ACL默认的执行顺序是 (13) 。若要禁止内网中IP地址为10.3.12.55的PC访问外网,则正确的ACL规则是 (14) 。
试题四
阅读以下说明,根据要求回答问题。
[说明]
某公司内部网络通过一台24端口的交换机连接20台PC,使用一台硬件防火墙对外发布公司的Web站点。该公司通过DDN专线连接Internet的网络拓扑结构如图9-14所示。公司内部使用的IP地址块为10.3.12.0/24。图9-14中路由器Router是与该公司互连的第一个ISP路由器。
在PC1的DOS命令窗口中,运行命令netstat-an的系统返回信息如图9-15所示。运行另一条Windows命令后系统的返回信息如图9-16所示(注:部分信息被隐藏)。
A.access-list 1 permit ip 10.3.12.0 0.0.0.255 any
access-list 1 deny ip host 10.3.12.55 any
B.access-list 1 permit ip host 10.3.12.55 any
access-list 1 deny ip 10.3.12.0 0.0.0.255 any
C.access-list 1 deny ip 10.3.12.0 0.0.0.255 any
access-list 1 permit ip host 10.3.12.55 any
D.access-list 1 deny ip host 10.3.12.55 any
access-list 1 permit ip 10.3.12.0 0.0.0.255 any
参考答案:D
解析:这是一道要求掌握标准访问控制列表的具体应用的理解题。本题的解答思路如下:
访问控制列表(Access control List,ACL)是路由器接口的指令列表,用来控制端口进出的数据包。ACL默认的执行顺序是自上而下。在配置ACL列表时,要遵循最小特权原则、最靠近受控对象原则以及默认丢弃原则。最简单的ACL就是标准访问控制列表。它通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1~99来创建相应的ACL。其具体的语法格式如下:
access-list<ACL号>permit | deny host<ip地址>
例如,access-list 1 deny ip host 10.3.12.55 any配置语句可将所有来自10.3.12.55地址的数据包丢弃。对于标准访问控制列表而言,可以省略默认的关键词host。换言之,语句access-list 1 deny iphost 10.3.12.55 any与语句access.list 1 deny ip 10.3.12.55 any是等价的。
当然也可以用网段来表示<ip地址>,以实现对某个网段的数据包的过滤。例如,access-list 1permit ip 10.3.12.0 0.0.0.255 any配置语句,允许所有来自198.168.46.0/24网段内所有计算机的数据包通过防火墙。其中,0.0.0.255是子网掩码255.255.255.0的反向掩码。