某政府部门网络用户包括有线网络用户、无线网络用户和有线摄像头若干,组网拓扑如图1-1所示。访客通过无线网络接入互联网,不能访问办公网络及管理网络,摄像头只能跟DMZ区域服务器互访。

admin2019-03-09  44

问题 某政府部门网络用户包括有线网络用户、无线网络用户和有线摄像头若干,组网拓扑如图1-1所示。访客通过无线网络接入互联网,不能访问办公网络及管理网络,摄像头只能跟DMZ区域服务器互访。


[img][/img]
进行网络安全设计,补充防火墙数据规划表1-3内容中的空缺项。

选项

答案(1)10.101.1.1/24;10.102.1.1/24;10.103.1.1/24;10.108.1.1/24 (2)any (3)dmz

解析 本题考查中小型网络组网方案的构建。
网络设计采用树形组网,包含接入层、核心层、DMZ服务器和防火墙出口。
该网络提供无线覆盖,无线网络主要给办公用户和访客提供网络接入Intemet,其中办公用户SSID采用预共享密钥的方式接入无线网络,访客SSID采用OPEN方式接入无线网络。AP控制器部署直接转发模式,AP三层上线。SwitchA作为DHCP Server,为AP和无线终端分配IP地址。
该网络的有线接入主要给员工提供网络接入Internet;有线用户不需要认证。SwitchA交换机是有线终端的网关,同时也是有线终端的DHCP Server,为有线终端分配IP地址。
在安全性需求方面,该网络保护管理区的数据安全,在SwitchA部署ACL控制用户转发权限,使得顾客无线用户只能访问Internet,不允许访问其他内部资源。在SwitchA部署ACL,控制摄像头只能和DMZ区的服务器互访。在防火墙上配置安全策略,控制DMZ区服务器的访问权限。
防火墙上承载网络出口业务,DMZ区的服务器开放给公网访问。
本问题要求根据题中的说明给出相应的源地址/区域或者目的地址/区域。防火墙策略中egress策略需要给出访问外网的终端地址,通过表1-1可知相关VLAN分别是101、102、103、108。
防火墙策略中源net策略egress的含义是在防火墙上做NAT,地址池中地址使用109.1.1.2,目的地址任意。
防火墙策略中源net策略camera_dmz的含义,摄像头可以访问DMZ。
转载请注明原文地址:https://kaotiyun.com/show/PmQZ777K
0

最新回复(0)