第8章 访问控制列表

第8章访问控制列表1、以下情况可以使用访问控制列表准确描述的是

。A、禁止有CIH病毒的文件到我的主机

B、只允许系统管理员访问我的主机

C、禁止所有使用Telnet协议的用户访问我的主机

D、禁止使用UNIX系统的用户访问我的主机答案：C2、下列参数中

不能用于高级访问控制列表。

A、物理端口

B、协议号

C、目的端口号

D、时间范围

答案：A3、华为设备上的高级访问控制列表不可以用于过滤下面

内容。

A、基于特定源地址的网络流量B、基于特定应用程序的流量C、基于特定目的地址的网络流量D、基于特定端口号的网络流量答案：B4、在华为设备上部署访问控制列表时，下列描述正确的是

。

A、在端口下调用访问控制列表只能应用于出方向B、同一个访问控制列表可以在多个端口下调用C、访问控制列表只能按照10、20、30的顺序定义规则

D、访问控制列表不可以用于过滤OSPF流量，因为OSPF流量不使用UDP封装答案：B5、配置访问控制列表必须做的配置是__________。

A、设定有效时间段

B、指定日志主机C、定义访问控制列表

D、在访问控制列表中使用设定的时间段答案：C6、访问控制列表不会过滤设备自身产生的访问其他设备的流量，只过滤转发的流量，转发的流量包括其他设备访问该设备的流量。答案：正确7、一条访问控制条目可以由多条规则组成。答案：正确8、一个端口出方向只可以应用一条访问控制条目。答案：正确9、如果您定义一个访问控制列表而没有应用到端口上，华为路由器将默认允许所有数据包通过。

答案：正确10、用户需要根据自己的安全策略来确定访问控制列表，并将其应用到整机或指定端口。答案：正确11、访问控制列表除用于过滤数据报文外，还可以对数据流量进行控制。答案：正确12、高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则，因此得到更加广泛应用。答案：正确13、华为设备的基本访问控制列表只检查数据包的源地址。答案：错误14、简述访问控制列表的工作原理。答案：访问控制列表的主要工作原理是通过检查用户的访问权限，并根据这些权限来决定是否允许用户或实体访问特定的资源。每个访问控制列表都由一个或多个规则组成，这些规则定义了允许或拒绝特定类型的请求。规则通常包括源地址、目标地址、协议类型、端口号以及其他相关参数。通过这些规则的组合，访问控制列表可以对网络流量进行精确的控制。15、访问控制列表有哪些类型？访问控制列表的作用是什么？答案：根据ACL规则定义方式分类：（1）基本ACL（2）高级ACL（3）二层ACL（4）用户自定义ACL（5）用户控制ACL访问列表的作用包括：（1）网络流量控制（2）网络访问控制（3）网络安全保护（4）网络性能优化16、配置访问控制列表应注意哪些事项？答案：使用命令行界面配置ACL时，应遵循设备的语法规则和操作指南，以确保配置的正确性和安全性。在选择和使用第三方工具配置ACL时，应注意其兼容性、性能和安全性等因素，以确保网络设备和数据的安全。17、某公司内部网络为/24，通过路由器接入互联网。其中，～5的主机是部门主管使用的，要求能正常访问互联网，其他主机不允许访问互联网。请在路由器上配置扩展命名访问控制列表。

答案：采用如下的思路在华为路由器上进行配置：（1）配置基本ACL和基于ACL的流分类，使设备可以对部门主管之外的主机报文进行过滤。（2）配置流行为，拒绝匹配上ACL的报文通过。（3）配置并应用流策略，使ACL和流行为生效。操作步骤：（1）配置ACL创建基本ACL2001并配置ACL规则，拒绝源IP地址为6/24的主机报文通过。（2）配置基于基本ACL的流分类配置流分类tc1，对匹配ACL2001的报文进行分类。（3）配置流行为配置流行为tb1，动作为拒绝报文通过。18、如何查看端口是否绑定了访问控制列表？如何显示指定访问控制列表的内容？答案：查看接口是否绑定了访问列表：（1）查看流分类的配置信息：displaytrafficclassifieruser-defined（2）查看流策略的应用信息：displaytraffic-policyapplied-record显示指定访问列表的内容：查看ACL规则的配置信息：displayaclxxxx（xxxx是相关acl编号）19、某公司内部网络中有一台Web服务器，同时供内部网络和互联网中的主机访问，公司给该服务器申请了一个合法的公有地址。请在公司内部路由器上进行适当的配置，使内部网络和外部网络均能访问该服务器。答案：采用如下的思路在华为路由器上进行配置：（1）配置高级ACL和基于ACL的流分类，使设备可以基于ACL，对用户访问服务器的报文进行过滤，从而允许内部网和外网用户访问该服务器。（2）配置流行为，允许匹配上ACL的permit规则的报文通过。（3）配置并应用流策略，使ACL和流行为生效。操作步骤：（1）配置ACL创建高级ACL3002并配置ACL规则，允许位于内网主机访问WWW服务器的报文通过，允许外网用户访问WWW服务器的报文通过。（2）配置基于ACL的流分类配置流分类c_network，对匹配ACL3002的报文进行分类。（3）配置流行为配置流行为b_network，动作为允许报文通过。（4）配置流策略配置流策略p_network，将流分类c_network与流行为b_network关联。（