1、2016 年下半年软件水平考试(高级)网络规划设计师下午(案例分析)真题试卷及答案解析(总分:28.00,做题时间:90 分钟)一、试题一(总题数:1,分数:10.00)阅读以下说明,回答问题 1 至问题 5,将解答填入答题纸对应的解答栏内。说明某企业实施数据机房建设项目,机房位于该企业业务综合楼二层,面积约 50 平方米。机房按照国家 B 类机房标准设计,估算用电量约 50kW,采用三相五线制电源输入,双回路向机房设备供电,对电源系统提供三级防雷保护。要求铺设抗静电地板、安装微孔回风吊顶,受机房高度影响,静电地板高 20 厘米。机房分为配电间和主机间两个区域,分别是 15 和 35 平方米。
2、配电间配置市电配电柜、UPS 主机及电池柜等设备;主机间配置网络机柜、服务器机柜以及精密空调等设备。项目的功能模块如图 11 所示。 (分数:10.00)(1).问题 1数据机房设计标准分为(1)类,该项目将数据机房设计标准确定为 B 类,划分依据是(2)。(分数:2.00)_(2).问题 2该方案对电源系统提供第二、三级防雷保护,对应的措施是(3)和(4)。机房接地一般分为交流工作接地、直流工作接地、保护接地和(5),若采用联合接地的方式将电源保护接地接入大楼的接地极,则接地极的接地电阻值不应大于(6)。(3)(4)备选答案:A.在大楼的总配电室电源输入端安装防雷模块B.在机房的配电柜输入端
3、安装防雷模块 C.选用带有防雷器的插座用于服务器、工作站等设备的防雷击保护 D.对机房中 UPS 不间断电源做防雷接地保护(分数:2.00)_(3).问题 3在机房内空调制冷一般有下送风和上送风两种方式。该建设方案采用上送风的方式,选择该方式的原因是(7)、(8)。(7)(8)备选答案:A.静电地板的设计高度没有给下送风预留空间 B.可以及时发现和排除制冷系统产生的漏水,消除安全隐患 C.上送风建设成本较下送风低,系统设备易于安装和维护 D.上送风和下送风应用的环境不同,在 IDC 机房建设时要求采用上送风方式(分数:2.00)_(4).问题 4网络布线系统通常划分为工作区子系统、水平布线子系
4、统、配线间子系统、(9)、管理子系统和建筑群子系统等六个子系统。机房的布线系统主要采用(10)和(11)。(分数:2.00)_(5).问题 5判断下述观点是否正确(正确的打,错误的打)。1机房灭火系统,主要是气体灭火,其灭火剂包括七氟丙烷、二氧化碳、气溶胶等对臭氧层无破坏的灭火剂,分为管网式和无管网式。(12)2机房环境监控系统监控的对象主要是机房动力和环境设备,比如配电、UPS、空调、温湿度、烟感、红外、门禁、防雷、消防等设备设施。(13)3B 级机房对环境温度要求是 1828,相对湿度要求是4070。(14)4机房新风系统中新风量值的计算方法主要按房间的空间大小和换气次数作为计算依据。(1
5、5)5机房活动地板下部的电源线尽可能地远离计算机信号线,避免并排敷设,并采取相应的屏蔽措施。(16)(分数:2.00)_二、试题二(总题数:1,分数:10.00)阅读下列说明,回答问题 1 至问题 5,将解答填入答题纸的对应栏内。说明图 21 为某企业数据中心拓扑图,图中网络设备接口均为千兆带宽,服务器 1 至服务器 4 均配置为 4 颗 CPU、256GB 内存、千兆网卡。实际使用中发现服务器使用率较低,为提高资产利用率,进行虚拟化改造,拟采用裸金属架构,将服务器 1 至服务器 4 整合为一个虚拟资源池。图中业务存储系统共计 50TB,其中 10TB 用于虚拟化改造后的操作系统存储,20TB
6、 用于 Oracle 数据库存储,20TB 分配给虚拟化存储用于业务数据存储。(分数:10.00)(1).问题 1常见磁盘类型有 SATA、SAS 等,从性价比考虑,本项目中业务存储系统和备份存储应如何选择磁盘类型,请简要说明原因。若要进一步提升存储系统性能,在磁盘阵列上可以采取哪些措施?(分数:2.00)_(2).问题 2常用虚拟化实现方式有一虚多和多虚多,本例中应选择哪种方式,请说明理由。(分数:2.00)_(3).问题 3常用存储方式包括 FC-SAN、IP-SAN,本案例中,服务器虚拟化改造完成后,操作系统和业务数据分别采用什么方式在业务存储系统上存储?服务器本地磁盘存储什么数据?请说
7、明原因。(分数:2.00)_(4).问题 4常见备份方式主要有 Host-Base、LAN-Base、LAN-Free、Server-Free,为该企业选择备份方式,说明理由。(分数:2.00)_(5).问题 5服务器虚拟化改造完成后,每台宿主机承载的虚拟机和应用会更多,可能带来什么问题?如何解决?(分数:2.00)_三、试题三(总题数:1,分数:8.00)阅读下列说明,回答问题 1 至问题 4,将解答填入答题纸的对应栏内。说明图 31 是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web 网站和在线销售管理服务系统采用 JavaEE 开发,中间件使用 Webl
8、ogic,采用访问控制、NAT 地址转换、异常流量检测、非法访问阻断等网络安全措施。 (分数:8.00)(1).问题 1根据网络安全防范需求,需在不同位置部署不同的安全设备,进行不同的安全防范,为上图中的安全设备选择相应的网络安全设备。在安全设备 1 处部署(1);在安全设备 2 处部署(2);在安全设备3 处部署(3)。(1)(3)备选答案:A.防火墙 B.入侵检测系统(IDS)C.入侵防御系统(IPS)(分数:2.00)_(2).问题 2在网络中需要加入如下安全防范措施:A.访问控制 B.NATC.上网行为审计 D.包检测分析E数据库审计 FDDoS 攻击检测和阻止 G服务器负载均衡 H异
9、常流量阻断 I漏洞扫描 JWeb 应用防护其中,在防火墙上可部署的防范措施有(4);在 IDS 上可部署的防范措施有(5);在 IPS 上可部署的防范措施有(6)。(分数:2.00)_(3).问题 3结合上述拓扑,请简要说明入侵防御系统(IPS)的不足和缺点。(分数:2.00)_(4).问题 4该企业网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告,报告内容包括:1利用 Java 反序列化漏洞,可以上传 jsp 文件到服务器。2可以获取到数据库链接信息。3可以链接数据库,查看系统表和用户表,获取到系统管理员登录账号和密码信息,其中登录密码为明文存储。4使用系统管理员帐号登录销售管
10、理服务系统后,可以操作系统的所有功能模块。针对上述存在的多处安全漏洞,提出相应的改进措施。(分数:2.00)_2016 年下半年软件水平考试(高级)网络规划设计师下午(案例分析)真题试卷答案解析(总分:28.00,做题时间:90 分钟)一、试题一(总题数:1,分数:10.00)阅读以下说明,回答问题 1 至问题 5,将解答填入答题纸对应的解答栏内。说明某企业实施数据机房建设项目,机房位于该企业业务综合楼二层,面积约 50 平方米。机房按照国家 B 类机房标准设计,估算用电量约 50kW,采用三相五线制电源输入,双回路向机房设备供电,对电源系统提供三级防雷保护。要求铺设抗静电地板、安装微孔回风吊
11、顶,受机房高度影响,静电地板高 20 厘米。机房分为配电间和主机间两个区域,分别是 15 和 35 平方米。配电间配置市电配电柜、UPS 主机及电池柜等设备;主机间配置网络机柜、服务器机柜以及精密空调等设备。项目的功能模块如图 11 所示。 (分数:10.00)(1).问题 1数据机房设计标准分为(1)类,该项目将数据机房设计标准确定为 B 类,划分依据是(2)。(分数:2.00)_正确答案:(正确答案:(1)三或 3 (2)系统运行中断造成的损失或者影响程度划分。)解析:(2).问题 2该方案对电源系统提供第二、三级防雷保护,对应的措施是(3)和(4)。机房接地一般分为交流工作接地、直流工作
12、接地、保护接地和(5),若采用联合接地的方式将电源保护接地接入大楼的接地极,则接地极的接地电阻值不应大于(6)。(3)(4)备选答案:A.在大楼的总配电室电源输入端安装防雷模块B.在机房的配电柜输入端安装防雷模块 C.选用带有防雷器的插座用于服务器、工作站等设备的防雷击保护 D.对机房中 UPS 不间断电源做防雷接地保护(分数:2.00)_正确答案:(正确答案:(3)B (4)D(注:(3)、(4)答案可互换) (5)防雷接地 (6)联合接地的最小值或 1 欧姆)解析:(3).问题 3在机房内空调制冷一般有下送风和上送风两种方式。该建设方案采用上送风的方式,选择该方式的原因是(7)、(8)。(
13、7)(8)备选答案:A.静电地板的设计高度没有给下送风预留空间 B.可以及时发现和排除制冷系统产生的漏水,消除安全隐患 C.上送风建设成本较下送风低,系统设备易于安装和维护 D.上送风和下送风应用的环境不同,在 IDC 机房建设时要求采用上送风方式(分数:2.00)_正确答案:(正确答案:(7)A (8)B(注:(7)、(8)答案可互换)解析:(4).问题 4网络布线系统通常划分为工作区子系统、水平布线子系统、配线间子系统、(9)、管理子系统和建筑群子系统等六个子系统。机房的布线系统主要采用(10)和(11)。(分数:2.00)_正确答案:(正确答案:(9)垂直主干子系统或垂直子系统 (10)
14、管理子系统 (11)配线间子系统)解析:(5).问题 5判断下述观点是否正确(正确的打,错误的打)。1机房灭火系统,主要是气体灭火,其灭火剂包括七氟丙烷、二氧化碳、气溶胶等对臭氧层无破坏的灭火剂,分为管网式和无管网式。(12)2机房环境监控系统监控的对象主要是机房动力和环境设备,比如配电、UPS、空调、温湿度、烟感、红外、门禁、防雷、消防等设备设施。(13)3B 级机房对环境温度要求是 1828,相对湿度要求是4070。(14)4机房新风系统中新风量值的计算方法主要按房间的空间大小和换气次数作为计算依据。(15)5机房活动地板下部的电源线尽可能地远离计算机信号线,避免并排敷设,并采取相应的屏蔽
15、措施。(16)(分数:2.00)_正确答案:(正确答案:(12) (13) (14) (15) (16)解析:解析:本题考查数据机房的规划、制度和规范的知识。 此类题目要求考生了解数据机房规划的相关知识,熟悉数据机房内各子系统的作用及建设要求,具备规划企业数据机房的知识和能力。 问题 1 电子信息机房设计规范GB501742008 中,将电子信息机房定义为 A、B、C 三类,其中 A 类要求最高。划分依据是系统中导致经济损失或者公共秩序混乱的程度。 问题 2 数据机房的接地一般分为交流工作接地、直流工作接地、保护接地和防雷接地。联合接地电阻值一般不大于 1 或取联合接地中各接地的最小值。本题中
16、防雷保护采取三级防雷保护,第一级在大楼的总配电室电源输入端安装防雷模块,第二级在机房的配电柜输入端安装防雷模块,第三级对机房中 UPS 不间断电源做防雷接地保护。 问题 3 本问题考查网络规划实践能力,在实践中,上送风和下送风的建设成本没有明显的高低之分。数据统计,采用上送风或者下送风的 IDC 机房均占到一定的比例。 问题 4 结构化布线系统可由工作区子系统、水平布线子系统、配线间子系统、垂直干线子系统、管理子系统和建筑群子系统组成。管理子系统由交连、互连配线架组成,互连配线架根据不同的连接硬件分楼层配线架(箱)IDF 和总配线架(箱)MDF,IDF 可安装在各楼层的干线接线间,MDF 一般
17、安装在设备机房。配线间子系统是由设备间中的电缆、连接器和有关的支撑硬件组成,作用是将计算机、PBX、摄像头、监视器等弱电设备互连起来并连接到主配线架上。 问题 5 本题考查考生对数据机房建设规范、相关知识的熟悉程度。在数据机房的规范中,A 类和 B 类机房要求一样,温度都是 231,湿度均为 4055。C 类机房的温度为 1828,湿度 3575。 由于机房设备能源大多为电,故机房灭火系统主要是气体灭火,其灭火剂包括七氟丙烷、二氧化碳、气溶胶等对臭氧层无破坏的灭火剂,分为管网式和无管网式。 影响机房的环境主要是动力和设备,故机房环境监控系统监控的对象主要配电、UPS、空调、温湿度、烟感、红外、
18、门禁、防雷、消防等设备设施。 机房新风系统中新风量值的计算方法主要按房间的空间大小和换气次数作为计算依据。 机房活动地板下部的电源线尽可能地远离计算机信号线,避免并排敷设,并采取相应的屏蔽措施。二、试题二(总题数:1,分数:10.00)阅读下列说明,回答问题 1 至问题 5,将解答填入答题纸的对应栏内。说明图 21 为某企业数据中心拓扑图,图中网络设备接口均为千兆带宽,服务器 1 至服务器 4 均配置为 4 颗 CPU、256GB 内存、千兆网卡。实际使用中发现服务器使用率较低,为提高资产利用率,进行虚拟化改造,拟采用裸金属架构,将服务器 1 至服务器 4 整合为一个虚拟资源池。图中业务存储系
19、统共计 50TB,其中 10TB 用于虚拟化改造后的操作系统存储,20TB 用于 Oracle 数据库存储,20TB 分配给虚拟化存储用于业务数据存储。(分数:10.00)(1).问题 1常见磁盘类型有 SATA、SAS 等,从性价比考虑,本项目中业务存储系统和备份存储应如何选择磁盘类型,请简要说明原因。若要进一步提升存储系统性能,在磁盘阵列上可以采取哪些措施?(分数:2.00)_正确答案:(正确答案:1业务存储系统选择 SAS,备份存储选择 SATA 磁盘。 2SATA 磁盘相对于 SAS磁盘成本较低、转速低、传输速率慢;备份存储对于数据传输速率要求相对低,一般采用 SATA 磁盘;业务存储
20、系统对于数据传输速率要求高,一般采用 SAS,降低磁盘 IO 瓶颈。 3配置 SSD 磁盘、高速缓存卡、更高转速磁盘。)解析:(2).问题 2常用虚拟化实现方式有一虚多和多虚多,本例中应选择哪种方式,请说明理由。(分数:2.00)_正确答案:(正确答案:多虚多。 本例中,将多台服务器整合为一个虚拟化资源池,并根据需求会虚拟出多个虚拟机,所以,属于多虚多方式。)解析:(3).问题 3常用存储方式包括 FC-SAN、IP-SAN,本案例中,服务器虚拟化改造完成后,操作系统和业务数据分别采用什么方式在业务存储系统上存储?服务器本地磁盘存储什么数据?请说明原因。(分数:2.00)_正确答案:(正确答案
21、:1操作系统采用 FCSAN 方式存储、业务数据采用 IP-SAN 方式存储。 2本地磁盘存储虚拟化软件数据。 3FC-SAN 高速度、低延迟、高稳定性适合存储操作系统数据;IP-SAN 高利用率、扩展性强、维护管理便捷适合存储业务数据。)解析:(4).问题 4常见备份方式主要有 Host-Base、LAN-Base、LAN-Free、Server-Free,为该企业选择备份方式,说明理由。(分数:2.00)_正确答案:(正确答案:1IAN-Base。 2本例中,备份的数据传输以网络为基础,配置一台服务器作为备份服务器,负责整个系统的备份管理,完全符合 LAN-Base 备份方式。)解析:(5
22、).问题 5服务器虚拟化改造完成后,每台宿主机承载的虚拟机和应用会更多,可能带来什么问题?如何解决?(分数:2.00)_正确答案:(正确答案:1可能会出现服务器虚拟化和存储虚拟化网络带宽瓶颈。 2网络交换机、防火墙、服务器 14、存储虚拟化服务器 12 均升级为万兆网络带宽。)解析:解析:本题考查存储系统、服务器虚拟化的设计及优化相关知识。 此类题目要求考生了解常用磁盘类型的优缺点,熟悉服务器虚拟化的总体规划,了解服务器虚拟化常见问题,并具备解决问题和优化性能的能力。要求考生具有服务器虚拟化和存储系统规划和管理的实际经验。 问题 1 SATA 硬盘通常采用较低的转速(常见为 7200rpm)和
23、较短平均无故障工作时间(MTBF),单盘容量大(常见为 1TB、4TB 或者更大),价格便宜,常用于容量要求较大、事务性处理少、数据可用性非关键指标的应用中。 SAS 硬盘通常采用较高的转速(10000rpm 或 15000rpm)和更长平均无故障工作时间(MTBF),单盘容量较小(常见为300GB、600GB),具有更高的可靠性,相对价格较贵。常被使用于数据量大,数据可用性极为关键、可靠性要求高的应用中。 存储系统的主要性能指标为 IOPS(InputOutput Operations Per Second):即每秒读写操作的次数,指的是系统在单位时间内能处理的最大的 IO 频度。决定 IO
24、PS 的因素主要有:物理磁盘、Cache 命中率、磁盘阵列算法。 (1)物理磁盘能处理的 IOPS 是有一定限制,7200rpm 约60,10000rpm 约 100,15000rpm 约 150,由此可见,高转速的磁盘的性能更好。 (2)cache 在存储系统中主要分为读写两个方面。作为写操作,存储阵列只要求写到 Cache 就算完成了写操作,一般阵列的写是非常快速的,在写 Cache 的数据积累到一定程度时,阵列才把数据写到磁盘,实现批量的写入。作为读操作,如果能在 Cache 中命中的话,将会减少磁盘的寻道,一般响应时间则可以在 1ms 以内,否则,磁盘从寻道开始到找到数据,一般都在 6
25、ms 以上。随着 SSD 固态硬盘的普及,在一些性能要求高的存储系统上,配置几块 SSD 硬盘,作为 Cache 使用,提供 Cache 命中率。 (3)磁盘阵列算法优化和性能可不做考虑,主要由生产厂商提升。 本例中,考虑到性价比,业务存储应该选择 SAS 磁盘,备份存储应算账 SATA 磁盘。可以采用更高转速磁盘、配置高速缓存卡、配置 SSD 磁盘做高速缓存等措施,提高存储性能。 问题 2 服务器虚拟化常见有“一虚多”“多虚多”。“一虚多”是将一台物理服务器虚拟成多台服务器,分割成多个相互独立、互不干扰的虚拟环境。“多虚多”是将多台物理服务器虚拟成逻辑服务器池,然后再将其划分为多个虚拟服务器
26、。 本例中,将四台物理服务器整合为一个虚拟资源池,再将其划分为多个服务器,其形式为典型的多虚多方式。 问题 3 SAN 指存储区域网络,目前常见的主要有 FC-SAN 和 IP-SAN。 FC-SAN 是采用 FC 协议,采用专用光纤通道传输,将光纤通道设备映射为一个操作系统可访问的逻辑驱动器,进行数据传输时,光纤链路的利用率高,传输速率达到 4Gb 以上。其高性能、低延迟、高成本等特性,适合数据传输速度要求高、高性能的业务需求。 IP-SAN 使用 iSCSI 协议,采用 IP 网络通道传输,当前普遍千兆网络环境下,进行数据传输时,链路的利用率和传输速率比 FC 通道传输低很多。其低成本、开
27、放性好,网络适应能力强,容易实现远程数据访问,共享存储资源,提高资源利用率等特性,适合数据访问速度要求不高,大容量,低成本投入等业务需求。 本例中,操作系统对数据传输速度要求高和高性能需求,应采用 FC-SAN;业务数据主要是指非机构化文档的存储,对数据访问速度要求不高,而容量大,应采用 IP-SAN。本例中,特别说明虚拟化改造采用裸金属架构,那么虚拟化软件就应直接安装硬件上,接管所有硬件资源,所以,服务器本地磁盘会存储虚拟化软件。 问题 4 LAN-Base 备份结构中,以网络为基础进行数据的传输,其中配置一台服务器作为备份服务器,由它负责整个系统的备份操作。备份存储系统(磁带库或者磁盘阵列
28、)则接在某台服务器上,在数据备份时备份对象把数据通过网络传输到备份存储系统中实现备份。 本例中,配置单独的备份服务器,并通过网络,将业务存储系统的数据备份到备份存储中,符合 LAN-Base 备份结构。 问题 5 本例中,业务数据采用 IP-SAN 方式存储,备份采用 LAN-Base,以上业务都依赖网络传输,同时每台物理服务器上会划分更多的虚拟机,但是上述网络传输为千兆,每台物理服务器上的虚拟机都共享该设备的网络带宽,当虚拟机数量增多后,可能会出现网络带宽瓶颈。 针对上述问题,需要提升网络带宽,可以采用端口聚合适当提升网络带宽,也可以升级到万兆网络带宽。三、试题三(总题数:1,分数:8.00
29、)阅读下列说明,回答问题 1 至问题 4,将解答填入答题纸的对应栏内。说明图 31 是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web 网站和在线销售管理服务系统采用 JavaEE 开发,中间件使用 Weblogic,采用访问控制、NAT 地址转换、异常流量检测、非法访问阻断等网络安全措施。 (分数:8.00)(1).问题 1根据网络安全防范需求,需在不同位置部署不同的安全设备,进行不同的安全防范,为上图中的安全设备选择相应的网络安全设备。在安全设备 1 处部署(1);在安全设备 2 处部署(2);在安全设备3 处部署(3)。(1)(3)备选答案:A.防火墙
30、B.入侵检测系统(IDS)C.入侵防御系统(IPS)(分数:2.00)_正确答案:(正确答案:(1)A (2)B (3)C)解析:(2).问题 2在网络中需要加入如下安全防范措施:A.访问控制 B.NATC.上网行为审计 D.包检测分析E数据库审计 FDDoS 攻击检测和阻止 G服务器负载均衡 H异常流量阻断 I漏洞扫描 JWeb 应用防护其中,在防火墙上可部署的防范措施有(4);在 IDS 上可部署的防范措施有(5);在 IPS 上可部署的防范措施有(6)。(分数:2.00)_正确答案:(正确答案:(4)ABF (5)D (6)HJ)解析:(3).问题 3结合上述拓扑,请简要说明入侵防御系统
31、(IPS)的不足和缺点。(分数:2.00)_正确答案:(正确答案:1单点故障 2性能瓶颈 3误报率和漏报率 4匹配规则库更新)解析:(4).问题 4该企业网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告,报告内容包括:1利用 Java 反序列化漏洞,可以上传 jsp 文件到服务器。2可以获取到数据库链接信息。3可以链接数据库,查看系统表和用户表,获取到系统管理员登录账号和密码信息,其中登录密码为明文存储。4使用系统管理员帐号登录销售管理服务系统后,可以操作系统的所有功能模块。针对上述存在的多处安全漏洞,提出相应的改进措施。(分数:2.00)_正确答案:(正确答案:1升级该漏洞的补
32、丁 2数据库链接信息加密保存 3销售服务系统链接数据库的用户取消查询系统表的权限 4用户密码信息加密保存 5系统管理员权限过大,优化用户权限 6过滤 Wleblogic T3 协议)解析:解析:本题考查是否具有网络安全管理和解决问题的实际经验,熟悉常用网络安全设备的部署、功能等相关知识。此类题目要求考生对题目给出的网络拓扑结构和漏洞报告进行分析,按照要求回答相关问题。 问题 1 防火墙一般作为网络边界防护设备,部署在网络的总出口处,本例中应部署在安全设备 1的位置;入侵检测系统一般作为旁路部署,进行网络行为检测分析,本例中应部署在安全设备 2 的位置;入侵防御系统一般部署在业务服务器区域或者重
33、要业务系统的网络出口处,主要进行应用层的安全防护,实时阻断网络攻击,本例中应部署在安全设备 3 的位置。 问题 2 根据安全设备的主要功能和防范能力,结合问题 2 中给出的防范措施,防火墙主要可部署的有访问控制、NAT(网络地址转换)、DDoS 攻击检测和阻止;IDS 主要可部署的有包检测分析;IPS 主要可部署的有异常流量阻断、Web 应用防护。剩余的其他防范措施中,上文行为审计一般部署在上网行为管理系统上,数据库审计一般部署在安全审计系统上,服务器负载均衡一般部署在负载均衡系统上,漏洞扫描一般部署在漏洞扫描系统上。本题中,只列出防火墙、IDS、IPS 的主要功能,并不是该类设备的全部功能,
34、考生需要注意。 问题 3 入侵防御系统一般串接在网络中,通过匹配特征库,对入侵活动和攻击性网络流量进行拦截,容易造成单点故障,会影响网络性能,特征库也需要及时更新,同时也存在一定的漏报率和误报率。 问题 4 1“利用 Java 反序列化漏洞,可以上传 jsp 文件到服务器。”针对该漏洞,应更新 java 类包,修补漏洞。另外,本例中中间件采用weblogic,而 weblogic 是通过 T3 协议来传输序列化的类,并且 T3 协议和 Web 协议共用同一个端口,利用 Java 反序列化漏洞,通过 T3 协议,很容易实现文件的上传,可以借助负载均衡等设备,只转发 http协议,过滤 T3 协议
35、,实现漏洞的封堵。 2“可以获取到数据库链接信息。”针对该漏洞,应该加密数据库链接信息,存储在隐蔽位置最好,也可以将数据库链接交由 weblogic 管理,因为 weblogic 对数据库链接信息实行加密存储。 3“可以链接数据库,查看系统表和用户表,获取到系统管理员登录账号和密码信息,其中登录密码为明文存储。”针对该漏洞,应该调整数据库用户权限,取消业务用户访问数据库系统表的权限,同时,数据库中,登录账号、密码等敏感信息要加密存储。 4“使用系统管理员帐号登录销售管理服务系统后,可以操作系统的所有功能模块。”该漏洞中,系统管理员的权限过大,应该将系统中的管理权限和业务权限分离,优化系统权限管理。
