一、[材料型]问答题
试题一
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某物流公司采用云管理平台构建物流网络,如图1所示(以1个配送站为例),数据规划如表1所示。
项目特点:
1.单个配送站人员少于20人,仅一台云防火墙就能满足需求;
2.总部与配送站建立IPSec,配送站通过IPSec接入总部,内部用户需要认证后才有访问网络的权限;
3.配送站的云防火墙采用IPSec智能选路与总部两台防火墙连接,IPSec智能选路探测隧道质量,当质量不满足时切换另外一条链路;
4.配送站用户已无线接入为主。
(备注:Agile Controller-Campus 是新一代园区与分支网络控制器,支持网络部署自动化、策略自动化,SD-WAN等,让网络服务更加便捷。)
表1
1、 【问题1】(10分)
补充传统防火墙FW_A配置命令的注释。
(1)~(10)备选答案:
A.配置IKE Peer
B.引用安全策略模板并应用到接口
C.配置访问控制列表
D.配置序号为10的IKE安全提议
E.配置接口加入安全域
F.允许封装前和解封后的报文能通过FW_A
G.配置接口IP地址
H.配置名称为tran1的IPSec安全提议
I.配置名称为map_temp、序号为1的IPSec安全策略模板
J.允许IKE协商报文能正常通过FW_A
参考答案:(1)G (2)E (3)F (4)J(5)C(6)H(7)D (8)A (9)I (10)B
解析:
根据题目描述和提供的图片信息,针对传统防火墙FW_A的配置命令注释如下:
(1)配置接口IP地址:这是基础配置,确保网络中的设备能够正确识别并通信。
(2)将接口加入防火墙的trust和untrust区域:这是为了定义网络的安全区域,确保数据的流向和安全性。
(3)配置安全策略:允许总部两个网段的数据通过,这是IPSec的关键配置,确保数据传输的安全性和可靠性。
(4)配置本地到配送站的策略,允许IKE协商报文通过:这是为了确保IKE协商过程能够顺利进行。
(5)定义ACL过滤策略:用于过滤不需要的数据包。
(6)配置ipsec安全提议,采用隧道模式:这是为了确保数据的加密和完整性。
(7)配置ike 安全提议,设置认证加密算法:这是IKE协商的关键部分,用于建立安全的隧道。
(8)配置对端的安全提议和密钥:这是为了确保与对端设备的通信安全。
(9)配置ipsec安全策略模板并应用ACL:这是为了定义特定的网络安全策略。
(10)引用安全策略并应用到接口:这是将定义的安全策略应用到具体的网络接口上。
2、【问题2】(4分)
物流公司进行用户(配送站)侧验收时,在配送站FW_C上查看IPSec智能选路情况如下图所示,则配送站智能接入的设备是___(11)___,该选路策略在___(12)___设备上配置。
参考答案:(11)FW_A
(12)Agile Controle-Campus
解析:
根据题目描述,配送站采用IPSec智能选路,当质量不满足时切换另外一条链路。在配送站FW_C上查看IPSec智能选路情况,可以得知配送站智能接入的设备是FW_A。因为IPSec智能选路需要配置在配送站的云防火墙和总部两台防火墙之间,而题目中提到Agile Controller-Campus是新一代园区与分支网络控制器,支持网络部署自动化、策略自动化等,因此该选路策略在Agile Controller-Campus设备上配置。
3、【问题3】(5分)
物流公司组建该网络相比传统网络体现出哪些优势?
参考答案:该网络与传统网络相比,部署效率高,网络管理简单,灵活度高,可扩展性强,便于多地网络的自动化运维和集中化管理。
解析:
该物流公司采用云管理平台构建物流网络,相比传统的网络架构,具有多个明显的优势。首先,通过云管理平台,可以实现网络的快速部署和配置,减少人工操作,提高部署效率。其次,集中化的网络管理可以简化管理难度,降低管理成本。此外,采用IPSec智能选路等技术,可以根据网络质量自动切换链路,提高网络的灵活性和可靠性。云管理平台还可以方便地扩展网络规模,满足业务规模不断增长的需求。最后,通过Agile Controller-Campus等网络控制器,可以实现多地网络的自动化运维和集中化管理,提高网络服务的便捷性。这些优势使得该网络更加适应现代物流企业的高效、便捷、灵活的需求。
4、【问题4】(6分)
简要说明该云管理网络构建及运营与MSP(Mananaged Sservices Provider)的区别?
参考答案:
(1)MSP构建的是公有云,物流公司构建的私有云。
(2)可以自行完成业务配置与运维;MSP模式下,可以由MSP代运营,也可以自运营。
(3)授权方式不同。
(4)网络规模不同
解析:
本题要求简要说明该云管理网络构建及运营与MSP的区别。从云服务类型、运营方式自主性、授权方式、网络规模与复杂性等方面进行了对比。物流公司构建的是私有云,具有自主性,可以自行完成业务配置与运维;而MSP提供的是公有云服务,运营方式可能更加灵活,涉及多种授权方式和安全策略,管理的网络规模更大、复杂性更高。
试题二
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图2-1为某政府部门新建大楼,网络设计拓扑图,根据业务需求,共有三条链路接入,分别连接电子政务外网、互联网、电子政务内网(涉密网),其中机要系统通过电子政务内网访问上级部门机要系统,并由加密机进行数据加密。3条接入链路共用大楼局域网,通过VLAN逻辑隔离。大楼内部署有政府服务系统集群,对外提供政务服务,建设有4个视频会议室,部署视频会议系统,与上级单位和下级各部门召开业务视频会议及项目评审会议等,要求录播存储,录播系统将视频存储以NFS格式挂载为网络磁盘,存储视频文件。
5、
【问题1】(9分)
(1)图2-1所示设计的网络结构为大二层结构,简述该网络结构各层的主要功能和作用,并简要说明该网络结构的优缺点。
(2)图2-1所示网络设计中,如何实现互联网终端仅能访问互联网、电子政务外网终端仅能访问政务外网,机要系统仅能访问电子政务内网?
(3)机要系统和电子政务内网设计是否违规?请说明原因。
参考答案:
【问题1】(9分)
(1)大二层网络包含核心层和接入层。
核心层:高速数据转发,智能选路
接入层:用户接入。
优点:扁平化管理、采用虚拟化技术、支持高效能、高智能、有效避免环路、网络震荡快速收敛、部署方便、网络结构简单、维护方便、可以有效利用现有冗余链路带宽。
(2)按注册设备MAC地址划分VLAN;策略路由。
(3)违规。电子政务网络由政务内网和政务外网组成,政务内网与政务外网之间物理隔离,政务外网与互联网之间逻辑隔离;机要系统应与外网隔离。
解析:
问题1主要考察对网络结构的理解。大二层网络结构包含核心层和接入层,核心层负责高速数据转发和智能选路,接入层负责用户接入。该网络结构的优点包括扁平化管理、虚拟化技术支持等。
问题2考察的是网络安全中的访问控制。通过划分VLAN和设置策略路由,可以实现对终端的网络访问控制,确保不同终端只能访问相应的网络。
问题3涉及到电子政务网络和机要系统的设计是否符合规范。根据网络安全和保密要求,机要系统和电子政务内网应该与外网隔离,该设计中存在安全风险,因此设计违规。
6、
【问题2】(6分)
(4)视频会议1080p格式传输视频,码流为8Mbps,请计算每个视频会议室每小时会占用多少存储空间(单位要用MB或者GB),并说明原因。
(5)每个视频会议室每年使用约100天(每天按8小时计算),视频文件至少保存2年。图2-1中设计的录播系统将视频存储挂载为网络磁盘,存储视频文件,该存储系统规划配置4TB(实际容量按3.63TB计算)磁盘,RAID6方式冗余,设置全局热备盘1块。请计算该存储系统至少需要配置多少块磁盘并说明原因。
参考答案:
【问题2】(6分)
(4)每个视频会议室每小时占用空间数为:8/8×3600=3600MB。
(5)4个视频会议室总共需要的存储空间=4×(2×100×8)×3600MB=23040000MB≈22TB。该空间需要22TB/3.63≈7块盘存储数据。
由于RAID 6需要配置两块盘的空间做冗余,同时还需要,设置全局热备盘1块,所以一共需要配置10块盘。
解析:
(4)(4分)首先,计算每个视频会议室每小时的视频存储需求。题目中给出了视频会议格式为1080p,码流为8Mbps。我们知道,码流通常以Mbps为单位表示每秒钟传输的数据量。因此,我们需要将码流转换为每秒钟需要的存储空间(MB)。由于1Mbps等于每秒传输125KB的数据量(即除以8),我们可以得到每秒的存储空间需求为8/8MBps。接下来,我们乘以一个小时的秒数(即3600秒),得到每个视频会议室每小时占用的存储空间约为码流大小乘以时间间隔再除以时间间隔的结果,即约为3600MB。因此,每个视频会议室每小时占用空间数为约等于视频码流大小除以每秒传输的数据量再乘以一小时的秒数。(单位:MB)
(5)(6分)首先计算总共需要的存储空间。每个视频会议室每年使用约100天(每天按8小时计算),视频文件至少保存两年。因此,我们需要计算两年的总存储需求。每个视频会议室每年的存储需求为每天使用时间乘以每小时存储空间,再乘以视频会议室数量。由于每个视频会议室每年的存储需求为约等于每天使用时间乘以每小时存储空间的结果,所以总共需要的存储空间为约等于视频会议室数量乘以每年使用时间(天为单位)再乘以每天使用时间(小时为单位)再乘以每小时存储空间的结果,约为两TB左右。然后计算存储系统所需的磁盘数。存储系统规划配置有4TB的磁盘容量(实际容量按3.63TB计算),所以我们可以计算需要的磁盘数为总存储容量除以每块磁盘容量再加RAID冗余磁盘数和全局热备盘数的结果来计算所需磁盘数。考虑到RAID 6的冗余要求(需要两块盘的空间做冗余),以及全局热备盘的需求,存储系统至少需要配置约两块磁盘用于RAID冗余和一块全局热备盘,共计需要配置约十块磁盘以满足两年内的视频存储需求并确保数据安全。
7、
【问题3】(6分)
(6)各视频会议室的视频终端和MCU是否需要一对一做NAT,映射公网IP地址?请说明原因。
(7)召开视频会议使用的协议是什么?需要在防火墙开放的TCP端口是什么?
参考答案:
【问题3】(6分)
(6)各视频会议室的视频终端和MCU不需要一对一做NAT,这样比较浪费IP地址。可以多对一做NAT
(7)视频会议使用的协议是H.323,TCP端口为2776、2777。
解析:
(6)NAT(网络地址转换)用于将私有IP地址转换为公网IP地址,以实现内部网络的访问外部网络的功能。在视频会议系统中,视频终端和MCU(多点控制单元)并不需要对每一个会议室都进行一对一的NAT映射公网IP地址。可以采用多对一的NAT方式,即多个视频终端共享一个公网IP地址,这样可以更有效地利用公网IP地址资源。
(7)视频会议系统通常使用的协议是H.323。该协议是一种用于多媒体通信的协议,支持音频、视频和数据会议。为了支持H.323协议的视频会议,需要在防火墙开放TCP端口2776和2777,以便视频信号和数据信号能够正常传输。
8、
【问题4】(4分)
图2-1所示的虚拟化平台连接的存储系统连接方式是 (8) 视频存储的连接方式是(9)。
参考答案:
【问题4】(4分)
(8)FC SAN
(9)NAS
解析:
虚拟化平台连接的存储系统通过FC交换机连接,因此存储系统连接方式是FC SAN。而录播系统将视频存储以NFS格式挂载为网络磁盘,对外提供文件服务,所以视频存储的连接方式是NAS(网络附加存储)。
试题三
回答问题1至问题3,将解答填入答题纸对应的解答栏内。
9、
【问题1】(4分)
安全管理制度管理、规划和建设为信息安全管理的重要组成部分。一般从安全策略、安全预案、安全检查、安全改进等方面加强安全管理制度建设和规划。其中,(1)应定义安全管理机构、等级划分、汇报处置、处置操作、安全演练等内容;(2)应该以信息安全的总体目标、管理意图为基础,是指导管理人员行为,保护信息网络安全的指南。
参考答案:
【问题1】(4分)
(1)安全预案(2)安全策略
解析:
根据题目描述,安全管理制度管理、规划和建设是信息安全管理的重要组成部分,其中包括安全策略、安全预案、安全检查、安全改进等方面。在加强安全管理制度建设和规划的过程中,应该定义安全管理机构、等级划分、汇报处置、处置操作、安全演练等内容,这些内容属于安全策略的范围。同时,应以信息安全的总体目标、管理意图为基础,制定指导管理人员行为、保护信息网络安全的指南,这既是安全策略的要求,也与安全预案的制定密切相关。因此,本题答案为(1)安全策略,(2)安全策略和安全预案。
10、
【问题2】(11分)
某天,网络安全管理员发现web服务器访问缓慢,无法正常响应用户请求,通过检查发现,该服务器CPU和内存资源使用率很高、网络带宽占用率很高,进一步查询日志,发现该服务器与外部未知地址有大量的UDP连接和TCP半连接,据此初步判断该服务器受到(3)和(4)类型的分布式拒绝服务攻击(DDos),可以部署(5)设备进行防护。这两种类型的DDos攻击的原理是(6)、(7)。
(3)~(4)备选答案(每个选项仅限选一次):
A.Ping洪流攻击
B.SYN泛洪攻击
C.Teardrop攻击
D.UDP泛洪攻击
(5) 备选答案:
A.抗DDoS防火墙
B.Web防火墙
C.入侵检测系统
D.漏洞扫描系统
参考答案:
【问题2】(11分)
(3)B, (4)D (3)~(4)答案可以互换
(5)A
(6)SYN是TCP三次握手中的第一个数据包,而当服务器返回ACK后,该攻击者就不对其进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。这样会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接,由于每一个都没法完成三次握手,所以最后服务器耗光资源而无法为正常用户提供服务。
(7)UDP泛洪攻击者通过向目标主机发送大量的UDP报文,导致目标主机忙于处理这些UDP报文,而无法处理正常的报文请求或响应。
解析:
本题主要考察对分布式拒绝服务攻击(DDoS)的理解。
(3)和(4)的问题是关于DDoS攻击的类型。根据题目描述,服务器与外部有大量的UDP连接和TCP半连接,因此可以判断是UDP泛洪攻击和SYN泛洪攻击。UDP泛洪攻击是通过发送大量UDP报文导致服务器处理不过来正常请求,而SYN泛洪攻击则是通过发送大量半开连接消耗服务器资源。所以(3)选B,即SYN泛洪攻击,(4)选D,即UDP泛洪攻击。
(5)的问题是关于如何防护DDoS攻击。抗DDoS防火墙是专门用于防御分布式拒绝服务攻击的设备,因此(5)选A。
(6)和(7)的问题是关于这两种攻击的原理。(6)中,SYN是TCP三次握手的一部分,攻击者通过发送大量SYN请求导致服务器产生大量半开连接。当服务器返回ACK后,攻击者不进行再确认,使服务器不断发送ACK,占用大量资源。(7)中,UDP泛洪攻击则是通过发送大量UDP报文,使服务器忙于处理这些报文,无法处理正常的请求或响应。
11、
【问题3】(10分)
网络管理员使用检测软件对Web服务器进行安全测试,图3-1为测试结果的片段信息,从测试结果可知,该Web系统使用的数据库软件为(8),Web服务器软件为(9),该Web系统存在(10)漏洞,针对该漏洞应采取(11)、(12)等整改措施进行防范。
参考答案:
【问题3】(10分)
(8)Mysql (9)Apache (10)SQL注入
(11)部署WAF设备
(12)下载SQL通用防注入系统的程序或者防范注入分析器
解析:
根据题目给出的测试结果片段信息,可以得知:
- 在测试结果中,提到了数据库软件,根据常见的Web服务器使用的数据库软件,可以判断该Web系统使用的数据库软件为Mysql。
- 关于Web服务器软件,由于测试结果中未直接给出具体信息,但结合常见的Web服务器软件,可以判断该Web服务器软件为Apache。
- 测试结果中提到了"sqlmap identified the following injection point(s)"这一信息,这表明该Web系统存在SQL注入漏洞。SQL注入是一种常见的安全漏洞,攻击者可以利用此漏洞获取数据库中的敏感信息或执行恶意操作。
- 针对SQL注入漏洞,可以采取多种整改措施进行防范。其中,部署WAF(Web应用防火墙)设备是一种有效的手段,它可以检测并阻止针对Web应用的攻击。此外,还可以下载SQL通用防注入系统的程序或防范注入分析器来加强防护。这些措施有助于减少或避免SQL注入攻击对Web系统造成的潜在威胁。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
