Команды ACL для разрешения HTTP

263
billnyeguy

Практика COMP Tia сетевой экзамен:

Вопрос 286

Сетевой техник хочет разрешить HTTP-трафик через межсетевой экран без сохранения состояния. Компания использует сеть 192.168.0.0/24. Какой из следующих ACL должен настроить техник? (Выберите ДВА)

A. РАЗРЕШЕНИЕ SRCIP 192.168.0.0/24 СПОРТ: 80 DSTIP: 192.168.0.0/24 DPORT: 80
B. РАЗРЕШЕНИЕ SRCIP 192.168.0.0/24 СПОРТ: ЛЮБОЙ DSTIP: ЛЮБОЙ DPORT 80
C. Разрешение SRCIP: ЛЮБОЙ СПОРТ: 80 DSTIP: 192.168.0.0/24 DPORT ЛЮБОЙ
D. РАЗРЕШЕНИЕ НА РАЗРЕШЕНИЕ: ANYSPORT: 80 DSTIP: 192.168.0.0/24 DPORT: 80
E. SRCIP РАЗРЕШЕНИЯ: 192.168.0.0/24 СПОРТ: 80 DSTIP: ЛЮБОЙ DPORT: 80

Aoswers B

Хорошо, вопрос говорит, чтобы выбрать два ответа. Кроме того, различия в расстояниях в ответах C и D были дословно скопированы из pdf, и я не уверен, являются ли они опечатками или являются частью вопроса как проблема синтаксиса. Нужен ли второй ответ? Будет ли достаточно ответа B? Ответы A и E кажутся избыточными, а C и D - небезопасными, если разрешить исходный IP-адрес Any?

-6
Эй, парень, это второй раз, когда вы просите нас объяснить вопросы, которые вы не понимаете при подготовке к экзамену. Знаете, это не сайт поддержки для студентов. harrymc 5 лет назад 2
Это второй раз, когда вы обращались за помощью по какому-либо вопросу, у вас даже нет самого простого понимания того, что является проблемой, потому что вы никогда не пройдете Сеть +, если это не изменится. Вы не можете изучать материал на экзамене CompTIA Network +, выполняя практические экзамены без предварительного понимания материала. Что касается полезности этого вопроса, я был сожжен однажды от одного из ваших вопросов, оказалось, что ваш практический экзамен полон ошибок. Поэтому я лично не нахожу вопрос «еще один ответь мне» полезным для сообщества. Ramhound 5 лет назад 2
Когда на реальном экзаменационном вопросе CompTIA требуется выбрать два ответа, это означает, что вам нужно выбрать два ответа. Если вы выберете только один ответ, вы получите некорректный вопрос **. ** Ramhound 5 лет назад 2
Эти вопросы не относятся к «персональным или домашним компьютерным сетям», как определено на странице [по теме] (https://superuser.com/help/on-topic) справочного центра. Профессиональные и корпоративные вопросы по ИТ следует задавать на [sf], но я бы сначала спросил, приемлемы ли эти вопросы для экзаменационной практики, разместив их на своем мета-сайте. Mokubai 5 лет назад 0
Ramhound, если тебе нечего сказать, ничего не говори. Пожалуйста, не комментируйте мои сообщения больше. billnyeguy 5 лет назад 0

1 ответ на вопрос

0
grawity

  1. Поскольку в вопросе не указано, какой синтаксис следует ожидать для списков ACL (т. Е. У вас нет ссылок для проверки), можно предположить, что синтаксис был просто составлен на месте, и все опечатки также могут быть случайными (возможно, после нескольких раундов печати, перепечатывания, фотокопирования и / или распознавания).

  2. Если вы защищаете веб-сервер, на котором размещены общедоступные веб-сайты, естественно, вы захотите принимать клиентов из любого места (т.е. из любого источника). И наоборот, если у вас есть несколько клиентов за этим брандмауэром, обычно они захотят получить доступ ко всему интернету (то есть к любому месту назначения). В любом случае, по крайней мере одна сторона, являющаяся «ЛЮБОЙ», неизбежна.

  3. Соединения TCP обычно имеют хорошо известный порт на стороне «сервера», но временный порт (случайный и с большим номером) на стороне «клиента». Это позволяет различать несколько подключений от одного клиента к одному и тому же сервису на одном сервере.

    Это означает, что вы практически никогда не увидите 1 порт 80 одновременно на «sport» и «dport». Поэтому вы можете пропустить эти ACL как неправильные.

  4. Как уже упоминалось, известный порт (80 для HTTP) находится на стороне сервера. Сервер будет получать пакеты с DPORT: 80 и отправлять пакеты с SPORT: 80.

    Это означает, что списки ACL с DPORT: 80 должны иметь SRCIP, который будет соответствовать клиентам (браузерам), и / или DSTIP, соответствующий веб-серверам. Обратное относится к СПОРТУ: 80.

  5. Как уже упоминалось, пакеты текут в двух направлениях. Поскольку межсетевой экран не имеет состояния, ему нужны два ACL, по одному для каждого направления.

1 Следует пояснить, что идентичные порты источника и назначения разрешены для каждого протокола, что невероятно редко при обычном использовании TCP. (Существуют исключения, например, BGP иногда использует 179 - 179.)

Для моего собственного любопытства. Какой правильный ответ (ы)? Ramhound 5 лет назад 0
Удобно, что «идентичные порты источника и назначения» уже исключат все, кроме B и C. Они также в точности противоположны друг другу, поэтому они будут правильными (насколько это необходимо для вопроса). grawity 5 лет назад 0
Я думал, что это так, но это утверждение не появляется в вашем ответе. Ramhound 5 лет назад 0
-1: голосование с понижением, потому что вопрос явно в том, что кто-то просит нас «сделать свою домашнюю работу», когда они мельком заявляют: «Практикуйтесь в сетевом экзамене COMP Tia:» Эти вопросы не следует поощрять, и сайты Stack Exchange не должны быть такими прямыми. шпаргалка для технических навыков, как это. JakeGould 5 лет назад 0

Похожие вопросы