试题二 阅读以下说明,根据要求回答下面问题。 [说明] 为了保障网络安全,某公司安装了一款防火墙,对内部网络、Web服务器及外部网络进行逻辑隔离,其网络结构如下图所示。
由于防火墙出现故障,现将网络拓扑进行调整,增加一台包过滤路由器R2,与Proxy Server和路由器R1共同组成一个屏蔽子网防火墙,结构如下图所示。为了实现与表相同的过滤功能,补充路由器R1上的ACL规则。
Rt>...
R1(config-s0)>access-list 101 permit ______//允许Internet用户访问Web Server
R1(config-s0)>access-list 101 permit ______
//允许主机202.110.1.100 Telnet到Web Server
R1(config-s0)>access-list 101 ______//禁止所有IP包
R1(config-s0)>ip access-group 101 in //应用101规则到s0入口
R1>...
R1(config-ethernet1)>access-list 102 permit ip any any
R1(config-ethernet1)>ip access-group 102 out
R1>...
参考答案:
tcp any201.10.1.10 0.0.0.0 eq 80(或tcp anyhost 201.10.1.10 eq 80,或tcp any host201.10.1.10 eq WWW,或其他等价表示形式) tcp 202.110.1.100 0.0.0.0 201.10.1.10 0.0.0.0 eq 23(或tcp host 202.110.1.100 host 201.10.1.10 eq 23,或tcp host 202.110.1.100 host 201.10.1.10 eqTELNET,或其他等价表示形式) deny ip any any(或deny any any,或其他等价表示形式)
解析:
在路由器上配置访问控制列表(ACL)的一般操作步骤是:①定义一个标准(或扩展)的ACL;②为ACL配置包过滤的准则;③配置ACL的应用接口。在路由器全局配置模式下,配置扩展ACL的命令是access-list access-list-number{permit|deny}protocol source wildcard-mask destination wildcard-mask[operator][operand]。其中,operator(操作)指的是It(小于)、gt(大于)、eq(等于)和neq(不等于);operand(操作数)指的是端口号。 若要完成“允许Internet用户访问Web Server”的配置要求,则其对应的ACL定义语句为access-list 101 permit tcp any 201.10.1.10 0.0.0.0 eq 80(或access-list 101 permit tcp any host 201.10.1.10 eq 80)等。 若要完成“允许主机202.110.1.100 Telnet到Web Server”的配置要求,则其对应的ACL定义语句为access-list 101 permit tcp 202.110.1.100 0.0.0.0 201.10.1.10 0.0.0.0 eq 23(或access-list 101 permit tcp host 202.110.1.100 host 201.10.1.10 eq 23)等。 若要完成“禁止所有IP包”的配置要求,则其对应的ACL定义语句为access-list 101 denyip any any(或access-list 101 deny any any)。