一、问答题
1、阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某园区组网方案如图1-1所示,数据规划如表1-1内容所示。
【问题1】(8分)
该网络对汇聚层交换机进行了堆叠,在此基础上进行链路聚合并配置接口,补充下列命令片段。
[SW3] interface (1) [SW3-Eth-Trunk30] quit [SW3] interface gigabitethernet 1/0/1 [SW3-GigabitEthernet1/0/1] eth-trunk 30 [SW3-GigabitEthemet1/0/1] quit [SW3] interface gigabitethernet 2/0/1 [SW3-GigabitEthernet2/0/1] eth-trunk 30 [SW3-GigabitEthernet2/0/1] quit [SW3] vlan batch (2) [SW3] interface eth-trunk 30 [SW3-Eth-Trunk30] port link-type (3) [SW3-Eth-Trunk30] port trunk allow-pass vlan 30 40 [SW3-Eth-Trunk30] quit [SW3] interface vlanif 30 [SW3-Vlanif30] ip address (4) [SW3-Vlanif30] quit
【问题2】(8分)
该网络对核心层交换机进行了集群,在此基础上进行链路聚合并配置接口,补充下列命令片段。
[CSS] interface loopback 0 [CSS-LoopBack0] ip address 3.3.3.3 32 [CSS-LoopBack0] quit [CSs] vlan batch 10 30 40 50 [CSS] interface eth-trunk 10 [CSS-Eth-Trunk10] port link-type access [CSS- Eth-Trunk10] port default vlan 10 [CSS- Eth-Trunk10] quit [CSS] interface eth-trunk 20 [CSS-Eth-Trunk20] port link-type (5) [CSS- Eth-Trunk20] port default vlan 10 [CSS-Eth-Trunk20] quit [CSS] interface eth-trunk 30 [CSS- Eth-Trunk30] port link-type (6) [CSS-Eth-Trunk30] port trunk allow-pass vlan 30 40 [CSS-Eth-Trunk30] quit [CSS] interface vlanif 10 [CSS-Vlanif10] ip address 172.16.10.3 24 [CSS-Vlanif10] quit [CSS] interface vlanif 30 [CSS-Vlanif30] ip address 172.16.30.1 24 [CSS-Vlanif30] quit [CSS] interface vlanif 40 [CSS-Vlanif40] ip address (7) [CSS-Vlanif40] quit [CSS] interface gigabitethernet 1/1/0/10 [CSS-GigabitEthernet1/1/0/10] port link-type access [CSS-GigabitEthernet/1/0/10] port default vlan 50 [CSS-GigabitEthernetl/1/0/10] quit [CSS] interface vlanif 50 [CSS-Vlanif50] ip address (8) [CSS-Vlanif50] quit
【问题3】(3分)
配置FW1时,下列命令片段的作用是(9) 。
[FW1] iterface eth-trunk 10 [FW1-Eth-Trunk10] quit [FW1] interface gigabitethernet 1/0/3 [FW1-GigabitEthernet1/0/3] eth- trunk 10 [FW1-GigabitEthernet1/0/3] quit [FW1] interface gigabitethernet 1/0/4 [FW1-GigabitEthernet1/0/4] eth-trunk 10 [FW1-GigabitEthernet1/0/4] quit
【问题4】(6分)
在该网络以防火墙作为出口网关的部署方式,相比用路由器作为出口网关,防火墙旁挂的部署方式,最主要的区别在于(10) 。
为了使内网用户访问外网,在出口防火墙的上行配置(11),实现私网地址和公网地址之间的转换;在出口防火墙上配置(12),实现外网用户访问HTTP服务器。
参考答案:
【问题1】(8分)
(1)eth-trunk30 (2)30 40 (3)trunk
(4)172.16.30.2 24或者172.16.30.2 255.255.255.0
【问题2】(8分)
(5)access (6)trunk (7)172.16.40.1 24 (视频中漏了24)
(8)172.16.50.1 24或者172.16.50.1 255.255.255.0
【问题3】(3分)
(9)将防火墙FW1端口gigabitethernet 1/0/3 和gigabitethernet 1/0/4加入到eth- trunk 10接口中。
【问题4】(6分)
(10)该模式可以直接处理网络流量,无需引流。
(11)源NAT
(12)目的NAT或者NAT server
解析:
问题1:
(1)根据题目描述,需要配置汇聚层交换机的接口,因此命令为进入Eth-Trunk接口,答案为eth-trunk30。
(2)根据图示和表格数据规划,需要配置VLAN 30和VLAN 40的接口,因此答案为30 40。
(3)配置链路聚合时,需要将端口类型设置为trunk,以便允许通过多个VLAN,答案为trunk。
(4)根据网络规划,配置VLAN 30的IP地址,答案示例为172.16.30.2 24或172.16.30.2 255.255.255.0。
2、阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图2-1为某台服务器的RAID(Redundant Array of Independent Disk,独立冗余磁盘阵列)示意图,一般进行RAID配置时会根据业务需求设置相应的RAID条带深度和大小,本服务器由4块磁盘组成,其中P表示校验段、D表示数据段,每个数据块为4KB,每个条带在一个磁盘上的数据段包括4个数据块。
【问题1】(6分)
图2-1所示的RAID方式是(1), 该RAID最多允许坏(2)块磁盘而数据不丢失,通过增加(3)盘可以减小磁盘故障对数据安全的影响。
【问题2】(5分)
1.图2-1 所示,RAID 的条带深度是(4)KB,大小是(5) KB。
2.简述该RAID方式的条带深度大小对性能的影响。
【问题3】(7分)
图2-1所示的RAID方式最多可以并发(6)个 IO写操作,通过(7)措施可以提高最大并发数,其原因是(8) 。
【问题4】(7分)
某天,管理员发现该服务器的磁盘0故障报警,管理员立即采取相应措施进行处理。
1.管理员应采取什么措施?
2.假设磁盘0被分配了80%的空间,则在RAID重构时,未被分配的20%空间是否参与重构?请说明原因。
参考答案:
【问题1】(6分)
(1)RAID5 (2)1块 (3)热备
【问题2】(5分)
(4)16 (5)64
减小条带大小:由于条带大小减小了,则文件被分成了更多、更小的数据块。数据会被分散到更多的硬盘上存储,因此提高了传输的性能,但是由于要多次寻找不同的数据块,磁盘定位的性能就下降了。
增加条带大小:与减小条带大小相反,会降低传输性能,提高定位性能。
【问题3】(7分)
(6)2 (7)增加磁盘
(8)RAID5 将数据分别存储在RAID各硬盘中,因此硬盘越多,并发数越大。
【问题4】(7分)
1.更换同型号硬盘
2.参与重构。RAID5重构时,raid5重构时是使用全盘重构。
解析:
根据题目描述,该服务器采用的是RAID5的冗余阵列方式。RAID5允许一块磁盘故障而不丢失数据,因此最多允许坏一块磁盘。为了减小磁盘故障对数据安全的影响,可以添加热备盘。
3、阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图3-1为某公司拟建数据中心的简要拓扑图,该数据中心安全规划设计要求符合信息安全等级保护(三级)相关要求。
【问题1】(9分)
1.在信息安全规划和设计时,一般通过划分安全域实现业务的正常运行和安全的有效保障,结合该公司实际情况,数据中心应该合理地划分为 (1) 、 (2)、 (3) 三个安全域。
2.为了实现不同区域的边界防范和隔离,在图3-1的设备①处应部署 (4) 设备,通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护,对攻击进行检测和阻断;在设备②处应部署(5)设备,通过有效的访问控制策略,对数据库区域进行安全防护;在设备③处应部署(6)设备,定期对数据中心内服务器等关键设备进行扫描,及时发现安全漏洞和威胁,可供修复和完善。
【问题2】(6分)
信息安全管理一般从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行安全管理规划和建设。其中应急预案制定和演练、安全事件处理属于 (7) 方面;人员录用、安全教育和培训属于(8)方面; 制定信息安全方针与策略和日常操作规程属于(9)方面;设立信息安全工作领导小组,明确安全管理职能部门的职责和分工属于(10)方面。
【问题3】(4分)
随着DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的技术门槛越来越低,使其成为网络安全中最常见、最难防御的攻击之一,其主要目的是让攻击目标无法提供正常服务。请列举常用的DDoS攻击防范方法。
【问题4】(6分)
随着计算机相关技术的快速发展,简要说明未来十年网络安全的主要应用方向。
参考答案:
【问题1】(9分)
(1)应用业务安全域 (2)数据库安全域 (3)安全运维管理安全域
注:(1)~(3)不分位置。
(4)WAF (5)防火墙
(6)漏洞扫描或者威胁感知
【问题2】(6分)
(7)系统运维管理 (8)人员安全管理
(9)安全管理制度 (10)安全管理机构
【问题3】(4分)
1.购买运营商流量清洗服务
2.采购防DDos设备
3.修复系统漏洞,关闭不必要开放的端口
4.购买云加速服务
5.增加出口带宽,提升硬件性能
6. CDN加速
【问题4】(6分)
1.IPv6网络安全
2.工控网络安全
3.云安全
4.人工智能安全
5.量子加密
解析:
问题1关于数据中心的安全域划分、设备部署:
- 安全域划分是为了保障业务的正常运行和安全,通常划分为应用业务安全域、数据库安全域和安全运维管理安全域。
- 在设备①处部署WAF设备,是为了基于HTTP/HTTPS的安全策略进行网站等Web应用防护。
- 在设备②处部署防火墙,通过访问控制策略保护数据库区域。
- 在设备③处应部署漏洞扫描设备,以发现和修复安全漏洞。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
