[问题1]（2分） 访问控制列表（ACL）对流入／流出路由器各端口的数据包进行过滤。ACL按照其功能分为两

【问题1】（每空1分，共7分） 常用的 IP 访问控制列表有两种，它们是编号为（1）和 1300~1399 的标准访问控制列表和编为（2）和 2000~2699 的扩展访问控制列表、其中，标准访问控制列表是根据 IP 报的（3）来对 IP 报文进行过滤，扩展访问控制列表是根据 IP 报文的（4）、（5）、上层协议和时间等来对 IP 报文进行过滤。一般地，标准访问控制列表放置在靠近（6）的位置，扩展访问控制列表放置在靠近（7）的位置。 【问题2】（每空1分，共10分） 为保障安全，使用ACL对网络中的访问进行控制。访问控制的要求如下： (1)家属区不能访问财务服务器，但可以访问互联网； (2)学生宿舍区不能访问财务服务器，且在每天晚上18:00～24:00禁止访问互联网； (3)办公区可以访问财务服务器和互联网； (4)教学区禁止访问财务服务器，且每天8:00～18:00禁止访问互联网。 1．使用ACL对财务服务器进行访问控制，请将下面配置补充完整。 R1(config)access-list 1 （8） （9） 0.0.0.255 R1(config)access-Iist 1 deny 172.16.10.0 0.0.0.255 R1(config)access-list 1 deny 172.16.20.0 0.0.0.255 R1(config)access-Iist 1 deny （10） 0.0.0.255 Rl(config)mterface （11） R1(config-if)ip access-group 1 （12） 2．使用ACL对Internt进行访问控制，请将下面配置补充完整。 Route-Switch(config)time-range jxq ∥定义教学区时间范围 Route-Switch(config-tune-range) periodic daily （13） Route-Switch(config)time-range xsssq //定义学生宿舍区时间范围 Route-Switch(config-time-range)periodic （14） 18:00 t0 24:00 Route-Switch(config-time-range)exit Route-Switch(config)access-list 100 permit ip 172.16.10.0 0.0.0.255 any Route-Switch(config)access-list 100 permit ip 172.16.40.0 0.0.0.255 any Route-Switch(config)access-list 100 deny ip （15） 0.0.0.255 time-range jxq Route-Switch(corffig)access-list 100 deny ip （16） 0.0.0.255 time-range xsssq Route-Switch (config)interface （17） Route-Switch(config-if)ip access-group 100out 【问题3】（每空1分，共3分） 网络在运行过程中发现，家属区网络经常受到学生宿舍区网络的DDoS攻击，现对家属区网络和学生宿舍区网络之间的流量进行过滤，要求家属区网络可访问学生宿舍区网络，但学生宿舍区网络禁止访问家属区网络。 采用自反访问列表实现访问控制，请解释配置代码。 Route-Switch(config)ip access-hst extended infilter Route-Switch(config-ext-nacl)permit ip any 172.16.20.0 0.0.0.255 refiect jsq （18） Route-Switch(config-ext-nacl)exit Route-Switch(config)ip access-list extended outfilter Route-Switch(config-ext-nacl) evaluate jsq （19） Route-Switch(config-ext-nacl)exit Route-Switch(config)interface fastethernet 0/1 Route-Switch(config-if)ip access-group infilter in Route-Switch(config-if)ip access-group outfilter out //（20）

A.1、ACL最后一条隐含的语句是：denyany

B.2、ACL的唯一作用是用作访问控制

C.3、在ACL的使用上，越具体的语句，越要写在前面

D.4、ACL只能应用在output方向

【问题1】(共5分） 为了保障网络安全，该公司安装了一款防火墙，对内部网络、服务期以及外部网络进行逻辑隔离，其网络结构如图2-1所示。 包过滤防火墙使用ACL实现过滤功能，常用的ACL分为两种，编号为（1）的ACL根据IP报文的（2）域进行过滤，称为（3）；编号为（4）的ACL根据IP报文中的更多域对数据包进行控制，称为（5）. (1)~(5) 备选项: A. 标准访问控制列表 B. 扩展访问控制列表 C. 基于时间的访问控制列表 D.，1&39;"99 E. 0-99 F. 100-199 G.目的的IP地址 H.源IP地址 . I.源端口 J.目的端口 【问题2 】(共6分） 如图2-1所示，防头墙的三个端口，端口⑥是（6）、端口⑦是 (7) 、端口⑧是（8）。 (6）~（8) 是备选项 A. 外部网络 B. 内部网络 C. 非军事区 【问题3 】(共9分） 公司内部E地址分配如下 表2-1 部门/服务器 IP地址段 财务部门 192.168.9.0/24 生产部门 192.168.10.0/24 行政部门 192.168.11.0/24 财务服务器 192.168.100.1/24 Web服务器 10.10.200.1/24 1.为保护内网安全，防火墙的安全配置要求如下 (1)内外网用户均可访问 Web 服务器，特定主机 200.120.100.1 可以通过 Telnet访问 Web 服务器。 (2)禁止外网用户访问财务服务器，禁止财务部门访问 Intemet ，允许生 产部门和行政部门访问Intemet 。 根据以上需求，请按照防火墙的最小特权原则补充完成表 2-2: 表2-2 序号 源地址 源端口 目的地址 目的端口 协议 规则 1 Any Any （9） （10） WWW 允许 2 （11） Any 10.10.200.1 （12） telnet 允许 3 （13） Any Any Any Any （14） 4 Any Any Any Any Any （15） 2.若调换上面配置中的第 3条和第4条规则的顺序，则（16） （16）备选项： A. 安全规则不发生变化 B. 财务服务器将受到安全威胁 C. Web服务器将受到安全威胁 D. 内网用户将无法访问Intemet 3. 在上面的配置中，是否实现了"禁止外网用户访问财务服务器"这条规则？

配置路由器上的标准ACL，使得只有子网192.168.0.0中的PCI可以访问子网192.168.1.0/24 ，禁止其它通信量根据题目要求，完成下列配置。

RouterA#configure

RouterA(config)#___________(配置列表I，允许IP为192.168.0.11的主机访问。

RouterA(config)#___________(拒绝其它任何访问)。

RouterA(cotlfig)-if#___________(进入el接口)。

RouterA(config-ifl#___________(列表1的控制规则应用于el接口的输出检测)。

RouterA(config-if)#end

RouterA#___________(显示访问控制列表1的信息)。

为了过滤数据包，需要配置访问控制列表(ACL)，规定什么样的数据包可以通过，什么样的数据包不能通过。ACL规则由多条permit或deny语句组成，语句的匹配顺序是从上到下。

语句access-list 1 deny any any的含义是(4)，该语句一般位于ACL规则的最后。

语句access-list 100 permit tcp any host222.134.135.99eq ftp的含义是(5)。