信息安全工程師案例分析當天每日一練試題地址：www.ichunya.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.ichunya.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/10/21）在線測試：www.ichunya.com/exam/ExamDayAL.aspx?t1=6&day=2020/10/21

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2020/10/21）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
企業(yè)網(wǎng)絡(luò)正向以移動寬帶、大數(shù)據(jù)、社交化和云服務(wù)為核心的下一代網(wǎng)絡(luò)演進。移APP Web2.0 、社交網(wǎng)絡(luò)讓企業(yè)處于開放的網(wǎng)絡(luò)環(huán)境，攻擊者通過身份仿冒、網(wǎng)站掛馬、惡意軟件、僵尸網(wǎng)絡(luò)等多種方式進行網(wǎng)絡(luò)滲透，企業(yè)面臨前所未有的安全風(fēng)險，傳統(tǒng)防火墻面對變革卻無能為力。
以通過靜態(tài) IP 接入互聯(lián)網(wǎng)為例，對防火墻接入互聯(lián)網(wǎng)進行配置。
1、登錄 Web 配置頁面默認設(shè)置
管理接口 GE0/0/0
IP 地址 192.168.0.1/24 （https）
默認用戶名/密碼：admin/Admin@123
2. 通過靜態(tài)IP接入互聯(lián)網(wǎng)
假定局域網(wǎng)內(nèi)所有 PC 部部署在 10 .3 .0.0/24 網(wǎng)段，均通過 DHCP 動態(tài)獲得回地址，如下圖所示。企業(yè)從運營商處獲取的固定 IP 地址為 1.1.1. 1124 DNS 服務(wù)器為1.2 .2 .2/24 ，網(wǎng)關(guān)地址為 1.1.1 .2 54/24 。企業(yè)需利用防火墻接入互聯(lián)網(wǎng)。

靜態(tài)IP接入互聯(lián)網(wǎng)拓撲圖
（1）配置接口
選擇“網(wǎng)絡(luò)→接口”單擊 GE1/0/1對應(yīng)的“編輯”圖標，按照靜態(tài)IP地址配置外網(wǎng)接口參數(shù)配置，如下圖所示。

外網(wǎng)接口數(shù)據(jù)參數(shù)

配置完成后，單擊 GE1 /0/2 對應(yīng)的“編輯”圖標，配置內(nèi)網(wǎng)接口參數(shù)，如下圖所示。

內(nèi)網(wǎng)接口數(shù)據(jù)參數(shù)

（2） 配置 DHCP 服務(wù)器
選擇“網(wǎng)絡(luò)→ DHCP 服務(wù)器→服務(wù)”單擊“新建”按鈕，配置DHCP服務(wù)，如下圖所示。

內(nèi)網(wǎng)接口DHCP配置

（3）配置安全策略
選擇“策略→安全策略”單擊“新建”按鈕，配置允許內(nèi)網(wǎng)IP地址訪問外網(wǎng)，其他安全策略可根據(jù)需求進行配置，如下圖所示。

配置安全策略
（4）配置 NAT 策略
選擇“策略→ NAT策略→源NAT”，在“源NAT策略列表”中單擊“新建”按鈕，實現(xiàn)內(nèi)網(wǎng)用戶正常訪問Internet ，如下圖所示。

配置NAT策略
【問題1】（3分）
根據(jù)配置要求，將配置接口中空缺（1）—（6）補充完整。

【問題2】（1分）
配置DHCP服務(wù)器時，根據(jù)配置要求該配置哪個接口的DHCP服務(wù)？

【問題3】（7分）
根據(jù)配置要求，將各配置中空缺（7）—（11）（5分）（12）—（15）（2分）補充完整。

【問題4】（4分）
有幾種方式檢驗配置成功？（1分）如何檢驗？（3分）

信管網(wǎng)cnitpm57427373058：
untrust 1.1.1.1/24 1.1.1.254/24 1.2.2.2/24＜br＞trust 10.3.0.1/24 ge1/0/2＜br＞10.3.0.2  10.3.0.254 255.255.255.0 10.3.0.1/24 1.2.2.2＜br＞trust  untrust 10.3.0.0 trust＜br＞3種，

信管網(wǎng)cnitpm57427373058：
untrust ,1.1.1.1/24,1.1.1.254/24,1.2.2.2/24,trust,10.3.0.1/24,10.3.0.2/24,ge1/0/2,＜br＞10.3.0.254/24,255.255.255.0,,1.1.1.254/24,1.2.2.2/24＜br＞trust  untrust,10.3.0.0/24＜br＞trust

信管網(wǎng)cnitpm57427373058：
untrust  1.1.1.1/24  1.1.1.254/24 1.2.2.2/24  trust  10.3.0.1/24＜br＞10.3.0.2/24   10.3.0.254/24  255.255.255.0  1.1.1.2/254 ＜br＞1.2.2.2/254＜br＞trust untrust 10.3.0.0/24  trust＜br＞3種

信管網(wǎng)cnitpm1475296114：
問題1： （1）untrusted （2）1.1.1.1/24 （3）1.1.1.254 （4）1.2.2.2 （5）trusted （6）10.3.0.1/24 問題2： dhcp設(shè)置在內(nèi)部路由器內(nèi)網(wǎng)網(wǎng)關(guān)接口10.3.0.1上。 問題3： （7）10.3.0.1 （8）10.3.0.254 （9）255.255.255.0 （10）10.3.0.1 （11）1.2.2.2/24 （12）trusted （13）untrusted （14）10.3.0.0/24 （15）trusted 問題4： 有兩種方式可以檢驗。一是在內(nèi)網(wǎng)用戶的瀏覽器上輸入外網(wǎng)服務(wù)器ip來訪問web，驗證是否部署成功。二是通過ping指令訪問，查看內(nèi)網(wǎng)和外網(wǎng)的通路是否正常。

信管網(wǎng)cnitpm5436332219：
問題1：（1）untrust（2）1.1.1.1/24（3）1.1.1.254（4）1.2.2.2（5）trust（6）10.3.0.1/24 問題2：內(nèi)網(wǎng)接口ge1/0/2 問題3：（7）10.3.0.2（8）10.3.0.254（9）255.255.255.0（10）10.3.0.1（11）1.2.2.2（12）trust（13）untrust（14）10.3.0.0/24（15）trust 問題4：3種：查看接口ge1/0/1的公網(wǎng)地址配置是否正確，物理狀態(tài)和ipv4狀態(tài)是否為up。在內(nèi)部網(wǎng)絡(luò)中的pc上通過ipconfig/all命令檢查網(wǎng)卡是否正確分配到私網(wǎng)地址和dns地址。檢查內(nèi)部網(wǎng)絡(luò)中的pc是否能通過域名訪問internet，若能訪問，則表示配置成功。