刷题刷出新高度,偷偷领先!偷偷领先!偷偷领先! 关注我们,悄悄成为最优秀的自己!
试题一(共20分)
阅读下列说明和图,回答问题1至问题5,将解答填入答题纸的对应栏内。
【说明】
已知某公司网络环境结构主要由三个部分组成,分别是DMZ区、内网办公区和生产区,其拓扑结构如图1-1所示。信息安全部的王工正在按照等级保护2.0的要求对部分业务系统开展安全配置。图1-1当中,网站服务器的IP地址是192.168.70.140,数据库服务器的IP地址是192.168.70.141,信息安全部计算机所在网段为192.168.11.1/24,王工所使用的办公电脑IP地址为192.168.11.2。
【问题5】(8分)
DMZ区的网站服务器是允许互联网进行访问的,为了实现这个目标,王工需要对防火墙1进行有效配置。同时王工还需要通过防火墙2对网站服务器和数据库服务器进行日常运维。
(1)防火墙1应该允许哪些端口通过?
(2)请编写防火墙1上实现互联网只能访问网站服务器的iptables过滤规则。
(3)请写出王工电脑的子网掩码。
(4)为了使王工能通过SSH协议远程运维DMZ区中的服务器,请编写防火墙2的iptables过滤规则。
(1)80和443
(2)
iptables -t filter -P FORWARD DROP(DROP更改为REJECT也符合题意)
iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.70.140 -p tcp --dport 443 -j ACCEPT
(3)255.255.255.0
(4)
iptables -t filter -A FORWARD -s 192.168.11.2 -d 192.168.70.140/24 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.70.140/24 -d 192.168.11.2 -p tcp --sport 22 -j ACCEPT
本题主要考察了对防火墙配置和子网掩码的理解。
(1)网站服务器提供的是web服务,使用HTTP和HTTPS,对应的默认端口是80和443,所以为了实现互联网访问网站服务器的目标,需要允许端口80和443通过防火墙1。
(2)配置防火墙1时,首先需要设置iptables防火墙默认不允许任何数据包进入,即采用白名单策略。然后,为了允许互联网访问网站服务器,需要添加规则允许目标端口80和443的TCP服务通过。
(3)王工IP地址位于信息安全部计算机所在网段为192.168.11.1/24,子网掩码即为该网段的掩码,因此王工电脑的子网掩码为255.255.255.0。
(4)为了通过SSH协议远程运维DMZ区中的服务器,需要在防火墙2上设置iptables过滤规则。规则需要允许源地址为网工办公电脑的IP地址、目标地址为DMZ区域所使用的IP地址、协议是TCP协议、目标端口是22的数据流通过,同时还需要允许反向连接的数据流通过。
本文链接:【问题5】(8分)DMZ区的网站服务器是允许互联网进行访问的,为了实现这个目标,王工需要对防火墙1进
版权声明:本站点所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明文章出处。让学习像火箭一样快速,微信扫码,获取考试解析、体验刷题服务,开启你的学习加速器!
