高級網(wǎng)絡規(guī)劃設計師案例分析

精品文檔-下載后可編輯高級網(wǎng)絡規(guī)劃設計師案例分析高級網(wǎng)絡規(guī)劃設計師案例分析

問答題（共6題，共6分）

1.證券公司A擁有總部網(wǎng)絡和多個營業(yè)部網(wǎng)絡，在各地營業(yè)部網(wǎng)絡和總部網(wǎng)絡之間通過互聯(lián)網(wǎng)網(wǎng)絡連接。每個營業(yè)部大約有員工50~60多人。具體拓撲如圖1所示。

【問題1】（10分）

根據(jù)券商網(wǎng)絡安全防范需求，需在不同位置部署不同的安全設備，進行不同的安全防范。

為了避免券商網(wǎng)站服務器被非法攻擊和篡改，需要部署（1）

為了方便分析網(wǎng)絡攻擊和網(wǎng)絡訪問情況，同時對日志進行備份，需要部署（2）

為了審計系統(tǒng)管理員的操作，方便系統(tǒng)管理員安全遠程管理多臺服務器與管理系統(tǒng)，需要部署（3）

為了對關鍵數(shù)據(jù)進行備份，實現(xiàn)虛擬化備份，需要部署（4）

為了規(guī)范管理員的數(shù)據(jù)庫操作，對刪除、插入字段等行為進行監(jiān)管，需要部署（5）

A.防火墻B.IDSC.IPSD.WAF

E.數(shù)據(jù)庫審計F.日志備份與審計G.堡壘機H.備份一體機

【問題2】（6分）

通常的IDS采用何種方式接入網(wǎng)絡？IPS采用何種方式接入網(wǎng)絡？IPS與IDS最大不同在哪里？

【問題3】（4分）

桌面虛擬化為券商實現(xiàn)移動辦公、構建輕型營業(yè)部、實現(xiàn)非現(xiàn)場開戶、實現(xiàn)股票行情、交易系統(tǒng)虛擬化帶來了較大的便利。但虛擬化技術并不盡人意，簡述現(xiàn)階段虛擬化技術的缺點。

【問題4】（2分）

證券行業(yè)在實現(xiàn)交易大集中后，證券公司的技術風險隨之向券商總部集中，應《網(wǎng)絡安全法》要求，券商的某交易系統(tǒng)被定為等保三級，為了確保該系統(tǒng)安全同時符合等級保護制度，該信息系統(tǒng)，應每（1）年做一次等保測評。

A.1B.2C.3D.4

【問題5】（3分）

注入語句：http：//xxx．xxx.xxx/abc.asp?pYYanduser0，不僅可以判斷服務器的后臺數(shù)據(jù)庫是否為SQL-SERVER，還可以得到(1)。

A．當前連接數(shù)據(jù)庫的用戶數(shù)量

B．當前連接數(shù)據(jù)庫的用戶名

C．當前連接數(shù)據(jù)庫的用戶口令

D．當前連接的數(shù)據(jù)庫名

2.閱讀下列說明，回答問題1至問題3，將解答填入答題紙的對應欄內?！菊f明】圖1-1是網(wǎng)企業(yè)網(wǎng)絡拓撲結構圖。根據(jù)題意，回答問題1-問題5。

【問題1】（6分）根據(jù)該公司網(wǎng)絡規(guī)劃和安全設計需求，需在相應的位置部署設備，為拓撲圖中的相應位置部署合適的安全設備。在設備1處部署(1)，在設備2處部署(2)，在設備3處部署(3)，在設備4處部署(4)，設備5處部署（5），設備6處部署（6）。(1)～(6)備選答案：A．防火墻B．入侵檢測系統(tǒng)(IDS)C．接入路由器D.FC交換機E.千兆交換機F.WAF【問題2】（6分）為了加強對數(shù)據(jù)存儲資源的管理和利用，節(jié)省設備投入。在應用服務器和數(shù)據(jù)庫服務器之間需要盡可能高速，穩(wěn)定的存儲資源池，因此適合采用（7）存儲技術，而Web服務器也希望能共享存儲資源池，根據(jù)拓撲結構圖，從技術角度考慮，只能使用（8）。（9）技術是一種可以供硬件設備使用的在（10）協(xié)議的上層運行的SCSI指令集，這種指令集可以實現(xiàn)在IP網(wǎng)絡上運行SCSI協(xié)議，能夠在千兆以太網(wǎng)上進行路由選擇。這種設計雖然能在技術上實現(xiàn)，但是可能存在（11）的安全問題?！締栴}3】（4分）存儲資源池建設中，目前主要可選的磁盤有SATA、SAS，和SSD三種。適用于大、中型企業(yè)關鍵任務資料的存儲的磁盤是（12），適合高性價比，海量資源存儲的是（13），適合大批量，小數(shù)據(jù)庫快，高隨機讀寫頻率的是（14）。這三種硬盤中，IOPS最高的是（15）?！締栴}4】（4分）在單個磁盤無法滿足高的讀寫速率是，可以使用（16）技術提高讀寫速率和數(shù)據(jù)可靠性。該技術的核心是（17），就是一個數(shù)據(jù)分成多個段，每段數(shù)據(jù)分別寫入到陣列中的不同磁盤上。為了提高傳輸?shù)男阅埽谄渌麠l件不變時應該（18）條帶大小:【問題5】（5分）若隨著存儲區(qū)域網(wǎng)絡規(guī)模的擴大，原來的FC交換機端口不夠，則可以通過（19）方式，將多個光纖交換機組成一個大規(guī)模的(20),它就像一個大型的、虛擬的（21）。

3.某測評公司依照國家《計算機信息系統(tǒng)安全保護等級劃分準則》、《網(wǎng)絡安全等級保護基本要求》、《信息系統(tǒng)安全保護等級定級指南》等標準，以及某大學對信息系統(tǒng)等級保護工作的有關規(guī)定和要求，對某大學的網(wǎng)絡和信息系統(tǒng)進行等級保護定級，按信息系統(tǒng)逐個編制定級報告和定級備案表，并指導該大學信息化人員將定級材料提交當?shù)毓矙C關備案?！締栴}1】（7分）測評公司小李分析了某大學現(xiàn)有網(wǎng)絡拓撲結構，認為學校信息系統(tǒng)網(wǎng)絡系統(tǒng)未嚴格按“系統(tǒng)功能、應用相似性”、“資產(chǎn)價值相似性”、“安全要求相似性”、“威脅相似性”等原則對現(xiàn)有網(wǎng)絡結構進行安全區(qū)域的劃分。導致網(wǎng)絡結構沒有規(guī)范化、缺少區(qū)域訪問控制和網(wǎng)絡層防病毒措施、不能有效控制蠕蟲病毒等信息安全事件發(fā)生后所影響的范圍，從而使得網(wǎng)絡和安全管理人員無法對網(wǎng)絡安全進行有效的管理。因此，小李按照學校系統(tǒng)的重要性和網(wǎng)絡使用的邏輯特性劃分安全域，具體將學校網(wǎng)絡劃分為外部接入域、核心交換域、終端接入域、核心數(shù)據(jù)域、核心應用域、安全管理域、存儲網(wǎng)絡域共7個域，具體拓撲如圖1所示。請將7個域名稱，填入圖1（1）~（7）空中。

【問題2】（8分）某高校信息中心張主任看到該拓撲圖后，認為該拓撲圖可能存在一些明顯的設計問題。請依據(jù)個人經(jīng)驗，回答下列問題。（1）核心交換域是否存在設計問題？如果存在問題，則具體問題是什么，理由是什么，該如何解決？（2）核心應用域是否存在設計問題？如果存在問題，則具體問題是什么，理由是什么，該如何解決？【問題3】（6分）測評公司小李把測評指標和測評方式結合到信息系統(tǒng)的具體測評對象上，構成了可以具體測評的工作單元。具體分為物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全、數(shù)據(jù)安全及備份恢復、安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等十個層面。通過訪談相關負責人，檢查機房及其除潮設備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災和機房潮濕屬于（8）測評；通過訪談安全員，檢查防火墻等網(wǎng)絡訪問控制設備，測試系統(tǒng)對外暴露安全漏洞情況等，測評分析信息系統(tǒng)對網(wǎng)絡區(qū)域邊界相關的網(wǎng)絡隔離與訪問控制能力屬于（9）測評；通過訪談系統(tǒng)建設負責人，檢查相關文檔，測評外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性和日后的維護工作能夠正常開展屬于（10）測評?！締栴}4】（4分）簡述部署漏洞掃描系統(tǒng)帶來的好處。

4.某大型企業(yè)早期擁有各類管理信息系統(tǒng)10多個，企業(yè)信息辦副主任老張設計了高可靠性機房，并購置了大量的服務器，用于承載相關應用。每臺服務器上運行一到兩個重要應用。近年來，企業(yè)發(fā)展迅速，企業(yè)應用迅速擴展到80多個，現(xiàn)有服務器需要淘汰一批、更新一批。信息辦小李設計了新的機房服務器擴展和存儲方案，并設計了新的服務器拓撲圖，如圖1所示。信息辦副主任老張認為，該方案還存在較多的問題，并沒有降低管理效率。但小李并不認同老張的看法。

【問題1】（6分）你同意小李的服務器配置方案嗎？并說明理由?！締栴}2】（8分）在虛擬化計算資源設計時，需要遵循一些基本的原則。請判斷并標記以下說法的正確性。（1）單個虛擬服務器配置CPU、內存可以超過物理計算資源集群中單臺物理機的最大CPU、內存配置。（）（2）單臺物理服務器上所有虛擬主機的VCPU之和不超過物理機總核心的1.5倍。（）（3）單臺物理服務器上所有虛擬主機內存之和不超過物理機內存的200%。（）（4）為了利用存儲空間，可以考慮把老舊服務器的內置硬盤利用起來，存放虛擬機。（）【問題3】（6分）（1）簡述虛擬化裸金屬架構，簡述其優(yōu)缺點。（2）簡述虛擬化寄居架構，簡述其優(yōu)缺點?！締栴}4】（2分，多選題）以下選項中（1）屬于虛擬化的關鍵特征A.分區(qū)B.隔離C.封裝D.獨立性【問題5】（3分）新服務器拓撲圖中，存儲網(wǎng)絡部分是否存在單點故障？應該如何改進？

5.以下是某公司的網(wǎng)絡拓撲圖，公司要求全網(wǎng)范圍內實現(xiàn)IP地址的動態(tài)分配，請根據(jù)拓撲圖將配置補充完整。

【問題1】（5分）圖中的區(qū)域（a）的名稱是（1），區(qū)域（b）的名稱是（2），區(qū)域（c）的名稱是（3），若設備是華為設備，其中區(qū)域（C）的默認安全級別是（4）。此防火墻工作模式是（5）?！締栴}2】（7分）公司的服務器群主要部署了基于WEB的各種應用，盡管在防火墻上設置相應的安全措施，在實際應用中，服務器群總是遭到各種攻擊。管理員用網(wǎng)絡監(jiān)測工具發(fā)現(xiàn)大量的如下URL：http://./showdetail.asp?id=1and(selectcount(*)fromsysobjects)0http://./showdetail.asp?id=1anduser0…則公司的服務器遭受了（6）攻擊，合理的解決方法是（7）。也可以在防火墻的區(qū)域(b)與switch5之間部署（8）設備增強Web服務的安全?！締栴}3】（6分）以下是設備的部分配置，根據(jù)題意完成命令填空或者解釋?！璠Switch1]vlan2創(chuàng)建vlan2、3[Switch1-vlan2]quit[Switch1]vlan3[Switch1-vlan3]quit[Switch1]vlan100[Switch1-vlan100]quit[Switch1]（9）//配置名為net1的地址池[Switch1-ip-pool-net1]（10）[Switch1-ip-pool-net1]gateway-list54[Switch1-ip-pool-net1]dns-list（11）[Switch1-ip-pool-net1]quit[Switch1][Switch1]ippoolnet2[Switch1-ip-pool-net2]networkmask[Switch1-ip-pool-net2]gateway-list54[Switch1-ip-pool-net2]dns-list14[Switch1-ip-pool-net2]static-bindip-address0mac-address0001-1111-2222[Switch1-ip-pool-net2]quit….[Switch1]（12）[Switch1-Vlanif2]ipaddress（13）[Switch1-vlanif2]（14）//接口下開啟全局DHCP分配功能[Switch1-Vlanif2]quit[Switch1][Switch1]interfacevlan3[Switch1-Vlanif3]ipaddress54[Switch1-vlanif3]dhcpselectglobal[Switch1-Vlanif3]quit[Switch1][Switch1]interfacevlan100[Switch1-Vlanif100]ipaddress54[Switch1-Vlanif100]quit[Switch1]【問題4】（5分）系統(tǒng)運行一段時間，內網(wǎng)不斷有用戶報告網(wǎng)絡故障，不能訪問Internet。管理員在故障機器上，使用（15）命令，可以得到如下信息

則該故障的原因是（16），解決故障的方法是（17）?！締栴}5】（2分）根據(jù)拓撲圖，防火墻需要配置默認路由，則正確的命令是（18）和內網(wǎng)的回程路由（19）

6.某銀行上海中心機房是某行信息化運行的核心。機房服務承載了該行的大量業(yè)務系統(tǒng)，這些系統(tǒng)在運行過程中產(chǎn)生了大量的數(shù)據(jù)，而這些數(shù)據(jù)是銀行業(yè)務的核心和最重要的資產(chǎn)之一。為保證該銀行的操作系統(tǒng)、集群軟件及應用、數(shù)據(jù)庫等正常運行，需要提供額外的大數(shù)據(jù)量存儲，而原有的存儲容量、負載都無法滿足信息迅猛增長及對存儲系統(tǒng)高性能、高可用性的要求。為此，銀行向某集成商購買了一套SAN存儲系統(tǒng)。當存儲設備到貨時，集成商技術員小李擬按圖1方式構建RAID級別。而存儲廠商工程師朱工認為需要按圖2方式構建RAID級別。其中，Di表示數(shù)據(jù)段，Pi表示校驗段。

【問題1】（5分）圖1所示的RAID方式是（1），請簡述該方式的優(yōu)缺點?！締栴}