练习 COMP Tia 网络考试:
问题 286
一名网络技术人员想要允许 HTTP 流量通过无状态防火墙。该公司使用 192.168.0.0/24 网络。技术人员应配置以下哪个 ACL?(选择两个)
A. 允许 SRCIP 192.168.0.0/24 SPORT:80 DSTIP:192.168.0.0/24 DPORT:80
B. 允许 SRCIP 192.168.0.0/24 SPORT:ANY DSTIP:ANY DPORT 80
C. 允许 SRCIP:ANY SPORT:80 DSTIP:192.168.0.0/24 DPORT ANY
D. 允许 SRCIP:ANYSPORT:80 DSTIP:192.168.0.0/24 DPORT:80
E. 允许 SRCIP:192.168.0.0/24 SPORT:80 DSTIP:ANY DPORT:80
答案 B
好的,问题说要选两个答案。此外,答案 C 和 D 中的间距差异是从 pdf 中逐字复制的,我不确定这些是拼写错误还是问题的一部分,是语法问题。需要第二个答案吗?答案 B 就够了吗?答案 A 和 E 似乎是多余的,C 和 D 似乎不安全,因为它们允许任何源 IP?
答案1
由于问题没有指定 ACL 应采用哪种语法(即您没有任何参考资料来验证它),您可以假设语法是临时编造的,并且所有的拼写错误都可能是意外的(可能是在几轮打印、重新输入、复印和/或 OCR 之后)。
如果你正在保护托管公共网站的 Web 服务器,你自然会希望接受来自任何地方(即任何来源)的客户端。反之亦然,如果你有一些客户在防火墙后面,他们通常希望访问整个互联网(即任何目的地)。无论哪种情况,至少有一方是“ANY”是不可避免的。
TCP 连接通常在“服务器”端有一个众所周知的端口,但在“客户端”端有一个临时端口(随机且高编号)。这允许区分从同一客户端到同一服务器上的同一服务的多个连接。
这意味着你将实际上绝不1同时在“sport”和“dport”上看到端口 80。因此,您可以跳过这些不正确的 ACL。
如上所述,众所周知的端口(HTTP 为 80)位于“服务器”端。服务器将使用 DPORT:80 接收数据包,并使用 SPORT:80 发送数据包。
这意味着具有 DPORT:80 的 ACL 必须具有与客户端(浏览器)匹配的 SRCIP 和/或与 Web 服务器匹配的 DSTIP。SPORT:80 则相反。
如上所述,数据包在两个方向上流动。由于防火墙是无状态的,因此它需要两个 ACL,每个方向一个。
1需要澄清的是,源港和目的港相同允许每个协议,在一般 TCP 使用中极其罕见。(也有例外,例如 BGP 有时使用 179 到 179。)