的端口等信息的处理过程会增加网络的传输延迟,降低网络通信的实时性。因此提供在线购买游戏币服务的Web服务器应部署在该公司防火墙之外。采用这种部署方案的另外两点理由是,①将它部署在内网服务器VLAN或防火墙的DMZ VLAN时,虽然通过防火墙的网络地址转换NAT技术或ACL技术,以及在三层交换机上进行ACL控制,它可以得到较好的安全保护,但IP数据包的处理延迟增加,通信的实时性降低,可能会导致Web服务器提供的服务不易被用户使用。②如将它部署在该公司防火墙之外,便于用户实时使用Web服务器,同时公司内网也可以得到较好的保护。这种部署方案的缺点是Web服务器的安全保护特性较弱。其解决方法之一是通过操作系统
您可能关注的文档
- 艾滋病基本知识B.ppt
- 单接口NAT配置实例.doc
- 如何用端口映射建立内网FTP.doc
- 安全网关业务笔试试题.doc
- 【优化探究】2015高考数学(人教A版 理)提素能高效训练:2-4 二次函数与幂函数.doc
- 2014《成才之路》高一数学(人教A版)必修2能力强化提升:2-2-1 直线与平面平行的判定.doc
- linux安装+hadoop配置.docx
- 牛津小学英语3A试卷2012-2013三A 3-4月考.doc
- AS-T-T028 B11SRS系统.ppt
- checkpoint管理服务器系统初始化配置.docx
- 2023年江苏省镇江市润州区中考生物二模试卷+答案解析.pdf
- 2023年江苏省徐州市邳州市运河中学中考生物二模试卷+答案解析.pdf
- 2023年江苏省苏州市吴中区中考冲刺数学模拟预测卷+答案解析.pdf
- 2023年江苏省南通市崇川区田家炳中学中考数学四模试卷+答案解析.pdf
- 2023年江西省吉安市中考物理模拟试卷(一)+答案解析.pdf
- 2023年江苏省泰州市海陵区九年级(下)中考三模数学试卷+答案解析.pdf
- 2023年江苏省苏州市高新二中中考数学二模试卷+答案解析.pdf
- 2023年江苏省南通市九年级数学中考复习模拟卷+答案解析.pdf
- 2023年江苏省南通市海安市九年级数学模拟卷+答案解析.pdf
- 2023年江苏省泰州市靖江外国语学校中考数学一调试卷+答案解析.pdf
文档评论(0)