ACL-Befehle zum Zulassen von HTTP

362
billnyeguy

Üben Sie die COMP Tia-Netzwerkprüfung:

Frage 286

Ein Netzwerktechniker möchte HTTP-Verkehr durch eine zustandslose Frewall zulassen. Das Unternehmen nutzt das Netzwerk 192.168.0.0/24. Welche der folgenden Zugriffssteuerungslisten sollte der Techniker konfigurieren? (Wählen Sie ZWEI aus)

A. ERLAUBEN SIE SRCIP 192.168.0.0/24 SPORT: 80 DSTIP: 192.168.0.0/24 DPORT: 80
B. ERLAUBEN SIE SRCIP 192.168.0.0/24 SPORT: JEDER STANDORT: JEDER DPORT 80
C. ERLAUBEN SIE RECHNUNG: JEDER SPORT: 80 STIFT: 192.168.0.0/24 DPORT ANY
D. D. ERLÄUTERUNG SRCIP: ANYSPORT: 80 DSTIP: 192.168.0.0/24 DPORT: 80
E. ERLAUBNIS SRCIP: 192.168.0.0/24 SPORT: 80 DSTIP: ANY DPORT: 80

Aoswers B

OK, sagt die Frage, zwei Antworten auszuwählen. Darüber hinaus wurden die Abstandsunterschiede in den Antworten C und D wörtlich aus dem PDF kopiert und sind nicht sicher, ob es sich um Tippfehler handelt oder als Syntaxproblem Teil der Frage ist. Ist eine zweite Antwort nötig? Würde Antwort B ausreichen? Antwort A und E scheinen überflüssig zu sein, C und D scheinen unsicher, wenn sie eine Quell-IP von Any zulassen.

-6
Hey, Mann, dies ist das zweite Mal, dass Sie uns bitten, die Fragen zu erläutern, die Sie bei der Vorbereitung auf die Prüfung nicht verstehen. Das ist keine Support-Site für Studenten, wissen Sie. harrymc vor 5 Jahren 2
Dies ist das zweite Mal, dass Sie zu einer Frage um Hilfe gebeten haben. Sie haben nicht einmal das grundlegendste Verständnis, dessen Problem ein Problem ist, da Sie niemals das Netzwerk + passieren werden, wenn sich dies nicht ändert. Sie können das Material für die CompTIA Network + -Prüfung nicht durch Übungsprüfungen erlernen, ohne vorher das Material zu verstehen. Was die Nützlichkeit dieser Frage angeht, bin ich einmal von einer Ihrer Fragen verbrannt worden, und Ihre Praxisprüfung ist voller Fehler. Daher finde ich persönlich nicht die Frage "Noch eine, gib mir die Antwort", um für die Community hilfreich zu sein. Ramhound vor 5 Jahren 2
Wenn bei einer CompTIA-Prüfungsfrage zwei Antworten ausgewählt werden müssen, müssen Sie zwei Antworten auswählen. Wenn Sie nur eine Antwort auswählen, wird die Frage ** falsch angezeigt. ** Ramhound vor 5 Jahren 2
Diese Fragen beziehen sich nicht auf "persönliche oder Heimcomputernetzwerke", wie auf der Seite [zum Thema] (https://superuser.com/help/on-topic) der Hilfe definiert. Professionelle und Unternehmens-IT-Fragen sollten an [sf] gestellt werden, aber ich würde zuerst fragen, ob diese Prüfungsaufgaben durch Abfragen auf ihrer Meta-Site akzeptabel sind. Mokubai vor 5 Jahren 0
Ramhound, wenn du nichts Schönes zu sagen hast, dann sag nichts. Bitte kommentiere meine Beiträge nicht mehr. billnyeguy vor 5 Jahren 0

1 Antwort auf die Frage

0
grawity

  1. Da in der Frage nicht angegeben ist, welche Syntax für ACLs erwartet werden soll (dh Sie haben keine Referenz, um sie zu validieren), können Sie davon ausgehen, dass die Syntax nur vor Ort erstellt wurde und alle Tippfehler möglicherweise zufällig sind (möglicherweise nach mehreren Runden des Druckens, Retypens, Fotokopierens und / oder OCR ').

  2. Wenn Sie einen Webserver sichern, der öffentliche Websites hostet, möchten Sie natürlich Kunden von überall (dh von jeder Quelle) akzeptieren. Und umgekehrt: Wenn sich hinter dieser Firewall einige Clients befinden, möchten diese normalerweise auf das gesamte Internet (dh auf ein beliebiges Ziel) zugreifen. In beiden Fällen ist mindestens eine Seite "ANY" unvermeidlich.

  3. TCP-Verbindungen verfügen im Allgemeinen über einen bekannten Port auf der Seite des Servers, jedoch über einen temporären Port (zufällig und mit hoher Nummerierung) auf der Seite des Clients. Dies ermöglicht die Unterscheidung zwischen mehreren Verbindungen von demselben Client zu demselben Dienst auf demselben Server.

    Dies bedeutet, dass Sie praktisch nie 1 zu sehen Port 80 sowohl auf den „Sport“ und „dport“ zugleich. Daher können Sie diese ACLs als falsch überspringen.

  4. Wie bereits erwähnt, befindet sich der bekannte Port (80 für HTTP) auf der Seite des Servers. Der Server empfängt Pakete mit DPORT: 80 und sendet Pakete mit SPORT: 80.

    Das bedeutet, dass ACLs mit DPORT: 80 über SRCIP verfügen müssen, das mit Clients (Browsern) und / oder DSTIP übereinstimmt, die mit den Webservern übereinstimmen. Umgekehrt gilt für SPORT: 80.

  5. Wie erwähnt, fließen Pakete in zwei Richtungen. Da die Firewall zustandslos ist, benötigt sie zwei ACLs, eine für jede Richtung.

1 Es sollte klargestellt werden, dass identische Quell- und Zielports pro Protokoll zulässig sind. Dies ist jedoch bei der allgemeinen TCP-Verwendung äußerst selten. (Es gibt Ausnahmen, z. B. verwendet BGP 179 bis 179.)

Für meine eigene Neugier. Was ist die richtige Antwort (en)? Ramhound vor 5 Jahren 0
Praktischerweise schließen "identische Quell- und Ziel-Ports" bereits alles außer B und C aus. Diese sind auch genau entgegengesetzt, also wären sie korrekt (soweit die Frage dies erfordert). grawity vor 5 Jahren 0
Ich dachte, das wäre der Fall, aber diese Aussage erscheint nicht in Ihrer Antwort. Ramhound vor 5 Jahren 0
-1: Down-Voting, weil die Frage eindeutig jemand ist, der uns auffordert, „ihre Hausaufgaben zu machen“, wenn sie deutlich sagen: „Praktiziere die COMP Tia-Vernetzungsprüfung:“ Diese Fragen sollten nicht ermutigt werden und die Stack Exchange-Websites sollten nicht so direkt sein Spickzettel für technische Fähigkeiten wie diese. JakeGould vor 5 Jahren 0

Verwandte Probleme