-7

Практика COMP Tia сетевой экзамен:

Вопрос 286

Сетевой техник хочет разрешить HTTP-трафик через брандмауэр без сохранения состояния. Компания использует сеть 192.168.0.0/24. Какой из следующих ACL должен настроить техник? (Выберите ДВА)

A. РАЗРЕШЕНИЕ SRCIP 192.168.0.0/24 SPORT: 80 DSTIP: 192.168.0.0/24 DPORT: 80
B. РАЗРЕШЕНИЕ SRCIP 192.168.0.0/24 СПОРТ: ЛЮБОЙ DSTIP: ЛЮБОЙ DPORT 80
C. РАЗРЕШЕНИЕ НА РАЗРЕШЕНИЕ: ЛЮБОЙ СПОРТ: 80 DSTIP: 192.168.0.0/24 ЛЮБИМЫЙ СПОРТ
D. РАЗРЕШЕНИЕ НА РАЗРЕШЕНИЕ: ANYSPORT: 80 DSTIP: 192.168.0.0/24 DPORT: 80
E. РАЗРЕШЕНИЕ НА РАЗРЕШЕНИЕ: 192.168.0.0/24 СПОРТ: 80 ПОГРУЗКА: ЛЮБОЙ СПОРТ: 80

Aoswers B

Хорошо, вопрос говорит, чтобы выбрать два ответа. Кроме того, различия в расстояниях в ответах C и D были дословно скопированы из pdf, и я не уверен, являются ли они опечатками или являются частью вопроса как проблема синтаксиса. Нужен ли второй ответ? Будет ли достаточно ответа B? Ответы A и E кажутся избыточными, а C и D - небезопасными, если разрешить исходный IP-адрес Any?

|источник

1 ответ1

0

  1. Поскольку в вопросе не указано, какой синтаксис следует ожидать для списков ACL (т. Е. У вас нет ссылок для проверки), можно предположить, что синтаксис был просто составлен на месте, и все опечатки также могут быть случайными (возможно, после нескольких раундов печати, перепечатывания, фотокопирования и / или распознавания).

  2. Если вы защищаете веб-сервер, на котором размещены общедоступные веб-сайты, естественно, вы захотите принимать клиентов из любого места (т.е. из любого источника). И наоборот, если у вас есть несколько клиентов за этим брандмауэром, обычно они захотят получить доступ ко всему интернету (то есть к любому месту назначения). В любом случае, по крайней мере одна сторона, являющаяся "ЛЮБОЙ", неизбежна.

  3. Соединения TCP обычно имеют хорошо известный порт на стороне "сервера", но временный порт (случайный и с большим номером) на стороне "клиента". Это позволяет различать несколько подключений от одного клиента к одному и тому же сервису на одном сервере.

    Это означает, что вы практически никогда не увидите 1 порт 80 одновременно на "sport" и "dport". Поэтому вы можете пропустить эти ACL как неправильные.

  4. Как уже упоминалось, известный порт (80 для HTTP) находится на стороне сервера. Сервер будет получать пакеты с DPORT:80 и отправлять пакеты с SPORT:80.

    Это означает, что списки ACL с DPORT:80 должны иметь SRCIP, который будет соответствовать клиентам (браузерам), и / или DSTIP, соответствующий веб-серверам. Обратное относится к СПОРТУ:80.

  5. Как уже упоминалось, пакеты текут в двух направлениях. Поскольку межсетевой экран не имеет состояния, ему нужны два ACL, по одному для каждого направления.

1 Следует пояснить, что идентичные порты источника и назначения разрешены для каждого протокола, что невероятно редко при обычном использовании TCP. (Существуют исключения, например, BGP иногда использует 179 - 179.)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .