1、网络规划设计师-网络规划与设计案例分析(三)及答案解析(总分:100.02,做题时间:90 分钟)一、B试题一/B(总题数:1,分数:20.00)说明阅读下列说明,回答下列问题。某单位的计算机网络结构如下图所示。*(分数:20.01)(1).如果单位想把员工分组,每组的信息相互隔离,另外,保证每个员工能独享 10Mbps 带宽,请指出:最简单的升级方式是什么?对新设备的功能和性能有什么要求(接入的计算机数量不大于 20 个,要说明如何实现分组的信息隔离)。(分数:6.67)_(2).随着单位规模的扩大,企业网络发展成了如下图所示的结构。公用服务器均位于主网段。主网段没有用户,均为公用设备。用户
2、均匀分布在网段 1、网段 2 和网段 3。*假定条件如下:网段 1、2、3 大致相同,不考虑协议封装的开销。用户收发邮件量大体相同。内部交流属于用户之间的 P2P 流量,80%的流量发生在网段内部用户之间,20%的流量发生在不同网段的用户之间,且平均分配流量。办公系统均为用户访问服务器,按上行、下行不对称的一般原则分配流量。视频监控流量按用户比例在不同网段之间平均分配,属于 P2P 流量。请根据表 1 中已有的信息将出流量、入流量和网内流量填写完整;将表 2 的目的网段和总流量填写完整。 表 1 网段 2 用户流量分析表业务种类 平均用户数 每用户平均流量 总流量 出流量 入流量 网内流量邮件
3、 150 0.32Mbps 48Mbps办公系统 300 0.16Mbps 48Mbps视频监控 20 2.4Mbps 48Mbps内部交流 600 0.008Mbps 4.8Mbps表 2 网段 2 的总流量分配表流量分布 源网址 目的网段 总流量网段内部 2访问服务器 2服务器反馈 主网段P2P 2(分数:6.67)_(3).请计算出接入路由器内部交换流量、网段至主网段流量、网段之间流量和总流量。 (2)请计算出核心路由器的出、入流量和总流量。 (3)在 10/100/1000Mbps 的局域网技术中,应该选择哪一个作为网段内部互联技术(说明对路由器交换容量的最小要求)? (4)在 10/
4、100/1000Mbps 的局域网技术中,应该选择哪一个作为网段至主网段互联技术(说明对路由器交换容量的最小要求)? (5)如果主网段和网段之间协议开销最大可增加 20%流量,是否需要升级网络?如果需要升级,最佳方案是什么?如果不需要升级,请说明原因。(分数:6.67)_二、B试题二/B(总题数:1,分数:20.00)说明阅读以下关于某机构网络的叙述,回答下列问题。某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务器1 台,内部文件传输(FTP)服务器 1 台,网页(Web)服务器 1 台,邮件服务器 1台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机、内部数据
5、库和文件传输(FTP)服务器对外不可见。(分数:20.01)(1).请划分该机构网络的安全区域和安全级别,说明各机器属于哪个区域和级别。(分数:6.67)_(2).为提高安全性,请设计该机构网络的防火墙方案,并给出防火墙相关规则的配置策略。(分数:6.67)_(3).如果想要监听、检测内部办公计算机之间的连接和攻击,应该在何位置配置何种设备?(分数:6.67)_三、B试题三/B(总题数:1,分数:20.00)说明阅读以下关于某大学校园网的叙述,回答下列问题。某大学校园网经过多年的建设已初具规模,由于校内相关的科研单位有接入到以 IPv6 为核心的下一代互联网中进行相关研究的需求,同时,为了积极
6、探索解决学校公网 IPv4 地址的短缺、现有网络安全等方面的问题,学校网络中心计划对现有校园网进行 IPv6 技术升级。学校现有的网络拓扑如下图所示。(1)接入层:完成 IPv4 用户接入,设备是二层接入交换机和三层接入交换机。(2)汇聚层:完成接入用户的汇聚,汇聚交换机是盒式或机架式三层交换机,目前不支持 IPv6 业务。(3)核心层:是整个网络的核心(机架式三层交换机,目前不支持 IPv6 业务),同时连接外部网络的出口,是整个园区网业务流量通,是 IPv4 主干网或者IPv6 主干网的必经之路。*(分数:20.00)(1).为了实现 IPv4 网络向 IPv6 网络的过渡和转换,IETF
7、 制订的解决过渡问题的基本技术方案有 3 种。在进行 IPv6 升级的初期,由于教学科研区访问 IPv6 网络的需求比较迫切,学校希望花费较少的资金就能使教学科研区访问 IPv6 网络上的相关资源,简述 3 种技术方案的要点,并依据需求进行过渡技术方案选择。(分数:5.00)_(2).随着网络建设的不断升级,为把校园网积极推进到以 IPv6 为核心的下一代互联网中,要求学生区和教学科研区的 IPv6 用户能够访问 IPv6 网络资源,同时实现这两个区域之间 IPv6 资源的互访。(1)基于上述的需求,对过渡方案进行了调整,网络结构如下图所示,请在尽量节省资金的情况下给出该校园网 IPv6 技术
8、升级的过渡方案,并进行设备升级和网络调优(网络设备调整等)的方案设计。*(2)因家属区个别用户也想接入到 IPv6 网络中访问相关资源,现在核心交换机 2 上开启 ISATAP 隧道,隧道服务器地址为 。若家属区客户机为 Windows XP(sp1 及以上),完成下面的步骤,使得客户机能够通过 ISATAP 隧道接入IPv6 网络。C:/安装 JPv6 协议C:/设置隧道终点(分数:5.00)_(3).邻居发现协议(Neighbor Discovery Protocol, NDP)是 IPv6 的一个关键协议,它组合了 IPv4 中的ARP、ICMP 路由器发现和。ICMP 重定向等协议,并
9、对它们做了改进,作为 IPv6 的基础性协议,NDP 还提供了前缀发现、邻居不可达检测、重复地址监测、地址自动配置等功能。进行 IP 地址规划及路由方案设计,包括以下几点: (1)在现阶段网络的 IPv6 技术升级中,IPv6 地址分配的两种分配机制是什么? (2)在本方案中,服务器端和用户端分别采用的 IPv6 地址分配机制是什么? (3)在 IPv4 的网络中,校园网内部路由协议采用 OSPF,在 IPv6 的网络中采用的路由协议是什么? (4)接入到 IPv6 网络中的边界路由器采用何种接入方式。(分数:5.00)_(4).近年来国家大力推进 IPv4 向 IPv6 的过渡,但是基于 I
10、Pv6 的网络部署还不能达到国家的战略要求。 (1)你认为影响 IPv6 发展的因素主要有哪些? (2)对于学校现有 IPv6 网络运维的建议。(分数:5.00)_四、B试题四/B(总题数:1,分数:20.00)说明阅读以下关于某国有大型煤化集团数据中心的叙述,回答下列问题。近年来,云计算技术的蓬勃发展为整个 IT 行业带来了巨大变革。传统数据中心已经难以满足新形势下日益增长的高性能、高性价比需求,并且无法支持云环境下更加灵活的按带宽租赁数据中心网络的运营方式。该集团随着信息系统业务的不断扩展上线,对高密度服务器及高度自动化管理系统的需求不断增长,建设云数据中心的需求应运而生。(分数:20.0
11、0)(1).如下图所示,依据集团总部业务应用的需求,集团数据中心网络按功能将划分为 7 大区:核心交换区、核心业务区,办公区、互联网接入区、运维管理区、广域网接入区、外联业务区。二级板块及其下属子分公司可参考建立符合自身情况的局域网络。你认为这 7 大区域应该如何分布,请根据下图所示填写下图中(1)(7)区域名称。*(分数:5.00)_(2).云数据中心是指以客户为中心、以服务为导向,基于高效、低能耗的 IT 与网络基础架构,利用云计算技术,自动化地按需提供各类云计算服务的新一代数据中心。云数据中心是传统数据中心的升级,是新一代数据中心的演进方向。 (1)请简述云数据中心的特点。 (2)云计算
12、的关键技术有虚拟化技术、分布式计算技术、安全与隐私保护技术等,请简要说明云数据中心在 IT 基础设施虚拟化技术方面主要包括哪些技术。(分数:5.00)_(3).为增强该集团业务应用系统、重要数据的可用性,抵御灾难发生时带来的风险,该集团按照国家要求需要建设两地三中心的容灾备份方案。两地三中心是指主数据中心、同城灾备及异地灾备中心。两地三中心机房为业务应用系统建设提供基础配套设施。请画图说明两地三中心的数据中心架构采用的网络互联拓扑方案,并给出理由。(分数:5.00)_(4).该集团数据存储量巨大,生产数据、安全数据及测试数据等需要进行频繁的快速读/写,为保障这种应用的需求,该集团希望在数据中心
13、的数据存储方式上既要保证存储的可扩展性还要保证数据的快速访问,同时对新服务器的部署也要考虑快速部署。 数据中心中数据采用的存储方式主要有 DAS、NAS、SAN 3 种,请分别描述 3 种存储方式的原理,并根据集团要求设计在该集团的数据中心建设中应采用的存储方式,叙述采用这种方式的优点。(分数:5.00)_五、B试题五/B(总题数:1,分数:20.00)说明阅读以下关于一卡通信息化建设平台的叙述,回答下列问题。某部队院校早期的一卡通建设方案主要为保障校内师生的图书、食宿、医疗等服务,系统包括了一卡通专网建设、一卡通平台建设、一卡通数据中心及校园门禁与校园网视频监控等内容。行政办公、家属区、食堂
14、、学生宿舍、开水房等营业网点通过汇聚交换机接入核心交换机,服务器及存储设备直接连接核心交换机,网络拓扑结构如下图所示。*由于部队的医疗服务具有较高的知名度,经研究决定,扩大一卡通营业范围以方便社会人群的就医,具体安全要求如下:(1)新增外部应用网点和分部办事处,通过安全设备来进行远程接入,要求能提供主动、实时的防护,对网络中的数据流进行逐字节的检查,对攻击性的流量进行自动拦截。(2)由于互联网的引入,需要相应的安全措施来保障部队院校行政办公的安全。(3)需要提供安全审计功能,来识别、存储安全相关行为。(分数:20.00)(1).依据一卡通业务扩大的需求及安全要求,设计解决方案,画出修改后的网络
15、拓扑结构,并标注采用的硬件设备及相关安全技术。(分数:5.00)_(2).传统的防火墙存在只能对网络层和传输层进行检查,无法阻止内部人员的攻击等缺点。IDS 和 IPS 技术却能在应用层对数据流进行分析,并在网络遭受攻击之前进行报警和响应,针对部署的方式和实现的原理对 IDS 和 IPS 进行比较。(分数:5.00)_(3).随着加密、隧道、认证等技术的发展,在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条安全的通信线路,就可以为企业各部门提供安全的网络互联服务。针对该单位网络情况,请给出至少两种新增外部应用网点与公司核心交换机远程接入方案。(分数:5.00)_(4).
16、安全审计能够检测和制止对安全系统的入侵、发现计算机的滥用情况、为系统管理员提供系统运行的日志,从而能发现系统入侵行为和潜在的漏洞,以及对已经发生的系统攻击行为提供有效的追纠证据。请叙述安全审计的工作流程。(分数:5.00)_网络规划设计师-网络规划与设计案例分析(三)答案解析(总分:100.02,做题时间:90 分钟)一、B试题一/B(总题数:1,分数:20.00)说明阅读下列说明,回答下列问题。某单位的计算机网络结构如下图所示。*(分数:20.01)(1).如果单位想把员工分组,每组的信息相互隔离,另外,保证每个员工能独享 10Mbps 带宽,请指出:最简单的升级方式是什么?对新设备的功能和
17、性能有什么要求(接入的计算机数量不大于 20 个,要说明如何实现分组的信息隔离)。(分数:6.67)_正确答案:(1)用二层交换机取代 10Mbps 共享式集线器。 (2)二层交换机需要支持 VLAN 功能,通过VLAN 的划分,不同的 VLAN 对应不同的员工组,VLAN 之间的信息相互隔离。 (3)VLAN 策略可以通过基于交换机物理端口的策略来划分。员工接入不同的端口即加入不同的 VLAN,实际上等于加入了不同的组。 (4)对交换机性能方面,可以使用 24 端口的 10/100Mbps 自适应以太网交换机。 (5)背板交换容量最低应达到 10242=480Mbps。如果考虑所有端口 10
18、0Mbps 的速率,则背板交换容量最低应达到 4.8Gbps。)解析:本题重点考查网络规划设计中的通信流量分析和依据流量对网络设备的选择。 本问题主要考查对VLAN、共享式以太网、交换式以太网的理解。 VLAN 可以把 LAN 划分成逻辑上信息隔离的区域。 共享式以太网连接时,连接在共享式集线器(Hub)上的所有计算机站点共享相同的带宽。 交互式以太网连接需要二层以太网交换机,每个端口连接一个计算机设备。交换式以太网可以实现独享带宽。VLAN 的划分必须是基于二层交换设备。集线器(Hub)不支持 VLAN 功能。 VLAN 的实现策略有很多种类,简单的是基于二层交换机的物理端口划分 VLAN。
19、其他 VLAN 划分策略还有 MAC 地址、基于 IP 地址或协议等。 交换机性能计算原则:一个端口连接一台计算机。背板交换容量计算公式是: 交换机背板交换容量=交换机端口数每端口的标称速率全双工系数。如果交换机支持全双工,则全双工系数为 2;如果只支持半双工,则全双工系数为 1。 二层交换机的端口数据一般是 8、16、24、48。20 台计算机可选择 24 端口的交换机。(2).随着单位规模的扩大,企业网络发展成了如下图所示的结构。公用服务器均位于主网段。主网段没有用户,均为公用设备。用户均匀分布在网段 1、网段 2 和网段 3。*假定条件如下:网段 1、2、3 大致相同,不考虑协议封装的开
20、销。用户收发邮件量大体相同。内部交流属于用户之间的 P2P 流量,80%的流量发生在网段内部用户之间,20%的流量发生在不同网段的用户之间,且平均分配流量。办公系统均为用户访问服务器,按上行、下行不对称的一般原则分配流量。视频监控流量按用户比例在不同网段之间平均分配,属于 P2P 流量。请根据表 1 中已有的信息将出流量、入流量和网内流量填写完整;将表 2 的目的网段和总流量填写完整。 表 1 网段 2 用户流量分析表业务种类 平均用户数 每用户平均流量 总流量 出流量 入流量 网内流量邮件 150 0.32Mbps 48Mbps办公系统 300 0.16Mbps 48Mbps视频监控 20
21、2.4Mbps 48Mbps内部交流 600 0.008Mbps 4.8Mbps表 2 网段 2 的总流量分配表流量分布 源网址 目的网段 总流量网段内部 2访问服务器 2服务器反馈 主网段P2P 2(分数:6.67)_正确答案:(网段 2 用户流量分析表如下表。 业务种类 平均用户数 每用户平均流量 总流量 出流量 入流量 网内流量邮件 150 0.32Mbps 48Mbps 24Mbps 24Mbps 无办公系统 300 0.16Mbps 48Mbps 9.6Mbps 38.4Mbps无视频监控 20 2.4Mbps 48Mbps 16Mbps 16Mbps 16Mbps内部交流 600
22、0.008Mbps 4.8Mbps0.48Mbps0.48Mbps3.84Mbps网段 2 的总流量分配表如下表。 流量分布 源网段 目的网段 总流量网段内部 2 2 3.84+16=19.84Mbps访问服务器 2 主网段 24+9.6=33.6Mbps服务器反馈 主网段 2 24+38.4=62.4MbpsP2P 2 网段 1 和网段 332+0.96=32.96Mbps)解析:(1)通信流量分布的简单规则。 在通信规范分析中,最终的目标是产生的通信量,其中,必要的工作是分析网络中信息流量分布问题。在整个过程中,需要依据需求分析的结果来产生单个信息流量的大小,依据通信模式、通信边界的分析,
23、明确不同信息流在网络不同区域、边界的分布,从而获得区域、边界上的总信息流量。 对较为简单的网络,可以不需要进行复杂的通信流量分布分析,仅采用一些简单的方法,例如:80/20 规则、20/80 规则等;但是对于复杂的网络,仍必须进行复杂的通信流量分布分析。 (2)80/20 规则。 80/20 规则是传统网络中广泛应用的一般规则。80/20 规则是基于这样的可能性:在一个网段中,通信流量的 80%是在该网段内流动,只有 20%的通信流量是访问其他网段。 80/20 规则适用于内部交换较多、外部访问相对较少、网络较为简单、不存在特殊应用的网络或网段。 (3)20/80 规则。 随着互联网的发展,一
24、些特殊的网络不断产生,例如,小区内计算机用户形成的局域网、大型公司用于实现远程协同工作的工作组网络等。这些网络的特性就是:网段的内部用户之间相互访问较少,大多数网络访问都是对网段外的资源进行访问。对应这些流量分布则位于另一个极端,可以采用 20/80 规则。 20/80 规则的思路是:根据对用户和应用需求的统计,计算网段内的通信总量,其中,20%的通信量是在该网段内流动,80%的通信流量是访问外部网段。 80/20 规则和 20/80 规则虽然比较简单,但这些规则是建立在大量的工作经验基础上的;另外,通过这些规则的应用,可以很快完成一个复杂网络中大多数网段的通信流量分析工作,可以合理减少大型网
25、络中的设计工作量。 (4)通信流量分析步骤。 步骤一:把网络分成易管理的网段。 步骤二:确定个人用户和网段应用的通信流量。 步骤三:确定本地和远程上的通信流量。 步骤四:对每个网段重复步骤一、步骤二、步骤三。 步骤五:分析基于各网段信息的广域网和骨干网络的通信流量。 (5)常见互联网业务流量规则。 E-mail:发送邮件和接收邮件(只与邮件服务器发生流量)。视为对等流量,即 50%流出,50%流入。 Web:浏览网络,从 Web 下载的流量大(只与 Web 服务器发生流量)。使用 20/80 规则。流出:20%,流入 80%。 FTP 或文件共享业务:等同电子邮件业务(只与 FTP 或文件共享
26、服务器发生流量)。50%流出,50%流入。 办公自动化业务:等同 Web 业务(只与办公自动化服务器发生流量)。20%流出,80%流入。 视频监控:属于 P2P 业务类型(用户之间发生流量),在内部网络中流量平均分配。 内部交流:属于 P2P 业务类型(用户之间发生流量),80%发生在网段内部,20%发生在网段之间。 根据问题 2 给出的条件,网段 2 的流量计算如下: 电子邮件业务:总流量 48Mbps,50%流出本网段24Mbps,50%流入本网段 24Mbps。无内部流量。 办公系统:总流量 48Mbps,20%流出本网段 9.6Mbps,80%流入本网段 38.4Mbps。无内部流量。
27、 视频监控:总流量 48Mbps,3 个网段平均分配,则外部流量占 2/3,为 32Mbps,流入、流出各占 50%,即流入 16Mbps,流出 16Mbps;网内流量占 1/3,即 16Mbps。 内部交流:总流量 4.8Mbps,20%网段之间流量,出入平均分配,则流出 0.48Mbps,流入 0.48Mbps;80%网段内部,即 3.84Mbps。(3).请计算出接入路由器内部交换流量、网段至主网段流量、网段之间流量和总流量。 (2)请计算出核心路由器的出、入流量和总流量。 (3)在 10/100/1000Mbps 的局域网技术中,应该选择哪一个作为网段内部互联技术(说明对路由器交换容量
28、的最小要求)? (4)在 10/100/1000Mbps 的局域网技术中,应该选择哪一个作为网段至主网段互联技术(说明对路由器交换容量的最小要求)? (5)如果主网段和网段之间协议开销最大可增加 20%流量,是否需要升级网络?如果需要升级,最佳方案是什么?如果不需要升级,请说明原因。(分数:6.67)_正确答案:(接入路由器: 内部交换流量=19.84Mbps。 网段 2 和主网段流量=48Mbps+48Mbps=96Mbps。 网段之间的流量=32.96Mbps。 网段 2 总流量=483+4.8=148.8Mbps。 (2)核心路由器: 网段 1、2、3 与主网段之间总流量:96Mbps3
29、=288Mbps。 其中,主网段到网段 1、2、3 流量:(24+38.4)3=187.2Mbps。 网段 1、2、3 到主网段流量:(24+9.6)3=100.8Mbps。 网段之间的转发流量:32.96Mbps3=98.88Mbps。 总流量:288Mbps+98.88Mbps=386.88Mbps。 (3)网段 2 内部流量为19.84Mbps,网段 2 接入路由器总流量为 96+32.96=128.96Mbps。 所以,网段交换机互连选择 100Mbps 以太网技术,接入路由器背板交换容量在 200Mbps 以上。 (4)网段 2 到服务器上行流量为33.6+32.96/2=50.08
30、Mbps,下行流量为 62.4+32.96/2=78.88Mbps。 所以,接入路由器和核心路由器之间的链路应为 100Mbps 全双工以太网链路。 主网段到网段 1、2、3 流量(24+38.4)3=187.2Mbps。网段1、2、3 到主网段流量:(24+9.6)3=100.8Mbps。核心路由器总流量为 386.88Mbps。 所以,主网段和核心路由之间的链路应选择 1000Mbps 以太网技术连接,核心路由器背板交换容量在 400Mbps 以上。 (5)因为增加 20%开销后,核心路由器总流量为:386.881.2=464.254Mbps。所以,需要升级核心路由器背板交换容量升级至 6
31、00Mbps 以上,链路带宽可满足要求。)解析:问题 3 依据问题 2 的流量分布进行计算。 按 3 个子网段相同来计算,以网段 2 为例。 接入路由器内部流量: 视频监控内部流量 16Mbps+内部交流内部流量 3.84Mbps。 网段至主网段流量(出流量+入流量):48+48=96Mbps。 网段之间的流量(出流量+入流量):32+0.96=32.96Mbps。 总流量:483+4.8=148.8Mbps。 核心路由器: 网段之间转发流量(出流量+入流量):32.96Mbps3=98.88Mbps。 网段到主网段流量(出流量+入流量):96Mbps3=288Mbps。 总流量:386.88
32、Mbps。 路由背板交换容量选择原则:大于总流量,并有 20%30%的冗余,取 200Mbps 的整数倍。二、B试题二/B(总题数:1,分数:20.00)说明阅读以下关于某机构网络的叙述,回答下列问题。某机构打算新建一个网络,其中有内部办公计算机若干台,内部数据库服务器1 台,内部文件传输(FTP)服务器 1 台,网页(Web)服务器 1 台,邮件服务器 1台。要求能对外提供万维网(WWW)访问和邮件服务,内部办公计算机、内部数据库和文件传输(FTP)服务器对外不可见。(分数:20.01)(1).请划分该机构网络的安全区域和安全级别,说明各机器属于哪个区域和级别。(分数:6.67)_正确答案:
33、(整个网络分为 3 个不同级别的安全区域。 (1)内部网络:安全级别最高,是可信的、重点保护的区域。包括所有内部办公计算机、内部数据库服务器和内部 FTP 服务器。 (2)外部网络:安全级别最低,是不可信的、要防备的区域。包括外部因特网用户主机和设备。 (3)DMZ 区域(非军事化区):安全级别中等,因为需要对外开放某些特定的服务和应用,受一定的保护,是安全级别较低的区域。包括对外提供 WWW 访问和邮件服务的 Web 服务器和邮件服务器。)解析:本题涉及网络安全区域的划分、防火墙和入侵检测等方面的内容。 要保障一个网络系统的安全,首先,应该分析该网络系统的特点和安全需求,分析对外需提供的服务
34、,评估需要保护数据的安全级别和面临的风险,划分不同的安全区域;然后,再制定系统安全策略,决定实现时采用何种方式和手段。 本题所述机构的网络中有内部数据库服务和内部文件传输服务器各 1 台,内部办公计算机若干台。服务器上存储的数据信息量大,且是内部数据,安全级别要求最高,内部办公计算机处理的数据也是内部数据,不对外公开,其安全级别也可定位最高。因此,这些机器应该统一划分在同一个安全区域,以便采用统一的安全策略来实施重点保护。 本题所述机构的网络中有网页(Web)服务器和邮件服务器各 1 台。由于要求能对外提供万维网(WWW)访问服务和邮件服务,则这两台服务器对本机构网络外部的设备是可见的,外部设
35、备会访问这两台服务器,从而受到外网不安全因素的威胁,其安全级别会降低。因此不能同内部服务器等放在同一区域,以免在遭受攻击时影响内部网络。这两台服务器应该统一划分在同一个安全区域,以便采用统一的安全策略来统一实施保护,以保证能对外提供正常的服务。 本机构网络之外的因特网设备和主机,能访问该机构网络中的 Web 服务器和邮件服务器,这部分设备和主机是不可信的、要防备的区域,安全级别最低,可划分为同一个安全区域。(2).为提高安全性,请设计该机构网络的防火墙方案,并给出防火墙相关规则的配置策略。(分数:6.67)_正确答案:(方案说明中包括 DMZ 区,外部防火墙、内部防火墙两个防火墙(屏蔽路由器)
36、。 配置策略: 外部防火墙(屏蔽路由器)的访问策略:允许外部网络客户访问 DMZ 区的 WWW 服务器提供的 WWW 服务和邮件服务器提供的邮件服务,其他禁止。 内部防火墙(屏蔽路由器)的访问策略:允许内部网客户访问外部网络,不允许外部网络客户访问内部网;允许内部网客户访问 DMZ 区,不允许 DMZ 区网络客户访问内部网。)解析:防火墙体系结构有以下 4 种。 (1)屏蔽路由器(Screening Router)。这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于 IP 层的报文
37、过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。 单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。 (2)双宿主机网关(Dual Homed Gateway)。任何拥有多个接口卡的系统都被称为多宿的,双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等。 双宿主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件备份日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确
38、认内网中哪些主机可能已被黑客入侵。 双宿主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。 (3)被屏蔽主机网关(Screened Host Gateway)。屏蔽主机网关易于实现,也很安全,因此应用广泛。例如:一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。 如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么,内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。
39、网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。 (4)被屏蔽子网(Screened Subnet)。这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网机及所有连接内网、主外网和屏蔽子网的路由器。 如果攻击者试图完全破坏防火墙,他必须重新配
40、置连接 3 个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这科,情况下,攻击者先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。(3).如果想要监听、检测内部办公计算机之间的连接和攻击,应该在何位置配置何种设备?(分数:6.67)_正确答案:(应配置 IDS(入侵检测系统)。 应接在交换机端口上,并在交换上配置镜像端口,以获取内网数据包信息。)解析:防火墙和操作系统加固技术等传统安全技术都是静态安全防御技术,不能提供足够的安全性;入侵检测系统能使
41、系统对入侵事件和过程做出实时响应,提供系统的动态安全性。 入侵检测系统是通过从计算机网络和系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定措施的技术。 入侵检测系统包括 3 部分内容:信息收集、信息分析和响应。其中收集信息的可靠性和正确性在很大程度上决定了入侵检测系统的有效性和准确性。需要在合适的位置上旋转,以保证采集信息的准确性和充足性。三、B试题三/B(总题数:1,分数:20.00)说明阅读以下关于某大学校园网的叙述,回答下列问题。某大学校园网经过多年的建设已初具规模,由于校内相关的科研单位有接入到以 IPv6
42、为核心的下一代互联网中进行相关研究的需求,同时,为了积极探索解决学校公网 IPv4 地址的短缺、现有网络安全等方面的问题,学校网络中心计划对现有校园网进行 IPv6 技术升级。学校现有的网络拓扑如下图所示。(1)接入层:完成 IPv4 用户接入,设备是二层接入交换机和三层接入交换机。(2)汇聚层:完成接入用户的汇聚,汇聚交换机是盒式或机架式三层交换机,目前不支持 IPv6 业务。(3)核心层:是整个网络的核心(机架式三层交换机,目前不支持 IPv6 业务),同时连接外部网络的出口,是整个园区网业务流量通,是 IPv4 主干网或者IPv6 主干网的必经之路。*(分数:20.00)(1).为了实现 IPv4 网络向 IPv6 网络的过渡和转换,IETF 制订的解决过渡问题的基本技术方案有 3 种。在进行 IPv6 升级的初期,由于教学科研区访问 IPv6 网络的需求比较迫切,学校希望花费较少的资金就能使教学